|
CERT Advisory CA-2007-32 (Technical Cyber Security
Alert TA07-290A)
Oracle Updates for Multiple Vulnerabilities
ต้นฉบับ: http://www.us-cert.gov/cas/techalerts/TA07-290A.html
เรียบเรียงโดย: ภัทราวดี
เหมทานนท์ และฌานิน
เหลืองอิงคะสุต
ระบบที่ได้รับผลกระทบ
- Oracle Database 10g
- Oracle 9i Database
- Oracle Enterprise Manager 10g Database Control
- Oracle Application Server 10g
- Oracle Collaboration Suite 10g
- Oracle PeopleSoft Enterprise
- Oracle E-Business Suite
- Oracle PeopleSoft Enterprise Human Capital Management
สำหรับข้อมูลเพิ่มเติมที่เกี่ยวข้องกับเวอร์ชันของผลิตภัณฑ์ที่ได้รับผลกระทบ
ท่านสามารถติดตามได้จาก Oracle Critical
Patch Update ประจำเดือนตุลาคม 2550
กล่าวโดยทั่วไป
ผลิตภัณฑ์และคอมโพเน้นต์ของ Oracle ได้รับผลกระทบจากช่องโหว่หลายช่องโหว่
ผลกระทบของช่องโหว่เหล่านี้ประกอบด้วย การทำให้ผู้บุกรุกสามารถสั่งรันโปรแกรมได้จากระยะไกล,
ข้อมูลบนระบบถูกเปิดเผย และการทำให้ระบบไม่สามารถให้บริการได้
I. คำอธิบาย
Oracle ประกาศ Critical
Patch Update ประจำเดือนตุลาคม 2550 ซึ่งกล่าวถึงช่องโหว่มากกว่า
40 ช่องโหว่ที่แตกต่างกันของผลิตภัณฑ์และคอมโพเน้นต์ของ Oracle
ประกาศดังกล่าวมีข้อมูลแจ้งถึงผลกระทบต่อคอมโพเน้นท์
การเข้าถึง และการพิสูจน์ตัวตน ซึ่งช่องโหว่ดังกล่าวยังมีผลกระทบต่อความลับของข้อมูล
ความถูกต้องของข้อมูล และการให้บริการของระบบฐานข้อมูล ผู้ใช้งาน MetaLink
สามารถอ่านข้อมูลเพิ่มเติมเกี่ยวกับการใช้โปรแกรมปรับปรุงช่องโหว่ได้ที่
MetaLink Note 394487.1
(ต้องการการล็อกอินเพื่อเข้าดู)
ตามประกาศของ Oracle ยังไม่มีช่องโหว่ใดที่ส่งผลกระทบต่อระบบฐานข้อมูล
Oracle ที่ติดตั้งเฉพาะการทำงานแบบ Client (Client-only installations)
โดยส่วนมาก Oracle ไม่ได้ถูกระบุด้วยหมายเลข Vuln
(Vuln# เช่น DB01) ซึ่งเชื่อมโยงกับข้อมูลอื่นที่มีอยู่ หากมีรายละเอียดสำคัญเพิ่มเติมและวิธีการแก้ไขช่องโหว่
จะมีการรายงานที่ Vulnerability
Notes Database
II. ผลกระทบ
ผลกระทบของช่องโหว่เหล่านี้ขึ้นกับผลิตภัณฑ์ คอมโพเน้นท์
และคอนฟิกูเรชันของระบบที่ใช้งานอยู่ ผลกระทบที่อาจเป็นไปได้ ได้แก่
การสั่งรันโปรแกรมหรือคำสั่งจากระยะไกล การเปิดเผยข้อมูล รวมทั้งการทำให้ระบบไม่สามารถให้บริการได้
คอมโพเน้นท์ที่มีช่องโหว่อาจมีความเสี่ยงต่อการถูกบุกรุกโดยผู้บุกรุกจากระยะไกลซึ่งผู้บุกรุกที่ครอบครองฐานข้อมูลของ
Oracle อาจได้สิทธิการเข้าถึงข้อมูลที่สำคัญของระบบได้
III. วิธีแก้ไข
ติดตั้งโปรแกรมซ่อมแซมช่องโหว่
ติดตั้งโปรแกรมซ่อมแซมช่องโหว่ตามข้อมูลในเอกสาร Critical
Patch Update ฉบับประจำเดือนตุลาคม 2550 สำหรับ Critical Patch
Update นี้ จะแสดงรายละเอียดที่ใช้ในการแก้ไขช่องโหว่ใหม่เท่านั้นโดยจะไม่รวมถึงโปรแกรมซ่อมแซมช่องโหว่เวอร์ชันก่อนหน้า
ดังที่กล่าว โปรแกรมซ่อมแซมช่องโหว่บางโปรแกรมเป็นลักษณะรวมทุก
ๆ โปรแกรมซ่อมแซมช่องโหว่ก่อนหน้า (cumulative) แต่บางโปรแกรมยังไม่รวม:
โปรแกรมซ่อมแซมช่องโหว่ที่เป็นแบบ cumulative
ได้แก่ Oracle Database, Oracle Application Server, Oracle Enterprise
Manager Grid Control, Oracle Collaboration Suite, JD Edwards EnterpriseOne,
JD Edwards OneWorld Tools, PeopleSoft Enterprise Portal Applications
และ PeopleSoft Enterprise Portal Applications patches in the Updates
ซึ่งโปรแกรมซ่อมแซมช่องโหว่จะเป็นลักษณะรวมทุกๆ โปรแกรมซ่อมแซมช่องโหว่ก่อนหน้าไว้แล้ว
โปรแกรมซ่อมแซมช่องโหว่สำหรับ Oracle E-Business
Suite และ Applications patches ไม่เป็นแบบ cumulative ดังนั้นการติดตั้งโปรแกรมซ่อมแซมช่องโหว่สำหรับ
Oracle E-Business Suite and Applications จะต้องอ้างถึงการติดตั้งโปรแกรมซ่อมแซมช่องโหว่ก่อนหน้านี้เพื่อทำการติดตั้งให้ครบ
โปรแกรมซ่อมแซมช่องโหว่สำหรับบางแพลตฟอร์มและบางคอมโพเน้นต์จะไม่มีเมื่อโปรแกรมซ่อมแซมช่องโหว่สำหรับบางแพลตฟอร์มและคอมโพเน้นท์ไม่มีใน
Critical Patch Update ที่เผยแพร่เมื่อวันที่ 17 ตุลาคม 2550 ผู้ที่เป็นสมาชิกของ
MetaLink สามารถอ่านข้อมูลเพิ่มเติมจาก 360465.1
(ต้องการการล็อกอินเพื่อเข้าดู)
การปรับปรุงช่องโหว่ของ Oracle เขียนอยู่ใน pre-installation
notes และไฟล์ patch readme ดังนั้นควรศึกษาเอกสารเหล่านี้และทดสอบก่อนทำการเปลี่ยนแปลงระบบ
IV. ข้อมูลผู้จำหน่าย
Oracle
สามารถศึกษาได้จาก Oracle Critical Patch Update ประจำเดือนตุลาคม
2550 และ Critical
Patch Updates and Security Alerts
V. เอกสารอ้างอิง
|
