The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от opennews (ok), 17-Апр-19, 11:36 
Компания Oracle опубликовала (https://blogs.oracle.com/security/april-2019-critical-patch-...) плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В апрельском обновлении в сумме устранено 297 уязвимостей (https://www.oracle.com/technetwork/security-advisory/cpuapr2...).

В выпусках Java SE 12.0.1, 11.0.3 и 8u212 (http://www.oracle.com/technetwork/java/javase/downloads/inde...) устранено 5 проблем с безопасностью. Все уязвимости могут быть эксплуатированы удалённо без проведения аутентификации.  Одной уязвимости, специфичной для платформы Windows, присвоен (https://www.oracle.com/technetwork/security-advisory/cpuapr2...) CVSS Score 9.0 (CVE-2019-2699), что соответствует критическому уровню опасности и позволяет неаутентифицированному пользователю по сети скомпрометировать приложения на Java SE. Двум уязвимостям в подсистеме обработки 2D графики присвоен уровнень 8.1 (CVE-2019-2697, CVE-2019-2698). Подробности пока не раскрываются.

Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

-  40 уязвимостей (https://www.oracle.com/technetwork/security-advisory/cpuapr2...) в MySQL (максимальный уровень опасности 7.5). Наиболее опасная проблема
(CVE-2019-2632 (https://security-tracker.debian.org/tracker/CVE-2019-2632)) затрагивает подсистему подключаемых модулей аутентификации. Проблемы будут устранены в выпусках MySQL Community Server 8.0.16, 5.7.26 и 5.6.44 (http://dev.mysql.com/downloads/mysql/).

-  12 уязвимостей (https://www.oracle.com/technetwork/security-advisory/cpuapr2...) в VirtualBox, из которых 7 имеют критическую степень опасности (CVSS Score  8.8). Уязвимости  устранены в обновлениях VirtualBox  6.0.6 и 5.2.28 (https://www.virtualbox.org/wiki/Changelog-6.0) (в примечании (https://www.virtualbox.org/wiki/Changelog) к релизу факт устранения проблем с безопасностью не афиширован). Подробности не сообщаются, но судя по уровню CVSS устранены уязвимости, продемонстрированные (https://www.opennet.ru/opennews/art.shtml?num=50376) на соревновании Pwn2Own 2019 и позволяющие из окружения гостевой системы выполнить код на стороне хост-системы.


позволяют атаковать хост-систему из гостевого окружения.

-  3 уязвимости (https://www.oracle.com/technetwork/security-advisory/cpuapr2...) в Solaris (максимальная степень опасности 5.3 - проблемы в пакетном менеджере IPS, SunSSH и сервисе управления блокировками. Проблемы устранены в выпуске
Solaris 11.4 SRU8 (https://blogs.oracle.com/solaris/announcing-oracle-solaris-1...), в котором также возобновлена поддержка библиотек UCB (libucb, librpcsoc, libdbm, libtermcap,  libcurses) и сервиса fc-fabric, обновлены версии пакетов
ibus 1.5.19, NTP  4.2.8p12,
    Firefox  60.6.0esr,
    BIND  9.11.6,
    OpenSSL  1.0.2r,
    MySQL 5.6.43 & 5.7.25,
    libxml2  2.9.9,
    libxslt  1.1.33,
    Wireshark  2.6.7,
    ncurses  6.1.0.20190105,
    Apache httpd  2.4.38,
    perl 5.22.

URL: https://blogs.oracle.com/security/april-2019-critical-patch-...
Новость: https://www.opennet.ru/opennews/art.shtml?num=50527

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +1 +/
Сообщение от YetAnotherOnanym (ok), 17-Апр-19, 11:36 
> В выпусках Java SE 12.0.1, 11.0.3 и 8u212 устранено 5 проблем с безопасностью. Все уязвимости могут быть эксплуатированы удалённо без проведения аутентификации.

