The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей

20.07.2016 09:49

Компания Oracle представила плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В июльском обновлении в сумме устранено 276 уязвимостей.

В выпусках Java SE 8u101 и 8u102 устранено 13 проблем с безопасностью, которые могут быть эксплуатированы удалённо без проведения аутентификации. Четырём уязвимостям присвоен уровень опасности (CVSS Score) больше 9. Десять проблем проявляются только на клиентских системах (запуск в браузере Java Web Start и Java-апплеты), а три затрагивают как клиентов, так и серверные конфигурации Java. Выпуск Java SE 8u102 вышел одновременно с 8u101 и отличается не только устранением уязвимостей, но и исправлением ошибок, не связанных с безопасностью.

Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

  • 22 уязвимости в MySQL (максимальный уровень опасности 8.1). Проблемы устранены в выпусках MySQL Community Server 5.7.12, 5.6.30 и 5.5.49.
  • 7 уязвимостей в Solaris (максимальный уровень опасности 6.5). Уязвимости устранены в ядре, системе верифицированной загрузки и контейнерах Kernel Zones;
  • 2 уязвимости в VirtualBox (максимальная степень опасности 5.9), которые связаны с реализацией SSL/TLS и могут эксплуатироваться удалённо. Уязвимости устранены в обновлении VirtualBox 5.0.26.


  1. Главная ссылка к новости (https://blogs.oracle.com/secur...)
  2. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением 136 уязвимостей
  3. OpenNews: Oracle прекратит поставку браузерного Java-плагина
  4. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением 248 уязвимостей
  5. OpenNews: Компания Oracle объявила о доступности ядра Unbreakable Enterprise Kernel 4
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: oracle, java
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (39) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Лютый жабист_ (?), 10:31, 20/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    "В выпусках Java SE 8u101 и 8u102 устранено 13 проблем с безопасностью, которые могут быть эксплуатированы удалённо без проведения аутентификации"

    Блин, кто бы объяснил без стёба... допустим есть web-сервер undertow. И теперь через него любого качества приложение можно иметь во все щели, т.к. "13 проблем с безопасностью, которые могут быть эксплуатированы удалённо без проведения аутентификации"?! Ну не верится, ошибки в JVM же где-то в глубине, как это на 3-7 уровнях OSI то можно использовать?

    А если не можно, то как на JVM осуществлять атаки "удалённо без проведения аутентификации"?!

     
     
  • 2.4, Аноним (-), 12:09, 20/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Рискну предположить:
    Известно, что программа состоит из: сегмент кода, сегмент данных. Код это инструкции для процессора, по сути код ассемблера (или инструкции smali для JVM в случае Java).

    1. Классическая ошибка - это отсутствие проверки на длину массива. После определённого количества элементов (индекса) все данные считаются кодом и выполняются.
    2. Ещё одна классическая ошибка - это парсинг данных, как в старых PHP сайтах (уже вымершая для сайтов благодаря подготовленным процедурам уязвимость). Где после определённого экранирующего символа все данные отправленные пользователем (массив или строка) в запросе считают кодом и выполняются.
    3. Ну и совсем уж обычные глупые ошибки. Когда например отправил 100 раз запрос, а на 101 тебе открылась админка. Просто ошибка. Как в heartbleed, когда внезапно пароли передавались: https://ru.wikipedia.org/wiki/Heartbleed
    4. Можно ещё выделить в отдельную категорию аппаратные ошибки. Как например недавняя, где после определённого количества обращений к ячейке RAM памяти соседние меняли значения. От них спасает рандомизация запросов.

     
  • 2.19, Нанобот (ok), 18:10, 20/07/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Отставить панику. Для того, чтобы иметь во все щели твоё приложение, оно, как минимум, должно использовать уязвимые классы. Плюс, могут быть дополнительные ограничения
     

  • 1.2, кто (?), 10:41, 20/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    >плановый выпуск
    >Critical Patch Update
     
     
  • 2.3, Andrey Mitrofanov (?), 10:46, 20/07/2016 [^] [^^] [^^^] [ответить]  
  • –3 +/
    >>плановый выпуск
    >>Critical Patch Update

    И ч-чё? Оракел победившего социализма. Всем обновить свои уязвимости.

     
  • 2.28, Вареник (?), 01:45, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    То что у любителе стало бы "Critical Patch Update", то у профессионалов - ждет до "планового выпуска".
     

  • 1.5, iZEN (ok), 13:03, 20/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –8 +/
    Дырявость JVM обусловлена применённым языком программирования C++ с элементами на C. Сколько лет можно ловить одни те же ошибки в разных местах, обусловленные несовершенством инструмента? Почему бы не взяться за переписывание виртуальной машины на языке Go или Rust? Почему бы сразу не был применён язык Modula3?
    Это говорит о том, что на ранних стадиях отказа от применения C в силу его сложноси и изобретения Java как более простой версии, была совершена колоссальная системная ошибка - взят C++ в качестве основного языка программирования.
     
     
  • 2.6, Потёртый (?), 14:06, 20/07/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ну да, ну да... Во всём виноваты не индусы, а чёртов Страуструп.
     
     
  • 3.39, ram_scan (?), 19:16, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну да, ну да... Во всём виноваты не индусы, а чёртов Страуструп.

    Если ошибка может быть сделана она будет сделана. А си хоть с крестами хоть без поощряет плохое написание кода, прикрывая это наличием фич в духе "смотрите пацаны как я могу". И это легаси до последнего стандарта протащили и костылями обвешали.

     
  • 2.7, Аноним (-), 14:24, 20/07/2016 [^] [^^] [^^^] [ответить]  
  • +13 +/
    Вы зря говорите на языке, на котором можно сказать много глупостей. Язык для речи следует выбирать такой, на котором невозможно сказать ничего неправильного. Ведь такой язык - признак ума. Если человек не способен такой язык изучить, то он наверняка идиот и говорить с ним не о чем.
    Камрад Оруелл как-то вводил понятие ньюспика - языка, на котором нельзя сказать неправильных вещей. Но его, видимо, в серьёз не восприняли и язык так и не разработали, оставив его лишь элементом художественной литературы.
     
     
  • 3.13, Аноним (-), 15:41, 20/07/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Шкраб, сельпо, соцреализм?
     
     
  • 4.29, Вареник (?), 01:47, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Шкраб, сельпо, соцреализм?

    Именно! ЗК, СИЗО, СССР, ВКЛСМ, ЗПТ, ТЧК.

     
  • 3.14, Andrey Mitrofanov (?), 15:59, 20/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Камрад Оруелл как-то вводил понятие ньюспика - языка, на котором нельзя сказать
    > неправильных вещей. Но его, видимо, в серьёз не восприняли и язык
    > так и не разработали, оставив его лишь элементом художественной литературы.

    Да, норм. всё с новоязом. Маркотоиды регулярно промывают мОзги потреб-ям.

    Просто они из оруэла сделали правильный вывод: чтоб нелзя было сказать, им не надо, им надь, чтоб цель думала и делала, чего им надо.

    "Десяточка стала ещё лучче", "мйакросоувт самый большой друхх опенсурса". Регулярно в Новосях опенета.

     
  • 2.8, Анонимус2 (?), 14:28, 20/07/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Вообще-то большая часть багов - в стандартной библиотеке, написанной на java, а не в jvm, написанной на c++
     
     
  • 3.35, _ (??), 17:14, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да всё еще проще. На крестах можно написать жывыЭм, хоть и с багами. А вот на самой жабе - хренушки! :-))) Это всё что вам надо знать о Жабе! :)
     
     
  • 4.41, iZEN (ok), 20:27, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Да всё еще проще. На крестах можно написать жывыЭм, хоть и с
    > багами. А вот на самой жабе - хренушки! :-))) Это всё
    > что вам надо знать о Жабе! :)

    JVM на Java — Jikes RVM.


     
     
  • 5.43, Andrey Mitrofanov (?), 12:05, 22/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Да всё еще проще. На крестах можно написать жывыЭм, хоть и с
    >> багами. А вот на самой жабе - хренушки! :-))) Это всё
    >> что вам надо знать о Жабе! :)
    > JVM на Java — Jikes RVM.

    Ты когда писал, за пару суток до того: "Почему бы не взяться за переписывание виртуальной машины на языке Go или Rust? Почему бы сразу не был применён язык Modula3?" - про неё не знал? Или ты теперь го/раст больше чем джавву "любишь"? Или чего-то жизненно важного не хватает в?  Неужели еже-месячных обновлений?!

    Теряюсь в догадках. Очень сложная Технология эта ваша напиши-везде. Непонятна-а-ая!

     
  • 4.42, 1 (??), 11:19, 22/07/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Есть же питон на питоне (на самом деле ограниченном компилируемом подмножестве), почему нельзя выделить такое подмножество в Java и написать на нем JVM?
     
  • 2.20, Нанобот (ok), 19:04, 20/07/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    из четырёх самых критичных багов три в java-классах (CVE-2016-3587, CVE-2016-3598, CVE-2016-3610), и только один  - в .cpp-файле (CVE-2016-3606).
    остальные баги мне смотреть лень, думаю, там расклад где-то такой-же.
    Соответственно, замена С на неС не сильно бы помогла
     
     
  • 3.24, iZEN (ok), 19:23, 20/07/2016 [^] [^^] [^^^] [ответить]  
  • –3 +/
    http://www.oracle.com/technetwork/security-advisory/cpujul2016-2881720.html#A

    CVE-2016-3587, CVE-2016-3606, CVE-2016-3550 - Hotspot (C++)
    CVE-2016-3598, CVE-2016-3610 - Libraries (.so, .DLL)

