اصلاحیه‌های امنیتی در آخرین هفته دی ماه

به گزارش شرکت مهندسی شبکه گستر، در آخرین هفته از دی ماه 1397، شرکت اوراکل و بنیاد دروپل اقدام به عرضه اصلاحیه و توصیه‌نامه امنیتی برای برخی از محصولات خود کردند.

شرکت اوراکل طبق برنامه زمانبندی شده سه‌ماهه خود، سه‌شنبه، 25 دی ماه، با انتشار به‌روزرسانی‌های امنیتی، در مجموع، 284 آسیب‌پذیری را که درجه اهمیت 33 مورد آنها “حیاتی” (Critical) گزارش شده در محصولات زیر ترمیم و اصلاح کرد:

• Enterprise Manager Base Platform 
• Enterprise Manager for Virtualization 
• Enterprise Manager Ops Center 
• Hyperion BI+ 
• Java Advanced Management Console 
• JD Edwards EnterpriseOne Tools 
• JD Edwards World Security 
• MySQL Connectors 
• MySQL Enterprise Monitor 
• MySQL Server 
• MySQL Workbench 
• Oracle Agile Engineering Data Management 
• Oracle Agile PLM 
• Oracle Agile Product Lifecycle Management for Process 
• Oracle API Gateway 
• Oracle Application Testing Suite 
• Oracle Argus Safety 
• Oracle Banking Platform 
• Oracle Business Process Management Suite 
• Oracle Communications Billing and Revenue Management 
• Oracle Communications Converged Application Server 
• Oracle Communications Converged Application Server – Service Controller 
• Oracle Communications Diameter Signaling Router (DSR) 
• Oracle Communications Online Mediation Controller 
• Oracle Communications Performance Intelligence Center (PIC) Software 
• Oracle Communications Policy Management 
• Oracle Communications Service Broker 
• Oracle Communications Services Gatekeeper 
• Oracle Communications Session Border Controller 
• Oracle Communications Unified Inventory Management 
• Oracle Communications Unified Session Manager 
• Oracle Communications WebRTC Session Controller 
• Oracle Database Server 
• Oracle E-Business Suite 
• Oracle Endeca Server 
• Oracle Enterprise Communications Broker 
• Oracle Enterprise Repository 
• Oracle Enterprise Session Border Controller 
• Oracle Financial Services Analytical Applications Infrastructure 
• Oracle FLEXCUBE Direct Banking 
• Oracle FLEXCUBE Investor Servicing 
• Oracle Fusion Middleware MapViewer 
• Oracle GoldenGate Application Adapters 
• Oracle Health Sciences Information Manager 
• Oracle Healthcare Foundation 
• Oracle Healthcare Master Person Index 
• Oracle Hospitality Cruise Fleet Management 
• Oracle Hospitality Cruise Shipboard Property Management System 
• Oracle Hospitality Reporting and Analytics 
• Oracle Hospitality Simphony 
• Oracle HTTP Server 
• Oracle Insurance Calculation Engine 
• Oracle Insurance Insbridge Rating and Underwriting 
• Oracle Insurance Policy Administration J2EE 
• Oracle Insurance Rules Palette 
• Oracle Java SE 
• Oracle Java SE Embedded 
• Oracle Managed File Transfer 
• Oracle Outside In Technology 
• Oracle Reports Developer 
• Oracle Retail Back Office 
• Oracle Retail Central Office 
• Oracle Retail Convenience and Fuel POS Software 
• Oracle Retail Customer Insights 
• Oracle Retail Integration Bus 
• Oracle Retail Merchandising System 
• Oracle Retail Returns Management 
• Oracle Retail Sales Audit 
• Oracle Retail Service Backbone 
• Oracle Retail Workforce Management Software 
• Oracle Retail Xstore Payment 
• Oracle Secure Global Desktop (SGD) 
• Oracle Service Architecture Leveraging Tuxedo 
• Oracle SOA Suite 
• Oracle Solaris 
• Oracle Transportation Management 
• Oracle Utilities Framework 
• Oracle Utilities Network Management System 
• Oracle VM VirtualBox 
• Oracle Web Cache 
• Oracle WebCenter Portal 
• Oracle WebCenter Sites 
• Oracle WebLogic Server 
• OSS Support Tools 
• PeopleSoft Enterprise CC Common Application Objects 
• PeopleSoft Enterprise CS Campus Community 
• PeopleSoft Enterprise HCM eProfile Manager Desktop 
• PeopleSoft Enterprise PeopleTools 
• PeopleSoft Enterprise SCM eProcurement 
• Primavera P6 Enterprise Project Portfolio Management 
• Primavera Unifier 
• Siebel Applications 
• Sun ZFS Storage Appliance Kit (AK) 
• Tape Library ACSLS 

سوءاستفاده از برخی از این ضعف‌ها مهاجم را قادر به اجرای کد مورد نظر خود بر روی دستگاه آسیب‌پذیر می‌کند. جزییات بیشتر در لینک زیر قابل مطالعه است:

• https://www.oracle.com/technetwork/security-advisory/cpujan2019-5072801.html

چهارشنبه، 26 دی ماه نیز بنیاد دروپل، چندین ضعف امنیتی را در نسخه‌های 7،و 8.5 و 8.6 نرم‌افزار مدیریت محتوای Drupal ترمیم و اصلاح کرد. بهره‌جویی از برخی از ضعف‌های مذکور، مهاجم را قادر به در اختیار گرفتن کنترل سیستم آسیب‌پذیر می‌کند. توضیحات کامل در لینک‌های زیر قابل دسترس است:

• https://www.drupal.org/sa-core-2019-001
• https://www.drupal.org/sa-core-2019-002

همچنین در این هفته مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای کشور (ماهر) در دو مقاله به بررسی آسیب‌پذیری‌های CVE-2018-8611 و CVE-2018-8626 در سیستم عامل Windows و اصلاحیه اخیر مرورگر Chrome پرداخت که مشروح آنها در لینک‌های زیر قابل دسترس است:

• https://cert.ir/news/12624
• https://cert.ir/news/12622