Кампанія Oracle планавы выпуск абнаўленняў сваіх прадуктаў (Critical Patch Update), накіраваны на ўхіленне крытычных праблем і ўразлівасцяў. У студзеньскім абнаўленні ў суме ліквідавана .
У выпусках ухілена . Усе ўразлівасці могуць быць эксплуатаваны выдалена без правядзення аўтэнтыфікацыі. Найвышэйшы ўзровень небяспекі - 8.3, які прысвоены праблемам у бібліятэках (CVE-2020-2803, CVE-2020-2805). Дзве ўразлівасці (у libxslt і JSSE) маюць узровень небяспекі 8.1 і 7.5.
Акрамя праблем у Java SE, наяўнасць уразлівасцяў апублікавана і ў іншых прадуктах Oracle, у тым ліку:
- у сэрвэры MySQL і
2 уразлівасці ў рэалізацыі кліента MySQL (C API). Найбольшы ўзровень небяспекі 9.8 прысвоены ўразлівасці CVE-2019-5482, якая праяўляецца пры кампіляцыі з падтрымкай cURL. Праблемы ўхілены ў выпусках . - , З якіх 7 праблем маюць крытычны ўзровень небяспекі (CVSS больш за 8). У тым ліку ліквідаваны ўразлівасці, якія выкарыстоўваюцца ў атаках, прадэманстраваных на спаборніцтве. і якія дазваляюць праз маніпуляцыі на боку гасцёўні сістэмы атрымаць доступ да хост-сістэме і выканаць код з правамі гіпервізара. Уразлівасці ўхіленыя ў абнаўленнях .
- у Solaris. Максімальная ступень небяспекі 8.8 - лакальна эксплуатаваная у Common Desktop Environment, якая дазваляе непрывілеяванаму карыстачу дамагчыся выкананні кода з правамі root. Праблемы таксама ўхілены ў модулі ядра з рэалізацыяй пратаколу SMB, у Whodo і ў SMF камандзе svcbundle. Праблемы ўхіленыя ва ўчорашнім абнаўленні .
Крыніца: opennet.ru