Oracle و رفع حفره های امنیتی در سرور پایگاه داده ، MySQL ، Java

0
329
oracle

خبر بد این است که برخی محصولات Oracle و Java آسیب‌پذیری‌های فراوانی داشته ­اند و خبر خوب اینکه تاکنون هیچ‌کدام از این محصولات مورد حمله واقع نشده‌ اند.

وصله ‌های امنیتی ارائه شده توسط Oracle شامل رفع آسیب‌ پذیری‌ های بسیار جدی است امّا تاکنون در مورد سوء استفاده از این آسیب ‌پذیری ‌ها اطلاعی به دست نیامده است . با این ‌حال ، عاملان مخرب گاهی برای توسعه ی کد های مخرب خود ، از مهندسی معکوس وصله های امنیتی استفاده می کنند تا از این طریق به سازمان ‌هایی که در اعمال این وصله ‌های امنیتی‌ کوتاهی کردند ، حمله کنند .

از میان آسیب‌ پذیری ‌های دیتابیس Oracle ، هفت مورد در سرور پایگاه داده ی Oracle مشاهده ‌شده است. جدی‌ ترین آسیب‌ پذیری در مؤلفه Clusterware سرور پایگاه داده Oracle ، با توجه به رتبه بندی CVSS (Common Vulnerability Scoring System) دارای امتیازی برابر با ۱۰ بود ! که به معنای آسیب پذیری با جدیت بالا می باشد . این امر یعنی اینکه این باگ می‌تواند از راه دور و بر روی شبکه و بدون نیاز به نام کاربری و رمز عبور مورد سوء استفاده قرار گیرد و سیستم مورد نظر را به طور کامل به خطر بیاندازد . سه آسیب ‌پذیری جدی دیگر، که با همین سیستم امتیاز دهی ، امتیازی برابر با ۹٫۰دارند ، می‌ توانند برنامه ریز پایگاه داده و اجزای ماشین مجازی Java را تحت تأثیر قرار دهند . این آسیب ‌پذیری‌ ها شامل نصب پایگاه داده سمت مشتری ، یعنی جایی که سرور پایگاه داده Oracle نصب نشده است ، نمی ‌شوند.

همچنین Oracle 30 مورد نقص امنیتی را در پایگاه داده MySQL رفع کرده است که دو مورد از این ۳۰ مورد یادشده ، بدون شناسایی و از راه دور قابل سوء استفاده هستند . جدی ‌ترین نقص ، مؤلفه‌ ی MySQL Enterprise Monitor را تحت تأثیر قرار داده است و اگر این مؤلفه با حق دسترسی مدیر و یا سطح دسترسی ریشه اجرا شود ، می ‌تواند منجر به تصاحب کامل سیستم قربانی گردد . Oracle در راهنمای امنیتی خود می ‌گوید: «اگر MySQL Enterprise Monitor بدون حق دسترسی مدیر اجرا شود ، امتیاز CVSS  این نقص از ۹٫۰ به ۶٫۵ کاهش می ‌یابد زیرا هکرها تنها کنترل بخشی از سیستم موردنظر را به دست می گیرند .»

هکر ها علاقه ی زیادی برای حمله به Java دارند ، بنابراین برای سازمان ‌های مبتنی بر Java ، CPU از اهمیت بیشتری برخوردار است . آخرین وصله‌ های امنیتی ارائه شده ، ۲۵ نقطه ی آسیب‌ پذیری در Java را برطرف کرده است که ۲۴ مورد از آن ‌ها قابل اجرای از راه دور هستند . هفت آسیب ‌پذیری در Java SE و Embedded Java SE نسخه ‌های ۶ و ۸ حاوی دارای نمره ای برابر با ۱۰ بودند . این نواقص در کتابخانه های مختلف و چندین زیر بخش Java از جمله CORBA، RMI، Serialization و ۲D وجود داشتند . Oracle می‌ گوید که این ‌ها می ‌توانند تنها از طریق اپلیکیشن های Web Start و اپلت های Java مورد سوء استفاده قرار گیرند .

بیست مورد از این آسیب ‌پذیری ‌ها مبتنی بر مرورگر بودند ، که طبق توصیه ی Oracle به کاربران ، می‌ بایست تنها از Plug-in پیش‌ فرض Java استفاده کنند.

همچنین Oracle توصیه می ‌کند که سازمان ‌ها به دلیل وجود تهدید ها در اسرع وقت با مسدود کردن پروتکل های شبکه ای موردنیاز برای حمله ، خطر حملات موفقیت ‌آمیز را کاهش دهند . جدی ترین آسیب ‌پذیری پایگاه داده از پروتکل OracleNET استفاده می ‌کند امّا پذیرش این راهکار در MYSQL که مبتنی بر HTTP است  ، منطقی به نظر نمی ‌رسد. اگر برخی دسترسی‌ ها و امتیازات خاص برای برخی پکیج ‌ها لغو گردند، از شدت اهمیت برخی از باگ ‌های کاسته می ‌شود. از آنجا که این راهکار می ‌تواند عملکرد اپلیکیشن ها را از بین ببرد ، Oracle توصیه می‌کند که این تغییرات اول در سیستم‌های غیر تولیدی تست شوند.

Oracle اصلاحات امنیتی را برای محصولاتش به‌ صورت سه ‌ماهه ارائه می دهد . به‌روزرسانی ماه جولای شامل رفع آسیب ‌پذیری برای ۱۹۳ مورد بود درحالی ‌که به‌روزرسانی ژانویه ۱۶۹ مورد را پوشش می‌داد. به‌روزرسانی آوریل جزئی‌ترین حجم آسیب‌پذیری در سال ۲۰۱۵ را پوشش می‌داد که برابر با ۹۸ مورد بود.

به‌روزرسانی زمان بندی شده ی  بعدی Oracle در ۱۹ ژانویه ۲۰۱۶ ارائه خواهد شد.

بدون دیدگاه

دیدگاهتان را بنویسید

*