Společnost Oracle zveřejnila plánované vydání aktualizací svých produktů (Critical Patch Update), jejichž cílem je eliminovat kritické problémy a zranitelná místa. Dubnová aktualizace odstranila celkem 390 zranitelností.
Nějaké problémy:
- 2 bezpečnostní problémy v Java SE. Všechny zranitelnosti lze zneužít vzdáleně bez ověřování. Problémy mají úrovně závažnosti 5.9 a 5.3, vyskytují se v knihovnách a objevují se pouze v prostředích, která umožňují spouštění nedůvěryhodného kódu. Chyby zabezpečení byly opraveny ve vydáních Java SE 16.0.1, 11.0.11 a 8u292. Protokoly TLSv1.0 a TLSv1.1 jsou navíc v OpenJDK ve výchozím nastavení zakázány.
- 43 zranitelností na serveru MySQL, z nichž 4 lze zneužít vzdáleně (těmto zranitelnostem je přiřazena úroveň závažnosti 7.5). Při sestavování pomocí OpenSSL nebo MIT Kerberos se objevují vzdáleně zneužitelné zranitelnosti. 39 místně zneužitelných zranitelností je způsobeno chybami v analyzátoru, InnoDB, DML, optimalizátoru, replikačním systému, provádění uložené procedury a auditním pluginu. Problémy byly vyřešeny ve vydáních MySQL Community Server 8.0.24 a 5.7.34.
- 20 zranitelností ve VirtualBoxu. Tři nejnebezpečnější problémy mají úrovně závažnosti 8.1, 8.2 a 8.4. Jeden z těchto problémů umožňuje vzdálený útok prostřednictvím manipulace s protokolem RDP. Chyby zabezpečení jsou opraveny v aktualizaci VirtualBox 6.1.20.
- 2 zranitelnosti v Solaris. Maximální úroveň závažnosti je 7.8 – místně zneužitelná chyba zabezpečení v CDE (Common Desktop Environment). Druhý problém má úroveň závažnosti 6.1 a projevuje se v jádře. Problémy jsou vyřešeny v aktualizaci Solaris 11.4 SRU32.
Zdroj: opennet.ru