اصلاحیههای امنیتی در آخرین هفته دی ماه
به گزارش شرکت مهندسی شبکه گستر، در آخرین هفته از دی ماه 1397، شرکت اوراکل و بنیاد دروپل اقدام به عرضه اصلاحیه و توصیهنامه امنیتی برای برخی از محصولات خود کردند.
شرکت اوراکل طبق برنامه زمانبندی شده سهماهه خود، سهشنبه، 25 دی ماه، با انتشار بهروزرسانیهای امنیتی، در مجموع، 284 آسیبپذیری را که درجه اهمیت 33 مورد آنها “حیاتی” (Critical) گزارش شده در محصولات زیر ترمیم و اصلاح کرد:
- Enterprise Manager Base Platform
- Enterprise Manager for Virtualization
- Enterprise Manager Ops Center
- Hyperion BI+
- Java Advanced Management Console
- JD Edwards EnterpriseOne Tools
- JD Edwards World Security
- MySQL Connectors
- MySQL Enterprise Monitor
- MySQL Server
- MySQL Workbench
- Oracle Agile Engineering Data Management
- Oracle Agile PLM
- Oracle Agile Product Lifecycle Management for Process
- Oracle API Gateway
- Oracle Application Testing Suite
- Oracle Argus Safety
- Oracle Banking Platform
- Oracle Business Process Management Suite
- Oracle Communications Billing and Revenue Management
- Oracle Communications Converged Application Server
- Oracle Communications Converged Application Server – Service Controller
- Oracle Communications Diameter Signaling Router (DSR)
- Oracle Communications Online Mediation Controller
- Oracle Communications Performance Intelligence Center (PIC) Software
- Oracle Communications Policy Management
- Oracle Communications Service Broker
- Oracle Communications Services Gatekeeper
- Oracle Communications Session Border Controller
- Oracle Communications Unified Inventory Management
- Oracle Communications Unified Session Manager
- Oracle Communications WebRTC Session Controller
- Oracle Database Server
- Oracle E-Business Suite
- Oracle Endeca Server
- Oracle Enterprise Communications Broker
- Oracle Enterprise Repository
- Oracle Enterprise Session Border Controller
- Oracle Financial Services Analytical Applications Infrastructure
- Oracle FLEXCUBE Direct Banking
- Oracle FLEXCUBE Investor Servicing
- Oracle Fusion Middleware MapViewer
- Oracle GoldenGate Application Adapters
- Oracle Health Sciences Information Manager
- Oracle Healthcare Foundation
- Oracle Healthcare Master Person Index
- Oracle Hospitality Cruise Fleet Management
- Oracle Hospitality Cruise Shipboard Property Management System
- Oracle Hospitality Reporting and Analytics
- Oracle Hospitality Simphony
- Oracle HTTP Server
- Oracle Insurance Calculation Engine
- Oracle Insurance Insbridge Rating and Underwriting
- Oracle Insurance Policy Administration J2EE
- Oracle Insurance Rules Palette
- Oracle Java SE
- Oracle Java SE Embedded
- Oracle Managed File Transfer
- Oracle Outside In Technology
- Oracle Reports Developer
- Oracle Retail Back Office
- Oracle Retail Central Office
- Oracle Retail Convenience and Fuel POS Software
- Oracle Retail Customer Insights
- Oracle Retail Integration Bus
- Oracle Retail Merchandising System
- Oracle Retail Returns Management
- Oracle Retail Sales Audit
- Oracle Retail Service Backbone
- Oracle Retail Workforce Management Software
- Oracle Retail Xstore Payment
- Oracle Secure Global Desktop (SGD)
- Oracle Service Architecture Leveraging Tuxedo
- Oracle SOA Suite
- Oracle Solaris
- Oracle Transportation Management
- Oracle Utilities Framework
- Oracle Utilities Network Management System
- Oracle VM VirtualBox
- Oracle Web Cache
- Oracle WebCenter Portal
- Oracle WebCenter Sites
- Oracle WebLogic Server
- OSS Support Tools
- PeopleSoft Enterprise CC Common Application Objects
- PeopleSoft Enterprise CS Campus Community
- PeopleSoft Enterprise HCM eProfile Manager Desktop
- PeopleSoft Enterprise PeopleTools
- PeopleSoft Enterprise SCM eProcurement
- Primavera P6 Enterprise Project Portfolio Management
- Primavera Unifier
- Siebel Applications
- Sun ZFS Storage Appliance Kit (AK)
- Tape Library ACSLS
سوءاستفاده از برخی از این ضعفها مهاجم را قادر به اجرای کد مورد نظر خود بر روی دستگاه آسیبپذیر میکند. جزییات بیشتر در لینک زیر قابل مطالعه است:
چهارشنبه، 26 دی ماه نیز بنیاد دروپل، چندین ضعف امنیتی را در نسخههای 7،و 8.5 و 8.6 نرمافزار مدیریت محتوای Drupal ترمیم و اصلاح کرد. بهرهجویی از برخی از ضعفهای مذکور، مهاجم را قادر به در اختیار گرفتن کنترل سیستم آسیبپذیر میکند. توضیحات کامل در لینکهای زیر قابل دسترس است:
همچنین در این هفته مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای کشور (ماهر) در دو مقاله به بررسی آسیبپذیریهای CVE-2018-8611 و CVE-2018-8626 در سیستم عامل Windows و اصلاحیه اخیر مرورگر Chrome پرداخت که مشروح آنها در لینکهای زیر قابل دسترس است: