Компания Oracle представила (https://blogs.oracle.com/security/entry/april_2016_critical_...) плановый выпуск обновлений своих продуктов, в которых в сумме устранено 136 уязвимостей (http://www.oracle.com/technetwork/security-advisory/cpuapr20...).

В выпусках Java SE 8u91 и 8u92 (http://www.oracle.com/technetwork/java/javase/downloads/inde...) устранено 9 проблем с безопасностью, которые могут быть эксплуатированы удалённо без проведения аутентификации.  Трём уязвимостям присвоен (http://www.oracle.com/technetwork/security-advisory/cpuapr20...)  уровень опасности (CVSS Score) большей 9. Шесть проблем проявляются только на клиентских системах (запуск в браузере Java Web Start и Java-апплеты), а три затрагивают как клиентов, так и серверные конфигурации Java.

Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

-  30 уязвимостей (http://www.oracle.com/technetwork/security-advisory/cpuapr20...) в MySQL (максимальный уровень опасности 9.8). Проблемы устранены в выпусках MySQL Community Server 5.7.11 и 5.6.29 (http://dev.mysql.com/downloads/mysql/).

-  18 уязвимостей (http://www.oracle.com/technetwork/security-advisory/cpuapr20...) в Solaris.  Наиболее опасные уязвиомости (уровень опасности 9.8) устранены в PAM LDAP и XCP Firmware. Менее опасные  локальные уязвимости устранены в ZFS, ядре и прослойке файловой системы;

-  3 уязвимости (http://www.oracle.com/technetwork/security-advisory/cpuapr20...) в VirtualBox (максимальная степень опасности 7.5), которые связаны с реализацией SSL/TLS и могут эксплуатироваться удалённо. Уязвимости  устранены в обновлении VirtualBox 5.0.18.

URL: https://blogs.oracle.com/security/entry/april_2016_critical_...
Новость: http://www.opennet.me/opennews/art.shtml?num=44277

• Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,Аноним, 08:11 , 20-Апр-16
  • Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,Аноним, 08:53 , 20-Апр-16
    • Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,eRIC, 09:41 , 20-Апр-16
      • Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,Нанобот, 13:20 , 20-Апр-16
        • Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,_, 16:39 , 20-Апр-16
          • Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,Аноним, 16:41 , 20-Апр-16
            • Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,_, 16:48 , 20-Апр-16
• Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,Аноним, 08:16 , 20-Апр-16
  • Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,Аноним, 08:50 , 20-Апр-16
  • Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,Аноним, 20:00 , 20-Апр-16
    • Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,Аноним, 22:42 , 20-Апр-16
• Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,VecH, 09:06 , 20-Апр-16
  • Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,eRIC, 10:16 , 20-Апр-16
    • Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,NNN, 11:41 , 20-Апр-16
      • Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,eRIC, 14:45 , 20-Апр-16
• Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,Аноним, 09:15 , 20-Апр-16
  • Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,Аноним, 09:22 , 20-Апр-16
• Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,Аноним, 22:23 , 20-Апр-16
  • Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,Аноним, 22:38 , 20-Апр-16
• Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,charon, 11:37 , 21-Апр-16
  • Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,Аноним, 19:03 , 22-Апр-16

А почему две версии java se?

Так ентерпразнее.

> Так ентерпразнее.

Java SE 8u91 includes important security fixes.
Java SE 8u92 is a patch-set update, including all of 8u91 plus additional features (described in the release notes).

В 8u91 только исправили старые баги, в 8u92 исправили старые и добавили новые

Жабомозги, скажите "Ква!" ... Чел спрашивал про 7 и 8 :)
И это он ещё не знает _что_ в реале до сих пор пользуют :)))

Если ты про первый комментарий ветки, то я спрашивал про два восьмых релиза. Собственно мне ответили.

Да ты просто не в курсе, о чём ты спрашивал!
Никому нельзя верить! Мне - можно! :)

а зачем суммировать уязвимости? что бы страшнее было? такие вот политтехнологии ?

