32 sản phẩm Oracle chưa có bản vá cho các lỗ hổng Shellshock

Được biết đến với tên gọi Shellshock, lỗ hổng trong phần mềm Bash hiện đang ảnh hưởng đến 35 sản phẩm của Oracle, nhưng chỉ có 3 trong số chúng có bản vá lỗi, 32 sản phẩm còn lại vẫn tồn tại lỗ hổng và có thể bị tấn công.

Mức độ nghiêm trọng của lỗ hổng bảo mật, vốn có mặt trong các dòng shell mặc định có sẵn cho Linux trong hơn 20 năm, là rất cao. Đỉnh điểm của việc này là thông tin cho rằng lỗ hổng đang được tội phạm mạng khai thác rất tích cực.

Shellshock có thể được khai thác từ xa bởi kẻ tấn công, (chứng thực là không cần thiết) để chạy các mã nhị phân trên hệ thống bị ảnh hưởng bằng cách thêm các lệnh độc vào các chức năng tùy biến thông qua các ứng dụng tới Bash.

“Oracle vẫn đang điều tra vấn đề này và sẽ cung cấp các bản sửa lỗi cho những sản phẩm bị ảnh hưởng ngay sau khi chúng được kiểm tra đầy đủ và xác định để đưa ra giải pháp nhằm giảm thiểu ảnh hưởng của các lỗ hổng một cách hiệu quả” một cố vấn an ninh của công ty cho biết.

Đã có giải pháp cho các sản phẩm bị ảnh hưởng bởi Shellshock trị giá hàng ngàn đô la, chẳng hạn như hệ thống SPARC Supercluster hay Exalogic.

Các sản phẩm đã có bản sửa chữa là Exadata, Oracle Linux (phiên bản 4 đến 7) và Oracle Solaris (phiên bản 8 đến 11).

Softpedia