Oracle'i ettevõte oma toodete plaanitud värskenduste väljaandmine (Critical Patch Update), mille eesmärk on kõrvaldada kriitilised probleemid ja haavatavused. Juulikuises värskenduses kokku .
Küsimustes 10 turvaprobleemi lahendatud. 9 turvaauku saab ära kasutada eemalt ilma autentimiseta. Kõrgeim määratud raskusaste on 6.8 (libpng haavatavus). Pole tuvastatud suuri või kriitilisi probleeme, mis võimaldaksid autentimata kasutajal võrgu kaudu Java SE rakendusi kahjustada.
Lisaks Java SE probleemidele on turvaauke avalikustatud ka teistes Oracle'i toodetes, sealhulgas:
- MySQL-is (maksimaalne raskusaste 9.8, mis näitab kriitilist probleemi). Kõige ohtlikum probleem
() seostatud libcurli teegi NTLM-i päise parsimiskoodis, mida saab kasutada MySQL-serveri kaugrünnakuks autentimata kasutaja poolt. Peaaegu kõik muud probleemid ilmnevad ainult siis, kui DBMS-ile on autentitud juurdepääs. Ainus erand on Shelli haavatavus: Admin / InnoDB Cluster, millele on määratud raskusaste 7.5. Probleemid parandatakse väljalasetes . - VirtualBoxis, millest 3 on väga ohtlikud (CVSS skoor 8.2 ja 8.8). Haavatavused parandatakse värskendustes turvaprobleemide lahendamist enne avaldamist ei reklaamitud). Üksikasju ei esitata, kuid CVSS-i taseme järgi otsustades on turvaaugud, mis võimaldavad külalissüsteemi keskkonnast hostisüsteemi poolel koodi käivitada, kõrvaldatud;
- Solarises (maksimaalne raskusaste 9.1 -
IPv6-ga seotud haavatavus kernelis (CVE-2019-5597), mis võimaldab kaugrünnakut (üksikasju pole esitatud). Kahe haavatavuse kriitiline raskusaste on 8.8 – need on ühise töölauakeskkonna ja LDAP-i kliendiutiliitide kohalikult kasutatavad probleemid. Probleemid, mille raskusaste on kõrgem kui 7, hõlmavad ka Solarise tuuma ICMPv6 ja NFS-i töötlejate kaugkasutatavaid turvaauke ning failisüsteemi ja Gnuploti kohalikke probleeme.
Allikas: opennet.ru