Наиболее опасные проблемы позволяют атакующему полностью скомпрометировать платформы Oracle Big Data Discovery, Oracle Web Services и пр.
Компания Oracle представила плановые обновления безопасности, устраняющие в общей сложности 253 (в том числе 15 критических) уязвимости в 76 продуктах ее производства.
Согласно предупреждению производителя, наиболее опасные проблемы позволяют атакующему при помощи HTTP-запросов получить доступ и полностью скомпрометировать платформы Oracle Big Data Discovery, Oracle Web Services, Oracle Commerce или WebLogic.
Также компания устранила две уязвимости в Java SE, проэксплуатировав которые неавторизованный злоумышленник с доступом к сети, используя различные протоколы, может скомпрометировать платформу. Как отмечают в компании, для успешной атаки требуется участие пользователя.
Еще одна уязвимость, получившая рейтинг CVSS 9.1, затрагивает компонент OJVM в Oracle Database Server (версии 11.2.0.4 и 12.1.0.2). Проблема является легко эксплуатируемой и позволяет атакующему с высокими привилегиями и доступом к сети скомпрометировать OJVM.
Помимо вышеперечисленных, производитель исправил уязвимость в компоненте Application Express в Oracle Database Server. Данная проблема позволяет неавторизованному злоумышленнику с доступом к сети скомпрометировать Application Express при помощи специально сформированных HTTP-запросов.
Одно найти легче, чем другое. Спойлер: это не темная материя