Spoločnosť Oracle plánované vydanie aktualizácií svojich produktov (Critical Patch Update), zamerané na odstránenie kritických problémov a zraniteľností. V januárovej aktualizácii celkom .
V otázkach eliminovaný . Všetky zraniteľnosti je možné zneužiť na diaľku bez overenia totožnosti. Najvyššia úroveň závažnosti je 8.3, ktorá je priradená problémom v knižniciach (CVE-2020-2803, CVE-2020-2805). Dve zraniteľnosti (v libxslt a JSSE) majú úroveň závažnosti 8.1 a 7.5.
Okrem problémov v Java SE boli odhalené zraniteľnosti aj v iných produktoch Oracle, vrátane:
- na serveri MySQL a
2 zraniteľnosti v implementácii klienta MySQL (C API). Najvyššia úroveň závažnosti 9.8 je priradená k zraniteľnosti CVE-2019-5482, ktorá sa objaví pri kompilácii s podporou cURL. Problémy opravené vo vydaniach . - , z toho 7 problémov má kritickú úroveň nebezpečenstva (CVSS väčšie ako 8). To zahŕňa opravu slabých miest používaných pri útokoch demonštrovaných na súťaži a umožnenie, prostredníctvom manipulácií na strane hosťujúceho systému, získať prístup k hostiteľskému systému a spustiť kód s právami hypervízora. Chyby zabezpečenia sú opravené v aktualizáciách .
- v Solarise. Maximálny stupeň nebezpečenstva 8.8 - prevádzkované lokálne v Common Desktop Environment, čo umožňuje neprivilegovanému používateľovi spúšťať kód s oprávneniami root. Problémy boli opravené aj v module jadra implementujúceho protokol SMB, vo Whodo a v príkaze svcbundle SMF. Problémy opravené vo včerajšej aktualizácii .
Zdroj: opennet.ru