Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В апрельском обновлении в сумме устранено 299 уязвимостей. Выпуск примечателен необычно низким числом уязвимостей в Java, всплеском уязвимостей в MySQL и исправлением проблемы наивысшего уровня опасности в Solaris.

В выпуске Java SE 8u131 устранено 8 проблем с безопасностью, 7 из которых могут быть эксплуатированы удалённо без проведения аутентификации. Впервые за последние годы, ни одной уязвимости не присвоен критический уровень опасности (CVSS Score 9 и выше). Четыре проблемы проявляются только на клиентских системах (запуск в браузере Java Web Start и Java-апплеты) и четыре затрагивают как клиентов, так и серверные конфигурации Java. Внимание, начиная с апрельского обновления прекращена поддержка MD5 для формирования цифровых подписей для JAR-файлов - все JAR-файлы с MD5 теперь считаются неподписанными.

Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

• 25 уязвимостей в MySQL (максимальный уровень опасности 7.7). Проблемы устранены в выпусках MySQL Community Server 5.7.18, 5.6.36 и 5.5.56.
• 10 уязвимостей в Solaris (максимальный уровень опасности 10). В обновлении устранена критическая уязвимость (CVE-2017-3623) в Kernel RPC позволяющая удалённо получить контроль над системой через отправку специально оформленного RPC-запроса. Исправление касается 0-day уязвимости "Ebbisland" в Solaris, о которой стало известно после публикации коллекции эксплоитов АНБ. Опубликованный эксплоит поражает системы Solaris 10, для которых не устанавливались патчи ядра с 2012-01-26. Solaris 11 проблеме не подвержен. Кроме того, две уязвимости устранены в RBAC (уровень опасности 8.2 и 7.9), одна в CDE (Common Desktop Environment) и две в сетевом драйвере для Kernel Zones.
• 9 уязвимостей в VirtualBox (максимальная степень опасности 8.8). Уязвимости устранены в сегодняшних обновлениях VirtualBox 5.0.38 и 5.1.20.