Oracle ออกแพตช์ประจำไตรมาสของเดือนมกราคม 2020 แก้ไขช่องโหว่ 334 ช่องโหว่ในหลายผลิตภัณฑ์ มี 43 ช่องโหว่ที่มีความรุนแรงระดับ Critical ทั้งนี้หลายๆ ช่องโหว่สามารถถูกโจมตีระยะไกลได้โดยผู้โจมตีที่ไม่ต้องเข้าสู่ระบบ

ตัวอย่างช่องโหว่ที่สา่มารถโจมตีจากระยะไกลได้โดยผู้โจมตีที่ไม่ต้องเข้าสู่ระบบได้แก่ช่องโหว่ใน Oracle WebLogic Server CVE-2020-2546 และ CVE-2020-2551 ถ้าโจมตีช่องโหว่ทั้งสองนี้สำเร็จจะสามารถรันคำสั่งอันตรายจากระยะไกลได้ (RCE)

CVE-2020-2546 เป็นช่องโหว่ใน WLS Core Component ผู้โจมตีสามารถโจมตีผ่านโปรโตคอล T3 ได้ส่งผลกระทบ WebLogic Server รุ่น 10.3.6.0.0 และ 12.1.3.0.0

CVE-2020-2551 เป็นช่องโหว่ใน Application Container - JavaEE ผู้โจมตีโจมตีผ่านโปรโตคอล IIOP ได้ ส่งผลกระทบ 10.3.6.0.0, 12.1.3.0.0, 12.2.1.3.0 และ 12.2.1.4.0

ทั้งสองช่องโหว่นี้ยังไม่มีการเผยแพร่ POC แต่มีนักวิจัยด้านความปลอดภัยหลายๆ คนเผยแพร่ภาพและวิดีโอว่าสามารถโจมตีช่องโหว่ทั้งสองได้แล้ว

ผู้ดูแลระบบควรอัปเดตแพตช์เพื่อความปลอดภัย ในกรณีที่ไม่สามารถอัปเดตแพตช์ได้ ผู้ดูแลระบบสามารถพิจารณาปิดการใช้งานโปรโตคอล T3 และโปรโตคอล IIOP เพื่อลดความเสี่ยงจากการโจมตี

สามารถดูรายการช่องโหว่ทั้งหมดที่ได้รับการอัปเดตในครั้งนี้ได้จาก https://www.