The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

17.01.2018 09:32  Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей

Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В январском обновлении в сумме устранено 237 уязвимостей, в том числе в некоторые продукты внесены исправления для блокирования атак Spectre и Meltdown.

В выпусках Java SE 8u161/8u162 и 9.0.4 устранена 21 проблема с безопасностью. 18 уязвимостей могут быть эксплуатированы удалённо без проведения аутентификации. 3 уязвимостям присвоен уровень опасности 8.3, критических проблем с CVSS Score 9 и выше в этот раз не выявлено. 7 проблем проявляются только на клиентских системах (запуск в браузере Java Web Start и Java-апплеты) и 10 затрагивают как клиентов, так и серверные конфигурации Java.

Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

  • 22 уязвимости в MySQL (максимальный уровень опасности 7.5), из которых 3 позволяют выполнить атаку удалённо без прохождения аутентификации. Проблемы устранены в выпусках MySQL Community Server 5.7.21, 5.6.39 и 5.5.59.
  • 12 уязвимостей в VirtualBox (максимальная степень опасности 8.8). В том числе добавлена защита от проведения атаки Spectre. Уязвимости устранены в сегодняшних обновлениях VirtualBox 5.2.6 и 5.1.32.
  • 5 проблем в Solaris (максимальная степень опасности 7.1 - проблемы в ядре, связанные с обработкой пакетов ICMP).


  1. Главная ссылка к новости (https://blogs.oracle.com/oracl...)
  2. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
  3. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
  4. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
  5. OpenNews: Раскрыты подробности двух атак на процессоры Intel, AMD и ARM64
  6. OpenNews: Эксплоиты и тесты производительности, связанные с уязвимостями Meltdown и Spectre
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: oracle, mysql, virtualbox
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.3, пох (?), 09:38, 17/01/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +1 +/
    > в том числе в некоторые продукты внесены исправления для блокирования атак
    > Spectre и Meltdown (https://www.opennet.ru/opennews/art.shtml?num=47856).

    теперь будет тормозить еще и virtualbox

    > в Solaris (максимальная степень опасности 7.1, крах ядра при обработке некорректных
    > пакетов ICMP).

    а в illumos добро пожаловать с ping-of-death ?

     
     
  • 2.4, _hide_ (ok), 09:46, 17/01/2018 [^] [ответить]     [к модератору]
  • +/
    Да он и так тормозит, потому что работает на ОС с патчами Последние ядра в Ubu... весь текст скрыт [показать]
     
     
  • 3.7, _hide_ (ok), 10:13, 17/01/2018 [^] [ответить]     [к модератору]  
  • +5 +/
    Моё исследование производительности на примере парсера, который пускаю в VB, по... весь текст скрыт [показать]
     
     
  • 4.8, iPony (?), 10:25, 17/01/2018 [^] [ответить]    [к модератору]  
  • +/
    > А если ещё на винду патчи поставить?

    А ты налей и отойди (с)

     
  • 4.9, Andrey Mitrofanov (?), 10:26, 17/01/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Арифметику пора повторить, устный счёт подтянуть echo scale 2 a 1 60 20 b 48... весь текст скрыт [показать]
     
     
  • 5.11, EHLO (?), 10:42, 17/01/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    if 60 20 48 48 2 then echo больше else echo не fi больше... весь текст скрыт [показать]
     
     
  • 6.14, Andrey Mitrofanov (?), 10:57, 17/01/2018 [^] [ответить]     [к модератору]  
  • +/
    b 48 a-b 100 b 124 bc 66 66 Сажусь, двойка ... весь текст скрыт [показать]
     
  • 6.15, angra (ok), 11:01, 17/01/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    Да начнется битва математиков за истину Выступлю на стороне Андрея Потраченн... весь текст скрыт [показать]
     
  • 5.12, _hide_ (ok), 10:43, 17/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Арифметика тут не причем - я только скорость парсинга показывал мне же сидеть в... весь текст скрыт [показать]
     
     
  • 6.13, _hide_ (ok), 10:52, 17/01/2018 [^] [ответить]    [к модератору]  
  • +/
    4. linux-image-4.13.0-26-generic, VB 5.2.6, винда без патчей -- 1:08 - исправили, так исправили
    5. linux-image-4.13.0-26-generic, VB 5.2.4, винда без патчей -- 0:48 - полный откат
     
  • 5.24, КО (?), 15:58, 17/01/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    При определении процента изменений, в качестве основания обычно берут исходную величину (48), а не новую - 80. т.е. 32/48=0,66[6]
     
  • 4.16, iZEN (ok), 11:24, 17/01/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    А чё, собрать и установить кастомное ядро Linux без патчей не осиливаем?
     
  • 4.18, Аноним (-), 12:59, 17/01/2018 [^] [ответить]    [к модератору]  
  • +/
    А какие цифры если сделать
    echo 0 > /sys/kernel/debug/x86/pti_enabled
    ?
     
     
  • 5.19, _hide_ (ok), 13:43, 17/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Не влияет. Никак!
     
  • 4.20, пох (?), 13:56, 17/01/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    просела, считают незначительным читай - у нас настолько много денег, что даже... весь текст скрыт [показать]
     
     
  • 5.37, _hide_ (ok), 10:08, 18/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Ну сейчас у меня для этих целей виртуалка - в мир смотрит только полностью обнов... весь текст скрыт [показать]
     
     
  • 6.38, пох (?), 18:03, 18/01/2018 [^] [ответить]     [к модератору]  
  • +2 +/
    дык - прикол в том, что память прекрасно протекает и между виртуалками - тоже у... весь текст скрыт [показать]
     
  • 3.17, Аномномномнимус (?), 11:45, 17/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Оффтопик на работе с VisualStudio в режиме дебага после патчей стал тормозить ещ... весь текст скрыт [показать]
     
     
  • 4.21, пох (?), 13:58, 17/01/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    если у тебя денег больше чем у гугля - непоянтно, зачем чего-то ждать У серых н... весь текст скрыт [показать]
     
     
  • 5.26, Аномномномнимус (?), 17:03, 17/01/2018 [^] [ответить]     [к модератору]  
  • +/
    У тебя ко мне очень странные предъявы Ты забыл включить мозг Я не предлагаю ... весь текст скрыт [показать]
     
     
  • 6.29, пох (?), 20:17, 17/01/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    а, ну так кто забыл включить мозг-то Никогда По тем же причинам, по которым не... весь текст скрыт [показать]
     
  • 1.5, anomymous (?), 09:50, 17/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > 5 проблем в Solaris (максимальная степень опасности 7.1 - проблемы в ядре, связанные с обработкой пакетов ICMP)

    А оно разве не закoпано ещё?

     
     
  • 2.10, Аноним (-), 10:26, 17/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Оно ещё нас с тобой переживёт.
     
     
  • 3.30, _ (??), 21:14, 17/01/2018 [^] [ответить]    [к модератору]  
  • +/
    Ну раве только если оракалы его в Apache Foundation спихнут :)
     
  • 2.27, Anonymoustus (ok), 17:16, 17/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Thursday, January 26, 2017 B Long live Solaris 11 - Until at least 2034 to be ... весь текст скрыт [показать]
     
     
  • 3.31, _ (??), 21:16, 17/01/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    ТоварищЪ - верЬ! (С)
     
     
  • 4.33, Anonymoustus (ok), 21:40, 17/01/2018 [^] [ответить]    [к модератору]  
  • +/
    > ТоварищЪ - верЬ! (С)

    Когда закончатся винды, пингвины, бзди и маки, я буду посмеиваться, глядя на упадок мира из своей Солярки 11.

     
  • 1.6, Аноним (-), 10:02, 17/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    >проблемы в ядре, связанные с обработкой пакетов ICMP

    ping of death в 2018м году?

     
     
  • 2.22, oracle (?), 13:59, 17/01/2018 [^] [ответить]    [к модератору]  
  • +/
    >>проблемы в ядре, связанные с обработкой пакетов ICMP
    > ping of death в 2018м году?

    все нормально, этот код Sun писала в 1998-м

     
  • 1.23, Аноним (-), 15:39, 17/01/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    >В выпусках Java SE 8u161/8u162 и 9.0.4 устранена 21 проблема с безопасностью.

    В managed языках не может быть уязвимостей! Вы врёти

     
     
  • 2.28, IB (?), 19:07, 17/01/2018 [^] [ответить]    [к модератору]  
  • +/
    И доказательством этого выступает Пыхпых
     
     
  • 3.32, _ (??), 21:18, 17/01/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    люто ... пых нынче - managed? :-)))))
     
     
  • 4.34, Anonymoustus (ok), 21:41, 17/01/2018 [^] [ответить]    [к модератору]  
  • +/
    > люто ... пых нынче - managed? :-)))))

    Если на один пых, то да. Если на больше, то надо смотреть.

     
  • 4.35, angra (ok), 00:24, 18/01/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    Нет, что ты, там ручное выделение/освобождение памяти и адресная арифметика.
     
  • 2.36, лж__ (?), 06:31, 18/01/2018 [^] [ответить]    [к модератору]  
  • +/
    >В managed языках не может быть уязвимостей! Вы врёти

    Вообще-то уязвимости в JVM, которая написана на могучем си... ещё вопросы?

     
     
  • 3.39, Аноним (-), 21:45, 18/01/2018 [^] [ответить]     [к модератору]  
  • +/
    https www openhub net p openjdk https github com dmlloyd openjdk Давно бы пе... весь текст скрыт [показать]
     
     
  • 4.40, лютый ж__ (?), 05:50, 19/01/2018 [^] [ответить]    [к модератору]  
  • +/
    >Давно бы переписали эти несчастные 11% на жабу, если все ошибки лезут оттуда.

    Вы перепутали, безопасность и скорость это то, на что сишники др.чат (но с первым у них ещё хуже, чем у жабистов).

    Вообще, подавляющее большинство "страшных дырок в hotspot" это "applies to clients running sandboxed Java Web Start applications or sandboxed Java applets, that load and run untrusted code and rely on the Java sandbox for security"
    только эксперты опеннета по ссылкам не ходют жеж

     
     
  • 5.41, Аноним (-), 16:44, 19/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Ну да, проблемы с безопасностью песочницы и не проблемы вовсе, а так - тьху и ра... весь текст скрыт [показать]
     
     
  • 6.42, лж__ (?), 17:28, 20/01/2018 [^] [ответить]    [к модератору]  
  • +/
    >Ну да, проблемы с безопасностью песочницы и не проблемы вовсе,

    Назови хоть ОДНУ песочницу, которую ни разу не сломали. Или свободен...
    От КубеОС до песочницы того же Хромого (который аналогично запускает untrusted code and rely on the  sandbox for security" - всё решeto

     
     
  • 7.43, Аноним (-), 18:59, 20/01/2018 [^] [ответить]     [к модератору]  
  • +/
    Да-да, а cпектр на самом деле тоже не дыра на десктопах, потому что нет немаргин... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor