Последнее обновление Oracle Critical Patch Update устраняет 86 уязвимостей безопасности, затрагивающих многие продукты, включая MySQL. Самая серьезная проблема безопасности — это фиксированная оценка 10 по Common Vulnerability Scoring System (CVSS) и устраняет проблему в базе данных Oracle Mobile Server.
Critical Patch Update (CPU) от Oracle — это набор исправлений для множественных уязвимостей безопасности, который выпускается через определенные промежутки времени, причем исправления являются кумулятивными, то есть каждое из них основано на предыдущих.
ЦП за январь 2013 г. содержит 86 новых исправлений безопасности, а его рекомендации по обновлению, содержащие полный список исправлений, содержат рекомендации:
Из-за угрозы, исходящей от успешной атаки, Oracle настоятельно рекомендует клиентам как можно скорее применить исправления ЦП.
Исправлено 18 проблем безопасности MySQL, две из которых получили 9 баллов по шкале CVSS. Оба могут быть запущены удаленно без необходимости аутентификации пользователя. Есть одно исправление для полной версии Oracle Database, включая версии 10g R2, 11g R1 и 11g R2, но оно не решает проблему, которая, как известно, существует в Oracle Database TNS Listener.
Два наиболее серьезных исправления для MySQL: одно исправление затрагивает синтаксический анализатор SQL, а другое — привилегии сервера. Другие исправления для MySQL касаются репликации сервера, хранимых процедур и блокировки сервера.
Другие исправления устраняют проблемы в Oracle Fusion, Enterprise Manager Grid Control, E-Business Suite и Supply Chain Products Suite, а также в продуктах серий PeopleSoft, JD Edwards и Solaris.
Этот запланированный ЦП следует за патчем, выпущенным Oracle для исправления уязвимости в системе безопасности Java, из-за которой Министерство внутренней безопасности США посоветовало пользователям компьютеров отключить подключаемый модуль Java. аналогичные недостатки, которые в случае использования могут позволить злоумышленнику удаленно выполнить код в целевой системе. Однако не ждите, что все проблемы безопасности будут решены сразу. В следующем месяце появится еще один набор исправлений.