Один из крупнейших поставщиков программного обеспечения компания Oracle выпустила октябрьское обновление безопасности Critical Patch Update 2017, исправляющее в общей сложности 252 уязвимости в ряде продуктов, в том числе в Oracle Database Server и Java SE.
Компания исправила уязвимости в Java Virtual Machine и пяти других компонентах Oracle Database Server. Самые опасные из проблем получили рейтинг 8.8 по шкале CVSS. Две из них могут быть проэксплуатированы удаленно без авторизации.
Также были исправлены 22 уязвимости в Java SE, 20 из которых являются критическими и могут быть проэксплуатированы удаленным неаутентифицированным злоумышленником, а некоторые из них могут быть использованы для осуществления DoS-атаки. Наиболее опасные уязвимости получили рейтинг 9.6 по шкале CVSS. В 2017 году Oracle исправила 79 уязвимостей на платформе Java, что на 113% больше по сравнению с прошлым годом.
Из 252 уязвимостей, исправленных в октябрьском патче, 182 или 72% от общего числа затрагивают решения Oracle для бизнеса. В их числе Sun Systems Products Suite (10 уязвимостей), Oracle Retail (9), Siebel CRM (8), Supply Chain Products Suite (7), Virtualization (6), Database Server (6), Hyperion (4), JD Edwards Products (2), Financial Services Applications (2), Health Sciences Applications (1), Construction and Engineering Suite (1) и Enterprise Manager (1).
Из 26 уязвимостей, исправленных в Oracle E-Business Suite, 21 получила высокую степень опасности, 2 — низкую и еще 3 не были классифицированы. Уязвимости затрагивают версии Oracle EBS 12.1/12.2. и позволяют неавторизованному злоумышленнику получить доступ к важным документам и информации, включая данные кредитных карт, сведения о клиентах, данные о сотрудниках и финансовые записи.

Источник: securitylab.ru