Компания Oracle представила (https://blogs.oracle.com/security/entry/april_2015_critical_...) плановый выпуск обновлений своих продуктов с устранением уязвимостей. В выпусках Java SE 8u45 и 7u79/80 (http://www.oracle.com/technetwork/java/javase/downloads/inde...) (номер версии присвоен в соответствии с новой схемой нумерации выпусков) устранено 14 проблем с безопасностью (http://www.oracle.com/technetwork/topics/security/cpuapr2015...). Выпуск Java SE 7u79 вышел одновременно с 7u80 и отличается не только устранением уязвимостей, но и исправлением ошибок, не связанных с безопасностью. Примечательно, что это последние публично доступные обновления для ветки Java SE 7, пользователям рекомендуется перейти на Java 8 или оформить расширенную поддержку.
Все 14 уязвимостей в Java могут быть эксплуатированы удалённо без проведения аутентификации. 3 уязвимостям (CVE-2015-0469, CVE-2015-0459, CVE-2015-0491) присвоен максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента. 2 проблемам присвоен уровень 9.3, который подразумевает возможность успешной атаки на клиентские системы, но сложность эксплуатации оценивается как средняя. 3 проблемы, максимальная степень опасности которых 5.0, затрагивают не только клиентские, но и серверные системы.
Из не связанных с уязвимостями изменений (http://www.oracle.com/technetwork/java/javase/8u45-relnotes-...) можно отметить прекращение возможности использования внутри jar-файлов полных путей (путей, начинающихся с "/") и косвенных переходов (".." в пути). При необходимости использования подобных путей следует явно указывать опцию "-P".
Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе сообщается о 5 уязвимостях (http://www.oracle.com/technetwork/topics/security/cpuapr2015...) в Solaris (для локальных проблем с ZFS и с командами аккунтинга указана степень опасности 7.2, уязвимости в Kernel IDMap присвоен уровень 7.1, но она может быть эксплуатирована по сети), 2 уязвимостях (http://www.oracle.com/technetwork/topics/security/cpuapr2015...) в VirtualBox (максимальная степень опасности 4.3) и 24 уязвимостях (http://www.oracle.com/technetwork/topics/security/cpuapr2015...) в MySQL (максимальная степень опасности 5.7). Уязвимости уже молча исправлены в на днях опубликованных обновлениях (http://blog.gmane.org/gmane.comp.db.mysql.announce) MySQL Community Server.URL: https://blogs.oracle.com/security/entry/april_2015_critical_...
Новость: http://www.opennet.me/opennews/art.shtml?num=42041
>>Из не связанных с уязвимостями изменений можно отметить прекращение возможности использования внутри jar-файлов полных путей (путей, начинающихся с "/") и косвенных переходов (".." в пути). При необходимости использования подобных путей следует явно указывать опцию "-P".Интересно, Зачем это сделали?
Это сделали, возможно, для того чтобы антивирусы при сканировании содержимого jar-файла не усматривали в нём угрозу деструктивных действий для локальной файловой системы и не помещали в "карантин".
То есть, чтоб приложение на Java было безопасным надо собирать уже, обновив jdk?
Или достаточно просто запускать на обновленном jdk или jre?
Ничего не надо, это вообще не относится никак к "хорошему" java приложению.
Вектор эксплуатации для jre plugin в браузере - подсовываешь на сайте "плохой" java апплет и через уязвимый jre plugin имеешь всю ОС.
О, я его отключаю, как и флэш, сразу после установки ОСи. Надеюсь, так же поступают и все остальные...
Как это здорово - выпускать обновления с устранением уязвимостей *планово*! Может они эти уязвимости также планово туда запихивают? Специальный "цикл жизни" уязвимостей, когда одни "устаревшие" уязвимости плавно заменяются другими.
"Oracle и NSA выпустили обновление Java SE с устранением уязвимостей." ;)
"Oracle и NSA выпустили обновление набора уязвимостей под названием Java SE"
А гугл по прежнему никак не работает с апстримом openjdk? И на андроиде до сих пор Ява6 ?
> А гугл по прежнему никак не работает с апстримом openjdk? И на
> андроиде до сих пор Ява6 ?Во-первых, у них не жава, а дальвик. Во-вторых, они продают не цифеку рядом со словом "java", а рекламу. Поэтому они продают циферку рядом со словом "андроид". Понимать же надо!
то что у них VM дальвик это одно, но то что код базируется на java 6 уже несколько лет, это другое. Собственно вопрос был, кто-либо видел представителей Гугла в JSR в последние годы? Или где видел/читал про поддержку со стороны Гугла языковых новшеств из java 8?
Use Qt, Luke, and drop out that shit called java.
> то что у них VM дальвик это одно, но то что код
> базируется на java 6 уже несколько лет, это другое. Собственно вопрос
> был, кто-либо видел представителей Гугла в JSR в последние годы? ИлиДа, не нужен им оракловский лок-ин, у них свой embarrass-n-extend с дальвиками и ART-ами.
Если бы мне это надо было, я бы поискал в гуглях java-8 android и увидел про поддержку jse7, отдельных фич se8, использование jdk8 для андроидо-девелопмента, прекращение поддержки Harmony апач-могилой и пр. совершенно не интересные мне нагромождения сущностей.
Вас эти нагромождения интересовали так же мало?
> где видел/читал про поддержку со стороны Гугла языковых новшеств из java 8?
Трансляция байт-кодов http://zserge.com/blog/android-lambda.html же! Прогрессивно-молодёжно.
ЗЫЖ И да, кому надо "плановых исправлений безопасности" от гугля -- это не к андроиду, это на хромы надо "прыгать".
У оракловых работяг замечена милая манера ломать, порой существенно, "стабильные" ветки по *сборке*; на этот раз 5.5.x не собирается вот так: http://lists.altlinux.org/pipermail/devel/2015-April/199748.... (и да, при Sun такого тоже не было).
derby починили?
жаба, флеш, проблемы с безопасностью.
это уже давно как "Мир. Труд. Май".
> Все 14 уязвимостей в Java могут быть эксплуатированы удалённо без проведения аутентификацииМда... Этак и PHP будет выглядеть более безопасной платформой...
> Мда... Этак и PHP будет выглядеть более безопасной платформой...Не хватает FLOSS-платформы для распространения уязвимостей, killer-аппа, т-скзть. Ср.: wordpress.
Аккунтинга????
Лол!
> 2 уязвимостях в VirtualBox (максимальная степень опасности 4.3)Автор новости полагает, что "Oracle VM Server for SPARC" и "VirtualBox" - это одно и тоже?
Какая боль https://github.com/mysql/mysql-server