Araştırmacılar ‘mega’ sıfır gününün keşfini anlatıyor
Oracle, Oracle Fusion Middleware ve diğer çeşitli Oracle sistemlerini etkileyen bir uzaktan kod yürütme (RCE) güvenlik açığını yamaladı.
Güvenlik araştırmacıları ‘Peterjson’ ve ‘Jang’, Oracle’a RCE’ye ulaşmak için zincirlenebilecek bir çift ciddi kusur bildirdiler.Mucize Sömürü‘.
Araştırmacılar, Oracle Access Manager’da keşfettikleri ciddi bir güvenlik açığını özel olarak Oracle’a anlattıklarını söylediler. CVE-2021–35587. CVSS 9.8 hatası, kimliği doğrulanmamış saldırganların HTTP üzerinden uygulama devralma için ağ erişimine izin veren “kolayca yararlanılabilir” bir kusur olarak tanımlanıyor.
tesadüfi keşif
Jang kusur dedi ikili “bir PoC inşa ederken” tesadüfen keşfedildi. [proof of concept exploit code] başka bir mega 0 gün için”.
Zero Day Initiative (ZDI) ile birlikte çalışırken, bu araştırma, CVE-2022–21445. Önem derecesi 9.8 olan bu ‘mega’ hata, Oracle Fusion Middleware’in bir bileşeni olan Oracle Application Development Framework (ADF) Faces mimarisinde bulundu.
Güvenlik açığıyla ilgili en son güvenlik haberlerini ve analizlerini yakalayın
bu seri durumdan çıkarma güvenilir veri sorunu ile zincirlenebilir CVE-2022–21497 (CVSS 8.1), ön kimlik doğrulaması RCE elde etmek için Oracle Web Services Manager’da bir devralma hatası.
CVE-2022–21445, Fusion Middleware, çeşitli Oracle sistemleri ve hatta Oracle’ın bulut altyapısına dayalı çeşitli ürün ve hizmetleri etkiler. HTTP aracılığıyla ağ erişimine sahip kimliği doğrulanmamış saldırganlar güvenlik açığı zincirini kötüye kullanabilir.
Peterjson, “Unutulmaması gereken bir şey daha, ADF Faces çerçevesi tarafından geliştirilen herhangi bir web sitesi etkilenir” dedi.
Açıklama ve yamalar
Oracle hizmetlerini ve etki alanlarını test ettikten sonra, güvenlik açığı raporu 25 Ekim 2021’de satıcıya sunuldu. Aynı ay içinde Oracle, raporun alındığını doğruladı ve araştırdığını söyledi. Ancak, bir yamanın yayınlanması altı ayın en iyi bölümünü aldı.
Her iki sorun da Oracle’ın Nisan ayı yamaları. Oracle, Microsoft ve Adobe’nin yanı sıra yazılımındaki hataları gidermek için aylık bir yama güncellemesi yayınlayan birçok teknoloji satıcısından biridir.
Güvenlik açığı bulunan Oracle yazılımını kullanan şirketlerden yamayı hemen uygulamaları isteniyor.
Ön auth RCE’den potansiyel olarak etkilenen diğer satıcılar, ilgili hata ödül programları aracılığıyla bilgilendirildi. Peterjson The Stack’e anlattı Oracle’ın düzeltmesini uygulamamışlarsa şirketlere bilgi verildiğini ve maruz kalan örneklerin sayısının “çok büyük” olduğuna inandığını söyledi.
“Neden [did] Oracle’ın bazı sitelerini hackledik mi? Oracle üzerindeki etkisini göstermek ve bu güvenlik açığının çok tehlikeli olduğunu bilmelerini sağlamak istediğimiz için Oracle sistemini etkiler.[s] ve Oracle’ın müşterileri,” diye yorum yaptı Peterjson.
“Bu yüzden Oracle’ın bir an önce harekete geçmesini istiyoruz. Ancak gördüğünüz gibi, Oracle’ın yama yapması için 6 ay var, nedenini bilmiyorum ama bunu kabul edip Oracle’ın politikasını takip etmeliyiz.”
Günlük Swig Oracle’a ulaştı ve geri döndüğümüzde bu hikayeyi güncelleyeceğiz.
BUNU DA BEĞENEBİLİRSİN Splunk, kullanıcılar eski güncellemeleri zorlarken kritik güvenlik açığını giderir