شرکت اوراکل انبوهی از آسیب‌پذیری‌ها را وصله کرد؛ بهره‌برداری NSA نیز برطرف شده است

شرکت اوراکل امروز نزدیک به 299 آسیب‌پذیری را بر روی محصولات خود وصله کرده است. یکی از این آسیب‌پذیری‌ها همان اشکالی است که توسط آژانس امنیت ملی آمریکا مورد بهره‌برداری قرار گرفته بود و نفوذگر می‌توانست کنترل کامل سامانه‌ی سولاریس 10 را در دست بگیرد. جزئیات این آسیب‌پذیری‌ها را در این وب‌گاه می‌توانید ببینید. اوراکل این آسیب‌پذیری‌ها را حیاتی در نظر گرفته و به مدیران سامانه‌ها اعلام کرده در نصب آن هیچ‌گونه تأخیری نداشته باشند. 

 

در این به‌روزرسانی یک آسیب‌پذیری ارتقاء امتیاز محلی با شناسه‌ی CVE-2017-3622 وصله شده که سولاریس 10 را تحت تأثیر قرار داده و کنترل ماشین در اختیار نفوذگر قرار می‌گیرد. این آسیب‌پذیری توسط آژانس امنیت ملی آمریکا مورد بهره‌برداری قرار گرفته و در قالب EXTREMEPARR در حال حاضر به‌طور عمومی افشاء شده است. اوراکل می‌گوید این آسیب‌پذیری بر روی سولاریس 10 وجود ندارد. این آسیب‌پذیری اوراکل 7 و 9 را نیز تحت تأثیر قرار داده و در حال حاضر توسط اوراکل پشتیبانی نمی‌شوند. 

 

یکی دیگر از ابزارهای آژانس امنیت ملی که روز جمعه منتشر شده، EBBISLAND نام دارد و تلاش می‌کند از یک آسیب‌پذیری اجرای کد از راه دور بر روی هسته‌ی سولاریس نسخه‌ی 6 تا 10 در معماری‌های x86 و Sparc بهره‌برداری کرده و یک شِل ریشه را در اختیار نفوذگر قرار دهد. شناسه‌ی این آسیب‌پذیری CVE-2017-3623 است. بر روی سامانه‌های سولاریس 11 و سولاریس 10 که وصله‌ها را دریافت کرده، این آسیب‌پذیری وجود ندارد و نسخه‌های قدیمی که پشتیبانی نمی‌شوند نیز به حال خود رها شده‌اند. به‌عبارت دیگر در حال حاضر اوراکل این آسیب‌پذیری را که از سال 2012 میلادی وجود داشت، بر روی سولاریس 10 وصله کرده است. سولاریس 10 همواره هدف بهره‌برداری از آسیب‌پذیری CVE-2017-3622 نیز قرار می‌گرفت که در این به‌روزرسانی وصله شده است. 

 

تقریباً یک هفته از اینکه گروه نفوذ Shadow Brokers ابزارهای نفوذ آژانس امنیت ملی را افشاء کرد، می‌گذرد. در این یک هفته اوراکل از اینکه بگوید آسیب‌پذیری موجود در محصولات این شرکت نیز توسط آژانس مورد بهره‌برداری قرار گرفته است، امتناع کرده بود. این سکوت خبری برای بسیاری از رسانه‌ها و انجمن‌ها خسته‌کننده بود. علاوه بر وصله‌ی آسیب‌پذیری‌های جاسوسی، در این به‌روزرسانی آسیب‌پذیری‌هایی بر روی پایگاه داده، میان‌افزار، ابزارهای ارتباطی اوراکل، سرویس مالی اوراکل، لینوکس و MySQL اوراکل نیز وصله شده است.

 

0
هنوز هیچ ستاره‌ای موجود نیست.

افزودن یک دیدگاه جدید