форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Компания Oracle выпустила критическое обновление Java SE с у..."	+/–
Сообщение от opennews (??) on 02-Фев-13, 10:51
Компания Oracle представила (https://blogs.oracle.com/security/entry/february_2013_critic...) крупнейшее в истории обновления с исправлением проблем безопасности в Java SE -  Java SE 7 Update 13 (http://www.oracle.com/technetwork/java/javase/7u13-relnotes-...) и Java SE 6 Update 39 (http://www.oracle.com/technetwork/java/javase/6u39-relnotes-...), в которых устранено 50 уязвимостей (http://www.oracle.com/technetwork/topics/security/javacpufeb...), 26 из которым присвоен максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента.  Изначально, выпуск обновлений был запланирован на 19 февраля, но был выпущен раньше срока, так как одна критическая уязвимость, исправленная в браузерном Java-плагине, имеет характер zero-day проблемы, для которой в сети уже зафиксированы факты эксплуатации. Все критические проблемы подвержены удалённой эксплуатации без необходимости аутентификации. 23 критические уязвимости проявляются на стороне клиента при обработке в браузерном плагине специально оформленного Java Web Start приложения или Java-апплета, трём проблемам подвержены как клиентские, так и серверные системы (эксплуатация через обращение к серверному API). Отдельно отмечаются 2 уязвимости в серверном компоненте JSSE (Java Secure Socket Extension). Из общего числа проблем 49 уязвимостей могут быть эксплуатированы удаленно с вектором атаки через сеть без предварительной аутентификации. 39 уязвимостей выявлено в Java Runtime Environment, а 11 в JavaFX. Из уязвимостей в JRE две проблемы найдены в 2D-подсистеме, 4 в CORBA, 4 в AWT, 10 в Deployment Toolkit, 3 в JMX, 5 в библиотеках, 2 в JSSE, 1 в Java Beans, 1 в системе скриптинга, 1 в звуковой подсистеме, 1 в инсталляторе, 1 в JAX-WS, 1 в JAXP, 1 в RMI,  1 в сетевой подсистеме. В анонсе Oracle отмечается, что опасность эксплуатации проблем безопасности снижена благодаря тому, что начиная с Java SE 7 Update 11 был изменён предлагаемый по умолчанию уровень безопасности. Если ранее при выполнении апплетов использовался средний уровень безопасности, то теперь задействован наивысший уровень, включающий дополнительные проверки и требующий обязательного ручного подтверждения запуска в браузере неподписанных апплетов, приложений Java Web Start или JavaFX. Тем не менее, Адам Говдяк (Adam Gowdiak), известный польский исследователь безопасности, недавно заявил (https://www.opennet.ru/opennews/art.shtml?num=35941), что уровни безопасности можно обойти и они эффективны только в теории. На практике же, достаточно быстро удалось найти уязвимость, позволяющую обеспечить выполнение вредоносного ПО даже при активации наивысшего уровня защиты, вообще запрещающего запуск неподписанных апплетов. Используя указанную уязвимость вредоносное ПО как и раньше может запускаться с открытой страницы, абсолютно незаметно для пользователя. Дополнительно можно упомянуть опубликованную вчера заметку (http://blog.fuseyism.com/index.php/2013/02/01/the-death-of-i.../) Эндрю Хьюза (Andrew Hughes), одного из разработчиков IcedTea  из компании Red Hat, о будущем полностью открытой реализации Java SE. По мнению Эндрю проект IcedTea потерял смысл и близок к своему завершению, так как с выпуском OpenJDK он по сути является его перепаковкой с незначительными локальными патчами. Если текущие ветки IcedTea ещё будут поддерживаться, то будущий выпуск IcedTea на базе Java SE 8 под большим вопросом. URL: https://blogs.oracle.com/java/entry/critical_patch_update_fo... Новость: https://www.opennet.ru/opennews/art.shtml?num=35999
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Компания Oracle выпустила критическое обновление Java SE с у..."	+/–
Сообщение от Аноним (??) on 02-Фев-13, 10:51
>критическое обновление Оно в самом деле критическое?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Компания Oracle выпустила критическое обновление Java SE с у..."	+4 +/–
	Сообщение от Lain_13 (ok) on 02-Фев-13, 12:25
	26 дыр максимального уровня закрывает, одна из которых уже эксплуатируется. Да, наверное не критическое, а так, самое обычное обновление безопасности. Можешь не ставить, если лень.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	13. "Компания Oracle выпустила критическое обновление Java SE с у..."	+3 +/–
	Сообщение от pavlinux (ok) on 02-Фев-13, 16:12
	> Update 13 Звучит прям как название очередного космического ужастика =:)
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	21. "Компания Oracle выпустила критическое обновление Java SE с у..."	+/–
	Сообщение от Lain_13 (ok) on 02-Фев-13, 20:25
	>> Update 13 > Звучит прям как название очередного космического ужастика =:) У тебя трискаидекафобия :?
	Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

	30. "Компания Oracle выпустила критическое обновление Java SE с у..."	+1 +/–
	Сообщение от Аноним (??) on 03-Фев-13, 00:31
	> У тебя трискаидекафобия :? Не знаю как у него, а для оракла число и правда не очень счастливое :).
	Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

	37. "Компания Oracle выпустила критическое обновление Java SE с у..."	+/–
	Сообщение от Аноним (??) on 03-Фев-13, 05:54
	> 26 дыр максимального уровня закрывает, одна из которых уже эксплуатируется. Как минимум, три. Просто эксплоитов нет в паблике.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

2. "Компания Oracle выпустила критическое обновление Java SE с у..."	+1 +/–
Сообщение от YetAnotherOnanym (ok) on 02-Фев-13, 10:53
Ждём сообщений о дырах в новой жабе.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Компания Oracle выпустила критическое обновление Java SE с у..."	–5 +/–
Сообщение от Аноним (??) on 02-Фев-13, 11:11
Надеюсь оракль не пожалел бабок своим линейным [s]юнитам[/s] разработчикам, пашут как путин на галерах
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Критическое обновление Java SE с устранением 50 уязвимостей"	–14 +/–
Сообщение от iZEN (ok) on 02-Фев-13, 12:31
Не знаю, как в линуксах, а linux-sun-jre17 7.13 (порт java/linux-sun-jre17 http://www.freshports.org/java/linux-sun-jre17/ ) и linux-sun-jdk17 7.13 (порт java/linux-sun-jdk17 http://www.freshports.org/java/linux-sun-jdk17/ ) уже в коллекции портов FreeBSD. :))
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	6. "Критическое обновление Java SE с устранением 50 уязвимостей"	+13 +/–
	Сообщение от anoname on 02-Фев-13, 13:38
	Это очень ценное сообщение, спасибо.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	9. "Критическое обновление Java SE с устранением 50 уязвимостей"	+5 +/–
	Сообщение от Аноним (??) on 02-Фев-13, 14:32
	А у меня уже в коллекции слакбилдов java.SlackBuild для Oracle jdk/jre 7u13, и чо? Вместо того, чтобы постить всякую хрень, ты бы лучше пилил дрова для оптимуса под фряху, было бы больше пользы.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	11. "Критическое обновление Java SE с устранением 50 уязвимостей"	+3 +/–
	Сообщение от ананим on 02-Фев-13, 15:24
	он же уже несколько раз говорил, что на винде сидит. а с фряхой… это он так кворум гпл-хэйтеров создаёт. трухин, только с жабой вместо дотнета.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	38. "Критическое обновление Java SE с устранением 50 уязвимостей"	+/–
	Сообщение от Аноним (??) on 04-Фев-13, 07:18
	Кстати, где Трухин? Кто знает, что с ним? Неужто заболел^W нашёл работу?
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	22. "Критическое обновление Java SE с устранением 50 уязвимостей"	–1 +/–
	Сообщение от iZEN (ok) on 02-Фев-13, 20:26
	> А у меня уже в коллекции слакбилдов java.SlackBuild для Oracle jdk/jre 7u13, и чо? Хотел получить отзывы от пользователей дистрибутивов Linux, появились ли у них обновления JRE/JDK7u13 в репозиториях используемых ими дистрибутивов. Насколько оперативно среагировали мантейнеры дистрибутивов Linux на официальный апдейт Явы. > Вместо того, чтобы постить всякую хрень, ты бы лучше пилил дрова для оптимуса под фряху, было бы больше пользы. "Оптимус" это что?
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	23. "Критическое обновление Java SE с устранением 50 уязвимостей"	+1 +/–
	Сообщение от IMHO on 02-Фев-13, 20:55
	> "Оптимус" это что? видеокарты NVidia, за нее Торвальдс факью показал
	Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

	24. "Критическое обновление Java SE с устранением 50 уязвимостей"	+/–
	Сообщение от Michael Shigorin (ok) on 02-Фев-13, 23:11
	> Насколько оперативно среагировали мантейнеры дистрибутивов Linux > на официальный апдейт Явы. https://www.opennet.ru/opennews/art.shtml?num=31622
	Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

	25. "Критическое обновление Java SE с устранением 50 уязвимостей"	+/–
	Сообщение от админик on 02-Фев-13, 23:37
	И правильно сделала тк нечего перепаковывать оригинальные файлы Oracle JDK. Хочется свое - используйте OpenJDK reference implementation, а если это Oracle JDK – он должен быть таким, как его задумал Oracle. Никто не мешает в репозиторий его положитъ вообще
	Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

	27. "Критическое обновление Java SE с устранением 50 уязвимостей"	–1 +/–
	Сообщение от ананим on 02-Фев-13, 23:54
	Ха! Ещё как мешает. Чтобы скачать ораклждк, нужно зайти на сайт и согласиться с условиями. Если в бзде это не так, то они банально нарушают права оракла. Ворюги другими словами. Зыж К примеру в генту это реализовано так — ставишь сабж, выдаётся мезедж "сходите на <урл>, скачайте после подтверждения (надо поставить галку и нажать аксепт. Ну можно ещё прочитать,  что это жаба не для террористов и тд.), после скачивания скопируйте туда-то. Потом нажмите У". Короче, вгетом не скачаешь. А в свою репу низя. Если ты не айзн-террорист конечно.
	Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

	35. "Критическое обновление Java SE с устранением 50 уязвимостей"	+/–
	Сообщение от BayaN (ok) on 03-Фев-13, 02:39
	>Если в бзде это не так Так. Топай на сайт, скачивай, кидай в distfiles и устанавливай.
	Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

	36. "Критическое обновление Java SE с устранением 50 уязвимостей"	+/–
	Сообщение от ананим on 03-Фев-13, 02:47
	влом. надо будет, поставлю.
	Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

7. "Критическое обновление Java SE с устранением 50 уязвимостей"	+2 +/–
Сообщение от Crazy Alex (ok) on 02-Фев-13, 14:13
Интересно, хоть неделю продержится до нового сообщения об уязвимости?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	12. "Критическое обновление Java SE с устранением 50 уязвимостей"	+/–
	Сообщение от ананим on 02-Фев-13, 15:26
	ну так дочитайте последний абзац.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	16. "Критическое обновление Java SE с устранением 50 уязвимостей"	+/–
	Сообщение от Crazy Alex (ok) on 02-Фев-13, 18:18
	Ну так это ж о состоянии до этого апдейта?
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	19. "Критическое обновление Java SE с устранением 50 уязвимостей"	+1 +/–
	Сообщение от ананим on 02-Фев-13, 19:07
	а где написано, что апдэйт это закрыл? насколько я понял как раз таки нет.
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

	31. "Критическое обновление Java SE с устранением 50 уязвимостей"	+/–
	Сообщение от Crazy Alex (ok) on 03-Фев-13, 00:53
	Из новости непонятно, но претензия была к апдейту 11, а это уже 13-й. Я, конечно, понимаю, что Оракл слоупоки, но не до такой степени же.
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

	34. "Критическое обновление Java SE с устранением 50 уязвимостей"	+/–
	Сообщение от ананим on 03-Фев-13, 02:31
	и тем не менее, в фразе: >Тем не менее, Адам Говдяк (Adam Gowdiak), известный польский исследователь… именно «тем не менее» наводит на мысль, что автор новости как раз и имел в виду, что сабж тем не менее уязвим. ну, наверное можно спросить у автора, что он под этим имел в виду.
	Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

8. "Критическое обновление Java SE с устранением 50 уязвимостей"	+/–
Сообщение от Аноним (??) on 02-Фев-13, 14:15
После некоторой критики со стороны некоторых личностей, Oracle все же выпускает обновление. В котором уязвимостей даже больше чем в списке, который обсуждался.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	15. "Критическое обновление Java SE с устранением 50 уязвимостей"	+/–
	Сообщение от Аноним (??) on 02-Фев-13, 18:08
	Это просто сообщения, я не думаю что они радикально в коде все обновляли Мы все прекрасно понимает как Оракл плюет на людей
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	40. "Критическое обновление Java SE с устранением 50 уязвимостей"	+/–
	Сообщение от Аноним (??) on 04-Фев-13, 12:20
	> Это просто сообщения, я не думаю что они радикально в коде все > обновляли > Мы все прекрасно понимает как Оракл плюет на людей Он так-то не обязан быть лицом к ним. Видишь ли, в компании в 35 тыщ эмплоёв никакие дела быстро - не делаются. По определению просто.
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Критическое обновление Java SE с устранением 50 уязвимостей"	+5 +/–
Сообщение от kai3341 (ok) on 02-Фев-13, 19:01
> Критическое обновление Java SE с устранением 50 уязвимостей Мне кажется, это опять не повод Мозиле исключать java-плагин из чёрного списка :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	18. "Критическое обновление Java SE с устранением 50 уязвимостей"	+/–
	Сообщение от Аноним (??) on 02-Фев-13, 19:06
	Mozilla хороший пинок под зад дал Oracle, Отключение Java в браузере обезапасит от FBI бэкдоров
	Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

	26. "Критическое обновление Java SE с устранением 50 уязвимостей"	+/–
	Сообщение от Имя on 02-Фев-13, 23:38
	>  Mozilla хороший пинок под зад дал Oracle, Хотел бы согласиться, но яббл тоже пнул.
	Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

	28. "Критическое обновление Java SE с устранением 50 уязвимостей"	+1 +/–
	Сообщение от Аноним (??) on 03-Фев-13, 00:08
	а пнуть лежачий мелкософт? это же святое
	Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

20. "Критическое обновление Java SE с устранением 50 уязвимостей"	+1 +/–
Сообщение от iFRAME (ok) on 02-Фев-13, 20:23
>Отключение Java в браузере обезапасит от FBI бэкдоров От FBI бекдоров не обезопасит ничто.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Критическое обновление Java SE с устранением 50 уязвимостей"	+/–
Сообщение от Аноним (??) on 03-Фев-13, 00:30
> с устранением 50 уязвимостей Оракл - это масштабно, энтерпрайзно.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	32. "Критическое обновление Java SE с устранением 50 уязвимостей"	+/–
	Сообщение от Аноним (??) on 03-Фев-13, 01:16
	Fail Enterprise
	Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

33. "Критическое обновление Java SE с устранением 50 уязвимостей"	+/–
Сообщение от AnonuS on 03-Фев-13, 01:46
Блин, тока вчерась до "Java SE 6 Update 38" обновился, теперь опять... Интересно чем ответит на это Адам?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "Критическое обновление Java SE с устранением 50 уязвимостей"	+/–
Сообщение от Odity on 04-Фев-13, 08:47
Вот долбаебская политика по выпуску заплаток - все по графику. пусчай хоть что то поработает.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема