The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка  RSS
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от opennews (ok) on 19-Апр-17, 22:57 
Компания Oracle опубликовала (https://blogs.oracle.com/soaproactive/entry/oracle_critical_...) плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В апрельском обновлении в сумме устранено 299 уязвимостей (http://www.oracle.com/technetwork/security-advisory/cpuapr20...).  Выпуск примечателен необычно низким числом уязвимостей в Java, всплеском уязвимостей в MySQL и исправлением проблемы наивысшего уровня опасности в Solaris.

В выпуске Java SE 8u131 (http://www.oracle.com/technetwork/java/javase/downloads/inde...) устранено 8 проблем с безопасностью, 7 из которых могут быть эксплуатированы удалённо без проведения аутентификации.  Впервые за последние годы, ни одной  уязвимости не присвоен (http://www.oracle.com/technetwork/security-advisory/cpuapr20...) критический уровень опасности (CVSS Score 9 и выше). Четыре проблемы проявляются только на клиентских системах (запуск в браузере Java Web Start и Java-апплеты) и четыре затрагивают как клиентов, так и серверные конфигурации Java. Внимание, начиная с апрельского обновления прекращена поддержка MD5 для формирования цифровых подписей для JAR-файлов - все JAR-файлы с MD5 теперь считаются неподписанными.


Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

-  25 уязвимостей (http://www.oracle.com/technetwork/security-advisory/cpuapr20...) в MySQL (максимальный уровень опасности 7.7). Проблемы устранены в выпусках MySQL Community Server 5.7.18, 5.6.36 и 5.5.56 (http://dev.mysql.com/downloads/mysql/).

-  10 уязвимостей (http://www.oracle.com/technetwork/security-advisory/cpuapr20...) в Solaris (максимальный уровень опасности 10). В обновлении устранена критическая уязвимость (CVE-2017-3623) в Kernel RPC позволяющая удалённо получить контроль над системой через отправку специально оформленного RPC-запроса. Исправление касается 0-day уязвимости "Ebbisland" в Solaris, о которой стало известно после публикации (https://www.opennet.dev/opennews/art.shtml?num=46356) коллекции эксплоитов АНБ. Опубликованный эксплоит поражает  системы Solaris 10, для которых не устанавливались патчи ядра с  2012-01-26. Solaris 11 проблеме не подвержен.


Кроме того, две уязвимости устранены в RBAC (уровень опасности 8.2 и 7.9), одна в CDE (Common Desktop Environment)  и две в сетевом драйвере для Kernel Zones.

-  9 уязвимостей (http://www.oracle.com/technetwork/security-advisory/cpuapr20...) в VirtualBox (максимальная степень опасности 8.8). Уязвимости  устранены в сегодняшних обновлениях VirtualBox  5.0.38 и 5.1.20 (https://www.virtualbox.org/).

URL: https://blogs.oracle.com/soaproactive/entry/oracle_critical_...
Новость: http://www.opennet.dev/opennews/art.shtml?num=46414

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от commiethebeastie (ok) on 19-Апр-17, 22:57 
Когда CVSS 11 введут специально для оракля и адобы?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +1 +/
Сообщение от Аноним (??) on 20-Апр-17, 00:48 
> Когда CVSS 11 введут специально для оракля и адобы?

Даже этого будет мало.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –1 +/
Сообщение от Очередной аноним on 20-Апр-17, 08:52 
> Когда CVSS 11 введут специально для оракля и адобы?

А что это будет означать - программа/система будет убивать подошедшего к компу пользователя или зашедшего на консоль админа?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –1 +/
Сообщение от лютый жабист__ on 20-Апр-17, 05:27 
Что-то непонятно, уязвима только соляра, на которую пять лет не ставились патчи? Придётся по ссылкам идти...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Аноним (??) on 20-Апр-17, 08:52 
> Что-то непонятно, уязвима только соляра, на которую пять лет не ставились патчи?
> Придётся по ссылкам идти...

Там мутно описано: CVE-2017-3623 is assigned for "Ebbisland". Solaris 10 systems which have had any Kernel patch installed after, or updated via patching tools since 2012-01-26 are not impacted. Also, any Solaris 10 system installed with Solaris 10 1/13 (Solaris 10 Update 11) are not vulnerable. Solaris 11 is not impacted by this issue.

Но  если давно исправлено, то зачем тогда патч? Да ещё с небывалым CVSS 10. Создаётся впечатление, что дыра есть и очень большая, но конкретный метод атаки применим только для определённых ядер Solaris, а для других ядер нужно переписывать эксплоит.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от h31 (ok) on 20-Апр-17, 10:19 
Видимо, дыру исправили давно, а CVE только сейчас появился.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Аноним (??) on 20-Апр-17, 12:16 
https://www.theregister.co.uk/2017/04/11/solaris_shadow_brok.../
Это из утёкших эксплойтов АНБ. Уязвимы вроде как версии соляры 6–10. Но я тоже не понимаю, если в 10u11 дыра закрыта, а более старые версии уже не поддерживаются, о каком патче речь?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Аноним (??) on 20-Апр-17, 09:40 
"Ebbisland" - шикарное название. Отражает суть всего программирования.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Andrey Mitrofanov on 20-Апр-17, 14:00 
> "Ebbisland" - шикарное название. Отражает суть всего программирования.

След руских хакеров?!

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

15. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от userd (ok) on 20-Апр-17, 16:23 
Русские хакеры такие -

то в IBM проникнут -
https://en.wikipedia.org/wiki/IBM_mainframe_utility_programs...

то финнов подслушивают -
http://game-paradox.ucoz.ru/_fr/11/8332465.jpg

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

10. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –2 +/
Сообщение от Аноним (??) on 20-Апр-17, 12:16 
7 дыр, эксплуатируемых удалённо любым желающим - это "необычно низкое число"? Как они её пишут вообще? Забейте для сравнения "erlang" в поиске по CVE. Почему одни могут писать почти без дыр, а у других каждый квартал по нескольку штук в
ыявляют?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –1 +/
Сообщение от iPony on 20-Апр-17, 12:44 
Ну забей уязвимости по Pony OS. Вот как надо операционки писать.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +1 +/
Сообщение от Аноним (??) on 20-Апр-17, 14:47 
Вы совершенно верно заметили, что Java написана даже ещё хуже, чем любительская ОС.
Реально позор.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

14. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +1 +/
Сообщение от Sabakwaka (ok) on 20-Апр-17, 15:50 
Ага. 36 миллиардов установок.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

17. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +2 +/
Сообщение от Аноним (??) on 20-Апр-17, 20:29 
И всех их кто-то имеет через заботливо оставленные Ораклом дыры.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Аноним (??) on 20-Апр-17, 19:32 
Если ещё и в нинужном уязвимости будут
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

19. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от soarin (ok) on 22-Апр-17, 08:02 
Так есть же https://www.exploit-db.com/exploits/41875/
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру