URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 106392
[ Назад ]
Исходное сообщение
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено opennews , 20-Янв-16 14:03 
Компания Oracle представила (https://blogs.oracle.com/security/entry/january_2016_critica...) плановый выпуск обновлений своих продуктов, в которых в сумме устранено 248 уязвимостей (http://www.oracle.com/technetwork/topics/security/cpujan2016...).

В выпусках Java SE 8u71 и 8u72 (http://www.oracle.com/technetwork/java/javase/downloads/inde...) устранено 8 проблем с безопасностью, из которых 7 могут быть эксплуатированы удалённо без проведения аутентификации.  Трём уязвимостям присвоен (http://www.oracle.com/technetwork/topics/security/cpuoct2015...) максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента. При этом, две критические проблемы проявляются только на клиентских системах (запуск в браузере Java Web Start и Java-апплеты), а одна затрагивает как клиентов, так и серверные конфигурации Java.


Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

-  22 уязвимости (http://www.oracle.com/technetwork/topics/security/cpuoct2015...) в MySQL (максимальный уровень опасности 7.2). Проблемы устранены в прошлогодних выпусках MySQL Community Server 5.6.27 (http://dev.mysql.com/downloads/mysql/) и 5.5.46.

-  20 уязвимостей (http://www.oracle.com/technetwork/topics/security/cpuoct2015...) в Solaris (максимальный уровень опасности 7.8), в том числе удалённо эксплуатируемые уязвимости в NFSv4 и утилитах SMB, а также локальная уязвимость в ядре (в реализации Solaris Zones);

-  6 уязвимостей (http://www.oracle.com/technetwork/topics/security/cpuoct2015...) в VirtualBox (максимальная степень опасности 7.5, две проблемы в реализации SSL/TLS могут эксплуатироваться удалённо. Уязвимости  устранены в обновлениях  VirtualBox 5.0.14, 4.3.36, 4.2.36, 4.1.44, 4.0.36 (http://blog.gmane.org/gmane.comp.emulators.virtualbox.announce/);

URL: https://blogs.oracle.com/java/entry/new_release_jdk_8u71_and
Новость: http://www.opennet.me/opennews/art.shtml?num=43702

Содержание
Сообщения в этом обсуждении
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено A.Stahl , 20-Янв-16 14:03 
>с устранением 248 уязвимостей

Могли бы ещё 8 штук исправить и было бы красиво. А так, просто очередная новость про кучу дыр в софте Оракла и его сателлитов.

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Anonymo , 20-Янв-16 14:58 
А если еще одно, то переполнение буфера.
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено ano , 21-Янв-16 00:42 
Не "переполнение буфера", а установка флага CF.
Не "ещё одно", а уже и 8 достаточно.
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Аноним , 20-Янв-16 18:07 
очередной грязный пиар.
Это как написать что в linux исправлено 800 ошибок за месяц. не уточняя что это во всем репозитории дебиана.
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Аноним , 20-Янв-16 14:05 
чому жаба из ппа не прилазит как раньше???!!!
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Michael Shigorin , 20-Янв-16 14:28 
> почему жаба из ппа не прилазит, как раньше?!

http://www.opennet.me/opennews/art.shtml?num=31622

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Blind Vic , 20-Янв-16 14:52 
Насколько мне известно, одно с другим не связано. https://launchpad.net/~webupd8team/+archive/ubuntu/java -- пакет при установке просто качает установщик с сайта Oracle.
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Аноним , 20-Янв-16 20:50 
Именно так, инсталлер перестали новый выкладывать. И в прошлый раз он работал как попало.
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Аноним , 20-Янв-16 14:20 
>...в которых в сумме устранено 248 уязвимостей.

Заскриню, а то не поверят.

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено eRIC , 20-Янв-16 14:43 
> Заскриню, а то не поверят.

ты про свое начальство? :)

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено index.php , 20-Янв-16 14:38 
Они что этим гордятся?
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Khariton , 20-Янв-16 14:55 
а вы умеете писать ПО без ошибок?
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Аноним , 20-Янв-16 16:02 
> а вы умеете писать ПО без ошибок?

