Oracle поставила мировой рекорд по закрытию «дыр» в ПО

Безопасность Стратегия безопасности Новости поставщиков Интеграция Инфраструктура
мобильная версия
, Текст: Роман Георгиев
Компания Oracle побила собственный прошлогодний рекорд, одновременно выкатив патчи для 299 уязвимостей в своих продуктах. 162 из них допускали удалённую эксплуатацию. Предыдущий рекорд - 276 уязвимостей, ликвидированных одномоментно.

Oracle побила собственный рекорд

Компания Oracle разом исправила 299 уязвимостей в своих продуктах. Небольшая, но существенная часть исправлений была выпущена после того, как в публичное поле попали сведения об активной эксплуатации уязвимостей.

299 заплаток - мировой рекорд по числу одномоментно закрытых «дыр», отмечает принадлежащий «Лаборатории Касперского» ресурс Threatpost.

Предыдущий рекорд, также поставленный Oracle, был отмечен в 2016 г. Тогда «самый большой набор патчей» состоял из 276 заплаток.

Какие «дыры» закрыла Oracle

В первую очередь Oracle исправила уязвимости, предназначенные для эксплойтов хакерской группы Equation Group. Их инструментарий был опубликован другой группировкой - Shadow Brokers.

«Теневые брокеры», в частности, опубликовали эксплойты к двум уязвимостям в ОС Solaris. Одна из них, фигурирующая под кодовым названием EBBISLAND, позволявшая удалённо эксплуатировать сервисы RPC, была заделана несколькими патчами, первый из которых вышел ещё в 2012 году. Она затрагивала версии Solaris 6-10.

Одномоментный выпуск Oracle патчей для 299 уязвимостей оказался мировым рекордом

Вторая уязвимость, EXTREMEPARR, была до самого недавнего времени неизвестна. Ее исправили только в минувший вторник. Уязвимость, позволяющая повышать локальные привилегии, характерна для компонента dtappgather в операционных системах Solarus 7-10 под архитектурами x86 и SPARC.

Обе уязвимости допускали повышение полномочий на скомпрометированном сервере до root-уровня.

Высокое качество

Британский эксперт по безопасности Мэттью Хики (Matthew Hickey) отметил, что эксплойты, опубликованные Shadow Brokers, характеризуются высоким качеством исполнения. «Даже притом, что баг представляет собой банальный path traversal в компоненте dtappgather, авторы эксплойта приложили немало усилий, чтобы защитить некоторые характерные особенности атаки в двоичном файле, и к тому же туда был добавлен хорошо оттестированный инструмент, безупречно работавший на всех проверенных хостах».

Высокое качество исполнения – характерная черта всех эксплойтов, принадлежавших Equation Group. Эта группировка предположительно связана с американскими спецслужбами и работает в их интересах.

Struts и другие

Среди других исправленных Oracle уязвимостей - серьёзная брешь в пакете Apache Struts 2.

Баг присутствовал в парсере Jakarta Multipart в версиях 2.3 (до 2.3.32) и в 2.5 (до 2.5.10.1). Злоумышленник мог удалённо посылать специально подобранную величину Content-Type и обеспечивать её запуск.

Информация о ней стала публичной в начале марта 2017 г., однако в действительности злоумышленники эксплуатировали её на протяжении довольно длительного срока. Преимущественно её использовали для проведения DDoS-атак, однако отмечены случаи, когда злоумышленники пытались загружать с её помощью шифровальщиков-вымогателей на уязвимые серверы под Windows.

Уязвимость в Struts 2 исправлена в 25 продуктах Oracle, в том числе 19 компонентах Oracle Financial Services Applications. Всего же Financial Services получили 47 обновлений. СУБД MySQL получила 39 исправлений, 11 из которых могут быть эксплуатируемы извне. Oracle Retail Applcations получил 39 исправлений (32 из них могли эксплуатироваться удалённо). Oracle Fusion Middleware получил 31 патч; 20 из исправленных уязвимостей могли эксплуатироваться удалённо.

«Чем обширнее код, тем больше в нём будет неизбежных ошибок, - комментирует Дмитрий Гвоздев, генеральный директор компании «Монитор безопасности». - Обилие исправлений для поставщиков корпоративного ПО - норма, и, на самом деле, такое количество патчей - скорее плюс: это признак надлежащей работы над ошибками».