Oracle Company προγραμματισμένη έκδοση ενημερώσεων στα προϊόντα της (Critical Patch Update), με στόχο την εξάλειψη κρίσιμων προβλημάτων και τρωτών σημείων. Στην ενημέρωση Ιανουαρίου, συνολικά .
Σε θέματα εξαλειφθεί . Όλα τα τρωτά σημεία μπορούν να αξιοποιηθούν εξ αποστάσεως χωρίς έλεγχο ταυτότητας. Το υψηλότερο επίπεδο σοβαρότητας είναι 8.3, το οποίο εκχωρείται σε προβλήματα σε βιβλιοθήκες (CVE-2020-2803, CVE-2020-2805). Δύο ευπάθειες (στο libxslt και στο JSSE) έχουν επίπεδα σοβαρότητας 8.1 και 7.5.
Εκτός από τα ζητήματα στη Java SE, έχουν αποκαλυφθεί ευπάθειες σε άλλα προϊόντα της Oracle, όπως:
- στον διακομιστή MySQL και
2 τρωτά σημεία στην υλοποίηση του προγράμματος-πελάτη MySQL (C API). Το υψηλότερο επίπεδο σοβαρότητας 9.8 εκχωρείται στην ευπάθεια CVE-2019-5482, η οποία εμφανίζεται όταν μεταγλωττίζεται με υποστήριξη cURL. Ζητήματα που διορθώθηκαν στις εκδόσεις . - , εκ των οποίων τα 7 προβλήματα έχουν κρίσιμο επίπεδο επικινδυνότητας (CVSS μεγαλύτερο από 8). Αυτό περιλαμβάνει τη διόρθωση τρωτών σημείων που χρησιμοποιούνται σε επιθέσεις που παρουσιάστηκαν στον διαγωνισμό και επιτρέποντας, μέσω χειρισμών στο πλάι του συστήματος επισκέπτη, να αποκτήσει πρόσβαση στο κεντρικό σύστημα και να εκτελέσει κώδικα με δικαιώματα hypervisor. Τα τρωτά σημεία διορθώνονται στις ενημερώσεις .
- στο Solaris. Μέγιστο επίπεδο κινδύνου 8.8 - τοπική λειτουργία στο Common Desktop Environment, επιτρέποντας σε έναν μη προνομιούχο χρήστη να εκτελεί κώδικα με δικαιώματα root. Επιδιορθώθηκαν επίσης προβλήματα στη λειτουργική μονάδα πυρήνα που υλοποιεί το πρωτόκολλο SMB, στο Whodo και στην εντολή svcbundle SMF. Ζητήματα που επιλύθηκαν στη χθεσινή ενημέρωση .
Πηγή: opennet.ru