Актуализации за Java SE, MySQL, VirtualBox и други продукти на Oracle с коригирани уязвимости

Oracle публикува планирано издание на актуализации на своите продукти (Critical Patch Update), насочени към премахване на критични проблеми и уязвимости. Априлската актуализация поправи общо 390 уязвимости.

Някакви проблеми:

• 2 проблема със сигурността в Java SE. Всички уязвимости могат да бъдат експлоатирани дистанционно без удостоверяване. Проблемите имат нива на сериозност 5.9 и 5.3, присъстват в библиотеки и се появяват само в среди, които позволяват изпълнението на ненадежден код. Уязвимостите бяха коригирани в версии на Java SE 16.0.1, 11.0.11 и 8u292. Освен това протоколите TLSv1.0 и TLSv1.1 са деактивирани по подразбиране в OpenJDK.
• 43 уязвимости в MySQL сървъра, 4 от които могат да бъдат експлоатирани дистанционно (на тези уязвимости е присвоено ниво на сериозност 7.5). Отдалечено експлоатирани уязвимости се появяват при изграждане с OpenSSL или MIT Kerberos. 39 локално експлоатируеми уязвимости са причинени от грешки в анализатора, InnoDB, DML, оптимизатора, системата за репликация, изпълнението на съхранена процедура и плъгина за одит. Проблемите са разрешени в изданията на MySQL Community Server 8.0.24 и 5.7.34.
• 20 уязвимости във VirtualBox. Трите най-опасни проблема имат нива на сериозност 8.1, 8.2 и 8.4. Един от тези проблеми позволява отдалечена атака чрез манипулиране на RDP протокола. Уязвимостите са коригирани в актуализацията на VirtualBox 6.1.20.
• 2 уязвимости в Solaris. Максималното ниво на сериозност е 7.8 - локално използваема уязвимост в CDE (Common Desktop Environment). Вторият проблем има ниво на сериозност 6.1 и се проявява в ядрото. Проблемите са разрешени в актуализацията на Solaris 11.4 SRU32.

Източник: opennet.ru