The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

20.07.2016 09:49  Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей

Компания Oracle представила плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В июльском обновлении в сумме устранено 276 уязвимостей.

В выпусках Java SE 8u101 и 8u102 устранено 13 проблем с безопасностью, которые могут быть эксплуатированы удалённо без проведения аутентификации. Четырём уязвимостям присвоен уровень опасности (CVSS Score) больше 9. Десять проблем проявляются только на клиентских системах (запуск в браузере Java Web Start и Java-апплеты), а три затрагивают как клиентов, так и серверные конфигурации Java. Выпуск Java SE 8u102 вышел одновременно с 8u101 и отличается не только устранением уязвимостей, но и исправлением ошибок, не связанных с безопасностью.

Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

  • 22 уязвимости в MySQL (максимальный уровень опасности 8.1). Проблемы устранены в выпусках MySQL Community Server 5.7.12, 5.6.30 и 5.5.49.
  • 7 уязвимостей в Solaris (максимальный уровень опасности 6.5). Уязвимости устранены в ядре, системе верифицированной загрузки и контейнерах Kernel Zones;
  • 2 уязвимости в VirtualBox (максимальная степень опасности 5.9), которые связаны с реализацией SSL/TLS и могут эксплуатироваться удалённо. Уязвимости устранены в обновлении VirtualBox 5.0.26.


  1. Главная ссылка к новости (https://blogs.oracle.com/secur...)
  2. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением 136 уязвимостей
  3. OpenNews: Oracle прекратит поставку браузерного Java-плагина
  4. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением 248 уязвимостей
  5. OpenNews: Компания Oracle объявила о доступности ядра Unbreakable Enterprise Kernel 4
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: oracle, java
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Лютый жабист_ (?), 10:31, 20/07/2016 [ответить] [показать ветку] [···]    [к модератору]
  • –2 +/
    "В выпусках Java SE 8u101 и 8u102 устранено 13 проблем с безопасностью, которые могут быть эксплуатированы удалённо без проведения аутентификации"

    Блин, кто бы объяснил без стёба... допустим есть web-сервер undertow. И теперь через него любого качества приложение можно иметь во все щели, т.к. "13 проблем с безопасностью, которые могут быть эксплуатированы удалённо без проведения аутентификации"?! Ну не верится, ошибки в JVM же где-то в глубине, как это на 3-7 уровнях OSI то можно использовать?

    А если не можно, то как на JVM осуществлять атаки "удалённо без проведения аутентификации"?!

     
     
  • 2.4, Аноним (-), 12:09, 20/07/2016 [^] [ответить]     [к модератору]
  • +/
    Рискну предположить Известно, что программа состоит из сегмент кода, сегмент д... весь текст скрыт [показать]
     
  • 2.19, Нанобот (ok), 18:10, 20/07/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    Отставить панику. Для того, чтобы иметь во все щели твоё приложение, оно, как минимум, должно использовать уязвимые классы. Плюс, могут быть дополнительные ограничения
     
  • 1.2, кто (?), 10:41, 20/07/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    >плановый выпуск
    >Critical Patch Update
     
     
  • 2.3, Andrey Mitrofanov (?), 10:46, 20/07/2016 [^] [ответить]    [к модератору]  
  • –3 +/
    >>плановый выпуск
    >>Critical Patch Update

    И ч-чё? Оракел победившего социализма. Всем обновить свои уязвимости.

     
  • 2.28, Вареник (?), 01:45, 21/07/2016 [^] [ответить]    [к модератору]  
  • +/
    То что у любителе стало бы "Critical Patch Update", то у профессионалов - ждет до "планового выпуска".
     
  • 1.5, iZEN (ok), 13:03, 20/07/2016 [ответить] [показать ветку] [···]     [к модератору]  
  • –8 +/
    Дырявость JVM обусловлена применённым языком программирования C с элементами н... весь текст скрыт [показать]
     
     
  • 2.6, Потёртый (?), 14:06, 20/07/2016 [^] [ответить]    [к модератору]  
  • –2 +/
    Ну да, ну да... Во всём виноваты не индусы, а чёртов Страуструп.
     
