Η Oracle δημοσίευσε μια προγραμματισμένη έκδοση ενημερώσεων για τα προϊόντα της (Critical Patch Update), με στόχο την εξάλειψη κρίσιμων προβλημάτων και τρωτών σημείων. Η ενημέρωση του Απριλίου διόρθωσε συνολικά 390 ευπάθειες.
Κάποια προβλήματα:
- 2 προβλήματα ασφαλείας σε Java SE. Όλα τα τρωτά σημεία μπορούν να αξιοποιηθούν εξ αποστάσεως χωρίς έλεγχο ταυτότητας. Τα ζητήματα έχουν επίπεδα σοβαρότητας 5.9 και 5.3, υπάρχουν σε βιβλιοθήκες και εμφανίζονται μόνο σε περιβάλλοντα που επιτρέπουν την εκτέλεση μη αξιόπιστου κώδικα. Τα τρωτά σημεία επιδιορθώθηκαν στις εκδόσεις Java SE 16.0.1, 11.0.11 και 8u292. Επιπλέον, τα πρωτόκολλα TLSv1.0 και TLSv1.1 είναι απενεργοποιημένα από προεπιλογή στο OpenJDK.
- 43 ευπάθειες στον διακομιστή MySQL, 4 από τις οποίες μπορούν να αξιοποιηθούν εξ αποστάσεως (αυτές οι ευπάθειες έχουν εκχωρηθεί επίπεδο σοβαρότητας 7.5). Κατά τη δημιουργία με OpenSSL ή MIT Kerberos εμφανίζονται απομακρυσμένα εκμεταλλεύσιμα τρωτά σημεία. 39 τοπικά εκμεταλλεύσιμα τρωτά σημεία προκαλούνται από σφάλματα στον αναλυτή, το InnoDB, το DML, τον βελτιστοποιητή, το σύστημα αναπαραγωγής, την εκτέλεση αποθηκευμένης διαδικασίας και την προσθήκη ελέγχου. Τα ζητήματα έχουν επιλυθεί στις εκδόσεις MySQL Community Server 8.0.24 και 5.7.34.
- 20 τρωτά σημεία στο VirtualBox. Τα τρία πιο επικίνδυνα προβλήματα έχουν επίπεδα σοβαρότητας 8.1, 8.2 και 8.4. Ένα από αυτά τα προβλήματα επιτρέπει μια απομακρυσμένη επίθεση μέσω χειρισμού του πρωτοκόλλου RDP. Τα τρωτά σημεία επιδιορθώνονται στην ενημέρωση του VirtualBox 6.1.20.
- 2 τρωτά σημεία στο Solaris. Το μέγιστο επίπεδο σοβαρότητας είναι 7.8 - μια τοπικά εκμεταλλεύσιμη ευπάθεια στο CDE (Common Desktop Environment). Το δεύτερο πρόβλημα έχει επίπεδο σοβαρότητας 6.1 και εκδηλώνεται στον πυρήνα. Τα ζητήματα επιλύονται στην ενημέρωση Solaris 11.4 SRU32.
Πηγή: opennet.ru