ProHoster > Blog > actualités internet > Mises à jour pour Java SE, MySQL, VirtualBox et d'autres produits Oracle avec des vulnérabilités corrigées

Mises à jour pour Java SE, MySQL, VirtualBox et d'autres produits Oracle avec des vulnérabilités corrigées

Société Oracle опубликовала publication prévue de mises à jour de ses produits (Critical Patch Update), visant à éliminer les problèmes critiques et les vulnérabilités. Dans la mise à jour de juillet, un total de 319 vulnérabilités.

Dans les numéros Java SE 12.0.2, 11.0.4 et 8u221 10 problèmes de sécurité résolus. 9 vulnérabilités peuvent être exploitées à distance sans authentification. Le niveau de gravité attribué le plus élevé est 6.8 (vulnérabilité dans libpng). Aucun problème élevé ou critique n'a été identifié qui permettrait à un utilisateur non authentifié sur le réseau de compromettre les applications Java SE.

Outre les problèmes liés à Java SE, des vulnérabilités ont été révélées dans d'autres produits Oracle, notamment :

  • 43 vulnérabilités dans MySQL (niveau de gravité maximum 9.8, indiquant un problème critique). Le problème le plus dangereux
    (CVE-2019-3822) associé à débordement de tampon dans le code d'analyse de l'en-tête NTLM de la bibliothèque libcurl, qui peut être utilisé pour attaquer à distance le serveur MySQL par un utilisateur non authentifié. Presque tous les autres problèmes n'apparaissent que s'il existe un accès authentifié au SGBD. La seule exception est la vulnérabilité dans Shell : Admin / InnoDB Cluster, qui se voit attribuer un niveau de gravité de 7.5. Les problèmes seront résolus dans les versions Serveur de communauté MySQL 8.0.17, 5.7.27 et 5.6.45.

  • 14 vulnérabilités dans VirtualBox, dont 3 sont très dangereux (CVSS Score 8.2 et 8.8). Les vulnérabilités sont corrigées dans les mises à jour VirtualBox 6.0.10 et 5.2.32 (en note le fait que les problèmes de sécurité aient été résolus n'a pas été annoncé avant la sortie). Les détails ne sont pas fournis, mais, à en juger par le niveau CVSS, les vulnérabilités qui permettent d'exécuter du code côté système hôte à partir de l'environnement du système invité ont été éliminées ;
  • 10 vulnérabilités dans Solaris (niveau de gravité maximum 9.1 -
    Vulnérabilité liée à IPv6 dans le noyau (CVE-2019-5597) permettant une attaque à distance (détails non fournis). Deux vulnérabilités ont également un niveau de gravité critique de 8.8 : des problèmes exploitables localement dans Common Desktop Environment et les utilitaires clients pour LDAP. Les problèmes avec un niveau de gravité supérieur à 7 incluent également des vulnérabilités exploitables à distance dans les gestionnaires ICMPv6 et NFS du noyau Solaris, ainsi que des problèmes locaux dans le système de fichiers et Gnuplot.

Source: opennet.ru

Ajouter un commentaire