The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением 154 уязвимостей

21.10.2015 10:07

Компания Oracle представила плановый выпуск обновлений своих продуктов, в которых в сумме устранено 154 уязвимости.

В выпусках Java SE 8u65 и 8u66 устранено 25 проблем с безопасностью, из которых 24 могут быть эксплуатированы удалённо без проведения аутентификации. 7 уязвимостям присвоен максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента. Все критические уязвимости отмечены как легко эксплуатируемые по сети, но проявляющиеся только на клиентских системах (запуск в браузере Java Web Start и Java-апплеты). 5 проблем, максимальная степень опасности которых 7.6, затрагивают не только клиентские, но и серверные системы.

Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

  1. Главная ссылка к новости (https://blogs.oracle.com/secur...)
  2. OpenNews: Обновление Java SE (7u80, 8u45), MySQL и других продуктов Oracle с устранением уязвимостей
  3. OpenNews: Обновление Java SE (7u76, 8u31), MySQL и других продуктов Oracle с устранением уязвимостей
  4. OpenNews: Обновление Java SE 8 Update 60
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/43171-oracle
Ключевые слова: oracle, java, mysql, virtualbox
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (13) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, vitalif (ok), 10:21, 21/10/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Что ж оно такое решето-то? Каждый выпуск по 25 дыр
     
     
  • 2.2, Usaga (ok), 10:40, 21/10/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Чем крупнее проект, тем больше в нём дырок
     
     
  • 3.4, vitalif (ok), 13:01, 21/10/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да их даже в ядре меньше.)) неужели java прям больше ядра?))

    Не, я понимаю дыры есть. Но по 25 штук в каждом выпуске, из которых 24 ещё и remote?!

     
     
  • 4.6, пох (?), 14:46, 21/10/2015 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Да их даже в ядре меньше.)) неужели java прям больше ядра?))

    да, уже давно больше - если мерять в килобайтах исходников.
    Но самое главное - гораздо сложнее. 70% кода ржавого линуксного ведра представляют собой драйвера никому нахрен не сдавшихся экзотических устройств, написанные методом cut-&paste с заменой пары строк, половина из которых давно не работает, потому что тот, кто их для себя любимого делал - давно поменял железки, а проблемы пользователя "у меня не воспроизводится".
    Поскольку кернельный oops в таком драйвере обычно вообще не считают за security проблему, на них никто и внимания не обращает, кроме уж совсем вопиющих случаев, когда это оказывается драйвер tty.
    А собственно ядро - штука простая, по большей части, причем эти части довольно компактны и изолированны, ревью делать легко.

    > Не, я понимаю дыры есть. Но по 25 штук в каждом выпуске, из которых 24 ещё и remote?!

    поскольку практически весь функционал того же mysql "remote" (ибо не-remote у нас уже есть прекрасно работающий sqlite, второй нафиг не сдался), удивляться следует скорее 25й локальной.
    На деле это, чаще всего, не ужаснее oops в ненужном драйвере - в большинстве случаев удаленный доступ и так предоставлен trusted приложению, которое вполне в рамках допустимых действий над своими собственными данными может причинить гораздо больший ущерб.

    Тех исключительных случаев, когда ущерб может быть нанесен без авторизации и серьезный - не настолько больше, чем, скажем, серьезных проблем в линуксном ipv6 стеке того же уровня опасности.

     
  • 4.16, Fyfy (?), 14:54, 22/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    "Да их даже в ядре меньше.)) неужели java прям больше ядра?))"
    А кто вам сказал что ядро больше? Посмотри на WebLogic по сравнению с ним ядро маляшка.

    "Не, я понимаю дыры есть. Но по 25 штук в каждом выпуске, из которых 24 ещё и remote?!"
    Если бы в разработку ядра вбухивали такое же колличество бабла сколько вбухивают в Java то и в нем бы находили проблемные места с такой же скоростью, а не раз в 100500 лет.

     
  • 2.12, ДяДя (?), 20:33, 21/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    А в MySQL 28.
     
  • 2.13, Анончег (?), 21:58, 21/10/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > ... 7 уязвимостям присвоен максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы ...

    Причём через семь, из двадцати пяти, вирусы и зловреды вываливаются буквально из системника на пол, пугают окружающих своим безобразным видом и беспардонно разгуливают по комнате, а вечерами сами по себе играют в танчеги.

     
     
  • 3.14, Анончег (?), 21:59, 21/10/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Причём через семь, из двадцати пяти, вирусы и зловреды вываливаются буквально из
    > системника на пол, пугают окружающих своим безобразным видом и беспардонно разгуливают
    > по комнате, а вечерами сами по себе играют в танчеги.

    Кстати, где Изя. Срочно требуется его экспертное мнение по этой новости.

     

  • 1.3, Пётр (?), 12:44, 21/10/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    "Программисты", мля. Ещё небось и ЧСВ завышено, они же пришли к успеху, в Оракле "вкалывают". Зарплату им тоже надо начислять с ошибками.
     
     
  • 2.5, анончег (?), 13:56, 21/10/2015 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Полагаю, Ваш код не содержит ошибок... как минимум потому что Вы его не пишете.
     

  • 1.9, Аноним (-), 19:20, 21/10/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Подскажите, почему два выпуска Java предлагается скачать на сайте Oracle, а не только последний?
     
     
  • 2.10, soarin (ok), 19:34, 21/10/2015 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну так CPU и PSU
     
     
  • 3.11, Аноним (-), 20:18, 21/10/2015 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Starting each quarter, Oracle Critical Patch Updates (CPU) will now contain both the PSU and CPU, so the DBA may choose to apply just the CPU or apply all patches in the PSU patch bundle (which includes additional fixes).

    Стало яснее. Но как-то раньше не замечал сразу двух версии для скачивания. Плохо следил?

     

  • 1.15, Классический анонимуз (?), 05:31, 22/10/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Господа, таки и не пойму, все эти баги в openjdk тоже присутствуют или только в пропиетарной оракловой jdk?

    В линуксах же почти всегда openJDK/JRE используется. Но смущает то, что open выходит параллельно с оракловой. Получается что-то типа сборок chromium vs chrome?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру