Oracle a publié une version programmée de mises à jour de ses produits (Critical Patch Update), visant à éliminer les problèmes critiques et les vulnérabilités. La mise à jour d'avril a éliminé un total de 390 vulnérabilités.
Quelques problèmes:
- 2 problèmes de sécurité dans Java SE. Toutes les vulnérabilités peuvent être exploitées à distance sans authentification. Les problèmes ont des niveaux de gravité de 5.9 et 5.3, sont présents dans les bibliothèques et n'apparaissent que dans des environnements qui permettent l'exécution de code non fiable. Les vulnérabilités ont été corrigées dans les versions Java SE 16.0.1, 11.0.11 et 8u292. De plus, les protocoles TLSv1.0 et TLSv1.1 sont désactivés par défaut dans OpenJDK.
- 43 vulnérabilités dans le serveur MySQL, dont 4 exploitables à distance (ces vulnérabilités ont un niveau de gravité de 7.5). Des vulnérabilités exploitables à distance apparaissent lors de la construction avec OpenSSL ou MIT Kerberos. 39 vulnérabilités exploitables localement sont causées par des erreurs dans l'analyseur, InnoDB, DML, l'optimiseur, le système de réplication, l'exécution de procédures stockées et le plugin d'audit. Les problèmes ont été résolus dans les versions MySQL Community Server 8.0.24 et 5.7.34.
- 20 vulnérabilités dans VirtualBox. Les trois problèmes les plus dangereux ont des niveaux de gravité de 8.1, 8.2 et 8.4. L'un de ces problèmes permet une attaque à distance via la manipulation du protocole RDP. Les vulnérabilités sont corrigées dans la mise à jour VirtualBox 6.1.20.
- 2 vulnérabilités dans Solaris. Le niveau de gravité maximum est de 7.8 – une vulnérabilité exploitable localement dans le CDE (Common Desktop Environment). Le deuxième problème a un niveau de gravité de 6.1 et se manifeste au niveau du noyau. Les problèmes sont résolus dans la mise à jour Solaris 11.4 SRU32.
Source: opennet.ru