Oracle Company suunniteltu päivitysten julkaiseminen tuotteisiinsa (Critical Patch Update), jonka tarkoituksena on poistaa kriittiset ongelmat ja haavoittuvuudet. Tammikuun päivityksessä yhteensä .
Ongelmissa eliminoitu . Kaikkia haavoittuvuuksia voidaan hyödyntää etänä ilman todennusta. Korkein vakavuusaste on 8.3, joka on määritetty kirjastojen ongelmille (CVE-2020-2803, CVE-2020-2805). Kahden haavoittuvuuden (libxslt:ssä ja JSSE:ssä) vakavuustasot ovat 8.1 ja 7.5.
Java SE:n ongelmien lisäksi haavoittuvuuksia on paljastettu muissa Oraclen tuotteissa, mukaan lukien:
- MySQL-palvelimessa ja
2 haavoittuvuutta MySQL-asiakkaan (C API) toteutuksessa. Korkein vakavuusaste 9.8 on määritetty haavoittuvuudelle CVE-2019-5482, joka tulee näkyviin, kun se on käännetty cURL-tuella. Ongelmat korjattu julkaisuissa . - , joista 7 ongelmalla on kriittinen vaarataso (CVSS suurempi kuin 8). Tämä sisältää kilpailussa esitellyissä hyökkäyksissä käytettyjen haavoittuvuuksien korjaamisen ja sallitaan vierasjärjestelmän puolella tapahtuvien manipulaatioiden avulla päästä isäntäjärjestelmään ja suorittaa koodia hypervisor-oikeuksilla. Haavoittuvuudet korjataan päivityksissä .
- Solarisissa. Suurin vaarataso 8.8 - paikallisesti ohjattu Common Desktop Environment -ympäristössä, jolloin etuoikeutetut käyttäjät voivat suorittaa koodia pääkäyttäjän oikeuksin. Ongelmia on korjattu myös SMB-protokollaa toteuttavassa ydinmoduulissa, Whodossa ja svcbundle SMF -komennossa. Ongelmat korjattu eilisessä päivityksessä .
Lähde: opennet.ru