Компания Oracle опубликовала (https://blogs.oracle.com/oraclesecurity/october-2018-critica...) плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В октябрьском обновлении в сумме устранено 301 уязвимость (https://www.oracle.com/technetwork/security-advisory/cpuoct2...).В выпусках Java SE 11.0.1 и 8u191 (http://www.oracle.com/technetwork/java/javase/downloads/inde...) устранено 12 проблем с безопасностью. Все уязвимости могут быть эксплуатированы удалённо без проведения аутентификации. Трём уязвимостям присвоен (http://www.oracle.com/technetwork/security-advisory/cpuoct20...) уровень опасности 8.3. Одна из проблем (CVE-2018-3183 (https://security-tracker.debian.org/tracker/CVE-2018-3183)) имеет CVSS Score 9, что соответствует критическому уровню опасности. Указанная уязвимость затрагивает компонент JRockit (модуль Scripting) и позволяет неаутентифицированному пользователю по сети скомпрометировать приложения на Java SE, Java SE Embedded, JRockit.
Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:
- 34 уязвимости (http://www.oracle.com/technetwork/security-advisory/cpuoct20...) в MySQL (максимальный уровень опасности 8.8). Наиболее опасная проблема
(CVE-2016-9843 (https://security-tracker.debian.org/tracker/CVE-2016-9843)) затрагивает используемую в InnoDB библиотеку zlib и может привести к некоррекной проверке контрольных сумм;
Проблемы устранены в выпусках MySQL Community Server 8.0.12, 5.7.23, 5.6.41 и 5.5.66 (http://dev.mysql.com/downloads/mysql/).
- 14 уязвимостей (http://www.oracle.com/technetwork/security-advisory/cpuoct20...) в VirtualBox, из которых 13 имеют критическую степень опасности (CVSS Score 8.6+). Уязвимости устранены в обновлении VirtualBox 5.2.20 (https://www.opennet.ru/opennews/art.shtml?num=49455) (в примечании (https://www.virtualbox.org/wiki/Changelog) к релизу факт устранения проблем с безопасностью не был афиширован). Наиболее опасная проблема c CVSS Score 9.0 затрагивает реализацию протокола VRDP.
- 17 проблем (http://www.oracle.com/technetwork/security-advisory/cpuoct20...) в Solaris (максимальная степень опасности 8.1) - проблемы в RAD (Remote Administration Daemon), ядре, LibKMIP, Zones, Sudo, LFTP, RPC, SMB Server и Verified Boot. Проблемы устранены в выпуске
Solaris 11.4 SRU2 (https://blogs.oracle.com/solaris/announcing-oracle-solaris-1...), в котором также обновлены версии пакетов nghttp2 1.32.0, unixodbc 2.3.6 и PHP 7.1.21.
URL: https://blogs.oracle.com/oraclesecurity/october-2018-critica...
Новость: https://www.opennet.ru/opennews/art.shtml?num=49456