• Thứ Hai, 24/10/2005 08:48 (GMT+7)

    Oracle vá 88 lỗi bảo mật

    Trong 88 lỗ hổng được vá có 6 lỗ hổng nằm trong một số ứng dụng của PeopleSoft và J.D. Edwards. Các bản vá lỗi cho phần mềm máy chủ cơ sở dữ liệu Oracle sẽ có tác dụng phù hợp với những phiên bản từ 8i trở lên

    Hôm 17/10/2005 Oracle Corp. đã đưa ra một loạt bản vá lỗi sửa 88 “lỗ hổng” bảo mật nghiêm trọng cho phần mềm của họ (gồm các phần mềm máy chủ cơ sở dữ liệu (CSDL), phần mềm máy chủ ứng dụng, và một số ứng dụng của PeopleSoft và J.D. Edwards). Oracle khuyến nghị người dùng nên áp dụng các bản vá lỗi này càng sớm càng tốt.

    Những bản vá lỗi này là một phần trong chương trình cập nhật lỗi bảo mật hàng quý của Oracle, áp dụng cho các phiên bản phần mềm CSDL Oracle từ 8i trở lên. Những khách hàng tham gia các chương trình Extended Maintenance Support hoặc Extended Support của Oracle có thể tải những bản vá lỗi này về.

    Trong 88 “lỗ hổng” được vá có 33 lỗi trong phần mềm máy chủ CSDL (đa số chúng rất dễ bị khai thác và ảnh hưởng rộng tới độ bí mật, tính toàn vẹn hoặc tính sẵn sàng của những thông tin lưu trong CSDL); 14 “vết nứt” trong phần mềm máy chủ ứng dụng (4/14 lỗi đã được các bản vá lỗi trong phần mềm máy chủ CSDL vá, 10/14 vết nứt còn lại cần những miếng vá riêng; 13 vết nứt nữa là trong bộ phần mềm Collaboration; 22 trong bộ phần mềm E-Business; 1 trong phần mềm Enterprise Manager.

    Oracle cũng có 6 "miếng vá" dành cho phần mềm của PeopleSoft hoặc J.D. Edwards EnterpriseOne. Chú ý là phải tắt chức năng PSOL Manager cho đến khi chạy xong miếng vá.

    CAN-2005-0873 là một lỗ hổng bảo mật đã được công bố. Theo danh sách Common Vulnerabilities and Exposures, CAN-2005-0873 cho phép những kẻ tấn công ở xa “tiêm” những kịch bản (scripts) web bất kì hoặc HTML vào Oracle Reports Server 10g (9.0.4.3.3) qua nhiều vụ tấn công theo kịch bản chéo trang (cross-site scripting attacks). Oracle cung cấp chi tiết về những lỗ hổng đã được vá này ở nhiều bản vá lỗi khác.

    Thông tin chi tiết về việc cập nhật các bản vá lỗi nghiêm trọng mới nhất của Oracle có tại địa chỉ http://www.oracle.com/technology/deploy/security/pdf/cpuoct2005.html.


    Bạch Đình Vinh (IDG News Service, 19/10/2005)

    ID: O0510_1