Oracle har publisert en planlagt utgivelse av oppdateringer til produktene sine (Critical Patch Update), rettet mot å eliminere kritiske problemer og sårbarheter. April-oppdateringen løste totalt 390 sårbarheter.
Noen problemer:
- 2 sikkerhetsproblemer i Java SE. Alle sårbarheter kan utnyttes eksternt uten autentisering. Problemene har alvorlighetsnivåer på 5.9 og 5.3, er tilstede i biblioteker og vises kun i miljøer som lar uklarert kode kjøre. Sårbarhetene ble fikset i Java SE 16.0.1, 11.0.11 og 8u292-utgivelser. I tillegg er TLSv1.0- og TLSv1.1-protokollene deaktivert som standard i OpenJDK.
- 43 sårbarheter i MySQL-serveren, hvorav 4 kan utnyttes eksternt (disse sårbarhetene er tildelt et alvorlighetsnivå på 7.5). Eksternt utnyttbare sårbarheter vises når du bygger med OpenSSL eller MIT Kerberos. 39 lokalt utnyttbare sårbarheter er forårsaket av feil i parser, InnoDB, DML, optimizer, replikeringssystem, kjøring av lagrede prosedyrer og revisjonsplugin. Problemene er løst i MySQL Community Server 8.0.24 og 5.7.34 utgivelser.
- 20 sårbarheter i VirtualBox. De tre farligste problemene har alvorlighetsnivåer på 8.1, 8.2 og 8.4. Ett av disse problemene tillater et eksternt angrep gjennom manipulering av RDP-protokollen. Sårbarhetene er fikset i VirtualBox 6.1.20-oppdateringen.
- 2 sårbarheter i Solaris. Det maksimale alvorlighetsnivået er 7.8 - en lokalt utnyttelig sårbarhet i CDE (Common Desktop Environment). Det andre problemet har et alvorlighetsnivå på 6.1 og manifesterer seg i kjernen. Problemene er løst i Solaris 11.4 SRU32-oppdateringen.
Kilde: opennet.ru