July 17, 2019

Language:

CamSA19-31: ក្រុមហ៊ុន Oracle បានចេញផ្សាយការ​ជូន​ដំណឹង​សន្តិសុខ CVE-2019-2729

១.ព័ត៌មានទូទៅ

ការជូនដំណឹងស្តីពីសុវត្ថិភាពដែលមានលេខសម្គាល់ CVE-2019-2729​ ដែលជាចំនុចខ្សោយសម្រាប់ការវាយលុកតាម XMLDecoder​​ ទៅលើ​ Oracle WebLogic Server Web Services។​ ចំនុចខ្សោយនេះអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារដំណើរកូដពីចម្ងាយ ដោយមិនត្រូវការការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវអ្វីឡើយ។ ជាឧទាហរណ៍ វាអាចលួចចូលទៅក្នុងប្រព័ន្ធតាមរយៈបណ្ដាញដោយមិនចាំបាច់មានឈ្មោះគណនី និងពាក្យសម្ងាត់នោះទេ។

២.ផលិតផលដែលរងគ្រោះ

CVE-2019-2729: ចំនុចខ្សោយនេះមាននៅក្នុងកម្មវិធី Oracle WebLogic Server របស់ Oracle Fusion Middleware កំណែដែលទទួលរងផលប៉ះពាល់គឺ 10.3.6.0.0, 12.1.3.0.0 និង 12.2.1.3.0 ។​ ចំនុចខ្សោយនេះអាចអនុញ្ញាតឱ្យអ្នកវាយប្រហារចូលប្រើបណ្ដាញតាមរយៈ HTTP ក្នុងការគ្រប់គ្រងលើ Oracle WebLogic Server។​ ការវាយប្រហារដោយជោគជ័យទៅលើចំនុចខ្សោយនេះ អាចបណ្តាលឱ្យមានការគ្រប់គ្រងទៅលើ Oracle WebLogic Server បាន។

៣.ផលវិបាក

អ្នកវាយប្រហារអាចធ្វើការវាយលុកចូលទៅកាន់ចំនុចខ្សោយទាំងនោះ ដើម្បីដំណើរការកូដពីចំងាយ រួចធ្វើការគ្រប់គ្រងទៅលើប្រព័ន្ធ និងបង្ករជាការរំខានដល់ប្រព័ន្ធមិនឱ្យដំណើរការបានតាមរយៈការវាយប្រហារ Denial of Service ជាដើម។

៤.អនុសាសន៍

អ្នកប្រើប្រាស់ ឬអភិបាលគ្រប់គ្រងប្រព័ន្ធត្រូវធ្វើការអាប់ដេតជាបន្ទាន់។

៥.ឯកសារពាក់ព័ន្ធ