    CVE-2016-3552, CVE-2016-3503 - Install
    CVE-2016-3511 - Deployment
    CVE-2016-3498 - JavaFX
    CVE-2016-3500, CVE-2016-3508 - JAXP
    CVE-2016-3458 - CORBA
    CVE-2016-3485 - Networking

     
     
  • 4.33, Нанобот (ok), 11:50, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    вот тебе патч на CVE-2016-3587: http://hg.openjdk.java.net/jdk8u/jdk8u/jdk/rev/c387bd2fb7db
    найди там С++, иксперд
     
     
  • 5.40, iZEN (ok), 20:22, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > вот тебе патч на CVE-2016-3587: http://hg.openjdk.java.net/jdk8u/jdk8u/jdk/rev/c387bd2fb7db
    > найди там С++, иксперд

    Откуда следует что это патч на CVE-2016-3587, а не на другую ошибку?

     
     
  • 6.44, Нанобот (ok), 13:02, 22/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >> вот тебе патч на CVE-2016-3587: http://hg.openjdk.java.net/jdk8u/jdk8u/jdk/rev/c387bd2fb7db
    >> найди там С++, иксперд
    > Откуда следует что это патч на CVE-2016-3587, а не на другую ошибку?

    я это тут нашёл: https://bugzilla.redhat.com/show_bug.cgi?id=1356987
    а вообще, гуглится ж элементарно...

     
  • 2.30, Вареник (?), 01:51, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Дырявость JVM обусловлена применённым языком программирования C++ с элементами на C. Сколько  лет можно ловить одни те же ошибки в разных местах, обусловленные
    > несовершенством инструмента?

    Java же и так "безопасная", ибо "VM". Смотрим раннюю рекламу и наслаждаемся.
    Вывести на рынок тормозящую в 2 раза VM, объясняя это тем что она написана на хрусте? Объясните это своему продавану.

     
     
  • 3.37, _ (??), 17:16, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Да тут какрах проблем нет. Девиз экономики 21-го века - чем хуже, тем лучше!
     

  • 1.9, Володя (??), 15:20, 20/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я уже заколебался обновлять MySQL! Может стоит мигрировать на PostgreSQL?
     
     
  • 2.10, z (??), 15:25, 20/07/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Лучше мигрируй на Win98SE: не обновляется уже 15 лет, вот где качество и штабильность!
     
     
  • 3.12, Володя (??), 15:29, 20/07/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну уж нет, увольте. Останусь на MySQL, не буду ничего менять.
     
     
  • 4.22, Led (ok), 19:11, 20/07/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Ну уж нет, увольте. Останусь на MySQL, не буду ничего менять

    ... пока школу не закончу.


     
  • 3.15, Andrey Mitrofanov (?), 16:01, 20/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Лучше мигрируй на Win98SE: не обновляется уже 15 лет, вот где качество
    > и штабильность!

    О, точн. MS-DOS 7.1. 30 лет на Рынке.

     
  • 2.11, й (?), 15:27, 20/07/2016 [^] [^^] [^^^] [ответить]  
  • –3 +/
    узнать про крон не предлагать?
     
  • 2.17, Kodir (ok), 16:50, 20/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Я бы давно перешёл. Постгрес сейчас "на волне", возможности оч вкусные, сам стабилен. По кр. мере между Мускуль и Постгрес я б выбрал последний.
     
     
  • 3.23, Led (ok), 19:13, 20/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Я бы давно перешёл. Постгрес сейчас "на волне", возможности оч вкусные, сам
    > стабилен. По кр. мере между Мускуль и Постгрес я б выбрал
    > последний.

    Да кто ж рабам разрешит выбирать?

     
     
  • 4.31, Вареник (?), 01:53, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Да кто ж рабам разрешит выбирать?

    Грамотный рабовладелец всегда учитывает психологический комфорт для рабов.
    В конечном итоге это удешевляет их содержание - меньше затраты на охрану, меньше риск бунта.

     
  • 2.21, Нанобот (ok), 19:07, 20/07/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Я уже заколебался обновлять MySQL! Может стоит мигрировать на PostgreSQL?

    бери Microsoft SQL Server 2016 Enterprise, не прогадаешь!

     

  • 1.26, bob (??), 20:20, 20/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    надеюсь джава в скором времени исчезнит с компов как и флеш
     
     
  • 2.32, Вареник (?), 01:57, 21/07/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > надеюсь джава в скором времени исчезнит с компов как и флеш

    Давайте перепишем мавен репо на руби. Или хрусте. А еще лучше на ассемблере.
    На выходе будет то же самое, зато можно триллион баксов освоить, лет за 15. Миллион рабочих мест занять и наполнить очередным смыслом.

     

  • 1.27, dimcha (??), 22:14, 20/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    А форков эти уязвимости касаются? Например для MariaDB?
     
  • 1.45, iZEN (ok), 11:32, 31/07/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Наконец портировали на FreeBSD:
    openjdk8-8.92.14_3                 <   needs updating (index has 8.102.14)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру