Oracle-Unternehmen geplante Veröffentlichung von Updates für seine Produkte (Critical Patch Update), die darauf abzielen, kritische Probleme und Schwachstellen zu beseitigen. Im Januar-Update insgesamt .
Probleme eliminiert . Alle Schwachstellen können aus der Ferne ohne Authentifizierung ausgenutzt werden. Der höchste Schweregrad ist 8.3, der Problemen in Bibliotheken zugeordnet wird (CVE-2020-2803, CVE-2020-2805). Zwei Schwachstellen (in libxslt und JSSE) haben den Schweregrad 8.1 und 7.5.
Zusätzlich zu den Problemen in Java SE wurden Schwachstellen in anderen Oracle-Produkten offengelegt, darunter:
- im MySQL-Server und
2 Schwachstellen in der Implementierung des MySQL-Clients (C-API). Der höchsten Schweregrad 9.8 wird der Schwachstelle CVE-2019-5482 zugeordnet, die beim Kompilieren mit cURL-Unterstützung auftritt. In Releases behobene Probleme . - , von denen 7 Probleme eine kritische Gefahrenstufe aufweisen (CVSS größer als 8). Dazu gehört auch die Behebung von Schwachstellen, die bei den im Wettbewerb demonstrierten Angriffen genutzt wurden und es ermöglicht, durch Manipulation auf der Seite des Gastsystems Zugriff auf das Hostsystem zu erhalten und Code mit Hypervisor-Rechten auszuführen. Schwachstellen werden in Updates behoben .
- in Solaris. Maximale Gefahrenstufe 8.8 – lokal betrieben in der Common Desktop Environment, die es einem unprivilegierten Benutzer ermöglicht, Code mit Root-Rechten auszuführen. Es wurden auch Probleme im Kernelmodul behoben, das das SMB-Protokoll implementiert, in Whodo und im SMF-Befehl svcbundle. Im gestrigen Update behobene Probleme .
Source: opennet.ru