Թարմացումները Java SE-ի, MySQL-ի, VirtualBox-ի և Oracle-ի այլ արտադրանքների համար՝ խոցելիություններով

Oracle ընկերությունը опубликовала իր արտադրանքի թարմացումների պլանավորված թողարկումը (Critical Patch Update), որի նպատակն է վերացնել կրիտիկական խնդիրները և խոցելիությունները: Հունվարի թարմացումներում ընդհանուր առմամբ 397 խոցելիություն.

Հարցերում Java SE 14.0.1, 11.0.7 և 8u251 վերացվել է 15 անվտանգության խնդիրներ. Բոլոր խոցելիությունները կարող են օգտագործվել հեռակա կարգով, առանց նույնականացման: Խստության ամենաբարձր մակարդակը 8.3-ն է, որը վերագրվում է գրադարանների խնդիրներին (CVE-2020-2803, CVE-2020-2805): Երկու խոցելիություն (libxslt-ում և JSSE-ում) ունեն 8.1 և 7.5 խստության մակարդակ:

Java SE-ում առկա խնդիրներից բացի, Oracle-ի այլ արտադրանքներում բացահայտվել են խոցելիություններ, այդ թվում՝

• 35 խոցելիություն MySQL սերվերում և
  2 խոցելիություն MySQL հաճախորդի (C API) ներդրման մեջ: Ամենաբարձր խստության մակարդակը՝ 9.8, հատկացված է CVE-2019-5482 խոցելիությանը, որը հայտնվում է cURL աջակցությամբ կազմվելիս: Թողարկումներում ամրագրված խնդիրներ MySQL Համայնքային Սերվեր 8.0.20, 5.7.30 և 5.6.49.

• 19 խոցելիություն, որոնցից 7 խնդիր ունեն վտանգի կրիտիկական մակարդակ (CVSS 8-ից մեծ)։ Սա ներառում է մրցույթի ժամանակ ցուցադրված հարձակումների ժամանակ օգտագործվող խոցելիության շտկում Pwn2 Սեփական 2020 թ և թույլ տալով հյուրի համակարգի կողային մանիպուլյացիաների միջոցով մուտք գործել դեպի հյուրընկալող համակարգ և կատարել կոդը հիպերվիզորի իրավունքներով: Խոցելիությունը շտկվում է թարմացումներում VirtualBox 6.1.6, 6.0.20 և 5.2.40.
• 6 խոցելիություն Սոլարիսում։ Առավելագույն վտանգի մակարդակ 8.8 - տեղական շահագործում խնդիրը Ընդհանուր աշխատասեղանի միջավայրում, որը թույլ է տալիս ոչ արտոնյալ օգտվողին կատարել կոդը արմատային արտոնություններով: Խնդիրները շտկվել են նաև միջուկի մոդուլում, որն իրականացնում է SMB արձանագրությունը, Whodo-ում և svcbundle SMF հրամանում: Խնդիրները շտկվել են երեկվա թարմացումով Solaris 11.4 SRU 20.

Source: opennet.ru