Oracle исправляет 167 уязвимостей в своих продуктах


OracleЗавтра, во вторник 20 января 2015 года, Oracle планирует выпустить обновления (Critical Patch Update), исправляющие 167 уязвимостей в своих продуктах. При этом некоторые бреши содержатся сразу в нескольких продуктах одновременно.

Опасность уязвимостей определяется по системе оценки CVSS 2.0. Так, наиболее опасными являются бреши, получившие оценку 10.0, в серверах Fujitsu M10-1, M10-4 и M10-4S из Oracle Sun Systems Products Suite, а также в платформе Java SE.

Critical Patch Update содержит исправления для 35 уязвимостей в ПО Oracle Fusion Middleware. Из них 28 могут быть проэксплуатированы злоумышленником удаленно, без необходимости ввода имени пользователя и пароля. Наивысшей оценкой опасности, полученной брешью в Oracle Fusion Middleware, является 9.3.

В Oracle Enterprise Manager Grid Control январские патчи исправляют 10 уязвимостей, которые присутствуют в компонентах Enterprise Manager Base Platform и Enterprise Manager Ops Center. Данные бреши также могут быть проэксплуатированы удаленным пользователем без аутентификации. Здесь наивысшая оценка опасности, которую получила брешь в Oracle Enterprise Manager Grid Control, является 7.5.

В Critical Patch Update предусмотрены исправления для 10 уязвимостей в Oracle E-Business Suite, 6 из них могут быть проэксплуатированы злоумышленником без необходимости ввода имени пользователя и пароля. Наивысшая оценка опасности, полученная брешью в Oracle E-Business Suite, является 6.4.

6 брешей, исправляемые патчем, в Oracle Agile PLM, Oracle Agile PLM for Process и Oracle Transportation Management из семейства ПО Oracle Supply Chain Products Suite. Три из этих уязвимостей могут быть проэксплуатированы удаленно и без аутентификации. При этом наиболее опасная брешь в ПО получила оценку 6.8.

Следующие 7 уязвимостей, исправляемые Critical Patch Update, содержатся в Oracle PeopleSoft Products. Одна из этих брешей может эксплуатироваться удаленно и без аутентификации. Наиболее опасная брешь в ПО получила оценку 5.5. Уязвимостям подвержены продукты PeopleSoft Enterprise HRMS и PeopleSoft Enterprise PeopleTools.

В продуктах Oracle JD Edwards Products январские обновления исправляют лишь одну уязвимость в JD Edwards EnterpriseOne Tools, получившую оценку 7.5. Еще одна брешь исправляется в Oracle Healthcare Master Person Index из ПО Oracle Health Sciences Applications с оценкой 7.5 и в Oracle Retail Applications (оценка 6.8). Еще по 2 уязвимости будут исправлены в Oracle iLearning (оценка 4.3) и Oracle Communications Applications (оценка 7.6).

Патчи исправляют в:

  • Oracle Siebel CRM -  17 брешей;
  • Oracle Java SE - 19;
  • Oracle Sun Systems Products Suite - 29;
  • Oracle Virtualization - 11;
  • MySQL Server - 9.

Обновлено (19.01.2015 19:15)