Oracle закрыла опаснейшие уязвимости сразу в 78 продуктах

Компания Oracle выпустила беспрецедентный по масштабам набор из 78 обновлений для своих продуктов. Все пользователи этих продуктов предупреждены о необходимости срочной установки исправлений, поскольку в ином случае их системам грозят непредвиденные простои или хакерские атаки.

Масштаб найденных уязвимостей способен поразить воображение. Например, один из дефектов найден в механизме метки времени, который служит внутренними часами программных систем и имеет огромную важность при всех операциях с данными. Именно точно заданные метки времени помогают сохранить целостность данных при синхронизации, репликации и других действиях по переносу данных с одного места на другое. Дефект в этих внутренних часах теоретически мог привести к повреждению обрабатываемой информации при соединении нескольких баз данных в единую систему.

Другие исправляемые дефекты содержатся в таких ключевых продуктах, как Oracle Database Server, Solaris, Fusion Middleware, E-Business Suite и MySQL. Компания Oracle сообщает, что уязвимости открывают возможность несанкционированного удаленного входа без проверки подлинности. Хотя большинство этих дефектов не могут скомпрометировать данные напрямую, однако их можно использовать для нарушения работы приложений.

Уязвимость в СУБД Oracle Database касается версий с 10.1 по 11.2 и кроется в модуле, который принимает удаленные команды от других приложений. Этот модуль стал источником множества других уязвимостей, некоторым из которых уже более 10 лет. Сама эта уязвимость может использоваться, чтобы блокировать доступ к СУБД для других приложений. Также устранена менее серьезная уязвимость в самом ядре СУБД Oracle Database менее критического характера, хотя разработчики тоже называют ее "важной".

Операционная система Solaris получила 8 исправлений, некоторые из которых предназначены для достаточно старой версии Solaris 8. Одно из исправлений касается протокола TCP/IP (для версий Solaris 9, 10, 11 и Solaris Express), некорректная реализация которого позволяла удаленно нарушать работу операционной системы. Другая уязвимость в системе проверки подлинности Kerberos позволяла захватить полный контроль над системой после единственной регистрации. Другие, менее опасные дефекты Solaris, касаются служб удаленного вызова процедур (RPC), ядра и службы SSH (Secure Shell).

Целых 27 исправлений выпущено для СУБД MySQL Server, в том числе для дефекта во внутреннем протоколе MySQL, который позволял удаленно влиять на доступность базы данных удаленно. Еще одна очень серьезная уязвимость, хотя и недоступная для использования без авторизации, влияла как на доступность БД, так и на конфиденциальность информации в БД.

Также огромное множество исправлений относится к промежуточному ПО, включая Fusion Middleware, E-Business Suite и Supply Chain Products Suite, причем эти исправления относятся к использованию протокола HTTP. Самые серьезные уязвимости найдены в платформе Fusion - дефект в компоненте поиска для WebCenter Content открывал возможность удаленного чтения и записи данных в системе. Также найдены дефекты в фильтре для файлов JPEG 2000 в платформе Fusion, который теоретически можно было применять для незаметного извлечения данных из системы или наоборот, для вставки данных в систему.