В последней серии “заплат” Oracle затыкает критическую дыру в Oracle Application Server

В апрельском обновлении Critical Patch Update (CPU) корпорация Oracle исправила 41 ошибку, в том числе серьезную уязвимость в Oracle Application Server.

Новое обновление, уже второе в этом году, включает семнадцать исправлений для продуктов Oracle Database, одиннадцать для Oracle E-Business Suite, шесть для Oracle Siebel Enterprise Suite, три для Oracle Application Server, три для PeopleSoft-JD Edwards Suite и одно для Oracle Enterprise Manager.

Самая серьезная из этих уязвимостей затрагивает Oracle Application Server, а именно Oracle Jinitiator, и имеет оценку по шкале CVSS (Common Vulnerability Scoring System -- общая система оценки уязвимости) 9,3 балла. Jinitiator, виртуальная машина Java, позволяет клиентскому приложению Oracle Forms, имеющему Web-функциональность, работать внутри браузера. Согласно данным компании уязвимость касается только клиентской части Application Server.

“Влияние этой уязвимости ограничено лишь компонентом Jinitiator; она никак не затрагивает Oracle Application Server, — говорится в официальной рекомендации компании. — Oracle Jinitiator версий 1.3.1.15 и более поздних не затронуты”.

Все три уязвимости, связанные с Application Server, могут быть использованы дистанционно без аутентификации. А семь из одиннадцати уязвимостей, затрагивающих Oracle E-Business Suite, даже не потребуют имени пользователя или пароля.

Январское обновление включало 26 исправлений защиты для продуктов Oracle. Следующее обновление намечено выпустить 15 июля.