Компанія Oracle плановий випуск оновлень своїх продуктів (Critical Patch Update), націлений на усунення критичних проблем та уразливостей. У квітневому оновленні у сумі усунено .
У випусках усунено 5 проблем із безпекою. Усі уразливості можуть бути експлуатовані віддалено без аутентифікації. Однією вразливістю, специфічною для платформи Windows, CVSS Score 9.0 (CVE-2019-2699), що відповідає критичному рівню небезпеки та дозволяє неавтентифікованому користувачеві по мережі скомпрометувати програми Java SE. Двох вразливостей у підсистемі обробки 2D графіки присвоєно рівень 8.1 (CVE-2019-2697, CVE-2019-2698). Подробиці поки що не розкриваються.
Крім проблем у Java SE, наявність вразливостей оприлюднена і в інших продуктах Oracle, у тому числі:
- MySQL (максимальний рівень небезпеки 7.5). Найбільш небезпечна проблема
() зачіпає підсистему модулів аутентифікації, що підключаються. Проблеми будуть усунені у випусках . - у VirtualBox, з яких 7 мають критичну міру небезпеки (CVSS Score 8.8). Уразливості усунуті в оновленнях (В до релізу факт усунення проблем із безпекою не афішований). Подробиці не повідомляються, але судячи з рівня CVSS усунуті вразливості, на змаганні Pwn2Own 2019 та що дозволяють з оточення гостьової системи виконати код на стороні хост-системи.
дозволяють атакувати хост-систему із гостьового оточення.
- у Solaris (максимальний ступінь небезпеки 5.3 — проблеми у пакетному менеджері IPS, SunSSH та сервісі управління блокуваннями. Проблеми усунуті у випуску
, в якому також відновлено підтримку бібліотек UCB (libucb, librpcsoc, libdbm, libtermcap, libcurses) та сервісу fc-fabric, оновлено версії пакетів
ibus 1.5.19, NTP 4.2.8p12,
Firefox 60.6.0esr,
BIND 9.11.6,
OpenSSL 1.0.2r,
MySQL 5.6.43 & 5.7.25,
libxml2 2.9.9,
libxslt 1.1.33,
Wireshark 2.6.7,
ncurses 6.1.0.20190105,
Apache httpd 2.4.38,
perl 5.22.
Джерело: opennet.ru