Oracle ออกคำแนะนำเกี่ยวกับการอัปเดต Critical Patch สำหรับเดือนมกราคม 2024 เพื่อแก้ไขช่องโหว่ที่ครอบคลุมหลายผลิตภัณฑ์ โดยการอัปเดตนี้มีการแก้ไขช่องโหว่ทั้งหมด 389 รายการ ซึ่งรวมถึงแพตซ์สำหรับช่องโหว่ระดับ critical
ช่องโหว่ที่มีความเสี่ยงสูงใน Critical Patch Update ของ Oracle ในเดือนมกราคม 2024
ช่องโหว่จำนวนมากภายใน Oracle Patch Update ในเดือนมกราคม 2024 ที่ได้รับการจัดประเภทด้วยคะแนน CVSS เกิน 9.0 ซึ่งแสดงถึงความรุนแรงในระดับ critical ซึ่งช่องโหว่เหล่านี้มีความเสี่ยงต่อการถูกใช้ในการโจมตีจากระยะไกลโดยไม่จำเป็นต้องผ่านการตรวจสอบสิทธิ์
รายการของช่องโหว่ที่มีความเสี่ยงสูงจัดกลุ่มตามประเภท รวมถึงผลิตภัณฑ์ของ Oracle ที่ได้รับผลกระทบ และรุ่นที่รองรับที่ได้รับการแก้ไขใน Critical Patch Update เดือนมกราคม 2024 ดังนี้
CVE-2021-42575 (CVSS: 9.8)
เป็นช่องโหว่ Lack of proper enforcement of policies สำหรับ ELEMENT SELECT, STYLE, และ OPTION ใน OWASP Java HTML Sanitizer
ผลิตภัณฑ์ และเวอร์ชันที่ได้รับผลกระทบ :
Oracle Hyperion Planning – 11.2.14.0.000
CVE-2021-43527 (CVSS: 9.8)
ช่องโหว่ Heap overflow ใน NSS (Network Security Services) ในระหว่างการจัดการ signature DSA หรือ RSA-PSS ที่ถูกเข้ารหัสในรูปแบบ DER
ผลิตภัณฑ์ และเวอร์ชันที่ได้รับผลกระทบ :
Fujitsu M10-1, M10-4, M10-4S, M12-1, M12-2, M12-2S Servers – Prior to XCP2430, prior to XCP3130, prior to XCP4040
CVE-2021-46848 (CVSS: 9.8)
เป็นช่องโหว่ในการตรวจสอบขนาดของอาร์เรย์ที่ผิดพลาดแบบ off-by-one ใน GNU Libtasn1
ผลิตภัณฑ์ และเวอร์ชันที่ได้รับผลกระทบ :
Oracle Communications Cloud Native Core Network Repository Function – 23.3.1
CVE-2022-23221 (CVSS: 9.8)
ช่องโหว่ Remote Code Execution (RCE) ในคอนโซล H2
ผลิตภัณฑ์ และเวอร์ชันที่ได้รับผลกระทบ :
Oracle SOA Suite – 12.2.1.4.0
CVE-2022-29155 (CVSS: 9.8)
ช่องโหว่ SQL injection ใน OpenLDAP ที่สามารถใช้ประโยชน์ได้ในระหว่างการดำเนินการค้นหา LDAP เนื่องจาก lack of proper escaping
ผลิตภัณฑ์ และเวอร์ชันที่ได้รับผลกระทบ :
Fujitsu M10-1, M10-4, M10-4S, M12-1, M12-2, M12-2S Servers – Prior to XCP2420, prior to XCP3120, prior to XCP4030
CVE-2022-31692 (CVSS: 9.8)
ช่องโหว่ Authorization rules bypass ใน Spring Security
ผลิตภัณฑ์ และเวอร์ชันที่ได้รับผลกระทบ :
Oracle Banking Virtual Account Management – 14.5.0-14.7.0
CVE-2022-36944 (CVSS: 9.8)
ช่องโหว่การเชื่อมต่อ Java deserialization chain ใน Scala ที่สามารถโจมตีได้เฉพาะเมื่อใช้ร่วมกับ Java object deserialization ภายในแอปพลิเคชัน
ผลิตภัณฑ์ และเวอร์ชันที่ได้รับผลกระทบ :
Oracle Communications BRM – Elastic Charging Engine – 12.0.0.4-12.0.0.7
Oracle Communications Service Catalog and Design – 7.4.2.8.0
Oracle Banking Corporate Lending Process Management – 14.5.0-14.7.0
CVE-2022-37434 (CVSS: 9.8)
ช่องโหว่ Heap-based buffer over-read หรือ overflow ใน zlib
ผลิตภัณฑ์ และเวอร์ชันที่ได้รับผลกระทบ :
Oracle Hyperion Financial Management – 11.2.14.0.000
JD Edwards EnterpriseOne Tools – Prior to 9.2.8.0
CVE-2022-42920 (CVSS: 9.8)
ช่องโหว่ Out-of-bounds writing ใน Apache Commons BCEL APIs ทำให้เกิดการแก้ไขลักษณะเฉพาะของคลาส โดยสร้าง bytecode ที่กำหนดเองได้
ผลิตภัณฑ์ และเวอร์ชันที่ได้รับผลกระทบ :
Oracle Communications Service Catalog and Design – 7.4.0.7.0, 7.4.1.5.0, 7.4.2.8.0
Oracle Financial Services Behavior Detection Platform – 8.0.8.1, 8.1.1.1, 8.1.2.5,8.1.2.6
Oracle Retail Advanced Inventory Planning – 15.0.3, 16.0.3
CVE-2022-48174 (CVSS: 9.8)
ช่องโหว่ stack overflow ใน ash.c:6030 ใน busybox ที่สามารถโจมตีได้ใน Internet of Vehicles environment ทำให้สามารถรันโค้ดได้จาก command
ผลิตภัณฑ์ และเวอร์ชันที่ได้รับผลกระทบ :
Oracle Communications Cloud Native Core Network Function Cloud Native Environment – 23.3.1
CVE-2023-32002 (CVSS: 9.8)
ช่องโหว่ใน Node.js ทำให้สามารถ bypass policy mechanism ได้โดยใช้ Module._load()
ผลิตภัณฑ์ และเวอร์ชันที่ได้รับผลกระทบ :
JD Edwards EnterpriseOne Tools – Prior to 9.2.8.1
CVE-2023-34034 (CVSS: 9.8)
ช่องโหว่การ bypass ใน Spring Security ซึ่งเกิดขึ้นเมื่อใช้ “**” เป็นรูปแบบในการกำหนดค่า Spring Security สำหรับ WebFlux
ผลิตภัณฑ์ และเวอร์ชันที่ได้รับผลกระทบ :
Oracle Communications Service Catalog and Design – 7.4.2.8.0
Oracle Communications Cloud Native Core Network Slice Selection Function – 23.2.0, 23.3.1
Oracle Banking Corporate Lending Process Management – 14.5.0-14.7.0
Oracle Banking Digital Experience – 21.1.0, 22.1.0, 22.2.0
Oracle Banking Liquidity Management – 14.5.0-14.7.0
Oracle Financial Services Analytical Applications Infrastructure – 8.0.7, 8.0.8, 8.0.9, 8.1.0, 8.1.1, 8.1.2
CVE-2023-38545 (CVSS: 9.8)
ช่องโหว่ Heap-based buffer overflow ใน curl ระหว่างการทำ handshake ของ SOCKS5 proxy
ผลิตภัณฑ์ และเวอร์ชันที่ได้รับผลกระทบ :
Oracle Essbase – 21.5.3.0.0
Oracle HTTP Server – 12.2.1.4.0
MySQL Cluster – 8.0.34 and prior, 8.1.0
CVE-2023-46604 (CVSS: 9.8)
ช่องโหว่ Remote Code Execution ใน Java OpenWire protocol marshaller
ผลิตภัณฑ์ และเวอร์ชันที่ได้รับผลกระทบ :
Oracle Communications Element Manager – 9.0.0.0.0-9.0.2.0.1
Oracle Communications Session Report Manager – 9.0.0.0.0-9.0.2.0.1
Oracle Banking APIs – 22.1.0, 22.2.0
Oracle Banking Digital Experience – 22.1.0, 22.2.0
Oracle Financial Services Analytical Applications Infrastructure – 8.0.7, 8.0.8, 8.0.9, 8.1.0, 8.1.1, 8.1.2
Oracle Enterprise Data Quality – 12.2.1.4.0
CVE-2023-50164 (CVSS: 9.8)
ช่องโหว่ Path Traversal ใน Apache Struts ทำให้ผู้โจมตีสามารถทำให้พารามิเตอร์การอัปโหลดไฟล์ถูกแก้ไข นำไปสู่การอัปโหลดไฟล์ที่เป็นอันตราย และเปิดใช้งาน Remote Code Execution
ผลิตภัณฑ์ และเวอร์ชันที่ได้รับผลกระทบ :
Oracle Communications Policy Management – 12.6.1.0.0, 15.0.0.0.0
Oracle Hyperion Infrastructure Technology – 11.2.14.0.000
MySQL Enterprise Monitor – 8.0.36 and prior
CVE-2023-44981 (CVSS: 9.1)
ช่องโหว่ที่ทำให้สามารถทำการ bypass user-controlled key ใน Apache ZooKeeper
ผลิตภัณฑ์ และเวอร์ชันที่ได้รับผลกระทบ :
Oracle Communications Cloud Native Core Network Data Analytics Function – 23.3.0, 23.4.0
Oracle Communications Service Catalog and Design – 7.4.2.8.0
เพื่อความปลอดภัยผู้ใช้งานควรเร่งอัปเดต Critical Patch Update เดือนมกราคม 2024
Oracle ระบุว่าได้รับรายงานการพยายามโจมตีจากช่องโหว่ที่ได้รับการแก้ไขแล้วเป็นระยะ ๆ นอกจากนี้ ยังมีการแจ้งเตือนว่ามีรายงานเหตุการณ์ที่ผู้ไม่หวังดีโจมตีได้สำเร็จ เนื่องจากลูกค้าไม่ได้ทำการอัปเดตแพตซ์
สำหรับข้อมูลรายละเอียดเกี่ยวกับแต่ละช่องโหว่, ผลิตภัณฑ์ที่ได้รับผลกระทบ, และเอกสารการเตรียมความพร้อมในการอัปเดตแพตซ์ สามารถตรวจสอบได้ที่
Oracle January 2024 Critical Patch Update
ที่มา : socradar
You must be logged in to post a comment.