Актуализации за Java SE, MySQL, VirtualBox и други продукти на Oracle с коригирани уязвимости

Компания Oracle публикувано планирано пускане на актуализации на техните продукти (Critical Patch Update), насочени към премахване на критични проблеми и уязвимости. В януарската актуализация сумата е премахната 397 уязвимости.

Проблеми Java SE 14.0.1, 11.0.7 и 8u251 елиминиран 15 проблеми със сигурността. Всички уязвимости могат да бъдат експлоатирани дистанционно без удостоверяване. Най-високото ниво на сериозност е 8.3, което се присвоява на проблеми в библиотеки (CVE-2020-2803, CVE-2020-2805). Две уязвимости (в libxslt и JSSE) имат нива на сериозност 8.1 и 7.5.

В допълнение към проблемите в Java SE, уязвимостите са публикувани в други продукти на Oracle, включително:

• 35 уязвимости в MySQL сървър и
  2 уязвимости в внедряването на MySQL клиента (C API). Най-високото ниво на сериозност от 9.8 е присвоено на уязвимостта CVE-2019-5482, която се появява, когато се компилира с поддръжка на cURL. Проблеми, коригирани в версиите MySQL Community Server 8.0.20, 5.7.30 и 5.6.49.

• 19 уязвимости, от които 7 проблема са с критично ниво на опасност (CVSS над 8). Това включва коригиране на уязвимости, използвани в атаки, демонстрирани на състезанието Pwn2Собствен 2020 и позволява, чрез манипулации от страна на системата за гости, да получи достъп до хост системата и да изпълни код с права на хипервайзор. Уязвимостите се коригират в актуализациите VirtualBox 6.1.6, 6.0.20 и 5.2.40.
• 6 уязвимости в Соларис. Максимално ниво на опасност 8.8 - с локално управление проблем в Common Desktop Environment, което позволява на непривилегирован потребител да изпълнява код с root права. Проблеми също са коригирани в модула на ядрото, прилагащ SMB протокола, в Whodo и в командата svcbundle SMF. Проблеми, отстранени във вчерашната актуализация Solaris 11.4 SRU 20.

Източник: opennet.ru