The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей

17.01.2018 09:32

Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В январском обновлении в сумме устранено 237 уязвимостей, в том числе в некоторые продукты внесены исправления для блокирования атак Spectre и Meltdown.

В выпусках Java SE 8u161/8u162 и 9.0.4 устранена 21 проблема с безопасностью. 18 уязвимостей могут быть эксплуатированы удалённо без проведения аутентификации. 3 уязвимостям присвоен уровень опасности 8.3, критических проблем с CVSS Score 9 и выше в этот раз не выявлено. 7 проблем проявляются только на клиентских системах (запуск в браузере Java Web Start и Java-апплеты) и 10 затрагивают как клиентов, так и серверные конфигурации Java.

Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

  • 22 уязвимости в MySQL (максимальный уровень опасности 7.5), из которых 3 позволяют выполнить атаку удалённо без прохождения аутентификации. Проблемы устранены в выпусках MySQL Community Server 5.7.21, 5.6.39 и 5.5.59.
  • 12 уязвимостей в VirtualBox (максимальная степень опасности 8.8). В том числе добавлена защита от проведения атаки Spectre. Уязвимости устранены в сегодняшних обновлениях VirtualBox 5.2.6 и 5.1.32.
  • 5 проблем в Solaris (максимальная степень опасности 7.1 - проблемы в ядре, связанные с обработкой пакетов ICMP).


  1. Главная ссылка к новости (https://blogs.oracle.com/oracl...)
  2. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
  3. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
  4. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
  5. OpenNews: Раскрыты подробности двух атак на процессоры Intel, AMD и ARM64
  6. OpenNews: Эксплоиты и тесты производительности, связанные с уязвимостями Meltdown и Spectre
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: oracle, mysql, virtualbox
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (40) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.3, пох (?), 09:38, 17/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > в том числе в некоторые продукты внесены исправления для блокирования атак
    > Spectre и Meltdown (https://www.opennet.ru/opennews/art.shtml?num=47856).

    теперь будет тормозить еще и virtualbox

    > в Solaris (максимальная степень опасности 7.1, крах ядра при обработке некорректных
    > пакетов ICMP).

    а в illumos добро пожаловать с ping-of-death ?

     
     
  • 2.4, _hide_ (ok), 09:46, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Да он и так тормозит, потому что работает на ОС с "патчами"
    Последние ядра в Ubuntu обновились, потерялось 50% производительности в VirtualBox при активной работе с кучей. Чувствуешь себя обманутым наперсточниками.
     
     
  • 3.7, _hide_ (ok), 10:13, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Моё исследование производительности (на примере парсера, который пускаю в VB, потому что большая часть кода общая с GUI под винду)
    1. linux-image-4.13.0-26-generic, VB 5.2.4, винда без патчей -- 0:48 - меньше минуты(!)
    2. linux-image-4.13.0-29-generic, VB 5.2.4, винда без патчей -- 1:20 - потери >50%
    3. linux-image-4.13.0-30-generic, VB 5.2.6, винда без патчей -- 3:24 - комментарии излишни

    Сразу возникают вопросы:
    1. Каким образом в Google не просела производительность
    2. Мне что, для работы две машины теперь держать - одну в изоляции без патчей, а другую с патчами?
    3. Intel все, его больше не берем, потому что как на Atom 2009 года пересел
    4. А если ещё на винду патчи поставить?

     
     
  • 4.8, iPony (?), 10:25, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > А если ещё на винду патчи поставить?

    А ты налей и отойди (с)

     
  • 4.9, Andrey Mitrofanov (?), 10:26, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Моё исследование производительности (на примере парсера, который пускаю в VB, потому что
    > большая часть кода общая с GUI под винду)
    > 1.
    >0:48 - меньше минуты(!)
    > 2.
    >1:20 - потери >50%

    Арифметику пора повторить, устный счёт подтянуть.

    $ echo 'scale=2;a=1*60+20;b=48;(a-b)/a*100' |bc
    40.00
    $ _

    > Сразу возникают вопросы:
    > 1. Каким образом в Google не просела производительность

    Внимательно читаем:

    05.01.2018 23:26  Google считает незначительным влияние на производительность патчей для блокирования атак Meltdown и Spectre

    "считает незначительным" != "не просела"

     
     
  • 5.11, EHLO (?), 10:42, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Моё исследование производительности (на примере парсера, который пускаю в VB, потому что
    >> большая часть кода общая с GUI под винду)
    >> 1.
    >>0:48 - меньше минуты(!)
    >> 2.
    >>1:20 - потери >50%
    > Арифметику пора повторить, устный счёт подтянуть.
    > $ echo 'scale=2;a=1*60+20;b=48;(a-b)/a*100' |bc
    > 40.00
    > $ _

    $ if (( 60 + 20 > 48 + 48/2 )); then echo больше; else echo не; fi
    больше

     
     
  • 6.14, Andrey Mitrofanov (?), 10:57, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >> $ echo 'scale=2;a=1*60+20;b=48;(a-b)/a*100' |bc
    >> 40.00
    > $ if (( 60 + 20 > 48 + 48/2 )); then
    > echo больше; else echo не; fi
    > больше

    ;b=48;(a-b)*100./b' |bc
    66.66

    Сажусь, двойка.

     
  • 6.15, angra (ok), 11:01, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Да начнется битва математиков за истину :)

    Выступлю на стороне Андрея. Потраченное время обратно пропорционально производительности. Надеюсь не надо объяснять почему. Считаем производительность в попугаях: P1=1/48; P2=1/80; Смотрим сколько процентов от P1 составляет P2: P2/P1=80/48=0.6. То есть падение производительности на 40%. Затраченное время при этом растет на другую величину.
    Вообще для упрощения понимания таких случаев надо ставить экстремальные значения, например 99.99%.

     
  • 5.12, _hide_ (ok), 10:43, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Арифметика тут не причем - я только скорость парсинга показывал (мне же сидеть в отладчике на минуту дольше!) - ещё прочитать и подготовить к парсингу файлы - там вообще без комментариев: было 10 - стало 30-35, но там ФС кеширует, так что норм - последующие запуски уже не напрягают. Как раз и получается - чуть больше 50%.
     
     
  • 6.13, _hide_ (ok), 10:52, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    4. linux-image-4.13.0-26-generic, VB 5.2.6, винда без патчей -- 1:08 - исправили, так исправили
    5. linux-image-4.13.0-26-generic, VB 5.2.4, винда без патчей -- 0:48 - полный откат
     
  • 5.24, КО (?), 15:58, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    При определении процента изменений, в качестве основания обычно берут исходную величину (48), а не новую - 80. т.е. 32/48=0,66[6]
     
  • 4.16, iZEN (ok), 11:24, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    А чё, собрать и установить кастомное ядро Linux без патчей не осиливаем?
     
  • 4.18, Аноним (-), 12:59, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    А какие цифры если сделать
    echo 0 > /sys/kernel/debug/x86/pti_enabled
    ?
     
     
  • 5.19, _hide_ (ok), 13:43, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Не влияет. Никак!
     
  • 4.20, пох (?), 13:56, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > 1. Каким образом в Google не просела производительность

    просела, "считают незначительным" (читай - у нас настолько много денег, что даже если придется удвоить количество картонок в контейнерах - мы не заметим)

    > 2. Мне что, для работы две машины теперь держать - одну в
    > изоляции без патчей, а другую с патчами?

    и чем это поможет?

    > 4. А если ещё на винду патчи поставить?

    меня изумляет, почему ты этого еще не сделал - у тебя прекрасный тестовый стенд, с известными показателями производительности, есть с чем сравнивать, сделай снапшот да и поставь.

    Мне, к примеру, интересно было бы увидеть результаты.


     
     
  • 5.37, _hide_ (ok), 10:08, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >>> и чем это поможет?

    Ну сейчас у меня для этих целей виртуалка - в мир смотрит только полностью обновленный хост, а гость никуда не смотрит, сидит себе в виртуалке
    >>> почему ты этого еще не сделал

    зачем мне в гостевой нужны патчи для хоста?

     
     
  • 6.38, пох (?), 18:03, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >>>> и чем это поможет?
    > Ну сейчас у меня для этих целей виртуалка - в мир смотрит

    дык - прикол в том, что память прекрасно протекает и между виртуалками - тоже.

    >>>> почему ты этого еще не сделал
    > зачем мне в гостевой нужны патчи для хоста?

    у нее _собственная_ таблица страниц - так что она точно так же уязвима. Даже если хост ты запатчил.


     
  • 3.17, Аномномномнимус (?), 11:45, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Оффтопик на работе с VisualStudio в режиме дебага после патчей стал тормозить ещё круче, плюс иногда виснет. Эти патчи - сплошная боль. И даже непонятно, когда ждать нормальных процов с пофикшенной уязвимостью (не кривым фиксом на фирмварь, точно так же убивающим перфоманс, а именно новые пофикшенные)
     
     
  • 4.21, пох (?), 13:58, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > даже непонятно, когда ждать нормальных процов с пофикшенной уязвимостью (не кривым

    если у тебя денег больше чем у гугля - непоянтно, зачем чего-то ждать.
    У серых ничтожеств, в отличие от вас, нет возможности сменить процессоры на "нормальные", не поменяв заодно материнки и память, которые, разумеется, несовместимы.


