Oracle ha publicado un lanzamiento programado de actualizaciones de sus productos (Critical Patch Update), destinado a eliminar problemas y vulnerabilidades críticas. La actualización de enero solucionó un total de 497 vulnerabilidades.
Algunos problemas:
- 17 problemas de seguridad en Java SE. Todas las vulnerabilidades pueden explotarse de forma remota sin autenticación y afectan a entornos que permiten la ejecución de código no confiable. Los problemas tienen un nivel de gravedad moderado: a 16 vulnerabilidades se les asigna un nivel de gravedad de 5.3 y a una se le asigna un nivel de gravedad de 3.7. Los problemas afectan al subsistema 2D, Hotspot VM, funciones de serialización, JAXP, ImageIO y varias bibliotecas. Las vulnerabilidades se resolvieron en las versiones Java SE 17.0.2, 11.0.13 y 8u311.
- 30 vulnerabilidades en el servidor MySQL, una de las cuales puede explotarse de forma remota. A los problemas más graves asociados con el uso del paquete Curl y el funcionamiento del optimizador se les asignan niveles de gravedad de 7.5 y 7.1. Las vulnerabilidades menos peligrosas afectan al optimizador, InnoDB, herramientas de cifrado, DDL, procedimientos almacenados, sistema de privilegios, replicación, analizador y esquemas de datos. Los problemas se resolvieron en las versiones MySQL Community Server 8.0.28 y 5.7.37.
- 2 vulnerabilidades en VirtualBox. A los problemas se les asignan niveles de gravedad 6.5 y 3.8 (la segunda vulnerabilidad solo aparece en la plataforma Windows). Las vulnerabilidades se solucionan en la actualización de VirtualBox 6.1.32.
- 5 vulnerabilidad en Solaris. Los problemas afectan al kernel, al instalador, al sistema de archivos, a las bibliotecas y al subsistema de seguimiento de fallos. A los problemas se les han asignado niveles de gravedad de 6.5 e inferiores. Las vulnerabilidades se corrigen en la actualización Solaris 11.4 SRU41.
- Se ha trabajado para eliminar vulnerabilidades en la biblioteca Log4j 2. En total, se han identificado 33 vulnerabilidades causadas por problemas en Log4j 2, que aparecieron en productos como
- Servidor Oracle WebLogic
- Portal del centro web de Oracle,
- Edición empresarial de inteligencia empresarial de Oracle,
- Enrutador de señalización de diámetro de comunicaciones de Oracle,
- Grabador de sesiones interactivo de Oracle Communications,
- Agente de servicios de comunicaciones de Oracle
- Guardián de servicios de comunicaciones de Oracle,
- Controlador de sesión WebRTC de Oracle Communications,
- Puerta de Primavera,
- Primavera P6 Gestión de cartera de proyectos empresariales,
- Primavera Unificadora,
- Instantis EnterpriseTrack,
- Infraestructura de aplicaciones analíticas de servicios financieros de Oracle,
- Gestión y gobernanza del modelo de servicios financieros de Oracle,
- Transferencia de archivos administrada por Oracle,
- Venta minorista de Oracle*,
- Marco de interfaz de usuario de Siebel,
- Acelerador de pruebas de servicios públicos de Oracle.
Fuente: opennet.ru