Компания Oracle выпустила очередной квартальный набор патчей для своих продуктов. На сей раз заплатки закрывают 297 уязвимостей. Это несколько больше, чем в январе, когда было устранено 284 бреши. Разработчики залатали дыры в бизнес-платформе Fusion Middleware, приложениях наборов E-business suite, Financial Services и Hospitality, системе управления базами данных MySQL и нескольких других решениях.

Критическими оказались 57 уязвимостей с оценкой выше 9 баллов по шкале CVSS 3.0. При этом 49 багов практически достигли максимального уровня угрозы, так как их можно эксплуатировать удаленно и без аутентификации.

Больше всего патчей выпущено для цифровой бизнес-платформы Oracle Fusion Middleware. В ней нашли 53 бага, 42 из которых можно использовать без непосредственного доступа к устройству и ввода учетных данных. При этом 14 из этих ошибок являются критическими. Их оценка по шкале CVSS составляет 9,8 балла. Среди них — давняя уязвимость удаленного исполнения кода CVE-2016-1000031 и свежая брешь CVE-2019-3822, связанная с возможностью переполнения буфера и позволяющая скомпрометировать HTTP-сервер.

В системе управления базами данных MySQL насчиталось 45 уязвимостей, но они оказались менее серьезными. Максимальный уровень опасности брешей составил 7,5 балла.

Интегрированный набор бизнес-приложений для управления предприятием Oracle E-Business Suite насчитывает 35 багов, и только двумя из них нельзя воспользоваться удаленно и без аутентификации. У 27 уязвимостей уровень опасности составляет от 8,1 до 8,2. В их число входит и новая брешь CVE-2019-2663, которая позволяет злоумышленнику взломать продукт для колл-центров Advanced Outbound Telephony через HTTP.

«Успешная эксплуатация этой уязвимости может привести к раскрытию критически важных данных, а также к несанкционированному изменению данных и прав доступа к ним», — говорится в бюллетене компании.

Бреши нашли также в 19 других продуктах. С полным списком можно ознакомиться на официальном сайте разработчика. Oracle рекомендует клиентам как можно скорее установить обновления, так как в противном случае брешами могут воспользоваться в своих целях злоумышленники. В компанию регулярно поступают сведения о попытках провести атаки через уже исправленные ошибки: преступники рассчитывают на то, что их жертвы вовремя не установили заплатки.

Категории: Главное, Уязвимости