Компания Oracle опубликовала (https://blogs.oracle.com/oraclesecurity/july-2018-critical-p...) плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В июльском обновлении в сумме устранено 334 уязвимости (http://www.oracle.com/technetwork/security-advisory/cpujul20...), в том числе в некоторые продукты внесены исправления для блокирования новых вариантов атак Spectre (https://www.opennet.me/opennews/art.shtml?num=48956).В выпусках Java SE 10.0.2 и 8u181 (http://www.oracle.com/technetwork/java/javase/downloads/inde...) устранено 8 проблем с безопасностью. Все уязвимости могут быть эксплуатированы удалённо без проведения аутентификации. 3 уязвимостям присвоен (http://www.oracle.com/technetwork/security-advisory/cpujul20...) уровень опасности 8.3. Одна из проблем (в Java DB из ветки Java 8) имеет CVSS Score 9, что соответствует критическому уровню опасности. 5 проблем проявляются только на клиентских системах (запуск в браузере Java Web Start и Java-апплеты) и 3 затрагивают как клиентов, так и серверные конфигурации Java.
Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:
- 25 уязвимостей (http://www.oracle.com/technetwork/security-advisory/cpujul20...) в MySQL (максимальный уровень опасности 7.1, уязвимость в InnoDB), из которых одна из проблем позволяет выполнить атаку удалённо без прохождения аутентификации.
Дополнительно можно отметить критическую уязвимость (CVSS Score 9.8) в компоненте MySQL Enterprise Monitor, вызванную уязвимостью в Apache Log4j.
Проблемы устранены в выпусках MySQL Community Server 8.0.11, 5.7.22, 5.6.40 и 5.5.60 (http://dev.mysql.com/downloads/mysql/).
- 9 уязвимостей (http://www.oracle.com/technetwork/security-advisory/cpujul20...) в VirtualBox, из которых 5 имеют критическую степень опасности (CVSS Score 8.6). Уязвимости устранены во вчерашнем обновлении VirtualBox 5.2.16 (https://www.opennet.me/opennews/art.shtml?num=48980) (в примечании (https://www.virtualbox.org/wiki/Changelog) к релизу факт устранения проблем с безопасностью не был афиширован).
- 7 проблем (http://www.oracle.com/technetwork/security-advisory/cpujul20...) в Solaris (максимальная степень опасности 8.1) - проблемы в RAD, ядре,
Availability Suite Service и драйвере NVIDIA-GFX.
URL: https://blogs.oracle.com/oraclesecurity/july-2018-critical-p...
Новость: https://www.opennet.me/opennews/art.shtml?num=48984