Новости 318 патчей за раз: январское обновление Oracle удивляет своим масштабом

[NewsMaker]

Вице-президент по безопасности компании призывает не медлить с установкой.

---

---

Oracle Для просмотра ссылки Войди или Зарегистрируйся январское Для просмотра ссылки Войди или Зарегистрируйся безопасности 2025 года (Critical Patch Update, CPU), содержащее исправления для 318 уязвимостей в различных продуктах и сервисах компании. Среди них обнаружена крайне опасная Для просмотра ссылки Войди или Зарегистрируйся в Oracle Agile Product Lifecycle Management (PLM) Framework ( Для просмотра ссылки Войди или Зарегистрируйся ), имеющая рейтинг CVSS 9.9.

Проблема позволяет злоумышленникам с минимальными привилегиями и сетевым доступом через HTTP полностью скомпрометировать уязвимые системы Agile PLM Framework. Национальная база данных уязвимостей NIST описывает эту проблему как «легко эксплуатируемую», что делает её крайне опасной для организаций, использующих указанное ПО.

Примечательно, что Oracle ранее предупреждала об активных попытках эксплуатации другой уязвимости в Agile PLM Framework ( Для просмотра ссылки Войди или Зарегистрируйся CVSS 7.5), выявленной в ноябре 2024 года. Обе проблемы затрагивают версии Agile PLM Framework 9.3.6.

По словам Эрика Мориса, вице-президента Oracle по безопасности, «пользователи должны незамедлительно установить январское обновление безопасности, включающее исправления для CVE-2024-21287 и других критических уязвимостей».

Среди других уязвимостей, получивших оценку 9.8 по шкале CVSS, были устранены следующие:

• Для просмотра ссылки Войди или Зарегистрируйся — в компоненте Monitoring and Diagnostics SEC системы JD Edwards EnterpriseOne Tools.
• Для просмотра ссылки Войди или Зарегистрируйся — в компоненте E1 Dev Platform Tech (Samba) системы JD Edwards EnterpriseOne Tools.
• Для просмотра ссылки Войди или Зарегистрируйся — в компоненте синтаксического анализатора XML Apache Xerces C++ в Oracle Agile Engineering Data Management
• Для просмотра ссылки Войди или Зарегистрируйся — в компоненте Apache ActiveMQ маршрутизатора Communications Diameter Signaling Router.
• Для просмотра ссылки Войди или Зарегистрируйся — в XML-парсере (libexpat), который используется в Oracle Communications Network Analytics Data Director.
• Для просмотра ссылки Войди или Зарегистрируйся — в компоненте сервера Apache Tomcat в Oracle Communications Policy Management.
• Для просмотра ссылки Войди или Зарегистрируйся — в Core-компоненте WebLogic Server.

Особое внимание привлекла уязвимость CVE-2025-21535, которая схожа с Для просмотра ссылки Войди или Зарегистрируйся (CVSS 9.8), ранее активно эксплуатировавшейся в Oracle WebLogic Server. Ранее в этом месяце Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) Для просмотра ссылки Войди или Зарегистрируйся CVE-2020-2883 в каталог активно используемых уязвимостей (KEV).

Также Oracle устранила уязвимость Для просмотра ссылки Войди или Зарегистрируйся (CVSS 9.1), связанную с Kerberos 5 в Communications Billing and Revenue Management, которая могла позволить злоумышленникам вызывать недопустимые чтения памяти через токены с некорректными длинами полей.

В рамках обновления Oracle Linux было выпущено 285 патчей для устранения других критических уязвимостей. Пользователям настоятельно рекомендуется своевременно устанавливать обновления для минимизации рисков кибератак.