Oracle вновь превзошла себя. Во вторник компания выпустила очередные обновления, побив свой прежний рекорд по количеству патчей за квартал. Из 276 ныне закрываемых уязвимостей половина допускает удаленный эксплойт.

Совокупно залатано 84 продукта, в том числе Oracle Database Server, Oracle Fusion Middleware и E-Business Suite. Число патчей для них заметно превышает январский, рекордный на тот момент объем (248 заплат) и в два раза — апрельский.

Как и в апрельском выпуске, более половины устраненных уязвимостей, общим числом 159, эксплуатируются удаленно и без аутентификации. Наибольшее количество таких брешей найдено в Fusion Middleware — 35 из 40 в этом продукте. В наборе E-Business Suite закрыто 23 уязвимости, в том числе 21 удаленного эксплойта, в Oracle Sun Systems Products Suite — 34, из них дистанционно можно использовать 21.

Oracle призывает пользователей установить новые патчи как можно скорее, однако при таком их количестве администраторам волей-неволей придется ранжировать по приоритетности даже самые безотлагательные случаи. 19 брешей оценены в 9,8 балла по шкале CVSS 3.0, они содержатся в девяти разных продуктах: Oracle Fusion Middleware, Supply Chain Products, Oracle Communications Applications, Oracle Health Sciences, Oracle Retail Applications, Oracle Sun Systems Products Suite и Oracle Virtualization.

В Java SE устранено 13 уязвимостей, 9 из них можно эксплуатировать удаленно и без аутентификации. Новые патчи адресованы пользователям Java SE 6u115, 7u101 и 8u92, а также Java SE Embedded 8u92.

Почти 10% брешей (27 в численном выражении), закрываемых июльским выпуском, обнаружил известный исследователь и баг-хантер Дэвид Личфилд (David Litchfield). Свои находки в продуктах Oracle он суммировал в pdf-документе.

Среди них внимания заслуживают множественные XSS в Oracle Primavera, программном обеспечении для управления проектами, обычно используемом в таких отраслях, как машиностроение, строительство, авиационно-космическая промышленность и т.д. Личфилд также обнаружил ряд SQLi в eBusiness Suite, XSS и SSRF (подмена запросов на стороне сервера) в Apex и баг XSS в Oracle Business Intelligence Enterprise Edition. Однако, пожалуй, самая опасная находка присутствовала в бизнес-пакете Agile Product Lifecycle Management; эта уязвимость позволяет получить привилегии INDEX в определенных таблицах SYS и создавать индексы по функции с тем, чтобы эти функции выполнялись как системные, что может привести к полной компрометации базы данных.

Без сомнения, столь объемный квартальный выпуск Oracle надолго озадачит системных администраторов. «Системы Oracle сложны и содержат множество компонентов, не говоря уже о многочисленных кастомных вариантах, которые есть у каждой компании, — отметил Александр Поляков, технический директор компании ERPScan, помогающей предприятиям укреплять защиту Oracle-систем планирования бизнес-ресурсов. — Поэтому администраторам систем Oracle следует быть готовыми к трудному и долгому процессу установки всех этих патчей».

Категории: Главное, Уязвимости