Bản bản vá lỗi bảo mật nghiêm trọng cập nhật Tháng Một – 2022 của Oracle được phát hành vào ngày 19/01/2022, bao gồm tất cả các bản và được khuyến cáo áp dụng cho các khách hàng đang sử dụng sản phẩm Oracle. Bài viết này điểm qua các thông tin nổi bật của bản cập nhật mới ảnh hưởng đến hệ thống CSDL Oracle
Trong lần cập nhật này, Oracle cung cấp 4 bản vá bảo mật cùng với các bản vá bổ sung từ bên thứ ba cho các phiên bản CSDL Oracle. Không có lỗ hổng nào trong số các lỗ hổng này có thể bị khai thác từ xa mà không cần xác thực, tức là không có lỗ hổng nào có thể bị khai thác qua mạng mà không yêu cầu thông tin đăng nhập của người dùng. Không có bản vá nào trong số này áp dụng cho các bản cài đặt chỉ dành cho máy khách (client).
Một số lỗ hổng bảo mật nột bật được vá trong bản cập nhật lần này:
- Khắc phục lỗ hổng bảo mật trong thành phần Oracle Application Express (CKEditor) của máy chủ CSDL Oracle, liên quan đến các phiên bản từ 21.1.4 trở về trước. Lỗ hổng này có thể bị khai thác dễ dàng cho phép kẻ tấn công thông qua các Tài khoản Người dùng Hợp lệ với quyền truy cập mạng qua HTTP để xâm phạm Oracle Application Express (CKEditor). Tấn công qua lỗ hổng này cần có sự tiếp tay phối hợp từ trong hệ thống, và dù tấn công vào lỗ hổng bảo mật của Oracle Application Express (CKEditor), các thành phần khác cũng có thể bị ảnh hưởng. Khi bị tấn công, hệ thống có thể bị cập nhật trái phép, chèn hoặc xóa quyền truy cập vào một số dữ liệu của Oracle Application Express (CKEditor) cũng như đọc trái phép những dữ liệu mà Oracle Application Express (CKEditor) có thể truy cập.
- Khắc phục lỗ hổng trong Java VM của Máy chủ CSDL Oracle. Các phiên bản bị ảnh hưởng là 12.1.0.2, 12.2.0.1, 19c và 21c. Lỗ hổng có thể khai thác dễ dàng cho phép kẻ tấn công chỉ cần quyền cấp thấp có thể thực hiện tạo Thủ tục với quyền truy cập mạng qua Oracle Net để xâm phạm Java VM. Tấn công vào lỗ hổng này có thể dẫn đến khả năng gây ra từ chối dịch vụ một phần (DOS một phần) với Java VM.
Tham khảo thêm thông tin
- Về chính sách sử lỗi bảo mật của Oracle:
https://www.oracle.com/corporate/security-practices/assurance/vulnerability/security-fixing.html
- Thông tin về bản cập nhật Tháng Một – 2022 cho toàn bộ các sản phẩm của Oracle
https://www.oracle.com/security-alerts/cpujan2021.html
Danh sách chi tiết các lỗ hổng bảo mật được vá:
| CVE# | Product | Component | Protocol | Remote Exploit without Auth.? | CVSS VERSION 3.1 RISK | Supported Versions Affected | Note | |||||||
| Base Score | Attack Vector | Attack Complex | Privs Req’d | User Interact | Scope | Confid- entiality | Inte- grity | Avail- ability | ||||||
| CVE-2020-11984 | Oracle ZFS Storage Appliance Kit | Operating System Image | Multiple | Yes | 9.8 | Network | Low | None | None | Un-changed | High | High | High | 8.8 |
| CVE-2020-11022 | StorageTek Tape Analytics SW Tool | Software (jQuery) | HTTP | Yes | 6.1 | Network | Low | None | Required | Changed | Low | Low | None | 2.3.1 |
| CVE-2021-1999 | Oracle ZFS Storage Appliance Kit | RAS subsystems | None | No | 5 | Local | High | High | Required | Changed | None | High | None | 8.8 |
| CVE-2020-9488 | StorageTek Tape Analytics SW Tool | Software (Apache Log4j) | HTTP | Yes | 3.7 | Network | High | None | None | Un-changed | Low | None | None | 2.3.1 |