The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от opennews (??) on 20-Апр-16, 08:11 
Компания Oracle представила (https://blogs.oracle.com/security/entry/april_2016_critical_...) плановый выпуск обновлений своих продуктов, в которых в сумме устранено 136 уязвимостей (http://www.oracle.com/technetwork/security-advisory/cpuapr20...).

В выпусках Java SE 8u91 и 8u92 (http://www.oracle.com/technetwork/java/javase/downloads/inde...) устранено 9 проблем с безопасностью, которые могут быть эксплуатированы удалённо без проведения аутентификации.  Трём уязвимостям присвоен (http://www.oracle.com/technetwork/security-advisory/cpuapr20...)  уровень опасности (CVSS Score) большей 9. Шесть проблем проявляются только на клиентских системах (запуск в браузере Java Web Start и Java-апплеты), а три затрагивают как клиентов, так и серверные конфигурации Java.


Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

-  30 уязвимостей (http://www.oracle.com/technetwork/security-advisory/cpuapr20...) в MySQL (максимальный уровень опасности 9.8). Проблемы устранены в выпусках MySQL Community Server 5.7.11 и 5.6.29 (http://dev.mysql.com/downloads/mysql/).

-  18 уязвимостей (http://www.oracle.com/technetwork/security-advisory/cpuapr20...) в Solaris.  Наиболее опасные уязвиомости (уровень опасности 9.8) устранены в PAM LDAP и XCP Firmware. Менее опасные  локальные уязвимости устранены в ZFS, ядре и прослойке файловой системы;

-  3 уязвимости (http://www.oracle.com/technetwork/security-advisory/cpuapr20...) в VirtualBox (максимальная степень опасности 7.5), которые связаны с реализацией SSL/TLS и могут эксплуатироваться удалённо. Уязвимости  устранены в обновлении VirtualBox 5.0.18.

URL: https://blogs.oracle.com/security/entry/april_2016_critical_...
Новость: https://www.opennet.ru/opennews/art.shtml?num=44277

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Аноним (??) on 20-Апр-16, 08:11 
А почему две версии java se?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +3 +/
Сообщение от Аноним (??) on 20-Апр-16, 08:53 
Так ентерпразнее.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

8. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +2 +/
Сообщение от eRIC (ok) on 20-Апр-16, 09:41 
> Так ентерпразнее.

Java SE 8u91 includes important security fixes.
Java SE 8u92 is a patch-set update, including all of 8u91 plus additional features (described in the release notes).

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

12. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +7 +/
Сообщение от Нанобот (ok) on 20-Апр-16, 13:20 
В 8u91 только исправили старые баги, в 8u92 исправили старые и добавили новые
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

17. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –4 +/
Сообщение от _ (??) on 20-Апр-16, 16:39 
Жабомозги, скажите "Ква!" ... Чел спрашивал про 7 и 8 :)
И это он ещё не знает _что_ в реале до сих пор пользуют :)))
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

18. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +1 +/
Сообщение от Аноним (??) on 20-Апр-16, 16:41 
Если ты про первый комментарий ветки, то я спрашивал про два восьмых релиза. Собственно мне ответили.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –3 +/
Сообщение от _ (??) on 20-Апр-16, 16:48 
Да ты просто не в курсе, о чём ты спрашивал!
Никому нельзя верить! Мне - можно! :)
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

2. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +1 +/
Сообщение от Аноним (??) on 20-Апр-16, 08:16 
а зачем суммировать уязвимости? что бы страшнее было? такие вот политтехнологии ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +10 +/
Сообщение от Аноним (??) on 20-Апр-16, 08:50 
По тем же причинам, по которым,  книгу: "Жизнь, необыкновенные и удивительные приключения Робинзона Крузо, моряка из Йорка, прожившего 28 лет в полном одиночестве на необитаемом острове у берегов Америки близ устьев реки Ориноко, куда он был выброшен кораблекрушением, во время которого весь экипаж корабля, кроме него, погиб, с изложением его неожиданного освобождения пиратами; написанные им самим»"
- называют "Робинзо́н Кру́зо" или "Приключения Робинзо́н Кру́зо"
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

21. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Аноним (??) on 20-Апр-16, 20:00 
> а зачем суммировать уязвимости? что бы страшнее было? такие вот политтехнологии ?

