កាលពីពេលថ្មីៗនេះ ក្រុមហ៊ុន Oracle បានធ្វើការជួសជុលកំហុសឆ្គងនៅលើចំនុចខ្សោយចំនួន ២៥០ចំនុច ចំពោះផលិតផលរាប់រយរបស់ខ្លួន ដែលនេះគឺជាផ្នែកនៃយន្តការ Critical Patch Update ។
ផលិតផលដែលមានចំនុចខ្សោយច្រើនជាងគេនោះគឺ Oracle Fusion Middleware ដែលមានចំនួន ៣៨ចំនុច, Oracle Hospitality Applications មាន ៣៧ចំនុច និង Oracle MySQL មាន ២៥ចំនុច។
ក្រុមហ៊ុន Onapsis បាននិយាយថា ខ្លួនបានរកឃើញនូវចំនុចខ្សោយដែលមានហានិភ័យខ្ពស់ចំនួន ៣ ក្នុងលក្ខណៈ SQL injections នៅក្នុង Oracle E-Business Suite (EBS) ដែលក្នុងនោះមានចំនុចខ្សោយមួយ (CVE-2017-10332) គឺងាយស្រួលវាយលុកបំផុត។
Onapsis បានធ្វើការព្រមានអ្នកប្រើប្រាស់ Oracle EBS (versions 12.1 and 12.2) ថាអាចប្រឈមមុខទៅនឹង SQL injection vulnerabilities ដែលអាចអនុញ្ញាតឲ្យអ្នកវាយប្រហារធ្វើការអាក់សេសចូលទៅកែទិន្នន័យសំខាន់ៗ និងព័ត៌មានដូចជា Credit Card Data, Customer Information, HR documents ឬ Finance records ជាដើម។ ចំនុចខ្សោយនេះគឺមានហានិភ័យខ្ពស់ណាស់ ដោយសារតែអ្នកវាយប្រហារត្រូវការតែ Web browser និងការអាក់សេសទៅកាន់ EBS System បានរយៈ HTTP ដើម្បីដំណើរការវាយប្រហារ។
កាលពីខែមុននេះគឺក្រុមហុន Oracle បានចេញនូវសេចក្តីណែនាំជាការរំលឹកទៅដល់អ្នកប្រើប្រាស់ថា នៅក្នុងខែមេសាកន្លងទៅនេះ ក្រុមហ៊ុនរបស់ខ្លួនបានធ្វើការជួសជុលកំហុសឆ្គងដែលមាននៅក្នុង Struts (CVE-2017-5638) ដែលជាមូលហេតុស្ថិតនៅពីក្រោយការវាយប្រហារទៅលើ Equifax ដែលធ្វើឲ្យមានការលួចយកទិន្នន័យជនជាតិអាមេរិកចំនួន ១៤៣លាននាក់។
នៅក្នុងនោះផងដែរការជួសជុលមួយចំនួនធំបានផ្តោតទៅលើ Java Plateform ដែលក្នុងនោះ Standard Edition មាន ២២ចំនុច (ដែលក្នុងនេះមាន ២០ចំនុច អាចធ្វើការវាយលុកពីចំងាយបានដោយមិនចាំបាច់ត្រូវការ authentication) ដែលផលប៉ៈពាល់គឺមានទៅលើ Java Advanced Management Console, Java SE, Java SE Embedded and JRockit ។
Oracle Database Server មាន ៦ចំនុច (ដែល ២ចំនុចអាចធ្វើការវាយលុកដោយមិនចាំបាច់មាន authentication) ដែលផលប៉ៈពាល់អាចមាននៅលើ Affected Oracle Database Server components include Spatial (Apache Groovy), WLM (Apache Tomcat), Java VM, RDBMS Security, Core RDBMS and XML Database ៕
ព័ត៌មានបន្ថែមសូមចូលទៅកាន់
http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html
ប្រភពៈ ThreatPost
