Oracle har publicerat en planerad release av uppdateringar till sina produkter (Critical Patch Update), som syftar till att eliminera kritiska problem och sårbarheter. Uppdateringen i april eliminerade totalt 390 sårbarheter.
Vissa problem:
- 2 säkerhetsproblem i Java SE. Alla sårbarheter kan utnyttjas på distans utan autentisering. Problemen har allvarlighetsnivåer på 5.9 och 5.3, finns i bibliotek och visas bara i miljöer som tillåter att opålitlig kod körs. Sårbarheterna åtgärdades i versionerna av Java SE 16.0.1, 11.0.11 och 8u292. Dessutom är protokollen TLSv1.0 och TLSv1.1 inaktiverade som standard i OpenJDK.
- 43 sårbarheter i MySQL-servern, varav 4 kan utnyttjas på distans (dessa sårbarheter tilldelas en allvarlighetsgrad på 7.5). Fjärrutnyttjande sårbarheter uppstår när man bygger med OpenSSL eller MIT Kerberos. 39 lokalt exploaterbara sårbarheter orsakas av fel i parser, InnoDB, DML, optimizer, replikeringssystem, exekvering av lagrad procedur och granskningsplugin. Problemen har lösts i MySQL Community Server 8.0.24 och 5.7.34 versioner.
- 20 sårbarheter i VirtualBox. De tre farligaste problemen har svårighetsgraden 8.1, 8.2 och 8.4. Ett av dessa problem tillåter en fjärrattack genom manipulering av RDP-protokollet. Sårbarheterna är åtgärdade i VirtualBox 6.1.20-uppdateringen.
- 2 sårbarheter i Solaris. Den maximala svårighetsgraden är 7.8 - en lokalt exploateringsbar sårbarhet i CDE (Common Desktop Environment). Det andra problemet har en svårighetsgrad på 6.1 och visar sig i kärnan. Problemen löses i Solaris 11.4 SRU32-uppdateringen.
Källa: opennet.ru