Компания Oracle бьёт тревогу: в её основных продуктах обнаружено 318 новых уязвимостей, и чтобы защититься, нужно срочно установить январское обновление (CPU) 2025 года. Если проигнорируете — рискуете стать мишенью хакеров.
Самые опасные «дыры»
- CVE-2025-21556 (CVSS 9.9) в Oracle Agile PLM Framework: злоумышленник с минимальными правами через сеть может полностью захватить систему. Уязвимы версии 9.3.6 — те же, где в ноябре 2024 нашли проблему CVE-2024-21287 (CVSS 7.5).
- CVE-2025-21535 (CVSS 9.8) в Oracle WebLogic: аналог прошлой критической уязвимости CVE-2020-2883, которую уже эксплуатируют в атаках. CISA даже внесла её в список активно используемых угроз.
- CVE-2023-46604 в Apache ActiveMQ: позволяет запускать произвольный код.
- CVE-2024-37371 (CVSS 9.1) в Kerberos 5: ошибка в обработке токенов может привести к утечке данных из памяти.
Полный список — как детектив с продолжением
Среди других «хитов» патча:
- CVE-2024-45492 (XML-анализатор libexpat) — угроза для финансовых систем и HTTP-серверов.
- CVE-2016-1000027 (Spring Framework в Oracle BI Publisher) — да, вы не ослышались: дыра 2016 года всё ещё актуальна!
- Проблемы в Samba (CVE-2023-3961), Apache Tomcat (CVE-2024-56337) и даже SciPy (CVE-2023-29824) внутри BI-систем.
Почему это серьёзно?
- Часть уязвимостей уже используется хакерами (например, CVE-2020-2883 в WebLogic).
- Некоторые ошибки, как CVE-2025-21556, позволяют атаковать системы без высоких привилегий — достаточно доступа через HTTP.
- Oracle Agile PLM Framework — ключевой инструмент для управления жизненным циклом продуктов. Его взлом может парализовать производство или сливать коммерческие тайны.
Что делать?
- Проверьте версии продуктов. Если используете Agile PLM 9.3.6, WebLogic или другие упомянутые решения — патч обязателен.
- Установите CPU за январь 2025 через официальные каналы обновлений.
- Не откладывайте! Компания прямо заявляет: «Клиенты, которые затянут с обновлением, рискуют стать жертвами атак».
Это не первый «звонок» от Oracle. В ноябре 2024 они уже предупреждали об активных атаках на Agile PLM. Новый патч закрывает старые проблемы и добавляет защиту от свежих угроз.
Вывод
318 исправлений за раз — это не просто «апдейт для галочки». Речь идёт о критически важных обновлениях для корпоративных систем. Если ваш бизнес зависит от Oracle — отнеситесь к этому как к ЧП. Помните: одна успешная атака может стоить дороже, чем время на установку патчей.
P.S. А ещё проверьте, не тянется ли у вас «хвост» из старых CVE вроде CVE-2016-1000027. Как показывает практика, хакеры любят копать именно там, где все забыли поставить заплатку.
