Компания Oracle выпустила масштабный набор патчей, устраняющих более 300 уязвимостей в разных продуктах: в том числе Oracle Database Server, Oracle Big Data Graph, Oracle Communications Applications, Oracle Construction and Engineering Suite и Oracle E-Business Suite.
Степень опасности 45 брешей была оценена в 9,8 балла по шкале CVSS 3.0, а одна и вовсе получила оценку 10 из десяти возможных (критическая).
Самую серьезную дыру нашли в компоненте Monitoring Manager решения Oracle GoldenGate (CVE-2018-2913), которое обеспечивает репликацию данных в гетерогенных средах. Дыра позволяет злоумышленнику без аутентификации захватить контроль над системой при наличии сетевого доступа по протоколу TCP путем простого переполнения буфера стека.
В GoldenGate закрыли и две другие бреши (CVE-2018-2912 и CVE-2018-2914), их также тоже можно эксплуатировать удаленно и без аутентификации, но они менее опасны и оценены в 7,5 балла.
Упомянутые выше высоко оцененные в плане опасности уязвимости (9,8 балла) были найдены в бизнес-приложениях Oracle Retail, платформе Oracle Fusion Middleware, приложениях Oracle Insurance, Oracle Communications и Oracle JD Edwards, а также в MySQL, комплекте программных средств Oracle Construction and Engineering и инструменте управления Oracle Enterprise Manager. Подробности о них можно прочесть на сайте компании .
В июле компания суммарно закрыла 334 бреши в своих продуктах.
