Oracle ออกเเพตซ์เเก้ไขช่องโหว่ 402 รายการใน Critical Patch Update October 2020
Oracle ได้ออกประกาศ Critical Patch Update October 2020 ซึ่งเป็นการประกาศอัปเดตเเพตซ์ความปลอดภัยประจำเดือนตุลาคม 2020 ของ Oracle โดยในเดือนตุลาคมนี้ Oracle ได้ทำการเเก้ไขเเพตซ์ความปลอดภัยเป็นจำนวน 402 รายการในผลิตภัณฑ์ 27 ตระกูลผลิตภัณฑ์ของ Oracle ทั้งนี้ช่องโหว่ที่มีความรุนเเรงละมีความสำคัญมีดังนี้
ช่องโหว่ CVE-2020-14825, CVE-2020-14841 และ CVE-2020-14859 (CVSSv3: 9.8/10) เป็นช่องโหว่ใน Oracle WebLogic Server โดยช่องโหว่จะทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์เข้าถึงเครือข่ายผ่านทาง Oracle T3 หรือ Internet Inter-ORB Protocol (IIOP) เพื่อทำการบุกรุกเซิร์ฟเวอร์ ทั้งนี้ช่องโหว่ทั้งสามมีผลกับเวอร์ชัน Oracle WebLogic Server เวอร์ชัน 12.2.1.3.0, 12.2.1.4.0 และ 14.1.1.0.0 ส่วน CVE-2020-14841 และ CVE-2020-14859 จะมีผลกับเวอร์ชัน 10.3.6.0.0 และ 12.1.3.0.0
ช่องโหว่ CVE-2020-14882 (CVSSv3: 9.8/10) เป็นช่องโหว่ในคอมโพเนนต์คอนโซลของ Oracle WebLogic Server ช่องโหว่จะทำให้ผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้องสามารถโจมตีเซิร์ฟเวอร์ Oracle WebLogic ผ่าน HTTP ซึ่งช่องโหว่จะส่งผลให้เกิดการยึดครองเซิร์ฟเวอร์ที่เป็นเป้าหมาย ช่องโหว่นี้มีผลกับ Oracle WebLogic Server เวอร์ชัน 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0, 12.2.1.4.0 และ 14.1.1.0.0
ช่องโหว่ CVE-2019-17267 (CVSSv3: 9.8/10) เป็นช่องโหว่ในส่วนประกอบ Centralized Third Party Jars (jackson-databind) ของ Oracle WebLogic Server ช่องโหว่จะทำให้ผู้โจมตีที่ไม่ได้รับการรับรองความถูกต้องสามารถโจมตีเซิร์ฟเวอร์ Oracle WebLogic ผ่าน HTTP ซึ่งช่องโหว่จะส่งผลให้เกิดการยึดครองเซิร์ฟเวอร์ที่เป็นเป้าหมาย ช่องโหว่นี้มีผลกับ Oracle WebLogic Server เวอร์ชัน 12.2.1.3.0
ทั้งนี้ผู้ดูแลระบบควรทำการอัปเดตเเพตซ์ให้เป็นเวอร์ชันล่าสุดเพื่อทำการเเก้ไขช่องโหว่และเพื่อเป็นการป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ ผู้ที่สนใจรายละเอียดของช่องโหว่เพิ่มเติมสามารถดูได้ที่นี่: https://www.oracle.com/security-alerts/cpuoct2020.html
ที่มา: tenable
You must be logged in to post a comment.