Oracle'i ettevõte oma toodete plaanitud värskenduste väljaandmine (Critical Patch Update), mille eesmärk on kõrvaldada kriitilised probleemid ja haavatavused. Aprillikuu värskenduses kõrvaldati see kokku .
Küsimustes 5 turvaprobleemi lahendatud. Kõiki turvaauke saab ilma autentimiseta eemalt ära kasutada. Üks Windowsi platvormile omane haavatavus CVSS Score 9.0 (CVE-2019-2699), mis vastab kriitilisele ohutasemele ja võimaldab võrgu kaudu autentimata kasutajal Java SE rakendusi kahjustada. Kahele 2D-graafika töötlemise alamsüsteemi haavatavusele on määratud tase 8.1 (CVE-2019-2697, CVE-2019-2698). Üksikasju pole veel avalikustatud.
Lisaks Java SE probleemidele on turvaauke avalikustatud ka teistes Oracle'i toodetes, sealhulgas:
- MySQL-is (maksimaalne raskusaste 7.5). Kõige ohtlikum probleem
() mõjutab autentimisplugina alamsüsteemi. Probleemid parandatakse väljalasetes . - VirtualBoxis, millest 7 on kriitilise ohuastmega (CVSS Score 8.8). Haavatavused parandatakse värskendustes (in turvaprobleemide lahendamist enne avaldamist ei reklaamitud). Üksikasju ei ole esitatud, kuid CVSS-i taseme järgi otsustades on haavatavused parandatud, Pwn2Own 2019 konkursil ja võimaldavad teil käivitada koodi hostisüsteemi poolel külalissüsteemi keskkonnast.
võimaldab rünnata hostsüsteemi külaliskeskkonnast.
- Solarises (maksimaalne raskusaste 5.3 – probleemid IPS-i paketihalduri, SunSSH-i ja lukuhaldusteenusega. Probleemid lahendati väljalaskes
, mis jätkas ka UCB teekide (libucb, librpcsoc, libdbm, libtermcap, libcurses) ja teenuse fc-fabric tuge, uuendatud paketiversioonid
ibus 1.5.19, NTP 4.2.8p12,
Firefox 60.6.0esr,
BIND 9.11.6
OpenSSL 1.0.2r,
MySQL 5.6.43 ja 5.7.25,
libxml2 2.9.9,
libxslt 1.1.33,
Wireshark 2.6.7,
ncurses 6.1.0.20190105,
Apache httpd 2.4.38,
perl 5.22.
Allikas: opennet.ru