URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 117935
[ Назад ]

Исходное сообщение
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено opennews , 17-Июл-19 10:21

Компания Oracle опубликовала (https://blogs.oracle.com/security/july-2019-critical-patch-u...) плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В июльском обновлении в сумме устранено 319 уязвимостей (https://www.oracle.com/technetwork/security-advisory/cpujul2...).

В выпусках Java SE 12.0.2, 11.0.4 и 8u221 (http://www.oracle.com/technetwork/java/javase/downloads/inde...) устранено 10 проблем с безопасностью. 9 уязвимостей могут быть эксплуатированы удалённо без проведения аутентификации. Наивысший присвоенный уровень опасности - 6.8 (уязвимость в libpng). Проблем с  высоким и критическим уровнем опасности, позволяющих неаутентифицированному пользователю по сети скомпрометировать приложения на Java SE, не выявлено.
Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:
-  43 уязвимости (https://www.oracle.com/technetwork/security-advisory/cpujul2...) в MySQL (максимальный уровень опасности 9.8, свидетельствующий о критической проблеме). Наиболее опасная проблема
(CVE-2019-3822 (https://security-tracker.debian.org/tracker/CVE-2019-3822)) связана с переполнением буфера (https://curl.haxx.se/docs/CVE-2019-3822.html) в коде разбора заголовков NTLM в библиотеке libcurl, что может быть использовано для удалённой атаки на сервер MySQL неаутентифицированным пользователем. Почти все остальные проблемы проявляются только при наличии аутентифицированного доступа к СУБД.  Исключение составляет только уязвимость в Shell: Admin / InnoDB Cluster, которой присвоен уровень опасности 7.5.  Проблемы будут устранены в выпусках MySQL Community Server 8.0.17, 5.7.27 и 5.6.45 (http://dev.mysql.com/downloads/mysql/).
-  14 уязвимостей (https://www.oracle.com/technetwork/security-advisory/cpujul2...) в VirtualBox, из которых 3 имеют высокую степень опасности (CVSS Score  8.2 и 8.8). Уязвимости  устранены в обновлениях VirtualBox   6.0.10 и 5.2.32 (в примечании (https://www.virtualbox.org/wiki/Changelog) к релизу факт устранения проблем с безопасностью не афиширован). Подробности не сообщаются, но судя по уровню CVSS устранены уязвимости,  позволяющие из окружения гостевой системы выполнить код на стороне хост-системы;
-  10 уязвимости (https://www.oracle.com/technetwork/security-advisory/cpujul2...) в Solaris (максимальная степень опасности 9.1 -
связанная с IPv6 уязвимость в ядре (CVE-2019-5597),  допускающая удалённую атаку (подробности не сообщаются). Две уязвимости также имеют критический уровень опасности 8.8 - локально эксплуатируемые  проблемы в Common Desktop Environment     и  клиентских утилитах для LDAP. Из проблем с уровнем опасности выше 7 также можно отметить удалённо эксплуатируемые уязвимости в обработчиках ICMPv6 и NFS в ядре Solaris, и локальные проблемы в файловой системе и Gnuplot.

URL: https://blogs.oracle.com/security/july-2019-critical-patch-u...
Новость: https://www.opennet.me/opennews/art.shtml?num=51107

Содержание

Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,Аноним, 11:05 , 17-Июл-19
- Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,Аноним, 11:10 , 17-Июл-19
  - Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,орацл, 17:27 , 17-Июл-19
- Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,proninyaroslav, 11:18 , 17-Июл-19
  - Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,Andrey Mitrofanov_N0, 11:26 , 17-Июл-19
  - Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,Аноним, 12:16 , 17-Июл-19
- Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,iPony129412, 11:36 , 17-Июл-19
Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,Аноним, 13:08 , 17-Июл-19
- Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,Andrey Mitrofanov_N0, 13:23 , 17-Июл-19
  - Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,Аноним, 16:31 , 17-Июл-19
- Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,DiabloPC, 13:30 , 17-Июл-19
- Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,Аноним, 15:40 , 17-Июл-19
Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,anono, 17:36 , 17-Июл-19
Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,ОЛЕГ, 19:17 , 17-Июл-19
Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,Аноним, 20:49 , 17-Июл-19
- Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,Аноним, 09:42 , 18-Июл-19

Сообщения в этом обсуждении

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Аноним , 17-Июл-19 11:05

300+ уязвимостей! Жесть!

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Аноним , 17-Июл-19 11:10

В этом как раз ничего удивительного, у них так всегда.
Интересно другое, что второй Critical Patch Update подозрительно мало проблем в Java и много в MySQL. В Java максималный CVSS 6.8 - это вообще рекорд за всё время, раньше было не меньше 8-9.

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено орацл , 17-Июл-19 17:27

жабобезопастник в этом месяце в отпуске. Наверстает в следующем.

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено proninyaroslav , 17-Июл-19 11:18

"Надо срочно переписать всё на Rust" (c)

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Andrey Mitrofanov_N0 , 17-Июл-19 11:26

>> В Java максималный CVSS 6.8 - это вообще рекорд за всё время, раньше было не меньше 8-9.
> "Надо срочно переписать всё на Rust" (c)
%)

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Аноним , 17-Июл-19 12:16

Может и не срочно, но однозначно нужно.

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено iPony129412 , 17-Июл-19 11:36

> 300+ уязвимостей! Жесть!
На сотню весьма сложных продуктов. Как-то не очень.

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Аноним , 17-Июл-19 13:08

А где можно скачать билды явы подтсвободной лицензией?

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Andrey Mitrofanov_N0 , 17-Июл-19 13:23

> А где можно скачать билды явы подтсвободной лицензией?
На зеркалах дебиана, федоры, убунты и... все-всех-всех.
Может, даже на suse-вском варез-буилдере есть, не знаю.

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Аноним , 17-Июл-19 16:31

... для винды, то что у никсов всё в репах есть - это и так понятно.

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено DiabloPC , 17-Июл-19 13:30

http://diablopc.linuxforum.ru/pub/Java/
На тебе. И JRE и JDK

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Аноним , 17-Июл-19 15:40

Тут все https://jdk.dev/download/

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено anono , 17-Июл-19 17:36

https://gifs.com/gif/11-08-15-y7gJ3Z

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено ОЛЕГ , 17-Июл-19 19:17

Oracle=уязвимость!

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Аноним , 17-Июл-19 20:49

при использовании C C++ нужно очень аккуратно следить за корректным выделением и освобождением памяти поэтому при росте сложности программ ничего удивительного

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Аноним , 18-Июл-19 09:42

> при использовании C C++ нужно очень аккуратно следить за корректным выделением и освобождением памяти поэтому при росте сложности программ ничего удивительного
Спасибо, сейчас запишу в блокнотик... А за обращением к ранее освобожденной памяти и за выходом за границы выделенной памяти и массивов уже следить не требуется?