Oracle опубликовала плановый выпуск обновлений MySQL, VirtualBox и Java SE
Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В апрельском обновлении в сумме устранено 297 уязвимостей.
В выпусках Java SE 12.0.1, 11.0.3 и 8u212 устранено 5 проблем с безопасностью. Все уязвимости могут быть эксплуатированы удалённо без проведения аутентификации. Одной уязвимости, специфичной для платформы Windows, присвоен CVSS Score 9.0 (CVE-2019-2699), что соответствует критическому уровню опасности и позволяет неаутентифицированному пользователю по сети скомпрометировать приложения на Java SE. Двум уязвимостям в подсистеме обработки 2D графики присвоен уровнень 8.1 (CVE-2019-2697, CVE-2019-2698). Подробности пока не раскрываются.
Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:
- 40 уязвимостей в MySQL (максимальный уровень опасности 7.5). Наиболее опасная проблема (CVE-2019-2632) затрагивает подсистему подключаемых модулей аутентификации. Проблемы будут устранены в выпусках MySQL Community Server 8.0.16, 5.7.26 и 5.6.44.
- 12 уязвимостей в VirtualBox, из которых 7 имеют критическую степень опасности (CVSS Score 8.8). Уязвимости устранены в обновлениях VirtualBox 6.0.6 и 5.2.28 (в примечании к релизу факт устранения проблем с безопасностью не афиширован). Подробности не сообщаются, но судя по уровню CVSS устранены уязвимости, продемонстрированные на соревновании Pwn2Own 2019 и позволяющие из окружения гостевой системы выполнить код на стороне хост-системы.
- 3 уязвимости в Solaris (максимальная степень опасности 5.3 - проблемы в пакетном менеджере IPS, SunSSH и сервисе управления блокировками. Проблемы устранены в выпуске Solaris 11.4 SRU8, в котором также возобновлена поддержка библиотек UCB (libucb, librpcsoc, libdbm, libtermcap, libcurses) и сервиса fc-fabric, обновлены версии пакетов ibus 1.5.19, NTP 4.2.8p12, Firefox 60.6.0esr, BIND 9.11.6, OpenSSL 1.0.2r, MySQL 5.6.43 & 5.7.25, libxml2 2.9.9, libxslt 1.1.33, Wireshark 2.6.7, ncurses 6.1.0.20190105, Apache httpd 2.4.38, perl 5.22.