განახლებები Java SE, MySQL, VirtualBox და Oracle-ის სხვა პროდუქტებისთვის, მოწყვლადობით დაფიქსირებული

კომპანია Oracle опубликовала მათი პროდუქტების განახლებების დაგეგმილი გამოშვება (Critical Patch Update), რომელიც მიზნად ისახავს კრიტიკული პრობლემებისა და დაუცველობის აღმოფხვრას. იანვრის განახლებაში თანხა ამოღებულია 397 დაუცველობა.

საკითხები Java SE 14.0.1, 11.0.7 და 8u251 აღმოფხვრილი 15 უსაფრთხოების საკითხი. ყველა დაუცველობის გამოყენება შესაძლებელია დისტანციურად ავთენტიფიკაციის გარეშე. ყველაზე მაღალი სიმძიმის დონეა 8.3, რომელიც ენიჭება ბიბლიოთეკებში არსებულ პრობლემებს (CVE-2020-2803, CVE-2020-2805). ორ დაუცველობას (libxslt-სა და JSSE-ში) აქვს სიმძიმის დონეები 8.1 და 7.5.

Java SE-ში არსებული პრობლემების გარდა, დაუცველობა ასევე გამოქვეყნდა Oracle-ის სხვა პროდუქტებში, მათ შორის:

• 35 დაუცველობა MySQL სერვერზე და
  2 დაუცველობა MySQL კლიენტის (C API) განხორციელებაში. უმაღლესი სიმძიმის დონე 9.8 ენიჭება დაუცველობას CVE-2019-5482, რომელიც ჩნდება cURL მხარდაჭერით შედგენისას. პრობლემები დაფიქსირდა გამოშვებებში MySQL Community Server 8.0.20, 5.7.30 და 5.6.49.

• 19 დაუცველობა, რომელთაგან 7 პრობლემას აქვს საფრთხის კრიტიკული დონე (CVSS 8-ზე მეტი). ეს მოიცავს შეჯიბრზე დემონსტრირებულ შეტევებში გამოყენებული დაუცველობის გამოსწორებას Pwn2 საკუთარი 2020 წ და საშუალებას აძლევს, სტუმრების სისტემის მხარეს მანიპულაციების საშუალებით, მიიღონ წვდომა მასპინძელ სისტემაზე და შეასრულონ კოდი ჰიპერვიზორის უფლებებით. დაუცველობა ფიქსირდება განახლებებში VirtualBox 6.1.6, 6.0.20 და 5.2.40.
• 6 დაუცველობა სოლარისში. მაქსიმალური საფრთხის დონე 8.8 - ადგილობრივად ოპერირება პრობლემა საერთო დესკტოპის გარემოში, რომელიც საშუალებას აძლევს არაპრივილეგირებულ მომხმარებელს შეასრულოს კოდი root პრივილეგიებით. პრობლემები ასევე დაფიქსირდა ბირთვის მოდულში, რომელიც ახორციელებს SMB პროტოკოლს, Whodo-ში და svcbundle SMF ბრძანებაში. პრობლემები დაფიქსირდა გუშინდელ განახლებაში Solaris 11.4 SRU 20.

წყარო: opennet.ru