В минувший вторник Oracle выпустила регулярное критическое обновление, привнесшее патчи для 154 уязвимостей в 54 различных продуктах компании.

Как заявляют представители Oracle, эксплойт более половины уязвимостей, а именно 84, возможен удаленно и без аутентификации.

Двадцать четыре уязвимости присутствовали в Java SE, причем семи из них была присвоена высокая степень опасности, в том числе багам в Java SE 6u101, Java SE 7u85, Java SE 8u60 и Java SE Embedded 8u51. Пользователям этих версий настоятельно рекомендуется установить обновление в кратчайшие сроки. Как заявили представители Oracle, эксплойт этих багов может при определенных условиях привести к полной компрометации целевой системы.

Второе место по числу уязвимостей, доступных удаленно, заняла платформа Oracle Fusion Middleware, в ней было запатчено 16 таких багов.

Из семи брешей, пропатченных в Oracle Database, особого внимания заслуживают четыре, наиболее опасные. Одна получила 10 баллов по шкале CVSS, ее можно эксплуатировать без предварительной аутентификации; три другие оценены в 9 баллов.

Три ныне закрываемые уязвимости в системе управления взаимоотношениями с клиентами Siebel, системе хранения данных Pillar Axiom и пакете Applications for Work and Asset Management также могут быть использованы неаутентифицированным атакующим.

Эрик Морис (Eric P. Maurice), руководитель отдела по обеспечению безопасности программных продуктов Oracle, пишет в блоге компании, что о фактах использования опасных уязвимостей itw на данный момент неизвестно, но не исключено, что ситуация может измениться, если атакующие займутся анализом патчей.

Хотя представители компании признают, что атаки на ряд уязвимостей технически можно отразить, заблокировав некоторые сетевые протоколы, Oracle тем не менее настаивает на скорейшей установке патчей.

«С учетом потенциального риска мы рекомендуем системным администраторам установить фиксы как можно скорее», — говорится в бюллетене.

Это последний апдейт, который должен был выйти в этом году, поскольку компания выпускает их лишь четыре раза в год. Выпуск следующих обновлений запланирован на 19 января 2016 года.

Категории: Главное, Уязвимости