Thông báo cập nhật bản vá lỗi bảo mật cho Cơ Sở Dữ Liệu Oracle – Tháng Một – 2022

Bản bản vá lỗi bảo mật nghiêm trọng cập nhật Tháng Một – 2022 của Oracle được phát hành vào ngày 19/01/2022, bao gồm tất cả các bản và được khuyến cáo áp dụng cho các khách hàng đang sử dụng sản phẩm Oracle. Bài viết này điểm qua các thông tin nổi bật của bản cập nhật mới ảnh hưởng đến hệ thống CSDL Oracle

Trong lần cập nhật này, Oracle cung cấp 4 bản vá bảo mật cùng với các bản vá bổ sung từ bên thứ ba cho các phiên bản CSDL Oracle. Không có lỗ hổng nào trong số các lỗ hổng này có thể bị khai thác từ xa mà không cần xác thực, tức là không có lỗ hổng nào có thể bị khai thác qua mạng mà không yêu cầu thông tin đăng nhập của người dùng. Không có bản vá nào trong số này áp dụng cho các bản cài đặt chỉ dành cho máy khách (client).

Một số lỗ hổng bảo mật nột bật được vá trong bản cập nhật lần này:

  • Khắc phục lỗ hổng bảo mật trong thành phần Oracle Application Express (CKEditor) của máy chủ CSDL Oracle, liên quan đến các phiên bản từ 21.1.4 trở về trước. Lỗ hổng này có thể bị khai thác dễ dàng cho phép kẻ tấn công thông qua các Tài khoản Người dùng Hợp lệ với quyền truy cập mạng qua HTTP để xâm phạm Oracle Application Express (CKEditor). Tấn công qua lỗ hổng này cần có sự tiếp tay phối hợp từ trong hệ thống, và dù tấn công vào lỗ hổng bảo mật của Oracle Application Express (CKEditor), các thành phần khác cũng có thể bị ảnh hưởng. Khi bị tấn công, hệ thống có thể bị cập nhật trái phép, chèn hoặc xóa quyền truy cập vào một số dữ liệu của Oracle Application Express (CKEditor) cũng như đọc trái phép những dữ liệu mà Oracle Application Express (CKEditor) có thể truy cập.
  • Khắc phục lỗ hổng trong Java VM của Máy chủ CSDL Oracle. Các phiên bản bị ảnh hưởng là 12.1.0.2, 12.2.0.1, 19c và 21c. Lỗ hổng có thể khai thác dễ dàng cho phép kẻ tấn công chỉ cần quyền cấp thấp có thể thực hiện tạo Thủ tục với quyền truy cập mạng qua Oracle Net để xâm phạm Java VM. Tấn công vào lỗ hổng này có thể dẫn đến khả năng gây ra từ chối dịch vụ một phần (DOS một phần) với Java VM.

Tham khảo thêm thông tin

  • Về chính sách sử lỗi bảo mật của Oracle:

https://www.oracle.com/corporate/security-practices/assurance/vulnerability/security-fixing.html

  • Thông tin về bản cập nhật Tháng Một – 2022 cho toàn bộ các sản phẩm của Oracle

https://www.oracle.com/security-alerts/cpujan2021.html

 Danh sách chi tiết các lỗ hổng bảo mật được vá:

CVE#ProductComponentProtocolRemote Exploit without Auth.? CVSS VERSION 3.1 RISKSupported Versions AffectedNote
Base ScoreAttack VectorAttack ComplexPrivs Req’dUser InteractScopeConfid- entialityInte- grityAvail- ability
CVE-2020-11984Oracle ZFS Storage Appliance KitOperating System ImageMultipleYes  9.8NetworkLowNoneNoneUn-changedHighHighHigh8.8
CVE-2020-11022StorageTek Tape Analytics SW ToolSoftware (jQuery)HTTPYes6.1NetworkLowNoneRequiredChangedLowLowNone2.3.1
CVE-2021-1999Oracle ZFS Storage Appliance KitRAS subsystemsNoneNo5LocalHighHighRequiredChangedNoneHighNone8.8
CVE-2020-9488StorageTek Tape Analytics SW ToolSoftware (Apache Log4j)HTTPYes3.7NetworkHighNoneNoneUn-changedLowNoneNone2.3.1
%d bloggers like this: