甲骨文修复关键 RCE 漏洞
HackerNews 编译,转载请注明出处: 甲骨文发布了安全更新,以修复影响身份管理器(Identity Manager)和 Web 服务管理器(Web Services Manager)的一个严重安全漏洞,该漏洞可能被利用来实现远程代码执行。 此漏洞编号为 CVE – 2026 – 21992,在满分 10.0 的通用漏洞评分系统(CVSS)中得分 9.8。 甲骨文在一份安全公告中表示:“该漏洞无需身份验证即可远程利用。若成功利用,此漏洞可能导致远程代码执行。” 受 CVE – 2026 – 21992 影响的版本如下: 甲骨文身份管理器 12.2.1.4.0 版和 14.1.2.1.0 版 甲骨文 Web 服务管理器 12.2.1.4.0 版和 14.1.2.1.0 版 根据美国国家标准与技术研究院(NIST)国家漏洞数据库(NVD)对该漏洞的描述,它 “极易被利用”,未经身份验证的攻击者通过 HTTP 获得网络访问权限后,可借此危害甲骨文身份管理器和甲骨文 Web 服务管理器,进而成功控制易受攻击的实例。 甲骨文并未提及该漏洞在现实中已被利用的情况。然而,这家科技巨头敦促客户立即应用更新,以获得最佳保护。 2025 年 11 月,美国网络安全与基础设施安全局(CISA)将 CVE – 2025 – 61757(CVSS 评分:9.8)添加到已知被利用漏洞(KEV)目录中,该漏洞是一个影响甲骨文身份管理器的预认证远程代码执行漏洞,CISA 称有证据表明它已被主动利用。 消息来源:thehackernews.com; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
甲骨文 EBS 遭黑客攻击:仅 4 家企业巨头仍对潜在影响保持沉默
HackerNews 编译,转载请注明出处: 甲骨文电子商务套件(Oracle E – Business Suite,简称 EBS)遭黑客攻击事件中,几家被列为受害者的全球巨头,对这一网络安全事件所造成的影响仍未作声。 Cl0p 勒索软件和敲诈团伙宣称对此次针对 EBS 用户的黑客攻击负责。此次攻击利用零日漏洞,获取企业存储在甲骨文企业管理软件中的数据,进而实施敲诈勒索。 尽管 Cl0p 是此次攻击对外公开的勒索品牌,但网络安全界认为,该行动可能是由一群威胁行为者推动的,其中最引人注目的是 FIN11。 黑客在 Cl0p 泄密网站上列出了 100 多家涉嫌在甲骨文 EBS 攻击事件中受害的企业,涉及科技、电信、软件、重工业、制造、工程、零售、消费品、能源、公用事业、媒体、金融和娱乐等多个行业。 对于大多数受害者,网络犯罪分子发布了种子文件,指向据称从其系统中窃取的信息。这表明这些受害者拒绝支付赎金。 此次攻击中的大多数大型企业已发布公开声明,确认发生数据泄露事件。许多企业称事件影响有限,但仍告知受影响人员潜在风险。 然而,仍有少数几家大型公司似乎尚未就此事发布任何公开声明,既未确认也未否认遭受攻击,甚至没有表示正在进行调查。 其中包括半导体和基础设施软件公司博通、工程建筑公司柏克德、化妆品集团雅诗兰黛公司,以及医疗设备和医疗保健解决方案提供商雅培公司。 它们均在 2025 年 11 月 20 日左右被列在 Cl0p 网站上。 企业可能需要数月甚至一年的时间来调查数据泄露事件并确定其全面影响。不过,大型企业通常至少会承认正在进行调查。 博通、柏克德、雅诗兰黛和雅培对多次置评请求均未回应。 黑客泄露的数据 SecurityWeek 并未下载任何泄露的数据,但对据称从 Cl0p 网站上提及的一些大型公司获取的数据进行了简要的元数据和文件树分析,发现这些文件确实源自甲骨文 EBS 环境。 以博通为例,网络犯罪分子公开了超过 2TB 的档案,据称这些档案存储了从该公司窃取的文件。雅诗兰黛的种子文件指向 870GB 的存档文件。 在撰写本文时,指向柏克德和雅培文件的种子文件仍然可用,但无法获取数据进行分析。然而,这并不意味着网络犯罪分子无法再访问这些文件,因为它们也可能在地下论坛私下传播。 一方面,像 Cl0p 这样的网络犯罪组织经常夸大其数据泄露的范围,促使许多公司迅速发布声明,否认或淡化相关指控,以安抚客户和利益相关者,表明任何影响都是有限的。 此外,如果没有受监管的数据(如健康信息、社会安全号码或支付细节)遭到泄露,公司没有法律义务公开披露该事件。如果数据泄露未达到重大程度,根据美国证券交易委员会(SEC)的规定,也无需向投资者报告。 另一方面,一些组织可能出于战略、公关和法律原因故意保持沉默。即使承认正在进行调查,也可能引发诉讼、卖空压力或额外的监管审查。 消息来源:securityweek.com; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
甲骨文 EBS 攻击波及麦迪逊广场花园,敏感数据泄露
HackerNews 编译,转载请注明出处: 纽约地标麦迪逊广场花园(MSG)确认遭数据泄露,涉及2025年针对甲骨文电子商务套件(EBS)的大规模网络犯罪活动。 MSG是全球著名多功能室内场馆,位于纽约市,承办体育赛事、演唱会及娱乐活动,为NBA尼克斯队和NHL游骑兵队主场。 该事件于攻击发生数月后披露,MSG成为利用甲骨文EBS环境漏洞实施大规模黑客行动的众多受害组织之一。 2025年11月,Cl0p勒索软件组织利用零日漏洞入侵包括MSG在内的100多家机构。MSG拒绝支付赎金后,该勒索组织泄露超210GB公司存档文件。 MSG向缅因州总检察长办公室提交的通知信显示:”甲骨文EBS由供应商托管管理,用于部分人力和财务运营。甲骨文通知客户,应用程序中此前未披露的条件被未经授权者利用以获取数据,据称超过100家公司受影响。供应商于2025年11月下旬调查确定,未经授权者于2025年8月获取部分应用数据。经审查,涉及招聘或付款相关的业务记录文件,并于2025年12月确认包含姓名和社会保障号的文件受影响。” 2025年10月,甲骨文发布紧急补丁修复EBS中关键漏洞CVE-2025-61882(CVSS评分9.8)。该漏洞被Cl0p利用实施数据窃取,未经身份验证的远程攻击者可借此控制甲骨文并发处理组件。 MSG已报警并开始通知受影响个人,同时通过TransUnion旗下Cyberscout为受害者提供免费一年信用监控、报告及评分服务,以检测个人信息滥用并提供身份盗窃保护。 MSG表示:”已确认供应商成功实施甲骨文推荐的应用防护措施以防止再次发生,并已通知执法部门。” 消息来源:securityaffairs.com; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
罗技正式确认数据泄露,甲骨文 EBS 漏洞余波再添受害者
HackerNews 编译,转载请注明出处: 上周五,科技制造商罗技向美国证券交易委员会提交文件,证实遭遇一起利涉及零日漏洞的网络安全事件。该公司表示,调查发现黑客“利用某第三方软件平台的漏洞,从内部IT系统复制了特定数据”。 罗技表示,他们已在软件平台供应商发布补丁后立即修复该零日漏洞。“受影响数据可能包含有限的员工与消费者信息,以及客户和供应商相关数据,但未涉及国民身份证号或信用卡信息等敏感个人信息。” 公司同时称此次攻击未影响其产品、业务运营或制造体系,预计不会造成财务影响,相关成本将由网络安全保险承担。 此次文件提交距网络犯罪组织Clop宣称通过甲骨文 E-Business Suite工具中的零日漏洞窃取罗技信息已过去一周。 虽然罗技发言人拒绝证实该事件是否涉及Clop组织或甲骨文漏洞,但谷歌等安全公司的报告显示,黑客确实利用了甲骨文电子商务套件中的多个漏洞,其中至少一个零日漏洞已于9月被列入联邦观察名单。 Clop组织最初于10月宣称通过该应用窃取了敏感信息。 甲骨文方面虽承认黑客利用漏洞发起攻击,但最初称这些漏洞已在7月更新中修复。 FBI助理局长布雷特·莱瑟曼曾强调,其中某个漏洞属于“立即停工修复”级别的重大安全隐患。 随着事件发酵,多家机构相继确认数据遭窃,包括美国地区航空公司GoJet、SkyWest等。《华盛顿邮报》上周向监管机构报告称,近万人在此次事件中信息泄露。自宣称对甲骨文电子商务套件零日漏洞利用负责以来,Clop已在泄密网站列出数十家受害机构。 据悉,Clop近年来通过利用Progress、Accellion和GoAnywhere等知名文件传输工具中的漏洞,已非法获利数亿美元。 消息来源:therecord.media; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
甲骨文因云数据泄露面临集体诉讼
HackerNews 编译,转载请注明出处: 德克萨斯州成为法律风暴的中心,因为一起针对甲骨文公司的集体诉讼。该诉讼于2025年3月31日在美国德克萨斯州西区联邦法院提起,指控甲骨文未能保护敏感信息,并未及时通知受影响的个人。 此次数据泄露事件最初于2025年3月22日由Hackread.com报道。一名使用“rose87168”化名的黑客声称在2025年1月入侵了甲骨文的云基础设施。据该黑客称,泄露的数据包括加密的单点登录密码、Java KeyStore(JKS)文件、企业管理器JPS密钥以及与甲骨文云的单点登录和LDAP系统相关的用户凭证。据称,被盗数据集包含约600万用户的信息。 甲骨文公开否认了此次数据泄露,并拒绝进一步说明。然而,网络安全公司CloudSEK进行了一项独立调查,并声称找到了“确凿证据”证明数据泄露。2025年3月31日,黑客在Breach Forums上发布了更多证据,包括甲骨文云环境的内部LDAP记录和部分凭证。 一名论坛管理员据称验证了数据的真实性,尽管Hackread.com表示,在甲骨文提供透明度之前,它无法独立确认数据泄露的全部情况。然而,根据TechMundo的报道,其分析了数据并发现其为真实。 这起集体诉讼由佛罗里达州居民迈克尔·托伊卡奇于2025年3月31日提起,他声称自己的私人信息通过一家使用甲骨文软件的医疗保健提供者存储在甲骨文的系统中。诉讼称,甲骨文未能达到行业标准安全实践,并指控该公司疏忽、违反受托责任、不当得利以及违反第三方受益人合同。 托伊卡奇声称,自消息传出以来,他不得不花费大量时间监控自己的财务和医疗账户。诉讼进一步指出,甲骨文未能遵守德克萨斯州法律,该法律要求组织在确认数据泄露后60天内通知受影响的个人。截至提起诉讼之日,甲骨文尚未发出任何此类通知。 提高赌注的是泄露数据的性质。诉讼强调,泄露不仅涉及个人身份识别信息(PII),还涉及敏感的健康数据。它引用了多个来源,包括彭博社和HIPAA Journal,这些报道称甲骨文已开始悄悄地向一些医疗保健客户发出患者数据泄露的警报。黑客的帖子威胁要发布受影响公司的完整名单,并提出如果特定组织支付费用来删除其员工记录,可以将其排除在外。 诉讼列出了甲骨文的一长串所谓失误,包括缺乏适当的加密、糟糕的网络监控以及未能及时检测或应对数据泄露。它还引用了甲骨文自己的公开隐私政策,该政策称公司会在不无故延迟的情况下报告任何数据泄露,但诉讼称这种情况并未发生。 随着对补偿性损害赔偿、信用监控服务以及对甲骨文数据安全基础设施改革的要求,这起集体诉讼正成为甲骨文多年来面临的最重要的法律挑战之一。此案还可能重新引发关于云服务提供商的责任以及他们如何处理客户及其最终用户的敏感数据的辩论。 消息来源:The Hacker News; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