     
     
  • 5.26, Аномномномнимус (?), 17:03, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    У тебя ко мне очень странные предъявы...
    Ты забыл включить мозг?
    Я не предлагаю менять материнки и прочее. Я спрашиваю, когда ХОТЯ БЫ для продающихся сегодня материнок выйдут исправленные процессоры, чтобы знать, сколько месяцев не стоит ничего вообще покупать, дабы серым типа меня не платить дважды (за хреновый проц и за второй).
    Ты ещё обидься на меня, что патчи к win95 на данную уязвимость Microsoft не написал
     
     
  • 6.29, пох (?), 20:17, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Я спрашиваю, когда ХОТЯ БЫ для продающихся сегодня материнок

    а, ну так кто забыл включить мозг-то? Никогда. По тем же причинам, по которым нет патчей для win95(кстати, ей и не нужны, там по сути нет изоляции процессов)

    Ну кроме может быть самых распоследних CoffeeLake, которые не существуют и не планируются в серверных сериях. платы для них "сегодня продаются", но тебе от этого, полагаю, не жарко и не холодно.

    Серию на замену KabyLake безусловно выпустят еще до конца года, но очень навряд ли ее можно будет втыкать в 1151 или даже в xeon'овые слоты. (что, собственно, уже имеем с десктопной серией, где даже слот называется 1151...но это не тот 1151, и старые i7 туда поставить нельзя ;-)

    > Ты ещё обидься на меня, что патчи к win95 на данную уязвимость Microsoft не написал

    лучше б он их ни к чему не написал, а то сиди теперь вечно без апдейтов - в том числе будущих, которые будут исправлять другие проблемы. Поскольку нет ни малейшей гарантии, что в них заодно не улучшат что-нибудь в исправлении исправления, и оно не достанется даже тем, кто сумел пропустить 10.01 (включая владельцев amd, которым оно нахрен не вперлось)

     

  • 1.5, anomymous (?), 09:50, 17/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > 5 проблем в Solaris (максимальная степень опасности 7.1 - проблемы в ядре, связанные с обработкой пакетов ICMP)

    А оно разве не закoпано ещё?

     
     
  • 2.10, Аноним (-), 10:26, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Оно ещё нас с тобой переживёт.
     
     
  • 3.30, _ (??), 21:14, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Ну раве только если оракалы его в Apache Foundation спихнут :)
     
  • 2.27, Anonymoustus (ok), 17:16, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    Thursday, January 26, 2017

    [B]Long live Solaris 11! - Until at least 2034 to be exact[/B]

    By: Gerry Haskins | Director Security and Release Management

    In case you haven't heard, the Solaris 11 support dates have been extended by 10 years to 2031 for Premier Support and 2034 for Extended Support. This provides long term protection for customers' investment in Solaris.  See page 34 (page 37 in the PDF) of the Oracle Lifetime Support Policy: Oracle and Sun Systems Software.

    This is because Oracle Solaris is moving to a continuous delivery model using more frequent updates to deliver the latest features faster, while fully preserving customer and ISV qualification investment in the vast array of ISV applications available on Oracle Solaris 11 today.

    New features and functionality will be delivered in Oracle Solaris 11 through “dot” update releases (11.x), instead of major releases. See https://blogs.oracle.com/solaris/entry/oracle_solaris_moving_to_a.

    This is consistent with industry trends and addresses customer requirements for a smooth transition path between versions, providing ongoing innovation with assured investment protection.

    By moving to a continuous delivery model based on Oracle Solaris 11, customers will have a seamless update experience to better fit their move to agile deployment models.  

    I've updated my Overview of Solaris Release Cadence to reflect the changes and I'm in the process of updating the corresponding Doc 2114039.1.

    And in case you're wondering, SPARC development also continues apace.  See The Oracle SPARC and Oracle Solaris roadmap.

    Personally, I'm taking on an expanded role as the Release Management Director, so my job will be to get the products on the roadmap released on time, with the quality you've come to expect. No pressure so! :)

    Best Wishes,

    Gerry.

    https://blogs.oracle.com/solaris11life/long-live-solaris-11-until-at-least-203

     
     
  • 3.31, _ (??), 21:16, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ТоварищЪ - верЬ! (С)
     
     
  • 4.33, Anonymoustus (ok), 21:40, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > ТоварищЪ - верЬ! (С)

    Когда закончатся винды, пингвины, бзди и маки, я буду посмеиваться, глядя на упадок мира из своей Солярки 11.

     

  • 1.6, Аноним (-), 10:02, 17/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >проблемы в ядре, связанные с обработкой пакетов ICMP

    ping of death в 2018м году?

     
     
  • 2.22, oracle (?), 13:59, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >>проблемы в ядре, связанные с обработкой пакетов ICMP
    > ping of death в 2018м году?

    все нормально, этот код Sun писала в 1998-м

     

  • 1.23, Аноним (-), 15:39, 17/01/2018 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >В выпусках Java SE 8u161/8u162 и 9.0.4 устранена 21 проблема с безопасностью.

    В managed языках не может быть уязвимостей! Вы врёти

     
     
  • 2.28, IB (?), 19:07, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    И доказательством этого выступает Пыхпых
     
     
  • 3.32, _ (??), 21:18, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    люто ... пых нынче - managed? :-)))))
     
     
  • 4.34, Anonymoustus (ok), 21:41, 17/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > люто ... пых нынче - managed? :-)))))

    Если на один пых, то да. Если на больше, то надо смотреть.

     
  • 4.35, angra (ok), 00:24, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет, что ты, там ручное выделение/освобождение памяти и адресная арифметика.
     
  • 2.36, лж__ (?), 06:31, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >В managed языках не может быть уязвимостей! Вы врёти

    Вообще-то уязвимости в JVM, которая написана на могучем си... ещё вопросы?

     
     
  • 3.39, Аноним (-), 21:45, 18/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >>В managed языках не может быть уязвимостей! Вы врёти
    > Вообще-то уязвимости в JVM, которая написана на могучем си... ещё вопросы?

    https://www.openhub.net/p/openjdk
    > Java 71% XML 9% C++ 11% 19 Other 9%

    https://github.com/dmlloyd/openjdk
    > Java 78.9% C++ 11.8% C 4.8% JavaScript 1.2% Roff 1.0% Shell 1.0% Other 1.3%

    Давно бы переписали эти несчастные 11% на жабу, если все ошибки лезут оттуда.

     
     
  • 4.40, лютый ж__ (?), 05:50, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >Давно бы переписали эти несчастные 11% на жабу, если все ошибки лезут оттуда.

    Вы перепутали, безопасность и скорость это то, на что сишники др.чат (но с первым у них ещё хуже, чем у жабистов).

    Вообще, подавляющее большинство "страшных дырок в hotspot" это "applies to clients running sandboxed Java Web Start applications or sandboxed Java applets, that load and run untrusted code and rely on the Java sandbox for security"
    только эксперты опеннета по ссылкам не ходют жеж

     
     
  • 5.41, Аноним (-), 16:44, 19/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    > Вообще, подавляющее большинство "страшных дырок в hotspot" это "applies to clients running
    > sandboxed Java Web Start applications or sandboxed Java applets, that load
    > and run untrusted code and rely on the Java sandbox for security"

    Ну да, проблемы с безопасностью песочницы и не проблемы вовсе, а так - тьху и растереть. А песочница для красоты и маркетинга, а не безопасности.

    > только эксперты опеннета по ссылкам не ходют жеж

    Самокритично, однако )

     
     
  • 6.42, лж__ (?), 17:28, 20/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >Ну да, проблемы с безопасностью песочницы и не проблемы вовсе,

    Назови хоть ОДНУ песочницу, которую ни разу не сломали. Или свободен...
    От КубеОС до песочницы того же Хромого (который аналогично запускает untrusted code and rely on the  sandbox for security" - всё решeto

     
     
  • 7.43, Аноним (-), 18:59, 20/01/2018 [^] [^^] [^^^] [ответить]  
  • +/
    >>Ну да, проблемы с безопасностью песочницы и не проблемы вовсе,
    > Назови хоть ОДНУ песочницу, которую ни разу не сломали. Или свободен...

    Да-да, а cпектр на самом деле тоже не дыра на десктопах, потому что нет немаргинальных десктопных процов без нее, это знают все и это логично, потому что мы все так повторяем!1 )))

    Для начала тогда давай нормальный источник на
    > подавляющее большинство "страшных дырок в hotspot" это "applies to clients running sandboxed

    Это раз.
    А теперь объясни (по возможности, без излишней жестикуляции, брызг слюной, полыханий и проч), с какого перепугу дыра в песочнице не дыра вовсе, только потому что песочниц без дыр не бывает?
    А то отдает какой-то извращенно-маркетоидной логикой, особенно учитывая, что при этом "сравнении" почему-то напрочь игнорируется количество дыр в песочницах, как будто тот же Хром(иум) — маргинальнейшая маргинальщина и полагается только на принцип неуловимого Джо.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру