Oracle opublikowało planowaną publikację aktualizacji do swoich produktów (Critical Patch Update), mających na celu wyeliminowanie krytycznych problemów i podatności. Kwietniowa aktualizacja naprawiła łącznie 390 luk.
Trochę problemów:
- 2 problemy bezpieczeństwa w Java SE. Wszystkie luki można wykorzystać zdalnie bez uwierzytelniania. Problemy mają poziomy ważności 5.9 i 5.3, występują w bibliotekach i pojawiają się tylko w środowiskach, które umożliwiają uruchomienie niezaufanego kodu. Luki zostały naprawione w wersjach Java SE 16.0.1, 11.0.11 i 8u292. Ponadto protokoły TLSv1.0 i TLSv1.1 są domyślnie wyłączone w OpenJDK.
- 43 luki w serwerze MySQL, z czego 4 można wykorzystać zdalnie (luki te mają poziom ważności 7.5). Podczas budowania przy użyciu OpenSSL lub MIT Kerberos pojawiają się luki, które można zdalnie wykorzystać. 39 luk, które można wykorzystać lokalnie, jest spowodowanych błędami w parserze, InnoDB, DML, optymalizatorze, systemie replikacji, wykonaniu procedury składowanej i wtyczce audytu. Problemy zostały rozwiązane w wersjach MySQL Community Server 8.0.24 i 5.7.34.
- 20 luk w VirtualBoxie. Trzy najniebezpieczniejsze problemy mają poziomy ważności 8.1, 8.2 i 8.4. Jeden z tych problemów umożliwia zdalny atak poprzez manipulację protokołem RDP. Luki zostały naprawione w aktualizacji VirtualBox 6.1.20.
- 2 luki w Solarisie. Maksymalny poziom ważności wynosi 7.8 i jest to luka, którą można wykorzystać lokalnie w CDE (Common Desktop Environment). Drugi problem ma poziom ważności 6.1 i objawia się w jądrze. Problemy zostały rozwiązane w aktualizacji Solaris 11.4 SRU32.
Źródło: opennet.ru