|
CERT Advisory CA-2007-27 (Technical Cyber Security
Alert TA07-200A)
Oracle Releases Patches for Multiple Vulnerabilities
ต้นฉบับ: http://www.us-cert.gov/cas/techalerts/TA07-200A.html
เรียบเรียงโดย: ภัทราวดี
เหมทานนท์
ระบบที่ได้รับผลกระทบ
- Oracle Database
- Oracle Application Server
- Oracle Collaboration Suite
- Oracle E-Business Suite and Applications
- Oracle PeopleSoft Enterprise and JD EnterpriseOne
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับเวอร์ชันของผลิตภัณฑ์ที่ได้รับผลกระทบ
สามารถอ้างอิงได้จาก Oracle
Critical Patch Update ประจำเดือนกรกฎาคม 2550
กล่าวโดยทั่วไป
Oracle ประกาศโปรแกรมปรับปรุงช่องโหว่ที่เกี่ยวข้องกับช่องโหว่หรือจุดอ่อนของผลิตภัณฑ์
Oracle ต่างๆ ผลกระทบของช่องโหว่เหล่านี้ประกอบด้วย การทำให้ผู้บุกรุกสามารถสั่งรันโปรแกรมได้จากระยะไกล,
ข้อมูลบนระบบถูกเปิดเผย และการทำให้ระบบไม่สามารถให้บริการได้
I. คำอธิบาย
Oracle ประกาศ Critical
Patch Update ประจำเดือนกรกฎาคม 2550 โดย Critical Patch Update
(CPU) นี้ประกอบด้วยการปรับปรุงทางด้านความปลอดภัยสำหรับผลิตภัณฑ์ต่อไปนี้
- ฐานข้อมูล Oracle จำนวน 17 รายการ
- Oracle Internet Directory จำนวน 1 รายการ
- Oracle Application Express จำนวน 1 รายการ
- Oracle Application Server จำนวน 4 รายการ
- Oracle Collaboration Suite จำนวน 1 รายการ
- Oracle E-Business Suite จำนวน 14 รายการ
- Oracle PeopleSoft Enterprise PeopleTools จำนวน
3 รายการ
- PeopleSoft Enterprise Customer Relationship Management
จำนวน 2 รายการ
- PeopleSoft Enterprise Human Capital Management
จำนวน 2 รายการ
ผลิตภัณฑ์ของ Oracle หลายผลิตภัณฑ์อาจใช้ไลบรารีหรือโค้ดร่วมกับผลิตภัณฑ์และคอมโพเน็นต์ของ
Oracle ที่มีช่องโหว่ ด้วยเหตุนี้ช่องโหว่หนึ่งช่องโหว่จึงมีผลกระทบกับผลิตภัณฑ์และคอมโพเน็นต์ของ
Oracle หลายผลิตภัณฑ์ สามารถศึกษารายละเอียดเพิ่มเติมได้ของผลกระทบจากช่องโหว่ของผลิตภัณฑ์
และคอมโพเน็นต์ของ Oracle ได้จาก Critical Patch Update ประจำเดือนกรกฎาคม
2550
รายการช่องโหว่ที่เผยแพร่นั้นกล่าวอยู่ใน Critical
Patch Update ประจำเดือนกรกฎาคม 2550 โดยอ้างถึง Map
of Public Vulnerability to Advisory/Alert โดยที่ Critical Patch
Update ประจำเดือนกรกฎาคม 2550 ไม่ระบุไว้เป็นหมายเลข Vuln# (เช่น
DB01) สำหรับข้อมูลอื่นที่เกี่ยวข้องกับช่องโหว่และวิธีการแก้ไขจะเพิ่มเติมรายละเอียดไว้ที่
vulnerability
notes ต่อไป
II. ผลกระทบ
ผลกระทบของช่องโหว่เหล่านี้ขึ้นกับผลิตภัณฑ์ คอมโพเน็นต์
และคอนฟิกูเรชันของระบบที่ใช้งานอยู่ ผลกระทบต่อเนื่องที่เป็นไปได้
ได้แก่ การสั่งรันโปรแกรมหรือคำสั่งจากระยะไกล การเปิดเผยข้อมูล รวมทั้งการทำให้ระบบไม่สามารถให้บริการได้
คอมโพเน็นต์ที่มีช่องโหว่อาจมีความเสี่ยงต่อการถูกบุกรุกโดยผู้บุกรุกจากระยะไกลซึ่งผู้บุกรุกที่ครอบครองฐานข้อมูลของ
Oracle อาจได้สิทธิการเข้าถึงข้อมูลที่สำคัญ หรือสามารถเข้าควบคุมเครื่องของระบบได้อย่างสมบูรณ์
III. วิธีแก้ไข
ติดตั้งโปรแกรมปรับปรุงช่องโหว่
ติดตั้งโปรแกรมปรับปรุงช่องโหว่ตามข้อมูลในเอกสาร
Critical
Patch Update ฉบับประจำเดือนกรกฎาคม 2550 สำหรับ Critical Patch
Update นี้จะแสดงรายละเอียดที่ใช้ในการแก้ไขช่องโหว่ใหม่เท่านั้น
โปรแกรมปรับปรุงช่องโหว่บางโปรแกรมมีการรวมโปรแกรมอุดช่องโหว่ก่อนหน้า
(Cumulative) แต่บางโปรแกรมยังไม่รวม
โปรแกรมปรับปรุงช่องโหว่สำหรับ Oracle E-Business
Suite และ Applications patches ไม่เป็นแบบรวมทุกโปรแกรมอุดช่องโหว่ก่อนหน้า
ดังนั้นการติดตั้งโปรแกรมอุดช่องโหว่สำหรับ Oracle E-Business Suite
and Applications จะต้องติดตั้งโปรแกรมอุดช่องโหว่ก่อนหน้านี้เพื่อทำการติดตั้งให้ครบ
ช่องโหว่ที่กล่าวถึงใน Critical Patch Update ของเดือนกรกฎาคม
2550 อาจมีผลกระทบกับ Oracle
Database 10g Express Edition (XE) ด้วย เนื่องจาก Oracle Database
XE พัฒนามาจาก Oracle Database 10g Release 2
การปรับปรุงช่องโหว่ของ Oracle เขียนอยู่ใน pre-installation
notes และไฟล์ patch readme ดังนั้นควรศึกษาเอกสารเหล่านี้และทดสอบก่อนทำการเปลี่ยนแปลงระบบ
IV. เอกสารอ้างอิง
|
