The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

19.04.2017 22:24  Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей

Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В апрельском обновлении в сумме устранено 299 уязвимостей. Выпуск примечателен необычно низким числом уязвимостей в Java, всплеском уязвимостей в MySQL и исправлением проблемы наивысшего уровня опасности в Solaris.

В выпуске Java SE 8u131 устранено 8 проблем с безопасностью, 7 из которых могут быть эксплуатированы удалённо без проведения аутентификации. Впервые за последние годы, ни одной уязвимости не присвоен критический уровень опасности (CVSS Score 9 и выше). Четыре проблемы проявляются только на клиентских системах (запуск в браузере Java Web Start и Java-апплеты) и четыре затрагивают как клиентов, так и серверные конфигурации Java. Внимание, начиная с апрельского обновления прекращена поддержка MD5 для формирования цифровых подписей для JAR-файлов - все JAR-файлы с MD5 теперь считаются неподписанными.

Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

  • 25 уязвимостей в MySQL (максимальный уровень опасности 7.7). Проблемы устранены в выпусках MySQL Community Server 5.7.18, 5.6.36 и 5.5.56.
  • 10 уязвимостей в Solaris (максимальный уровень опасности 10). В обновлении устранена критическая уязвимость (CVE-2017-3623) в Kernel RPC позволяющая удалённо получить контроль над системой через отправку специально оформленного RPC-запроса. Исправление касается 0-day уязвимости "Ebbisland" в Solaris, о которой стало известно после публикации коллекции эксплоитов АНБ. Опубликованный эксплоит поражает системы Solaris 10, для которых не устанавливались патчи ядра с 2012-01-26. Solaris 11 проблеме не подвержен. Кроме того, две уязвимости устранены в RBAC (уровень опасности 8.2 и 7.9), одна в CDE (Common Desktop Environment) и две в сетевом драйвере для Kernel Zones.
  • 9 уязвимостей в VirtualBox (максимальная степень опасности 8.8). Уязвимости устранены в сегодняшних обновлениях VirtualBox 5.0.38 и 5.1.20.


  1. Главная ссылка к новости (https://blogs.oracle.com/soapr...)
  2. OpenNews: Опубликована редакция Oracle Linux для архитектуры SPARC
  3. OpenNews: Компания Oracle опубликовала план разработки Solaris и SPARC
  4. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
  5. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
  6. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: oracle
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, commiethebeastie, 22:57, 19/04/2017 [ответить] [смотреть все]
  • +/
    Когда CVSS 11 введут специально для оракля и адобы?
     
     
  • 2.2, Аноним, 00:48, 20/04/2017 [^] [ответить] [смотреть все]
  • +1 +/
    > Когда CVSS 11 введут специально для оракля и адобы?

    Даже этого будет мало.

     
  • 2.5, Очередной аноним, 08:52, 20/04/2017 [^] [ответить] [смотреть все]
  • –1 +/
    > Когда CVSS 11 введут специально для оракля и адобы?

    А что это будет означать - программа/система будет убивать подошедшего к компу пользователя или зашедшего на консоль админа?

     
  • 1.4, лютый жабист__, 05:27, 20/04/2017 [ответить] [смотреть все]
  • –1 +/
    Что-то непонятно, уязвима только соляра, на которую пять лет не ставились патчи? Придётся по ссылкам идти...
     
     
  • 2.6, Аноним, 08:52, 20/04/2017 [^] [ответить] [смотреть все]
  • +/
    Там мутно описано CVE-2017-3623 is assigned for Ebbisland Solaris 10 systems... весь текст скрыт [показать]
     
     
  • 3.8, h31, 10:19, 20/04/2017 [^] [ответить] [смотреть все]  
  • +/
    Видимо, дыру исправили давно, а CVE только сейчас появился.
     
  • 2.9, Аноним, 12:16, 20/04/2017 [^] [ответить] [смотреть все]  
  • +/
    https www theregister co uk 2017 04 11 solaris_shadow_brokers_nsa_exploits Эт... весь текст скрыт [показать]
     
  • 1.7, Аноним, 09:40, 20/04/2017 [ответить] [смотреть все]  
  • +/
    "Ebbisland" - шикарное название. Отражает суть всего программирования.
     
     
  • 2.12, Andrey Mitrofanov, 14:00, 20/04/2017 [^] [ответить] [смотреть все]  
  • +/
    > "Ebbisland" - шикарное название. Отражает суть всего программирования.

    След руских хакеров?!

     
     
  • 3.15, userd, 16:23, 20/04/2017 [^] [ответить] [смотреть все]  
  • +/
    Русские хакеры такие -

    то в IBM проникнут -
    https://en.wikipedia.org/wiki/IBM_mainframe_utility_programs#IEBISAM

    то финнов подслушивают -
    http://game-paradox.ucoz.ru/_fr/11/8332465.jpg

     
  • 1.10, Аноним, 12:16, 20/04/2017 [ответить] [смотреть все]  
  • –2 +/
    7 дыр, эксплуатируемых удалённо любым желающим - это необычно низкое число Ка... весь текст скрыт [показать]
     
     
  • 2.11, iPony, 12:44, 20/04/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Ну забей уязвимости по Pony OS. Вот как надо операционки писать.
     
     
  • 3.13, Аноним, 14:47, 20/04/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Вы совершенно верно заметили, что Java написана даже ещё хуже, чем любительская ... весь текст скрыт [показать]
     
     
  • 4.14, Sabakwaka, 15:50, 20/04/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Ага. 36 миллиардов установок.
     
     
  • 5.17, Аноним, 20:29, 20/04/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    И всех их кто-то имеет через заботливо оставленные Ораклом дыры.
     
  • 3.16, Аноним, 19:32, 20/04/2017 [^] [ответить] [смотреть все]  
  • +/
    Если ещё и в нинужном уязвимости будут
     
     
  • 4.19, soarin, 08:02, 22/04/2017 [^] [ответить] [смотреть все]  
  • +/
    Так есть же https://www.exploit-db.com/exploits/41875/
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor