The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей

15.01.2020 08:16

Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В январском обновлении в сумме устранено 334 уязвимости.

В выпусках Java SE 13.0.2, 11.0.6 и 8u241 устранено 12 проблем с безопасностью. Все уязвимости могут быть эксплуатированы удалённо без проведения аутентификации. Наивысший уровень опасности - 8.1, который присвоен проблеме с сериализацией (CVE-2020-2604), позволяющей скомпрометировать приложения на Java SE через передачу специально оформленных сериализированных данных. Три уязвимости имеют уровень опасности 7.5. Данные проблемы присутствуют в JavaFX и вызваны уязвимостями в SQLite и libxslt.

Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

  • 12 уязвимостей в сервере MySQL и 3 уязвимости в реализации клиента MySQL (C API). Наибольший уровень опасности 6.5 присвоен трём проблемам в парсере и оптимизаторе MySQL. Проблемы устранены в выпусках MySQL Community Server 8.0.19, 5.7.29 и 5.6.47.
  • 18 уязвимостей в VirtualBox, из которых 6 имеют высокую степень опасности (CVSS Score 8.2 и 7.5). Уязвимости будут устранены в обновлениях VirtualBox 6.1.2, 6.0.16 и 5.2.36, которые ожидаются сегодня.
  • 10 уязвимостей в Solaris. Максимальная степень опасности 8.8 - локально эксплуатируемая проблема в Common Desktop Environment. Из проблем с уровнем опасности выше 7 также можно отметить локальные уязвимости в Consolidation Infrastructure и файловой системе. Проблемы устранены во вчерашнем обновлении Solaris 11.4 SRU 17.


  1. Главная ссылка к новости (https://blogs.oracle.com/secur...)
  2. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
  3. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
  4. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
  5. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
  6. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
Лицензия: CC-BY
Тип: Программы
Ключевые слова: oracle, mysql, java, virtualbox, solaris
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (39) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Alen (??), 08:24, 15/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Вот все таки Оракл, какие молодцы! У них устранение и даже нахождение критических ремотных уязвимостей, идет по плану! Во истину оракул :)
     
  • 1.2, Lockywolf (ok), 08:47, 15/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Опенсорсная CDE не подвержена этой уязвимости и раньше была.
     
     
  • 2.4, Anonymoustus (ok), 09:16, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Опенсорсную CDE никто нигде не использует. Да и оракулевую вряд ли много кто.
     
     
  • 3.6, Lockywolf (ok), 09:17, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Опенсорсную CDE никто нигде не использует. Да и оракулевую вряд ли много
    > кто.

    В мейл-листах отмечаются пользователи. Немного, правда.

     
     
  • 4.7, Anonymoustus (ok), 09:18, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Это же частные лица, а не дистрибутивы и организации. Не считается.
     
     
  • 5.10, Lockywolf (ok), 09:34, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Это же частные лица, а не дистрибутивы и организации. Не считается.

    GUI в никсах (кроме андроида) -- вообще удел частных лиц по большому счёту.

    Единственный пример обратного, который я видел -- это ЕМИАС в московском депздраве. Там Гном, естественно.

     
     
  • 6.23, vimer (?), 17:12, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Прочитал как: "Emacs в московском депздраве", был удивлён.
     
  • 6.29, Аноним (29), 21:47, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >GUI в никсах (кроме андроида) -- вообще удел частных лиц по большому счёту.

    Самый сертифицированный (Ябло)NIX смотрит на вас с недоумением.

     
     
  • 7.30, Lockywolf (ok), 05:19, 16/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >>GUI в никсах (кроме андроида) -- вообще удел частных лиц по большому счёту.
    > Самый сертифицированный (Ябло)NIX смотрит на вас с недоумением.

    Fair point, но я не видел примеров успешного запуска cocoa-gui на лиуксе. У gnustep больше проблем со сборкой, чем у CDE, и она далеко не весь gui реализует.

     

  • 1.3, Аноним (3), 09:03, 15/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    все как обычно сотни уязвимостей
     
     
  • 2.5, Anonymoustus (ok), 09:16, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Исправленных, да. Не то, что ваш нотабуг.
     
  • 2.9, iPony129412 (?), 09:29, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну сложные продукты — поэтому...
     
  • 2.12, Ан (??), 10:02, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А где их нет?
     
  • 2.13, Аноним (13), 10:11, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > все как обычно сотни уязвимостей

    Вроде все просто отлично (для нашего несовершенного мира) и объяснимо:
    1) Люди работают (проекты не заброшены, человеки пишут тонны сложного кода, пусть не всегда качественного);
    2) Работают люди (в том смысле что не "роботы". А людям свойственно ошибаться);
    3) Продукты востребованы (раз находятся и исправляются ошибки, а не как в очередном "пожившем и сдохшем GWT").

     
     
  • 3.24, Аноним (24), 17:35, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    пусть альфы выпускают, раз по 334 ошибок делают
     
     
  • 4.27, Аноним (27), 19:59, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    тогда systemd не выйдет из стадии вечной альфы.

    достаточно посмотреть баг трекер его, что бы оценить как быстро исправляются критические ошибки которые репортятся не сотрудниками redhat.

     
  • 4.31, Аноним (13), 09:19, 16/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > пусть альфы выпускают, раз по 334 ошибок делают

    Вы вообще читали новость, а потом переходили по ссылке на список патчей? 334 - это в сумме по куче продуктов, большинство из которых тебе (и многим другим) неизвестно. В этих волнующих Вас явах и мускулях - по 10-20 ошибок. Какая нафиг альфа, если всё запускается, проходит какие-то тесты и работает, а ошибки находятся уже в процессе эксплуатации? С твоим подходом в продакшн можно запускать только ранний оригинальный qmail да HelloWorld на D. Всё. Остальное всё у всех альфа.

     

  • 1.8, лютый жабист__ (?), 09:23, 15/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    поскорее бы JVM начали переписывать на rust-е... хотя, кажется, всех всё устраивает и с текущим сишным рэшетом.
     
     
  • 2.11, Аноним (11), 09:58, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +12 +/
    Казалось бы, что каникулы уже закончились..
     
     
  • 3.15, Голубой гигант (?), 11:39, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    У вас не закончились?
     
     
  • 4.19, Аноним (19), 14:30, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Прогуливает. ;)
     
  • 2.14, Аноним (13), 10:24, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну ты как лютый жабист должен знать, что явовский JIT-компайлер уже переписан ораклом на безопасной яве и валяется в составе GraalVM. И даже быстрее HotSpot'а работает. Ситуация (отдаленно) как с PyPy получилась.
     
  • 2.21, nelson (??), 15:26, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    да, и добавить функции приготовления смузи и мониторинга скидок в барбершопах
    хипстоту хлебом не корми - дай переписать что-нибудь системное на растишке да гошке
     
     
  • 3.32, Аноним (11), 09:34, 16/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Согласен, только COBOL и FORTRAN! Им только дай волю, все перепишут на новомодном C89.
     
     
  • 4.39, пох. (?), 12:45, 20/01/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    разница между новомодными поделками и с89 - именно в том, что на Си никто не переписывал код, уже работающий на фортране и коболе. На нем писали код, который на фортране и коболе писать было невозможно.

    А вот новое поколение не-таких-как-все - очень жаждет все попереписать. Потому что ничего принципиально нового модные язычки не позволяют, а очень хочется войти в историю.

     
     
  • 5.40, iZEN (ok), 13:28, 20/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > разница между новомодными поделками и с89 - именно в том, что на
    > Си никто не переписывал код, уже работающий на фортране и коболе.
    > На нем писали код, который на фортране и коболе писать было
    > невозможно.
    > А вот новое поколение не-таких-как-все - очень жаждет все попереписать. Потому что
    > ничего принципиально нового модные язычки не позволяют, а очень хочется войти
    > в историю.

    Потому что старый код никто, кроме создателей и последователей, не понимает. Новое поколение хочет понять, как работают алгоритмы на старых языках, и написать их на новых. Что в этом плохого? Старые языки убоги, так как для сложных выражений не было поддержки на аппаратном уровне, поэтому программа была многословной. Сейчас в процессорах много чего реализовано аппаратно, а новые языки и компиляторы поддерживают оптимизацию, соотнося её с возможностями процессора. Не зря же отказались от 32-bit [i386] в популярных операционных системах — её просто устали поддерживать — чемодан без ручки.


     
     
  • 6.41, Anonymoustus (ok), 20:03, 23/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Потому что старый код никто, кроме создателей и последователей, не понимает. Новое
    > поколение хочет понять, как работают алгоритмы на старых языках, и написать
    > их на новых. Что в этом плохого? Старые языки убоги, так
    > как для сложных выражений не было поддержки на аппаратном уровне, поэтому
    > программа была многословной. Сейчас в процессорах много чего реализовано аппаратно, а
    > новые языки и компиляторы поддерживают оптимизацию, соотнося её с возможностями процессора.
    > Не зря же отказались от 32-bit [i386] в популярных операционных системах
    > — её просто устали поддерживать — чемодан без ручки.

    Так вот почему новые программы работают на порядки медленнее старых на том же железе! В чём же прогресс, я стесняюсь спросить?

     
     
  • 7.42, iZEN (ok), 21:34, 23/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Так вот почему новые программы работают на порядки медленнее старых на том
    > же железе! В чём же прогресс, я стесняюсь спросить?

    Прогресс... он в головах, прежде всего. Все эти пальцетыкательные интерфейсы и распознавание лиц по отпечатку глаза после пьянки... Вот это всё оттуда.


     
  • 2.35, iZEN (ok), 12:48, 17/01/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > поскорее бы JVM начали переписывать на rust-е... хотя, кажется, всех всё устраивает и с текущим сишным рэшетом.

    Не дай Боже на Rust'е. Лучше переписать весь сишный крап на Modula-3, но жалко нет специалистов.

     
     
  • 3.36, Тита_М (?), 05:44, 18/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А почему не на оберонах?
     
  • 2.38, пох. (?), 12:43, 20/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    на erlang.

    Чтоб было как с pgp. Ни одна сволочь в галактике не знала, как это потом чинить.

     

  • 1.16, Аноним (16), 12:09, 15/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ох уж эта сериализация с джаве с кучей "магии" и постоянных уязвимостей. Не зря в планах её замена.
     
  • 1.17, Аноним (17), 12:11, 15/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Молодцы обновили... Теперь и без кого кривой virtualbox разучился расширения удалять/ставить. Симулятор вечного прогресс бара заказывали?
     
     
  • 2.20, Аноним (19), 14:33, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Вагрант + KVM адептам ком.строки и ненужен стал VBox. Зато ВМ-ки разворачиваются новые, подностью засетапленые за минуту другую.
     

  • 1.18, Аноним (18), 13:14, 15/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    ubreakable орки с честью несут свое имя сквозь тысячи cve
     
  • 1.22, Урри (?), 16:11, 15/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Оракл со сломанной возможностью установить старую джаву поверх сломанной обратной совместимости, когда на новой джаве старый код не бегает идет на..й

    Это все, что я хочу знать об Оракле - что они успешно дошли туда, куда их послали.

     
     
  • 2.26, Аноним (26), 18:14, 15/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В духе прогрессивных компаний типа M$ и Гугля.
     

  • 1.25, Аноним (24), 17:44, 15/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Чем отличаются версии? VirtualBox 6.1.2, 6.0.16 и 5.2.36
     
     
  • 2.37, господин Уэф (?), 12:41, 20/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    ты что, пацак - слепой совсем? Шесть от пять и один от ноль отличить не можешь?

     

  • 1.28, Аноним (28), 20:51, 15/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > В выпусках Java SE 13.0.2, 11.0.6 и 8u241 устранено 12 проблем с безопасностью. Все уязвимости могут быть эксплуатированы удалённо без проведения аутентификации.

    Жирная, тормозная и дырявая. Репутация подтверждена.

     
     
  • 2.33, Урри (?), 16:41, 16/01/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Казалось бы за эти годы можно было бы наладить процесс ревью, исключающий такие ошибки. Но нет, мы будем год за годом наступать на одни и те же грабли.
     

  • 1.34, iZEN (ok), 12:46, 17/01/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    % pkg info -r mysql57-client
    mysql57-client-5.7.29:
    libreoffice-6.3.4

    Да тут полпланеты подвержено уязвимости!

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру