URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 117136
[ Назад ]
Исходное сообщение
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено opennews , 17-Апр-19 11:36 
Компания Oracle опубликовала (https://blogs.oracle.com/security/april-2019-critical-patch-...) плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В апрельском обновлении в сумме устранено 297 уязвимостей (https://www.oracle.com/technetwork/security-advisory/cpuapr2...).

В выпусках Java SE 12.0.1, 11.0.3 и 8u212 (http://www.oracle.com/technetwork/java/javase/downloads/inde...) устранено 5 проблем с безопасностью. Все уязвимости могут быть эксплуатированы удалённо без проведения аутентификации.  Одной уязвимости, специфичной для платформы Windows, присвоен (https://www.oracle.com/technetwork/security-advisory/cpuapr2...) CVSS Score 9.0 (CVE-2019-2699), что соответствует критическому уровню опасности и позволяет неаутентифицированному пользователю по сети скомпрометировать приложения на Java SE. Двум уязвимостям в подсистеме обработки 2D графики присвоен уровнень 8.1 (CVE-2019-2697, CVE-2019-2698). Подробности пока не раскрываются.

Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

-  40 уязвимостей (https://www.oracle.com/technetwork/security-advisory/cpuapr2...) в MySQL (максимальный уровень опасности 7.5). Наиболее опасная проблема
(CVE-2019-2632 (https://security-tracker.debian.org/tracker/CVE-2019-2632)) затрагивает подсистему подключаемых модулей аутентификации. Проблемы будут устранены в выпусках MySQL Community Server 8.0.16, 5.7.26 и 5.6.44 (http://dev.mysql.com/downloads/mysql/).

-  12 уязвимостей (https://www.oracle.com/technetwork/security-advisory/cpuapr2...) в VirtualBox, из которых 7 имеют критическую степень опасности (CVSS Score  8.8). Уязвимости  устранены в обновлениях VirtualBox  6.0.6 и 5.2.28 (https://www.virtualbox.org/wiki/Changelog-6.0) (в примечании (https://www.virtualbox.org/wiki/Changelog) к релизу факт устранения проблем с безопасностью не афиширован). Подробности не сообщаются, но судя по уровню CVSS устранены уязвимости, продемонстрированные (https://www.opennet.ru/opennews/art.shtml?num=50376) на соревновании Pwn2Own 2019 и позволяющие из окружения гостевой системы выполнить код на стороне хост-системы.


позволяют атаковать хост-систему из гостевого окружения.

-  3 уязвимости (https://www.oracle.com/technetwork/security-advisory/cpuapr2...) в Solaris (максимальная степень опасности 5.3 - проблемы в пакетном менеджере IPS, SunSSH и сервисе управления блокировками. Проблемы устранены в выпуске
Solaris 11.4 SRU8 (https://blogs.oracle.com/solaris/announcing-oracle-solaris-1...), в котором также возобновлена поддержка библиотек UCB (libucb, librpcsoc, libdbm, libtermcap,  libcurses) и сервиса fc-fabric, обновлены версии пакетов
ibus 1.5.19, NTP  4.2.8p12,
    Firefox  60.6.0esr,
    BIND  9.11.6,
    OpenSSL  1.0.2r,
    MySQL 5.6.43 & 5.7.25,
    libxml2  2.9.9,
    libxslt  1.1.33,
    Wireshark  2.6.7,
    ncurses  6.1.0.20190105,
    Apache httpd  2.4.38,
    perl 5.22.

URL: https://blogs.oracle.com/security/april-2019-critical-patch-...
Новость: https://www.opennet.ru/opennews/art.shtml?num=50527

Содержание
Сообщения в этом обсуждении
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено YetAnotherOnanym , 17-Апр-19 11:36 
> В выпусках Java SE 12.0.1, 11.0.3 и 8u212 устранено 5 проблем с безопасностью. Все уязвимости могут быть эксплуатированы удалённо без проведения аутентификации.

Джо Армстронг ухмыляется.

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено ryoken , 17-Апр-19 11:52 
5+40+12+3!=297, не..?
Где про остальные дыры? :)
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено A , 17-Апр-19 12:03 
Подозреваю, что в Java SE ):
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Аноним , 17-Апр-19 11:52 
> в котором также возобновлена поддержка библиотек UCB (libucb,
> librpcsoc, libdbm, libtermcap, libcurses)

Кажетсо, срочно извлеченный из криокамеры специалист по программированию на коболе сумел объяснить, почему банковская система сломалась при предыдущем апгрейде  ;-)

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено erthink , 17-Апр-19 12:13 
Вечное сияние чистейшей "безопасности" Java.
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено MVK , 17-Апр-19 12:21 
"уязвимости, специфичной для платформы Windows"
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено erthink , 17-Апр-19 12:24 
> > "уязвимости, специфичной для платформы Windows"

"5 проблем с безопасностью. Все уязвимости могут быть эксплуатированы удалённо без проведения аутентификации."

А "специфичная для Windows" - это вишенка на торте ;)

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено лютый жабист__ , 18-Апр-19 05:54 
>Все уязвимости могут быть эксплуатированы удалённо без проведения аутентификации

Сломаешь последней версии Wildfly, торчащий в инет? У меня их много, никакими nginx-ами не закрыто. Или только кукарекать горазд?

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено лютый жабист__ , 18-Апр-19 05:51 
>Вечное сияние чистейшей "безопасности" Java.

К чему ты хороший фильм приплел?

Кстати, ЖВМ написана на вонючем си, из-за чего она такое рещето. Уж поскорее бы на расте переписали.

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Andrey Mitrofanov , 18-Апр-19 08:20 
>Уж поскорее бы на расте переписали.

Переписывать надо на жавве.

Ты прям как не  жаббист.

Вона, у пи-пи-тонистов получилось.

Хватит песен про Си, начинай уже.

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Аноним , 19-Апр-19 08:34 
Graalvm на подмножестве java написан
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Аноним , 17-Апр-19 12:47 
> Проблемы устранены в выпуске Solaris 11.4 SRU8, в котором ...
> MySQL 5.6.43 & 5.7.25
> 40 уязвимостей в MySQL (максимальный уровень опасности 7.5). ...
> Проблемы будут устранены в выпусках MySQL Community Server 8.0.16, 5.7.26 и 5.6.44.

Какая прелесть. ОНО сразу дырявое выходит. :-)

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Аноним , 17-Апр-19 13:00 
Ну всё. Чтобы запустить приложение Java, помимо ответа "да" на трех экранах и наличия сертификата, нужно будет оформить две доверенности и одно согласие, отсканировать их, отправить по имейлу, а следом довезти оригиналы.
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Аноним , 17-Апр-19 13:05 
> Подробности пока не раскрываются

Вот это забавная тенденция в ИТ сложилась - дать время на устранение, потом открыть подробности. Один нюанс - есть системы, которые обновлять нежелательно, а есть, которые обновить не представляется возможным. И как тут назвать открывателей? Хотя Макаревич уже назвал ...

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено GGG , 20-Апр-19 15:13 
Тех, у кого такие системы есть, надо называть ССЗБ
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Анонм , 17-Апр-19 13:22 
Все уязвимости были связанны с апплетами. Их давно уже выбросили из Java.
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено CHERTS , 17-Апр-19 14:35 
>>Проблемы будут устранены в выпусках MySQL Community Server 8.0.16, 5.7.26 и 5.6.44.

Ключевое слово - БУДУТ, т.к. пока данные релизы еще недоступны и на оф. сайте их нет, зачем писать про то, чего еще нет?

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено forum reader , 18-Апр-19 23:33 
Что бы ты успел предупредить семью, что папка проведет уикенд вне дома плотно занимаясь сексом .
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Аноним , 17-Апр-19 17:55 
Теперь только с регистрацией и СМС? Ничего, недолго им осталось...