Обновление Java SE (7u80, 8u45), MySQL и других продуктов Oracle с устранением уязвимостей

15.04.2015 09:32

Компания Oracle представила плановый выпуск обновлений своих продуктов с устранением уязвимостей. В выпусках Java SE 8u45 и 7u79/80 (номер версии присвоен в соответствии с новой схемой нумерации выпусков) устранено 14 проблем с безопасностью. Выпуск Java SE 7u79 вышел одновременно с 7u80 и отличается не только устранением уязвимостей, но и исправлением ошибок, не связанных с безопасностью. Примечательно, что это последние публично доступные обновления для ветки Java SE 7, пользователям рекомендуется перейти на Java 8 или оформить расширенную поддержку.

Все 14 уязвимостей в Java могут быть эксплуатированы удалённо без проведения аутентификации. 3 уязвимостям (CVE-2015-0469, CVE-2015-0459, CVE-2015-0491) присвоен максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента. 2 проблемам присвоен уровень 9.3, который подразумевает возможность успешной атаки на клиентские системы, но сложность эксплуатации оценивается как средняя. 3 проблемы, максимальная степень опасности которых 5.0, затрагивают не только клиентские, но и серверные системы.

Из не связанных с уязвимостями изменений можно отметить прекращение возможности использования внутри jar-файлов полных путей (путей, начинающихся с "/") и косвенных переходов (".." в пути). При необходимости использования подобных путей следует явно указывать опцию "-P".

Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе сообщается о 5 уязвимостях в Solaris (для локальных проблем с ZFS и с командами аккунтинга указана степень опасности 7.2, уязвимости в Kernel IDMap присвоен уровень 7.1, но она может быть эксплуатирована по сети), 2 уязвимостях в VirtualBox (максимальная степень опасности 4.3) и 24 уязвимостях в MySQL (максимальная степень опасности 5.7). Уязвимости уже молча исправлены в на днях опубликованных обновлениях MySQL Community Server.

исправить +7 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/42041-oracle

Ключевые слова: oracle, java, security, mysql

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (21)

1.1, Аноним (-), 09:40, 15/04/2015 [ответить] [﹢﹢﹢] [ · · · ]	+6 +/–
>>Из не связанных с уязвимостями изменений можно отметить прекращение возможности использования внутри jar-файлов полных путей (путей, начинающихся с "/") и косвенных переходов (".." в пути). При необходимости использования подобных путей следует явно указывать опцию "-P". Интересно, Зачем это сделали?

2.2, iZEN (ok), 09:58, 15/04/2015 [^] [^^] [^^^] [ответить]	+/–
Это сделали, возможно, для того чтобы антивирусы при сканировании содержимого jar-файла не усматривали в нём угрозу деструктивных действий для локальной файловой системы и не помещали в "карантин".

1.3, Аноним (-), 10:02, 15/04/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
То есть, чтоб приложение на Java было безопасным надо собирать уже, обновив jdk? Или достаточно просто запускать на обновленном jdk или jre?

2.4, iPony (?), 10:07, 15/04/2015 [^] [^^] [^^^] [ответить]	+1 +/–
Ничего не надо, это вообще не относится никак к "хорошему" java приложению. Вектор эксплуатации для jre plugin в браузере - подсовываешь на сайте "плохой" java апплет и через уязвимый jre plugin имеешь всю ОС.

3.21, Аноним (-), 08:35, 16/04/2015 [^] [^^] [^^^] [ответить]	+/–
О, я его отключаю, как и флэш, сразу после установки ОСи. Надеюсь, так же поступают и все остальные...

1.5, Аноним (-), 10:34, 15/04/2015 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Как это здорово - выпускать обновления с устранением уязвимостей планово! Может они эти уязвимости также планово туда запихивают? Специальный "цикл жизни" уязвимостей, когда одни "устаревшие" уязвимости плавно заменяются другими.

2.6, Аноним (-), 11:00, 15/04/2015 [^] [^^] [^^^] [ответить]	+1 +/–
"Oracle и NSA выпустили обновление Java SE с устранением уязвимостей." ;)

3.11, pkdr (ok), 12:32, 15/04/2015 [^] [^^] [^^^] [ответить]	+3 +/–
"Oracle и NSA выпустили обновление набора уязвимостей под названием Java SE"

1.7, Аноним (-), 11:45, 15/04/2015 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
А гугл по прежнему никак не работает с апстримом openjdk? И на андроиде до сих пор Ява6 ?

2.8, Andrey Mitrofanov (?), 11:51, 15/04/2015 [^] [^^] [^^^] [ответить]	–1 +/–
> А гугл по прежнему никак не работает с апстримом openjdk? И на > андроиде до сих пор Ява6 ? Во-первых, у них не жава, а дальвик. Во-вторых, они продают не цифеку рядом со словом "java", а рекламу. Поэтому они продают циферку рядом со словом "андроид". Понимать же надо!

3.9, Аноним (-), 12:01, 15/04/2015 [^] [^^] [^^^] [ответить]	+2 +/–
то что у них VM дальвик это одно, но то что код базируется на java 6 уже несколько лет, это другое. Собственно вопрос был, кто-либо видел представителей Гугла в JSR в последние годы? Или где видел/читал про поддержку со стороны Гугла языковых новшеств из java 8?

4.10, Аноним (-), 12:21, 15/04/2015 [^] [^^] [^^^] [ответить]	–3 +/–
Use Qt, Luke, and drop out that shit called java.

4.12, Andrey Mitrofanov (?), 12:32, 15/04/2015 [^] [^^] [^^^] [ответить]

+2 +/–

> то что у них VM дальвик это одно, но то что код
> базируется на java 6 уже несколько лет, это другое. Собственно вопрос
> был, кто-либо видел представителей Гугла в JSR в последние годы? Или

Да, не нужен им оракловский лок-ин, у них свой embarrass-n-extend с дальвиками и ART-ами.

Если бы мне это надо было, я бы поискал в гуглях java-8 android и увидел про поддержку jse7, отдельных фич se8, использование jdk8 для андроидо-девелопмента, прекращение поддержки Harmony апач-могилой и пр. совершенно не интересные мне нагромождения сущностей.

Вас эти нагромождения интересовали так же мало?

> где видел/читал про поддержку со стороны Гугла языковых новшеств из java 8?

Трансляция байт-кодов http://zserge.com/blog/android-lambda.html же! Прогрессивно-молодёжно.

ЗЫЖ И да, кому надо "плановых исправлений безопасности" от гугля -- это не к андроиду, это на хромы надо "прыгать".

1.13, Michael Shigorin (ok), 12:50, 15/04/2015 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
У оракловых работяг замечена милая манера ломать, порой существенно, "стабильные" ветки по сборке; на этот раз 5.5.x не собирается вот так: http://lists.altlinux.org/pipermail/devel/2015-April/199748.html (и да, при Sun такого тоже не было).

1.14, Аноним (-), 13:25, 15/04/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
derby починили?

1.15, Клыкастый (ok), 14:22, 15/04/2015 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
жаба, флеш, проблемы с безопасностью. это уже давно как "Мир. Труд. Май".

1.16, YetAnotherOnanym (ok), 14:52, 15/04/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> Все 14 уязвимостей в Java могут быть эксплуатированы удалённо без проведения аутентификации Мда... Этак и PHP будет выглядеть более безопасной платформой...

2.17, Andrey Mitrofanov (?), 16:08, 15/04/2015 [^] [^^] [^^^] [ответить]	+/–
> Мда... Этак и PHP будет выглядеть более безопасной платформой... Не хватает FLOSS-платформы для распространения уязвимостей, killer-аппа, т-скзть. Ср.: wordpress.

1.18, Аноним (-), 00:05, 16/04/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Аккунтинга???? Лол!

1.19, Анонимммм (?), 02:08, 16/04/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> 2 уязвимостях в VirtualBox (максимальная степень опасности 4.3) Автор новости полагает, что "Oracle VM Server for SPARC" и "VirtualBox" - это одно и тоже?

1.20, Аноним (-), 05:15, 16/04/2015 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Какая боль https://github.com/mysql/mysql-server

Добавить комментарий

Текст: