Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
В набор обновлений компания включила 284 заплатки; в 33 случаях баг получил более 9 баллов по шкале CVSS.
Компания Oracle выпустила очередную порцию плановых патчей для своих продуктов. Обновления суммарно содержат 284 заплатки; многие из них закрывают сразу несколько брешей. Согласно таблице рисков, в 33 случаях баг получил более 9 баллов по шкале CVSS и признан критическим.
Больше всего хлопот разработчикам доставила облачная бизнес-платформа Fusion Middleware: в ней совокупно пропатчено около 60 компонентов. Согласно кратким описаниям, почти все уязвимости можно эксплуатировать удаленно и без аутентификации. Второе место в этом антирейтинге заняли приложения передачи данных, в которых Oracle залатала 30 компонентов.
Примечательно, что и в том, и в другом списке фигурирует баг удаленного исполнения кода CVE-2016-1000031 (9,8 балла), привязанный к библиотеке Commons FileUpload фреймворка Apache Struts и пропатченный разработчиком в 2017 году. Эта библиотека используется не только в Struts, но и других решениях, где ее замену, как подметили эксперты, приходится производить вручную. Cisco начала выпускать соответствующие патчи для своих продуктов в ноябре и пока не закончила этот процесс. Январский набор обновлений Oracle закрывает эту уязвимость в приложениях для связи, финансовых и торговых операций, а также в компоненте MapViewer платформы Fusion Middleware.
В различных составляющих СУБД MySQL устранено 30 брешей, в том числе уязвимость CVE-2018-10933 в библиотеке libssh, предназначенной для интеграции поддержки SSH в программы на языке Си. В самой libssh критическая брешь (9,1 балла) была пропатчена в октябре прошлого года, но для многих проектов она все еще актуальна. В случае Oracle на эту библиотеку полагается инструмент визуального проектирования MySQL Workbench.
В программе виртуализации Oracle VM VirtualBox закрыто 28 уязвимостей, в бизнес-программах PeopleSoft — 20, в популярном пакете приложений E-Business Suite — 16. В платформе Java SE разработчик устранил 5 брешей, которые можно использовать удаленно и без аутентификации. Степень опасности двух уязвимостей признана умеренной, в остальных случаях риск еще ниже, так как эксплойт, согласно Oracle, трудно осуществить.
Анонсируя новые патчи, компания особо отметила, что, по ее данным, злоумышленники время от времени и не без успеха пытаются эксплуатировать уязвимости, для которых уже существуют патчи. В связи с этим пользователям настоятельно рекомендуется отказаться от версий продуктов, срок поддержки которых истек, и ставить ежеквартальные заплатки без промедления.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |