Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В июльском обновлении в сумме устранено 443 уязвимости.

В выпусках Java SE 14.0.2, 11.0.8 и 8u261 устранено 11 проблем с безопасностью. Все уязвимости могут быть эксплуатированы удалённо без проведения аутентификации. Наибольший уровень опасности 8.3 присвоен проблемам в JavaFX и библиотеках (CVE-2020-14664, CVE-2020-14583). Третья по степени опасности уязвимость (CVSS 7.4) устранена в подсистеме обработки 2D графики. 5 проблем проявляются только на клиентских системах (запуск в браузере Java Web Start и Java-апплеты) и 6 затрагивают как клиентов, так и серверные конфигурации Java.

Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

• 32 уязвимости в сервере MySQL и 3 уязвимости в реализации клиента MySQL (C API) и коннекторах (С++ и ODBC). Наибольший уровень опасности 7.5 присвоен уязвимости CVE-2020-1967, связанной со стойкостью шифрования и проявляющейся при компиляции с поддержкой OpenSSL. Проблемы устранены в выпусках MySQL Community Server 8.0.21, 5.7.31 и 5.6.49.
• 25 уязвимостей в VirtualBox. Наиболее опасной проблеме присвоен уровень опасности 8.2. Уязвимости устранены в обновлениях VirtualBox 6.1.6, 6.0.20 и 5.2.40.
• 6 уязвимостей в Solaris. Максимальная степень опасности 7.3 - локально эксплуатируемая уязвимость в Device Driver Utility. Проблемы также устранены в ядре, скриптах обработки пакетов и в libsuri. Проблемы устранены во вчерашнем обновлении Solaris 11.4 SRU23.