Oracle geplante Aktualisierung der Produkte (Critical Patch Update), die darauf abzielt, kritische Probleme und Schwachstellen zu beheben. Im Aprilsupdate wurden insgesamt .
In den Versionen wurden 5 Sicherheitsprobleme behoben. Alle Schwachstellen können remote ohne Authentifizierung ausgenutzt werden. Eine Schwachstelle, die spezifisch für die Windows-Plattform ist, mit einem CVSS Score von 9.0 (CVE-2019-2699) bewertet, was einem kritischen Gefährdungsgrad entspricht und es einem nicht authentifizierten Benutzer ermöglicht, Anwendungen auf Java SE über das Netzwerk zu kompromittieren. Zwei Schwachstellen im 2D-Grafikunterstützungssystem erhielten eine Bewertung von 8.1 (CVE-2019-2697, CVE-2019-2698). Details sind derzeit nicht verfügbar.
Neben den Problemen in Java SE wurden auch Schwachstellen in anderen Oracle-Produkten veröffentlicht, darunter:
- in MySQL (maximaler Gefährdungsgrad 7.5). Das gefährlichste Problem
() betrifft das Subsystem für Authentifizierungs-Plugins. Die Probleme werden in den Versionen . - in VirtualBox, von denen 7 als kritisch eingestuft sind (CVSS-Score 8.8). Die Sicherheitsanfälligkeiten wurden in den Updates behoben. (in beim Release, da die Behebung von Sicherheitsproblemen nicht bekannt gegeben wurde). Es wurden keine Details mitgeteilt, aber angesichts des CVSS-Levels sind die Schwachstellen behoben worden, dem Pwn2Own 2019 Wettbewerb demonstriert wurden und es ermöglichen, Code von der Gastsystemumgebung auf dem Hostsyst im auszuführen.
werden verwendet, um das Hostsyst aus der Gastumgebung anzugreifen.
- in Solaris (maximale Gefährdung 5.3 — Probleme im IPS-Paketmanager, SunSSH und im Lock-Management-Dienst. Die Probleme wurden in der Version
, in der auch die Unterstützung für die UCB-Bibliotheken (libucb, librpcsoc, libdbm, libtermcap, libcurses) und den fc-fabric-Dienst wiederhergestellt wurde, aktualisierte Versionen der Pakete wurden ebenfalls bereitgestellt:
ibus 1.5.19, NTP 4.2.8p12,
Firefox 60.6.0esr,
BIND 9.11.6,
OpenSSL 1.0.2r,
MySQL 5.6.43 & 5.7.25,
libxml2 2.9.9,
libxslt 1.1.33,
Wireshark 2.6.7,
ncurses 6.1.0.20190105,
Apache httpd 2.4.38,
perl 5.22.
Quelle: opennet.ru
