Uzņēmums Oracle plānotā savu produktu atjauninājumu izlaišana (Critical Patch Update), kuras mērķis ir novērst kritiskas problēmas un ievainojamības. Janvāra atjauninājumā kopā .
Jautājumos likvidēta . Visas ievainojamības var izmantot attālināti bez autentifikācijas. Augstākais smaguma līmenis ir 8.3, kas tiek piešķirts problēmām bibliotēkās (CVE-2020-2803, CVE-2020-2805). Divām ievainojamībām (libxslt un JSSE) ir 8.1 un 7.5 smaguma pakāpe.
Papildus Java SE problēmām ir atklātas ievainojamības arī citos Oracle produktos, tostarp:
- MySQL serverī un
2 ievainojamības MySQL klienta (C API) ieviešanā. Augstākais nopietnības līmenis 9.8 ir piešķirts ievainojamībai CVE-2019-5482, kas parādās, kad tiek kompilēta ar cURL atbalstu. Izlaidumos novērstas problēmas . - , no kurām 7 problēmām ir kritisks bīstamības līmenis (CVSS lielāks par 8). Tas ietver ievainojamību labošanu, kas izmantotas sacensībās demonstrētajos uzbrukumos un ļaujot, izmantojot manipulācijas viesu sistēmas pusē, piekļūt resursdatora sistēmai un izpildīt kodu ar hipervizora tiesībām. Ievainojamības tiek novērstas atjauninājumos .
- Solarisā. Maksimālais bīstamības līmenis 8.8 – darbojas lokāli kopējā darbvirsmas vidē, ļaujot nepiederošam lietotājam izpildīt kodu ar root tiesībām. Problēmas ir novērstas arī kodola modulī, kas ievieš SMB protokolu, pakalpojumā Whodo un komandā svcbundle SMF. Problēmas tika novērstas vakardienas atjauninājumā .
Avots: opennet.ru