Компания Oracle представила (https://blogs.oracle.com/security/entry/july_2016_critical_p...) плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В июльском обновлении в сумме устранено 276 уязвимостей (http://www.oracle.com/technetwork/security-advisory/cpujul20...).В выпусках Java SE 8u101 и 8u102 (http://www.oracle.com/technetwork/java/javase/downloads/inde...) устранено 13 проблем с безопасностью, которые могут быть эксплуатированы удалённо без проведения аутентификации. Четырём уязвимостям присвоен (http://www.oracle.com/technetwork/security-advisory/cpujul20...) уровень опасности (CVSS Score) больше 9. Десять проблем проявляются только на клиентских системах (запуск в браузере Java Web Start и Java-апплеты), а три затрагивают как клиентов, так и серверные конфигурации Java. Выпуск Java SE 8u102 вышел одновременно с 8u101 и отличается не только устранением уязвимостей, но и исправлением ошибок, не связанных с безопасностью.
Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:- 22 уязвимости (http://www.oracle.com/technetwork/security-advisory/cpujul20...) в MySQL (максимальный уровень опасности 8.1). Проблемы устранены в выпусках MySQL Community Server 5.7.12, 5.6.30 и 5.5.49 (http://dev.mysql.com/downloads/mysql/).
- 7 уязвимостей (http://www.oracle.com/technetwork/security-advisory/cpujul20...) в Solaris (максимальный уровень опасности 6.5). Уязвимости устранены в ядре, системе верифицированной загрузки и контейнерах Kernel Zones;
- 2 уязвимости (http://www.oracle.com/technetwork/security-advisory/cpujul20...) в VirtualBox (максимальная степень опасности 5.9), которые связаны с реализацией SSL/TLS и могут эксплуатироваться удалённо. Уязвимости устранены в обновлении VirtualBox 5.0.26 (https://www.virtualbox.org/).
URL: https://blogs.oracle.com/security/entry/july_2016_critical_p...
Новость: https://www.opennet.ru/opennews/art.shtml?num=44815
"В выпусках Java SE 8u101 и 8u102 устранено 13 проблем с безопасностью, которые могут быть эксплуатированы удалённо без проведения аутентификации"Блин, кто бы объяснил без стёба... допустим есть web-сервер undertow. И теперь через него любого качества приложение можно иметь во все щели, т.к. "13 проблем с безопасностью, которые могут быть эксплуатированы удалённо без проведения аутентификации"?! Ну не верится, ошибки в JVM же где-то в глубине, как это на 3-7 уровнях OSI то можно использовать?
А если не можно, то как на JVM осуществлять атаки "удалённо без проведения аутентификации"?!
Рискну предположить:
Известно, что программа состоит из: сегмент кода, сегмент данных. Код это инструкции для процессора, по сути код ассемблера (или инструкции smali для JVM в случае Java).1. Классическая ошибка - это отсутствие проверки на длину массива. После определённого количества элементов (индекса) все данные считаются кодом и выполняются.
2. Ещё одна классическая ошибка - это парсинг данных, как в старых PHP сайтах (уже вымершая для сайтов благодаря подготовленным процедурам уязвимость). Где после определённого экранирующего символа все данные отправленные пользователем (массив или строка) в запросе считают кодом и выполняются.
3. Ну и совсем уж обычные глупые ошибки. Когда например отправил 100 раз запрос, а на 101 тебе открылась админка. Просто ошибка. Как в heartbleed, когда внезапно пароли передавались: https://ru.wikipedia.org/wiki/Heartbleed
4. Можно ещё выделить в отдельную категорию аппаратные ошибки. Как например недавняя, где после определённого количества обращений к ячейке RAM памяти соседние меняли значения. От них спасает рандомизация запросов.
Отставить панику. Для того, чтобы иметь во все щели твоё приложение, оно, как минимум, должно использовать уязвимые классы. Плюс, могут быть дополнительные ограничения
>плановый выпуск
>Critical Patch Update
>>плановый выпуск
>>Critical Patch UpdateИ ч-чё? Оракел победившего социализма. Всем обновить свои уязвимости.
То что у любителе стало бы "Critical Patch Update", то у профессионалов - ждет до "планового выпуска".
Дырявость JVM обусловлена применённым языком программирования C++ с элементами на C. Сколько лет можно ловить одни те же ошибки в разных местах, обусловленные несовершенством инструмента? Почему бы не взяться за переписывание виртуальной машины на языке Go или Rust? Почему бы сразу не был применён язык Modula3?
Это говорит о том, что на ранних стадиях отказа от применения C в силу его сложноси и изобретения Java как более простой версии, была совершена колоссальная системная ошибка - взят C++ в качестве основного языка программирования.
Ну да, ну да... Во всём виноваты не индусы, а чёртов Страуструп.
> Ну да, ну да... Во всём виноваты не индусы, а чёртов Страуструп.Если ошибка может быть сделана она будет сделана. А си хоть с крестами хоть без поощряет плохое написание кода, прикрывая это наличием фич в духе "смотрите пацаны как я могу". И это легаси до последнего стандарта протащили и костылями обвешали.
Вы зря говорите на языке, на котором можно сказать много глупостей. Язык для речи следует выбирать такой, на котором невозможно сказать ничего неправильного. Ведь такой язык - признак ума. Если человек не способен такой язык изучить, то он наверняка идиот и говорить с ним не о чем.
Камрад Оруелл как-то вводил понятие ньюспика - языка, на котором нельзя сказать неправильных вещей. Но его, видимо, в серьёз не восприняли и язык так и не разработали, оставив его лишь элементом художественной литературы.
Шкраб, сельпо, соцреализм?
> Шкраб, сельпо, соцреализм?Именно! ЗК, СИЗО, СССР, ВКЛСМ, ЗПТ, ТЧК.
> Камрад Оруелл как-то вводил понятие ньюспика - языка, на котором нельзя сказать
> неправильных вещей. Но его, видимо, в серьёз не восприняли и язык
> так и не разработали, оставив его лишь элементом художественной литературы.Да, норм. всё с новоязом. Маркотоиды регулярно промывают мОзги потреб-ям.
Просто они из оруэла сделали правильный вывод: чтоб нелзя было сказать, им не надо, им надь, чтоб цель думала и делала, чего им надо.
"Десяточка стала ещё лучче", "мйакросоувт самый большой друхх опенсурса". Регулярно в Новосях опенета.
Вообще-то большая часть багов - в стандартной библиотеке, написанной на java, а не в jvm, написанной на c++
Да всё еще проще. На крестах можно написать жывыЭм, хоть и с багами. А вот на самой жабе - хренушки! :-))) Это всё что вам надо знать о Жабе! :)
> Да всё еще проще. На крестах можно написать жывыЭм, хоть и с
> багами. А вот на самой жабе - хренушки! :-))) Это всё
> что вам надо знать о Жабе! :)JVM на Java — Jikes RVM.
>> Да всё еще проще. На крестах можно написать жывыЭм, хоть и с
>> багами. А вот на самой жабе - хренушки! :-))) Это всё
>> что вам надо знать о Жабе! :)
> JVM на Java — Jikes RVM.Ты когда писал, за пару суток до того: "Почему бы не взяться за переписывание виртуальной машины на языке Go или Rust? Почему бы сразу не был применён язык Modula3?" - про неё не знал? Или ты теперь го/раст больше чем джавву "любишь"? Или чего-то жизненно важного не хватает в? Неужели еже-месячных обновлений?!
Теряюсь в догадках. Очень сложная Технология эта ваша напиши-везде. Непонятна-а-ая!
Есть же питон на питоне (на самом деле ограниченном компилируемом подмножестве), почему нельзя выделить такое подмножество в Java и написать на нем JVM?
из четырёх самых критичных багов три в java-классах (CVE-2016-3587, CVE-2016-3598, CVE-2016-3610), и только один - в .cpp-файле (CVE-2016-3606).
