Oracle vừa đưa ra bản vá lỗi nguy cấp của tháng 10/2007. Bản vá lỗi này sẽ "vá" hơn 40 lỗ hổng trong các sản phẩm và thành phần khác nhau của Oracle.

Bản vá lỗi nguy cấp này cung cấp thông tin về các thành phần mắc lỗi, các quá trình truy cập và xác thực cần thiết của khách hàng để cập nhật thông tin, cũng như khả năng dữ liệu bảo mật bị xâm nhập và thay đổi. Các khách hàng MetaLink có thể xem bản thông báo MetaLink Note 394487.1 (có yêu cầu đăng nhập) để có thêm thông tin về các điều khoản được bản vá lỗi tháng 10 của Oracle sử dụng.

Theo Oracle cho biết, các "miếng vá" trong bản nâng cấp bảo mật tháng 10 này không hề ảnh hưởng gì tới các hoạt động cài đặt Oracle Database Client.

Ảnh hưởng của các lỗi bảo mật nói trên tuỳ thuộc vào sản phẩm, thành phần và hiện trạng thiết lập cấu hình của hệ quản trị CSDL Oracle. Các hậu quả chính được đề cập là khả năng thực thi mã phá hoại từ xa, truy xuất thông tin nhạy cảm và tấn công từ chối dịch vụ. Các lỗi này có thể bị một hacker từ xa khai thác thông tin nhạy cảm mà không cần quá trình xác thực người dùng.

Các khách hàng sử dụng Oracle được khuyến nghị kiểm tra danh sách sản phẩm, thành phần mắc lỗi và cài đặt bản sửa lỗi nguy cấp tháng 10 của hãng. Các miếng vá cho sản phẩm Oracle Database, Oracle Application Server, Oracle Enterprise Manager Grid Control, Oracle Collaboration Suite, JD Edwards EnterpriseOne and OneWorld Tools, và PeopleSoft Enterprise Portal Applications trong bản nâng cấp bảo mật tháng 10 này cũng sẽ khắc phục các lỗi bảo mật từng được cảnh báo trước đây.

Các bản vá Oracle E-Business Suite and Applications không khắc phục được những lỗi trước đây, nên các khách hàng E-Business Suite and Applications cần tìm các bản vá lỗi trước của Oracle để có thêm thông tin.

Các khách hàng Oracle có thể tham khảo thêm thông tin và cập nhật bản vá lỗi của hãng theo hai đường dẫn sau. http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2007.html
http://www.oracle.com/technology/deploy/security/alerts.htm>

Theo Vietnamnet/USCERT