១.ព័ត៌មានទូទៅ
ក្រុមហ៊ុន Oracle បានចេញផ្សាយការអាប់ដេតសុវត្ថិភាពចំនួន ៤០២ ដើម្បីដោះស្រាយនូវចំនុចខ្សោយដែលមានឡើងនៅលើផលិតផលរបស់ខ្លួន ក្នុងនេះចំនុចខ្សោយចំនួន ២៧២ ត្រូវបានវាយតម្លៃថាជាកម្រិតធ្ងន់ធ្ងរ / ដែលមានពិន្ទុ CVSS ១០ និងខ្ពស់ជាងនេះ។ ចំនុចខ្សោយនេះភាគច្រើនគឺអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារធ្វើការវាយលុកពីចម្ងាយ (remotely exploitable) ដោយមិនបាច់ផ្ទៀងផ្ទាត់សិទ្ធចូលប្រើប្រាស់ប្រព័ន្ធ (without authentication) និងមានគណនីរបស់អ្នកប្រើប្រាស់ (user credentials) នោះឡើយ។
២.ផលិតផលដែលរងគ្រោះ
ខាងក្រោមនេះគឺជាផលិតផលដែលរងគ្រោះ
- Java SE JDK/JRE 15
- Java SE JDK/JRE 11.0.8
- Java SE JDK/JRE 8u261
- Java SE JDK/JRE 7u271
- Java SE Embedded 8u261
- Oracle Database Server 19c
- Oracle Database Server 18c
- Oracle Database Server 12.2.0.1
- Oracle Database Server 12.1.0.2
- Oracle Database Server 11.2.0.4
- Oracle WebLogic Server 14.1.1.0.0
- Oracle WebLogic Server 12.2.1.4.0
- Oracle WebLogic Server 12.2.1.3.0
- Oracle WebLogic Server 12.1.3.0.0
- Oracle WebLogic Server 10.3.6.0.0
សម្រាប់តារាងបញ្ជីព័ត៌មានលម្អិតទាក់ទងនិងចំនុចខ្សោយទាំងនេះ សូមចូលទៅកាន់វេបសាយ Oracle ដោយផ្ទាល់
- https://www.oracle.com/security-alerts/cpuoct2020.html
៣.ផលវិបាក
អ្នកវាយប្រហារអាចធ្វើការវាយលុកចូលទៅកាន់ចំនុចខ្សោយទាំងនោះដើម្បីគ្រប់គ្រងទៅលើប្រព័ន្ធ ដោយធ្វើការផ្ញើនូវកូដមេរោគ (malicious payload) ហើយអាចបង្កទៅជាការវាយប្រហារ Denial of Service ឬ ដំណើរការកូដផ្សេងៗនៅលើប្រព័ន្ធរងគ្រោះ។
៤.អនុសាសន៍
អភិបាលគ្រប់គ្រងប្រព័ន្ធត្រូវធ្វើការអាប់ដេតជាបន្ទាន់។
៥.ឯកសារពាក់ព័ន្ធ
- https://www.oracle.com/security-alerts/cpuoct2020.html
- https://us-cert.cisa.gov/ncas/current-activity/2020/10/20/oracle-releases-october-2020-security-bulletin-0
- https://www.jpcert.or.jp/english/at/2020/at200040.html
- https://threatpost.com/oracle-october-patch-update/160407/
***Disclaimer: CamCERT own some of the content. Our purpose is pure to help spread the awareness, tips or other information related to security to everyone. Even though every information is true, accurate, completed and appropriate, we make no responsibility nor warranty since everything could go wrong.