Во вторник, 20 января, Oracle выпустил обновления (Critical Patch Update) для сотен своих продуктов, исправляющие 167 уязвимостей. Согласно предшествующему релизу уведомлению компании, некоторые бреши содержатся сразу в нескольких продуктах одновременно. Опасность уязвимостей определяется по системе оценки CVSS 2.0. Наиболее опасными являются бреши в серверах Fujitsu M10-1, M10-4 и M10-4S из Oracle Sun Systems Products Suite, а также в платформе Java SE, получившие оценку 10.0.
Critical Patch Update содержит исправления для 35 уязвимостей в ПО Oracle Fusion Middleware, 28 из которых могут быть проэксплуатированы удаленным злоумышленником без необходимости ввода имени пользователя и пароля. Наивысшей оценкой опасности, полученной брешью в Oracle Fusion Middleware, является 9.3. Что касается Oracle Enterprise Manager Grid Control, то январские патчи исправляют 10 уязвимостей, присутствующих в компонентах Enterprise Manager Base Platform и Enterprise Manager Ops Center. Все бреши могут быть проэксплуатированы удаленным пользователем без аутентификации. Наивысшей оценкой опасности, полученной брешью в Oracle Enterprise Manager Grid Control, является 7.5.
В Critical Patch Update также предусмотрены исправления для 10 уязвимостей в Oracle E-Business Suite, 6 из которых могут быть проэксплуатированы злоумышленником без необходимости ввода имени пользователя и пароля. Наивысшей оценкой опасности, полученной брешью в Oracle E-Business Suite, является 6.4.
Патчи исправляют 6 брешей в Oracle Agile PLM, Oracle Agile PLM for Process и Oracle Transportation Management из семейства ПО Oracle Supply Chain Products Suite. 3 из этих уязвимостей могут быть проэксплуатированы удаленно и без аутентификации. Наиболее опасная брешь в ПО получила оценку 6.8.
Critical Patch Update исправляет 7 уязвимостей в Oracle PeopleSoft Products, одна из которых может эксплуатироваться удаленно и без аутентификации. Наиболее опасная брешь в ПО получила оценку 5.5. Уязвимыми являются продукты PeopleSoft Enterprise HRMS и PeopleSoft Enterprise PeopleTools.
Что касается Oracle JD Edwards Products, то январские обновления исправляют одну уязвимость в JD Edwards EnterpriseOne Tools, получившую оценку 7.5. Также исправляется одна брешь в Oracle Healthcare Master Person Index из ПО Oracle Health Sciences Applications с оценкой 7.5 и в Oracle Retail Applications (оценка 6.8). Еще по 2 уязвимости будут исправлены в Oracle iLearning (оценка 4.3) и Oracle Communications Applications (оценка 7.6). Патчи исправляют 17 брешей в Oracle Siebel CRM, 19 – в Oracle Java SE, 29 – в Oracle Sun Systems Products Suite, 11 – в Oracle Virtualization и 9 – в MySQL Server. (Oracle/NovostIT)
