Az Oracle közzétette termékeinek ütemezett frissítéseit (Critical Patch Update), amelyek célja a kritikus problémák és sebezhetőségek kiküszöbölése. Az áprilisi frissítés összesen 390 sebezhetőséget szüntetett meg.
Néhány probléma:
- 2 biztonsági probléma a Java SE-ben. Minden sebezhetőség távolról, hitelesítés nélkül kihasználható. A problémák 5.9-es és 5.3-as súlyossági fokozatúak, jelen vannak a könyvtárakban, és csak olyan környezetekben jelennek meg, amelyek lehetővé teszik a nem megbízható kód futtatását. A sérülékenységeket a Java SE 16.0.1, 11.0.11 és 8u292 kiadásokban javították ki. Ezenkívül a TLSv1.0 és a TLSv1.1 protokollok alapértelmezés szerint le vannak tiltva az OpenJDK-ban.
- 43 sérülékenység a MySQL szerveren, ebből 4 távolról is kihasználható (ezekhez a sérülékenységekhez 7.5-ös súlyossági szint van hozzárendelve). Távolról kihasználható biztonsági rések jelennek meg az OpenSSL vagy MIT Kerberos használatával történő építés során. 39 helyileg kihasználható sérülékenységet az elemző, az InnoDB, a DML, az optimalizáló, a replikációs rendszer, a tárolt eljárások végrehajtása és az audit plugin hibái okoznak. A problémákat a MySQL Community Server 8.0.24 és 5.7.34 kiadása megoldotta.
- 20 sebezhetőség a VirtualBoxban. A három legveszélyesebb probléma 8.1, 8.2 és 8.4 súlyosságú. Az egyik ilyen probléma távoli támadást tesz lehetővé az RDP protokoll manipulálásával. A sebezhetőségeket a VirtualBox 6.1.20-as frissítése javítja.
- 2 sebezhetőség a Solarisban. A maximális súlyossági szint 7.8 – a CDE (Common Desktop Environment) helyileg kihasználható biztonsági rése. A második probléma súlyossági szintje 6.1, és a kernelben nyilvánul meg. A problémákat a Solaris 11.4 SRU32 frissítés megoldja.
Forrás: opennet.ru