The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от opennews (?), 17-Июл-19, 10:21 
Компания Oracle опубликовала (https://blogs.oracle.com/security/july-2019-critical-patch-u...) плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В июльском обновлении в сумме устранено 319 уязвимостей (https://www.oracle.com/technetwork/security-advisory/cpujul2...).


В выпусках Java SE 12.0.2, 11.0.4 и 8u221 (http://www.oracle.com/technetwork/java/javase/downloads/inde...) устранено 10 проблем с безопасностью. 9 уязвимостей могут быть эксплуатированы удалённо без проведения аутентификации. Наивысший присвоенный уровень опасности - 6.8 (уязвимость в libpng). Проблем с  высоким и критическим уровнем опасности, позволяющих неаутентифицированному пользователю по сети скомпрометировать приложения на Java SE, не выявлено.

Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

-  43 уязвимости (https://www.oracle.com/technetwork/security-advisory/cpujul2...) в MySQL (максимальный уровень опасности 9.8, свидетельствующий о критической проблеме). Наиболее опасная проблема
(CVE-2019-3822 (https://security-tracker.debian.org/tracker/CVE-2019-3822)) связана с переполнением буфера (https://curl.haxx.se/docs/CVE-2019-3822.html) в коде разбора заголовков NTLM в библиотеке libcurl, что может быть использовано для удалённой атаки на сервер MySQL неаутентифицированным пользователем. Почти все остальные проблемы проявляются только при наличии аутентифицированного доступа к СУБД.  Исключение составляет только уязвимость в Shell: Admin / InnoDB Cluster, которой присвоен уровень опасности 7.5.  Проблемы будут устранены в выпусках MySQL Community Server 8.0.17, 5.7.27 и 5.6.45 (http://dev.mysql.com/downloads/mysql/).

-  14 уязвимостей (https://www.oracle.com/technetwork/security-advisory/cpujul2...) в VirtualBox, из которых 3 имеют высокую степень опасности (CVSS Score  8.2 и 8.8). Уязвимости  устранены в обновлениях VirtualBox   6.0.10 и 5.2.32 (в примечании (https://www.virtualbox.org/wiki/Changelog) к релизу факт устранения проблем с безопасностью не афиширован). Подробности не сообщаются, но судя по уровню CVSS устранены уязвимости,  позволяющие из окружения гостевой системы выполнить код на стороне хост-системы;

-  10 уязвимости (https://www.oracle.com/technetwork/security-advisory/cpujul2...) в Solaris (максимальная степень опасности 9.1 -
связанная с IPv6 уязвимость в ядре (CVE-2019-5597),  допускающая удалённую атаку (подробности не сообщаются). Две уязвимости также имеют критический уровень опасности 8.8 - локально эксплуатируемые  проблемы в Common Desktop Environment     и  клиентских утилитах для LDAP. Из проблем с уровнем опасности выше 7 также можно отметить удалённо эксплуатируемые уязвимости в обработчиках ICMPv6 и NFS в ядре Solaris, и локальные проблемы в файловой системе и Gnuplot.


URL: https://blogs.oracle.com/security/july-2019-critical-patch-u...
Новость: https://www.opennet.ru/opennews/art.shtml?num=51107

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


2. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –2 +/
Сообщение от Аноним (2), 17-Июл-19, 11:05 
300+ уязвимостей! Жесть!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Аноним (3), 17-Июл-19, 11:10 
В этом как раз ничего удивительного, у них так всегда.
Интересно другое, что второй Critical Patch Update подозрительно мало проблем в Java и много в MySQL. В Java максималный CVSS  6.8 - это вообще рекорд за всё время, раньше было не меньше 8-9.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

13. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +4 +/
Сообщение от орацл (?), 17-Июл-19, 17:27 
жабобезопастник в этом месяце в отпуске. Наверстает в следующем.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –2 +/
Сообщение от proninyaroslavemail (ok), 17-Июл-19, 11:18 
"Надо срочно переписать всё на Rust" (c)
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Andrey Mitrofanov_N0 (??), 17-Июл-19, 11:26 
>> В Java максималный CVSS  6.8 - это вообще рекорд за всё время, раньше было не меньше 8-9.
> "Надо срочно переписать всё на Rust" (c)

%)

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Аноним (7), 17-Июл-19, 12:16 
Может и не срочно, но однозначно нужно.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от iPony129412 (?), 17-Июл-19, 11:36 
> 300+ уязвимостей! Жесть!

На сотню весьма сложных продуктов. Как-то не очень.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Аноним (8), 17-Июл-19, 13:08 
А где можно скачать билды явы подтсвободной лицензией?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +1 +/
Сообщение от Andrey Mitrofanov_N0 (??), 17-Июл-19, 13:23 
> А где можно скачать билды явы подтсвободной лицензией?

На зеркалах дебиана, федоры, убунты и... все-всех-всех.
Может, даже на suse-вском варез-буилдере есть, не знаю.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Аноним (8), 17-Июл-19, 16:31 
... для винды, то что у никсов всё в репах есть - это и так понятно.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

10. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –1 +/
Сообщение от DiabloPC (ok), 17-Июл-19, 13:30 
http://diablopc.linuxforum.ru/pub/Java/
На тебе. И JRE и JDK
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

11. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Аноним (11), 17-Июл-19, 15:40 
Тут все https://jdk.dev/download/
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

14. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +1 +/
Сообщение от anono (?), 17-Июл-19, 17:36 
https://gifs.com/gif/11-08-15-y7gJ3Z
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от ОЛЕГ (?), 17-Июл-19, 19:17 
Oracle=уязвимость!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Аноним (16), 17-Июл-19, 20:49 
при использовании C C++ нужно очень аккуратно следить за корректным выделением и освобождением памяти поэтому при росте сложности программ ничего удивительного
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Аноним (17), 18-Июл-19, 09:42 
> при использовании C C++ нужно очень аккуратно следить за корректным выделением и освобождением памяти поэтому при росте сложности программ ничего удивительного

Спасибо, сейчас запишу в блокнотик... А за обращением к ранее освобожденной памяти и за выходом за границы выделенной памяти и массивов уже следить не требуется?

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру