Oracle on avaldanud oma toodete värskenduste plaanipärase väljaande (Critical Patch Update), mille eesmärk on kõrvaldada kriitilised probleemid ja haavatavused. Aprillikuu värskendus parandas kokku 390 turvaauku.
Mõned probleemid:
- 2 turvaprobleemi Java SE-s. Kõiki turvaauke saab ilma autentimiseta eemalt ära kasutada. Probleemide raskusastmed on 5.9 ja 5.3, need esinevad teekides ja ilmuvad ainult keskkondades, mis võimaldavad ebausaldusväärse koodi käivitamist. Turvaaugud parandati Java SE 16.0.1, 11.0.11 ja 8u292 versioonides. Lisaks on TLSv1.0 ja TLSv1.1 protokollid OpenJDK-s vaikimisi keelatud.
- 43 turvaauku MySQL-serveris, millest 4 saab eemalt ära kasutada (nendele haavatavustele on määratud raskusaste 7.5). OpenSSL-i või MIT Kerberosega ehitamisel ilmnevad kaugkasutatavad haavatavused. 39 lokaalselt kasutatavat turvaauku on põhjustatud vigadest parseris, InnoDB-s, DML-is, optimeerijas, replikatsioonisüsteemis, salvestatud protseduuride täitmises ja auditi pistikprogrammis. Probleemid on MySQL Community Server 8.0.24 ja 5.7.34 versioonides lahendatud.
- 20 haavatavust VirtualBoxis. Kolme kõige ohtlikuma probleemi raskusaste on 8.1, 8.2 ja 8.4. Üks neist probleemidest võimaldab kaugrünnakut RDP-protokolli manipuleerimise kaudu. Turvaaugud on parandatud VirtualBox 6.1.20 värskendusega.
- 2 Solarise haavatavust. Maksimaalne raskusaste on 7.8 – see on CDE (Common Desktop Environment) kohalikult kasutatav haavatavus. Teise probleemi raskusaste on 6.1 ja see avaldub tuumas. Probleemid lahendatakse Solarise 11.4 SRU32 värskendusega.
Allikas: opennet.ru