Компания Oracle представила плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В октябрьском обновлении в сумме устранено 253 уязвимости.
В выпусках Java SE 8u111 и 8u112 устранено 7 проблем с безопасностью, которые могут быть эксплуатированы удалённо без проведения аутентификации. Трём уязвимостям присвоен критический уровень опасности (CVSS Score больше 9). Все проблемы проявляются только на клиентских системах (запуск в браузере Java Web Start и Java-апплеты). Выпуск Java SE 8u112 вышел одновременно с 8u111 и отличается не только устранением уязвимостей, но и исправлением ошибок, не связанных с безопасностью. Из грядущих изменений отмечается прекращение поддержки MD5 для формирования цифровых подписей для JAR-файлов, начиная с января 2017 года все JAR-файлы с MD5 будут считаться неподписанными.
Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:
- 32 уязвимости в MySQL (максимальный уровень опасности 7.5). Проблемы устранены в выпусках MySQL Community Server 5.7.15, 5.6.33 и 5.5.53.
- 10 уязвимостей в Solaris (максимальный уровень опасности 7.8). Уязвимости устранены в ядре, контейнерах Kernel Zones, инсталляторе, файловой системе, Lynx, IKE и bash.
- 8 уязвимостей в VirtualBox (максимальная степень опасности 9.1 - серьёзная уязвимость в расширении VRDE). Уязвимости устранены в обновлениях VirtualBox 5.0.28 и 5.1.8.
- В продуктах Oracle Big Data Discovery, Oracle Web Services и Oracle Commerce/WebLogic выявлена критическая уязвимость, позволяющая получить контроль над системой через отправку специально оформленного запроса по HTTP;
- В компоненте Application Express для СУБД Oracle выявлена легко эксплуатируемая проблема, позволяющая неаутнтифицированному атакующему по сети получить доступ к системе через манипуляцию с HTTP-запросами.
|