The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением 136 уязвимостей

20.04.2016 08:07

Компания Oracle представила плановый выпуск обновлений своих продуктов, в которых в сумме устранено 136 уязвимостей.

В выпусках Java SE 8u91 и 8u92 устранено 9 проблем с безопасностью, которые могут быть эксплуатированы удалённо без проведения аутентификации. Трём уязвимостям присвоен уровень опасности (CVSS Score) больше 9. Шесть проблем проявляются только на клиентских системах (запуск в браузере Java Web Start и Java-апплеты), а три затрагивают как клиентов, так и серверные конфигурации Java. Выпуск Java SE 7u92 вышел одновременно с 7u91 и отличается не только устранением уязвимостей, но и исправлением ошибок, не связанных с безопасностью.

Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

  • 30 уязвимостей в MySQL (максимальный уровень опасности 9.8). Проблемы устранены в выпусках MySQL Community Server 5.7.11 и 5.6.29.
  • 18 уязвимостей в Solaris. Наиболее опасные уязвимости (уровень опасности 9.8) устранены в PAM LDAP и XCP Firmware. Менее опасные локальные уязвимости устранены в ZFS, ядре и прослойке файловой системы;
  • 3 уязвимости в VirtualBox (максимальная степень опасности 7.5), которые связаны с реализацией SSL/TLS и могут эксплуатироваться удалённо. Уязвимости устранены в обновлении VirtualBox 5.0.18.


  1. Главная ссылка к новости (https://blogs.oracle.com/secur...)
  2. OpenNews: Внеплановое обновление Java SE 8u77 с устранением опасной уязвимости
  3. OpenNews: Компания Oracle открыла исходные тексты JavaScript Extension Toolkit 2.0
  4. OpenNews: Oracle прекратит поставку браузерного Java-плагина
  5. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением 248 уязвимостей
  6. OpenNews: Java 9 переносится на 2017 год
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/44277-java
Ключевые слова: java, oracle
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (21) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 08:11, 20/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    А почему две версии java se?
     
     
  • 2.4, Аноним (-), 08:53, 20/04/2016 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    Так ентерпразнее.
     
     
  • 3.8, eRIC (ok), 09:41, 20/04/2016 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    > Так ентерпразнее.

    Java SE 8u91 includes important security fixes.
    Java SE 8u92 is a patch-set update, including all of 8u91 plus additional features (described in the release notes).

     
     
  • 4.12, Нанобот (ok), 13:20, 20/04/2016 [^] [^^] [^^^] [ответить]  
    		• +7 +/
    В 8u91 только исправили старые баги, в 8u92 исправили старые и добавили новые
     
     
  • 5.17, _ (??), 16:39, 20/04/2016 [^] [^^] [^^^] [ответить]  
    		• –4 +/
    Жабомозги, скажите "Ква!" ... Чел спрашивал про 7 и 8 :)
    И это он ещё не знает _что_ в реале до сих пор пользуют :)))
     
     
  • 6.18, Аноним (-), 16:41, 20/04/2016 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Если ты про первый комментарий ветки, то я спрашивал про два восьмых релиза. Собственно мне ответили.
     
     
  • 7.19, _ (??), 16:48, 20/04/2016 [^] [^^] [^^^] [ответить]  
    		• –3 +/
    Да ты просто не в курсе, о чём ты спрашивал!
    Никому нельзя верить! Мне - можно! :)
     

  • 1.2, Аноним (-), 08:16, 20/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    а зачем суммировать уязвимости? что бы страшнее было? такие вот политтехнологии ?
     
     
  • 2.3, Аноним (-), 08:50, 20/04/2016 [^] [^^] [^^^] [ответить]  
    		• +10 +/
    По тем же причинам, по которым,  книгу: "Жизнь, необыкновенные и удивительные приключения Робинзона Крузо, моряка из Йорка, прожившего 28 лет в полном одиночестве на необитаемом острове у берегов Америки близ устьев реки Ориноко, куда он был выброшен кораблекрушением, во время которого весь экипаж корабля, кроме него, погиб, с изложением его неожиданного освобождения пиратами; написанные им самим»"
    - называют "Робинзо́н Кру́зо" или "Приключения Робинзо́н Кру́зо"
     
  • 2.21, Аноним (-), 20:00, 20/04/2016 [^] [^^] [^^^] [ответить]  
    		• +/
    > а зачем суммировать уязвимости? что бы страшнее было? такие вот политтехнологии ?

    Так никаких новостей не хватит. Вон, всего 4 месяца назад:
    https://www.opennet.dev/opennews/art.shtml?num=43702
    > Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением 248 уязвимостей

    Теперь еще 136 – это, считай, каждый день по новости о уязвимости в продукте оракля.
    А уж на какой высоте оперативность! Закрыли
    https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0705
    и пяти месяцев не прошло!

     
     
  • 3.24, Аноним (-), 22:42, 20/04/2016 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    а сколько уязвимостией закрывают целиком в дистрибутивах линукса ?

    Security advisories for Wednesday
    [Security] Posted Apr 20, 2016 15:59 UTC (Wed) by ris
    Fedora has updated kernel (F23: three vulnerabilities).

    openSUSE has updated apparmor (13.1: profile updates), samba (13.1; 11.4: multiple vulnerabilities), and tiff (13.1: denial of service).

    SUSE has updated samba (SLES10-SP4: three vulnerabilities) and kernel (SLE11-SP4: multiple vulnerabilities).

    Ubuntu has updated firefox (regressions in previous update).


    [Security] Posted Apr 19, 2016 16:02 UTC (Tue) by ris
    Fedora has updated libreswan (F22: denial of service).

    openSUSE has updated systemd (13.2: two vulnerabilities).

    так дыры в systemd и то важнее.

     

  • 1.5, VecH (ok), 09:06, 20/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    Действительно, две версии Java идущие друг за другом
    что за нумерация? stable/unstable ?
     
     
  • 2.10, eRIC (ok), 10:16, 20/04/2016 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    > Действительно, две версии Java идущие друг за другом
    > что за нумерация? stable/unstable ?

    stable, в Java понятия stable version и unstable version нет. трактуйте как release.
    так как закрытая разработка(не учитывая OpenJDK откуда тоже берутся наработки), так же нет альфа, бета, RC релизов


     
     
  • 3.11, NNN (??), 11:41, 20/04/2016 [^] [^^] [^^^] [ответить]  
    		• +/
    Как это unstable нет? А Java 9?
     
     
  • 4.14, eRIC (ok), 14:45, 20/04/2016 [^] [^^] [^^^] [ответить]  
    		• +/
    > Как это unstable нет? А Java 9?

    Java 9 следующая версия Javа, которая разрабатывается и родится(release) скорее всего в 2017 году, больше всего как -dev версия можно отнести. Да можно так же отнести как unstable версию, согласен.

     

  • 1.6, Аноним (-), 09:15, 20/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +4 +/
    В это время уязвимость от 2006 года Java Deserialization Vulnerabilities так и осталась. Оракл вместо того что бы закрыть ее(omg интерпразу придется переписывать кривой овнософт) в каждом патче добавляет хаки.
    >Can it be fixed easily? Fixing this doesn’t look easy, serialization is used in the core protocol. Oracle "patched" it by implementing a check against a "blacklist"

    Опаный стыд:
    CVE-2015-6554 - Symantec Endpoint Protection Manager RCE
    CVE-2015-6576 - Atlassian Bamboo RCE
    CVE-2015-7253 - Commvault Edge Server RCE
    CVE-2015-7253 - Apache ActiveMQ RCE
    CVE-2015-4582 - Oracle Weblogic RCE
    NO-CVE-YET - Oracle Hyperion RCE
    NO-CVE-YET - HP Service Manager RCE
    еще около 100(ста!) CVE вокруг бага

    Подробнее
    https://github.com/GrrrDog/Java-Deserialization-Cheat-Sheet

    Новый тип атак на баг в стиле ROP
    http://www.slideshare.net/codewhitesec/java-deserialization-vulnerabilities-t
    Среди уязвимых PayPal
    http://artsploit.blogspot.ru/2016/01/paypal-rce.html

     
     
  • 2.7, Аноним (-), 09:22, 20/04/2016 [^] [^^] [^^^] [ответить]  
    		• +/
    Например в maven репозитории http://central.sonatype.org/ на нашлось более 30 000 потенциально уязвимых компонентов.
    >But, the story does not end there. Researchers at Sonatype have identified deserialization issues in over 30,000 unique components stored in our company’s Central Repository.

    http://www.darkreading.com/vulnerabilities---threats/java-deserialization-run

     

  • 1.22, Аноним (-), 22:23, 20/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Никого не смущает колво исправляемых в каждом баге релизов?
     
     
  • 2.23, Аноним (-), 22:38, 20/04/2016 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    > исправляемых в каждом баге релизов

    Исправление релизов в багах -- это что-то новенькое. :)

     

  • 1.25, charon (ok), 11:37, 21/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    А почему нет обновлений для мускула 5.5? Эта версия больше не поддерживается?
     
     
  • 2.26, Аноним (-), 19:03, 22/04/2016 [^] [^^] [^^^] [ответить]  
    		• +/
    Sun r.i.p.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру