Компанія Oracle плановий випуск оновлень своїх продуктів (Critical Patch Update), націлений на усунення критичних проблем та уразливостей. У липневому оновленні у сумі усунено .
У випусках усунено 10 проблем із безпекою. 9 уразливостей можуть бути експлуатовані віддалено без проведення аутентифікації. Найвищий рівень небезпеки - 6.8 (уразливість в libpng). Проблем з високим та критичним рівнем небезпеки, що дозволяють неавтентифікованому користувачеві по мережі скомпрометувати програми Java SE, не виявлено.
Крім проблем у Java SE, наявність вразливостей оприлюднена і в інших продуктах Oracle, у тому числі:
- у MySQL (максимальний рівень небезпеки 9.8, що свідчить про критичну проблему). Найбільш небезпечна проблема
() зв'язана з у коді розбору заголовків NTLM у бібліотеці libcurl, що може бути використане для віддаленої атаки на сервер MySQL неавтентифікованим користувачем. Майже всі інші проблеми виявляються лише за наявності автентифікованого доступу до СУБД. Виняток становить лише вразливість у Shell: Admin/InnoDB Cluster, якій надано рівень небезпеки 7.5. Проблеми будуть усунені у випусках . - у VirtualBox, з яких 3 мають високий ступінь небезпеки (CVSS Score 8.2 та 8.8). Уразливості усунуті в оновленнях до релізу факт усунення проблем із безпекою не афішований). Подробиці не повідомляються, але, судячи з рівня CVSS, усунуті вразливості, що дозволяють з оточення гостьової системи виконати код за хост-системы;
- в Solaris (максимальний ступінь небезпеки 9.1 -
пов'язана з IPv6 вразливість у ядрі (CVE-2019-5597), що допускає віддалену атаку (подробиці не повідомляються). Дві вразливості також мають критичний рівень небезпеки 8.8 — локально експлуатовані проблеми Common Desktop Environment і клієнтських утилітах для LDAP. З проблем з рівнем небезпеки вище 7 також можна відзначити уразливості, що віддалено експлуатуються в обробниках ICMPv6 і NFS в ядрі Solaris, і локальні проблеми у файловій системі і Gnuplot.
Джерело: opennet.ru