Компания Oracle опубликовала (https://blogs.oracle.com/oraclesecurity/october-2017-critica...) плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В октябрьском обновлении в сумме устранено 252 уязвимости (http://www.oracle.com/technetwork/security-advisory/cpuoct20...).В выпуске Java SE 8u151 и 9.0.1 (http://www.oracle.com/technetwork/java/javase/downloads/inde...) устранено 22 проблемы с безопасностью, 20 из которых могут быть эксплуатированы удалённо без проведения аутентификации. 2 уязвимостям присвоен (http://www.oracle.com/technetwork/security-advisory/cpuoct20...) критический уровень опасности (CVSS Score 9 и выше). 12 проблем проявляются только на клиентских системах (запуск в браузере Java Web Start и Java-апплеты) и 10 затрагивают как клиентов, так и серверные конфигурации Java.
Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:
- 21 уязвимость (http://www.oracle.com/technetwork/security-advisory/cpuoct20...) в MySQL (максимальный уровень опасности 7.5). Проблемы устранены в выпусках MySQL Community Server 5.7.20, 5.6.38 и 5.5.58 (http://dev.mysql.com/downloads/mysql/).
- 5 уязвимостей (http://www.oracle.com/technetwork/security-advisory/cpuoct20...) в VirtualBox (максимальная степень опасности 7.3). Уязвимости устранены в сегодняшнем обновлении VirtualBox 5.1.30 (https://www.virtualbox.org/).
- В Solaris в нынешнем обновлении проблем (http://www.oracle.com/technetwork/security-advisory/cpuoct20...) не зафиксировано.
URL: https://blogs.oracle.com/oraclesecurity/october-2017-critica...
Новость: http://www.opennet.dev/opennews/art.shtml?num=47404
Интерсно, какой жизненный цикл проблем безопасности в жабе. Неужели никто не проверяет? В ядре по имени линух например частенько бывают дырки которым 5 лет. А тут, складывается ощущение, закрыли 22 дырки, добавили 25 дырок новых. Через неделю закрыли 25 дырок, добавили 20 новых. Жизнь бурлит, не то что...
Если почитать что пишут:http://www.oracle.com/technetwork/security-advisory/cpuoct20...
то 19 из 22 "удаленных дырок эксплуатируемых без идентификации" по факту "сам запустил браузером через Webstart чужой непроверенный код, а оно ойой моих котиков украло"
This vulnerability applies to Java deployments, typically in clients running sandboxed Java Web Start applications or sandboxed Java applets, that load and run untrusted code (e.g., code that comes from the internet) and rely on the Java sandbox for security. This vulnerability does not apply to Java deployments, typically in servers, that load and run only trusted code (e.g., code installed by an administrator).
Оставшиеся 3 все в неком "Java Advanced Management Console", хз что такое.
Безобразие, даже дырки уже не могут правильно написать, чтобы всё как у пацанов, buffer overflow там и root через алсу.
> по факту "сам запустил браузером через Webstart чужой непроверенный кода как же песни про sandbox и "жаба безопастна"?
> чтобы всё как у пацанов, buffer overflow там и root через алсу.
"по факту - сам запустил чужой непроверенный код, причем не в сэндбоксе или контейнере, а имеющий расширенные права - в том числе на доступ к /dev/midi - у веб-сервера, к примеру, такого нет, ибо нахрен не надо"
>а как же песни про sandbox и "жаба безопастна"?Всё. Теперь: "жабы стали жрать наших котегоффф!" Ну и "please uninstall before use" (C)
>а как же песни про sandbox и "жаба безопастна"?Ты из тех буратинок, которые считают, что sandbox например Хромиума тебя спасёт от ЛЮБОЙ малвари? Лично у меня и браузер крутится из под отдельного юзера в системе и JS на большинстве сайтов отключен.
Ну и вообще, как JVM может быть безопасной, если оно написано на си? ггг
Знаешь анекдот, что Чайковский был голубым, но любим мы его не за это. Так же и с жабкой...
> В октябрьском обновлении в сумме устранено 252 уязвимости.звучит как средняя температура по больнице.
Давайте такие же новости писать о обновлениях linux дистрибутивов ? Сколько сотен там фиксится при очередном обновлении?
"В Solaris в нынешнем обновлении проблем не зафиксировано!" - О, как! Здорово конечно, но есть смутные сомнения что это связано с увольнениями сотрудников по этому направлению. (
Что мертво умереть не может!
Граф Дракула удивлённо приподнимает бровь...
> Что мертво умереть не может!Зря вы так!!! 8 лет уже в банке работает, никаких нареканий. Начинали с серваков T4, сейчас Т7, только положительные эмоции у наших админов.
Linux работал бы с таким-же успехом.
> Linux работал бы с таким-же успехом.А вот на Linux не проверяли, такого опыта нет, но возможно вы правы. Но я говорил о факте работы, а не о возможностях!
(Дж)Ява перестала давненько быть для десктопа что-то. А всё - для энтерпрайза - это скучно. Makagiga - вяло развивается. gngr - сдох...
Как бы у джавы целевая ниша вовсе не десктоп. Хотя, вот, jitsi развивается.