Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей

17.07.2019 09:23

Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В июльском обновлении в сумме устранено 319 уязвимостей.

В выпусках Java SE 12.0.2, 11.0.4 и 8u221 устранено 10 проблем с безопасностью. 9 уязвимостей могут быть эксплуатированы удалённо без проведения аутентификации. Наивысший присвоенный уровень опасности - 6.8 (уязвимость в libpng). Проблем с высоким и критическим уровнем опасности, позволяющих неаутентифицированному пользователю по сети скомпрометировать приложения на Java SE, не выявлено.

Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

43 уязвимости в MySQL (максимальный уровень опасности 9.8, свидетельствующий о критической проблеме). Наиболее опасная проблема (CVE-2019-3822) связана с переполнением буфера в коде разбора заголовков NTLM в библиотеке libcurl, что может быть использовано для удалённой атаки на сервер MySQL неаутентифицированным пользователем. Почти все остальные проблемы проявляются только при наличии аутентифицированного доступа к СУБД. Исключение составляет только уязвимость в Shell: Admin / InnoDB Cluster, которой присвоен уровень опасности 7.5. Проблемы будут устранены в выпусках MySQL Community Server 8.0.17, 5.7.27 и 5.6.45.
14 уязвимостей в VirtualBox, из которых 3 имеют высокую степень опасности (CVSS Score 8.2 и 8.8). Уязвимости устранены в обновлениях VirtualBox 6.0.10 и 5.2.32 (в примечании к релизу факт устранения проблем с безопасностью не афиширован). Подробности не сообщаются, но, судя по уровню CVSS, устранены уязвимости, позволяющие из окружения гостевой системы выполнить код на стороне хост-системы;
10 уязвимостей в Solaris (максимальная степень опасности 9.1 - связанная с IPv6 уязвимость в ядре (CVE-2019-5597), допускающая удалённую атаку (подробности не сообщаются). Две уязвимости также имеют критический уровень опасности 8.8 - локально эксплуатируемые проблемы в Common Desktop Environment и клиентских утилитах для LDAP. Из проблем с уровнем опасности выше 7 также можно отметить удалённо эксплуатируемые уязвимости в обработчиках ICMPv6 и NFS в ядре Solaris, и локальные проблемы в файловой системе и Gnuplot.

исправить +7 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/51107-oracle

Ключевые слова: oracle, java, mysql, virtualbox

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (16)

1.2, Аноним (2), 11:05, 17/07/2019 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
300+ уязвимостей! Жесть!

2.3, Аноним (3), 11:10, 17/07/2019 [^] [^^] [^^^] [ответить]	+/–
В этом как раз ничего удивительного, у них так всегда. Интересно другое, что второй Critical Patch Update подозрительно мало проблем в Java и много в MySQL. В Java максималный CVSS 6.8 - это вообще рекорд за всё время, раньше было не меньше 8-9.

3.13, орацл (?), 17:27, 17/07/2019 [^] [^^] [^^^] [ответить]	+4 +/–
жабобезопастник в этом месяце в отпуске. Наверстает в следующем.

2.4, proninyaroslav (ok), 11:18, 17/07/2019 [^] [^^] [^^^] [ответить]	–2 +/–
"Надо срочно переписать всё на Rust" (c)

3.5, Andrey Mitrofanov_N0 (??), 11:26, 17/07/2019 [^] [^^] [^^^] [ответить]	+/–
>> В Java максималный CVSS 6.8 - это вообще рекорд за всё время, раньше было не меньше 8-9. > "Надо срочно переписать всё на Rust" (c) %)

3.7, Аноним (7), 12:16, 17/07/2019 [^] [^^] [^^^] [ответить]	+/–
Может и не срочно, но однозначно нужно.

2.6, iPony129412 (?), 11:36, 17/07/2019 [^] [^^] [^^^] [ответить]	+/–
> 300+ уязвимостей! Жесть! На сотню весьма сложных продуктов. Как-то не очень.

1.8, Аноним (8), 13:08, 17/07/2019 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А где можно скачать билды явы подтсвободной лицензией?

2.9, Andrey Mitrofanov_N0 (??), 13:23, 17/07/2019 [^] [^^] [^^^] [ответить]	+1 +/–
> А где можно скачать билды явы подтсвободной лицензией? На зеркалах дебиана, федоры, убунты и... все-всех-всех. Может, даже на suse-вском варез-буилдере есть, не знаю.

3.12, Аноним (8), 16:31, 17/07/2019 [^] [^^] [^^^] [ответить]	+/–
... для винды, то что у никсов всё в репах есть - это и так понятно.

2.10, DiabloPC (ok), 13:30, 17/07/2019 [^] [^^] [^^^] [ответить]	–1 +/–
http://diablopc.linuxforum.ru/pub/Java/ На тебе. И JRE и JDK

2.11, Аноним (11), 15:40, 17/07/2019 [^] [^^] [^^^] [ответить]	+/–
Тут все https://jdk.dev/download/

1.14, anono (?), 17:36, 17/07/2019 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
https://gifs.com/gif/11-08-15-y7gJ3Z

1.15, ОЛЕГ (?), 19:17, 17/07/2019 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Oracle=уязвимость!

1.16, Аноним (16), 20:49, 17/07/2019 [ответить] [﹢﹢﹢] [ · · · ]	+/–
при использовании C C++ нужно очень аккуратно следить за корректным выделением и освобождением памяти поэтому при росте сложности программ ничего удивительного

2.17, Аноним (17), 09:42, 18/07/2019 [^] [^^] [^^^] [ответить]	+/–
> при использовании C C++ нужно очень аккуратно следить за корректным выделением и освобождением памяти поэтому при росте сложности программ ничего удивительного Спасибо, сейчас запишу в блокнотик... А за обращением к ранее освобожденной памяти и за выходом за границы выделенной памяти и массивов уже следить не требуется?

игнорирование участников | лог модерирования

Добавить комментарий

Текст: