Aktualizacje dla Java SE, MySQL, VirtualBox i innych produktów Oracle z naprawionymi lukami
Firma Oral опубликовала planowane wydanie aktualizacji do swoich produktów (Critical Patch Update), mających na celu wyeliminowanie krytycznych problemów i podatności. W styczniowej aktualizacji łącznie 397 luki w zabezpieczeniach.
Kwestie Java SE 14.0.1, 11.0.7 i 8u251 wyłączony 15 problemów bezpieczeństwa. Wszystkie luki można wykorzystać zdalnie bez uwierzytelniania. Najwyższy poziom istotności to 8.3, który przypisany jest problemom w bibliotekach (CVE-2020-2803, CVE-2020-2805). Dwie luki (w libxslt i JSSE) mają poziomy ważności 8.1 i 7.5.
Oprócz problemów w Java SE ujawniono luki w innych produktach Oracle, w tym:
19 luk w zabezpieczeniach, z czego 7 problemów ma krytyczny poziom zagrożenia (CVSS większy niż 8). Obejmuje to naprawianie luk wykorzystywanych w atakach zademonstrowanych podczas zawodów Pwn2Własny 2020 i umożliwienie, poprzez manipulacje po stronie systemu gościa, uzyskanie dostępu do systemu hosta i wykonanie kodu z uprawnieniami hypervisora. Luki są usuwane w aktualizacjach VirtualBox 6.1.6, 6.0.20 i 5.2.40.
6 luk w zabezpieczeniach w Solarisie. Maksymalny stopień zagrożenia 8.8 – eksploatacja lokalna problem w Common Desktop Environment, umożliwiając nieuprzywilejowanemu użytkownikowi wykonanie kodu z uprawnieniami roota. Naprawiono także problemy w module jądra implementującym protokół SMB, w Whodo i poleceniu SMF svcbundle. Problemy naprawione we wczorajszej aktualizacji Solaris 11.4 SRU 20.