     
  • 3.39, ram_scan (?), 19:16, 21/07/2016 [^] [ответить]     [к модератору]  
  • +/
    Если ошибка может быть сделана она будет сделана А си хоть с крестами хоть без ... весь текст скрыт [показать]
     
  • 2.7, Аноним (-), 14:24, 20/07/2016 [^] [ответить]    [к модератору]  
  • +13 +/
    Вы зря говорите на языке, на котором можно сказать много глупостей. Язык для речи следует выбирать такой, на котором невозможно сказать ничего неправильного. Ведь такой язык - признак ума. Если человек не способен такой язык изучить, то он наверняка идиот и говорить с ним не о чем.
    Камрад Оруелл как-то вводил понятие ньюспика - языка, на котором нельзя сказать неправильных вещей. Но его, видимо, в серьёз не восприняли и язык так и не разработали, оставив его лишь элементом художественной литературы.
     
     
  • 3.13, Аноним (-), 15:41, 20/07/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    Шкраб, сельпо, соцреализм?
     
     
  • 4.29, Вареник (?), 01:47, 21/07/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    > Шкраб, сельпо, соцреализм?

    Именно! ЗК, СИЗО, СССР, ВКЛСМ, ЗПТ, ТЧК.

     
  • 3.14, Andrey Mitrofanov (?), 15:59, 20/07/2016 [^] [ответить]     [к модератору]  
  • +/
    Да, норм всё с новоязом Маркотоиды регулярно промывают мОзги потреб-ям Просто... весь текст скрыт [показать]
     
  • 2.8, Анонимус2 (?), 14:28, 20/07/2016 [^] [ответить]    [к модератору]  
  • +2 +/
    Вообще-то большая часть багов - в стандартной библиотеке, написанной на java, а не в jvm, написанной на c++
     
     
  • 3.35, _ (??), 17:14, 21/07/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    Да всё еще проще. На крестах можно написать жывыЭм, хоть и с багами. А вот на самой жабе - хренушки! :-))) Это всё что вам надо знать о Жабе! :)
     
     
  • 4.41, iZEN (ok), 20:27, 21/07/2016 [^] [ответить]    [к модератору]  
  • –2 +/
    > Да всё еще проще. На крестах можно написать жывыЭм, хоть и с
    > багами. А вот на самой жабе - хренушки! :-))) Это всё
    > что вам надо знать о Жабе! :)

    JVM на Java — Jikes RVM.


     
     
  • 5.43, Andrey Mitrofanov (?), 12:05, 22/07/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    Ты когда писал, за пару суток до того Почему бы не взяться за переписывание ви... весь текст скрыт [показать]
     
  • 4.42, 1 (??), 11:19, 22/07/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    Есть же питон на питоне (на самом деле ограниченном компилируемом подмножестве), почему нельзя выделить такое подмножество в Java и написать на нем JVM?
     
  • 2.20, Нанобот (ok), 19:04, 20/07/2016 [^] [ответить]     [к модератору]  
  • +1 +/
    из четырёх самых критичных багов три в java-классах CVE-2016-3587, CVE-2016-359... весь текст скрыт [показать]
     
     
  • 3.24, iZEN (ok), 19:23, 20/07/2016 [^] [ответить]     [к модератору]  
  • –3 +/
    http www oracle com technetwork security-advisory cpujul2016-2881720 html Appe... весь текст скрыт [показать]
     
     
  • 4.33, Нанобот (ok), 11:50, 21/07/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    вот тебе патч на CVE-2016-3587: http://hg.openjdk.java.net/jdk8u/jdk8u/jdk/rev/c387bd2fb7db
    найди там С++, иксперд
     
     
  • 5.40, iZEN (ok), 20:22, 21/07/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    > вот тебе патч на CVE-2016-3587: http://hg.openjdk.java.net/jdk8u/jdk8u/jdk/rev/c387bd2fb7db
    > найди там С++, иксперд

    Откуда следует что это патч на CVE-2016-3587, а не на другую ошибку?

