Компанія Oracle плановий випуск оновлень своїх продуктів (Critical Patch Update), націлений на усунення критичних проблем та уразливостей. У січневому оновленні у сумі усунено .
У випусках усунено . Усі уразливості можуть бути експлуатовані віддалено без аутентифікації. Найвищий рівень небезпеки – 8.3, який надано проблемам у бібліотеках (CVE-2020-2803, CVE-2020-2805). Дві вразливості (в libxslt та JSSE) мають рівень небезпеки 8.1 та 7.5.
Крім проблем у Java SE, наявність вразливостей оприлюднена і в інших продуктах Oracle, у тому числі:
- у сервері MySQL та
2 уразливості у реалізації клієнта MySQL (C API). Найбільший рівень небезпеки 9.8 надано вразливості CVE-2019-5482, що виявляється при компіляції з підтримкою cURL. Проблеми усунуті у випусках . - , З яких 7 проблем мають критичний рівень небезпеки (CVSS більше 8). У тому числі усунуто вразливості, що використовуються в атаках, продемонстрованих на змаганні і що дозволяють через маніпуляції на стороні гостьової системи отримати доступ до хост-системи та виконати код із правами гіпервізора. Уразливості усунуті в оновленнях .
- у Solaris. Максимальний ступінь небезпеки 8.8 - локально експлуатована у Common Desktop Environment, що дозволяє непривілейованому користувачеві домогтися виконання коду з правами root. Проблеми також усунуті в модулі ядра з реалізацією протоколу SMB, Whodo і SMF команді svcbundle. Проблеми усунуті у вчорашньому оновленні .
Джерело: opennet.ru