Корпорация Oracle выпустила в январе 2025 года критическое обновление (CPU), призванное устранить колоссальное количество уязвимостей – целых 318, затрагивающих широкий спектр продуктов компании. Компания настоятельно призывает своих клиентов незамедлительно установить патч, поскольку ряд выявленных недостатков несет в себе высокий риск и может привести к серьезным последствиям, вплоть до полного захвата системы злоумышленниками. При этом некоторые уязвимости уже активно эксплуатируются, что делает обновление не просто желательным, а абсолютно необходимым.
Среди наиболее серьезных угроз выделяются бреши в Oracle Agile PLM Framework, WebLogic Server и Communications Billing and Revenue Management. В частности, критическая уязвимость CVE-2025-21556 в Oracle Agile PLM Framework получила оценку 9.9 по шкале CVSS, что является практически максимальным показателем риска. Эта уязвимость позволяет злоумышленникам с низкими привилегиями, имеющим доступ к сети через HTTP, скомпрометировать всю систему. Вторая, не менее опасная, уязвимость CVE-2024-21287 с оценкой 7.5, уже упоминалась в ноябре 2024 года как активно используемая для атак, и теперь также включена в январское обновление. Эти уязвимости присутствуют в Oracle Agile PLM Framework версии 9.3.6.
Oracle WebLogic Server также подвержен серьезным рискам. Обнаруженная уязвимость, получившая оценку 9.8, позволяет неаутентифицированным злоумышленникам получить доступ к системе через IIOP или T3, что в конечном итоге приводит к компрометации всей системы.
Особое внимание следует уделить и Oracle Communications Billing and Revenue Management. Обнаруженная уязвимость CVE-2024-37371 с оценкой 9.1 по шкале CVSS, связана с критической проблемой в Kerberos 5, позволяющей злоумышленникам вызывать недопустимые считывания памяти. Это достигается путем отправки токенов сообщений с полями недопустимой длины.
Не остаются в стороне и пользователи Oracle Linux. Данное обновление включает в себя 285 новых патчей безопасности, направленных на устранение различных уязвимостей. Oracle настоятельно рекомендует всем пользователям Linux обновить свои системы до актуальной версии.
Эрик Морис, вице-президент по обеспечению безопасности в Oracle, подчеркивает критическую важность своевременной установки обновлений. Описания уязвимостей, с которыми борется данный патч, можно найти в Национальной базе данных уязвимостей (NIST NVD).
Уязвимость CVE-2020-2883 была добавлена Агентством по кибербезопасности и инфраструктурной безопасности США (CISA) в свой каталог известных эксплуатируемых уязвимостей (KEV), что свидетельствует о ее активном использовании злоумышленниками в реальных атаках.
Таким образом, январское обновление Oracle 2025 года не является рядовым патчем, а представляет собой критически важное мероприятие по защите от целого ряда серьезных угроз. Любое промедление в установке обновлений может привести к непредсказуемым последствиям и серьезным финансовым потерям. В связи с этим, всем пользователям продуктов Oracle рекомендуется безотлагательно обновить свои системы, воспользовавшись всеми предложенными Oracle средствами защиты.
Системные администраторы должны в срочном порядке проанализировать уязвимости, затронутые этим обновлением, и определить приоритетность их устранения в соответствии с инфраструктурными требованиями их организаций. Важность этого процесса невозможно переоценить, особенно учитывая информацию об уже ведущейся эксплуатации некоторых из этих уязвимостей.
Для получения более подробной информации о каждой уязвимости необходимо обратиться к Национальной базе данных уязвимостей NIST NVD, где доступны полные технические описания и рекомендации по устранению проблем. Необходимо также учитывать наличие уязвимости CVE-2020-2883 в каталоге CISA KEV, что говорит о ее повышенном риске.
Своевременное обновление программного обеспечения – это формальность и необходимость, которая позволяет защитить системы от потенциальных угроз и обеспечивает безопасность информационных активов организаций. В данном контексте январское обновление Oracle 2025 года является ключевым элементом защиты от кибератак.
Изображение носит иллюстративный характер
Среди наиболее серьезных угроз выделяются бреши в Oracle Agile PLM Framework, WebLogic Server и Communications Billing and Revenue Management. В частности, критическая уязвимость CVE-2025-21556 в Oracle Agile PLM Framework получила оценку 9.9 по шкале CVSS, что является практически максимальным показателем риска. Эта уязвимость позволяет злоумышленникам с низкими привилегиями, имеющим доступ к сети через HTTP, скомпрометировать всю систему. Вторая, не менее опасная, уязвимость CVE-2024-21287 с оценкой 7.5, уже упоминалась в ноябре 2024 года как активно используемая для атак, и теперь также включена в январское обновление. Эти уязвимости присутствуют в Oracle Agile PLM Framework версии 9.3.6.
Oracle WebLogic Server также подвержен серьезным рискам. Обнаруженная уязвимость, получившая оценку 9.8, позволяет неаутентифицированным злоумышленникам получить доступ к системе через IIOP или T3, что в конечном итоге приводит к компрометации всей системы.
Особое внимание следует уделить и Oracle Communications Billing and Revenue Management. Обнаруженная уязвимость CVE-2024-37371 с оценкой 9.1 по шкале CVSS, связана с критической проблемой в Kerberos 5, позволяющей злоумышленникам вызывать недопустимые считывания памяти. Это достигается путем отправки токенов сообщений с полями недопустимой длины.
Не остаются в стороне и пользователи Oracle Linux. Данное обновление включает в себя 285 новых патчей безопасности, направленных на устранение различных уязвимостей. Oracle настоятельно рекомендует всем пользователям Linux обновить свои системы до актуальной версии.
Эрик Морис, вице-президент по обеспечению безопасности в Oracle, подчеркивает критическую важность своевременной установки обновлений. Описания уязвимостей, с которыми борется данный патч, можно найти в Национальной базе данных уязвимостей (NIST NVD).
Уязвимость CVE-2020-2883 была добавлена Агентством по кибербезопасности и инфраструктурной безопасности США (CISA) в свой каталог известных эксплуатируемых уязвимостей (KEV), что свидетельствует о ее активном использовании злоумышленниками в реальных атаках.
Таким образом, январское обновление Oracle 2025 года не является рядовым патчем, а представляет собой критически важное мероприятие по защите от целого ряда серьезных угроз. Любое промедление в установке обновлений может привести к непредсказуемым последствиям и серьезным финансовым потерям. В связи с этим, всем пользователям продуктов Oracle рекомендуется безотлагательно обновить свои системы, воспользовавшись всеми предложенными Oracle средствами защиты.
Системные администраторы должны в срочном порядке проанализировать уязвимости, затронутые этим обновлением, и определить приоритетность их устранения в соответствии с инфраструктурными требованиями их организаций. Важность этого процесса невозможно переоценить, особенно учитывая информацию об уже ведущейся эксплуатации некоторых из этих уязвимостей.
Для получения более подробной информации о каждой уязвимости необходимо обратиться к Национальной базе данных уязвимостей NIST NVD, где доступны полные технические описания и рекомендации по устранению проблем. Необходимо также учитывать наличие уязвимости CVE-2020-2883 в каталоге CISA KEV, что говорит о ее повышенном риске.
Своевременное обновление программного обеспечения – это формальность и необходимость, которая позволяет защитить системы от потенциальных угроз и обеспечивает безопасность информационных активов организаций. В данном контексте январское обновление Oracle 2025 года является ключевым элементом защиты от кибератак.
