Компания Oracle опубликовала (https://blogs.oracle.com/security/july-2019-critical-patch-u...) плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В июльском обновлении в сумме устранено 319 уязвимостей (https://www.oracle.com/technetwork/security-advisory/cpujul2...).
В выпусках Java SE 12.0.2, 11.0.4 и 8u221 (http://www.oracle.com/technetwork/java/javase/downloads/inde...) устранено 10 проблем с безопасностью. 9 уязвимостей могут быть эксплуатированы удалённо без проведения аутентификации. Наивысший присвоенный уровень опасности - 6.8 (уязвимость в libpng). Проблем с высоким и критическим уровнем опасности, позволяющих неаутентифицированному пользователю по сети скомпрометировать приложения на Java SE, не выявлено.
Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:
- 43 уязвимости (https://www.oracle.com/technetwork/security-advisory/cpujul2...) в MySQL (максимальный уровень опасности 9.8, свидетельствующий о критической проблеме). Наиболее опасная проблема
(CVE-2019-3822 (https://security-tracker.debian.org/tracker/CVE-2019-3822)) связана с переполнением буфера (https://curl.haxx.se/docs/CVE-2019-3822.html) в коде разбора заголовков NTLM в библиотеке libcurl, что может быть использовано для удалённой атаки на сервер MySQL неаутентифицированным пользователем. Почти все остальные проблемы проявляются только при наличии аутентифицированного доступа к СУБД. Исключение составляет только уязвимость в Shell: Admin / InnoDB Cluster, которой присвоен уровень опасности 7.5. Проблемы будут устранены в выпусках MySQL Community Server 8.0.17, 5.7.27 и 5.6.45 (http://dev.mysql.com/downloads/mysql/).
- 14 уязвимостей (https://www.oracle.com/technetwork/security-advisory/cpujul2...) в VirtualBox, из которых 3 имеют высокую степень опасности (CVSS Score 8.2 и 8.8). Уязвимости устранены в обновлениях VirtualBox 6.0.10 и 5.2.32 (в примечании (https://www.virtualbox.org/wiki/Changelog) к релизу факт устранения проблем с безопасностью не афиширован). Подробности не сообщаются, но судя по уровню CVSS устранены уязвимости, позволяющие из окружения гостевой системы выполнить код на стороне хост-системы;
- 10 уязвимости (https://www.oracle.com/technetwork/security-advisory/cpujul2...) в Solaris (максимальная степень опасности 9.1 -
связанная с IPv6 уязвимость в ядре (CVE-2019-5597), допускающая удалённую атаку (подробности не сообщаются). Две уязвимости также имеют критический уровень опасности 8.8 - локально эксплуатируемые проблемы в Common Desktop Environment и клиентских утилитах для LDAP. Из проблем с уровнем опасности выше 7 также можно отметить удалённо эксплуатируемые уязвимости в обработчиках ICMPv6 и NFS в ядре Solaris, и локальные проблемы в файловой системе и Gnuplot.
URL: https://blogs.oracle.com/security/july-2019-critical-patch-u...
Новость: https://www.opennet.dev/opennews/art.shtml?num=51107