Oracle выпустилаянварское обновление безопасности 2025 года (Critical Patch Update, CPU), содержащее исправления для 318 уязвимостей в различных продуктах и сервисах компании. Среди них обнаружена крайне опасная уязвимость в Oracle Agile Product Lifecycle Management (PLM) Framework ( CVE-2025-21556 ), имеющая рейтинг CVSS 9.9.
Проблема позволяет злоумышленникам с минимальными привилегиями и сетевым доступом через HTTP полностью скомпрометировать уязвимые системы Agile PLM Framework. Национальная база данных уязвимостей NIST описывает эту проблему как “легко эксплуатируемую”, что делает её крайне опасной для организаций, использующих указанное ПО.
Примечательно, что Oracle ранее предупреждала об активных попытках эксплуатации другой уязвимости в Agile PLM Framework ( CVE-2024-21287, CVSS 7.5), выявленной в ноябре 2024 года. Обе проблемы затрагивают версии Agile PLM Framework 9.3.6.
По словам Эрика Мориса, вице-президента Oracle по безопасности, “пользователи должны незамедлительно установить январское обновление безопасности, включающее исправления для CVE-2024-21287 и других критических уязвимостей”.
Среди других уязвимостей, получивших оценку 9.8 по шкале CVSS, были устранены следующие:
- CVE-2025-21524 – в компоненте Monitoring and Diagnostics SEC системы JD Edwards EnterpriseOne Tools.
- CVE-2023-3961 – в компоненте E1 Dev Platform Tech (Samba) системы JD Edwards EnterpriseOne Tools.
- CVE-2024-23807 – в компоненте синтаксического анализатора XML Apache Xerces C++ в Oracle Agile Engineering Data Management
- CVE-2023-46604 – в компоненте Apache ActiveMQ маршрутизатора Communications Diameter Signaling Router.
- CVE-2024-45492 – в XML-парсере (libexpat), который используется в Oracle Communications Network Analytics Data Director.
- CVE-2024-56337 – в компоненте сервера Apache Tomcat в Oracle Communications Policy Management.
- CVE-2025-21535 – в Core-компоненте WebLogic Server.
Особое внимание привлекла уязвимость CVE-2025-21535, которая схожа с CVE-2020-2883(CVSS 9.8), ранее активно эксплуатировавшейся в Oracle WebLogic Server. Ранее в этом месяце Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) добавилоCVE-2020-2883 в каталог активно используемых уязвимостей (KEV).
Также Oracle устранила уязвимость CVE-2024-37371 (CVSS 9.1), связанную с
Представим, что компьютер (клиент) хочет получить доступ к определенному сервису (например, электронной почте) на другом компьютере (сервере). Чтобы убедиться, что пользователь имеет право на доступ, Kerberos использует специальное устройство, известное как Key Distribution Center (KDC). KDC хранит секретные ключи всех пользователей и сервисов и может выдавать “билеты” для доступа.
Когда пользователь хочет войти в систему, его компьютер отправляет запрос KDC с просьбой о билете. KDC проверяет учетные данные и, если все в порядке, выдает билет. Этот билет затем используется для подтверждения идентичности пользователя при обращении к сервису.
Одно из главных преимуществ Kerberos – его способность обеспечивать взаимную аутентификацию. Не только пользователь подтверждает свою идентичность, но и сервис может заверить пользователя в своей безопасности. Система помогает предотвратить атаки, в которых злоумышленник пытается притвориться сервисом.