OpenForum RSS: Обновление Java SE, MySQL, VirtualBox и других продуктов Ora... https://www.opennet.ru/openforum/vsluhforumID3/105138.html Компания Oracle представила (https://blogs.oracle.com/security/entry/october_2015_critical_patch_update) плановый выпуск обновлений своих продуктов, в которых в сумме устранено 154 уязвимости (http://www.oracle.com/technetwork/topics/security/cpuoct2015-2367953.html). <br><br><br>В выпусках Java SE 8u65 и 8u66 (http://www.oracle.com/technetwork/java/javase/documentation/8u-relnotes-2225394.html) устранено 25 проблем с безопасностью, из которых 24 могут быть эксплуатированы удалённо без проведения аутентификации. 7 уязвимостям присвоен (http://www.oracle.com/technetwork/topics/security/cpuoct2015-2367953.html#AppendixJAVA) максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента. Все критические уязвимости отмечены как легко эксплуатируемые по сети, но проявляющиеся только на клиентских системах (запуск в браузере Java Web Start и Java-апплеты). 5 Обновление Java SE, MySQL, VirtualBox и других продуктов Ora... (Fyfy) https://www.opennet.ru/openforum/vsluhforumID3/105138.html#16 Thu, 22 Oct 2015 11:54:07 GMT "Да их даже в ядре меньше.)) неужели java прям больше ядра?))"<br>А кто вам сказал что ядро больше? Посмотри на WebLogic по сравнению с ним ядро маляшка.<br><br>"Не, я понимаю дыры есть. Но по 25 штук в каждом выпуске, из которых 24 ещё и remote?!"<br>Если бы в разработку ядра вбухивали такое же колличество бабла сколько вбухивают в Java то и в нем бы находили проблемные места с такой же скоростью, а не раз в 100500 лет.<br> Обновление Java SE, MySQL, VirtualBox и других продуктов Ora... (Классический анонимуз) https://www.opennet.ru/openforum/vsluhforumID3/105138.html#15 Thu, 22 Oct 2015 02:31:35 GMT Господа, таки и не пойму, все эти баги в openjdk тоже присутствуют или только в пропиетарной оракловой jdk? <br><br>В линуксах же почти всегда openJDK/JRE используется. Но смущает то, что open выходит параллельно с оракловой. Получается что-то типа сборок chromium vs chrome?<br> Обновление Java SE, MySQL, VirtualBox и других продуктов Ora... (Анончег) https://www.opennet.ru/openforum/vsluhforumID3/105138.html#14 Wed, 21 Oct 2015 18:59:33 GMT &gt; Причём через семь, из двадцати пяти, вирусы и зловреды вываливаются буквально из <br>&gt; системника на пол, пугают окружающих своим безобразным видом и беспардонно разгуливают <br>&gt; по комнате, а вечерами сами по себе играют в танчеги.<br><br>Кстати, где Изя. Срочно требуется его экспертное мнение по этой новости.<br> Обновление Java SE, MySQL, VirtualBox и других продуктов Ora... (Анончег) https://www.opennet.ru/openforum/vsluhforumID3/105138.html#13 Wed, 21 Oct 2015 18:58:26 GMT &gt; ... 7 уязвимостям присвоен максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы ...<br><br>Причём через семь, из двадцати пяти, вирусы и зловреды вываливаются буквально из системника на пол, пугают окружающих своим безобразным видом и беспардонно разгуливают по комнате, а вечерами сами по себе играют в танчеги.<br> Обновление Java SE, MySQL, VirtualBox и других продуктов Ora... (ДяДя) https://www.opennet.ru/openforum/vsluhforumID3/105138.html#12 Wed, 21 Oct 2015 17:33:22 GMT А в MySQL 28.<br> Обновление Java SE, MySQL, VirtualBox и других продуктов Ora... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/105138.html#11 Wed, 21 Oct 2015 17:18:01 GMT Starting each quarter, Oracle Critical Patch Updates (CPU) will now contain both the PSU and CPU, so the DBA may choose to apply just the CPU or apply all patches in the PSU patch bundle (which includes additional fixes). <br><br>Стало яснее. Но как-то раньше не замечал сразу двух версии для скачивания. Плохо следил?<br> Обновление Java SE, MySQL, VirtualBox и других продуктов Ora... (soarin) https://www.opennet.ru/openforum/vsluhforumID3/105138.html#10 Wed, 21 Oct 2015 16:34:45 GMT Ну так CPU и PSU<br> Обновление Java SE, MySQL, VirtualBox и других продуктов Ora... (Аноним) https://www.opennet.ru/openforum/vsluhforumID3/105138.html#9 Wed, 21 Oct 2015 16:20:25 GMT Подскажите, почему два выпуска Java предлагается скачать на сайте Oracle, а не только последний?<br> Обновление Java SE, MySQL, VirtualBox и других продуктов Ora... (пох) https://www.opennet.ru/openforum/vsluhforumID3/105138.html#6 Wed, 21 Oct 2015 11:46:03 GMT &gt; Да их даже в ядре меньше.)) неужели java прям больше ядра?))<br><br>да, уже давно больше - если мерять в килобайтах исходников.<br>Но самое главное - гораздо сложнее. 70% кода ржавого линуксного ведра представляют собой драйвера никому нахрен не сдавшихся экзотических устройств, написанные методом cut-&paste с заменой пары строк, половина из которых давно не работает, потому что тот, кто их для себя любимого делал - давно поменял железки, а проблемы пользователя "у меня не воспроизводится".<br>Поскольку кернельный oops в таком драйвере обычно вообще не считают за security проблему, на них никто и внимания не обращает, кроме уж совсем вопиющих случаев, когда это оказывается драйвер tty.<br>А собственно ядро - штука простая, по большей части, причем эти части довольно компактны и изолированны, ревью делать легко.<br><br>&gt; Не, я понимаю дыры есть. Но по 25 штук в каждом выпуске, из которых 24 ещё и remote?!<br><br>поскольку практически весь функционал того же mysql "remote" (ибо не-remote у нас уже есть прекрасно работающий sqlit