https://www.opennet.me/openforum/vsluhforumID3/106392.html Компания Oracle представила (https://blogs.oracle.com/security/entry/january_2016_critical_patch_update) плановый выпуск обновлений своих продуктов, в которых в сумме устранено 248 уязвимостей (http://www.oracle.com/technetwork/topics/security/cpujan2016-2367955.html). <br><br><br><br>В выпусках Java SE 8u71 и 8u72 (http://www.oracle.com/technetwork/java/javase/downloads/index.html) устранено 8 проблем с безопасностью, из которых 7 могут быть эксплуатированы удалённо без проведения аутентификации. Трём уязвимостям присвоен (http://www.oracle.com/technetwork/topics/security/cpuoct2015-2367953.html#AppendixJAVA) максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента. При этом, две критические проблемы проявляются только на клиентских системах (запуск в браузере Java Web Start и Java-апплеты), а одна затрагивает как клиентов, так и серверные конфигур https://www.opennet.me/openforum/vsluhforumID3/106392.html#36 Thu, 21 Jan 2016 20:29:03 GMT Брейкинг ньюс - в том что и задорого сложно.<br> https://www.opennet.me/openforum/vsluhforumID3/106392.html#35 Thu, 21 Jan 2016 20:18:04 GMT Сарказм же :) <br>Наши могут наиндусить похуже индусов, пришлось столкнутся. В среднем по больнице - полимеры про***ны. Есть конечно же люди которые ого-го, но они давно охо-хо - в смысле пристроены и их не выдернуть. Те что доступны - шлак ... И у индусов - всё так же.<br>Короче брейкинг ньюс - трудно найти хорошего спеца задёшево! Неожиданно да? :-)<br> https://www.opennet.me/openforum/vsluhforumID3/106392.html#34 Thu, 21 Jan 2016 08:22:39 GMT &gt;Допустим высунул я в инет WildFly с предыдущей версией жабы, и всё, мне кранты? <br><br>Суйте аккуратнее, может обойдется.<br> https://www.opennet.me/openforum/vsluhforumID3/106392.html#33 Thu, 21 Jan 2016 06:03:47 GMT А зачем напрямую?!<br>Лучше за nginx'ом ;-)<br> https://www.opennet.me/openforum/vsluhforumID3/106392.html#32 Thu, 21 Jan 2016 02:07:55 GMT Господа, кто в теме, подскажите. Допустим высунул я в инет WildFly с предыдущей версией жабы, и всё, мне кранты? Или все эти тонны секурити-дырок не эксплуатируются в таком контексте?<br> https://www.opennet.me/openforum/vsluhforumID3/106392.html#31 Thu, 21 Jan 2016 00:39:15 GMT Именно. Какой бизнес оплатит ревью (лишнее время), тест ковераж (утраивает работу), аудит (еще сложней чем написать) и прочие вылизывания? Может быть кроме самых ключевых инфраструктурных систем. Только космические агентсва могут себе такое позволить, и то потом приходится перезаливать ПО в зависший спутник/марсоход.<br> https://www.opennet.me/openforum/vsluhforumID3/106392.html#30 Wed, 20 Jan 2016 21:59:27 GMT Пробовали. К сожалению, забор работал на MySQL, поэтому запись не сохранилась.<br> https://www.opennet.me/openforum/vsluhforumID3/106392.html#29 Wed, 20 Jan 2016 21:42:29 GMT Не "переполнение буфера", а установка флага CF.<br>Не "ещё одно", а уже и 8 достаточно.<br> https://www.opennet.me/openforum/vsluhforumID3/106392.html#28 Wed, 20 Jan 2016 21:41:17 GMT Писать ПО без ошибок - это не проблема.<br>Проблема - найти того кто согласится оплатить стоимость такого ПО, которая возрастает на порядки.<br>