Oracle hat eine geplante Veröffentlichung von Updates für seine Produkte (Critical Patch Update) veröffentlicht, die darauf abzielen, kritische Probleme und Schwachstellen zu beseitigen. Das April-Update beseitigte insgesamt 390 Schwachstellen.
Einige Probleme:
- 2 Sicherheitsprobleme in Java SE. Alle Schwachstellen können aus der Ferne ohne Authentifizierung ausgenutzt werden. Die Probleme haben die Schweregrade 5.9 und 5.3, sind in Bibliotheken vorhanden und treten nur in Umgebungen auf, die die Ausführung von nicht vertrauenswürdigem Code zulassen. Die Schwachstellen wurden in den Versionen Java SE 16.0.1, 11.0.11 und 8u292 behoben. Darüber hinaus sind die Protokolle TLSv1.0 und TLSv1.1 in OpenJDK standardmäßig deaktiviert.
- 43 Schwachstellen im MySQL-Server, von denen 4 aus der Ferne ausgenutzt werden können (diesen Schwachstellen wird ein Schweregrad von 7.5 zugewiesen). Beim Erstellen mit OpenSSL oder MIT Kerberos treten aus der Ferne ausnutzbare Schwachstellen auf. 39 lokal ausnutzbare Schwachstellen werden durch Fehler im Parser, InnoDB, DML, Optimierer, Replikationssystem, Ausführung gespeicherter Prozeduren und Audit-Plugin verursacht. Die Probleme wurden in den Versionen MySQL Community Server 8.0.24 und 5.7.34 behoben.
- 20 Schwachstellen in VirtualBox. Die drei gefährlichsten Probleme haben die Schweregrade 8.1, 8.2 und 8.4. Eines dieser Probleme ermöglicht einen Remote-Angriff durch Manipulation des RDP-Protokolls. Die Schwachstellen werden im VirtualBox 6.1.20-Update behoben.
- 2 Schwachstellen in Solaris. Der maximale Schweregrad beträgt 7.8 – eine lokal ausnutzbare Schwachstelle im CDE (Common Desktop Environment). Das zweite Problem hat einen Schweregrad von 6.1 und manifestiert sich im Kernel. Die Probleme werden im Solaris 11.4 SRU32-Update behoben.
Source: opennet.ru