Крупнейший поставщик СУБД и бизнес-приложений — компания Oracle выпустила новый набор критических обновлений, закрывающих более 100 уязвимостей. Многие из этих брешей имеют высокую базовую оценку CVSS, и патчи к ним следует установить как можно быстрее.

Новый квартальный выпуск актуален, в частности, для таких групп продуктов, как Oracle Database, Fusion Middleware, Hyperion, Supply Chain Product Suite, iLearning, PeopleSoft Enterprise, Siebel CRM, Java SE, а также для набора Sun Microsystems Products Suite, включая Oracle Linux and Virtualization и Oracle MySQL. Неделей ранее Oracle опубликовала список использующих OpenSSL продуктов, указав степень риска в отношении уязвимости CVE-2014-0160, известной как Heartbleed.

Среди патчей, которым присвоен высший приоритет, выделяются две заплатки для Oracle Database. Наиболее опасная из соответствующих брешей может привести к полной компрометации Windows-системы, хотя ее эксплойт потребует от атакующего авторизации. Риски для других платформ, таких как Linux и Solaris, не столь высоки.

Апрельский выпуск закрывает также 20 уязвимостей в продуктах серии Fusion Middleware. Наиболее серьезная из них может быть использована удаленно и без авторизации; она открывает широкие возможности для компрометации WebLogic Server.

Из 37 ныне закрываемых Java-брешей четыре имеют самый высокий балл по системе оценки CVSS — 10.0. Oracle призывает всех пользователей, в особенности владельцев домашних ПК, установить новые патчи без промедления.

В продуктах Oracle Linux and Virtualization исправлено пять ошибок, самая опасная из которых актуальна для некоторых версий Oracle Global Secure Desktop.

«Поскольку некоторые ныне закрываемые уязвимости достаточно серьезны, Oracle настоятельно рекомендует клиентам установить этот набор патчей как можно скорее», — подчеркнул Эрик Морис (Eric Maurice), менеджер по обеспечению безопасности продукции компании.

В начале текущего месяца исследователи из Security Explorations раскрыли более двух десятков уязвимостей в платформе Java Cloud Service. В апрельском наборе бюллетеней эта платформа не упоминается, так что разработчик, видимо, пока не решил эти проблемы. В минувшем марте специалисты из лондонской ИБ-компании Portcullis заявили об обнаружении четырех багов в продукте Demantra из набора Value Chain Planning. Они также отсутствуют в нынешнем выпуске Oracle.

Категории: Уязвимости