Компания Oracle закрыла 78 уязвимостей в своих продуктах

В рамках очередного критического обновления (Critical Patch Update) Oracle было закрыто 78 уязвимостей в следующих программных продуктах:

• Oracle Database 11g
  
• Oracle Database 10g
  
• Oracle Secure Backup
  
• Oracle Application Server
  
• Oracle JRockitOracle Enterprise Manager
  
• Oracle PeopleSoft Enterprise
  

Среди 13 закрытых уязвимостей в Oracle Database, две наиболее серьезные уязвимости CVE-2011-2239 и CVE-2011-2253 коснулись ошибок в реализации протокола Oracle NET, используемого в ядре СУБД Oracle. Однако использование этих уязвимостей злоумышленниками ограничено требованием авторизации в системе. Всего в ядре СУБД было устранено 9 уязвимостей.

В системе управления Oracle Enterprise Manager Grid было закрыто 18 уязвимостей, большинство из которых не требовали авторизации и могли быть использованы удаленно для получения доступа к данным и управлению системой.

В системе Oracle Secure Backup ликвидировано 3 уязвимости, одна (CVE-2011-2261) из которых имела наивысшую оценку опасности по классификации CVSS 2.0.

В Oracle Fusion Middleware было обнаружено 9 уязвимостей, наиболее опасная из них содержалась в компоненте Oracle JRockit (CVE-2011-0873).

Ошибки в обработки данных по протоколу HTTP стали причиной двух уязвимостей в компонентах бизнес-приложений Business Intelligence (CVE-2011-2246) и в системе поиска аналитической системы Oracle Supply Chain (CVE-2011-2273).

В линейке продуктов Oracle PeopleSoft было устранено 12 незначительных уязвимостей. 23 уязвимости было закрыто в продуктах Oracle Sun, к которым относятся Solaris, SPARC T3 и Oracle VM VirtualBox. Среди которых наиболее критические уязвимости (CVE-2011-2288, CVE-2011-2287, CVE-2011-2299 и CVE-2011-2307) были обнаружены в реализации защищенных соединений по протоколу SSH и функциях компонента fingerd в ОС Solaris.

Компания Oracle рекомендует в обязательном порядке установить на уязвимые системы своих клиентов все вышедшие обновления, доступные на веб-сайте разработчика. Выход следующего пакета критических обновлений запланирован на 18 октября 2011 года.

Более подробная информация можно прочитать в официальном бюллетене безопасности:
Oracle Critical Patch Update Advisory - July 2011