Bản vá bảo mật hàng tháng đầu tiên của Oracle khắc phục 77 lỗ hổng nghiêm trọng
Oracle đã phát hành đợt Cập nhật Bản vá Bảo mật Quan trọng hàng tháng (CSPU) đầu tiên, giải quyết 77 lỗ hổng bảo mật, bao gồm hơn một chục lỗi mức độ nghiêm trọng. Quy trình cập nhật mới này được thiết kế để bổ sung cho các bản vá quý và xử lý nhanh hơn các vấn đề bảo mật ưu tiên cao. Các chuyên gia khuyến cáo doanh nghiệp nên áp dụng các bản vá ngay lập tức để ngăn chặn các cuộc tấn công mạng.
Bản vá bảo mật hàng tháng đầu tiên của Oracle khắc phục 77 lỗ hổng nghiêm trọng
Oracle đã phát hành đợt Cập nhật Bản vá Bảo mật Quan trọng hàng tháng (CSPU) đầu tiên, giải quyết 77 lỗ hổng bảo mật, bao gồm hơn một chục lỗi mức độ nghiêm trọng. Quy trình cập nhật mới này được thiết kế để bổ sung cho các bản vá quý và xử lý nhanh hơn các vấn đề bảo mật ưu tiên cao. Các chuyên gia khuyến cáo doanh nghiệp nên áp dụng các bản vá ngay lập tức để ngăn chặn các cuộc tấn công mạng.
Oracle chuyển sang chiến lược vá lỗi hàng tháng
Oracle đã chính thức ra mắt đợt Cập nhật Bản vá Bảo mật Quan trọng hàng tháng (CSPU) đầu tiên, mang đến các bản sửa lỗi cho 77 lỗ hổng bảo mật. Trong số đó có khoảng một chục lỗi được đánh giá ở mức độ nghiêm trọng (critical).
Oracle Security Patch
Được công bố vào đầu tháng 5, các đợt phát hành hàng tháng này nhằm mục đích bổ sung cho các bản Cập nhật Bản vá Quan trọng (CPU) theo quý truyền thống. Mục tiêu là giúp giải quyết nhanh hơn các vấn đề bảo mật có mức độ ưu tiên cao mà người dùng đang phải đối mặt.
Đợt CSPU đầu tiên được phát hành vào cuối tháng 5 và sẽ được tiếp nối bởi một đợt khác vào giữa tháng 6. Tháng 7 sẽ chứng kiến sự ra mắt của bản CPU theo quý, với hai đợt CSPU bổ sung được lên kế hoạch vào ngày 18 tháng 8 và 15 tháng 9.
Chi tiết các bản vá và sản phẩm bị ảnh hưởng
Đợt cập nhật tháng 5 năm 2026 này khắc phục các khiếm khuyết bảo mật ở năm sản phẩm của Oracle:
- Database Server (Máy chủ cơ sở dữ liệu)
- REST Data Services
- Communications (Truyền thông)
- E-Business Suite
- Hospitality Applications (Ứng dụng khách sạn)
Các lỗ hổng có thể khai thác từ xa
Một trong những điểm đáng chú ý nhất của đợt cập nhật này là số lượng lớn các lỗ hổng có thể bị khai thác từ xa mà không cần xác thực. Điều này tạo ra rủi ro cao cho các hệ thống chưa được cập nhật, cho phép kẻ tấn công xâm nhập từ xa.
- E-Business Suite: Nhận được 12 bản vá bảo mật mới, bao gồm 3 bản cho các lỗ hổng có thể bị khai thác từ xa mà không cần xác thực.
- REST Data Services: Có 11 bản vá mới, trong đó 7 bản dành cho các lỗi có thể bị kẻ tấn công từ xa chưa được xác thực khai thác. Các bản sửa lỗi này cũng giải quyết 4 lỗi trong các thành phần bên thứ ba.
- Communications: Nhận 8 bản vá mới, 4 trong số đó giải quyết các lỗi có thể bị khai thác từ xa mà không cần xác thực. Ngoài ra, bản cập nhật này sửa thêm 38 CVE trong các thành phần bên thứ ba.
- Database Server: Được sửa 3 khiếm khuyết, tất cả đều có thể bị khai thác từ xa mà không cần xác thực.
- Hospitality Applications: Nhận 1 bản vá cho vấn đề có thể bị kẻ tấn công từ xa chưa được xác thực khai thác.
Khuyến cáo từ Oracle
Oracle khuyến cáo các tổ chức nên áp dụng các bản cập nhật có sẵn càng sớm càng tốt. Lịch sử bảo mật đã chứng minh rằng các tác nhân đe dọa thường nhắm vào các lỗ hổng trong sản phẩm của Oracle mà đã có bản vá phát hành.
"Trong một số trường hợp, đã có báo cáo cho thấy kẻ tấn công đã thành công vì khách hàng mục tiêu đã không áp dụng các bản vá Oracle có sẵn. Do đó, Oracle khuyên mạnh mẽ khách hàng nên duy trì các phiên bản được hỗ trợ tích cực và áp dụng các bản vá bảo mật mà không trì hoãn," công ty lưu ý.
Việc chuyển sang mô hình vá lỗi hàng tháng cùng với việc duy trì các bản vá quý là một bước tiến quan trọng trong chiến lược bảo mật của Oracle, giúp giảm thiểu thời gian các hệ thống tiếp xúc với rủi ro bị khai thác.