Так никаких новостей не хватит. Вон, всего 4 месяца назад:
https://www.opennet.ru/opennews/art.shtml?num=43702
> Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением 248 уязвимостей

Теперь еще 136 – это, считай, каждый день по новости о уязвимости в продукте оракля.
А уж на какой высоте оперативность! Закрыли
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0705
и пяти месяцев не прошло!

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

24. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –1 +/
Сообщение от Аноним (??) on 20-Апр-16, 22:42 
а сколько уязвимостией закрывают целиком в дистрибутивах линукса ?

Security advisories for Wednesday
[Security] Posted Apr 20, 2016 15:59 UTC (Wed) by ris
Fedora has updated kernel (F23: three vulnerabilities).

openSUSE has updated apparmor (13.1: profile updates), samba (13.1; 11.4: multiple vulnerabilities), and tiff (13.1: denial of service).

SUSE has updated samba (SLES10-SP4: three vulnerabilities) and kernel (SLE11-SP4: multiple vulnerabilities).

Ubuntu has updated firefox (regressions in previous update).


[Security] Posted Apr 19, 2016 16:02 UTC (Tue) by ris
Fedora has updated libreswan (F22: denial of service).

openSUSE has updated systemd (13.2: two vulnerabilities).

так дыры в systemd и то важнее.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

5. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –1 +/
Сообщение от VecH email(ok) on 20-Апр-16, 09:06 
Действительно, две версии Java идущие друг за другом
что за нумерация? stable/unstable ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +2 +/
Сообщение от eRIC (ok) on 20-Апр-16, 10:16 
> Действительно, две версии Java идущие друг за другом
> что за нумерация? stable/unstable ?

stable, в Java понятия stable version и unstable version нет. трактуйте как release.
так как закрытая разработка(не учитывая OpenJDK откуда тоже берутся наработки), так же нет альфа, бета, RC релизов


Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

11. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от NNN (??) on 20-Апр-16, 11:41 
Как это unstable нет? А Java 9?
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

14. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от eRIC (ok) on 20-Апр-16, 14:45 
> Как это unstable нет? А Java 9?

Java 9 следующая версия Javа, которая разрабатывается и родится(release) скорее всего в 2017 году, больше всего как -dev версия можно отнести. Да можно так же отнести как unstable версию, согласен.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

6. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +4 +/
Сообщение от Аноним (??) on 20-Апр-16, 09:15 
В это время уязвимость от 2006 года Java Deserialization Vulnerabilities так и осталась. Оракл вместо того что бы закрыть ее(omg интерпразу придется переписывать кривой овнософт) в каждом патче добавляет хаки.
>Can it be fixed easily? Fixing this doesn’t look easy, serialization is used in the core protocol. Oracle "patched" it by implementing a check against a "blacklist"

Опаный стыд:
CVE-2015-6554 - Symantec Endpoint Protection Manager RCE
CVE-2015-6576 - Atlassian Bamboo RCE
CVE-2015-7253 - Commvault Edge Server RCE
CVE-2015-7253 - Apache ActiveMQ RCE
CVE-2015-4582 - Oracle Weblogic RCE
NO-CVE-YET - Oracle Hyperion RCE
NO-CVE-YET - HP Service Manager RCE
еще около 100(ста!) CVE вокруг бага

Подробнее
https://github.com/GrrrDog/Java-Deserialization-Cheat-Sheet

Новый тип атак на баг в стиле ROP
http://www.slideshare.net/codewhitesec/java-deserialization-...
Среди уязвимых PayPal
http://artsploit.blogspot.ru/2016/01/paypal-rce.html

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Аноним (??) on 20-Апр-16, 09:22 
Например в maven репозитории http://central.sonatype.org/ на нашлось более 30 000 потенциально уязвимых компонентов.
>But, the story does not end there. Researchers at Sonatype have identified deserialization issues in over 30,000 unique components stored in our company’s Central Repository.

http://www.darkreading.com/vulnerabilities---threats/java-de...

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

22. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +1 +/
Сообщение от Аноним (??) on 20-Апр-16, 22:23 
Никого не смущает колво исправляемых в каждом баге релизов?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +1 +/
Сообщение от Аноним (??) on 20-Апр-16, 22:38 
> исправляемых в каждом баге релизов

Исправление релизов в багах -- это что-то новенькое. :)

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

25. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –1 +/
Сообщение от charon (ok) on 21-Апр-16, 11:37 
А почему нет обновлений для мускула 5.5? Эта версия больше не поддерживается?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Аноним (??) on 22-Апр-16, 19:03 
Sun r.i.p.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру