บริษัทออราเคิล การเปิดตัวการอัปเดตตามแผนสำหรับผลิตภัณฑ์ (Critical Patch Update) มีวัตถุประสงค์เพื่อขจัดปัญหาร้ายแรงและช่องโหว่ ในการอัปเดตเดือนเมษายน สิ่งนี้ถูกกำจัดออกไปทั้งหมด .
ในประเด็นต่างๆ แก้ไขปัญหาด้านความปลอดภัย 5 รายการแล้ว ช่องโหว่ทั้งหมดสามารถถูกโจมตีได้จากระยะไกลโดยไม่ต้องมีการตรวจสอบสิทธิ์ ช่องโหว่หนึ่งรายการเฉพาะสำหรับแพลตฟอร์ม Windows CVSS Score 9.0 (CVE-2019-2699) ซึ่งสอดคล้องกับระดับอันตรายที่สำคัญ และช่วยให้ผู้ใช้ที่ไม่ได้รับการรับรองความถูกต้องผ่านเครือข่ายสามารถโจมตีแอปพลิเคชัน Java SE ได้ ช่องโหว่สองรายการในระบบย่อยการประมวลผลกราฟิก 2D ได้รับการกำหนดระดับ 8.1 (CVE-2019-2697, CVE-2019-2698) รายละเอียดยังไม่ได้รับการเปิดเผย
นอกเหนือจากปัญหาใน Java SE แล้ว ยังมีการเปิดเผยช่องโหว่ในผลิตภัณฑ์อื่นๆ ของ Oracle ได้แก่:
- ใน MySQL (ระดับความรุนแรงสูงสุด 7.5) ปัญหาที่อันตรายที่สุด
() ส่งผลต่อระบบย่อยปลั๊กอินการพิสูจน์ตัวตน ปัญหาจะได้รับการแก้ไขในการเผยแพร่ . - ใน VirtualBox ซึ่ง 7 รายการมีระดับอันตรายขั้นวิกฤติ (คะแนน CVSS 8.8) ช่องโหว่ได้รับการแก้ไขในการอัปเดต (ใน ความจริงที่ว่าปัญหาด้านความปลอดภัยได้รับการแก้ไขแล้วไม่ได้รับการโฆษณาก่อนการเปิดตัว) ไม่ได้ให้รายละเอียด แต่เมื่อพิจารณาจากระดับของ CVSS ช่องโหว่ได้รับการแก้ไขแล้ว ในการแข่งขัน Pwn2Own 2019 และอนุญาตให้คุณรันโค้ดบนฝั่งระบบโฮสต์จากสภาพแวดล้อมระบบแขก
ช่วยให้คุณสามารถโจมตีระบบโฮสต์จากสภาพแวดล้อมของแขกได้
- บน Solaris (ความรุนแรงสูงสุด 5.3 - ปัญหาเกี่ยวกับตัวจัดการแพ็คเกจ IPS, SunSSH และบริการการจัดการล็อค ปัญหาได้รับการแก้ไขในรุ่น
ซึ่งกลับมาสนับสนุนไลบรารี UCB อีกครั้ง (libucb, librpcsoc, libdbm, libtermcap, libcurses) และบริการ fc-fabric เวอร์ชันแพ็คเกจที่อัปเดต
ไอบัส 1.5.19, NTP 4.2.8p12,
ไฟร์ฟอกซ์ 60.6.0esr,
ผูก 9.11.6
โอเพ่น SSL 1.0.2r,
MySQL 5.6.43 & 5.7.25,
libxml2 2.9.9,
libxslt 1.1.33,
Wireshark 2.6.7,
คำสาป 6.1.0.20190105,
อาปาเช่ httpd 2.4.38,
เพิร์ล 5.22
ที่มา: opennet.ru