Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением 248 уязвимостей

20.01.2016 13:17

Компания Oracle представила плановый выпуск обновлений своих продуктов, в которых в сумме устранено 248 уязвимостей.

В выпусках Java SE 8u71 и 8u72 устранено 8 проблем с безопасностью, из которых 7 могут быть эксплуатированы удалённо без проведения аутентификации. Трём уязвимостям присвоен максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента. При этом, две критические проблемы проявляются только на клиентских системах (запуск в браузере Java Web Start и Java-апплеты), а одна затрагивает как клиентов, так и серверные конфигурации Java.

Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

22 уязвимости в MySQL (максимальный уровень опасности 7.2). Проблемы устранены в прошлогодних выпусках MySQL Community Server 5.6.27 и 5.5.46.
20 уязвимостей в Solaris (максимальный уровень опасности 7.8), в том числе удалённо эксплуатируемые уязвимости в NFSv4 и утилитах SMB, а также локальная уязвимость в ядре (в реализации Solaris Zones);
6 уязвимостей в VirtualBox (максимальная степень опасности 7.5, две проблемы в реализации SSL/TLS могут эксплуатироваться удалённо. Уязвимости устранены в обновлениях VirtualBox 5.0.14, 4.3.36, 4.2.36, 4.1.44, 4.0.36;

исправить +7 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/43702-java

Ключевые слова: java, oracle, mysql

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (32)

1.1, A.Stahl (ok), 14:03, 20/01/2016 [ответить] [﹢﹢﹢] [ · · · ]	+11 +/–
>с устранением 248 уязвимостей Могли бы ещё 8 штук исправить и было бы красиво. А так, просто очередная новость про кучу дыр в софте Оракла и его сателлитов.

2.10, Anonymo (?), 14:58, 20/01/2016 [^] [^^] [^^^] [ответить]	+/–
А если еще одно, то переполнение буфера.

3.29, ano (??), 00:42, 21/01/2016 [^] [^^] [^^^] [ответить]	–1 +/–
Не "переполнение буфера", а установка флага CF. Не "ещё одно", а уже и 8 достаточно.

2.16, Аноним (-), 18:07, 20/01/2016 [^] [^^] [^^^] [ответить]	+/–
очередной грязный пиар. Это как написать что в linux исправлено 800 ошибок за месяц. не уточняя что это во всем репозитории дебиана.

1.2, Аноним (-), 14:05, 20/01/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
чому жаба из ппа не прилазит как раньше???!!!

2.4, Michael Shigorin (ok), 14:28, 20/01/2016 [^] [^^] [^^^] [ответить]	–2 +/–
> почему жаба из ппа не прилазит, как раньше?! http://www.opennet.me/opennews/art.shtml?num=31622

3.8, Blind Vic (ok), 14:52, 20/01/2016 [^] [^^] [^^^] [ответить]	+/–
Насколько мне известно, одно с другим не связано. https://launchpad.net/~webupd8team/+archive/ubuntu/java -- пакет при установке просто качает установщик с сайта Oracle.

4.24, Аноним (-), 20:50, 20/01/2016 [^] [^^] [^^^] [ответить]	+/–
Именно так, инсталлер перестали новый выкладывать. И в прошлый раз он работал как попало.

1.3, Аноним (-), 14:20, 20/01/2016 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
>...в которых в сумме устранено 248 уязвимостей. Заскриню, а то не поверят.

2.7, eRIC (ok), 14:43, 20/01/2016 [^] [^^] [^^^] [ответить]	+2 +/–
> Заскриню, а то не поверят. ты про свое начальство? :)

1.5, index.php (?), 14:38, 20/01/2016 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Они что этим гордятся?

2.9, Khariton (ok), 14:55, 20/01/2016 [^] [^^] [^^^] [ответить]	+/–
а вы умеете писать ПО без ошибок?

3.12, Аноним (-), 16:02, 20/01/2016 [^] [^^] [^^^] [ответить]	–1 +/–
> а вы умеете писать ПО без ошибок? А умение писать софт с ошибками, с большим количеством ошибок к слову, это обязательное требование для приема на работу в Оракл? Неудивительно, что код они оутсорсят в Индии.

4.21, . (?), 20:08, 20/01/2016 [^] [^^] [^^^] [ответить]	+/–
>писать софт с ошибками, с большим количеством ошибок >Неудивительно, что код они оутсорсят в Индии. Это вынужденная мера. Россия же под санкциями, ух бы ты показал как надо! ... :)

5.25, Аноним (-), 22:30, 20/01/2016 [^] [^^] [^^^] [ответить]	+/–
Под какими санкциями РФ что аутсорсинг запрещен? В РФ теперь только и можно что заниматься аутсорсингом, местный работодатель платит крайне мало.

