Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей

19.04.2017 22:24

Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В апрельском обновлении в сумме устранено 299 уязвимостей. Выпуск примечателен необычно низким числом уязвимостей в Java, всплеском уязвимостей в MySQL и исправлением проблемы наивысшего уровня опасности в Solaris.

В выпуске Java SE 8u131 устранено 8 проблем с безопасностью, 7 из которых могут быть эксплуатированы удалённо без проведения аутентификации. Впервые за последние годы, ни одной уязвимости не присвоен критический уровень опасности (CVSS Score 9 и выше). Четыре проблемы проявляются только на клиентских системах (запуск в браузере Java Web Start и Java-апплеты) и четыре затрагивают как клиентов, так и серверные конфигурации Java. Внимание, начиная с апрельского обновления прекращена поддержка MD5 для формирования цифровых подписей для JAR-файлов - все JAR-файлы с MD5 теперь считаются неподписанными.

Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

25 уязвимостей в MySQL (максимальный уровень опасности 7.7). Проблемы устранены в выпусках MySQL Community Server 5.7.18, 5.6.36 и 5.5.56.
10 уязвимостей в Solaris (максимальный уровень опасности 10). В обновлении устранена критическая уязвимость (CVE-2017-3623) в Kernel RPC позволяющая удалённо получить контроль над системой через отправку специально оформленного RPC-запроса. Исправление касается 0-day уязвимости "Ebbisland" в Solaris, о которой стало известно после публикации коллекции эксплоитов АНБ. Опубликованный эксплоит поражает системы Solaris 10, для которых не устанавливались патчи ядра с 2012-01-26. Solaris 11 проблеме не подвержен. Кроме того, две уязвимости устранены в RBAC (уровень опасности 8.2 и 7.9), одна в CDE (Common Desktop Environment) и две в сетевом драйвере для Kernel Zones.
9 уязвимостей в VirtualBox (максимальная степень опасности 8.8). Уязвимости устранены в сегодняшних обновлениях VirtualBox 5.0.38 и 5.1.20.

исправить +5 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/46414-oracle

Ключевые слова: oracle

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (17)

1.1, commiethebeastie (ok), 22:57, 19/04/2017 [ответить] [﹢﹢﹢] [ · · · ] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Когда CVSS 11 введут специально для оракля и адобы?

2.2, Аноним (-), 00:48, 20/04/2017 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+1 +/–
> Когда CVSS 11 введут специально для оракля и адобы? Даже этого будет мало.

2.5, Очередной аноним (?), 08:52, 20/04/2017 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	–1 +/–
> Когда CVSS 11 введут специально для оракля и адобы? А что это будет означать - программа/система будет убивать подошедшего к компу пользователя или зашедшего на консоль админа?

1.4, лютый жабист__ (?), 05:27, 20/04/2017 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	–1 +/–
Что-то непонятно, уязвима только соляра, на которую пять лет не ставились патчи? Придётся по ссылкам идти...

2.6, Аноним (-), 08:52, 20/04/2017 [^] [^^] [^^^] [ответить] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]

+/–

> Что-то непонятно, уязвима только соляра, на которую пять лет не ставились патчи?
> Придётся по ссылкам идти...

Там мутно описано: CVE-2017-3623 is assigned for "Ebbisland". Solaris 10 systems which have had any Kernel patch installed after, or updated via patching tools since 2012-01-26 are not impacted. Also, any Solaris 10 system installed with Solaris 10 1/13 (Solaris 10 Update 11) are not vulnerable. Solaris 11 is not impacted by this issue.

Но если давно исправлено, то зачем тогда патч? Да ещё с небывалым CVSS 10. Создаётся впечатление, что дыра есть и очень большая, но конкретный метод атаки применим только для определённых ядер Solaris, а для других ядер нужно переписывать эксплоит.

3.8, h31 (ok), 10:19, 20/04/2017 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Видимо, дыру исправили давно, а CVE только сейчас появился.

2.9, Аноним (-), 12:16, 20/04/2017 [^] [^^] [^^^] [ответить] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
https://www.theregister.co.uk/2017/04/11/solaris_shadow_brokers_nsa_exploits/ Это из утёкших эксплойтов АНБ. Уязвимы вроде как версии соляры 6–10. Но я тоже не понимаю, если в 10u11 дыра закрыта, а более старые версии уже не поддерживаются, о каком патче речь?

1.7, Аноним (-), 09:40, 20/04/2017 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
"Ebbisland" - шикарное название. Отражает суть всего программирования.

2.12, Andrey Mitrofanov (?), 14:00, 20/04/2017 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
> "Ebbisland" - шикарное название. Отражает суть всего программирования. След руских хакеров?!

3.15, userd (ok), 16:23, 20/04/2017 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]

+/–

Русские хакеры такие -

то в IBM проникнут -
https://en.wikipedia.org/wiki/IBM_mainframe_utility_programs#IEBISAM

то финнов подслушивают -
http://game-paradox.ucoz.ru/_fr/11/8332465.jpg

1.10, Аноним (-), 12:16, 20/04/2017 [ответить] [﹢﹢﹢] [ · · · ] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	–2 +/–
7 дыр, эксплуатируемых удалённо любым желающим - это "необычно низкое число"? Как они её пишут вообще? Забейте для сравнения "erlang" в поиске по CVE. Почему одни могут писать почти без дыр, а у других каждый квартал по нескольку штук в ыявляют?

2.11, iPony (?), 12:44, 20/04/2017 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	–1 +/–
Ну забей уязвимости по Pony OS. Вот как надо операционки писать.

3.13, Аноним (-), 14:47, 20/04/2017 [^] [^^] [^^^] [ответить] [↓] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+1 +/–
Вы совершенно верно заметили, что Java написана даже ещё хуже, чем любительская ОС. Реально позор.

4.14, Sabakwaka (ok), 15:50, 20/04/2017 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+1 +/–
Ага. 36 миллиардов установок.

5.17, Аноним (-), 20:29, 20/04/2017 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+2 +/–
И всех их кто-то имеет через заботливо оставленные Ораклом дыры.

3.16, Аноним (-), 19:32, 20/04/2017 [^] [^^] [^^^] [ответить] [↑] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Если ещё и в нинужном уязвимости будут

4.19, soarin (ok), 08:02, 22/04/2017 [^] [^^] [^^^] [ответить] [п©Б∙╗ п©Б∙╙п©Б∙╛п©Б∙╒п©Б∙ёя▐Б■─п©Б∙÷я▐Б■▄п©Б∙╛я▐Б■─я▐Б■░]	+/–
Так есть же https://www.exploit-db.com/exploits/41875/

игнорирование участников | лог модерирования

Добавить комментарий

Имя:

E-Mail:

Текст: