Oracle выпускает более 300 исправлений безопасности

Первый выпуск Oracle для исправления ошибок за 2023 год включает 71 критический патч из 327 обновлений безопасности.

Большое количество исправлений предназначено для стороннего программного обеспечения, используемого в различных продуктах Oracle.

Уязвимость Apache Commons Text, CVE-2022-42889влияет на 15 компонентов в пакетах Communications, Communications Applications, Construction and Engineering, Engineering Manager, Financial Services, Fusion middleware, HealthCare, Hyperion, JD Edwards и Utilities.

Ошибка предлагает злоумышленнику удаленное выполнение кода (RCE), потому что в Apache Commons Text есть ошибка в интерполяции строк.

Пять компонентов в Fusion и Support Tools наследуют небезопасную уязвимость десериализации в Apache Mina SSHD, CVE-2022-45047. Mina SSHD — это реализация SSH на стороне клиента и сервера, написанная на Java.

Шесть компонентов в Communications, Fusion, MySQL и PeopleSoft были исправлены для обновления zlib против CVE-2022-37434переполнение буфера в куче.

Семь компонентов в Communications, Communications Applications и MySQL нуждаются в исправлении. CVE-2022-31692возможный обход авторизации в Spring Security.

Три компонента Communications и Fusion используют версию FreeType, уязвимую для CVE-2022-27404переполнение буфера кучи и были исправлены.

Один компонент связи и три компонента финансовых услуг унаследовали уязвимость в CVE-2022-33980ошибка интерполяции в конфигурации Apache Commons.

Log4j появляется в Fusion, но это не печально известная ошибка Log4Shell: CVE-2022-23305 это ошибка SQL в библиотеке журналов.

Компоненты Communications и HealthCare Applications были исправлены против CVE-2018-1273старая ошибка SSL в Spring Data Commons, и два компонента PeopleSoft уязвимы для CVE-2021-3918ошибка прототипа загрязнения в JSON-Schema.

Полная рекомендация Oracle по критическим исправлениям здесь.