Патч с кучей уязвимостей от Oracle + несколько критических
Важный патч для Oracle продуктов
Во вторник Oracle выпустила регулярное обновление за июль этого года с 342 исправлениями для несколько продуктов (Java SE, MySQL, VirtualBox, Solaris и сервер приложений Weblogic), некоторые из которых могут быть использованы удаленным атакующим для порабощения уязвимой системы.
Главной из них является повторное исправление CVE-2019–2729, критическая уязвимость десериализации через XMLDecoder в веб-службах Oracle WebLogic Server, которую можно использовать удаленно без аутентификации. Стоит отметить, что изначально уязвимость была устранена в рамках обновления безопасности в июне 2019 года.
Oracle WebLogic Server — это сервер приложений, который функционирует как платформа для разработки, развертывания и запуска приложений на основе Java.
В WebLogic Server также исправлено шесть других уязвимостей, трем из которых присвоен рейтинг CVSS 9,8 из 10:
Можно заметить, это не первый случай обнаружения критических проблем в WebLogic Server. Ранее в этом году Oracle выпустила апрельский патч с исправлениями двух уязвимостей CVE-2021–2135 и CVE-2021–2136, при эксплуатации которых можно было получить RCE (remote code execution) + про них писали, что их легко эксплуатировать.
Пользователям Oracle рекомендуется как можно скорее применить обновления для защиты системы от потенциального использования.
