Очередное критическое обновление безопасности выпустила компания Oracle. Комплексное обновление для различных продуктов компании Oracle устраняет 78 уязвимостей. Среди подверженных уязвимостям приложений находятся: Database, Fusion Middleware, E-Business Suite, Oracle Supply Chain, PeopleSoft, JDEdwards, Oracle Sun Product Suite, Oracle Virtualization Product Suite и Oracle MySQL Product Suite. В Oracle Database Server устранено 2 уязвимости: CVE-2012-0082 (уязвимость ядра СУБД, позволяющая повысить права авторизированного пользователя) и CVE-2012-0072 (уязвимость менеджера обработки сообщений, что позволяет произвести удаленную DDoS-атаку без авторизации). 11 уязвимостей устранено в Oracle Fusion Middleware, при этом 5 уязвимостей могут быть использованы удаленно с целью раскрытия информации и проведения XSS-атак. Наиболее уязвимыми компонентами Oracle Fusion Middleware оказались Oracle WebCenter Content (CVE-2012-0083, CVE-2012-0085 и др.) и Oracle Web Services Manager (CVE-2011-3531, CVE-2011-3569, CVE-2011-3566 и др.). В Oracle E-Business Suite устранено 3 уязвимости, одна из которых позволяет обойти ограничения модуля Oracle Forms (CVE-2012-0073). Устранена возможность проведения DoS-атаки на веб-сервер Apache через уязвимость CVE-2011-3192 в компоненте Oracle Transportation Management набора приложений Oracle Supply Chain Products Suite. В Oracle JD Edwards устранено 8 уязвимостей, одна из которых может использоваться удаленно и без аутентификации пользователя - CVE-2011-2324 (компонент JD Edwards EnterpriseOne Tools содержит ошибки обработки сообщений внутреннего протокола JDENET). В наборе приложений Oracle Sun Products Suite устранено 17 уязвимостей, в числе которых уязвимость CVE-2012-0094, которая имеет наивысший уровень опасности среди всех уязвимостей представленного бюллетеня и позволяет произвести DoS-атаку, вызывающую крах ОС Solaris в результате ошибок обработки специально сформированного TCP/IP пакета данных. Не менее опасные уязвимости устранены в модулях обработки данных протоколов RPC (CVE-2012-0096) и SSH (CVE-2012-0099), они также могут быть использованы для проведения DDoS-атаки. Локальная уязвимость CVE-2012-0100 в компоненте Kerberos операционной системы Solaris могла быть использована злоумышленниками для приобретения root-привилегий. В модуле Web Container приложения Oracle GlassFish Server устранено несколько опасных уязвимостей, вызывающих сбой в работе системы: CVE-2011-5035, CVE-2012-0104 и др. В Oracle MySQL устранено 27 уязвимостей, среди которых лишь CVE-2011-2262 может быть использована удаленно и не требует аутентификации пользователя. Кроме того, 6 малозначительных уязвимостей было устранено в продуктах линейки Oracle PeopleSoft и 3 уязвимости в Oracle Virtualization. Следующее комплексное обновление безопасности запланировано на 17 апреля 2012 года.
Бюллетень безопасности