Oracle закрыла 78 уязвимостей в своих продуктах

В рамках очередного критического обновления (CPU — Critical Patch Update) Oracle было закрыто 78 уязвимостей в программных продуктах: Oracle Database 11g, Oracle Database 10g, Oracle Secure Backup, Oracle Application Server, Oracle JRockit, Oracle Enterprise Manager и Oracle PeopleSoft Enterprise.

Среди 13 закрытых уязвимостей в Oracle Database, две наиболее серьезные уязвимости CVE-2011-2239 и CVE-2011-2253 коснулись ошибок в реализации протокола Oracle NET, используемого в ядре СУБД Oracle. Однако использование этих уязвимостей хакерами ограничено требованием авторизации в системе. Всего в ядре СУБД было устранено 9 уязвимостей. В системе управления Oracle Enterprise Manager Grid было закрыто 18 уязвимостей, большинство из которых не требовали авторизации и могли быть использованы удаленно для получения доступа к данным и управлению системой. В системе Oracle Secure Backup ликвидировано 3 уязвимости, одна (CVE-2011-2261) из которых имела наивысшую оценку опасности по классификации CVSS 2.0. В Oracle Fusion Middleware было обнаружено 9 уязвимостей, наиболее опасная из них содержалась в компоненте Oracle JRockit (CVE-2011-0873). Ошибки в обработки данных по протоколу HTTP стали причиной двух уязвимостей в компонентах бизнес-приложений Business Intelligence (CVE-2011-2246) и в системе поиска аналитической системы Oracle Supply Chain (CVE-2011-2273).

Среди которых наиболее критические уязвимости (CVE-2011-2288, CVE-2011-2287, CVE-2011-2299 и CVE-2011-2307) были обнаружены в реализации защищенных соединений по протоколу SSH и функциях компонента fingerd в ОС Solaris.

Oracle рекомендует в обязательном порядке установить на уязвимые системы своих клиентов все вышедшие обновления, доступные на веб-сайте разработчика. Выход следующего пакета критических обновлений запланирован на 18 октября 2011 года.