Компания Oracle представила январский набор патчей, и это обновление побило предыдущий рекорд с большим запасом: было исправлено 248 уязвимостей. Прошлый рекорд Oracle составлял 198 исправленных за раз багов и был установлен в июле 2015 года.
Нельзя не вспомнить эмоциональное послание директора по безопасности Oracle Мэри Энн Дэвидсон (Mary Ann Davidson), опубликованное летом 2015 года. Тогда Дэвидсон обратилась ко всем исследователям в области информационной безопасности и буквально потребовала от них оставить компанию в покое, прекратить реверсить код Oracle и искать в нем какие-то уязвимости. Глава по безопасности уверяла, что специалисты компании сами справятся с поиском и исправлением багов в продуктах Oracle. Теперь, с учетом 248 исправленных багов, закрадывается подозрение, что Oracle попросту опасается разориться на выплатах вознаграждений, если запустит программу bug bounty.
Январское обновление коснулось Oracle Database, Java SE, Oracle E-Business Suite (EBS) и многих других продуктов компании.
78 исправлений из 248 относились к Oracle EBS. На данный момент эта программа является самым «исправляемым» продуктом компании. EBS едва не побила рекорд самого дырявого приложения всех времен, то есть Flash Player — в декабре 2015 года в версии 20.0.0.228 было устранено 79 критических уязвимостей. В числе прочего, в EBS обнаружили две XXE (XML External Entity) уязвимости.
Другие продукты к рекордам EBS и Flash Player не приблизились. Так, Oracle Enterprise Manager Grid получил 33 исправления, Oracle Fusion Middleware 27 исправлений, Oracle Sun Systems Products 23 исправления, а в Oracle MySQL устранили 22 бага. В Java нашли и пофиксили только 8 уязвимостей, а в Oracle database 7.
5 из 248 исправленных уязвимостей получили 10 баллов из 10 по шкале опасности CVSS.
Три из пяти самых опасных багов (CVE-2016-0494, CVE-2015-8126 и CVE-2016-0483) обнаружили в субкомпонентах Java: 2D и AWT. Все три уязвимости позволяли злоумышленнику перехватить контроль над операционной системой и выполнить на скомпрометированном компьютере произвольный код.
Еще два крайне опасных бага (CVE-2016-0451 и CVE-2016-0452) были найдены в Oracle GoldenGate. Обе проблемы также позволяли атакующему выполнить на машине жертвы произвольный код.
Компания Oracle настоятельно рекомендует всем пользователям установить представленные обновления. Также компания напоминает, что обнаруженная в прошлом ноябре уязвимость десериализации Java (CVE-2015-4852 ) по-прежнему опасна. Всем, кто до сих пор не пропатчил проблему, стоит сделать это прямо сейчас.
Фото: RaptureStudio
