318 патчей за раз: январское обновление Oracle удивляет своим масштабом

Oracle выпустила январское обновление безопасности 2025 года (Critical Patch Update, CPU), содержащее исправления для 318 уязвимостей в различных продуктах и сервисах компании. Среди них обнаружена крайне опасная уязвимость в Oracle Agile Product Lifecycle Management (PLM) Framework ( CVE-2025-21556 ), имеющая рейтинг CVSS 9.9.

Проблема позволяет злоумышленникам с минимальными привилегиями и сетевым доступом через HTTP полностью скомпрометировать уязвимые системы Agile PLM Framework. Национальная база данных уязвимостей NIST описывает эту проблему как «легко эксплуатируемую», что делает её крайне опасной для организаций, использующих указанное ПО.

Примечательно, что Oracle ранее предупреждала об активных попытках эксплуатации другой уязвимости в Agile PLM Framework ( CVE-2024-21287, CVSS 7.5), выявленной в ноябре 2024 года. Обе проблемы затрагивают версии Agile PLM Framework 9.3.6.

По словам Эрика Мориса, вице-президента Oracle по безопасности, «пользователи должны незамедлительно установить январское обновление безопасности, включающее исправления для CVE-2024-21287 и других критических уязвимостей».

Среди других уязвимостей, получивших оценку 9.8 по шкале CVSS, были устранены следующие:

• CVE-2025-21524 — в компоненте Monitoring and Diagnostics SEC системы JD Edwards EnterpriseOne Tools.
• CVE-2023-3961 — в компоненте E1 Dev Platform Tech (Samba) системы JD Edwards EnterpriseOne Tools.
• CVE-2024-23807 — в компоненте синтаксического анализатора XML Apache Xerces C++ в Oracle Agile Engineering Data Management
• CVE-2023-46604 — в компоненте Apache ActiveMQ маршрутизатора Communications Diameter Signaling Router.
• CVE-2024-45492 — в XML-парсере (libexpat), который используется в Oracle Communications Network Analytics Data Director.
• CVE-2024-56337 — в компоненте сервера Apache Tomcat в Oracle Communications Policy Management.
• CVE-2025-21535 — в Core-компоненте WebLogic Server.

Особое внимание привлекла уязвимость CVE-2025-21535, которая схожа с CVE-2020-2883 (CVSS 9.8), ранее активно эксплуатировавшейся в Oracle WebLogic Server. Ранее в этом месяце Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) добавило CVE-2020-2883 в каталог активно используемых уязвимостей (KEV).

Также Oracle устранила уязвимость CVE-2024-37371 (CVSS 9.1), связанную с Kerberos 5 в Communications Billing and Revenue Management, которая могла позволить злоумышленникам вызывать недопустимые чтения памяти через токены с некорректными длинами полей.

В рамках обновления Oracle Linux было выпущено 285 патчей для устранения других критических уязвимостей. Пользователям настоятельно рекомендуется своевременно устанавливать обновления для минимизации рисков кибератак.