Ежеквартальные наборы критических патчей от Oracle (CPU) известны солидным объемом. Каждые три месяца администраторам баз данных и систем приходится разбираться с непомерно большим количеством исправлений, однако январский CPU побил все прежние рекорды.

В минувший вторник Oracle выпустила 248 патчей, значительно больше, чем в июле. До настоящего момента июльский CPU считался самым объемным; так, октябрьский выпуск, последний в 2015 году, содержал 154 заплатки, тогда как июльский — 193.

Из 248 ныне закрываемых уязвимостей пять оценены в 10,0 балла по шкале CVSS; три из них были обнаружены в Java. Совокупно в Java устранено восемь багов, все они, кроме одного, допускают удаленный эксплойт без аутентификации. Одна критическая брешь была найдена в компоненте Java SE 2D API, обеспечивающем рисование графики и изображений, две другие — в пакете Abstract Window Toolkit (AWT) языка Java, который является частью стандартного API и используется для создания интерфейсов пользователя для Java-программ.

«Две из трех уязвимостей проявляются лишь на стороне клиента (см. упомянутый выше сценарий, заинтересовавший многих), одна также актуальна для серверных решений, на нее следует обратить внимание командам, отвечающим за работу серверов», — подчеркнул в своей блог-записи Вольфганг Кандек (Wolfgang Kandek), технический директор Qualys.

Java уже не создает впечатление провальной платформы с точки зрения безопасности, какой казалась пару лет назад, когда ее уязвимости активно использовались в целевых атаках и эксплойт-паках. Oracle произвела ряд изменений, в частности повысила безопасность Java-апплетов и запретила исполнение неподписанных апплетов. Производители браузеров тоже приняли меры для повышения контроля над Java. «Все это помогло стабилизировать среду исполнения для Java, и мы уже не наблюдаем ее использование в знаковых кибератаках и кампаниях», — признал Кандек.

Остальные уязвимости, получившие 10 баллов, присутствовали в Oracle GoldenGate, инструменте для управления изменением и регистрацией данных. Обе бреши доступны удаленно и могут эксплуатироваться без аутентификации. Согласно Oracle, они наиболее критичны для Oracle Database версий ниже 12.c, работающих на Windows.

В флагманском продукте Oracle Database Server исправлено 10 багов, в том числе три в GoldenGate. Остальные семь нельзя использовать удаленно.

Oracle также пропатчила критические уязвимости в других продуктах бизнес-класса. В Oracle E-Business Suite закрыто 78 брешей, из которых 69 допускают удаленный эксплойт без аутентификации. В этот комплект входят важные бизнес-приложения, в том числе ПО для управления финансами, поставками и связями с клиентами. Две уязвимости в E-Business Suite были обнаружены исследователями из ERPScan, компании, специализирующейся на защите систем управления ресурсами предприятий.

«Эти приложения хранят и обрабатывают очень важные корпоративные данные, такие как информация о персонале, финансах, списки поставщиков и заказчиков и т.п., — комментирует ERPScan новый CPU в своем блоге. — Успешная атака, к примеру, позволит злоумышленнику манипулировать данными о количестве материальных ресурсов, изменять расценки на товары, перераспределять фонды, вносить изменения в финансовые отчеты».

Категории: Главное, Уязвимости