พบ Oracle E-Business Suite ยังไม่อัปเดตแพตช์จำนวนมาก มีความเสี่ยงต่อช่องโหว่ที่ใช้โกงเงินได้

Oracle E-Business Suite ของลูกค้านับพันรายมีช่องโหว่ด้านความปลอดภัยที่สามารถถูกใช้ประโยชน์สำหรับการโกงทางด้านการเงิน Onapsis บริษัทด้านความปลอดภัยได้ประมาณการว่ากว่าครึ่งของบริษัทที่ใช้ซอฟต์แวร์ Oracle EBS ยังไม่ได้รับการแพตช์ CVE-2019-2648 และ CVE-2019-2633 ถึงแม้จะมีแพตช์ออกมาตั้งแต่เดือนเมษายนที่ผ่านมาแล้วก็ตาม
สองช่องโหว่ได้ถูกอธิบายว่าเป็น reflected SQL injections ผู้โจมตีที่เข้าถึง EBS server อาจส่งคำสั่งไปยังเครื่องที่มีความเสี่ยง
ข้อบกพร่องนี้เป็นอันตรายต่อ EBS โดยเฉพาะเครื่องที่ใช้โมดูลการเงิน โมดูลการเงินนี้สามารถตั้งเวลาฝากเงินโดยตรงและการโอนเงินอัตโนมัติให้กับคู่ค้า รวมทั้งจัดการใบแจ้งหนี้และใบสั่งซื้อต่างๆ ซึ่งหากผู้โจมตีทำการ SQL injection ก็จะสามารถแก้ไขรายการโอนเงินเหล่านั้นในการนำเงินสดไปยังบัญชีที่พวกเขาต้องการ
การแนะนำสำหรับปัญหานี้คือการอัปเดตแพตช์ให้เป็นรุ่นล่าสุด

ที่มา : theregister

Oracle ออก Patch แก้ไขช่องโหว่ 250 รายการ โดย Product ที่มีการแพทซ์มากที่สุด คือ Oracle Fusion Middleware 38 รายการ, Oracle Hospitality Applications 37 รายการ และ Oracle MySQL 25 รายการ

นักวิจัยด้านความปลอดภัยจาก Onapsis เปิดเผยช่องโหว่ที่มีความเสี่ยงสูงที่พบใน Oracle คือ ช่องโหว่ SQL injections ใน E-Business Suite (EBS) เวอร์ชัน 12.1 และ 12.2 ซึ่งอาจทำให้ผู้บุกรุกสามารถเข้าถึงข้อมูลและแก้ไขเอกสารที่สำคัญได้ เช่น ข้อมูลบัตรเครดิต, ข้อมูลลูกค้า, เอกสารด้านทรัพยากรบุคคลหรือบันทึกทางการเงิน โดยไม่ต้องใช้ Username และ Password

สำหรับไตรมาสนี้ Java Platform, Standard Edition ได้รับการแก้ไขปัญหาด้านความปลอดภัยใหม่ 22 รายการ ที่กระทบต่อ Java Advanced Management Console, Java SE, Java SE Embedded และ JRockit

ผู้ใช้ Oracle สามารถตรวจสอบช่องโหว่ของผลิตภัณฑ์ และ Patch ได้ที่ http://www.