Oracle ได้เผยแพร่การอัปเดตตามกำหนดเวลาสำหรับผลิตภัณฑ์ของตน (Critical Patch Update) โดยมีวัตถุประสงค์เพื่อขจัดปัญหาร้ายแรงและช่องโหว่ การอัปเดตเดือนเมษายนได้ขจัดช่องโหว่ทั้งหมด 390 รายการ
ปัญหาบางอย่าง:
- 2 ปัญหาด้านความปลอดภัยใน Java SE ช่องโหว่ทั้งหมดสามารถถูกโจมตีได้จากระยะไกลโดยไม่ต้องมีการตรวจสอบสิทธิ์ ปัญหามีระดับความรุนแรง 5.9 และ 5.3 มีอยู่ในไลบรารี และปรากฏเฉพาะในสภาพแวดล้อมที่อนุญาตให้เรียกใช้โค้ดที่ไม่น่าเชื่อถือเท่านั้น ช่องโหว่ได้รับการแก้ไขแล้วใน Java SE 16.0.1, 11.0.11 และ 8u292 นอกจากนี้ โปรโตคอล TLSv1.0 และ TLSv1.1 ถูกปิดใช้งานตามค่าเริ่มต้นใน OpenJDK
- ช่องโหว่ 43 รายการในเซิร์ฟเวอร์ MySQL โดย 4 รายการสามารถถูกโจมตีจากระยะไกลได้ (ช่องโหว่เหล่านี้กำหนดระดับความรุนแรงไว้ที่ 7.5) ช่องโหว่ที่สามารถหาประโยชน์ได้จากระยะไกลจะปรากฏขึ้นเมื่อสร้างด้วย OpenSSL หรือ MIT Kerberos ช่องโหว่ที่สามารถหาประโยชน์ได้ในท้องถิ่น 39 รายการเกิดจากข้อผิดพลาดในตัวแยกวิเคราะห์, InnoDB, DML, เครื่องมือเพิ่มประสิทธิภาพ, ระบบการจำลองแบบ, การดำเนินการตามขั้นตอนที่เก็บไว้ และปลั๊กอินการตรวจสอบ ปัญหาได้รับการแก้ไขแล้วใน MySQL Community Server 8.0.24 และ 5.7.34 รีลีส
- 20 ช่องโหว่ใน VirtualBox ปัญหาที่อันตรายที่สุด 8.1 ปัญหา มีระดับความรุนแรง 8.2, 8.4 และ 6.1.20 หนึ่งในปัญหาเหล่านี้ทำให้มีการโจมตีระยะไกลผ่านการจัดการโปรโตคอล RDP ช่องโหว่ได้รับการแก้ไขแล้วในการอัพเดต VirtualBox XNUMX
- 2 ช่องโหว่ใน Solaris ระดับความรุนแรงสูงสุดคือ 7.8 ซึ่งเป็นช่องโหว่ที่สามารถหาประโยชน์ได้เฉพาะใน CDE (Common Desktop Environment) ปัญหาที่สองมีระดับความรุนแรง 6.1 และปรากฏอยู่ในเคอร์เนล ปัญหาได้รับการแก้ไขแล้วในการอัพเดต Solaris 11.4 SRU32
ที่มา: opennet.ru