The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей

17.10.2017 23:45

Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В октябрьском обновлении в сумме устранено 252 уязвимости.

В выпуске Java SE 8u151 и 9.0.1 устранено 22 проблемы с безопасностью, 20 из которых могут быть эксплуатированы удалённо без проведения аутентификации. 2 уязвимостям присвоен критический уровень опасности (CVSS Score 9 и выше). 12 проблем проявляются только на клиентских системах (запуск в браузере Java Web Start и Java-апплеты) и 10 затрагивают как клиентов, так и серверные конфигурации Java.

Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:



  1. Главная ссылка к новости (https://blogs.oracle.com/oracl...)
  2. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: oracle, java, mysql
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (10) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.3, лютый жабист__ (?), 06:55, 18/10/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Интерсно, какой жизненный цикл проблем безопасности в жабе. Неужели никто не проверяет? В ядре по имени линух например частенько бывают дырки которым 5 лет. А тут, складывается ощущение, закрыли 22 дырки, добавили 25 дырок новых. Через неделю закрыли 25 дырок, добавили 20 новых. Жизнь бурлит, не то что...
     
     
  • 2.4, лютый жабист__ (?), 07:13, 18/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Если почитать что пишут:

    http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html

    то 19 из 22 "удаленных дырок эксплуатируемых без идентификации" по факту "сам запустил браузером через Webstart чужой непроверенный код, а оно ойой моих котиков украло"

    This vulnerability applies to Java deployments, typically in clients running sandboxed Java Web Start applications or sandboxed Java applets, that load and run untrusted code (e.g., code that comes from the internet) and rely on the Java sandbox for security. This vulnerability does not apply to Java deployments, typically in servers, that load and run only trusted code (e.g., code installed by an administrator).

    Оставшиеся 3 все в неком "Java Advanced Management Console", хз что такое.

    Безобразие, даже дырки уже не могут правильно написать, чтобы всё как у пацанов, buffer overflow там и root через алсу.

     
     
  • 3.8, нах (?), 14:32, 18/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > по факту "сам запустил браузером через Webstart чужой непроверенный код

    а как же песни про sandbox и "жаба безопастна"?

    > чтобы всё как у пацанов, buffer overflow там и root через алсу.

    "по факту - сам запустил чужой непроверенный код, причем не в сэндбоксе или контейнере, а имеющий расширенные права - в том числе на доступ к /dev/midi - у веб-сервера, к примеру, такого нет, ибо нахрен не надо"

     
     
  • 4.10, _ (??), 19:40, 18/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >а как же песни про sandbox и "жаба безопастна"?

    Всё. Теперь: "жабы стали жрать наших котегоффф!" Ну и "please uninstall before use" (C)

     
  • 4.13, лютый жабист__ (?), 05:40, 19/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >а как же песни про sandbox и "жаба безопастна"?

    Ты из тех буратинок, которые считают, что sandbox например Хромиума тебя спасёт от ЛЮБОЙ малвари? Лично у меня и браузер крутится из под отдельного юзера в системе и JS на большинстве сайтов отключен.

    Ну и вообще, как JVM может быть безопасной, если оно написано на си? ггг

    Знаешь анекдот, что Чайковский был голубым, но любим мы его не за это. Так же и с жабкой...

     

  • 1.5, Аноним (-), 09:03, 18/10/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > В октябрьском обновлении в сумме устранено 252 уязвимости.

    звучит как средняя температура по больнице.

    Давайте такие же новости писать о обновлениях linux дистрибутивов ? Сколько сотен там фиксится при очередном обновлении?

     
  • 1.6, max (??), 14:04, 18/10/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    "В Solaris в нынешнем обновлении проблем не зафиксировано!" - О, как! Здорово конечно, но есть смутные сомнения что это связано с увольнениями сотрудников по этому направлению. (
     
     
  • 2.7, Аноним (-), 14:09, 18/10/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Что мертво умереть не может!
     
     
  • 3.11, A.Stahl (ok), 21:00, 18/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Граф Дракула удивлённо приподнимает бровь...
     
  • 3.12, max (??), 21:10, 18/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Что мертво умереть не может!

    Зря вы так!!! 8 лет уже в банке работает, никаких нареканий. Начинали с серваков T4, сейчас Т7, только положительные эмоции у наших админов.

     
     
  • 4.15, Аноним (-), 17:07, 20/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Linux работал бы с таким-же успехом.
     
     
  • 5.16, max (??), 09:04, 23/10/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Linux работал бы с таким-же успехом.

    А вот на Linux не проверяли, такого опыта нет, но возможно вы правы. Но я говорил о факте работы, а не о возможностях!

     

  • 1.9, Аманим (?), 15:36, 18/10/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    (Дж)Ява перестала давненько быть для десктопа что-то. А всё - для энтерпрайза - это скучно. Makagiga - вяло развивается. gngr - сдох...
     
     
  • 2.14, OramahMaalhur (ok), 17:18, 19/10/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Как бы у джавы целевая ниша вовсе не десктоп. Хотя, вот, jitsi развивается.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    MIRhosting
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру