The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

20.02.2013 10:25  Обновление Java SE 7 Update 15 и Java SE 6 Update 41 с устранением уязвимостей

Компания Oracle в дополнение к выпущенному в начале февраля экстренному обновлению Java SE с устранением 50 уязвимостей представила плановые корректирующие выпуски Java SE 7 Update 15 и Java SE 6 Update 41, в которых устранено 5 новых проблем с безопасностью.

Трём уязвимостям присвоен максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента. Все уязвимости присутствуют JRE (две в библиотеках и по одной в JMX, Deployment Toolkit и JSSE) и подвержены удалённой эксплуатации без проведения аутентификации. Одна из проблем затрагивает не только клиентские системы (браузерный плагин), но и серверные установки. Указанной проблеме присвоен незначительный уровень опасности CVSS 4.7. Уязвимость связана с возможностью совершения атаки по выявлению содержимого отдельных блоков SSL/TLS-соединений.

В связи c прекращением времени жизни ветки Java SE 6, для которой больше не будут выпускаться публичные обновления, компания Oracle реализовала в Java SE 7 функцию удаления компонентов Java SE 6 при установке новой версии. Подобное действие добавлено для того, чтобы исключить наличие в системе старых уязвимых версий Java. Кроме того, принято решение об увеличении частоты выпусков обновлений Java с устранением уязвимостей. Вместо двух раз в год, обновления будут выпускаться четыре раза в год. Следующие обновления намечены на 16 апреля, 18 июня, 15 октября и 14 января.

Одновременно выпущены обновления IcedTea 1.11.8 и 1.12.3, полностью открытой реализации Java SE 6, построенной на базе OpenJDK и виртуальной машины HotSpot, с использованием свободных средств сборки. В новой версии устранены 3 уязвимости. Немного раньше были опубликованы корректирующие выпуски IcedTea7 2.3.6, 2.1.5 и 2.2.5 с устранением прошлой порции уязвимостей, обновления с устранением уязвимостей в Java SE 7 Update 15 задерживаются.

  1. Главная ссылка к новости (https://blogs.oracle.com/java/...)
  2. OpenNews: Критическое обновление Java SE с устранением 50 уязвимостей
  3. OpenNews: Найден способ обхода ограничений запуска неподписанных апплетов в Java SE 7
  4. OpenNews: Доступен выпуск Java SE 7 Update 11 с устранением критических уязвимостей
  5. OpenNews: Обновление Java SE 6 Update 38 и Java SE 7 Update 10
  6. OpenNews: Обновление Java SE 6u37, Java SE 7u9 и MySQL с устранением уязвимостей
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: java, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 11:07, 20/02/2013 [ответить] [смотреть все]
  • +/
    о боже, опять фаирфокс не будет нормально работать с джава плагинами
     
  • 1.2, JL2001, 13:03, 20/02/2013 [ответить] [смотреть все]
  • +4 +/
    >Кроме того, принято решение об увеличении частоты выпусков обновлений Java с устранением уязвимостей. Вместо двух раз в год, обновления будут выпускаться четыре раза в год

    читается как грустный анекдот про жизнь человеческую

     
  • 1.3, Аноним, 13:24, 20/02/2013 [ответить] [смотреть все]
  • +/
    Вечно питонщики и другие рубисты делают печальные лица в комментариях
     
     
  • 2.4, pavlinux, 14:42, 20/02/2013 [^] [ответить] [смотреть все]
  • +/
    Вот даже не пахло тут, пришёл Аноним и насрал!
     
  • 1.5, ябалдею, 14:52, 20/02/2013 [ответить] [смотреть все]
  • +/
    Интересно, они хоть простые ошибки ещё исправляют или уже только проблемы с безопасностью? А то шибко радует, когда JVM тупо виснет на локальном хосте, без всяких атак
     
     
  • 2.6, Michael, 15:58, 20/02/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    JVM виснет? Баг репорт в студию,http://bugreport.sun.com/bugreport/
    Скинте номер бага потом.
     
     
  • 3.7, Michael, 16:12, 20/02/2013 [^] [ответить] [смотреть все]  
  • +/
    к репорту не забудьте приатачить вывод jstack'а
     
     
  • 4.12, Аноним, 04:26, 21/02/2013 [^] [ответить] [смотреть все]  
  • –2 +/
    Ну раз ты указываешь мне что делать, куда тебе идти ты тоже знаешь.
     
  • 1.8, iZEN, 16:52, 20/02/2013 [ответить] [смотреть все]  
  • –1 +/
    http://www.oracle.com/technetwork/java/javase/downloads/jdk7-downloads-188026
    ///---
    Java SE Development Kit 7u15 Demos and Samples Downloads are released under the Oracle BSD License
    ---///
    Прикольно. Раньше не обращал внимания. :)
     
     
  • 2.9, Stax, 17:23, 20/02/2013 [^] [ответить] [смотреть все]  
  • +/
    Ну, что поделаешь. Кому-то такая лицензия выгодна, наверное. Главное, что на сам JDK лицензия адекватная и позволяет развивать openjdk под GPLv2 и ASL.
     
     
  • 3.11, pavlinux, 04:04, 21/02/2013 [^] [ответить] [смотреть все]  
  • +/
    > Ну, что поделаешь. Кому-то такая лицензия ...

    Ты че, Изик имел ввиду "Demos and Samples"  :)

     
     
  • 4.13, Аноним, 04:29, 21/02/2013 [^] [ответить] [смотреть все]  
  • +2 +/
    А меня больше прикололо что они под каждую платформу свои А не один файл на все... весь текст скрыт [показать]
     
  • 1.10, exn, 22:19, 20/02/2013 [ответить] [смотреть все]  
  • +/
    ну нельзя просто так взять и уволить разработчиков
     
  • 1.14, Аноним, 07:57, 21/02/2013 [ответить] [смотреть все]  
  • –2 +/
    Еще бы сделали нормальные ссылки на загрузки Доступ к JRE версии для Windows x6... весь текст скрыт [показать]
     
     
  • 2.15, iZEN, 11:35, 22/02/2013 [^] [ответить] [смотреть все]  
  • +/
    Это не так. JRE (как и JDK) для различных операционных систем и архитектур процессоров представлены единым списком — выбираешь нужную и скачиваешь.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor