Компания Oracle представила (https://blogs.oracle.com/security/entry/february_2013_critic...) крупнейшее в истории обновления с исправлением проблем безопасности в Java SE - Java SE 7 Update 13 (http://www.oracle.com/technetwork/java/javase/7u13-relnotes-...) и Java SE 6 Update 39 (http://www.oracle.com/technetwork/java/javase/6u39-relnotes-...), в которых устранено 50 уязвимостей (http://www.oracle.com/technetwork/topics/security/javacpufeb...), 26 из которым присвоен максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента. Изначально, выпуск обновлений был запланирован на 19 февраля, но был выпущен раньше срока, так как одна критическая уязвимость, исправленная в браузерном Java-плагине, имеет характер zero-day проблемы, для которой в сети уже зафиксированы факты эксплуатации.
Все критические проблемы подвержены удалённой эксплуатации без необходимости аутентификации. 23 критические уязвимости проявляются на стороне клиента при обработке в браузерном плагине специально оформленного Java Web Start приложения или Java-апплета, трём проблемам подвержены как клиентские, так и серверные системы (эксплуатация через обращение к серверному API). Отдельно отмечаются 2 уязвимости в серверном компоненте JSSE (Java Secure Socket Extension).Из общего числа проблем 49 уязвимостей могут быть эксплуатированы удаленно с вектором атаки через сеть без предварительной аутентификации. 39 уязвимостей выявлено в Java Runtime Environment, а 11 в JavaFX. Из уязвимостей в JRE две проблемы найдены в 2D-подсистеме, 4 в CORBA, 4 в AWT, 10 в Deployment Toolkit, 3 в JMX, 5 в библиотеках, 2 в JSSE, 1 в Java Beans, 1 в системе скриптинга, 1 в звуковой подсистеме, 1 в инсталляторе, 1 в JAX-WS, 1 в JAXP, 1 в RMI, 1 в сетевой подсистеме.
В анонсе Oracle отмечается, что опасность эксплуатации проблем безопасности снижена благодаря тому, что начиная с Java SE 7 Update 11 был изменён предлагаемый по умолчанию уровень безопасности. Если ранее при выполнении апплетов использовался средний уровень безопасности, то теперь задействован наивысший уровень, включающий дополнительные проверки и требующий обязательного ручного подтверждения запуска в браузере неподписанных апплетов, приложений Java Web Start или JavaFX. Тем не менее, Адам Говдяк (Adam Gowdiak), известный польский исследователь безопасности, недавно заявил (https://www.opennet.ru/opennews/art.shtml?num=35941), что уровни безопасности можно обойти и они эффективны только в теории. На практике же, достаточно быстро удалось найти уязвимость, позволяющую обеспечить выполнение вредоносного ПО даже при активации наивысшего уровня защиты, вообще запрещающего запуск неподписанных апплетов. Используя указанную уязвимость вредоносное ПО как и раньше может запускаться с открытой страницы, абсолютно незаметно для пользователя.
Дополнительно можно упомянуть опубликованную вчера заметку (http://blog.fuseyism.com/index.php/2013/02/01/the-death-of-i.../) Эндрю Хьюза (Andrew Hughes), одного из разработчиков IcedTea из компании Red Hat, о будущем полностью открытой реализации Java SE. По мнению Эндрю проект IcedTea потерял смысл и близок к своему завершению, так как с выпуском OpenJDK он по сути является его перепаковкой с незначительными локальными патчами. Если текущие ветки IcedTea ещё будут поддерживаться, то будущий выпуск IcedTea на базе Java SE 8 под большим вопросом.URL: https://blogs.oracle.com/java/entry/critical_patch_update_fo...
Новость: https://www.opennet.ru/opennews/art.shtml?num=35999
>критическое обновлениеОно в самом деле критическое?
26 дыр максимального уровня закрывает, одна из которых уже эксплуатируется. Да, наверное не критическое, а так, самое обычное обновление безопасности. Можешь не ставить, если лень.
> Update 13Звучит прям как название очередного космического ужастика =:)
>> Update 13
> Звучит прям как название очередного космического ужастика =:)У тебя трискаидекафобия :?
> У тебя трискаидекафобия :?Не знаю как у него, а для оракла число и правда не очень счастливое :).
> 26 дыр максимального уровня закрывает, одна из которых уже эксплуатируется.Как минимум, три. Просто эксплоитов нет в паблике.
Ждём сообщений о дырах в новой жабе.
Надеюсь оракль не пожалел бабок своим линейным [s]юнитам[/s] разработчикам, пашут как путин на галерах
Не знаю, как в линуксах, а linux-sun-jre17 7.13 (порт java/linux-sun-jre17 http://www.freshports.org/java/linux-sun-jre17/ ) и linux-sun-jdk17 7.13 (порт java/linux-sun-jdk17 http://www.freshports.org/java/linux-sun-jdk17/ ) уже в коллекции портов FreeBSD. :))
Это очень ценное сообщение, спасибо.
А у меня уже в коллекции слакбилдов java.SlackBuild для Oracle jdk/jre 7u13, и чо? Вместо того, чтобы постить всякую хрень, ты бы лучше пилил дрова для оптимуса под фряху, было бы больше пользы.
он же уже несколько раз говорил, что на винде сидит.
а с фряхой… это он так кворум гпл-хэйтеров создаёт.
трухин, только с жабой вместо дотнета.
Кстати, где Трухин? Кто знает, что с ним? Неужто заболел^W нашёл работу?
> А у меня уже в коллекции слакбилдов java.SlackBuild для Oracle jdk/jre 7u13, и чо?Хотел получить отзывы от пользователей дистрибутивов Linux, появились ли у них обновления JRE/JDK7u13 в репозиториях используемых ими дистрибутивов. Насколько оперативно среагировали мантейнеры дистрибутивов Linux на официальный апдейт Явы.
> Вместо того, чтобы постить всякую хрень, ты бы лучше пилил дрова для оптимуса под фряху, было бы больше пользы.
"Оптимус" это что?
> "Оптимус" это что?видеокарты NVidia, за нее Торвальдс факью показал
> Насколько оперативно среагировали мантейнеры дистрибутивов Linux
> на официальный апдейт Явы.
И правильно сделала тк нечего перепаковывать оригинальные файлы Oracle JDK. Хочется свое - используйте OpenJDK reference implementation, а если это Oracle JDK – он должен быть таким, как его задумал Oracle. Никто не мешает в репозиторий его положитъ вообще
Ха! Ещё как мешает.
Чтобы скачать ораклждк, нужно зайти на сайт и согласиться с условиями.
Если в бзде это не так, то они банально нарушают права оракла. Ворюги другими словами.Зыж
К примеру в генту это реализовано так — ставишь сабж, выдаётся мезедж "сходите на <урл>, скачайте после подтверждения (надо поставить галку и нажать аксепт. Ну можно ещё прочитать, что это жаба не для террористов и тд.), после скачивания скопируйте туда-то. Потом нажмите У". Короче, вгетом не скачаешь.
А в свою репу низя. Если ты не айзн-террорист конечно.
>Если в бзде это не такТак. Топай на сайт, скачивай, кидай в distfiles и устанавливай.
влом.
надо будет, поставлю.
Интересно, хоть неделю продержится до нового сообщения об уязвимости?
ну так дочитайте последний абзац.
Ну так это ж о состоянии до этого апдейта?
а где написано, что апдэйт это закрыл?
насколько я понял как раз таки нет.
Из новости непонятно, но претензия была к апдейту 11, а это уже 13-й. Я, конечно, понимаю, что Оракл слоупоки, но не до такой степени же.
и тем не менее, в фразе:
>Тем не менее, Адам Говдяк (Adam Gowdiak), известный польский исследователь…именно «тем не менее» наводит на мысль, что автор новости как раз и имел в виду, что сабж тем не менее уязвим.
ну, наверное можно спросить у автора, что он под этим имел в виду.
После некоторой критики со стороны некоторых личностей, Oracle все же выпускает обновление. В котором уязвимостей даже больше чем в списке, который обсуждался.
Это просто сообщения, я не думаю что они радикально в коде все обновляли
Мы все прекрасно понимает как Оракл плюет на людей
> Это просто сообщения, я не думаю что они радикально в коде все
> обновляли
> Мы все прекрасно понимает как Оракл плюет на людейОн так-то не обязан быть лицом к ним. Видишь ли, в компании в 35 тыщ эмплоёв никакие дела быстро - не делаются. По определению просто.
> Критическое обновление Java SE с устранением 50 уязвимостейМне кажется, это опять не повод Мозиле исключать java-плагин из чёрного списка :)
Mozilla хороший пинок под зад дал Oracle,
Отключение Java в браузере обезапасит от FBI бэкдоров
> Mozilla хороший пинок под зад дал Oracle,Хотел бы согласиться, но яббл тоже пнул.
а пнуть лежачий мелкософт? это же святое
>Отключение Java в браузере обезапасит от FBI бэкдоровОт FBI бекдоров не обезопасит ничто.
> с устранением 50 уязвимостейОракл - это масштабно, энтерпрайзно.
Fail Enterprise
Блин, тока вчерась до "Java SE 6 Update 38" обновился, теперь опять...Интересно чем ответит на это Адам?
Вот долбаебская политика по выпуску заплаток - все по графику. пусчай хоть что то поработает.