The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением 248 уязвимостей

20.01.2016 13:17

Компания Oracle представила плановый выпуск обновлений своих продуктов, в которых в сумме устранено 248 уязвимостей.

В выпусках Java SE 8u71 и 8u72 устранено 8 проблем с безопасностью, из которых 7 могут быть эксплуатированы удалённо без проведения аутентификации. Трём уязвимостям присвоен максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента. При этом, две критические проблемы проявляются только на клиентских системах (запуск в браузере Java Web Start и Java-апплеты), а одна затрагивает как клиентов, так и серверные конфигурации Java.

Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

  • 22 уязвимости в MySQL (максимальный уровень опасности 7.2). Проблемы устранены в прошлогодних выпусках MySQL Community Server 5.6.27 и 5.5.46.
  • 20 уязвимостей в Solaris (максимальный уровень опасности 7.8), в том числе удалённо эксплуатируемые уязвимости в NFSv4 и утилитах SMB, а также локальная уязвимость в ядре (в реализации Solaris Zones);
  • 6 уязвимостей в VirtualBox (максимальная степень опасности 7.5, две проблемы в реализации SSL/TLS могут эксплуатироваться удалённо. Уязвимости устранены в обновлениях VirtualBox 5.0.14, 4.3.36, 4.2.36, 4.1.44, 4.0.36;


  1. Главная ссылка к новости (https://blogs.oracle.com/java/...)
  2. OpenNews: Java 9 переносится на 2017 год
  3. OpenNews: Обновление Java SE 8 Update 60
  4. OpenNews: Обновление Java SE (7u80, 8u45), MySQL и других продуктов Oracle с устранением уязвимостей
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/43702-java
Ключевые слова: java, oracle, mysql
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (32) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, A.Stahl (ok), 14:03, 20/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +11 +/
    >с устранением 248 уязвимостей

    Могли бы ещё 8 штук исправить и было бы красиво. А так, просто очередная новость про кучу дыр в софте Оракла и его сателлитов.

     
     
  • 2.10, Anonymo (?), 14:58, 20/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А если еще одно, то переполнение буфера.
     
     
  • 3.29, ano (??), 00:42, 21/01/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не "переполнение буфера", а установка флага CF.
    Не "ещё одно", а уже и 8 достаточно.
     
  • 2.16, Аноним (-), 18:07, 20/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    очередной грязный пиар.
    Это как написать что в linux исправлено 800 ошибок за месяц. не уточняя что это во всем репозитории дебиана.
     

  • 1.2, Аноним (-), 14:05, 20/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    чому жаба из ппа не прилазит как раньше???!!!
     
     
  • 2.4, Michael Shigorin (ok), 14:28, 20/01/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > почему жаба из ппа не прилазит, как раньше?!

    http://www.opennet.ru/opennews/art.shtml?num=31622

     
     
  • 3.8, Blind Vic (ok), 14:52, 20/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Насколько мне известно, одно с другим не связано. https://launchpad.net/~webupd8team/+archive/ubuntu/java -- пакет при установке просто качает установщик с сайта Oracle.
     
     
  • 4.24, Аноним (-), 20:50, 20/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Именно так, инсталлер перестали новый выкладывать. И в прошлый раз он работал как попало.
     

  • 1.3, Аноним (-), 14:20, 20/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >...в которых в сумме устранено 248 уязвимостей.

    Заскриню, а то не поверят.

     
     
  • 2.7, eRIC (ok), 14:43, 20/01/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Заскриню, а то не поверят.

    ты про свое начальство? :)

     

  • 1.5, index.php (?), 14:38, 20/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Они что этим гордятся?
     
     
  • 2.9, Khariton (ok), 14:55, 20/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    а вы умеете писать ПО без ошибок?
     
     
  • 3.12, Аноним (-), 16:02, 20/01/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > а вы умеете писать ПО без ошибок?

    А умение писать софт с ошибками, с большим количеством ошибок к слову, это обязательное требование для приема на работу в Оракл?
    Неудивительно, что код они оутсорсят в Индии.

     
     
  • 4.21, . (?), 20:08, 20/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >писать софт с ошибками, с большим количеством ошибок
    >Неудивительно, что код они оутсорсят в Индии.

    Это вынужденная мера. Россия же под санкциями, ух бы ты показал как надо! ... :)

     
     
  • 5.25, Аноним (-), 22:30, 20/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Под какими санкциями РФ что аутсорсинг запрещен? В РФ теперь только и можно что заниматься аутсорсингом, местный работодатель платит крайне мало.
     
     
  • 6.35, . (?), 23:18, 21/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Сарказм же :)
    Наши могут наиндусить похуже индусов, пришлось столкнутся. В среднем по больнице - полимеры про***ны. Есть конечно же люди которые ого-го, но они давно охо-хо - в смысле пристроены и их не выдернуть. Те что доступны - шлак  ... И у индусов - всё так же.
    Короче брейкинг ньюс - трудно найти хорошего спеца задёшево! Неожиданно да? :-)
     
     
  • 7.36, rob pike (?), 23:29, 21/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Брейкинг ньюс - в том что и задорого сложно.
     
  • 4.23, Аноним (-), 20:23, 20/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Это ещё что. Вот в соседнем городе орахлоиды вообще вантузятнегов аутсорсят, чтобы писали под линукс. В виртуалке, разумеется. Какое тут вообще будет качество?
     
  • 4.27, Аноним539 (ok), 23:20, 20/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Мне нравится как это обыграно например в EULA Blizzard:
    Blizzard Entertainment прямо заявляет о невозможности создания сложных программных продуктов, полностью лишенных технических недостатков. Контрактные обязательства, определяющие характеристики программного обеспечения и услуги, требуют от Blizzard Entertainment не полного отсутствия ошибок программирования, а лишь отсутствия ошибок, существенно ухудшающих возможности использования.
     
  • 3.28, rob pike (?), 00:41, 21/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Писать ПО без ошибок - это не проблема.
    Проблема - найти того кто согласится оплатить стоимость такого ПО, которая возрастает на порядки.
     
     
  • 4.31, Вареник (?), 03:39, 21/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Именно. Какой бизнес оплатит ревью (лишнее время), тест ковераж (утраивает работу), аудит (еще сложней чем написать) и прочие вылизывания? Может быть кроме самых ключевых инфраструктурных систем. Только космические агентсва могут себе такое позволить, и то потом приходится перезаливать ПО в зависший спутник/марсоход.
     

  • 1.6, index.php (?), 14:39, 20/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Пойду обновлять MySQL :(
     
     
  • 2.11, Аноним (-), 15:41, 20/01/2016 [^] [^^] [^^^] [ответить]  
  • +13 +/
    Я обновил MySQL до PostgreSQL и не жалею.
     
     
  • 3.18, Аноним (-), 19:32, 20/01/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Иди на заборе напиши
     
     
  • 4.30, rob pike (?), 00:59, 21/01/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пробовали. К сожалению, забор работал на MySQL, поэтому запись не сохранилась.
     

  • 1.13, commiethebeastie (ok), 16:06, 20/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    >CVSS Score 10.0

    Предлагаю специально для оракла ввести 11 баллов.

     
     
  • 2.19, Аноним (-), 19:58, 20/01/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >>CVSS Score 10.0
    > Предлагаю специально для оракла ввести 11 баллов.

    Для линя предлагаю 12. Смотри соседнюю новость.

     
     
  • 3.20, Michael Shigorin (ok), 20:06, 20/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >> Предлагаю специально для оракла ввести 11 баллов.
    > Для линя предлагаю 12. Смотри соседнюю новость.

    А для сана с кластерф* сразу 0xfe?.. // привет юртам :)

     
  • 3.26, commiethebeastie (ok), 22:36, 20/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    grsecurity очередной exploit killed... Вы неправильно его готовите.
     

  • 1.32, Лютый жабист (?), 05:07, 21/01/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Господа, кто в теме, подскажите. Допустим высунул я в инет WildFly с предыдущей версией жабы, и всё, мне кранты? Или все эти тонны секурити-дырок не эксплуатируются в таком контексте?
     
     
  • 2.33, Аноним (-), 09:03, 21/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А зачем напрямую?!
    Лучше за nginx'ом ;-)
     
  • 2.34, Соколов (?), 11:22, 21/01/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >Допустим высунул я в инет WildFly с предыдущей версией жабы, и всё, мне кранты?

    Суйте аккуратнее, может обойдется.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру