Очередные обновления для продуктов Oracle содержат 219 заплат; многие из них закрывают сразу несколько уязвимостей.

В то же время некоторые баги затрагивают разные продукты — например, RCE-уязвимость CVE-2019-14379 в программном пакете FasterXML jackson-databind, обеспечивающем функциональность для конвертации JSON-контента в объекты Java и наоборот. Эту библиотеку используют веб-приложения Oracle для сферы финансов, строительной отрасли, розничной торговли; все они получили соответствующий патч.

Больше половины закрытых вендором уязвимостей можно эксплуатировать удаленно и без авторизации в системе. Из них 14 оценены как критические: они получили не менее 9 баллов по шкале CVSS. Наиболее опасной является CVE-2018-14721— возможность подмены запросов на стороне сервера (SSRF), обнаруженная в СУБД NoSQL. Степень ее опасности оценена в 10 баллов из десяти возможных. Кроме нее, Oracle пропатчила еще десяток багов, затрагивающих ее ПО для серверов баз данных; восемь из них привязаны к реляционной СУБД.

Самое большое количество патчей получили продукты семейства Fusion Middleware — 37.  В них совокупно устранено 32 уязвимости (помимо тех, что содержатся в Oracle Database). Восемь из них были выявлены в различных компонентах WebLogic Server.

Для СУБД MySQL выпущено 34 заплатки, для платформы Java SE — 20. Пропатчены также популярный набор бизнес-приложений E-Business Suite, система управления предприятием PeopleSoft, программа виртуализации Oracle VM VirtualBox, ОС Solaris.

«Oracle по-прежнему периодически получает отчеты о попытках злонамеренной эксплуатации уязвимостей, для которых уже выпущены патчи, — сказано в бюллетене компании. — Некоторые попытки завершились успехом, так как атакуемый пользователь не удосужился применить готовый патч. В связи с этим Oracle настоятельно рекомендует пользоваться только версиями с активной поддержкой и устанавливать ежеквартальные заплатки без промедления».

Согласно графику Oracle, следующий набор патчей разработчики сформируют к 14 января.

Категории: Главное, Уязвимости