The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей

21.04.2021 08:15

Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В апрельском обновлении в сумме устранено 390 уязвимостей.

Некоторые проблемы:

  • 2 проблемы с безопасностью в Java SE. Все уязвимости могут быть эксплуатированы удалённо без проведения аутентификации. Проблемы имеют уровень опасности 5.9 и 5.3, присутствуют в библиотеках и проявляются только в окружениях, допускающих выполнение не заслуживающего доверия кода. Уязвимости устранены в выпусках Java SE 16.0.1, 11.0.11 и 8u292 . Дополнительно отмечается отключение по умолчанию протоколов TLSv1.0 и TLSv1.1 в OpenJDK.
  • 43 уязвимости в сервере MySQL, из которых 4 могут быть эксплуатированы удалённо (данным уязвимостям присвоен уровень опасности 7.5). Удалённо эксплуатируемые уязвимости проявляются при сборке с OpenSSL или MIT Kerberos. 39 локально эксплуатируемых уязвимостей вызваны ошибками в парсере, InnoDB, DML, оптимизаторе, системе репликаций, организации выполнения хранимых процедур и плагине для аудита. Проблемы устранены в выпусках MySQL Community Server 8.0.24 и 5.7.34.
  • 20 уязвимостей в VirtualBox. Три наиболее опасные проблемы имеют уровень опасности 8.1, 8.2 и 8.4. Одна из данных проблем допускает удалённую атаку через манипуляцию с протоколом RDP. Уязвимости устранены в обновлении VirtualBox 6.1.20.
  • 2 уязвимости в Solaris. Максимальная степень опасности 7.8 - локально эксплуатируемая уязвимость в CDE (Common Desktop Environment). Вторая проблема имеет уровень опасности 6.1 и проявляется в ядре. Проблемы устранены в обновлении Solaris 11.4 SRU32.


  1. Главная ссылка к новости (https://blogs.oracle.com/secur...)
  2. OpenNews: Компания Oracle выпустила ядро Unbreakable Enterprise Kernel R6U2
  3. OpenNews: Компания Oracle опубликовала инструментарий для миграции с CentOS на Oracle Linux
  4. OpenNews: Доступен дистрибутив Oracle Linux 8.3
  5. OpenNews: Удалённая root-уязвимость в Solaris
  6. OpenNews: Выпуск VirtualBox 6.1.20
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/54994-oracle
Ключевые слова: oracle, java, virtualbox, solaris
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (29) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, acroobat (ok), 08:34, 21/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ждём обновлений от Adobe?
     
     
  • 2.5, Арагорн (?), 08:45, 21/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    да вроде нет
     

  • 1.3, Аноним (3), 08:35, 21/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У них 100 уровней градаций опасности? О_О.

    А чем 7.3 от 7.2 отличаются?

     
     
  • 2.6, Аноним (6), 08:51, 21/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Это наверно CVSS "нотация" или в этом духе, хотя сходу мне не удалось найти в чем заключалось бы различие приведенного примера.
     
  • 2.10, Аноним (10), 09:15, 21/04/2021 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Рейтинг cve рассчитывается по ~25 метрикам в каждом по 2-4 значения. Смотри nvd calculator https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator
     
     
  • 3.23, Урри (ok), 18:06, 21/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    ОГО.

    Спасибо, будем образовываться.

     
  • 2.13, Dmitry (??), 11:04, 21/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Очевидно на 1/10 опасности больше ! )
     
  • 2.14, VladSh (?), 11:41, 21/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    3 > 2 по любому.
     

  • 1.4, kissmyass (?), 08:40, 21/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Интересно связаны ли CVE MySQL с MariaDB. Подвержена мария тем же проблемам или нет.
     
  • 1.7, лютый жабби__ (?), 09:04, 21/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    в дебиан до сих пор 11.0.9... всё, что нужно знать про этот заменитель oracle linux
     
     
  • 2.9, Аноним (3), 09:10, 21/04/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Возьми и сделай, в чем проблема?
     
     
  • 3.31, лютый жабби__ (?), 13:40, 23/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    >Возьми и сделай

    в оракле линукс 11.0.11 уже прилетело... debian фофаны чтоли? что за разговоры потом про серверный дистриб?

     

  • 1.12, Аноним (12), 10:19, 21/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > Solaris. Максимальная степень опасности 7.8 - локально эксплуатируемая уязвимость в CDE

    Там же гном вроде? Или можно цде как-то включить?

     
  • 1.15, Fractal (?), 12:10, 21/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Закрывайте своим сишным фаерволом с eBPF RCE
     
     
  • 2.17, Онаним (?), 14:50, 21/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Перепишешь хотя бы MySQL на хрусте - приходи.
     

  • 1.16, InuYasha (??), 12:20, 21/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Бойкотировал все продукты от этой гнилой конторы - сам доволен и другим советую. Только лучше не на Машку переходить а сразу на pgsql. И избегайте покупки их железок - себе дороже. Sun был здоровским, а это - ...
     
     
  • 2.18, Michael Shigorin (ok), 15:07, 21/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    +
     
  • 2.19, лютый жабби__ (?), 15:09, 21/04/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Бойкотировал все продукты от этой гнилой конторы - сам доволен и другим советую.

    контора гнилая, а ларри так вообще...

    Но жаба прекрасна. Oracle Linux тоже. Остальное да, хотя у них продуктов много, всё не пощупаешь )

     
     
  • 3.24, Урри (ok), 18:11, 21/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Была. С тех пор много воды утекло.
     
  • 3.27, Аноним (27), 07:44, 22/04/2021 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > контора гнилая, а ларри так вообще...

    даже не знаю как бы помягче сказать. Звучит прямо как из произведения Чехова :) Скажем так, очень далеко от уровня аргументирования и тональности принятых в ИТ

     
     
  • 4.28, лютый жабби__ (?), 09:21, 22/04/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Скажем так, очень далеко от уровня аргументирования и тональности принятых в ИТ

    надо все банальности перечислять про то, что орки сделали с жабой ЕЕ и просто жабой?

    ещё у оркосубд система лицензирования настолько шедевральная, что никто точно не знает сколько ты им должен ) в один год могут насчитать одно, на следующий год заметно больше. про неадекватность ценника молчу - идеал для распильщиков.

    Ларри, ЦРУшная шваль. В этой стране принято только ФСБшников своим именем называть?

     
  • 2.20, лютый жабби__ (?), 15:10, 21/04/2021 [^] [^^] [^^^] [ответить]  
  • –2 +/
    >а сразу на pgsql

    в 2021м году переходить на постгрес? Вы тока школу закончили?

     
     
  • 3.21, F (?), 15:54, 21/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Подскажите, что же сейчас в тренде, что изучать.
     
     
  • 4.22, turbo2001 (ok), 17:11, 21/04/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    MSSQL
    осел.jpg
     
  • 3.26, Аноним (27), 07:41, 22/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    PostgresPRO - инновативно, заместительно, патриотично.
     
     
  • 4.29, PnD (??), 14:16, 22/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Учи́тесь как надо:
    """
    DisCO расшифровывается как «Distributed Cooperative Organization» (распределенная кооперативная организация) и представляет собой феминистскую, кооперативную и ориентированную на интересы общества альтернативу широко распространенной DAO-парадигме (Decentralized Autonomous Organization — распределенная автономная организация).
    """
    Brick-face, глаза на выкате, и… Вот так!
     
  • 2.25, Аноним (27), 07:40, 22/04/2021 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Бойкотировал все продукты от этой гнилой конторы - сам доволен и другим советую

    ну вообще-то это не называется "байкотировал" :)

    А в чем "гнилость", меня как технаря интересует. Ты какие-то уникальные бенчмарки собрал, тайную коллекцию уязвимостей, живущих годами, что-то, короче такое, что делает твое мнение более ценным, чем мнение индустрии?

     
     
  • 3.30, InuYasha (??), 11:23, 23/04/2021 [^] [^^] [^^^] [ответить]  
  • +/
    Выбор технических дисциплин не освобождает от знания русского языка.
    Гнилость у их руководства в мозгах (или в сердце). Ну, например, тебе на сервер 5-летней давности надо бы поставить новую прошивку с устранением дыр, а тебе говорят: "чтобы скачать прошивку, купите поддержку за 1500$". И так - во всём.
    А вообще - я не твой персональный гугл.
     

  • 1.32, Аноним (32), 15:26, 23/04/2021 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    44 CVE у мыскля. Вот прям от души на все деньги. Но мартышки будут продолжать и дальше пихать эту перделку во все проекты.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру