Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В январском обновлении в сумме устранено 497 уязвимостей.
Некоторые проблемы:
- 17 проблем с безопасностью в Java SE. Все уязвимости могут быть эксплуатированы удалённо без проведения аутентификации и затрагивают окружения, допускающие выполнение не заслуживающего доверия кода. Проблемы имеют умеренный уровень опасности – 16 уязвимостям присвоен уровень опасности
5.3, а одной – 3.7. Проблемы затрагивают 2D-подсистему, Hotspot VM, функции сериализации, JAXP, ImageIO и различные библиотеки.
Уязвимости устранены в выпусках Java SE 17.0.2, 11.0.13 и 8u311. - 30 уязвимостей в сервере MySQL, из которых одна может быть эксплуатирована удалённо. Наиболее серьёзным проблемам, которые связаны с использованием пакета Curl и работой оптимизатора, присвоены уровни опасности 7.5 и 7.1. Менее опасные уязвимости затрагивают оптимизатор, InnoDB, средства шифрования, DDL, хранимые процедуры, систему привилегий, репликацию, парсер, схемы данных. Проблемы устранены в выпусках MySQL Community Server 8.0.28 и 5.7.37.
- 2 уязвимости в VirtualBox. Проблемам присвоен уровень опасности 6.5 и 3.8 (вторая уязвимость проявляется только на платформе Windows). Уязвимости устранены в обновлении VirtualBox 6.1.32.
- 5 уязвимость в Solaris. Проблемы затрагивают ядро, инсталлятор, файловую систему, библиотеки и подсистему отслеживания сбоев. Проблемам присвоены уровни опасности 6.5 и ниже. Уявзимости устранены в обновлении Solaris 11.4 SRU41.
- Проведена работа по устранению уязвимостей в библиотеке Log4j 2 в продуктах Oracle. Всего устранено 33 уязвимости, вызванных проблемами в Log4j 2, которые проявлялись в таких продуктах, как Oracle WebLogic Server, Oracle WebCenter Portal, Oracle Business Intelligence Enterprise Edition, Oracle Communications Diameter Signaling Router, Oracle Communications Interactive Session Recorder, Oracle Communications Service Broker, Oracle Communications Services Gatekeeper, Oracle Communications WebRTC Session Controller,
Primavera Gateway, Primavera P6 Enterprise Project Portfolio Management, Primavera Unifier, Instantis EnterpriseTrack, Oracle Financial Services Analytical Applications Infrastructure, Oracle Financial Services Model Management and Governance, Oracle Managed File Transfer, Oracle Retail *, Siebel UI Framework, Oracle Utilities Testing Accelerator.
Release.
Ссылка here.