The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка  RSS
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от opennews (ok) on 18-Окт-17, 05:46 
Компания Oracle опубликовала (https://blogs.oracle.com/oraclesecurity/october-2017-critica...) плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В октябрьском обновлении в сумме устранено 252 уязвимости (http://www.oracle.com/technetwork/security-advisory/cpuoct20...).  

В выпуске Java SE 8u151 и 9.0.1 (http://www.oracle.com/technetwork/java/javase/downloads/inde...) устранено 22 проблемы с безопасностью, 20 из которых могут быть эксплуатированы удалённо без проведения аутентификации.  2 уязвимостям присвоен (http://www.oracle.com/technetwork/security-advisory/cpuoct20...) критический уровень опасности (CVSS Score 9 и выше). 12 проблем проявляются только на клиентских системах (запуск в браузере Java Web Start и Java-апплеты) и 10 затрагивают как клиентов, так и серверные конфигурации Java.

Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

-  21 уязвимость (http://www.oracle.com/technetwork/security-advisory/cpuoct20...) в MySQL (максимальный уровень опасности 7.5). Проблемы устранены в выпусках MySQL Community Server 5.7.20, 5.6.38 и 5.5.58 (http://dev.mysql.com/downloads/mysql/).

-  5 уязвимостей (http://www.oracle.com/technetwork/security-advisory/cpuoct20...) в VirtualBox (максимальная степень опасности 7.3). Уязвимости  устранены в  сегодняшнем обновлении VirtualBox   5.1.30 (https://www.virtualbox.org/).

-  В Solaris в нынешнем обновлении проблем (http://www.oracle.com/technetwork/security-advisory/cpuoct20...) не зафиксировано.

URL: https://blogs.oracle.com/oraclesecurity/october-2017-critica...
Новость: https://www.opennet.ru/opennews/art.shtml?num=47404

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


3. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –2 +/
Сообщение от лютый жабист__ on 18-Окт-17, 06:55 
Интерсно, какой жизненный цикл проблем безопасности в жабе. Неужели никто не проверяет? В ядре по имени линух например частенько бывают дырки которым 5 лет. А тут, складывается ощущение, закрыли 22 дырки, добавили 25 дырок новых. Через неделю закрыли 25 дырок, добавили 20 новых. Жизнь бурлит, не то что...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от лютый жабист__ on 18-Окт-17, 07:13 
Если почитать что пишут:

http://www.oracle.com/technetwork/security-advisory/cpuoct20...

то 19 из 22 "удаленных дырок эксплуатируемых без идентификации" по факту "сам запустил браузером через Webstart чужой непроверенный код, а оно ойой моих котиков украло"

This vulnerability applies to Java deployments, typically in clients running sandboxed Java Web Start applications or sandboxed Java applets, that load and run untrusted code (e.g., code that comes from the internet) and rely on the Java sandbox for security. This vulnerability does not apply to Java deployments, typically in servers, that load and run only trusted code (e.g., code installed by an administrator).

Оставшиеся 3 все в неком "Java Advanced Management Console", хз что такое.

Безобразие, даже дырки уже не могут правильно написать, чтобы всё как у пацанов, buffer overflow там и root через алсу.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –1 +/
Сообщение от нах on 18-Окт-17, 14:32 
> по факту "сам запустил браузером через Webstart чужой непроверенный код

а как же песни про sandbox и "жаба безопастна"?

> чтобы всё как у пацанов, buffer overflow там и root через алсу.

"по факту - сам запустил чужой непроверенный код, причем не в сэндбоксе или контейнере, а имеющий расширенные права - в том числе на доступ к /dev/midi - у веб-сервера, к примеру, такого нет, ибо нахрен не надо"

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

10. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –1 +/
Сообщение от _ (??) on 18-Окт-17, 19:40 
>а как же песни про sandbox и "жаба безопастна"?

Всё. Теперь: "жабы стали жрать наших котегоффф!" Ну и "please uninstall before use" (C)

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

13. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –1 +/
Сообщение от лютый жабист__ on 19-Окт-17, 05:40 
>а как же песни про sandbox и "жаба безопастна"?

Ты из тех буратинок, которые считают, что sandbox например Хромиума тебя спасёт от ЛЮБОЙ малвари? Лично у меня и браузер крутится из под отдельного юзера в системе и JS на большинстве сайтов отключен.

Ну и вообще, как JVM может быть безопасной, если оно написано на си? ггг

Знаешь анекдот, что Чайковский был голубым, но любим мы его не за это. Так же и с жабкой...

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

5. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Аноним (??) on 18-Окт-17, 09:03 
> В октябрьском обновлении в сумме устранено 252 уязвимости.

звучит как средняя температура по больнице.

Давайте такие же новости писать о обновлениях linux дистрибутивов ? Сколько сотен там фиксится при очередном обновлении?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +3 +/
Сообщение от max email(??) on 18-Окт-17, 14:04 
"В Solaris в нынешнем обновлении проблем не зафиксировано!" - О, как! Здорово конечно, но есть смутные сомнения что это связано с увольнениями сотрудников по этому направлению. (
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +1 +/
Сообщение от Аноним (??) on 18-Окт-17, 14:09 
Что мертво умереть не может!
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

11. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –1 +/
Сообщение от A.Stahl (ok) on 18-Окт-17, 21:00 
Граф Дракула удивлённо приподнимает бровь...
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

12. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от max email(??) on 18-Окт-17, 21:10 
> Что мертво умереть не может!

Зря вы так!!! 8 лет уже в банке работает, никаких нареканий. Начинали с серваков T4, сейчас Т7, только положительные эмоции у наших админов.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

15. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Аноним (??) on 20-Окт-17, 17:07 
Linux работал бы с таким-же успехом.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

16. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от max email(??) on 23-Окт-17, 09:04 
> Linux работал бы с таким-же успехом.

А вот на Linux не проверяли, такого опыта нет, но возможно вы правы. Но я говорил о факте работы, а не о возможностях!

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

9. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Аманим on 18-Окт-17, 15:36 
(Дж)Ява перестала давненько быть для десктопа что-то. А всё - для энтерпрайза - это скучно. Makagiga - вяло развивается. gngr - сдох...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –1 +/
Сообщение от OramahMaalhur (ok) on 19-Окт-17, 17:18 
Как бы у джавы целевая ниша вовсе не десктоп. Хотя, вот, jitsi развивается.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру