İçeriğe geçmek için "Enter"a basın

Oracle Ürünlerinde Kritik Güvenlik Açıklıkları

Oracle Ürünlerinde ve Libssh Kütüphanesinde Kritik Öneme Sahip Güvenlik Açıklıkları bulundu

Dünya çapında 430,000 müşteriye sahip yazılım şirketi Oracle, geçtiğimiz günlerde geniş kapsamlı bir güncelleme yayınladı. Bu güncelleştirme kritik olarak değerlendirilebilecek önemli güvenlik düzeltmeleri içeriyor.

Oracle’ın güvenlik güncelleştirmelerinin teşvik edilmesine yönelik yayınladığı yazıdan MySQL, PeopleSoft, VM VirtualBox ve Java SE gibi ürünlerde hedef sistemde uzaktan kod yürütülmesine izin verebilen güvenlik sorunları olduğu bilgisi elde edildi.

En kritik düzeylerde etkilenen yazılımlar şunlar olarak görülüyor;

Oracle GoldenGate  12.1.2.1.0, 12.2.0.2.0 ve 12.3.0.1.0 sürümleri
Java VM 11.2.0.4, 12.1.0.2, 12.2.0.1 ve18c sürümleri
Oracle Big Data Discovery 1.6.0 sürümü
JD Edwards EnterpriseOne Orchestrator 9.2 sürümü
MySQL Enterprise Monitor 3.4.9.4237 ve önceki; 4.0.6.5281 ve önceki, 8.0.2.8191 ve önceki sürümleri

Etkilenen ürünlerin tam listesine ve kullanılabilir güncelleştirmelere dair bilgilere ulaşmak için bakınız:  https://www.oracle.com/technetwork/security-advisory/cpuoct2018-4428296.html

Saldırı vektörlerinin engellenmesi için kullanıcıların ve bilgi teknolojileri yöneticilerinin en kısa sürede güncelleştirmeleri yapması öneriliyor.

Eşit derecede başka bir önemli gelişmede Libssh 0.6 üzeri sürümlerde doğrulamanın doğru bir şekilde yapılmadığının keşfedilmesi oldu.  Bu, parola olmadan SSH bağlantısı yapılmasına izin veriyor. Güvenlik açıklığından etkilenen sistemden gelen “SSH2_MSG_USERAUTH_REQUEST” mesajına “SSH2_MSG_USERAUTH_SUCCESS” mesajıyla cevap verilmesi üzerine kimlik denetiminin kolayca aşılması mümkün oluyor.

Libssh güvenlik açıklığı  0.8.4 ve 0.7.6 sürümlerinde düzeltildi. Güvenlik açıklığının giderilmesi için cihazınızda yüklü olan sürümün bu sürümlere yükseltilmesi gereklidir. Yamaya ait detayları şu adreste bulabilirsiniz: https://www.libssh.org/security/
Libssh 0.8.4 ve 0.7.6 sürümlerini ise aşağıdaki adresten indirebilirsiniz: https://www.libssh.org/files/

Shodan’da yapılan aramalara göre bu güvenlik açıklığından etkilenen birçok internete açık cihaz olduğu tahmin ediliyor.

Paylaş

İlk yorum yapan siz olun

    Bir cevap yazın

    E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir