URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 110207
[ Назад ]
Исходное сообщение
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено opennews , 18-Янв-17 12:28 
Компания Oracle опубликовала (https://blogs.oracle.com/security/entry/january_2017_critica...) плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В январском обновлении в сумме устранено 270 уязвимостей (http://www.oracle.com/technetwork/security-advisory/cpujan20...).

В выпуске Java SE 8u121 (http://www.oracle.com/technetwork/java/javase/downloads/inde...) устранено 16 проблем с безопасностью, 15 из которых могут быть эксплуатированы удалённо без проведения аутентификации.  Трём уязвимостям присвоен (http://www.oracle.com/technetwork/security-advisory/cpujan20...) критический уровень опасности (CVSS Score 9 и выше). Десять проблем проявляются только на клиентских системах (запуск в браузере Java Web Start и Java-апплеты), а шесть затрагивают как клиентов, так и серверные конфигурации Java. Кроме устранения уязвимостей начиная с января 2017 года прекращена поддержка MD5 для формирования цифровых подписей для JAR-файлов - все JAR-файлы с MD5 теперь считаются неподписанными.


Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

-  18 уязвимостей (http://www.oracle.com/technetwork/security-advisory/cpujan20...) в MySQL (максимальный уровень опасности 6.8). Проблемы устранены в выпусках MySQL Community Server 5.7.17, 5.6.35 и 5.5.55 (http://dev.mysql.com/downloads/mysql/).

-  3 уязвимости (http://www.oracle.com/technetwork/security-advisory/cpujan20...) в Solaris (максимальный уровень опасности 5.7).  Уязвимости устранены в ядре и виртуализированном драйвере блочных устройств для Kernel Zones;


-  4 уязвимости (http://www.oracle.com/technetwork/security-advisory/cpujan20...) в VirtualBox (максимальная степень опасности 8.4 - уязвимости в GUI и в коде эмуляции SVGA). Уязвимости  устранены во вчерашних обновлениях VirtualBox  5.1.14 и 5.0.32 (https://www.virtualbox.org/).

URL: https://blogs.oracle.com/security/entry/january_2017_critica...
Новость: https://www.opennet.ru/opennews/art.shtml?num=45878

Содержание
Сообщения в этом обсуждении
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено x , 18-Янв-17 12:28 
Никогда не связывайтесь с рeшeтом под названием Java, а каждой версии миллион дыр.
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Дятел , 18-Янв-17 12:40 
18 уязвимостей в MySQL (максимальный уровень опасности 6.8). Проблемы устранены в выпусках MySQL Community Server 5.7.17, 5.6.35 и 5.5.55.

3 уязвимости в Solaris (максимальный уровень опасности 5.7). Уязвимости устранены в ядре и виртуализированном драйвере блочных устройств для Kernel Zones;

4 уязвимости в VirtualBox (максимальная степень опасности 8.4 - уязвимости в GUI и в коде эмуляции SVGA). Уязвимости устранены во вчерашних обновлениях VirtualBox 5.1.14 и 5.0.32.

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено ы , 18-Янв-17 13:11 
У фанатиков о некрасивых фактах не принято говорить. Чтож, исправим.
По жабе максимальный уровень опасности: 9.6
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено A , 18-Янв-17 16:12 
А если сходить посмотреть в оригинал то можно и 9.8 найти в других продуктах.
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено fick dich ins knie , 19-Янв-17 00:08 
Там и десяточка есть у облаков
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Другой аноним , 18-Янв-17 13:12 
x, немедленно выключите интернет и для начала избавьтесь от всех пластиковых карт.
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено лютый жабист__ , 19-Янв-17 05:53 
>Никогда не связывайтесь с рeшeтом под названием Java, а каждой версии миллион дыр.

Вот у меня микросервер стоит на хостинге с противной дырявой жабой, последнее обновление не накатывал. Дефэйсни, пожалуйста, чтобы не быть балаболом.

http://109.235.67.23:80

из рабочего там сервлеты. Кстати, можешь озвучить хотя их список?

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Вареник , 19-Янв-17 20:25 
"Ставьте бездырные винду и ASP.net" - так?
Или бездырный PHP?
Или все переписать на бездырном Хрусте, популярном среди школоты, которые его сами не знают, но слышали что это безопасно?
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Аноним , 21-Янв-17 14:35 
На асемблере или на C++ современный сайт написать вплоне реально, за 1-2 года.
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Alex_K , 18-Янв-17 21:08 
http://dev.mysql.com/doc/relnotes/mysql/5.6/en/news-5-6-35.html

For segmentation faults on FreeBSD, the server did not generate a stack trace. (Bug #24566529, Bug #23575445, Bug #81827)

For some deeply nested expressions, the optimizer failed to detect stack overflow, resulting in a server exit. (Bug #23135667)

Кто-будь в курсе, где можно посмотреть описание багов с восьмизначными номерами: например, #23135667?

На bugs.mysql.com только пятизначные.

Две недели мучался с похожими проблемами, но хотелось бы подробности.

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено CyberPunker , 18-Янв-17 22:44 
Oracle закрыл прямые баги и теперь пишет только что исправил там (может быть и то не факт).
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Alex_K , 19-Янв-17 13:39 
Ну вот они же пишут с Changelog номера багов. Получается для себя пишут?
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Аноним , 19-Янв-17 19:48 
Changelog идет из за закрытой баг-системы, они так борются с Percona LLC/MariaDB Corporation Ab.