Società Oracle rilascio programmato di aggiornamenti dei propri prodotti (Critical Patch Update), volti ad eliminare problematiche critiche e vulnerabilità. Nell'aggiornamento di gennaio l'importo è stato eliminato .
In problemi eliminato . Tutte le vulnerabilità possono essere sfruttate da remoto senza autenticazione. Il livello di gravità più elevato è 8.3, assegnato ai problemi nelle biblioteche (CVE-2020-2803, CVE-2020-2805). Due vulnerabilità (in libxslt e JSSE) hanno livelli di gravità di 8.1 e 7.5.
Oltre ai problemi di Java SE, sono state rese pubbliche le vulnerabilità di altri prodotti Oracle, tra cui:
- nel server MySQL e
2 vulnerabilità nell'implementazione del client MySQL (C API). Il livello di gravità più alto pari a 9.8 è assegnato alla vulnerabilità CVE-2019-5482, che appare se compilata con il supporto cURL. Problemi risolti nelle versioni . - , di cui 7 problemi hanno un livello di pericolo critico (CVSS maggiore di 8). Ciò include la correzione delle vulnerabilità utilizzate negli attacchi dimostrati durante la competizione e consentire, attraverso la manipolazione sul lato del sistema ospite, di accedere al sistema host ed eseguire codice con diritti di hypervisor. Le vulnerabilità vengono corrette negli aggiornamenti .
- a Solaris. Livello di pericolo massimo 8.8 - azionamento locale nel Common Desktop Environment, consentendo a un utente senza privilegi di eseguire codice con privilegi di root. Sono stati risolti anche problemi nel modulo del kernel che implementa il protocollo SMB, in Whodo e nel comando svcbundle SMF. Problemi risolti nell'aggiornamento di ieri .
Fonte: opennet.ru