The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от opennews (ok), 18-Окт-18, 12:28 
Компания Oracle опубликовала (https://blogs.oracle.com/oraclesecurity/october-2018-critica...) плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В октябрьском обновлении в сумме устранено 301 уязвимость (https://www.oracle.com/technetwork/security-advisory/cpuoct2...).

В выпусках Java SE 11.0.1 и 8u191 (http://www.oracle.com/technetwork/java/javase/downloads/inde...) устранено 12 проблем с безопасностью. Все уязвимости могут быть эксплуатированы удалённо без проведения аутентификации.  Трём уязвимостям присвоен (http://www.oracle.com/technetwork/security-advisory/cpuoct20...) уровень опасности 8.3. Одна из проблем (CVE-2018-3183 (https://security-tracker.debian.org/tracker/CVE-2018-3183)) имеет CVSS Score 9, что соответствует критическому уровню опасности. Указанная уязвимость затрагивает компонент JRockit (модуль Scripting) и позволяет неаутентифицированному пользователю по сети скомпрометировать приложения на Java SE, Java SE Embedded, JRockit.


Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

-  34 уязвимости (http://www.oracle.com/technetwork/security-advisory/cpuoct20...) в MySQL (максимальный уровень опасности 8.8). Наиболее опасная проблема
(CVE-2016-9843 (https://security-tracker.debian.org/tracker/CVE-2016-9843)) затрагивает используемую в InnoDB  библиотеку zlib и может привести к некоррекной проверке контрольных сумм;

Проблемы устранены в выпусках MySQL Community Server 8.0.12, 5.7.23, 5.6.41 и 5.5.66 (http://dev.mysql.com/downloads/mysql/).

-  14 уязвимостей (http://www.oracle.com/technetwork/security-advisory/cpuoct20...) в VirtualBox, из которых 13 имеют критическую степень опасности (CVSS Score  8.6+). Уязвимости  устранены в обновлении VirtualBox  5.2.20 (https://www.opennet.ru/opennews/art.shtml?num=49455) (в примечании (https://www.virtualbox.org/wiki/Changelog) к релизу факт устранения проблем с безопасностью не был афиширован). Наиболее опасная проблема c CVSS Score  9.0 затрагивает реализацию протокола VRDP.

-  17 проблем (http://www.oracle.com/technetwork/security-advisory/cpuoct20...) в Solaris (максимальная степень опасности 8.1) - проблемы в RAD (Remote Administration Daemon), ядре, LibKMIP, Zones, Sudo, LFTP, RPC, SMB Server и Verified Boot. Проблемы устранены в выпуске
Solaris 11.4 SRU2 (https://blogs.oracle.com/solaris/announcing-oracle-solaris-1...), в котором также обновлены версии пакетов nghttp2  1.32.0, unixodbc  2.3.6 и PHP 7.1.21.

URL: https://blogs.oracle.com/oraclesecurity/october-2018-critica...
Новость: https://www.opennet.ru/opennews/art.shtml?num=49456

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –2 +/
Сообщение от Zenitur (ok), 18-Окт-18, 12:28 
А чем Java отличается от Java SE?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –1 +/
Сообщение от Аноним (2), 18-Окт-18, 12:34 
Уровнем понтов.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

15. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Аноним (15), 19-Окт-18, 13:28 
Java это только виртуалка. То есть запускалка для java.
Java SE это еще и инструменты для разработки (например javac и т.п.),
которых нету в Java.
Обычно тащут jdk из Java SE. В обычной Java смысла не очень много.
Разве что для пользователей.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –2 +/
Сообщение от както так (?), 18-Окт-18, 12:36 
       Java SE
Java <
       Java EE
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +1 +/
Сообщение от нах (?), 18-Окт-18, 14:54 
кстати, прекрасная новость: https://www.java.com/en/download/release_notice.jsp - взбесившееся земноводное, покусавшее монгу и пожравшее редис, добралось и до своего тёзки.

правда, в свете "openjdk ваш новый стандарт", уже не жалко.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Ораклее Java SE, MySQL, VirtualBox и других оракле Oracle..."  +3 +/
Сообщение от Andrey Mitrofanov (?), 18-Окт-18, 15:03 
>взбесившееся земноводное, покусавшее монгу и пожравшее редис, добралось и до
> своего тёзки.

Ты как будто первый раз слышишь слово "Оракле".

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

12. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Michael Shigorinemail (ok), 19-Окт-18, 00:25 
А вот, между прочим, вариант: https://www.bell-sw.com/java.html

Это разогнанный полтора года назад ораклом питерский офис разработки java, в котором были и люди, знавшие её потроха лучше Гослинга.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

13. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Аноним (13), 19-Окт-18, 09:32 
со слов тех кто там работал - там все же занимались ME/SE, а не EE.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +1 +/
Сообщение от нах (?), 19-Окт-18, 12:05 
так SE теперь тоже нельзя кроме как в домашне-экспериментальных целях.

видимо, топтопам орацла стало не хватать на очередную яхту в кредит.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

6. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Аноним (6), 18-Окт-18, 16:36 
Может кто-нибудь объяснить, почему они выпускают такие обновления пачкой? Они фиксят и держат в секрете нераскрытые уязвимости некоторое время, а потом разом публикуют всё? Зачем? Почему бы не публиковать апдейты чаще?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Andrey Mitrofanov (?), 18-Окт-18, 16:39 
> Может кто-нибудь объяснить, почему они выпускают такие обновления пачкой? Они фиксят и
> держат в секрете нераскрытые уязвимости некоторое время, а потом разом публикуют
> всё? Зачем? Почему бы не публиковать апдейты чаще?

Экономят на новостях и эдектронах.

Плановое капиталистическое производство.

Они ещё не научились писать новости об исправлениях пож бравурные марши и тосты типа "как замечательно всё фиксится! будем".

....

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +5 +/
Сообщение от нах (?), 18-Окт-18, 16:44 
> Может кто-нибудь объяснить, почему они выпускают такие обновления пачкой?

потому что у их платных пользователей под них подогнаны окна обслуживания, а апдейтиться посередине какой-нибудь биржевой сессии они не могут себе позволить, даже если там вообще remote root пробивающий все файрволы и фильтры.

такая жерня, кговавый ентер-прайс.


Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Аноним (6), 18-Окт-18, 17:09 
> потому что у их платных пользователей под них подогнаны окна обслуживания

Я правильно понимаю, что до момента публикации даже такие проекты, как openjdk или всякие дистрибутивы вроде дебиана и рхела не в курсе про всё это и вынуждены подстраиваться под эти "окна", хотя никак не связаны с интерпрайзными клиентами проприетарного oraclejdk?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +2 +/
Сообщение от нах (?), 18-Окт-18, 17:34 
> Я правильно понимаю, что до момента публикации даже такие проекты, как openjdk или всякие
> дистрибутивы вроде дебиана и рхела не в курсе

насколько я понимаю, да, разьве что у них есть какие-то специальные каналы обмена этой информацией, недоступные даже платным клиентам. Но им никто не мешает находить и исправлять ошибки самостоятельно, это опенсорс. Или просто копипастить каждую новую версию - это вот тоже...опенсорс такой.

забавно что вот заговор молчания вокруг продуктов isc вас не напрягает (а, ну да, редхат же в доле, естественно).

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Аноним (11), 18-Окт-18, 17:36 
Да, вы правильно понимаете, но ситуация немного другая...
Оракл - это всего-лишь часть разработчиков ( хоть и большая ), и кто-то может фиксануть раньше...
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

16. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Аноним (15), 19-Окт-18, 13:33 
Чаще не значит качественее.
Вы сравните предыдущую 7 ветку, там обновлений на порядок меньше было.
А тут уже 192 нагенерили, а толку? Одно фиксят другое ломают.
Поэтому лучше всего использовать минимум функциональности, а остальное использовать из библиотек проверенных временем.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

17. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от лютый лютик__ (?), 22-Окт-18, 06:24 
Ну, вообще-то это номер билда, а не количество патчей.

"другое ломают"

Ну всё, пора срочно валить... огласите список вкудавалить.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от лютый джо__ (?), 22-Окт-18, 06:25 
Ну, вообще-то это номер билда, а не количество патчей.

"другое ломают"

Ну всё, пора срочно валить... огласите список вкудавалить.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

19. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от bagas (ok), 22-Окт-18, 12:41 
MySQL Community Server 5.5.62!
5,5,66 я не вижу на офф. сайте мускула.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру