Společnost Oracle plánované vydání aktualizací svých produktů (Critical Patch Update), zaměřené na odstranění kritických problémů a zranitelností. V lednové aktualizaci celkem .
V otázkách vyloučeno . Všechny zranitelnosti lze zneužít vzdáleně bez ověřování. Nejvyšší úroveň závažnosti je 8.3, která je přiřazena problémům v knihovnách (CVE-2020-2803, CVE-2020-2805). Dvě zranitelnosti (v libxslt a JSSE) mají úrovně závažnosti 8.1 a 7.5.
Kromě problémů v Java SE byly odhaleny zranitelnosti i v dalších produktech Oracle, včetně:
- na serveru MySQL a
2 zranitelnosti v implementaci klienta MySQL (C API). Nejvyšší úroveň závažnosti 9.8 je přiřazena zranitelnosti CVE-2019-5482, která se objeví při kompilaci s podporou cURL. Problémy opravené ve vydáních . - , z toho 7 problémů má kritickou úroveň nebezpečí (CVSS větší než 8). To zahrnuje opravu zranitelností používaných při útocích předvedených na soutěži a umožnění, prostřednictvím manipulací na straně hostovaného systému, získat přístup k hostitelskému systému a spustit kód s právy hypervizora. Chyby zabezpečení jsou opraveny v aktualizacích .
- v Solarisu. Maximální stupeň nebezpečí 8.8 - provozováno místně v Common Desktop Environment, což umožňuje nepřivilegovanému uživateli spouštět kód s právy root. Problémy byly také opraveny v modulu jádra implementujícím protokol SMB, ve Whodo a v příkazu svcbundle SMF. Problémy opravené ve včerejší aktualizaci .
Zdroj: opennet.ru