+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

Oracle опублікувала плановий випуск оновлень своїх продуктів (Critical Patch Update), що усувають критичні проблеми та вразливості

Oracle опублікувала плановий випуск оновлень своїх продуктів (Critical Patch Update), що усувають критичні проблеми та вразливості

Oracle опублікувала плановий випуск оновлень своїх продуктів (Critical Patch Update), націлений на усунення критичних проблем і вразливостей. У липневому оновленні у сумі усунено 319 уразливостей.

У випусках Java SE 12.0.2, 11.0.4 та 8u221 усунено 10 проблем з безпекою. 9 уразливостей можуть бути експлуатовані віддалено без проведення аутентифікації. Найвищий рівень небезпеки - 6.8 (уразливість в libpng). Проблем з високим і критичним рівнем небезпеки, що дозволяють неавтентифікованому користувачеві по мережі скомпрометувати програми Java SE, не виявлено.

Крім проблем у Java SE, наявність уразливостей оприлюднено і в інших продуктах Oracle, у тому числа:

  • 43 вразливості в MySQL (максимальний рівень небезпеки 9.8, що свідчить про критичну проблему). Найбільш небезпечна проблема (CVE-2019-3822) пов'язана з переповненням буфера в коді розбору заголовків NTLM у бібліотеці libcurl, що може бути використане для видаленої атаки на сервер MySQL неавтентифікованим користувачем. Майже всі інші проблеми виявляються лише за наявності автентифікованого доступу до СУБД. Виняток становить лише вразливість у Shell: Admin/InnoDB Cluster, якій надано рівень небезпеки 7.5. Проблеми будуть усунені у випусках MySQL Community Server 8.0.17, 5.7.27 та 5.6.45.
  • 14 уразливостей в VirtualBox, з яких 3 мають високий ступінь небезпеки (CVSS Score 8.2 та 8.8). Уразливості усунуті в оновленнях VirtualBox 6.0.10 та 5.2.32 (в примітці до релізу факт усунення проблем з безпекою не афішовано). Подробиці не повідомляються, але, судячи з рівня CVSS, усунуті вразливості, що дозволяють з оточення гостьової системи виконати код на стороні хост-системи;
  • 10 вразливостей в Solaris (максимальний ступінь небезпеки 9.1 - пов'язана з IPv6 вразливість в ядрі (CVE-2019-5597), що допускає віддалену атаку (подробиці не повідомляються). Дві вразливості також мають критичний рівень небезпеки 8.8 - локально Desktop Environment та клієнтські утиліти для LDAP З проблем із рівнем небезпеки вище 7 також можна відзначити віддалено експлуатовані вразливості в обробниках ICMPv6 і NFS в ядрі Solaris, і локальні проблеми у файловій системі та Gnuplot.

Інші новини