Компания Oracle представила (https://blogs.oracle.com/security/entry/january_2016_critica...) плановый выпуск обновлений своих продуктов, в которых в сумме устранено 248 уязвимостей (http://www.oracle.com/technetwork/topics/security/cpujan2016...). В выпусках Java SE 8u71 и 8u72 (http://www.oracle.com/technetwork/java/javase/downloads/inde...) устранено 8 проблем с безопасностью, из которых 7 могут быть эксплуатированы удалённо без проведения аутентификации. Трём уязвимостям присвоен (http://www.oracle.com/technetwork/topics/security/cpuoct2015...) максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента. При этом, две критические проблемы проявляются только на клиентских системах (запуск в браузере Java Web Start и Java-апплеты), а одна затрагивает как клиентов, так и серверные конфигурации Java.
Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:
- 22 уязвимости (http://www.oracle.com/technetwork/topics/security/cpuoct2015...) в MySQL (максимальный уровень опасности 7.2). Проблемы устранены в прошлогодних выпусках MySQL Community Server 5.6.27 (http://dev.mysql.com/downloads/mysql/) и 5.5.46.
- 20 уязвимостей (http://www.oracle.com/technetwork/topics/security/cpuoct2015...) в Solaris (максимальный уровень опасности 7.8), в том числе удалённо эксплуатируемые уязвимости в NFSv4 и утилитах SMB, а также локальная уязвимость в ядре (в реализации Solaris Zones);
- 6 уязвимостей (http://www.oracle.com/technetwork/topics/security/cpuoct2015...) в VirtualBox (максимальная степень опасности 7.5, две проблемы в реализации SSL/TLS могут эксплуатироваться удалённо. Уязвимости устранены в обновлениях VirtualBox 5.0.14, 4.3.36, 4.2.36, 4.1.44, 4.0.36 (http://blog.gmane.org/gmane.comp.emulators.virtualbox.announce/);
URL: https://blogs.oracle.com/java/entry/new_release_jdk_8u71_and
Новость: https://www.opennet.ru/opennews/art.shtml?num=43702