Oracle ha pubblicato un rilascio programmato di aggiornamenti dei propri prodotti (Critical Patch Update), volti ad eliminare problemi critici e vulnerabilità. L'aggiornamento di gennaio ha corretto un totale di 497 vulnerabilità.
Alcuni problemi:
- 17 problemi di sicurezza in Java SE. Tutte le vulnerabilità possono essere sfruttate da remoto senza autenticazione e colpiscono ambienti che consentono l'esecuzione di codice non affidabile. I problemi hanno un livello di gravità moderato: a 16 vulnerabilità viene assegnato un livello di gravità di 5.3 e a una viene assegnato un livello di gravità di 3.7. I problemi riguardano il sottosistema 2D, Hotspot VM, funzioni di serializzazione, JAXP, ImageIO e varie librerie. Le vulnerabilità sono state risolte nelle versioni Java SE 17.0.2, 11.0.13 e 8u311.
- 30 vulnerabilità nel server MySQL, una delle quali può essere sfruttata da remoto. Ai problemi più seri associati all'uso del pacchetto Curl e al funzionamento dell'ottimizzatore vengono assegnati i livelli di gravità 7.5 e 7.1. Vulnerabilità meno pericolose riguardano l'ottimizzatore, InnoDB, strumenti di crittografia, DDL, procedure memorizzate, sistema di privilegi, replica, parser, schemi di dati. I problemi sono stati risolti nelle versioni MySQL Community Server 8.0.28 e 5.7.37.
- 2 vulnerabilità in VirtualBox. Ai problemi sono assegnati i livelli di gravità 6.5 e 3.8 (la seconda vulnerabilità appare solo sulla piattaforma Windows). Le vulnerabilità sono state corrette nell'aggiornamento VirtualBox 6.1.32.
- 5 vulnerabilità in Solaris. I problemi riguardano il kernel, il programma di installazione, il file system, le librerie e il sottosistema di monitoraggio degli arresti anomali. Ai problemi sono stati assegnati livelli di gravità pari a 6.5 e inferiori. Le vulnerabilità sono state corrette nell'aggiornamento Solaris 11.4 SRU41.
- È stato svolto un lavoro per eliminare le vulnerabilità nella libreria Log4j 2. In totale, 33 vulnerabilità causate da problemi in Log4j 2, apparsi in prodotti come
- Server Oracle WebLogic
- Portale Oracle WebCenter,
- Oracle Business Intelligence Enterprise Edition,
- Router di segnalazione del diametro di Oracle Communications,
- Registratore di sessioni interattive di Oracle Communications,
- Broker di servizi di comunicazione Oracle
- Gatekeeper dei servizi di comunicazione Oracle,
- Controller di sessione WebRTC di Oracle Communications,
- Porta Primavera,
- Gestione del portfolio di progetti Primavera P6 Enterprise,
- Primavera Unificatore,
- Instantis EnterpriseTrack,
- Infrastruttura delle applicazioni analitiche di Oracle Financial Services,
- Gestione e governance del modello di servizi finanziari Oracle,
- Trasferimento file gestito da Oracle,
- Vendita al dettaglio Oracle*,
- Struttura dell'interfaccia utente Siebel,
- Acceleratore di test di Oracle Utilities.
Fonte: opennet.ru