Oracle выпустила второе критическое обновление, исправление безопасности на 2019 год, которое прибыло в апреле. Компания исправила до 297 проблем со своим программным обеспечением, и они серьезно влияют на безопасность. В частности, 17 апреля был выпущен патч для этих 297 уязвимостей, 53 из которых имеют CVSS (Common Vulnerabilities Scoring System) 9.0 или выше, что указывает на их критичность. Не все уязвимости появились недавно, что еще хуже.
Оказывается, есть такие, кто работает с нами более 3-х лет. Те годы, когда в библиотека Java он был полностью уязвим за счет злоумышленников, но о проблеме не было известно. В этом нет ничего нового, работа со старыми и новыми уязвимостями - это то, с чем приходится иметь дело экспертам по безопасности Oracle, чтобы предотвратить их раннее обнаружение киберпреступниками и использование против них эксплойтов.
Уязвимость, которая существует с нами в течение почти 4 лет, - это уязвимость, зарегистрированная в CVE с кодом CVE-2016-1000031 Java из библиотеки Apache Commons FileUpload, используемой в нескольких приложениях Oracle. Уязвимость существует в компоненте DiskFileItem, и ею можно управлять, чтобы можно было произвольно записывать и копировать файлы на диск. Удаленные злоумышленники могут воспользоваться этой уязвимостью и получить полный контроль над уязвимой системой.
Конечно, не очень хорошие новости для Oracle в смысле работа, проделанная ранее с программным обеспечением из своего портфолио, хотя теперь они устранили эти проблемы с помощью этих исправлений, и всем, кого это касается, следует поспешить обновить системы. Но нам не нравятся новости такого рода, поскольку продукты Oracle поддерживают большую ответственность и важные системы, и было бы не повезло, если бы это стало чем-то похожим на то, что произошло с Adobe и Flash, учитывая количество обнаруженных уязвимостей и как критично это некоторые ...