Oracle Company suunniteltu päivitysten julkaiseminen tuotteisiinsa (Critical Patch Update), jonka tarkoituksena on poistaa kriittiset ongelmat ja haavoittuvuudet. Huhtikuun päivityksessä tämä poistettiin yhteensä .
Ongelmissa 5 tietoturvaongelmaa korjattu. Kaikkia haavoittuvuuksia voidaan hyödyntää etänä ilman todennusta. Yksi Windows-alustaan liittyvä haavoittuvuus CVSS Score 9.0 (CVE-2019-2699), joka vastaa kriittistä vaaratasoa ja sallii todentamattoman käyttäjän vaarantaa Java SE -sovelluksia verkossa. Kaksi 2D-grafiikkakäsittelyalijärjestelmän haavoittuvuutta on määritetty tasolle 8.1 (CVE-2019-2697, CVE-2019-2698). Yksityiskohtia ei ole vielä julkistettu.
Java SE:n ongelmien lisäksi haavoittuvuuksia on paljastettu muissa Oraclen tuotteissa, mukaan lukien:
- MySQL:ssä (vakavuusaste enintään 7.5). Vaarallisin ongelma
() vaikuttaa todennuslaajennuksen alijärjestelmään. Ongelmat korjataan julkaisuissa . - VirtualBoxissa, joista 7:llä on kriittinen vaaraaste (CVSS Score 8.8). Haavoittuvuudet korjataan päivityksissä (Vuonna tietoturvaongelmien ratkaisemisesta ei kerrottu ennen julkaisua). Yksityiskohtia ei anneta, mutta CVSS:n tason perusteella haavoittuvuudet on korjattu, Pwn2Own 2019 -kilpailussa ja mahdollistaa koodin suorittamisen isäntäjärjestelmän puolella vierasjärjestelmäympäristöstä.
voit hyökätä isäntäjärjestelmään vierasympäristöstä.
- Solariksessa (vakavuusaste 5.3 – ongelmia IPS-pakettien hallinnassa, SunSSH:ssa ja lukkohallintapalvelussa. Ongelmat ratkaistu julkaisussa
, joka palautti myös UCB-kirjastojen (libucb, librpcsoc, libdbm, libtermcap, libcurses) ja fc-fabric-palvelun tuen, päivitetyt pakettiversiot
ibus 1.5.19, NTP 4.2.8p12,
Firefox 60.6.0esr,
BIND 9.11.6
OpenSSL 1.0.2r,
MySQL 5.6.43 & 5.7.25,
libxml2 2.9.9,
libxslt 1.1.33,
Wireshark 2.6.7,
ncurses 6.1.0.20190105,
Apache httpd 2.4.38,
perl 5.22.
Lähde: opennet.ru