The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от opennews (ok) on 21-Окт-15, 10:21 
Компания Oracle представила (https://blogs.oracle.com/security/entry/october_2015_critica...) плановый выпуск обновлений своих продуктов, в которых в сумме устранено 154 уязвимости (http://www.oracle.com/technetwork/topics/security/cpuoct2015...).


В выпусках Java SE 8u65 и 8u66 (http://www.oracle.com/technetwork/java/javase/documentation/...) устранено 25 проблем с безопасностью, из которых 24 могут быть эксплуатированы удалённо без проведения аутентификации.  7 уязвимостям присвоен (http://www.oracle.com/technetwork/topics/security/cpuoct2015...) максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента. Все критические уязвимости отмечены как легко эксплуатируемые по сети, но проявляющиеся только на клиентских системах (запуск в браузере Java Web Start и Java-апплеты). 5 проблем, максимальная степень опасности которых 7.6, затрагивают не только клиентские, но и серверные системы.


Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:


-  28 уязвимостей (http://www.oracle.com/technetwork/topics/security/cpuoct2015...) в MySQL (максимальный уровень опасности 6.4). Проблемы устранены в сентябрьских выпусках MySQL Community Server 5.6.27 (http://dev.mysql.com/downloads/mysql/5.6.html) и 5.5.46.
-  12 уязвимостей (http://www.oracle.com/technetwork/topics/security/cpuoct2015...) в Solaris (максимальный уровень опасности 6.6), в том числе удалённо эксплуатируемая уязвимость в INETD;
-  3 уязвимости (http://www.oracle.com/technetwork/topics/security/cpuoct2015...) в VirtualBox (максимальная степень опасности 4.9, все проблемы имеют локальный характер). Уязвимости уже устранены в обновлениях  VirtualBox 5.0.8 (http://comments.gmane.org/gmane.comp.emulators.virtualbox.an...) и  4.3.32, 4.2.34, 4.1.42, 4.0.34 (http://comments.gmane.org/gmane.comp.emulators.virtualbox.an...);


URL: https://blogs.oracle.com/security/entry/october_2015_critica...
Новость: http://www.opennet.dev/opennews/art.shtml?num=43171

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +1 +/
Сообщение от vitalif (ok) on 21-Окт-15, 10:21 
Что ж оно такое решето-то? Каждый выпуск по 25 дыр
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –1 +/
Сообщение от Usaga (ok) on 21-Окт-15, 10:40 
Чем крупнее проект, тем больше в нём дырок
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +1 +/
Сообщение от vitalif email(ok) on 21-Окт-15, 13:01 
Да их даже в ядре меньше.)) неужели java прям больше ядра?))

Не, я понимаю дыры есть. Но по 25 штук в каждом выпуске, из которых 24 ещё и remote?!

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +4 +/
Сообщение от пох on 21-Окт-15, 14:46 
> Да их даже в ядре меньше.)) неужели java прям больше ядра?))

да, уже давно больше - если мерять в килобайтах исходников.
Но самое главное - гораздо сложнее. 70% кода ржавого линуксного ведра представляют собой драйвера никому нахрен не сдавшихся экзотических устройств, написанные методом cut-&paste с заменой пары строк, половина из которых давно не работает, потому что тот, кто их для себя любимого делал - давно поменял железки, а проблемы пользователя "у меня не воспроизводится".
Поскольку кернельный oops в таком драйвере обычно вообще не считают за security проблему, на них никто и внимания не обращает, кроме уж совсем вопиющих случаев, когда это оказывается драйвер tty.
А собственно ядро - штука простая, по большей части, причем эти части довольно компактны и изолированны, ревью делать легко.

> Не, я понимаю дыры есть. Но по 25 штук в каждом выпуске, из которых 24 ещё и remote?!

поскольку практически весь функционал того же mysql "remote" (ибо не-remote у нас уже есть прекрасно работающий sqlite, второй нафиг не сдался), удивляться следует скорее 25й локальной.
На деле это, чаще всего, не ужаснее oops в ненужном драйвере - в большинстве случаев удаленный доступ и так предоставлен trusted приложению, которое вполне в рамках допустимых действий над своими собственными данными может причинить гораздо больший ущерб.

Тех исключительных случаев, когда ущерб может быть нанесен без авторизации и серьезный - не настолько больше, чем, скажем, серьезных проблем в линуксном ipv6 стеке того же уровня опасности.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

16. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Fyfy on 22-Окт-15, 14:54 
"Да их даже в ядре меньше.)) неужели java прям больше ядра?))"
А кто вам сказал что ядро больше? Посмотри на WebLogic по сравнению с ним ядро маляшка.

"Не, я понимаю дыры есть. Но по 25 штук в каждом выпуске, из которых 24 ещё и remote?!"
Если бы в разработку ядра вбухивали такое же колличество бабла сколько вбухивают в Java то и в нем бы находили проблемные места с такой же скоростью, а не раз в 100500 лет.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

12. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от ДяДя on 21-Окт-15, 20:33 
А в MySQL 28.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

13. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Анончег on 21-Окт-15, 21:58 
> ... 7 уязвимостям присвоен максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы ...

Причём через семь, из двадцати пяти, вирусы и зловреды вываливаются буквально из системника на пол, пугают окружающих своим безобразным видом и беспардонно разгуливают по комнате, а вечерами сами по себе играют в танчеги.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

14. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +1 +/
Сообщение от Анончег on 21-Окт-15, 21:59 
> Причём через семь, из двадцати пяти, вирусы и зловреды вываливаются буквально из
> системника на пол, пугают окружающих своим безобразным видом и беспардонно разгуливают
> по комнате, а вечерами сами по себе играют в танчеги.

Кстати, где Изя. Срочно требуется его экспертное мнение по этой новости.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

3. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –8 +/
Сообщение от Пётр on 21-Окт-15, 12:44 
"Программисты", мля. Ещё небось и ЧСВ завышено, они же пришли к успеху, в Оракле "вкалывают". Зарплату им тоже надо начислять с ошибками.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +7 +/
Сообщение от анончег on 21-Окт-15, 13:56 
Полагаю, Ваш код не содержит ошибок... как минимум потому что Вы его не пишете.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

9. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Аноним (??) on 21-Окт-15, 19:20 
Подскажите, почему два выпуска Java предлагается скачать на сайте Oracle, а не только последний?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –1 +/
Сообщение от soarin (ok) on 21-Окт-15, 19:34 
Ну так CPU и PSU
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –2 +/
Сообщение от Аноним (??) on 21-Окт-15, 20:18 
Starting each quarter, Oracle Critical Patch Updates (CPU) will now contain both the PSU and CPU, so the DBA may choose to apply just the CPU or apply all patches in the PSU patch bundle (which includes additional fixes).

Стало яснее. Но как-то раньше не замечал сразу двух версии для скачивания. Плохо следил?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

15. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +1 +/
Сообщение от Классический анонимуз on 22-Окт-15, 05:31 
Господа, таки и не пойму, все эти баги в openjdk тоже присутствуют или только в пропиетарной оракловой jdk?

В линуксах же почти всегда openJDK/JRE используется. Но смущает то, что open выходит параллельно с оракловой. Получается что-то типа сборок chromium vs chrome?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру