Компания Oracle плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В апрельском обновлении в сумме устранено .
В выпусках устранено 5 проблем с безопасностью. Все уязвимости могут быть эксплуатированы удалённо без проведения аутентификации. Одной уязвимости, специфичной для платформы Windows, CVSS Score 9.0 (CVE-2019-2699), что соответствует критическому уровню опасности и позволяет неаутентифицированному пользователю по сети скомпрометировать приложения на Java SE. Двум уязвимостям в подсистеме обработки 2D графики присвоен уровнень 8.1 (CVE-2019-2697, CVE-2019-2698). Подробности пока не раскрываются.
Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:
- в MySQL (максимальный уровень опасности 7.5). Наиболее опасная проблема
() затрагивает подсистему подключаемых модулей аутентификации. Проблемы будут устранены в выпусках . - в VirtualBox, из которых 7 имеют критическую степень опасности (CVSS Score 8.8). Уязвимости устранены в обновлениях (в к релизу факт устранения проблем с безопасностью не афиширован). Подробности не сообщаются, но судя по уровню CVSS устранены уязвимости, на соревновании Pwn2Own 2019 и позволяющие из окружения гостевой системы выполнить код на стороне хост-системы.
позволяют атаковать хост-систему из гостевого окружения.
- в Solaris (максимальная степень опасности 5.3 — проблемы в пакетном менеджере IPS, SunSSH и сервисе управления блокировками. Проблемы устранены в выпуске
, в котором также возобновлена поддержка библиотек UCB (libucb, librpcsoc, libdbm, libtermcap, libcurses) и сервиса fc-fabric, обновлены версии пакетов
ibus 1.5.19, NTP 4.2.8p12,
Firefox 60.6.0esr,
BIND 9.11.6,
OpenSSL 1.0.2r,
MySQL 5.6.43 & 5.7.25,
libxml2 2.9.9,
libxslt 1.1.33,
Wireshark 2.6.7,
ncurses 6.1.0.20190105,
Apache httpd 2.4.38,
perl 5.22.
Источник: opennet.ru