Société Oracle publication prévue de mises à jour de ses produits (Critical Patch Update), visant à éliminer les problèmes critiques et les vulnérabilités. Dans la mise à jour de janvier, un total de .
Dans les numéros éliminé . Toutes les vulnérabilités peuvent être exploitées à distance sans authentification. Le niveau de gravité le plus élevé est 8.3, attribué aux problèmes dans les bibliothèques (CVE-2020-2803, CVE-2020-2805). Deux vulnérabilités (dans libxslt et JSSE) ont des niveaux de gravité de 8.1 et 7.5.
Outre les problèmes liés à Java SE, des vulnérabilités ont été révélées dans d'autres produits Oracle, notamment :
- sur le serveur MySQL et
2 vulnérabilités dans l'implémentation du client MySQL (API C). Le niveau de gravité le plus élevé, soit 9.8, est attribué à la vulnérabilité CVE-2019-5482, qui apparaît lors de la compilation avec la prise en charge de cURL. Problèmes résolus dans les versions . - , dont 7 problèmes ont un niveau de danger critique (CVSS supérieur à 8). Cela inclut la correction des vulnérabilités utilisées dans les attaques démontrées lors du concours. et permettre, grâce à des manipulations du côté du système invité, d'accéder au système hôte et d'exécuter du code avec les droits d'hyperviseur. Les vulnérabilités sont corrigées dans les mises à jour .
- dans Solaris. Niveau de danger maximum 8.8 - commande locale dans Common Desktop Environment, permettant à un utilisateur non privilégié d'exécuter du code avec les privilèges root. Des problèmes ont également été résolus dans le module du noyau implémentant le protocole SMB, dans Whodo et dans la commande svcbundle SMF. Problèmes résolus dans la mise à jour d'hier .
Source: opennet.ru