Oracle-bedrijf geplande release van updates voor zijn producten (Critical Patch Update), gericht op het elimineren van kritieke problemen en kwetsbaarheden. In de update van april is dit in totaal geëlimineerd .
Problemen 5 beveiligingsproblemen opgelost. Alle kwetsbaarheden kunnen op afstand worden misbruikt zonder authenticatie. Eén kwetsbaarheid specifiek voor het Windows-platform CVSS Score 9.0 (CVE-2019-2699), wat overeenkomt met een kritiek niveau van gevaar en waarmee een niet-geverifieerde gebruiker via het netwerk Java SE-applicaties kan compromitteren. Aan twee kwetsbaarheden in het 2D grafische verwerkingssubsysteem is niveau 8.1 toegewezen (CVE-2019-2697, CVE-2019-2698). Details zijn nog niet bekendgemaakt.
Naast de problemen in Java SE zijn er kwetsbaarheden onthuld in andere Oracle-producten, waaronder:
- in MySQL (maximaal ernstniveau 7.5). Het gevaarlijkste probleem
() heeft invloed op het subsysteem van de authenticatieplug-in. Problemen worden opgelost in releases . - in VirtualBox, waarvan er 7 een kritieke mate van gevaar hebben (CVSS-score 8.8). Kwetsbaarheden worden opgelost in updates (In het het feit dat de beveiligingsproblemen waren opgelost, werd vóór de release niet geadverteerd). Er worden geen details verstrekt, maar afgaande op het CVSS-niveau zijn de kwetsbaarheden verholpen. bij de Pwn2Own 2019-wedstrijd en stelt u in staat code uit te voeren op de hostsysteemkant vanuit de gastsysteemomgeving.
kunt u het hostsysteem aanvallen vanuit de gastomgeving.
- op Solaris (maximale ernst 5.3 - problemen met IPS-pakketbeheerder, SunSSH en slotbeheerservice. Problemen opgelost in release
, dat ook de ondersteuning hervatte voor de UCB-bibliotheken (libucb, librpcsoc, libdbm, libtermcap, libcurses) en de fc-fabric service, bijgewerkte pakketversies
ibus 1.5.19, NTP 4.2.8p12,
Firefox 60.6.0esr,
BIND 9.11.6
OpenSSL 1.0.2r,
MySQL 5.6.43 & 5.7.25,
libxml2 2.9.9,
libxslt 1.1.33,
Wireshark 2.6.7,
nvloeken 6.1.0.20190105,
Apache httpd 2.4.38,
parel 5.22.
Bron: opennet.ru