Oracle heeft een geplande release van updates voor zijn producten gepubliceerd (Critical Patch Update), gericht op het elimineren van kritieke problemen en kwetsbaarheden. De update van april elimineerde in totaal 390 kwetsbaarheden.
Enkele problemen:
- 2 beveiligingsproblemen in Java SE. Alle kwetsbaarheden kunnen op afstand worden misbruikt zonder authenticatie. De problemen hebben ernstniveaus van 5.9 en 5.3, zijn aanwezig in bibliotheken en komen alleen voor in omgevingen waarin niet-vertrouwde code kan worden uitgevoerd. De kwetsbaarheden zijn opgelost in Java SE 16.0.1, 11.0.11 en 8u292 releases. Bovendien zijn de protocollen TLSv1.0 en TLSv1.1 standaard uitgeschakeld in OpenJDK.
- 43 kwetsbaarheden in de MySQL-server, waarvan er 4 op afstand kunnen worden misbruikt (deze kwetsbaarheden krijgen een ernstniveau van 7.5). Op afstand exploiteerbare kwetsbaarheden treden op bij het bouwen met OpenSSL of MIT Kerberos. 39 lokaal exploiteerbare kwetsbaarheden worden veroorzaakt door fouten in de parser, InnoDB, DML, optimizer, replicatiesysteem, uitvoering van opgeslagen procedures en auditplug-in. De problemen zijn opgelost in MySQL Community Server 8.0.24 en 5.7.34 releases.
- 20 kwetsbaarheden in VirtualBox. De drie gevaarlijkste problemen hebben een ernstniveau van 8.1, 8.2 en 8.4. Eén van deze problemen maakt een aanval op afstand mogelijk via manipulatie van het RDP-protocol. De kwetsbaarheden zijn opgelost in de VirtualBox 6.1.20-update.
- 2 kwetsbaarheden in Solaris. Het maximale ernstniveau is 7.8 - een lokaal exploiteerbare kwetsbaarheid in de CDE (Common Desktop Environment). Het tweede probleem heeft een ernstniveau van 6.1 en manifesteert zich in de kernel. De problemen zijn opgelost in de Solaris 11.4 SRU32-update.
Bron: opennet.ru