The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

18.10.2018 12:06  Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей

Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В октябрьском обновлении в сумме устранена 301 уязвимость.

В выпусках Java SE 11.0.1 и 8u191 устранено 12 проблем с безопасностью. Все уязвимости могут быть эксплуатированы удалённо без проведения аутентификации. Трём уязвимостям присвоен уровень опасности 8.3. Одна из проблем (CVE-2018-3183) имеет CVSS Score 9, что соответствует критическому уровню опасности. Указанная уязвимость затрагивает компонент JRockit (модуль Scripting) и позволяет неаутентифицированному пользователю по сети скомпрометировать приложения на Java SE, Java SE Embedded, JRockit.

Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

  • 34 уязвимости в MySQL (максимальный уровень опасности 8.8). Наиболее опасная проблема (CVE-2016-9843) затрагивает используемую в InnoDB библиотеку zlib и может привести к некоррекной проверке контрольных сумм; Проблемы устранены в выпусках MySQL Community Server 8.0.12, 5.7.23, 5.6.41 и 5.5.66.
  • 14 уязвимостей в VirtualBox, из которых 13 имеют критическую степень опасности (CVSS Score 8.6+). Уязвимости устранены в обновлении VirtualBox 5.2.20примечании к релизу факт устранения проблем с безопасностью не был афиширован). Наиболее опасная проблема c CVSS Score 9.0 затрагивает реализацию протокола VRDP.
  • 17 проблем в Solaris (максимальная степень опасности 8.1) - проблемы в RAD (Remote Administration Daemon), ядре, LibKMIP, Zones, Sudo, LFTP, RPC, SMB Server и Verified Boot. Проблемы устранены в выпуске Solaris 11.4 SRU2, в котором также обновлены версии пакетов nghttp2 1.32.0, unixodbc 2.3.6 и PHP 7.1.21.


  1. Главная ссылка к новости (https://blogs.oracle.com/oracl...)
  2. OpenNews: Компания Oracle опубликовала Java SE 11
  3. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
  4. OpenNews: Oracle планирует убрать из Java встроенную поддержку сериализации
  5. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
  6. OpenNews: Релиз Solaris 11.4
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: java, oracle, solaris
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Zenitur (ok), 12:28, 18/10/2018 [ответить] [показать ветку] [···]    [к модератору]
  • –2 +/
    А чем Java отличается от Java SE?
     
     
  • 2.2, Аноним (2), 12:34, 18/10/2018 [^] [ответить]    [к модератору]
  • –1 +/
    Уровнем понтов.
     
  • 2.15, Аноним (15), 13:28, 19/10/2018 [^] [ответить]     [к модератору]
  • +/
    Java это только виртуалка То есть запускалка для java Java SE это еще и инстру... весь текст скрыт [показать]
     
  • 1.3, както так (?), 12:36, 18/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
           Java SE
    Java <
           Java EE
     
  • 1.4, нах (?), 14:54, 18/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    кстати, прекрасная новость: https://www.java.com/en/download/release_notice.jsp - взбесившееся земноводное, покусавшее монгу и пожравшее редис, добралось и до своего тёзки.

    правда, в свете "openjdk ваш новый стандарт", уже не жалко.

     
     
  • 2.5, Andrey Mitrofanov (?), 15:03, 18/10/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    >взбесившееся земноводное, покусавшее монгу и пожравшее редис, добралось и до
    > своего тёзки.

    Ты как будто первый раз слышишь слово "Оракле".

     
  • 2.12, Michael Shigorin (ok), 00:25, 19/10/2018 [^] [ответить]    [к модератору]  
  • +/
    А вот, между прочим, вариант: https://www.bell-sw.com/java.html

    Это разогнанный полтора года назад ораклом питерский офис разработки java, в котором были и люди, знавшие её потроха лучше Гослинга.

     
     
  • 3.13, Аноним (13), 09:32, 19/10/2018 [^] [ответить]    [к модератору]  
  • +/
    со слов тех кто там работал - там все же занимались ME/SE, а не EE.
     
     
  • 4.14, нах (?), 12:05, 19/10/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    так SE теперь тоже нельзя кроме как в домашне-экспериментальных целях.

    видимо, топтопам орацла стало не хватать на очередную яхту в кредит.

     
  • 1.6, Аноним (6), 16:36, 18/10/2018 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Может кто-нибудь объяснить, почему они выпускают такие обновления пачкой Они фи... весь текст скрыт [показать]
     
     
  • 2.7, Andrey Mitrofanov (?), 16:39, 18/10/2018 [^] [ответить]    [к модератору]  
  • +/
    > Может кто-нибудь объяснить, почему они выпускают такие обновления пачкой? Они фиксят и
    > держат в секрете нераскрытые уязвимости некоторое время, а потом разом публикуют
    > всё? Зачем? Почему бы не публиковать апдейты чаще?

    Экономят на новостях и эдектронах.

    Плановое капиталистическое производство.

    Они ещё не научились писать новости об исправлениях пож бравурные марши и тосты типа "как замечательно всё фиксится! будем".

    ....

     
  • 2.8, нах (?), 16:44, 18/10/2018 [^] [ответить]    [к модератору]  
  • +5 +/
    > Может кто-нибудь объяснить, почему они выпускают такие обновления пачкой?

    потому что у их платных пользователей под них подогнаны окна обслуживания, а апдейтиться посередине какой-нибудь биржевой сессии они не могут себе позволить, даже если там вообще remote root пробивающий все файрволы и фильтры.

    такая жерня, кговавый ентер-прайс.


     
     
  • 3.9, Аноним (6), 17:09, 18/10/2018 [^] [ответить]     [к модератору]  
  • +/
    Я правильно понимаю, что до момента публикации даже такие проекты, как openjdk и... весь текст скрыт [показать]
     
     
  • 4.10, нах (?), 17:34, 18/10/2018 [^] [ответить]    [к модератору]  
  • +2 +/
    > Я правильно понимаю, что до момента публикации даже такие проекты, как openjdk или всякие
    > дистрибутивы вроде дебиана и рхела не в курсе

    насколько я понимаю, да, разьве что у них есть какие-то специальные каналы обмена этой информацией, недоступные даже платным клиентам. Но им никто не мешает находить и исправлять ошибки самостоятельно, это опенсорс. Или просто копипастить каждую новую версию - это вот тоже...опенсорс такой.

    забавно что вот заговор молчания вокруг продуктов isc вас не напрягает (а, ну да, редхат же в доле, естественно).

     
  • 4.11, Аноним (11), 17:36, 18/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Да, вы правильно понимаете, но ситуация немного другая...
    Оракл - это всего-лишь часть разработчиков ( хоть и большая ), и кто-то может фиксануть раньше...
     
  • 2.16, Аноним (15), 13:33, 19/10/2018 [^] [ответить]     [к модератору]  
  • +/
    Чаще не значит качественее Вы сравните предыдущую 7 ветку, там обновлений на по... весь текст скрыт [показать]
     
     
  • 3.17, лютый лютик__ (?), 06:24, 22/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Ну, вообще-то это номер билда, а не количество патчей.

    "другое ломают"

    Ну всё, пора срочно валить... огласите список вкудавалить.

     
  • 3.18, лютый джо__ (?), 06:25, 22/10/2018 [^] [ответить]    [к модератору]  
  • +/
    Ну, вообще-то это номер билда, а не количество патчей.

    "другое ломают"

    Ну всё, пора срочно валить... огласите список вкудавалить.

     
  • 1.19, bagas (ok), 12:41, 22/10/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    MySQL Community Server 5.5.62!
    5,5,66 я не вижу на офф. сайте мускула.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor