Oracle on julkaissut suunniteltujen päivitysten julkaisun tuotteisiinsa (Critical Patch Update), joiden tarkoituksena on poistaa kriittiset ongelmat ja haavoittuvuudet. Huhtikuun päivitys eliminoi yhteensä 390 haavoittuvuutta.
Joitakin ongelmia:
- 2 tietoturvaongelmaa Java SE:ssä. Kaikkia haavoittuvuuksia voidaan hyödyntää etänä ilman todennusta. Ongelmien vakavuustasot ovat 5.9 ja 5.3, ne esiintyvät kirjastoissa ja näkyvät vain ympäristöissä, jotka sallivat epäluotettavan koodin suorittamisen. Haavoittuvuudet korjattiin Java SE 16.0.1-, 11.0.11- ja 8u292 -julkaisuissa. Lisäksi TLSv1.0- ja TLSv1.1-protokollat ovat oletusarvoisesti poissa käytöstä OpenJDK:ssa.
- MySQL-palvelimessa on 43 haavoittuvuutta, joista 4 voidaan hyödyntää etänä (näille haavoittuvuuksille on määritetty vakavuustaso 7.5). Etäkäyttökelpoisia haavoittuvuuksia ilmestyy, kun rakennetaan OpenSSL- tai MIT Kerberosilla. 39 paikallisesti hyödynnettävissä olevaa haavoittuvuutta johtuvat virheistä jäsentimessä, InnoDB:ssä, DML:ssä, optimoinnissa, replikointijärjestelmässä, tallennettujen toimintojen suorittamisessa ja tarkastuslaajennuksessa. Ongelmat on ratkaistu MySQL Community Server 8.0.24- ja 5.7.34 -julkaisuissa.
- 20 haavoittuvuutta VirtualBoxissa. Kolmen vaarallisimman ongelman vakavuusasteet ovat 8.1, 8.2 ja 8.4. Yksi näistä ongelmista mahdollistaa etähyökkäyksen RDP-protokollan manipuloinnin kautta. Haavoittuvuudet on korjattu VirtualBox 6.1.20 -päivityksessä.
- 2 Solariksen haavoittuvuutta. Suurin vakavuustaso on 7.8 - paikallisesti hyödynnettävä haavoittuvuus CDE:ssä (Common Desktop Environment). Toisen ongelman vakavuustaso on 6.1 ja se ilmenee ytimessä. Ongelmat on ratkaistu Solaris 11.4 SRU32 -päivityksessä.
Lähde: opennet.ru