Oracle publicou un lanzamento programado de actualizacións dos seus produtos (Critical Patch Update), destinada a eliminar problemas críticos e vulnerabilidades. A actualización de abril eliminou un total de 390 vulnerabilidades.
Algúns problemas:
- 2 problemas de seguridade en Java SE. Todas as vulnerabilidades pódense explotar de forma remota sen autenticación. Os problemas teñen niveis de gravidade de 5.9 e 5.3, están presentes nas bibliotecas e só aparecen en ambientes que permiten que se execute código non fiable. As vulnerabilidades foron corrixidas nas versións 16.0.1, 11.0.11 e 8u292 de Java SE. Ademais, os protocolos TLSv1.0 e TLSv1.1 están desactivados por defecto en OpenJDK.
- 43 vulnerabilidades no servidor MySQL, 4 das cales poden ser explotadas de forma remota (estas vulnerabilidades teñen asignado un nivel de gravidade de 7.5). Aparecen vulnerabilidades explotables de forma remota ao construír con OpenSSL ou MIT Kerberos. 39 vulnerabilidades explotables localmente son causadas por erros no analizador, InnoDB, DML, optimizador, sistema de replicación, execución de procedementos almacenados e complemento de auditoría. Os problemas foron resoltos nas versións 8.0.24 e 5.7.34 de MySQL Community Server.
- 20 vulnerabilidades en VirtualBox. Os tres problemas máis perigosos teñen niveis de gravidade de 8.1, 8.2 e 8.4. Un destes problemas permite un ataque remoto mediante a manipulación do protocolo RDP. As vulnerabilidades están corrixidas na actualización de VirtualBox 6.1.20.
- 2 vulnerabilidades en Solaris. O nivel de gravidade máximo é 7.8, unha vulnerabilidade localmente explotable no CDE (Common Desktop Environment). O segundo problema ten un nivel de gravidade de 6.1 e maniféstase no núcleo. Os problemas resólvense na actualización de Solaris 11.4 SRU32.
Fonte: opennet.ru