ओरेकल ने जुलाई के लिए एक विशाल क्रिटिकल पैच अपडेट (सीपीयू) जारी किया है, जिसमें 334 सुरक्षा भेद्यताएं हैं जो अपने एंटरप्राइज़ पोर्टफोलियो के विशाल स्वामित्व को कवर करती हैं।
इस महीने कवर की गई 334 भेद्यताओं में से 61 को 9 और 10 के बीच सीवीएसएस रेटिंग के साथ महत्वपूर्ण रेटिंग मिली है। ओरेकल ने अपनी सलाहकार मंगलवार को कहा कि
अपडेट को लागू करना प्रशासकों के लिए कार्य सूची के शीर्ष पर होना चाहिए।
यह अपडेट विक्रेता के लिए सीपीयू फिक्स के लिए ऑल-टाइम उच्च है, जो जुलाई 2017 में 308 के पिछले रिकॉर्ड को पीछे छोड़ देता है|बड़ी संख्या में फिक्स असामान्य नहीं हैं:
अप्रैल में अपने पिछले सीपीयू में 251 दोषों को फिक्स किया था, और इससे पहले, जनवरी में, 233 को संबोधित किया था|
ओरेकल के व्यावसायिक-महत्वपूर्ण अनुप्रयोगों का व्यापक रूप से प्रतिनिधित्व किया जाता है, सीपीयू में अधिकांश पैच व्यापक रूप से तैनात पीपुल्स एंटरप्राइज़ संसाधन योजना प्लेटफ़ॉर्म , ई-बिजनेस सूट, माईएसक्यूएल डेटाबेस, सिबेल सीआरएम, फ्यूजन मिडलवेयर जेडी एडवर्ड्स आदि उत्पादों के लिए जारी किए जाते हैं| इन प्रणालियों में वित्तीय जानकारी, एचआर डेटा, छात्र ग्रेड और ऋण या हेल्थकेयर पीएचआई जैसे लंबवत विशिष्ट जानकारी, व्यापार प्रक्रियाओं और बौद्धिक संपदा पर सामरिक परिचालन डेटा समेत किसी भी कंपनी के लिए सबसे संवेदनशील जानकारी हो सकती है।
जावा पैच भी जारी किए गए थे - लेकिन उनमें से केवल आठ, जो पिछले साल के जुलाई सीपीयू से 75 प्रतिशत की गिरावट आई है।
ओरेकल के वित्तीय सेवाओं के अनुप्रयोगों में सबसे अधिक पैच (56), फ़्यूज़न मिडलवेयर (44) और उसके बाद रिटेल अनुप्रयोग और एम वाई एस क्यू एल (31 क्रमशः) प्राप्त हुए।
उल्लेखनीय भेद्यता के मामले में, फ़्यूज़न में सबसे गंभीर में से एक दूरस्थ उपयोगकर्ता को ओरेकल बिजनेस प्रोसेस मैनेजमेंट सूट प्रोसेस विश्लेषण और डिस्कवरी घटक (सीवीई-2018 -3100 ) में किसी दोष के माध्यम से डेटा तक पहुंचने और संशोधित करने की अनुमति देता है|फ्यूज़न में अन्य इशूस के कारण डिनायल-ऑफ़-सर्विस की स्थिति भी हो सकती है |
इस बीच पीपुल्स सॉफ्ट को 15 फिक्स मिले, जिसमें दो उच्च 9.8 सीवीएसएस स्कोर मिले । यह विशेष रूप से इंटरेस्ट की बात है कि आवेदन सुइट मानव उद्यम कार्यों जैसे एचआर,
वित्त, आपूर्ति श्रृंखला प्रबंधन सेवाओं के स्वचालन और अधिक का समर्थन करता है।
चूंकि यह व्यावसायिक प्रक्रियाओं की एक विस्तृत श्रृंखला का प्रबंधन करता है और प्रमुख डेटा स्टोर करता है, तो सॉफ्ट के खिलाफ एक सफल अटैक एक अटैकर को संगठन में स्थापित मॉड्यूल के आधार पर विभिन्न व्यावसायिक महत्वपूर्ण जानकारी को चोरी या कुशलतापूर्वक उपयोग करने की अनुमति देता है, ईआरपीएसकेन ने अपने विश्लेषण में उल्लेख किया।
ओरेकल ई-बिजनेस सूट में कई त्रुटियां भी हैं जो रिमोट यूजर को लक्ष्य प्रणाली पर डेटा तक पहुंचने और संशोधित करने की इजाजत देगी:जिसमे टोटल 14 पैच है और जिसमे सबसे ज़्यादा सीवीएसएस स्कोर 8.2 है |
जावा के लिए ,सीपीयू में ओरेकल जावा एसई के लिए आठ नए सुरक्षा फिक्स शामिल किये हैं|
वॉरटेक के कार्यकारी उपाध्यक्ष और वैश्विक सीएमओ जेम्स ली ने एक पोस्टिंग में कहा, ' जावा एसई पैच की निचली प्रवृत्ति सकारात्मक होगी।'
अन्य गंभीर त्रुटियों में ओरेकल मिडलवेयर (सीवीएसएस 9.8 ) में एक विशेषाधिकार वृद्धि और जेडी एडवर्ड्स टीईटीस्कप्रॉपर्टीज माफलेट (सीवीएसएस 9.1) में एक क्रॉस-स्क्रिप्टिंग भेद्यता शामिल है जिसका उपयोग प्रशासकों के सत्र डेटा को हाइजैक करने के लिए किया जा सकता है। ये ईआरपीएसकेन द्वारा ओरेकल को रिपोर्ट की गई १७ महत्वपूर्ण भेद्यताओं में से एक थी |
कंपनी ने एक ईमेल में कहा, 'दुर्भाग्यवश, ओरेकल ने ईआरपीएसकेन के योगदान को खारिज करने का फैसला किया और क्रेडिट नहीं दिया क्योंकि ईआरपीएसकेन को ट्रेजरी प्रतिबंध सूची में रखा गया था।', 'जैसा कि हम इसे देखते हैं, ट्रेजरी प्रतिबंध केवल वित्तीय लेनदेन को रोकते हैं और गैर-वित्तीय संबंधों को प्रतिबंधित नहीं करते हैं। इसका मतलब है कि यदि शोध दल केवल विक्रेता को भेद्यता पर जानकारी भेजते हैं, तो कोई भी इस कंपनी को क्रेडिट देने से नहीं रोक सकता है। फिर भी, प्रतिबंध हमेशा चिंताओं को उठाते हैं,
और स्थिति किसी के लिए बहुत ही आशाजनक नहीं होती है।
कुल मिलाकर, ओरेकल ने 43 स्वतंत्र शोधकर्ताओं के साथ-साथ ऐप्पल, जीई, गूगल,पल्स सिक्योरिटी,ट्रेंड माइक्रो,सेक्यूनिया और अन्य के विश्लेषकों का श्रेय दिया है |
