Поиск
Показаны результаты для тегов 'oracle'.
Найдено: 5 результатов
-
Oracle намерена прекратить поддержку сериализации/десериализации данных в языке Java. Сериализация представляет собой процесс преобразования объекта в поток байтов для передачи по сети или сохранения в базе данных. Сохраненный объект затем снова преобразовывается в первоначальный вид (процесс десериализации). Сам по себе процесс не представляет никакой угрозы, а опасность возникает, когда приложение работает с вводимыми пользователями непроверенными данными. Из-за удобства сериализацию поддерживают многие популярные языки программирования, однако именно в Java она представляет собой наибольшую головную боль из-за бесчисленного числа уязвимостей. Как отметил главный архитектор платформы Java Марк Рейнхолд, реализация в Java поддержки сериализации в 1997 году была «ужасной ошибкой». По словам Рейнхолда, в настоящее время команда Java работает над тем, чтобы убрать функцию из языка. Тем не менее, разработчики по-прежнему могут при необходимости выполнять операции по сериализации с помощью системы плагинов, доступной через новый фреймворк. Как пояснил Рейнхолд, никакой определенной даты отказа от сериализации или версии Java, где она больше не будет поддерживаться, не назначено. А пока что компании или руководители проектов, не желающие, чтобы разработчики или вредоносные модули вызывали функцию сериализации/десериализации, могут использовать специальный фильтр, добавленный в Java в 2016 году для блокировки обоих процессов.
-
В течение почти двух недель киберпреступники сканируют интернет в поисках серверов Oracle WebLogic. Сканирование началось после 17 апреля, когда компания Oracle выпустила свои квартальные плановые обновления безопасности. Апрельские обновления в частности содержат патч для уязвимости (CVE-2018-2628) в ключевом компоненте WebLogic – WLS. Уязвимость получила оценку в 9,8 балла из 10, поскольку позволяет неавторизованному злоумышленнику выполнить код на удаленном сервере WebLogic. Проблема была обнаружена экспертом NSFOCUS Security Team Ляо Синьси и независимым исследователем безопасности loopx9. Спустя день после выхода исправления Синьси рассказал в китайской соцсети, как работает уязвимость, и на основании его публикации пользователь GitHub под псевдонимом Brianwrf опубликовал для нее PoC-эксплоит. Публикация рабочего PoC-эксплоита незамедлительно привела к всплеску числа сканирований порта 7001, используемого уязвимым сервисом WebLogic «T3». Тем не менее, по словам экспертов компании GreyNoise, первыми обнаруживших рост интереса к порту 7001, пока что дальше сканирований дело не идет, и случаи эксплуатации уязвимости в реальных атаках пока не подтверждены. Как отметил инженер Alibaba Cloud, выпущенный Oracle патч для CVE-2018-2628 является неполным, и злоумышленники по-прежнему могут его обойти и проэксплуатировать уязвимость. Как пояснил исследователь безопасности Кевин Бьюмонт, производитель не исправил главную проблему, вызывающую уязвимость, а лишь добавил в черный список команды, используемые для ее эксплуатации.
-
Корпорация Oracle анонсировала приобретение австралийского разработчика ПО для управления проектами Aconex почти за $1,2 млрд. В пересчёте на одну акцию Aconex стоимость сделки составляет 7,8 австралийских долларов ($6 по текущему курсу), что на 47 % превосходит значение, которое было на момент закрытия биржи в Сиднее в прошлую пятницу, 15 декабря. В понедельник торги ценными бумагами компании остановились на отметке 7,63 австралийских долларов. Aconex развивает онлайн-платформу для совместной работы в рамках строительных и инженерных проектов. Это решение позволяет подрядчикам, руководителям и строителям делиться документами и работать вместе над проектами. В Oracle заявили, что компания, поглотив Aconex, сможет предложить конкурентоспособное облачное решение для управления проектами, которое ориентировано на рынок объёмом $14 трлн. Аналитик Baillieu Holst Люк Макнаб (Luke Macnab) говорит, что Oracle и Aconex прекрасно дополняют друг друга благодаря сильным позициям австралийской компании в нишевом сегменте и глобальному охвату американского IT-гиганта. Экспансия Aconex в Европе оказалась хуже ожиданий, а присоединение к Oracle даст компании столь необходимые ей каналы продаж и доступ к мощным ресурсам в области исследований и разработок, считает эксперт. Закрыть сделку по продаже Aconex компании Oracle планируется в первой половине 2018 года.
-
Компания Oracle представила плановый выпуск обновлений своих продуктов, устраняющих в общей сложности 308 уязвимостей, причем 165 проблем в 90 решениях могут эксплуатироваться удаленно. В выпуске Java SE устранены 32 уязвимости, 28 из них могут эксплуатироваться удаленно без проведения аутентификации. 10 уязвимостям присвоен критический уровень опасности (CVSS 9.0 и выше). В Solaris устранено 8 уязвимостей (максимальный уровень опасности 9.8), в том числе проблема CVE-2017-3632, позволяющая удаленному злоумышленнику выполнить произвольный код с правами суперпользователя. Проэксплуатировав остальные уязвимости, атакующий может осуществить DDoS-атаку или модифицировать данные. В комплексе Oracle E-Business Suite исправлено более 120 уязвимостей, 118 из них могут эксплуатироваться удаленно. Также устранено 30 уязвимостей в Oracle MySQL, 9 из них могут быть проэксплуатированы удаленно без аутентификации. Кроме того, компания исправила 37 проблем в решении Oracle Financial Services Applications (для 14 из них возможна дистанционная эксплуатация), и 4 уязвимости в Oracle FLEXCUBE (максимальная степень опасности 8.1), но только одна из проблем может эксплуатироваться удаленно. Oracle - американская корпорация, специализирующаяся на производстве систем управления базами данных, программного обеспечения для организаций, а также бизнес-приложений. Наиболее известным продуктом компании является объектно-реляционная система управления базами данных Oracle Database.
-
Компания Oracle выпустила январские обновления для своих продуктов. Патчи исправляют 270 уязвимостей, более ста из которых можно проэксплуатировать удаленно без авторизации. Это значит, что, в зависимости от продукта, злоумышленник может либо удаленно осуществить атаку на него с помощью специального ПО, либо проэксплуатировать уязвимость, используя вредоносный web-сайт.В результате атакующий сможет без ведома жертвы выполнить на ее системе произвольные команды.Больше всего проблем с безопасностью Oracle исправила в двух продуктах – E-Business Suite Executive (121 уязвимость) и Financial Services Applications (37 уязвимостей). В Java было исправлено 17 проблем с безопасностью, и 16 из них можно было проэксплуатировать удаленно.Помимо прочих продуктов, исправлен ряд уязвимостей в Oracle Database Server, Oracle Enterprise Manager Grid Control, Oracle E-Business Suite, Oracle Industry Applications, Oracle Fusion Middleware, Oracle Sun Products, Oracle Java SE, and Oracle MySQL.Как сообщает Oracle, компания часто получает уведомления об эксплуатации уже исправленных уязвимостей, поскольку администраторы своевременно не устанавливают обновления. В связи с этим, рекомендуется применить патчи как можно скорее.
-
- уязвимостей
- своих
- (и ещё 4 )