Oracle-ը հրապարակել է իր արտադրանքի թարմացումների պլանավորված թողարկումը (Critical Patch Update), որի նպատակն է վերացնել կրիտիկական խնդիրները և խոցելիությունները: Ապրիլյան թարմացումը շտկել է ընդհանուր առմամբ 390 խոցելիություն:
Որոշ խնդիրներ.
- 2 անվտանգության խնդիր Java SE-ում. Բոլոր խոցելիությունները կարող են օգտագործվել հեռակա կարգով, առանց նույնականացման: Խնդիրներն ունեն 5.9 և 5.3 խստության մակարդակներ, առկա են գրադարաններում և հայտնվում են միայն այն միջավայրերում, որոնք թույլ են տալիս գործարկել անվստահելի կոդ: Խոցելիությունները շտկվել են Java SE 16.0.1, 11.0.11 և 8u292 թողարկումներում: Բացի այդ, TLSv1.0 և TLSv1.1 արձանագրությունները լռելյայն անջատված են OpenJDK-ում:
- 43 խոցելիություն MySQL սերվերում, որոնցից 4-ը կարող են շահագործվել հեռակա կարգով (այս խոցելիությունները նշանակված են 7.5 խստության մակարդակ): Հեռակա շահագործվող խոցելիություններ հայտնվում են OpenSSL-ի կամ MIT Kerberos-ի հետ կառուցելիս: Տեղական շահագործվող 39 խոցելիությունը առաջանում է վերլուծիչի, InnoDB-ի, DML-ի, օպտիմիզատորի, վերարտադրման համակարգի, պահվող ընթացակարգերի կատարման և աուդիտի հավելումների սխալների պատճառով: Խնդիրները լուծվել են MySQL Community Server 8.0.24 և 5.7.34 թողարկումներում:
- 20 խոցելիություն VirtualBox-ում. Երեք ամենավտանգավոր խնդիրներն ունեն 8.1, 8.2 և 8.4 ծանրության մակարդակ: Այս խնդիրներից մեկը թույլ է տալիս հեռավոր հարձակում իրականացնել RDP արձանագրության մանիպուլյացիայի միջոցով: Խոցելիությունը շտկված է VirtualBox 6.1.20 թարմացումում։
- 2 խոցելիություն Solaris-ում. Առավելագույն խստության մակարդակը 7.8 է՝ տեղային շահագործվող խոցելիություն CDE-ում (Ընդհանուր աշխատասեղանի միջավայր): Երկրորդ խնդիրն ունի 6.1 խստության մակարդակ և դրսևորվում է միջուկում։ Խնդիրները լուծված են Solaris 11.4 SRU32 թարմացմամբ:
Source: opennet.ru