英国隐私保护组织投诉甲骨文等企业违反欧盟 GDPR 政策
讯 11月14日下午消息,据中国台湾地区iThome.com.tw报道,英国非营利隐私保护组织Privacy International(PI)上周投诉包括甲骨文(Oracle)在内的7家企业违反《欧盟通用数据保护条例》(EU General Data Protection Regulation,GDPR),并督促法国、英国及爱尔兰的数据保护组织展开调查。 据报道,受到投诉的7家企业全都握有大量消费者资料,包括从事数据分析的甲骨文与Acxiom,提供广告服务的Criteo、Quantcast、Tapad,以及信用报告企业Equifax与Experian。 该隐私保护组织认为,这些企业虽然都握有数百万名消费者资料,但并非是家喻户晓的品牌,因此极少受到挑战。然而,根据企业所公开的宣传文件或隐私政策,它们在利用这些个人数据时并未取得用户同意,也没有处理这些个人机密数据的依据,还缺乏GDPR所明列的透明、合法、目的限制、数据最小化及准确性等要求。 换句话说,该隐私保护组织挑战的是相关企业处理个人数据的深度,而且是GDPR对业者的基本要求。 该隐私保护组织指出,GDPR上线迄今已超过5个月了,该法令强化了个人保护自己数据的能力,对个人资料的处理有更严格的规定,理论上也提供更强大的执法权力,但GDPR真正的考验就在于执行,例如这些握有大量用户数据的企业即未曾被质疑。 GDPR祭出了高额罚金,让不少企业情愿选择撤出欧盟市场也不愿冒着触犯法律的风险,其最高罚款为2000万欧元或企业全球营收的4% ,且两者取其高者。 不过,尽管GDPR听起来非常吓人,但迄今尚未有业者受到处罚,这可能是因为每一家企业都受到了有效的指导,而在规定之内安全地运作,不过也有人认为只是还没有企业被逮到而已。 稿源:,稿件以及封面源自网络;
亚马逊计划 2020 年初彻底抛弃甲骨文专有数据库
北京时间 8 月 2 日上午消息,亚马逊在数据中心技术提供商这条路上的发展日渐将不少自己长期以来的供应商变为了难以共融的竞争对手,甲骨文(Oracle)即其中之一。最近,亚马逊正在考虑对甲骨文的新一轮打击。据知情人士透露,这家电子商务巨头已经将公司大部分内部基础设施转移到亚马逊网络服务(AWS),并计划于 2020 第一季度彻底移除甲骨文的专有数据库软件。 这一转变亦标志着亚马逊在企业计算领域的快速崛起,并进一步显示了在企业不断将工作转至云平台并抛弃传统数据中心这一过程中甲骨文的艰难挣扎。得益于 AWS 的发展(第二季度该业务的营收增长高达 49%),亚马逊在今年初超越 Alphabet 成为全球价值第二大的上市公司。 与此同时,甲骨文的规模与四年前大致相同,股价稍高于 2014 年底时的价格。报道刚出时,甲骨文的股价小降 1%。 五年前,亚马逊就开始计划移除甲骨文,一名要求匿名的知情人称。亚马逊的部分核心购物业务目前仍依赖于甲骨文,整个迁移过程大概需要 14-20 个月。另外一位人士则称,转移开始的前几年,亚马逊就已经开始考虑放弃甲骨文,但当时的决定是过早行动可能会需要较多的工程工作而且收效甚微。 知情人士称,亚马逊使用甲骨文时面临的一个主要问题时,后者的数据库技术无法扩展以满足亚马逊的性能需求。另外一人表示,此举或将于 2019 年中旬完成,并补充说,依赖甲骨文数据库的新技术在相当长一段时间内没有任何开发。 亚马逊的基础设施显然也不是万无一失的。上个月的亚马逊 Prime Day 购物狂欢期间,公司对容量升级的持续需求差点造成一场危机,公司的系统被证实无法处理突发的流量激增。 购物者报告了许多试图访问该网站的错误,据悉这个问题跟内部程序 Sable 的崩溃有关,亚马逊使用 Sable 来为零售和数字业务提供存储和服务。 口水战 The Information 在一月份曾经报道了亚马逊正在努力减少对甲骨文的依赖。Drexel Hamilton 的分析师布莱恩·怀特(Brian White)则发表了一份声明来反驳该报道,并引用了甲骨文董事长拉里·埃里森(Larry Ellison)在公司去年 12 月的电话财报会议上的话。埃里森表示,“有一家公司在这个季度刚向我们支付了 5000 万美元购买甲骨文数据库和其他技术,这家公司正是亚马逊。” 亚马逊发言人拒绝对此作出评论。甲骨文的发言人亚马逊在甲骨文的技术上消费了数亿美元。 两家公司一直处于激烈的口水战中。去年,甲骨文高管夸耀了一番使用公司数据库软件的成本优势。AWS 的首席执行官安迪·约斯(Andy Jassy)回击称甲骨文“在云计算领域实力不足”。 2014 年,AWS 推出 Aurora 关旭数据库服务之后,竞争趋向白热化。这项服务直指甲骨文的核心市场。亚马逊同时还提供了一个工具帮助企业将数据库转移至云平台。 但在 2016 年,埃里森告诉分析师,亚马逊的云服务仍旧未准备好迎接黄金时段。“我们的数据库客户没办法在亚马逊上运行重要的机器工作。” 然而自此之后,甲骨文始终未能在云基础设施领域取得显著的市场份额。 AWS 在该市场上领先,微软、谷歌、阿里巴巴和 IBM 紧随其后。 公司自上个季度不再披露云服务的收益之后,投资者如今也已放弃对甲骨文云服务规模的猜测。 稿源:,稿件以及封面源自网络;
甲骨文称 Java 序列化的存在是个错误,计划删除
甲骨文计划从 Java 中去除序列化功能,因其在安全方面一直是一个棘手的问题。 Java 序列化也称为 Java 对象序列化,该功能用于将对象编码为字节流…Oracle 的 Java 平台小组的首席架构师 Mark Reinhold 说:“删除序列化是一个长期目标,并且是 Project Amber 的一部分,它专注于面向生产力的 Java 语言功能。” 为了替换当前的序列化技术,一旦记录,会在平台中放置一个小的序列化框架,支持 Java 版本的数据类。该框架可以支持记录图形,开发人员可以插入他们选择的序列化引擎,支持 JSON 或 XML 等格式,从而以安全的方式序列化记录。 但 Reinhold 还不能确定哪个版本的 Java 将具有记录功能。 序列化在 1997 年是一个“可怕的错误”,Reinhold 说。 他估计至少有三分之一甚至是一半的 Java 漏洞涉及序列化,序列化总体上是脆弱的,但具有在简单用例中易于使用的特性。 稿源:开源中国,封面源自网络;
安卓系统涉嫌侵犯用户信息隐私,谷歌面临澳大利亚政府调查
谷歌正面临澳大利亚政府的调查,原因是可能非法获取数百万安卓智能手机用户的数据。 路透社15日报道称,网络巨头甲骨文在一份报告中提出了该项指控,并受到澳竞争和消费者委员会(ACCC)及政府部门的隐私专员的高度关注和跟进调查,显然,这将使得谷歌再次陷入信息安全和隐私政策方面的巨大争议中,另一陷入用户信息泄露丑闻的网络巨头脸书也在外界压力下宣布加强自查措施,有分析观点称,来自政府及社会对互联网用户信息安全和隐私权的关注,将对互联网业界公司的业务及技术模式产生影响。 路透社称,甲骨文公司的报告指出,由于系统设置,安卓用户在使用手机时作为手机系统开发方的谷歌母公司Alphabet会收到关于用户互联网搜索和用户定位的详细信息,而且这些手机用户在不知情的情况下向电信服务商支付了谷歌收集数据时消耗的千兆字节费用。澳大利亚政府监管机构发言人15日表示,ACCC已经跟甲骨文见面,正在分析他们的报告,并与隐私专员紧密合作。澳政府还希望通过调查了解有多少消费者了解谷歌定位数据的使用。行业分析师估计,澳大利亚有超过1000万的安卓系统用户。不过路透社称,暂时无法确认甲骨文报告内容的真实性。 关于安卓系统涉嫌侵犯用户信息隐私,并让用户因此支付额外费用,谷歌发言人表示,公司收集数据“已获得用户许可”。但一些分析人士指出,绝大部分消费者不太可能理解他们在使用智能手机时签署的条款内容。这使得其数据安全面临威胁。 一些电信服务商已经开始行动,澳大利亚最大电信公司Telsta表示该公司正向谷歌沟通了解“是否存在用户数据被非法侵犯”的情况。也有观点称,甲骨文与谷歌之间长期存在争议,因此其报告“可能无法保证公平性”,前者试图向后者收取使用Java语言的授权费用但遭到拒绝。 报道称,该项调查将引发更多关于互联网大公司在线收集和使用用户数据合法性的讨论。今年初,社交媒体巨头脸书被爆出其用户数据被网络营销公司“剑桥分析”非法利用,该公司分析师科根利用8700万脸书用户信息,向用户定向投放广告,在2016年美国总统大选中支持特朗普团队。4月底美国福克斯新闻称,有消息显示另一网络巨头推特也涉嫌将用户数据卖给科根。该丑闻在舆论上引起轩然大波,脸书CEO扎克伯格不得不多次致歉并到美国国会作证,并宣布启动内部调查,而英国政府信息委员会也介入此事正在调查剑桥分析公司的服务器。 美国《华尔街日报》15日称,脸书已宣布禁用一大批应用程序,理由是这些应用在脸书的社交平台上获取大量用户信息。该消息由脸书产品合作副总裁阿奇博在博客上公布,称扎克伯格自今年3月发起内部审计行动以来,该公司对平台上的第三方应用是否非法利用用户数据进行了“详尽调查”,目前已禁用了约200个应用。脸书方面强调,目前由内部和外部专家组成的“大型团队”仍在进行调查,“只要我们找到不正当数据利用的证据,就会对相关程序进行禁用,并对外公布”。但相关调查还有很多工作有待完成,需要时间。同时,脸书对社交平台进行了一系列调整,目的是限制程序开发者获取平台用户数据。 英国《金融时报》15日称,在线平台和社交网络用户的信息安全已经成为舆论当前重点关注的问题,互联网大公司被认为掌握信息技术和系统垄断优势,因而其内部成员乃至机构有滥用用户信息谋求利益的可能。5月下旬欧盟将实施“欧盟通用数据保护条例”(GDPR),要求数据公司在收集用户个人信息方面保持透明性,强化用户对于个人资料的控制和主导权利。一些机构称,这可能会促使更多用户拒绝接受谷歌的在线个性化广告,从而避免信息被泄露,或将让谷歌每年损失数十亿美元营收。 原标题:《甲骨文举报安卓用户搜索和定位数据被收集》 稿源:环球时报,封面源自网络;
甲骨文 Micros POS 机存在高危漏洞可获得数据库访问权限
据外媒 ZDNet 1 月 30 日报道,Oracle 的 Micros POS 机中存在一个高风险的安全漏洞,允许攻击者在未经验证的情况下对服务器数据库进行访问和读写,致使公司的整个业务数据都受到威胁。 ERPScan 团队在一篇博客文章中对该漏洞进行了分析: 攻击者可以通过访问一个易受漏洞攻击的设备来读取本地文件,以获得用户名和密码,从而拥有完整的数据库访问权限。 据悉,该漏洞的严重程度被研究人员划为 8.1 分(满分10 分) 。甲骨文方面也认为该漏洞非常复杂,并在本月早些时候表示已将其修复,作为其季度补丁计划的一部分促使 ERPScan 发布 漏洞的概念验证码。 研究人员表示近几年 POS 设备时常遭受攻击,比如今年早些时候,Forever 21 确认其付费终端被安装了恶意软件,潜伏时间长达六个多月,使数千名客户面临信用卡诈骗的风险。 目前甲骨文对该起事件并没有作出任何回应 。 消息来源:ZDNet,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。