По тем же причинам, по которым,  книгу: "Жизнь, необыкновенные и удивительные приключения Робинзона Крузо, моряка из Йорка, прожившего 28 лет в полном одиночестве на необитаемом острове у берегов Америки близ устьев реки Ориноко, куда он был выброшен кораблекрушением, во время которого весь экипаж корабля, кроме него, погиб, с изложением его неожиданного освобождения пиратами; написанные им самим»"
- называют "Робинзо́н Кру́зо" или "Приключения Робинзо́н Кру́зо"

> а зачем суммировать уязвимости? что бы страшнее было? такие вот политтехнологии ?

Так никаких новостей не хватит. Вон, всего 4 месяца назад:
https://www.opennet.me/opennews/art.shtml?num=43702
> Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением 248 уязвимостей

Теперь еще 136 – это, считай, каждый день по новости о уязвимости в продукте оракля.
А уж на какой высоте оперативность! Закрыли
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0705
и пяти месяцев не прошло!

а сколько уязвимостией закрывают целиком в дистрибутивах линукса ?

Security advisories for Wednesday
[Security] Posted Apr 20, 2016 15:59 UTC (Wed) by ris
Fedora has updated kernel (F23: three vulnerabilities).

openSUSE has updated apparmor (13.1: profile updates), samba (13.1; 11.4: multiple vulnerabilities), and tiff (13.1: denial of service).

SUSE has updated samba (SLES10-SP4: three vulnerabilities) and kernel (SLE11-SP4: multiple vulnerabilities).

Ubuntu has updated firefox (regressions in previous update).

[Security] Posted Apr 19, 2016 16:02 UTC (Tue) by ris
Fedora has updated libreswan (F22: denial of service).

openSUSE has updated systemd (13.2: two vulnerabilities).

так дыры в systemd и то важнее.

Действительно, две версии Java идущие друг за другом
что за нумерация? stable/unstable ?

> Действительно, две версии Java идущие друг за другом
> что за нумерация? stable/unstable ?

stable, в Java понятия stable version и unstable version нет. трактуйте как release.
так как закрытая разработка(не учитывая OpenJDK откуда тоже берутся наработки), так же нет альфа, бета, RC релизов

Как это unstable нет? А Java 9?

> Как это unstable нет? А Java 9?

Java 9 следующая версия Javа, которая разрабатывается и родится(release) скорее всего в 2017 году, больше всего как -dev версия можно отнести. Да можно так же отнести как unstable версию, согласен.

В это время уязвимость от 2006 года Java Deserialization Vulnerabilities так и осталась. Оракл вместо того что бы закрыть ее(omg интерпразу придется переписывать кривой овнософт) в каждом патче добавляет хаки.
>Can it be fixed easily? Fixing this doesn’t look easy, serialization is used in the core protocol. Oracle "patched" it by implementing a check against a "blacklist"

Опаный стыд:
CVE-2015-6554 - Symantec Endpoint Protection Manager RCE
CVE-2015-6576 - Atlassian Bamboo RCE
CVE-2015-7253 - Commvault Edge Server RCE
CVE-2015-7253 - Apache ActiveMQ RCE
CVE-2015-4582 - Oracle Weblogic RCE
NO-CVE-YET - Oracle Hyperion RCE
NO-CVE-YET - HP Service Manager RCE
еще около 100(ста!) CVE вокруг бага

Подробнее
https://github.com/GrrrDog/Java-Deserialization-Cheat-Sheet

Новый тип атак на баг в стиле ROP
http://www.slideshare.net/codewhitesec/java-deserialization-...
Среди уязвимых PayPal
http://artsploit.blogspot.ru/2016/01/paypal-rce.html

Например в maven репозитории http://central.sonatype.org/ на нашлось более 30 000 потенциально уязвимых компонентов.
>But, the story does not end there. Researchers at Sonatype have identified deserialization issues in over 30,000 unique components stored in our company’s Central Repository.

http://www.darkreading.com/vulnerabilities---threats/java-de...

Никого не смущает колво исправляемых в каждом баге релизов?

> исправляемых в каждом баге релизов

Исправление релизов в багах -- это что-то новенькое. :)

А почему нет обновлений для мускула 5.5? Эта версия больше не поддерживается?

Sun r.i.p.