6.35, . (?), 23:18, 21/01/2016 [^] [^^] [^^^] [ответить]	+/–
Сарказм же :) Наши могут наиндусить похуже индусов, пришлось столкнутся. В среднем по больнице - полимеры про***ны. Есть конечно же люди которые ого-го, но они давно охо-хо - в смысле пристроены и их не выдернуть. Те что доступны - шлак ... И у индусов - всё так же. Короче брейкинг ньюс - трудно найти хорошего спеца задёшево! Неожиданно да? :-)

7.36, rob pike (?), 23:29, 21/01/2016 [^] [^^] [^^^] [ответить]	+/–
Брейкинг ньюс - в том что и задорого сложно.

4.23, Аноним (-), 20:23, 20/01/2016 [^] [^^] [^^^] [ответить]	+/–
Это ещё что. Вот в соседнем городе орахлоиды вообще вантузятнегов аутсорсят, чтобы писали под линукс. В виртуалке, разумеется. Какое тут вообще будет качество?

4.27, Аноним539 (ok), 23:20, 20/01/2016 [^] [^^] [^^^] [ответить]	+/–
Мне нравится как это обыграно например в EULA Blizzard: Blizzard Entertainment прямо заявляет о невозможности создания сложных программных продуктов, полностью лишенных технических недостатков. Контрактные обязательства, определяющие характеристики программного обеспечения и услуги, требуют от Blizzard Entertainment не полного отсутствия ошибок программирования, а лишь отсутствия ошибок, существенно ухудшающих возможности использования.

3.28, rob pike (?), 00:41, 21/01/2016 [^] [^^] [^^^] [ответить]	+/–
Писать ПО без ошибок - это не проблема. Проблема - найти того кто согласится оплатить стоимость такого ПО, которая возрастает на порядки.

4.31, Вареник (?), 03:39, 21/01/2016 [^] [^^] [^^^] [ответить]	+/–
Именно. Какой бизнес оплатит ревью (лишнее время), тест ковераж (утраивает работу), аудит (еще сложней чем написать) и прочие вылизывания? Может быть кроме самых ключевых инфраструктурных систем. Только космические агентсва могут себе такое позволить, и то потом приходится перезаливать ПО в зависший спутник/марсоход.

1.6, index.php (?), 14:39, 20/01/2016 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Пойду обновлять MySQL :(

2.11, Аноним (-), 15:41, 20/01/2016 [^] [^^] [^^^] [ответить]	+13 +/–
Я обновил MySQL до PostgreSQL и не жалею.

3.18, Аноним (-), 19:32, 20/01/2016 [^] [^^] [^^^] [ответить]	–2 +/–
Иди на заборе напиши

4.30, rob pike (?), 00:59, 21/01/2016 [^] [^^] [^^^] [ответить]	+1 +/–
Пробовали. К сожалению, забор работал на MySQL, поэтому запись не сохранилась.

1.13, commiethebeastie (ok), 16:06, 20/01/2016 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
>CVSS Score 10.0 Предлагаю специально для оракла ввести 11 баллов.

2.19, Аноним (-), 19:58, 20/01/2016 [^] [^^] [^^^] [ответить]	–2 +/–
>>CVSS Score 10.0 > Предлагаю специально для оракла ввести 11 баллов. Для линя предлагаю 12. Смотри соседнюю новость.

3.20, Michael Shigorin (ok), 20:06, 20/01/2016 [^] [^^] [^^^] [ответить]	+/–
>> Предлагаю специально для оракла ввести 11 баллов. > Для линя предлагаю 12. Смотри соседнюю новость. А для сана с кластерф* сразу 0xfe?.. // привет юртам :)

3.26, commiethebeastie (ok), 22:36, 20/01/2016 [^] [^^] [^^^] [ответить]	+/–
grsecurity очередной exploit killed... Вы неправильно его готовите.

1.32, Лютый жабист (?), 05:07, 21/01/2016 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Господа, кто в теме, подскажите. Допустим высунул я в инет WildFly с предыдущей версией жабы, и всё, мне кранты? Или все эти тонны секурити-дырок не эксплуатируются в таком контексте?

2.33, Аноним (-), 09:03, 21/01/2016 [^] [^^] [^^^] [ответить]	+/–
А зачем напрямую?! Лучше за nginx'ом ;-)

2.34, Соколов (?), 11:22, 21/01/2016 [^] [^^] [^^^] [ответить]	+/–
>Допустим высунул я в инет WildFly с предыдущей версией жабы, и всё, мне кранты? Суйте аккуратнее, может обойдется.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: