Кампанія Oracle планавы выпуск абнаўленняў сваіх прадуктаў (Critical Patch Update), накіраваны на ўхіленне крытычных праблем і ўразлівасцяў. У ліпеньскім абнаўленні ў суме ліквідавана .
У выпусках ухілена 10 праблем з бяспекай. 9 уразлівасцяў могуць быць эксплуатаваны выдалена без правядзення аўтэнтыфікацыі. Найвышэйшы прысвоены ўзровень небяспекі - 6.8 (уразлівасць у libpng). Праблем з высокім і крытычным узроўнем небяспекі, якія дазваляюць неаўтэнтыфікаванаму карыстачу па сетцы скампраметаваць прыкладанні на Java SE, не выяўлена.
Акрамя праблем у Java SE, наяўнасць уразлівасцяў апублікавана і ў іншых прадуктах Oracle, у тым ліку:
- у MySQL (максімальны ўзровень небяспекі 9.8, які сведчыць аб крытычнай праблеме). Найбольш небяспечная праблема
() звязана з у кодзе разбору загалоўкаў NTLM у бібліятэцы libcurl, што можа быць скарыстана для выдаленага нападу на сервер MySQL неаўтэнтыфікаваным карыстачом. Амаль усе астатнія праблемы выяўляюцца толькі пры наяўнасці аўтэнтыфікаванага доступу да СКБД. Выключэнне складае толькі ўразлівасць у Shell: Admin / InnoDB Cluster, якой прысвоены ўзровень небяспекі 7.5. Праблемы будуць ухілены ў выпусках . - у VirtualBox, з якіх 3 маюць высокую ступень небяспекі (CVSS Score 8.2 і 8.8). Уразлівасці ўхіленыя ў абнаўленнях да рэлізу факт ухілення праблем з бяспекай не афішаваны). Падрабязнасці не паведамляюцца, але, судзячы па ўзроўні CVSS, ухіленыя ўразлівасці, якія дазваляюць з асяроддзя гасцявой сістэмы выканаць код на боку хост-сістэмы;
- у Solaris (максімальная ступень небяспекі 9.1 -
звязаная з IPv6 уразлівасць у ядры (CVE-2019-5597), якая дапушчае выдалены напад (падрабязнасці не паведамляюцца). Дзве ўразлівасці таксама маюць крытычны ўзровень небяспекі 8.8 – лакальна эксплуатуемыя праблемы ў Common Desktop Environment і кліенцкіх утылітах для LDAP. З праблем з узроўнем небяспекі вышэй 7 таксама можна адзначыць выдалена эксплуатаваныя ўразлівасці ў апрацоўшчыках ICMPv6 і NFS у ядры Solaris, і лакальныя праблемы ў файлавай сістэме і Gnuplot.
Крыніца: opennet.ru