А умение писать софт с ошибками, с большим количеством ошибок к слову, это обязательное требование для приема на работу в Оракл?
Неудивительно, что код они оутсорсят в Индии.

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено . , 20-Янв-16 20:08 
>писать софт с ошибками, с большим количеством ошибок
>Неудивительно, что код они оутсорсят в Индии.

Это вынужденная мера. Россия же под санкциями, ух бы ты показал как надо! ... :)

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Аноним , 20-Янв-16 22:30 
Под какими санкциями РФ что аутсорсинг запрещен? В РФ теперь только и можно что заниматься аутсорсингом, местный работодатель платит крайне мало.
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено . , 21-Янв-16 23:18 
Сарказм же :)
Наши могут наиндусить похуже индусов, пришлось столкнутся. В среднем по больнице - полимеры про***ны. Есть конечно же люди которые ого-го, но они давно охо-хо - в смысле пристроены и их не выдернуть. Те что доступны - шлак  ... И у индусов - всё так же.
Короче брейкинг ньюс - трудно найти хорошего спеца задёшево! Неожиданно да? :-)
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено rob pike , 21-Янв-16 23:29 
Брейкинг ньюс - в том что и задорого сложно.
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Аноним , 20-Янв-16 20:23 
Это ещё что. Вот в соседнем городе орахлоиды вообще вантузятнегов аутсорсят, чтобы писали под линукс. В виртуалке, разумеется. Какое тут вообще будет качество?
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Аноним539 , 20-Янв-16 23:20 
Мне нравится как это обыграно например в EULA Blizzard:
Blizzard Entertainment прямо заявляет о невозможности создания сложных программных продуктов, полностью лишенных технических недостатков. Контрактные обязательства, определяющие характеристики программного обеспечения и услуги, требуют от Blizzard Entertainment не полного отсутствия ошибок программирования, а лишь отсутствия ошибок, существенно ухудшающих возможности использования.
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено rob pike , 21-Янв-16 00:41 
Писать ПО без ошибок - это не проблема.
Проблема - найти того кто согласится оплатить стоимость такого ПО, которая возрастает на порядки.
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Вареник , 21-Янв-16 03:39 
Именно. Какой бизнес оплатит ревью (лишнее время), тест ковераж (утраивает работу), аудит (еще сложней чем написать) и прочие вылизывания? Может быть кроме самых ключевых инфраструктурных систем. Только космические агентсва могут себе такое позволить, и то потом приходится перезаливать ПО в зависший спутник/марсоход.
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено index.php , 20-Янв-16 14:39 
Пойду обновлять MySQL :(
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Аноним , 20-Янв-16 15:41 
Я обновил MySQL до PostgreSQL и не жалею.
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Аноним , 20-Янв-16 19:32 
Иди на заборе напиши
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено rob pike , 21-Янв-16 00:59 
Пробовали. К сожалению, забор работал на MySQL, поэтому запись не сохранилась.
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено commiethebeastie , 20-Янв-16 16:06 
>CVSS Score 10.0

Предлагаю специально для оракла ввести 11 баллов.

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Аноним , 20-Янв-16 19:58 
>>CVSS Score 10.0
> Предлагаю специально для оракла ввести 11 баллов.

Для линя предлагаю 12. Смотри соседнюю новость.

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Michael Shigorin , 20-Янв-16 20:06 
>> Предлагаю специально для оракла ввести 11 баллов.
> Для линя предлагаю 12. Смотри соседнюю новость.

А для сана с кластерф* сразу 0xfe?.. // привет юртам :)

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено commiethebeastie , 20-Янв-16 22:36 
grsecurity очередной exploit killed... Вы неправильно его готовите.
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Лютый жабист , 21-Янв-16 05:07 
Господа, кто в теме, подскажите. Допустим высунул я в инет WildFly с предыдущей версией жабы, и всё, мне кранты? Или все эти тонны секурити-дырок не эксплуатируются в таком контексте?
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Аноним , 21-Янв-16 09:03 
А зачем напрямую?!
Лучше за nginx'ом ;-)
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Соколов , 21-Янв-16 11:22 
>Допустим высунул я в инет WildFly с предыдущей версией жабы, и всё, мне кранты?

Суйте аккуратнее, может обойдется.