The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей

19.01.2022 09:32

Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В январском обновлении в сумме устранено 497 уязвимостей.

Некоторые проблемы:

  • 17 проблем с безопасностью в Java SE. Все уязвимости могут быть эксплуатированы удалённо без проведения аутентификации и затрагивают окружения, допускающие выполнение не заслуживающего доверия кода. Проблемы имеют умеренный уровень опасности - 16 уязвимостям присвоен уровень опасности 5.3, а одной - 3.7. Проблемы затрагивают 2D-подсистему, Hotspot VM, функции сериализации, JAXP, ImageIO и различные библиотеки. Уязвимости устранены в выпусках Java SE 17.0.2, 11.0.13 и 8u311.
  • 30 уязвимостей в сервере MySQL, из которых одна может быть эксплуатирована удалённо. Наиболее серьёзным проблемам, которые связаны с использованием пакета Curl и работой оптимизатора, присвоены уровни опасности 7.5 и 7.1. Менее опасные уязвимости затрагивают оптимизатор, InnoDB, средства шифрования, DDL, хранимые процедуры, систему привилегий, репликацию, парсер, схемы данных. Проблемы устранены в выпусках MySQL Community Server 8.0.28 и 5.7.37.
  • 2 уязвимости в VirtualBox. Проблемам присвоен уровень опасности 6.5 и 3.8 (вторая уязвимость проявляется только на платформе Windows). Уязвимости устранены в обновлении VirtualBox 6.1.32.
  • 5 уязвимостей в Solaris. Проблемы затрагивают ядро, инсталлятор, файловую систему, библиотеки и подсистему отслеживания сбоев. Проблемам присвоены уровни опасности 6.5 и ниже. Уязвимости устранены в обновлении Solaris 11.4 SRU41.
  • Проведена работа по устранению уязвимостей в библиотеке Log4j 2. Всего устранено 33 уязвимости, вызванных проблемами в Log4j 2, которые проявлялись в таких продуктах, как
    • Oracle WebLogic Server,
    • Oracle WebCenter Portal,
    • Oracle Business Intelligence Enterprise Edition,
    • Oracle Communications Diameter Signaling Router,
    • Oracle Communications Interactive Session Recorder,
    • Oracle Communications Service Broker,
    • Oracle Communications Services Gatekeeper,
    • Oracle Communications WebRTC Session Controller,
    • Primavera Gateway,
    • Primavera P6 Enterprise Project Portfolio Management,
    • Primavera Unifier,
    • Instantis EnterpriseTrack,
    • Oracle Financial Services Analytical Applications Infrastructure,
    • Oracle Financial Services Model Management and Governance,
    • Oracle Managed File Transfer,
    • Oracle Retail *,
    • Siebel UI Framework,
    • Oracle Utilities Testing Accelerator.


  1. Главная ссылка к новости (https://blogs.oracle.com/secur...)
  2. OpenNews: Выпуск VirtualBox 6.1.32
  3. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
  4. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
  5. OpenNews: Компания Oracle убрала ограничение по использованию JDK в коммерческих целях
  6. OpenNews: Выпуск дистрибутива Oracle Linux 8.5
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/56538-oracle
Ключевые слова: oracle, mysql, solaris, virtualbox, java
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (50) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 09:46, 19/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    дайджест Oracle...
     
     
  • 2.5, Жироватт (ok), 09:49, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Ну что поделать, если у ораклов куча опенсорца?
     
     
  • 3.9, Корец (?), 09:52, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Половина из которого с подвохом.
     
     
  • 4.14, Жироватт (ok), 10:50, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну дык...один из крупнейших поставщиков проприентарного enterprise, mission-critical ПО, да.
    Как будто кто-то от них ожидал "чистого" опенсурса, да?
     
     
  • 5.31, Аноним (-), 13:29, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Мишшн-критикал CVE.
     
  • 4.32, Аноним (32), 14:00, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Где ты видел опенсорс без подвоха, если речь идёт о софте для буизнеса (а не всякие исследовательские, академические и прочие праздные приколы)?
     
     
  • 5.53, Аноним (-), 10:55, 22/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >Где ты видел опенсорс без подвоха

    Ну ты там от опенсорса на расте отвлекайся хоть иногда.

     

  • 1.2, Zenitur (ok), 09:47, 19/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    Solaris 11 4, там работает Vilkan, Wine SAtaging и DXVK Можно ли там запустить ... большой текст свёрнут, показать
     
     
  • 2.6, Аноним (6), 09:50, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет.
     
     
  • 3.8, Zenitur (ok), 09:51, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Нет.

    А майнкрафт там заработает, там есть ява?

     
     
  • 4.38, Урри (ok), 15:13, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Майнкрафту нужны еще нативные либы для графики и опенгл.
     
  • 2.11, Аноним (11), 09:57, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Да.
     
  • 2.13, Аноним (13), 10:28, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Какие буквы дисков и при чём тут libudev? Libudev нужен только для гейпадов. Или ты диск целиком пробрасываешь? Не стоит доверять вайну блочные устройства (да и юзеру тоже).
     
     
  • 3.17, Zenitur (ok), 11:00, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Я вот про это: https://0x0.st/ooiH.png

    Не знаю, как в Солярисе, а в openSUSE Linux вайн скомпилирован с libhal в версиях системы 9.3-11.3, а в более новых openSUSE 11.4-15.4 используется libudev.

    Причём в Devuan 11 эта вкладка у меня показывает вот это: http://0x0.st/ooiK.png

    При этом в ~/.wine/dosdevices/ создаются симлинки c: и z:. А нужный мне симлинк на смонтированный образ диска с игрой, пришлось создавать вручную.

     
  • 2.16, Аноним (16), 10:59, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +12 +/
    $ cat /dev/random
    Solaris 11.4, там работает Vilkan, Wine SAtaging и DXVK? Можно ли там запустить нативные линуксовые игры War Thunder и Vangers? Какие вообще знания нужно иметь, чтобы перейти с линукса? Какие там аналоги sudo, su, ls, cp, mv, cat, ifconfig, iptables, работает ли там hostapd и wpa_supplicant, есть ли там ntfs-3g и Paragon NTFS? Поддерживается ли exfat? Будет ли работать звук на SB Live! и Intel HDA? А миди под досбоксом (будь то программный Timidity, аппаратный emu10k или программный Munt)? Какая там звуковая система? Нет ли патентных проблем (вчера была новость, что в пул патентов в защиту Linux было добавлено очень много патентов, а что насчёт BSD и Solaris?). Как там чувствуют себя приложения CUDA и OpenCL? Можно ли скомпилировать нативного Сталкера из утёкших исходников? Можно ли смандировать образ Red Alert 2 и Heroes III в CDemu с удобным гуем, а поменять CD1 на CD2 в процессе игры? Если нет гуя, то есть ли mount -t loop? Через что вообще winecfg определяет буквы дисков, если там нет libudev, неужели ещё сидят на HAL? А есть ли там кстати GNOME2 и KDE3, вот ради них бы перешёл!^C
    $
     
  • 2.24, Аноним (32), 12:14, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Там нет ничего, что ты видел в линуксах и BSD. Вернее, кое-что есть, как отголосок времён opensolaris. Sun последнее время метался как очумелый, пытался оседлать растущий рынок x86-ых серверов, вёл себя неадекватно, приоткрыл слегка solaris для этого. Не взлетело. Далее оракел просто вернул solaris обратно в свою нишу, то есть в нишу OS для специализированных программно-железных hi-end апплайнсов. Этих апллайнсов в оракле наклепали за истекшие 10 лет и распространяют теперь среди "своих" в US. Для плебса доступно только в виде аренды инстансов в оракле клауде.
     
     
  • 3.39, Аноним (39), 15:16, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Подозреваю, что метания связаны в первую очередь с работой Мёрдока на санки
     
     
  • 4.42, Аноним (32), 16:42, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    То, что Мёрдока позвали в санки-это уже последствия метаний
     
  • 2.26, Аноним (26), 12:49, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Зумерок, ты немного опоздал с такими вопросами, сейчас это дохлая ось.
     
  • 2.45, Михрютка (ok), 23:51, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    зачем вам это?

    я бы еще понял интерес к настоящей UNIX системе, например, MacOS Monterey или там Huawei EulerOS.

    а солярис... пф.

     
  • 2.46, Михрютка (ok), 23:54, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Миша Рыцаревъ, ты?
     

  • 1.3, Жироватт (ok), 09:48, 19/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    ВОт ведь сито! А вот если бы писали на {current_buzzword_lang} - такого точно не было!
     
     
  • 2.4, Аноним (6), 09:49, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Хаскель надо изучать с начальной школы. Тогда такого бы не было.  
     
     
  • 3.7, Онаним (?), 09:50, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +6 +/
    https://ic.pics.livejournal.com/papa_karl0/67144658/3074/3074_900.jpg
     
     
  • 4.18, Аноним (18), 11:24, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Вот-вот, а то эти необрезанные потом дыры в софте пишут.  
     
     
  • 5.20, Аноним (20), 12:03, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А вот писали бы со школы на Brainfuck, и такой фигни не было бы!
     
     
  • 6.22, Аноним (22), 12:08, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да и софта бы не было (с)
     

  • 1.10, bOOster (ok), 09:57, 19/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ну вот, полюбуйтесь во что, когда нибудь превратится всеми боготворимый сегодня rust.
    Java тоже когда была нацелена и на безопасность работы с памятью и т.п.
     
     
  • 2.12, Аноним (11), 10:03, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > всеми боготворимый сегодня rust

    вот за всех не надо

     
  • 2.19, Аноним (18), 11:25, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > всеми захейтенный сегодня rust.

    так правильнее.

     
     
  • 3.29, Жироватт (ok), 13:16, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    "Демьянова уха 2019-2022 годов"
    Поправил.
     
  • 2.25, 1рандом (?), 12:22, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Да что вы прицепились к этому расту?
    Ну да, язык изначально огораживает забором наиболее популярные ошибки программистов с недостатком опыта.
    Однако понятно дело что логических ошибок на расте не избежать.
    Т.е. изначально ни один язык не гарантирует отсутствие ошибок.
     
     
  • 3.28, Жироватт (ok), 13:14, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    За неадекватное коммунити зацепились, во все голоса и языки вещающее о пришествии новой серебряной пули, почти как американские христианские секты XIX-XXIв.в. с упорством отрицающие всё, кроме восхвалений.

    Впрочем, что очень сильно напоминает яву в своё время, который тоже был этакой серебряной пулей. Ждём, когда майкрософт сделает R#, Rust.NET или R/CLI, который такой же, но другой, более управляемый и безопасный, с поддержкой всего наработанного в дотнете, с компиляцией в IL и девочками-по-вызову.

     
  • 3.30, Аноним (30), 13:25, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >Да что вы прицепились к этому расту?

    Мы-то как раз были бы рады, если бы он от нас отцепился.

     
  • 3.34, Аноним (-), 14:10, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Да что вы прицепились к этому расту?

    Дык, потому что все как обычно - Воены Антирастового Сопротивления сами же "вспоминают" о расте, затем сами засираю^W "сражаются" против нафантазированных полчищ Злобных Растоманов и затем сами же гордо объявляют об очередных успешно отбитых атаках и спасения галактики от растопастности ...

     
  • 2.33, freecoder (ok), 14:02, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    А почему он должен в это превратиться? Мысль не раскрыта.
     
     
  • 3.36, bOOster (ok), 14:26, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > А почему он должен в это превратиться? Мысль не раскрыта.

    Вот когда переживешь становление хоть одного языка программирования от "яслей" до "бизнес-гиганта" вот тогда и поговорим. А пока иди в школу книжки собирай.

     
     
  • 4.40, freecoder (ok), 15:28, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    > вот тогда и поговорим. А пока иди в школу книжки собирай.

    Твой маразм к тому времени пройдет уже точку невозврата, разговаривать будет бесполезно.

     
     
  • 5.41, bOOster (ok), 16:03, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >> вот тогда и поговорим. А пока иди в школу книжки собирай.
    > Твой маразм к тому времени пройдет уже точку невозврата, разговаривать будет бесполезно.

    Ты мал и глуп, ну и те кто с тобой минусуют. Вам невдомек что когда та-же java разрабатывалась, программисты на порядок сильнее были и готовили их гранды программирования Кнут, Вирт и т.д. опираясь на прикладную математику и т.п.
    А не курсы рекламируемые в YouTube за сколько там? 10000 руб за курс?


     
     
  • 6.43, freecoder (ok), 19:22, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я 10 лет программировал на Java и уже 5 лет на Rust. Ты ли мне будешь заливать про их сходства и отличия? И заметь, я просто сказал, что тема не раскрыта. И вместо доводов почему-то получил обсуждение своей персоны. Так кроме смутного ощущения и ненависти к другой точки зрения, есть что сказать по существу?
     
  • 2.44, лютый жабби__ (?), 19:53, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    >Java тоже когда была нацелена и на безопасность работы с памятью

    ко-ко-ко, дык дырки все в JVM, который на плюсах написана ) ждём JVM на расте, правда ещё никто даже не начал

     
  • 2.50, Аноним (50), 01:28, 20/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Уже превратился.

    Хотя такой популярности как java не получит. Потому что у жавы хоть синтаксис привычный был. А это вырвиглазное гауно никому не нада.

     

  • 1.15, Аноним (15), 10:53, 19/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > This vulnerability applies to Java deployments, typically in clients running sandboxed Java Web Start applications or sandboxed Java applets, that load and run untrusted code (e.g., code that comes from the internet) and rely on the Java sandbox for security. This vulnerability can also be exploited by using APIs in the specified Component, e.g., through a web service which supplies data to the APIs.

    По Java SE все уязвимости про апплеты, кроме первой, которая относится к node.js.

     
  • 1.21, YM2608 (?), 12:08, 19/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Подскажите пожалуйста, какую Java SE лучше всего скачать под Android Studio 3.5 ???
     
     
  • 2.23, Аноним (22), 12:11, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ставь LTS не прогадаешь т.е. 11 норм
     
     
  • 3.37, а (?), 14:29, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • +1 +/
    lts с 14 сентября 2021 так то 17
     
     
  • 4.51, Аноним (51), 07:48, 20/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Только в нём нифига не работает, а так норм.
     

  • 1.27, Аноним (27), 12:55, 19/01/2022 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Уязвимости в VBox какие-то странные: https://www.cybersecurity-help.cz/vdb/SB2022011906

    Для меня всегда главное - можно из гостя получить доступ к хосту? Нет? Ну и OK.

    // b.

     
     
  • 2.35, iPony129412 (?), 14:12, 19/01/2022 [^] [^^] [^^^] [ответить]  
  • –1 +/
    какие есть, написано же Risk: Low

    // p.

     
  • 2.52, Аноним (51), 07:49, 20/01/2022 [^] [^^] [^^^] [ответить]  
  • +/
    Так ты тот самый эксплуататор уязвимостей? Фу быть таким.  
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру