The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В Java SE 7 Update 11 выявлены две новые уязвимости"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В Java SE 7 Update 11 выявлены две новые уязвимости"  +/
Сообщение от opennews on 18-Янв-13, 23:38 
Адам Говдяк (Adam Gowdiak), известный польский исследователь безопасности, выявивший (http://www.opennet.dev/opennews/art.shtml?num=34696) летом серию (http://www.opennet.dev/opennews/art.shtml?num=34714) нашумевших уязвимостей в Java SE, сообщил (http://seclists.org/fulldisclosure/2013/Jan/142) об обнаружении двух новых  уязвимостей в Java SE 7 Update 11. В компанию Oracle отправлена информация о выявленных проблемах и прототип рабочего эксплоита.


Интересно, что уязвимости были выявлены с чистого листа - после появления в сети сведений (http://www.opennet.dev/opennews/art.shtml?num=35854) о наличии нового 0-day эксплоита, поражающего Java SE 7 Update 11, Адам решил не ждать появления конкретных данных о методе работы эксплоита, а попытаться найти новые проблемы - и это ему сразу удалось. Кроме того, в Java остаётся (https://threatpost.com/en_us/blogs/latest-java-update-broken...) не до конца исправленной проблема с MBeanInstantiator для которой можно найти способ атаки. В своём исследовании Адам  решил не идти лёгким путём и нашёл две принципиально иные уязвимости, не связанные с MBeanInstantiator.

URL: http://seclists.org/fulldisclosure/2013/Jan/142
Новость: http://www.opennet.dev/opennews/art.shtml?num=35873

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В Java SE 7 Update 11 выявлены две новые уязвимости"  +22 +/
Сообщение от ааноним on 18-Янв-13, 23:38 
Oracle, прекрати, это уже не смешно...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "В Java SE 7 Update 11 выявлены две новые уязвимости"  +/
Сообщение от Int on 19-Янв-13, 10:26 
Было бы чего прекращать.
Oracle никогда расторопностью не отличались.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "В Java SE 7 Update 11 выявлены две новые уязвимости"  +12 +/
Сообщение от Аноним (??) on 18-Янв-13, 23:43 
Oracle по своей дурости убивает Java. Спрашивается, зачем столько миллиардов за Sun платил.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "В Java SE 7 Update 11 выявлены две новые уязвимости"  +2 +/
Сообщение от Аноним (??) on 18-Янв-13, 23:48 
может они партнерствуют с мс?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

20. "В Java SE 7 Update 11 выявлены две новые уязвимости"  +/
Сообщение от Аноним (??) on 19-Янв-13, 10:53 
Так у тех дырок в дотнете не меньше.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

11. "В Java SE 7 Update 11 выявлены две новые уязвимости"  +/
Сообщение от Аноним (??) on 19-Янв-13, 02:20 
> зачем столько миллиардов за Sun платил.

Чтобы не достались конкуренту HP и пр.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

12. "В Java SE 7 Update 11 выявлены две новые уязвимости"  –2 +/
Сообщение от Аноним (??) on 19-Янв-13, 02:21 
>> зачем столько миллиардов за Sun платил.
> Чтобы не достались конкуренту HP и пр.

Особенно IBM с ихней DB2.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

24. "В Java SE 7 Update 11 выявлены две новые уязвимости"  +/
Сообщение от Пингвино (ok) on 19-Янв-13, 15:55 
Вы о чём? Это просто новое соревнование в рамках специальной олимпиады разработчиков, возьмите любой ЯП/фреймворк и начните его изучать - найдётся и не такое.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

29. "В Java SE 7 Update 11 выявлены две новые уязвимости"  +1 +/
Сообщение от all_glory_to_the_hypnotoad (ok) on 19-Янв-13, 19:42 
не найдётся. Далеко не любой ЯП включет в себя мегакомбайн из кучи ненужных батареек.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

30. "В Java SE 7 Update 11 выявлены две новые уязвимости"  +/
Сообщение от Пингвино (ok) on 19-Янв-13, 19:52 
> не найдётся. Далеко не любой ЯП включет в себя мегакомбайн из кучи
> ненужных батареек.

Конечно в брэйнфаке вероятно и не найдётся, но это не относится к языкам и фреймворкам, которые используются для чего-то сложнее, чем "Hello, world!". В них всегда были, есть и будут уязвимости и ошибки.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

32. "В Java SE 7 Update 11 выявлены две новые уязвимости"  +/
Сообщение от Аноним (??) on 19-Янв-13, 23:44 
> Oracle по своей дурости убивает Java.

Надо полагать, оракл, чтобы "убивать жаву", специально нанял пару разработчиков, которые добавляют в неё уязвимости.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "В Java SE 7 Update 11 выявлены две новые уязвимости"  +16 +/
Сообщение от Аноним (??) on 19-Янв-13, 00:06 
Just Another Vunerability Application framework
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "В Java SE 7 Update 11 выявлены две новые уязвимости"  +/
Сообщение от Аноним (??) on 19-Янв-13, 01:19 
You nailed it *thumbs up*
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "В Java SE 7 Update 11 выявлены две новые уязвимости"  +/
Сообщение от ОнанВарвар email on 19-Янв-13, 00:25 
И это только те что обнаружили...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "В Java SE 7 Update 11 выявлены две новые уязвимости"  +5 +/
Сообщение от arisu (ok) on 19-Янв-13, 01:35 
энтерпрайз, однако. надёжность и стабильность.

стабильность вижу: уязвимости стабильно на месте, пусть и разные.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "В Java SE 7 Update 11 выявлены две новые уязвимости"  +/
Сообщение от Sw00p aka Jerom on 19-Янв-13, 01:42 
не оракл виноват во всём этом, а сан ))
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "В Java SE 7 Update 11 выявлены две новые уязвимости"  +1 +/
Сообщение от Dorif11 on 19-Янв-13, 02:19 
Седьмую явку уже Оракл допиливал. Так что отвечать Ораклу.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

19. "В Java SE 7 Update 11 выявлены две новые уязвимости"  +/
Сообщение от arisu (ok) on 19-Янв-13, 10:44 
так оракель и отвечает. несложной формулой. «не видишь? джинн занят. мы кушаем!» ~(ц)
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "В Java SE 7 Update 11 выявлены две новые уязвимости"  +/
Сообщение от Atterratio (ok) on 19-Янв-13, 03:53 
Самое обидной в этом, то что OpenJDK скорей всего тоже имеет эти уязвимости, и затыкать их раньше чем в яве от Оракла опять не будут. Мотивируя тем, что "на основе анализа наложенных патчей можно разработать методы атаки на эти уязвимости".
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "В Java SE 7 Update 11 выявлены две новые уязвимости"  –2 +/
Сообщение от arisu (ok) on 19-Янв-13, 10:43 
жабоиды должны страдать.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

22. "В Java SE 7 Update 11 выявлены две новые уязвимости"  +/
Сообщение от VoDA (ok) on 19-Янв-13, 12:59 
> жабоиды должны страдать.

Жабоидам пофиг - Java применяется в интранете и очень редко в Инете =)

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

23. "В Java SE 7 Update 11 выявлены две новые уязвимости"  +1 +/
Сообщение от arisu (ok) on 19-Янв-13, 13:00 
это не мешает им страдать же.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

33. "В Java SE 7 Update 11 выявлены две новые уязвимости"  +/
Сообщение от Аноним (??) on 19-Янв-13, 23:45 
> это не мешает им страдать же.

Срадать? Не, не видел.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

26. "В Java SE 7 Update 11 выявлены две новые уязвимости"  +/
Сообщение от ТруВей on 19-Янв-13, 19:16 
Да кому этот укоцаный OpenJDK нужен? Разве что домашним хомячкам, которым он нужен с целью "лишь бы был"?
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

31. "В Java SE 7 Update 11 выявлены две новые уязвимости"  +/
Сообщение от iZEN (ok) on 19-Янв-13, 22:08 
> Да кому этот укоцаный OpenJDK нужен?

На OpenJDK7 неплохо работают jEdit (лучший редактор с подсветкой синтаксиса языков), RSSOwl (лучший агрегатор новостных лент), Eclipse (лучшая IDE, на C++ до сих пор не написали такого же функционала) и много других десктопных и серверных программ.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

14. "В Java SE 7 Update 11 выявлены две новые уязвимости"  –2 +/
Сообщение от анони on 19-Янв-13, 08:17 
В .Net тоже полно дыр. Предполагалось. чтт виртуальная машина будет их лишена. Да только она сама написана на C/C++:)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "В Java SE 7 Update 11 выявлены две новые уязвимости"  +/
Сообщение от некто on 19-Янв-13, 08:47 
все на pypy over colinux over windows over wmvare over host linux over xen over javascript over chromium over ... INFINITY LOOP

Пока доберется до корня ЛЮБОЙ устанет. ж)

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

17. "В Java SE 7 Update 11 выявлены две новые уязвимости"  +1 +/
Сообщение от arisu (ok) on 19-Янв-13, 10:43 
к счастью, до корня и не надо. достаточно пробить любой из, и оттуда спокойно уже рассылать спам.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

21. "В Java SE 7 Update 11 выявлены две новые уязвимости"  +/
Сообщение от Аноним (??) on 19-Янв-13, 11:01 
> Пока доберется до корня ЛЮБОЙ устанет. ж)

Думаешь, оно им надо? Большая часть сракеров хочет использовать ресурсы нашару, не более :)

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

34. "В Java SE 7 Update 11 выявлены две новые уязвимости"  +/
Сообщение от t28 on 20-Янв-13, 01:31 
> все на pypy over colinux over windows over wmvare over host linux

Ой, как это модеры недосмотрели? Ведь прозвучало запещённое слово! Банить, банить, нещадно банить!

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

35. "В Java SE 7 Update 11 выявлены две новые уязвимости"  +/
Сообщение от Аноним (??) on 21-Янв-13, 21:11 
это всё новые веяния в разработке систем. меньше платим разработчикам, больше стрижем гешевт, при этом молимся чтоб работало но оно глючит - выпускаем патчи и снова гешефт, всем хорошо. кто хочет чтоб было без багов плохо платил. РЭЗЮМЭ: в тёмные времена не ищите надёжных систем их не будет, когда главенствуют деньги это тьма и свету прогресса тут не место посему миритесь с тем что есть. извините за вброс, просто забил обновляться, смысл утерян...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "В Java SE 7 Update 11 выявлены две новые уязвимости"  +/
Сообщение от arisu (ok) on 21-Янв-13, 21:12 
> это всё новые веяния в разработке систем.

…которым сто лет в обед.

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру