עדכונים עבור Java SE, MySQL, VirtualBox ומוצרי Oracle אחרים עם פגיעויות שתוקנו

חברת אורקל опубликовала שחרור מתוכנן של עדכונים למוצריה (Critical Patch Update), שמטרתו ביטול בעיות ופגיעויות קריטיות. בעדכון אפריל זה בוטל בסך הכל 297 נקודות תורפה.

בנושאים Java SE 12.0.1, 11.0.3 ו-8u212 5 בעיות אבטחה תוקנה. ניתן לנצל את כל הפגיעות מרחוק ללא אימות. פגיעות אחת ספציפית לפלטפורמת Windows שהוקצה CVSS Score 9.0 (CVE-2019-2699), התואם רמת סכנה קריטית ומאפשר למשתמש לא מאומת דרך הרשת לסכן יישומי Java SE. לשתי נקודות תורפה בתת-המערכת לעיבוד גרפי 2D הוקצו רמה 8.1 (CVE-2019-2697, CVE-2019-2698). טרם נחשפו פרטים.

בנוסף לבעיות ב-Java SE, נחשפו פגיעויות במוצרים אחרים של Oracle, כולל:

• 40 נקודות תורפה ב-MySQL (רמת חומרה מקסימלית 7.5). הבעיה הכי מסוכנת
  (CVE-2019-2632) משפיע על תת-מערכת הפלאגין לאימות. הבעיות יתוקנו במהדורות MySQL Community Server 8.0.16, 5.7.26 ו-5.6.44.

• 12 נקודות תורפה ב-VirtualBox, מתוכם 7 בדרגה קריטית של סכנה (CVSS ציון 8.8). פגיעויות מתוקנות בעדכונים VirtualBox 6.0.6 ו-5.2.28 (ב הערה העובדה שבעיות אבטחה נפתרו לא פורסמה לפני הפרסום). פרטים לא מסופקים, אבל אם לשפוט לפי רמת ה-CVSS, הפגיעויות תוקנו, הפגינו בתחרות Pwn2Own 2019 ומאפשרים לך לבצע קוד בצד המערכת המארחת מסביבת המערכת האורחת.

  מאפשרים לך לתקוף את המערכת המארחת מסביבת האורח.

• 3 פגיעויות על Solaris (חומרה מקסימלית 5.3 - בעיות במנהל החבילות של IPS, SunSSH ושירות ניהול מנעולים. בעיות נפתרו במהדורה
  Solaris 11.4 SRU8, אשר גם חידשה את התמיכה בספריות UCB (libucb, librpcsoc, libdbm, libtermcap, libcurses) ושירות fc-fabric, גרסאות חבילה מעודכנות
  ibus 1.5.19, NTP 4.2.8p12,
  Firefox 60.6.0esr,
  כריכה 9.11.6
  OpenSSL 1.0.2r,
  MySQL 5.6.43 ו-5.7.25,
  libxml2 2.9.9,
  libxslt 1.1.33,
  Wireshark 2.6.7,
  ncurses 6.1.0.20190105,
  Apache httpd 2.4.38,
  perl 5.22.

מקור: OpenNet.ru