Oracle hat eine geplante Veröffentlichung von Updates für seine Produkte (Critical Patch Update) veröffentlicht, die darauf abzielen, kritische Probleme und Schwachstellen zu beseitigen. Mit dem Januar-Update wurden insgesamt 497 Schwachstellen behoben.
Einige Probleme:
- 17 Sicherheitsprobleme in Java SE. Alle Schwachstellen können aus der Ferne ohne Authentifizierung ausgenutzt werden und wirken sich auf Umgebungen aus, die die Ausführung nicht vertrauenswürdigen Codes ermöglichen. Die Probleme haben einen mittleren Schweregrad – 16 Schwachstellen werden dem Schweregrad 5.3 und einer Schwachstelle der Schweregrad 3.7 zugewiesen. Probleme betreffen das 2D-Subsystem, Hotspot VM, Serialisierungsfunktionen, JAXP, ImageIO und verschiedene Bibliotheken. Die Schwachstellen wurden in den Versionen Java SE 17.0.2, 11.0.13 und 8u311 behoben.
- 30 Schwachstellen im MySQL-Server, von denen eine aus der Ferne ausgenutzt werden kann. Den schwerwiegendsten Problemen im Zusammenhang mit der Verwendung des Curl-Pakets und dem Betrieb des Optimierers werden die Schweregrade 7.5 und 7.1 zugeordnet. Weniger gefährliche Schwachstellen betreffen den Optimierer, InnoDB, Verschlüsselungstools, DDL, gespeicherte Prozeduren, Berechtigungssystem, Replikation, Parser und Datenschemata. Die Probleme wurden in den Versionen MySQL Community Server 8.0.28 und 5.7.37 behoben.
- 2 Schwachstellen in VirtualBox. Den Problemen werden die Schweregrade 6.5 und 3.8 zugeordnet (die zweite Schwachstelle tritt nur auf der Windows-Plattform auf). Die Schwachstellen werden im VirtualBox 6.1.32-Update behoben.
- 5 Sicherheitslücke in Solaris. Die Probleme betreffen den Kernel, das Installationsprogramm, das Dateisystem, die Bibliotheken und das Crash-Tracking-Subsystem. Den Problemen wurde ein Schweregrad von 6.5 und darunter zugewiesen. Die Schwachstellen wurden im Solaris 11.4 SRU41-Update behoben.
- Es wurden Arbeiten zur Beseitigung von Schwachstellen in der Log4j 2-Bibliothek durchgeführt. Insgesamt wurden 33 Schwachstellen durch Probleme in Log4j 2 verursacht, die in Produkten wie z
- Oracle WebLogic-Server
- Oracle WebCenter-Portal,
- Oracle Business Intelligence Enterprise Edition,
- Oracle Communications Diameter Signaling Router,
- Oracle Communications Interactive Session Recorder,
- Oracle Communications Service Broker
- Oracle Communications Services Gatekeeper,
- Oracle Communications WebRTC-Sitzungscontroller,
- Primavera-Tor,
- Primavera P6 Enterprise Projektportfoliomanagement,
- Primavera-Vereinigung,
- Instantis EnterpriseTrack,
- Infrastruktur für analytische Anwendungen von Oracle Financial Services,
- Oracle Financial Services Model Management und Governance,
- Oracle Managed File Transfer,
- Oracle Retail*,
- Siebel UI Framework,
- Oracle Utilities Testing Accelerator.
Source: opennet.ru