forum.opennet.ru

Составление сообщения

Исходное сообщение

"Обновление Java SE (7u80, 8u45), MySQL и других продуктов Or..."
Отправлено opennews, 15-Апр-15 09:40

Компания Oracle представила (https://blogs.oracle.com/security/entry/april_2015_critical_...) плановый выпуск обновлений своих продуктов с устранением уязвимостей. В выпусках Java SE 8u45 и 7u79/80 (http://www.oracle.com/technetwork/java/javase/downloads/inde...) (номер версии присвоен в соответствии с новой схемой нумерации выпусков) устранено 14 проблем с безопасностью (http://www.oracle.com/technetwork/topics/security/cpuapr2015...). Выпуск Java SE 7u79 вышел одновременно с 7u80 и отличается не только устранением уязвимостей, но и исправлением ошибок, не связанных с безопасностью. Примечательно, что это последние публично доступные обновления для ветки Java SE 7, пользователям рекомендуется перейти на Java 8 или оформить расширенную поддержку.

Все 14 уязвимостей в Java могут быть эксплуатированы удалённо без проведения аутентификации. 3 уязвимостям (CVE-2015-0469, CVE-2015-0459, CVE-2015-0491) присвоен максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента. 2 проблемам присвоен уровень 9.3, который подразумевает возможность успешной атаки на клиентские системы, но сложность эксплуатации оценивается как средняя. 3 проблемы, максимальная степень опасности которых 5.0, затрагивают не только клиентские, но и серверные системы.

Из не связанных с уязвимостями изменений (http://www.oracle.com/technetwork/java/javase/8u45-relnotes-...) можно отметить прекращение возможности использования внутри jar-файлов полных путей (путей, начинающихся с "/") и косвенных переходов (".." в пути). При необходимости использования подобных путей следует явно указывать опцию "-P".

Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе сообщается о 5 уязвимостях (http://www.oracle.com/technetwork/topics/security/cpuapr2015...) в Solaris (для локальных проблем с ZFS и с командами аккунтинга указана степень опасности 7.2, уязвимости в Kernel IDMap присвоен уровень 7.1, но она может быть эксплуатирована по сети), 2 уязвимостях (http://www.oracle.com/technetwork/topics/security/cpuapr2015...) в VirtualBox (максимальная степень опасности 4.3) и 24 уязвимостях (http://www.oracle.com/technetwork/topics/security/cpuapr2015...) в MySQL (максимальная степень опасности 5.7). Уязвимости уже молча исправлены в на днях опубликованных обновлениях (http://blog.gmane.org/gmane.comp.db.mysql.announce) MySQL Community Server.
URL: https://blogs.oracle.com/security/entry/april_2015_critical_...
Новость: https://www.opennet.ru/opennews/art.shtml?num=42041

Исходное сообщение
"Обновление Java SE (7u80, 8u45), MySQL и других продуктов Or..." Отправлено opennews, 15-Апр-15 09:40
Компания Oracle представила (https://blogs.oracle.com/security/entry/april_2015_critical_...) плановый выпуск обновлений своих продуктов с устранением уязвимостей. В выпусках Java SE 8u45 и 7u79/80 (http://www.oracle.com/technetwork/java/javase/downloads/inde...) (номер версии присвоен в соответствии с новой схемой нумерации выпусков) устранено 14 проблем с безопасностью (http://www.oracle.com/technetwork/topics/security/cpuapr2015...). Выпуск Java SE 7u79 вышел одновременно с 7u80 и отличается не только устранением уязвимостей, но и исправлением ошибок, не связанных с безопасностью. Примечательно, что это последние публично доступные обновления для ветки Java SE 7, пользователям рекомендуется перейти на Java 8 или оформить расширенную поддержку. Все 14 уязвимостей в Java могут быть эксплуатированы удалённо без проведения аутентификации. 3 уязвимостям (CVE-2015-0469, CVE-2015-0459, CVE-2015-0491) присвоен максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента. 2 проблемам присвоен уровень 9.3, который подразумевает возможность успешной атаки на клиентские системы, но сложность эксплуатации оценивается как средняя. 3 проблемы, максимальная степень опасности которых 5.0, затрагивают не только клиентские, но и серверные системы. Из не связанных с уязвимостями изменений (http://www.oracle.com/technetwork/java/javase/8u45-relnotes-...) можно отметить прекращение возможности использования внутри jar-файлов полных путей (путей, начинающихся с "/") и косвенных переходов (".." в пути). При необходимости использования подобных путей следует явно указывать опцию "-P". Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе сообщается о 5 уязвимостях (http://www.oracle.com/technetwork/topics/security/cpuapr2015...) в Solaris (для локальных проблем с ZFS и с командами аккунтинга указана степень опасности 7.2, уязвимости в Kernel IDMap присвоен уровень 7.1, но она может быть эксплуатирована по сети), 2 уязвимостях (http://www.oracle.com/technetwork/topics/security/cpuapr2015...) в VirtualBox (максимальная степень опасности 4.3) и 24 уязвимостях (http://www.oracle.com/technetwork/topics/security/cpuapr2015...) в MySQL (максимальная степень опасности 5.7). Уязвимости уже молча исправлены в на днях опубликованных обновлениях (http://blog.gmane.org/gmane.comp.db.mysql.announce) MySQL Community Server. URL: https://blogs.oracle.com/security/entry/april_2015_critical_... Новость: https://www.opennet.ru/opennews/art.shtml?num=42041

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Компания Oracle представила (https://blogs.oracle.com/security/entry/april_2015_critical_patch_update) 
> плановый выпуск обновлений своих продуктов с устранением уязвимостей. В выпусках Java 
> SE 8u45 и 7u79/80 (http://www.oracle.com/technetwork/java/javase/downloads/index.html) 
> (номер версии присвоен в соответствии с новой схемой нумерации выпусков) устранено 
> 14 проблем с безопасностью (http://www.oracle.com/technetwork/topics/security/cpuapr2015-2365600.html#AppendixJAVA). 
>  Выпуск Java SE 7u79 вышел одновременно с 7u80 и отличается 
> не только устранением уязвимостей, но и исправлением ошибок, не связанных с 
> безопасностью. Примечательно, что это последние  публично доступные обновления для ветки 
>  Java SE 7, пользователям рекомендуется перейти на Java 8 или 
> оформить расширенную поддержку.

> Все 14 уязвимостей в Java могут быть эксплуатированы удалённо без проведения аутентификации. 
> 3 уязвимостям (CVE-2015-0469, CVE-2015-0459, CVE-2015-0491) присвоен максимальный уровень 
> опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного 
> окружения виртуальной машины и инициирования выполнения кода в системе при обработке 
> специально оформленного контента. 2 проблемам присвоен уровень 9.3, который подразумевает 
> возможность успешной атаки на клиентские системы, но сложность эксплуатации оценивается 
> как средняя. 3 проблемы, максимальная степень опасности которых 5.0, затрагивают не 
> только клиентские, но и серверные системы.

> Из не связанных с уязвимостями изменений (http://www.oracle.com/technetwork/java/javase/8u45-relnotes-2494160.html) 
> можно отметить прекращение возможности использования внутри jar-файлов полных путей (путей, 
> начинающихся с "/") и косвенных переходов (".." в пути). При необходимости 
> использования подобных путей следует явно указывать опцию "-P".

> Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах 
> Oracle, в том числе сообщается о 5 уязвимостях (http://www.oracle.com/technetwork/topics/security/cpuapr2015-2365600.html#AppendixSUNS) 
> в Solaris (для локальных проблем с ZFS и с командами аккунтинга 
> указана степень опасности 7.2, уязвимости в Kernel IDMap присвоен уровень 7.1, 
> но она может быть эксплуатирована по сети), 2 уязвимостях (http://www.oracle.com/technetwork/topics/security/cpuapr2015-2365600.html#AppendixSUNS) 
> в VirtualBox (максимальная степень опасности 4.3) и 24 уязвимостях (http://www.oracle.com/technetwork/topics/security/cpuapr2015-2365600.html#AppendixMSQL) 
> в MySQL (максимальная степень опасности 5.7).  Уязвимости уже молча исправлены 
> в на днях опубликованных обновлениях (http://blog.gmane.org/gmane.comp.db.mysql.announce) 
>  MySQL Community Server.

> URL: https://blogs.oracle.com/security/entry/april_2015_critical_patch_update 
 
> Новость: https://www.opennet.ru/opennews/art.shtml?num=42041

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру