Oracle ir publicējis plānoto savu produktu atjauninājumu izlaidumu (Critical Patch Update), kura mērķis ir novērst kritiskās problēmas un ievainojamības. Aprīļa atjauninājums kopumā likvidēja 390 ievainojamības.
Dažas problēmas:
- 2 drošības problēmas Java SE. Visas ievainojamības var izmantot attālināti bez autentifikācijas. Problēmām ir 5.9 un 5.3 smaguma pakāpe, tās ir sastopamas bibliotēkās un parādās tikai vidēs, kas ļauj palaist neuzticamu kodu. Ievainojamības tika novērstas Java SE 16.0.1, 11.0.11 un 8u292 laidienos. Turklāt OpenJDK pēc noklusējuma ir atspējoti protokoli TLSv1.0 un TLSv1.1.
- 43 MySQL servera ievainojamības, no kurām 4 var izmantot attālināti (šīm ievainojamībām ir piešķirts 7.5 smaguma līmenis). Veidojot ar OpenSSL vai MIT Kerberos, parādās attāli izmantojamas ievainojamības. 39 lokāli izmantojamas ievainojamības izraisa kļūdas parsētājā, InnoDB, DML, optimizētājā, replikācijas sistēmā, saglabāto procedūru izpildē un audita spraudnī. Problēmas ir atrisinātas MySQL Community Server 8.0.24 un 5.7.34 laidienos.
- 20 ievainojamības VirtualBox. Trīs visbīstamākajām problēmām ir 8.1, 8.2 un 8.4 smaguma pakāpe. Viena no šīm problēmām ļauj veikt attālu uzbrukumu, manipulējot ar RDP protokolu. Ievainojamības ir novērstas VirtualBox 6.1.20 atjauninājumā.
- 2 Solaris ievainojamības. Maksimālais smaguma līmenis ir 7.8 — lokāli izmantojama ievainojamība CDE (Common Desktop Environment). Otrajai problēmai ir 6.1 smaguma pakāpe, un tā izpaužas kodolā. Problēmas ir atrisinātas Solaris 11.4 SRU32 atjauninājumā.
Avots: opennet.ru