Oracle har udgivet en planlagt udgivelse af opdateringer til sine produkter (Critical Patch Update), der har til formål at eliminere kritiske problemer og sårbarheder. April-opdateringen rettet i alt 390 sårbarheder.
Nogle problemer:
- 2 sikkerhedsproblemer i Java SE. Alle sårbarheder kan udnyttes eksternt uden godkendelse. Problemerne har sværhedsgrader på 5.9 og 5.3, er til stede i biblioteker og vises kun i miljøer, der tillader ikke-pålidelig kode at køre. Sårbarhederne blev rettet i Java SE 16.0.1, 11.0.11 og 8u292 udgivelser. Derudover er TLSv1.0- og TLSv1.1-protokollerne deaktiveret som standard i OpenJDK.
- 43 sårbarheder i MySQL-serveren, hvoraf 4 kan udnyttes eksternt (disse sårbarheder er tildelt et alvorlighedsniveau på 7.5). Fjernudnyttelige sårbarheder vises, når der bygges med OpenSSL eller MIT Kerberos. 39 lokalt udnyttelige sårbarheder er forårsaget af fejl i parseren, InnoDB, DML, optimizer, replikeringssystem, udførelse af lagrede procedurer og audit plugin. Problemerne er blevet løst i MySQL Community Server 8.0.24 og 5.7.34 udgivelser.
- 20 sårbarheder i VirtualBox. De tre farligste problemer har sværhedsgrader på 8.1, 8.2 og 8.4. Et af disse problemer tillader et fjernangreb gennem manipulation af RDP-protokollen. Sårbarhederne er rettet i VirtualBox 6.1.20-opdateringen.
- 2 sårbarheder i Solaris. Det maksimale alvorlighedsniveau er 7.8 - en lokalt udnyttelig sårbarhed i CDE (Common Desktop Environment). Det andet problem har et sværhedsgrad på 6.1 og manifesterer sig i kernen. Problemerne er løst i Solaris 11.4 SRU32-opdateringen.
Kilde: opennet.ru