Исходное сообщение
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..." Отправлено opennews, 17-Апр-19 11:36
Компания Oracle опубликовала (https://blogs.oracle.com/security/april-2019-critical-patch-...) плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В апрельском обновлении в сумме устранено 297 уязвимостей (https://www.oracle.com/technetwork/security-advisory/cpuapr2...). В выпусках Java SE 12.0.1, 11.0.3 и 8u212 (http://www.oracle.com/technetwork/java/javase/downloads/inde...) устранено 5 проблем с безопасностью. Все уязвимости могут быть эксплуатированы удалённо без проведения аутентификации.  Одной уязвимости, специфичной для платформы Windows, присвоен (https://www.oracle.com/technetwork/security-advisory/cpuapr2...) CVSS Score 9.0 (CVE-2019-2699), что соответствует критическому уровню опасности и позволяет неаутентифицированному пользователю по сети скомпрометировать приложения на Java SE. Двум уязвимостям в подсистеме обработки 2D графики присвоен уровнень 8.1 (CVE-2019-2697, CVE-2019-2698). Подробности пока не раскрываются. Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе: -  40 уязвимостей (https://www.oracle.com/technetwork/security-advisory/cpuapr2...) в MySQL (максимальный уровень опасности 7.5). Наиболее опасная проблема (CVE-2019-2632 (https://security-tracker.debian.org/tracker/CVE-2019-2632)) затрагивает подсистему подключаемых модулей аутентификации. Проблемы будут устранены в выпусках MySQL Community Server 8.0.16, 5.7.26 и 5.6.44 (http://dev.mysql.com/downloads/mysql/). -  12 уязвимостей (https://www.oracle.com/technetwork/security-advisory/cpuapr2...) в VirtualBox, из которых 7 имеют критическую степень опасности (CVSS Score  8.8). Уязвимости  устранены в обновлениях VirtualBox  6.0.6 и 5.2.28 (https://www.virtualbox.org/wiki/Changelog-6.0) (в примечании (https://www.virtualbox.org/wiki/Changelog) к релизу факт устранения проблем с безопасностью не афиширован). Подробности не сообщаются, но судя по уровню CVSS устранены уязвимости, продемонстрированные (https://www.opennet.ru/opennews/art.shtml?num=50376) на соревновании Pwn2Own 2019 и позволяющие из окружения гостевой системы выполнить код на стороне хост-системы. позволяют атаковать хост-систему из гостевого окружения. -  3 уязвимости (https://www.oracle.com/technetwork/security-advisory/cpuapr2...) в Solaris (максимальная степень опасности 5.3 - проблемы в пакетном менеджере IPS, SunSSH и сервисе управления блокировками. Проблемы устранены в выпуске Solaris 11.4 SRU8 (https://blogs.oracle.com/solaris/announcing-oracle-solaris-1...), в котором также возобновлена поддержка библиотек UCB (libucb, librpcsoc, libdbm, libtermcap,  libcurses) и сервиса fc-fabric, обновлены версии пакетов ibus 1.5.19, NTP  4.2.8p12,     Firefox  60.6.0esr,     BIND  9.11.6,     OpenSSL  1.0.2r,     MySQL 5.6.43 & 5.7.25,     libxml2  2.9.9,     libxslt  1.1.33,     Wireshark  2.6.7,     ncurses  6.1.0.20190105,     Apache httpd  2.4.38,     perl 5.22. URL: https://blogs.oracle.com/security/april-2019-critical-patch-... Новость: https://www.opennet.ru/opennews/art.shtml?num=50527