עדכונים עבור Java SE, MySQL, VirtualBox ומוצרי Oracle אחרים עם פגיעויות שתוקנו

חברת אורקל опубликовала שחרור מתוכנן של עדכונים למוצריה (Critical Patch Update), שמטרתו ביטול בעיות ופגיעויות קריטיות. בעדכון יולי, סך הכל 319 נקודות תורפה.

בנושאים Java SE 12.0.2, 11.0.4 ו-8u221 10 בעיות אבטחה תוקנה. ניתן לנצל 9 פגיעויות מרחוק ללא אימות. רמת החומרה הגבוהה ביותר שהוקצתה היא 6.8 (פגיעות ב-libpng). לא זוהו בעיות גבוהות או קריטיות שיאפשרו למשתמש לא מאומת דרך הרשת לסכן יישומי Java SE.

בנוסף לבעיות ב-Java SE, נחשפו פגיעויות במוצרים אחרים של Oracle, כולל:

• 43 פגיעויות ב-MySQL (רמת חומרה מקסימלית 9.8, המעידה על בעיה קריטית). הבעיה הכי מסוכנת
  (CVE-2019-3822) קשור ל הצפת חיץ בקוד ניתוח הכותרת NTLM בספריית libcurl, שניתן להשתמש בו כדי לתקוף מרחוק את שרת MySQL על ידי משתמש לא מאומת. כמעט כל הבעיות האחרות מופיעות רק אם יש גישה מאומתת ל-DBMS. החריג היחיד הוא הפגיעות ב-Shell: Admin / InnoDB Cluster, אשר מוקצית ברמת חומרה של 7.5. הבעיות יתוקנו במהדורות MySQL Community Server 8.0.17, 5.7.27 ו-5.6.45.

• 14 נקודות תורפה ב-VirtualBox, מתוכם 3 מסוכנים ביותר (CVSS ציון 8.2 ו-8.8). פגיעויות מתוקנות בעדכונים VirtualBox 6.0.10 ו-5.2.32 (in הערה העובדה שבעיות אבטחה נפתרו לא הוכרזה לפני הפרסום). פרטים אינם מסופקים, אך, אם לשפוט לפי רמת ה-CVSS, בוטלו נקודות תורפה המאפשרות ביצוע קוד בצד המערכת המארחת מסביבת המערכת האורחת;
• 10 נקודות תורפה בסולאריס (רמת חומרה מקסימלית 9.1 -
  פגיעות הקשורה ל-IPv6 בקרנל (CVE-2019-5597) המאפשרת התקפה מרחוק (פרטים לא מסופקים). לשתי נקודות תורפה יש גם רמת חומרה קריטית של 8.8 - בעיות הניתנות לניצול מקומי בסביבת שולחן העבודה הנפוצה ובכלי עזר ללקוח עבור LDAP. בעיות ברמת חומרה גבוהה מ-7 כוללות גם פגיעויות הניתנות לניצול מרחוק במטפלי ICMPv6 ו-NFS בקרנל של Solaris, ובעיות מקומיות במערכת הקבצים וב-Gnuplot.

מקור: OpenNet.ru