Oracle publikigis planitan eldonon de ĝisdatigoj al siaj produktoj (Critical Patch Update), celitan forigi kritikajn problemojn kaj vundeblecojn. La aprila ĝisdatigo riparis entute 390 vundeblecojn.
Kelkaj problemoj:
- 2 sekurecaj problemoj en Java SE. Ĉiuj vundeblecoj povas esti ekspluatitaj malproksime sen aŭtentigo. La problemoj havas severecnivelojn de 5.9 kaj 5.3, ĉeestas en bibliotekoj, kaj nur aperas en medioj kiuj permesas nefidinda kodo ruliĝi. La vundeblecoj estis riparitaj en Java SE 16.0.1, 11.0.11, kaj 8u292 eldonoj. Aldone, la protokoloj TLSv1.0 kaj TLSv1.1 estas defaŭlte malŝaltitaj en OpenJDK.
- 43 vundeblecoj en la MySQL-servilo, 4 el kiuj povas esti ekspluatitaj malproksime (ĉi tiuj vundeblecoj ricevas severecnivelon de 7.5). Malproksime ekspluateblaj vundeblecoj aperas dum konstruado kun OpenSSL aŭ MIT Kerberos. 39 loke ekspluateblaj vundeblecoj estas kaŭzitaj de eraroj en la analizilo, InnoDB, DML, optimumigilo, reproduktadsistemo, stokita procedo-ekzekuto kaj revizia kromaĵo. La problemoj estis solvitaj en MySQL Community Server 8.0.24 kaj 5.7.34 eldonoj.
- 20 vundeblecoj en VirtualBox. La tri plej danĝeraj problemoj havas severecnivelojn de 8.1, 8.2 kaj 8.4. Unu el ĉi tiuj problemoj permesas foran atakon per manipulado de la RDP-protokolo. La vundeblecoj estas fiksitaj en la ĝisdatigo de VirtualBox 6.1.20.
- 2 vundeblecoj en Solaris. La maksimuma severecnivelo estas 7.8 - loke ekspluatebla vundebleco en la CDE (Komuna Labortabla Medio). La dua problemo havas severecan nivelon de 6.1 kaj manifestiĝas en la kerno. La problemoj estas solvitaj en la ĝisdatigo de Solaris 11.4 SRU32.
fonto: opennet.ru