Oracle ha pubblicato un rilascio programmato di aggiornamenti dei propri prodotti (Critical Patch Update), volti ad eliminare problemi critici e vulnerabilità. L'aggiornamento di aprile ha eliminato un totale di 390 vulnerabilità.
Alcuni problemi:
- 2 problemi di sicurezza in Java SE. Tutte le vulnerabilità possono essere sfruttate da remoto senza autenticazione. I problemi hanno livelli di gravità pari a 5.9 e 5.3, sono presenti nelle librerie e compaiono solo in ambienti che consentono l'esecuzione di codice non attendibile. Le vulnerabilità sono state corrette nelle versioni Java SE 16.0.1, 11.0.11 e 8u292. Inoltre, i protocolli TLSv1.0 e TLSv1.1 sono disabilitati per impostazione predefinita in OpenJDK.
- 43 vulnerabilità nel server MySQL, 4 delle quali possono essere sfruttate da remoto (a queste vulnerabilità viene assegnato un livello di gravità di 7.5). Vulnerabilità sfruttabili in remoto compaiono quando si crea con OpenSSL o MIT Kerberos. 39 vulnerabilità sfruttabili localmente sono causate da errori nel parser, InnoDB, DML, ottimizzatore, sistema di replica, esecuzione di procedure memorizzate e plug-in di controllo. I problemi sono stati risolti nelle versioni MySQL Community Server 8.0.24 e 5.7.34.
- 20 vulnerabilità in VirtualBox. I tre problemi più pericolosi hanno livelli di gravità pari a 8.1, 8.2 e 8.4. Uno di questi problemi consente un attacco remoto attraverso la manipolazione del protocollo RDP. Le vulnerabilità sono state corrette nell'aggiornamento VirtualBox 6.1.20.
- 2 vulnerabilità in Solaris. Il livello di gravità massimo è 7.8: una vulnerabilità sfruttabile localmente nel CDE (Common Desktop Environment). Il secondo problema ha un livello di gravità pari a 6.1 e si manifesta nel kernel. I problemi sono stati risolti nell'aggiornamento Solaris 11.4 SRU32.
Fonte: opennet.ru