บริษัทออราเคิล การเปิดตัวการอัปเดตตามแผนสำหรับผลิตภัณฑ์ (Critical Patch Update) มีวัตถุประสงค์เพื่อขจัดปัญหาร้ายแรงและช่องโหว่ ในการอัพเดตเดือนกรกฎาคมทั้งหมด .
ในประเด็นต่างๆ แก้ไขปัญหาด้านความปลอดภัย 10 รายการ ช่องโหว่ 9 รายการสามารถถูกโจมตีจากระยะไกลได้โดยไม่ต้องมีการตรวจสอบสิทธิ์ ระดับความรุนแรงสูงสุดที่กำหนดคือ 6.8 (ช่องโหว่ใน libpng) ไม่พบปัญหาระดับสูงหรือร้ายแรงที่จะทำให้ผู้ใช้ที่ไม่ได้รับการรับรองความถูกต้องผ่านเครือข่ายสามารถประนีประนอมแอปพลิเคชัน Java SE ได้
นอกเหนือจากปัญหาใน Java SE แล้ว ยังมีการเปิดเผยช่องโหว่ในผลิตภัณฑ์อื่นๆ ของ Oracle ได้แก่:
- ใน MySQL (ระดับความรุนแรงสูงสุด 9.8 ซึ่งบ่งบอกถึงปัญหาร้ายแรง) ปัญหาที่อันตรายที่สุด
() ที่เกี่ยวข้องกับ ในโค้ดการแยกวิเคราะห์ส่วนหัว NTLM ในไลบรารี libcurl ซึ่งสามารถใช้เพื่อโจมตีเซิร์ฟเวอร์ MySQL จากระยะไกลโดยผู้ใช้ที่ไม่ได้รับการรับรองความถูกต้อง ปัญหาอื่นๆ เกือบทั้งหมดจะปรากฏขึ้นก็ต่อเมื่อมีการเข้าถึง DBMS ที่มีการรับรองความถูกต้องเท่านั้น ข้อยกเว้นเพียงอย่างเดียวคือช่องโหว่ใน Shell: Admin / InnoDB Cluster ซึ่งกำหนดระดับความรุนแรงไว้ที่ 7.5 ปัญหาจะได้รับการแก้ไขในการเผยแพร่ . - ใน VirtualBox ซึ่ง 3 รายการนั้นอันตรายมาก (คะแนน CVSS 8.2 และ 8.8) ช่องโหว่ได้รับการแก้ไขในการอัปเดต ความจริงที่ว่าปัญหาด้านความปลอดภัยได้รับการแก้ไขแล้วไม่ได้รับการโฆษณาก่อนการเปิดตัว) ไม่ได้ให้รายละเอียดไว้ แต่เมื่อพิจารณาจากระดับ CVSS ช่องโหว่ที่อนุญาตให้เรียกใช้โค้ดบนฝั่งระบบโฮสต์จากสภาพแวดล้อมระบบเกสต์ได้ถูกกำจัดไปแล้ว
- ใน Solaris (ระดับความรุนแรงสูงสุด 9.1 -
ช่องโหว่ที่เกี่ยวข้องกับ IPv6 ในเคอร์เนล (CVE-2019-5597) ทำให้เกิดการโจมตีระยะไกล (ไม่ได้ให้รายละเอียด) ช่องโหว่สองรายการยังมีระดับความรุนแรงวิกฤตที่ 8.8 - ปัญหาที่สามารถหาประโยชน์ได้ภายในเครื่องใน Common Desktop Environment และยูทิลิตี้ไคลเอนต์สำหรับ LDAP ปัญหาที่มีระดับความรุนแรงสูงกว่า 7 ยังรวมถึงช่องโหว่ที่สามารถหาประโยชน์ได้จากระยะไกลในตัวจัดการ ICMPv6 และ NFS ในเคอร์เนล Solaris และปัญหาเฉพาะที่ในระบบไฟล์และ Gnuplot
ที่มา: opennet.ru