Oracle Company suunniteltu päivitysten julkaiseminen tuotteisiinsa (Critical Patch Update), jonka tarkoituksena on poistaa kriittiset ongelmat ja haavoittuvuudet. Heinäkuun päivityksessä yhteensä .
Ongelmissa 10 tietoturvaongelmaa korjattu. 9 haavoittuvuutta voidaan hyödyntää etänä ilman todennusta. Korkein määritetty vakavuustaso on 6.8 (libpng:n haavoittuvuus). Mitään suuria tai kriittisiä ongelmia ei ole tunnistettu, joiden vuoksi todentamaton käyttäjä verkon kautta voisi vaarantaa Java SE -sovelluksia.
Java SE:n ongelmien lisäksi haavoittuvuuksia on paljastettu muissa Oraclen tuotteissa, mukaan lukien:
- MySQL:ssä (vakavuustaso enintään 9.8, mikä tarkoittaa kriittistä ongelmaa). Vaarallisin ongelma
() liittyvä libcurl-kirjaston NTLM-otsikon jäsennyskoodissa, jota todentamaton käyttäjä voi hyökätä etähyökkäykseen MySQL-palvelimeen. Lähes kaikki muut ongelmat ilmenevät vain, jos DBMS:ään on todennettu pääsy. Ainoa poikkeus on Shellin haavoittuvuus: Admin / InnoDB Cluster, jolle on määritetty vakavuustaso 7.5. Ongelmat korjataan julkaisuissa . - VirtualBoxissa, joista 3 on erittäin vaarallista (CVSS Score 8.2 ja 8.8). Haavoittuvuudet korjataan päivityksissä tietoturvaongelmien ratkaisemisesta ei kerrottu ennen julkaisua). Yksityiskohtia ei anneta, mutta CVSS-tason perusteella haavoittuvuudet, jotka mahdollistavat koodin suorittamisen isäntäjärjestelmän puolella vierasjärjestelmäympäristöstä, on poistettu.
- Solariksessa (enimmäisvakavuusaste 9.1 -
IPv6:een liittyvä ytimen haavoittuvuus (CVE-2019-5597), joka mahdollistaa etähyökkäyksen (tietoja ei anneta). Kahden haavoittuvuuden kriittinen vakavuustaso on 8.8 - paikallisesti hyödynnettävissä olevat ongelmat Common Desktop Environment -ympäristössä ja LDAP:n asiakasapuohjelmissa. Ongelmiin, joiden vakavuustaso on korkeampi kuin 7, kuuluvat myös etäkäyttöiset haavoittuvuudet Solaris-ytimen ICMPv6- ja NFS-käsittelijöissä sekä paikalliset ongelmat tiedostojärjestelmässä ja Gnuplotissa.
Lähde: opennet.ru