     
     
  • 6.44, Нанобот (ok), 13:02, 22/07/2016 [^] [ответить]     [к модератору]  
  • +/
    я это тут нашёл https bugzilla redhat com show_bug cgi id 1356987 а вообще, г... весь текст скрыт [показать]
     
  • 2.30, Вареник (?), 01:51, 21/07/2016 [^] [ответить]     [к модератору]  
  • +/
    Java же и так безопасная , ибо VM Смотрим раннюю рекламу и наслаждаемся Выв... весь текст скрыт [показать]
     
     
  • 3.37, _ (??), 17:16, 21/07/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    Да тут какрах проблем нет. Девиз экономики 21-го века - чем хуже, тем лучше!
     
  • 1.9, Володя (??), 15:20, 20/07/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Я уже заколебался обновлять MySQL! Может стоит мигрировать на PostgreSQL?
     
     
  • 2.10, z (??), 15:25, 20/07/2016 [^] [ответить]    [к модератору]  
  • +3 +/
    Лучше мигрируй на Win98SE: не обновляется уже 15 лет, вот где качество и штабильность!
     
     
  • 3.12, Володя (??), 15:29, 20/07/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    Ну уж нет, увольте. Останусь на MySQL, не буду ничего менять.
     
     
  • 4.22, Led (ok), 19:11, 20/07/2016 [^] [ответить]    [к модератору]  
  • +4 +/
    > Ну уж нет, увольте. Останусь на MySQL, не буду ничего менять

    ... пока школу не закончу.


     
  • 3.15, Andrey Mitrofanov (?), 16:01, 20/07/2016 [^] [ответить]    [к модератору]  
  • +/
    > Лучше мигрируй на Win98SE: не обновляется уже 15 лет, вот где качество
    > и штабильность!

    О, точн. MS-DOS 7.1. 30 лет на Рынке.

     
  • 2.11, й (?), 15:27, 20/07/2016 [^] [ответить]    [к модератору]  
  • –3 +/
    узнать про крон не предлагать?
     
  • 2.17, Kodir (ok), 16:50, 20/07/2016 [^] [ответить]    [к модератору]  
  • +/
    Я бы давно перешёл. Постгрес сейчас "на волне", возможности оч вкусные, сам стабилен. По кр. мере между Мускуль и Постгрес я б выбрал последний.
     
     
  • 3.23, Led (ok), 19:13, 20/07/2016 [^] [ответить]    [к модератору]  
  • +/
    > Я бы давно перешёл. Постгрес сейчас "на волне", возможности оч вкусные, сам
    > стабилен. По кр. мере между Мускуль и Постгрес я б выбрал
    > последний.

    Да кто ж рабам разрешит выбирать?

     
     
  • 4.31, Вареник (?), 01:53, 21/07/2016 [^] [ответить]    [к модератору]  
  • +/
    > Да кто ж рабам разрешит выбирать?

    Грамотный рабовладелец всегда учитывает психологический комфорт для рабов.
    В конечном итоге это удешевляет их содержание - меньше затраты на охрану, меньше риск бунта.

     
  • 2.21, Нанобот (ok), 19:07, 20/07/2016 [^] [ответить]    [к модератору]  
  • –1 +/
    > Я уже заколебался обновлять MySQL! Может стоит мигрировать на PostgreSQL?

    бери Microsoft SQL Server 2016 Enterprise, не прогадаешь!

     
  • 1.26, bob (??), 20:20, 20/07/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    надеюсь джава в скором времени исчезнит с компов как и флеш
     
     
  • 2.32, Вареник (?), 01:57, 21/07/2016 [^] [ответить]    [к модератору]  
  • +/
    > надеюсь джава в скором времени исчезнит с компов как и флеш

    Давайте перепишем мавен репо на руби. Или хрусте. А еще лучше на ассемблере.
    На выходе будет то же самое, зато можно триллион баксов освоить, лет за 15. Миллион рабочих мест занять и наполнить очередным смыслом.

     
  • 1.27, dimcha (??), 22:14, 20/07/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    А форков эти уязвимости касаются? Например для MariaDB?
     
  • 1.45, iZEN (ok), 11:32, 31/07/2016 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Наконец портировали на FreeBSD:
    openjdk8-8.92.14_3                 <   needs updating (index has 8.102.14)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor