Oracle закрыла более 80 уязвимостей в своих программных продуктах

18/07/2012 21:12

Компания Oracle представила очередное критическое обновление безопасности Critical Patch Updates (CPUs) для своих программных продуктов: Oracle Database, Oracle Fusion Middleware, Oracle Application Server, Oracle Identity Management, Hyperion BI+, Oracle JRockit, Oracle Map Viewer, Oracle Outside In Technology, Enterprise Manager Grid Control, Enterprise Manager Plugin for Database, Oracle E-Business Suite, Oracle Transportation Management, Oracle AutoVue, Oracle PeopleSoft Enterprise, Oracle Siebel CRM, Oracle Clinical Remote Data Capture Option, Oracle MySQL Server, Solaris и ряда других из семейства Oracle Sun Products. Обновление исправляет 87 уязвимостей, из которых 40 могли быть использованы удаленно и не требуют авторизации пользователя. Среди закрытых уязвимостей, восемь были обнаружены в 2011 году, причем некоторые из них касались давно устраненных уязвимостей в сторонних программных продуктах: Apache (CVE-2011-3192, CVE-2011-3368, CVE-2011-4317), PHP (CVE-2011-4885) и libc (CVE-2011-0419). Еще одна уязвимость CVE-2001-0323 родом из 2001 года, была способна вызвать отказ от обслуживания из-за ошибок в обработке ICMP-пакетов. В серверной ОС Solaris, эта уязвимость была устранена лишь в этом обновление. Кроме того, в ОС Solaris были устранены еще 15 уязвимостей, которые могли быть использованы для DoS-атак. Наивысшую угрозу из них представляют три уязвимости (CVE-2012-3120, CVE-2008-4609 и CVE-2012-3125), основанные на ошибках в реализации стека TCP/IP. Уязвимость CVE-2012-3135 с самым высоким уровнем угроз по системе оценки CVSSv2 и самая критичная в этом обновление была закрыта в Oracle JRockit. Эта уязвимость объединила в себе недавно закрытые в Java SE уязвимости: CVE-2012-1713, CVE-2012-1724, CVE-2012-1718, CVE-2012-1717 и CVE-2012-1720. Шесть локальных уязвимостей было исправлено в СУБД Oracle MySQL, а вот в Oracle Database Server пять уязвимостей, при этом 4 из них (CVE-2012-1737, CVE-2012-1745, CVE-2012-1746, CVE-2012-1747) могли быть использованы для удаленных атак. Компания Oracle рекомендует своим пользователям в обязательном порядке произвести обновление уязвимых компонентов. Следующие накопительное обновление выйдет 16 октября 2012 года, вместе с обновлением Oracle Java SE.
Подробности