Джо Армстронг ухмыляется.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от ryoken (ok), 17-Апр-19, 11:52 
5+40+12+3!=297, не..?
Где про остальные дыры? :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –1 +/
Сообщение от A (?), 17-Апр-19, 12:03 
Подозреваю, что в Java SE ):
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Аноним (4), 17-Апр-19, 11:52 
> в котором также возобновлена поддержка библиотек UCB (libucb,
> librpcsoc, libdbm, libtermcap, libcurses)

Кажетсо, срочно извлеченный из криокамеры специалист по программированию на коболе сумел объяснить, почему банковская система сломалась при предыдущем апгрейде  ;-)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –6 +/
Сообщение от erthink (ok), 17-Апр-19, 12:13 
Вечное сияние чистейшей "безопасности" Java.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +1 +/
Сообщение от MVK (??), 17-Апр-19, 12:21 
"уязвимости, специфичной для платформы Windows"
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +2 +/
Сообщение от erthink (ok), 17-Апр-19, 12:24 
> > "уязвимости, специфичной для платформы Windows"

"5 проблем с безопасностью. Все уязвимости могут быть эксплуатированы удалённо без проведения аутентификации."

А "специфичная для Windows" - это вишенка на торте ;)

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

17. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от лютый жабист__ (?), 18-Апр-19, 05:54 
>Все уязвимости могут быть эксплуатированы удалённо без проведения аутентификации

Сломаешь последней версии Wildfly, торчащий в инет? У меня их много, никакими nginx-ами не закрыто. Или только кукарекать горазд?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

16. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от лютый жабист__ (?), 18-Апр-19, 05:51 
>Вечное сияние чистейшей "безопасности" Java.

К чему ты хороший фильм приплел?

Кстати, ЖВМ написана на вонючем си, из-за чего она такое рещето. Уж поскорее бы на расте переписали.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

18. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +2 +/
Сообщение от Andrey Mitrofanov (?), 18-Апр-19, 08:20 
>Уж поскорее бы на расте переписали.

Переписывать надо на жавве.

Ты прям как не  жаббист.

Вона, у пи-пи-тонистов получилось.

Хватит песен про Си, начинай уже.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

20. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Аноним (20), 19-Апр-19, 08:34 
Graalvm на подмножестве java написан
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

9. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –2 +/
Сообщение от Аноним (9), 17-Апр-19, 12:47 
> Проблемы устранены в выпуске Solaris 11.4 SRU8, в котором ...
> MySQL 5.6.43 & 5.7.25
> 40 уязвимостей в MySQL (максимальный уровень опасности 7.5). ...
> Проблемы будут устранены в выпусках MySQL Community Server 8.0.16, 5.7.26 и 5.6.44.

Какая прелесть. ОНО сразу дырявое выходит. :-)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +2 +/
Сообщение от Аноним (10), 17-Апр-19, 13:00 
Ну всё. Чтобы запустить приложение Java, помимо ответа "да" на трех экранах и наличия сертификата, нужно будет оформить две доверенности и одно согласие, отсканировать их, отправить по имейлу, а следом довезти оригиналы.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –5 +/
Сообщение от Аноним (10), 17-Апр-19, 13:05 
> Подробности пока не раскрываются

Вот это забавная тенденция в ИТ сложилась - дать время на устранение, потом открыть подробности. Один нюанс - есть системы, которые обновлять нежелательно, а есть, которые обновить не представляется возможным. И как тут назвать открывателей? Хотя Макаревич уже назвал ...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от GGG (?), 20-Апр-19, 15:13 
Тех, у кого такие системы есть, надо называть ССЗБ
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

12. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –1 +/
Сообщение от Анонм (?), 17-Апр-19, 13:22 
Все уязвимости были связанны с апплетами. Их давно уже выбросили из Java.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от CHERTSemail (ok), 17-Апр-19, 14:35 
>>Проблемы будут устранены в выпусках MySQL Community Server 8.0.16, 5.7.26 и 5.6.44.

Ключевое слово - БУДУТ, т.к. пока данные релизы еще недоступны и на оф. сайте их нет, зачем писать про то, чего еще нет?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от forum reader (?), 18-Апр-19, 23:33 
Что бы ты успел предупредить семью, что папка проведет уикенд вне дома плотно занимаясь сексом .
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +1 +/
Сообщение от Аноним (15), 17-Апр-19, 17:55 
Теперь только с регистрацией и СМС? Ничего, недолго им осталось...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру