Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В январском обновлении в сумме устранено 270 уязвимостей.

В выпуске Java SE 8u121 устранено 16 проблем с безопасностью, 15 из которых могут быть эксплуатированы удалённо без проведения аутентификации. Трём уязвимостям присвоен критический уровень опасности (CVSS Score 9 и выше). Десять проблем проявляются только на клиентских системах (запуск в браузере Java Web Start и Java-апплеты), а шесть затрагивают как клиентов, так и серверные конфигурации Java. Кроме устранения уязвимостей начиная с января 2017 года прекращена поддержка MD5 для формирования цифровых подписей для JAR-файлов – все JAR-файлы с MD5 теперь считаются неподписанными.

Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

  • 18 уязвимостей в MySQL (максимальный уровень опасности 6.8). Проблемы устранены в выпусках MySQL Community Server 5.7.17, 5.6.35 и 5.5.55.
  • 3 уязвимости в Solaris (максимальный уровень опасности 5.7). Уязвимости устранены в ядре и виртуализированном драйвере блочных устройств для Kernel Zones;
  • 4 уязвимости в VirtualBox (максимальная степень опасности 8.4 – уязвимости в GUI и в коде эмуляции SVGA). Уязвимости устранены во вчерашних обновлениях VirtualBox 5.1.14 и 5.0.32.

opennet.ru