Oracle ha publicado un lanzamiento programado de actualizaciones de sus productos (Critical Patch Update), destinado a eliminar problemas y vulnerabilidades críticas. La actualización de abril eliminó un total de 390 vulnerabilidades.
Algunos problemas:
- 2 problemas de seguridad en Java SE. Todas las vulnerabilidades se pueden explotar de forma remota sin autenticación. Los problemas tienen niveles de gravedad de 5.9 y 5.3, están presentes en bibliotecas y sólo aparecen en entornos que permiten la ejecución de código que no es de confianza. Las vulnerabilidades se solucionaron en las versiones Java SE 16.0.1, 11.0.11 y 8u292. Además, los protocolos TLSv1.0 y TLSv1.1 están deshabilitados de forma predeterminada en OpenJDK.
- 43 vulnerabilidades en el servidor MySQL, 4 de las cuales pueden explotarse de forma remota (a estas vulnerabilidades se les asigna un nivel de gravedad de 7.5). Las vulnerabilidades explotables de forma remota aparecen cuando se construye con OpenSSL o MIT Kerberos. 39 vulnerabilidades explotables localmente son causadas por errores en el analizador, InnoDB, DML, optimizador, sistema de replicación, ejecución de procedimientos almacenados y complemento de auditoría. Los problemas se resolvieron en las versiones MySQL Community Server 8.0.24 y 5.7.34.
- 20 vulnerabilidades en VirtualBox. Los tres problemas más peligrosos tienen niveles de gravedad de 8.1, 8.2 y 8.4. Uno de estos problemas permite un ataque remoto mediante la manipulación del protocolo RDP. Las vulnerabilidades se solucionan en la actualización de VirtualBox 6.1.20.
- 2 vulnerabilidades en Solaris. El nivel de gravedad máximo es 7.8, una vulnerabilidad explotable localmente en CDE (Common Desktop Environment). El segundo problema tiene un nivel de gravedad de 6.1 y se manifiesta en el kernel. Los problemas se resuelven en la actualización Solaris 11.4 SRU32.
Fuente: opennet.ru