Компания Oracle выпустила очередную порцию плановых патчей для своих продуктов. Обновления суммарно содержат 284 заплатки; многие из них закрывают сразу несколько брешей. Согласно таблице рисков, в 33 случаях баг получил более 9 баллов по шкале CVSS и признан критическим.

Больше всего хлопот разработчикам доставила облачная бизнес-платформа Fusion Middleware: в ней совокупно пропатчено около 60 компонентов. Согласно кратким описаниям, почти все уязвимости можно эксплуатировать удаленно и без аутентификации. Второе место в этом антирейтинге заняли приложения передачи данных, в которых Oracle залатала 30 компонентов.

Примечательно, что и в том, и в другом списке фигурирует баг удаленного исполнения кода CVE-2016-1000031 (9,8 балла), привязанный к библиотеке Commons FileUpload фреймворка Apache Struts и пропатченный разработчиком в 2017 году. Эта библиотека используется не только в Struts, но и в других решениях, где ее замену, как подметили эксперты, приходится производить вручную. Cisco начала выпускать соответствующие патчи для своих продуктов в ноябре и пока не закончила этот процесс. Январский набор обновлений Oracle закрывает эту уязвимость в приложениях для связи, финансовых и торговых операций, а также в компоненте MapViewer платформы Fusion Middleware.

В различных составляющих СУБД MySQL устранено 30 брешей, в том числе уязвимость CVE-2018-10933 в библиотеке libssh, предназначенной для интеграции поддержки SSH в программы на языке Си. В самой libssh критическая брешь (9,1 балла) была пропатчена в октябре прошлого года, но для многих проектов она все еще актуальна. В случае Oracle на эту библиотеку полагается инструмент визуального проектирования MySQL Workbench.

В программе виртуализации Oracle VM VirtualBox закрыто 28 уязвимостей, в бизнес-программах PeopleSoft — 20, в популярном пакете приложений E-Business Suite — 16. В платформе Java SE разработчик устранил 5 брешей, которые можно использовать удаленно и без аутентификации. Степень опасности двух уязвимостей признана умеренной, в остальных случаях риск еще ниже, так как эксплойт, согласно Oracle, трудно осуществить.

Анонсируя новые патчи, компания особо отметила, что, по ее данным, злоумышленники время от времени и не без успеха пытаются эксплуатировать уязвимости, для которых уже существуют патчи. В связи с этим пользователям настоятельно рекомендуется отказаться от версий продуктов, срок поддержки которых истек, и ставить ежеквартальные заплатки без промедления.

Категории: Главное, Уязвимости