Trong bản cập nhật quan trọng hàng quý (Critical Patch Update – CPU), Oracle đã tung ra 520 bản vá cho tất cả các loại lỗ hổng. Hai trong số nhiều lỗi nghiêm trọng được phát hiện (CVE2022-22947, CVE-2022-21431) được chấm 10/10 theo thang điểm CVSSv3.
Oracle khuyến nghị người dùng triển khai bản cập nhật càng sớm càng tốt vì đã có dữ liệu về việc hacker khai thác thành công lỗ hổng đối với những khách hàng chưa cập nhật.
Eric Maurice, Phó chủ tịch phụ trách bảo mật của Oracle, cho biết các bản cập nhật sẽ được áp dụng trên nhiều loại sản phẩm, bao gồm cả nền tảng blockchain và Oracle Virtualization.
Trong số 520 bản vá có sẵn, các sản phẩm của Oracle Communications đã nhận được 149, 98 lỗi trong số đó có thể được khai thác từ xa và không cần xác thực. Các ứng dụng Dịch vụ Tài chính của Oracle đã nhận được 41 bản vá, với 19 lỗi trong số đó có thể khai thác từ xa.
Oracle Fusion Middleware sẽ nhận được 54 bản vá, 41 bản có thể khai thác từ xa mà không cần xác thực. 13 lỗ hổng khác có điểm CVSS là 9,8 / 10 và ảnh hưởng đến các sản phẩm như Oracle Business Intelligence Enterprise Edition, Oracle Business Process Management Suite, Oracle Coherence, Oracle HTTP Server và các sản phẩm khác của công ty. Oracle MySQL đã nhận được 43 bản vá, trong đó 11 bản có thể được khai thác từ xa mà không cần xác thực, với một sản phẩm khác bị ảnh hưởng nghiêm trọng bởi những lỗ hổng này.
Cuối cùng, Oracle E-Business Suite Cloud Manager và Cloud Backup Module cũng bị ảnh hưởng bởi lỗi chấm điểm CVSS là 9,8 / 10 được liên kết với thành phần Log4j.
ttps://www.securitynewspaper.com/