A Oracle publicou um lançamento planejado de atualizações para seus produtos (Critical Patch Update), com o objetivo de eliminar problemas críticos e vulnerabilidades. A atualização de abril corrigiu um total de 390 vulnerabilidades.
Alguns problemas:
- 2 problemas de segurança no Java SE. Todas as vulnerabilidades podem ser exploradas remotamente sem autenticação. Os problemas têm níveis de gravidade de 5.9 e 5.3, estão presentes em bibliotecas e só aparecem em ambientes que permitem a execução de código não confiável. As vulnerabilidades foram corrigidas nas versões Java SE 16.0.1, 11.0.11 e 8u292. Além disso, os protocolos TLSv1.0 e TLSv1.1 estão desabilitados por padrão no OpenJDK.
- 43 vulnerabilidades no servidor MySQL, 4 das quais podem ser exploradas remotamente (essas vulnerabilidades recebem um nível de severidade de 7.5). Vulnerabilidades exploráveis remotamente aparecem durante a construção com OpenSSL ou MIT Kerberos. 39 vulnerabilidades exploráveis localmente são causadas por erros no analisador, InnoDB, DML, otimizador, sistema de replicação, execução de procedimento armazenado e plug-in de auditoria. Os problemas foram resolvidos nas versões 8.0.24 e 5.7.34 do MySQL Community Server.
- 20 vulnerabilidades no VirtualBox. Os três problemas mais perigosos têm níveis de gravidade de 8.1, 8.2 e 8.4. Um desses problemas permite um ataque remoto através da manipulação do protocolo RDP. As vulnerabilidades foram corrigidas na atualização do VirtualBox 6.1.20.
- 2 vulnerabilidades no Solaris. O nível máximo de gravidade é 7.8 - uma vulnerabilidade explorável localmente no CDE (Common Desktop Environment). O segundo problema tem nível de gravidade 6.1 e se manifesta no kernel. Os problemas foram resolvidos na atualização do Solaris 11.4 SRU32.
Fonte: opennet.ru