остальные баги мне смотреть лень, думаю, там расклад где-то такой-же.
Соответственно, замена С на неС не сильно бы помогла
http://www.oracle.com/technetwork/security-advisory/cpujul20...CVE-2016-3587, CVE-2016-3606, CVE-2016-3550 - Hotspot (C++)
CVE-2016-3598, CVE-2016-3610 - Libraries (.so, .DLL)CVE-2016-3552, CVE-2016-3503 - Install
CVE-2016-3511 - Deployment
CVE-2016-3498 - JavaFX
CVE-2016-3500, CVE-2016-3508 - JAXP
CVE-2016-3458 - CORBA
CVE-2016-3485 - Networking
вот тебе патч на CVE-2016-3587: http://hg.openjdk.java.net/jdk8u/jdk8u/jdk/rev/c387bd2fb7db
найди там С++, иксперд
> вот тебе патч на CVE-2016-3587: http://hg.openjdk.java.net/jdk8u/jdk8u/jdk/rev/c387bd2fb7db
> найди там С++, икспердОткуда следует что это патч на CVE-2016-3587, а не на другую ошибку?
>> вот тебе патч на CVE-2016-3587: http://hg.openjdk.java.net/jdk8u/jdk8u/jdk/rev/c387bd2fb7db
>> найди там С++, иксперд
> Откуда следует что это патч на CVE-2016-3587, а не на другую ошибку?я это тут нашёл: https://bugzilla.redhat.com/show_bug.cgi?id=1356987
а вообще, гуглится ж элементарно...
> Дырявость JVM обусловлена применённым языком программирования C++ с элементами на C. Сколько лет можно ловить одни те же ошибки в разных местах, обусловленные
> несовершенством инструмента?Java же и так "безопасная", ибо "VM". Смотрим раннюю рекламу и наслаждаемся.
Вывести на рынок тормозящую в 2 раза VM, объясняя это тем что она написана на хрусте? Объясните это своему продавану.
Да тут какрах проблем нет. Девиз экономики 21-го века - чем хуже, тем лучше!
Я уже заколебался обновлять MySQL! Может стоит мигрировать на PostgreSQL?
Лучше мигрируй на Win98SE: не обновляется уже 15 лет, вот где качество и штабильность!
Ну уж нет, увольте. Останусь на MySQL, не буду ничего менять.
> Ну уж нет, увольте. Останусь на MySQL, не буду ничего менять... пока школу не закончу.
> Лучше мигрируй на Win98SE: не обновляется уже 15 лет, вот где качество
> и штабильность!О, точн. MS-DOS 7.1. 30 лет на Рынке.
узнать про крон не предлагать?
Я бы давно перешёл. Постгрес сейчас "на волне", возможности оч вкусные, сам стабилен. По кр. мере между Мускуль и Постгрес я б выбрал последний.
> Я бы давно перешёл. Постгрес сейчас "на волне", возможности оч вкусные, сам
> стабилен. По кр. мере между Мускуль и Постгрес я б выбрал
> последний.Да кто ж рабам разрешит выбирать?
> Да кто ж рабам разрешит выбирать?Грамотный рабовладелец всегда учитывает психологический комфорт для рабов.
В конечном итоге это удешевляет их содержание - меньше затраты на охрану, меньше риск бунта.
> Я уже заколебался обновлять MySQL! Может стоит мигрировать на PostgreSQL?бери Microsoft SQL Server 2016 Enterprise, не прогадаешь!
надеюсь джава в скором времени исчезнит с компов как и флеш
> надеюсь джава в скором времени исчезнит с компов как и флешДавайте перепишем мавен репо на руби. Или хрусте. А еще лучше на ассемблере.
На выходе будет то же самое, зато можно триллион баксов освоить, лет за 15. Миллион рабочих мест занять и наполнить очередным смыслом.
А форков эти уязвимости касаются? Например для MariaDB?
Наконец портировали на FreeBSD:
openjdk8-8.92.14_3 < needs updating (index has 8.102.14)