Компанія Oracle опублікувала плановий випуск оновлень своїх продуктів (Critical Patch Update), націлений на усунення критичних проблем та вразливостей. У квітневому оновленні у сумі усунуто 390 уразливостей.
Деякі проблеми:
- 2 проблеми з безпекою в Java SE. Усі уразливості можуть бути експлуатовані віддалено без аутентифікації. Проблеми мають рівень небезпеки 5.9 і 5.3, присутні в бібліотеках і виявляються тільки в оточеннях, що допускають виконання коду, що не заслуговує на довіру. Уявимості усунуті у випусках Java SE 16.0.1, 11.0.11 і 8u292. Додатково відзначається відключення за промовчанням протоколів TLSv1.0 і TLSv1.1 у OpenJDK.
- 43 уразливості в сервері MySQL, з яких 4 можуть бути експлуатовані віддалено (даним уразливим присвоєно рівень небезпеки 7.5). Уразливості, що віддалено експлуатуються, виявляються при складанні з OpenSSL або MIT Kerberos. 39 локально експлуатованих уразливостей викликані помилками в парсері, InnoDB, DML, оптимізаторі, системі реплікацій, організації виконання процедур, що зберігаються, і плагіні для аудиту. Проблеми усунуті у випусках MySQL Community Server 8.0.24 та 5.7.34.
- 20 вразливостей у VirtualBox. Три найбільш небезпечні проблеми мають рівень небезпеки 8.1, 8.2 та 8.4. Одна з цих проблем припускає віддалену атаку через маніпуляцію з протоколом RDP. Уразливості усунуті в оновленні VirtualBox 6.1.20.
- 2 вразливості у Solaris. Максимальний ступінь небезпеки 7.8 — вразливість, що локально експлуатується в CDE (Common Desktop Environment). Друга проблема має рівень небезпеки 6.1 і проявляється у ядрі. Проблеми усунуті в оновленні Solaris 11.4 SRU32.
Джерело: opennet.ru