Компания Oracle представила (https://blogs.oracle.com/java/entry/java_se_7_update_45) плановый корректирующий выпуск Java SE 7 Update 45 (номер версии присвоен в соответствии с новой схемой (http://www.opennet.dev/opennews/art.shtml?num=36938) нумерации выпусков), в котором устранена 51 проблема (http://www.oracle.com/technetwork/topics/security/cpuoct2013...) с безопасностью, а также внесена порция улучшений, направленных на увеличение безопасности.
50 уязвимостей могут быть эксплуатированы удалённо без проведения аутентификации. 12 уязвимостям присвоен максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента. 8 проблем затрагивают как серверные, так и клиентские системы. Одна проблема присутствует в утилите JHat, две проблемы могут быть применимы к сайтам, использующим сервисы на базе Javadoc.
Из добавленных в Java SE 7 Update 45 улучшений можно отметить добавление в манифест JAR-файлов новых флагов для защиты от неавторизированного распространения приложений. В Java Control Panel (JCP) добавлена кнопка для чистки ранее принятых исключений о доверии. В JAXP добавлены новые лимиты в JAXPFEATURE_SECURE_PROCESSING: totalEntitySizeLimit, maxGeneralEntitySizeLimit и maxParameterEntitySizeLimit.
Одновременно выпущено обновление СУБД MySQL, в котором исправлено 8 уязвимостей (http://www.oracle.com/technetwork/topics/security/cpuoct2013...). Одна из проблем имеет уровень опасности 8.5 (CVSS) и проявляется только при использовании web-интерфейса MySQL Enterprise Monitor, остальные проблемы затрагивают сервер MySQL, но имеют менее 5 баллов. Для эксплуатации всех уязвимостей требуется аутентифицированный доступ к базе.
URL: https://blogs.oracle.com/java/entry/java_se_7_update_45
Новость: http://www.opennet.dev/opennews/art.shtml?num=38176