شرکت اوراکل انتشار برنامه ریزی شده به روز رسانی برای محصولات خود (Critical Patch Update)، با هدف از بین بردن مشکلات و آسیب پذیری های حیاتی. در آپدیت آوریل این به طور کلی حذف شد .
در مسائل 5 مشکل امنیتی برطرف شد همه آسیبپذیریها را میتوان از راه دور بدون احراز هویت مورد سوء استفاده قرار داد. یک آسیب پذیری خاص برای پلتفرم ویندوز امتیاز CVSS 9.0 (CVE-2019-2699)، که با سطح بحرانی خطر مطابقت دارد و به کاربر احراز هویت نشده در شبکه اجازه می دهد تا برنامه های Java SE را به خطر بیندازد. دو آسیبپذیری در زیرسیستم پردازش گرافیکی دوبعدی به سطح 2 اختصاص داده شده است (CVE-8.1-2019، CVE-2697-2019). جزئیات هنوز فاش نشده است.
علاوه بر مشکلات موجود در Java SE، آسیبپذیریهایی در سایر محصولات اوراکل نیز فاش شده است، از جمله:
- در MySQL (حداکثر سطح شدت 7.5). خطرناک ترین مشکل
() بر زیرسیستم پلاگین احراز هویت تأثیر می گذارد. مشکلات در نسخه ها رفع خواهد شد . - در VirtualBox که 7 مورد آن دارای درجه خطر بحرانی هستند (امتیاز CVSS 8.8). آسیبپذیریها در بهروزرسانیها رفع میشوند (در این واقعیت که مشکلات امنیتی حل شده بود قبل از انتشار تبلیغ نشده بود). جزئیات ارائه نشده است، اما با قضاوت بر اساس سطح CVSS، آسیب پذیری ها برطرف شده است. در مسابقه Pwn2Own 2019 و به شما امکان می دهد کد را در سمت سیستم میزبان از محیط سیستم مهمان اجرا کنید.
به شما امکان می دهد از محیط مهمان به سیستم میزبان حمله کنید.
- در Solaris (حداکثر شدت 5.3 - مشکلات مربوط به مدیریت بسته IPS، SunSSH و سرویس مدیریت قفل. مشکلات در انتشار حل شد
، که همچنین پشتیبانی از کتابخانه های UCB (libucb، librpcsoc، libdbm، libtermcap، libcurses) و سرویس fc-fabric، نسخه های بسته به روز شده را از سر گرفت.
ibus 1.5.19، NTP 4.2.8p12،
فایرفاکس 60.6.0esr
BIND 9.11.6
OpenSSL 1.0.2r،
MySQL 5.6.43 و 5.7.25،
libxml2 2.9.9،
libxslt 1.1.33،
Wireshark 2.6.7،
ncurses 6.1.0.20190105،
آپاچی httpd 2.4.38،
پرل 5.22.
منبع: opennet.ru