Oracle-bedrijf geplande release van updates voor zijn producten (Critical Patch Update), gericht op het elimineren van kritieke problemen en kwetsbaarheden. In de januari-update was een totaal van .
Problemen geëlimineerd . Alle kwetsbaarheden kunnen op afstand worden misbruikt zonder authenticatie. Het hoogste ernstniveau is 8.3, dat wordt toegewezen aan problemen in bibliotheken (CVE-2020-2803, CVE-2020-2805). Twee kwetsbaarheden (in libxslt en JSSE) hebben ernstniveaus van 8.1 en 7.5.
Naast de problemen in Java SE zijn er kwetsbaarheden onthuld in andere Oracle-producten, waaronder:
- in MySQL-server en
2 kwetsbaarheden in de implementatie van de MySQL-client (C API). Het hoogste ernstniveau van 9.8 is toegewezen aan de kwetsbaarheid CVE-2019-5482, die verschijnt wanneer deze wordt gecompileerd met cURL-ondersteuning. Problemen opgelost in releases . - , waarvan 7 problemen een kritisch gevaarsniveau hebben (CVSS groter dan 8). Dit omvat het oplossen van kwetsbaarheden die worden gebruikt bij aanvallen die tijdens de wedstrijd zijn gedemonstreerd en het mogelijk maken, door manipulatie aan de kant van het gastsysteem, toegang te krijgen tot het hostsysteem en code uit te voeren met hypervisorrechten. Kwetsbaarheden worden opgelost in updates .
- in Solaris. Maximaal gevarenniveau 8.8 - lokaal bediend in de Common Desktop Environment, waardoor een gebruiker zonder rechten code met rootrechten kan uitvoeren. Er zijn ook problemen opgelost in de kernelmodule die het SMB-protocol implementeert, in Whodo en in de svcbundle SMF-opdracht. Problemen opgelost in de update van gisteren .
Bron: opennet.ru