URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 88280
[ Назад ]
Исходное сообщение
"В Java SE 7 Update 11 выявлены две новые уязвимости"
Отправлено opennews , 18-Янв-13 23:38 
Адам Говдяк (Adam Gowdiak), известный польский исследователь безопасности, выявивший (http://www.opennet.me/opennews/art.shtml?num=34696) летом серию (http://www.opennet.me/opennews/art.shtml?num=34714) нашумевших уязвимостей в Java SE, сообщил (http://seclists.org/fulldisclosure/2013/Jan/142) об обнаружении двух новых  уязвимостей в Java SE 7 Update 11. В компанию Oracle отправлена информация о выявленных проблемах и прототип рабочего эксплоита.


Интересно, что уязвимости были выявлены с чистого листа - после появления в сети сведений (http://www.opennet.me/opennews/art.shtml?num=35854) о наличии нового 0-day эксплоита, поражающего Java SE 7 Update 11, Адам решил не ждать появления конкретных данных о методе работы эксплоита, а попытаться найти новые проблемы - и это ему сразу удалось. Кроме того, в Java остаётся (https://threatpost.com/en_us/blogs/latest-java-update-broken...) не до конца исправленной проблема с MBeanInstantiator для которой можно найти способ атаки. В своём исследовании Адам  решил не идти лёгким путём и нашёл две принципиально иные уязвимости, не связанные с MBeanInstantiator.

URL: http://seclists.org/fulldisclosure/2013/Jan/142
Новость: http://www.opennet.me/opennews/art.shtml?num=35873

Содержание
Сообщения в этом обсуждении
"В Java SE 7 Update 11 выявлены две новые уязвимости"
Отправлено ааноним , 18-Янв-13 23:38 
Oracle, прекрати, это уже не смешно...
"В Java SE 7 Update 11 выявлены две новые уязвимости"
Отправлено Int , 19-Янв-13 10:26 
Было бы чего прекращать.
Oracle никогда расторопностью не отличались.
"В Java SE 7 Update 11 выявлены две новые уязвимости"
Отправлено Аноним , 18-Янв-13 23:43 
Oracle по своей дурости убивает Java. Спрашивается, зачем столько миллиардов за Sun платил.
"В Java SE 7 Update 11 выявлены две новые уязвимости"
Отправлено Аноним , 18-Янв-13 23:48 
может они партнерствуют с мс?
"В Java SE 7 Update 11 выявлены две новые уязвимости"
Отправлено Аноним , 19-Янв-13 10:53 
Так у тех дырок в дотнете не меньше.
"В Java SE 7 Update 11 выявлены две новые уязвимости"
Отправлено Аноним , 19-Янв-13 02:20 
> зачем столько миллиардов за Sun платил.

Чтобы не достались конкуренту HP и пр.

"В Java SE 7 Update 11 выявлены две новые уязвимости"
Отправлено Аноним , 19-Янв-13 02:21 
>> зачем столько миллиардов за Sun платил.
> Чтобы не достались конкуренту HP и пр.

Особенно IBM с ихней DB2.

"В Java SE 7 Update 11 выявлены две новые уязвимости"
Отправлено Пингвино , 19-Янв-13 15:55 
Вы о чём? Это просто новое соревнование в рамках специальной олимпиады разработчиков, возьмите любой ЯП/фреймворк и начните его изучать - найдётся и не такое.
"В Java SE 7 Update 11 выявлены две новые уязвимости"
Отправлено all_glory_to_the_hypnotoad , 19-Янв-13 19:42 
не найдётся. Далеко не любой ЯП включет в себя мегакомбайн из кучи ненужных батареек.
"В Java SE 7 Update 11 выявлены две новые уязвимости"
Отправлено Пингвино , 19-Янв-13 19:52 
> не найдётся. Далеко не любой ЯП включет в себя мегакомбайн из кучи
> ненужных батареек.

Конечно в брэйнфаке вероятно и не найдётся, но это не относится к языкам и фреймворкам, которые используются для чего-то сложнее, чем "Hello, world!". В них всегда были, есть и будут уязвимости и ошибки.

"В Java SE 7 Update 11 выявлены две новые уязвимости"
Отправлено Аноним , 19-Янв-13 23:44 
> Oracle по своей дурости убивает Java.

Надо полагать, оракл, чтобы "убивать жаву", специально нанял пару разработчиков, которые добавляют в неё уязвимости.

"В Java SE 7 Update 11 выявлены две новые уязвимости"
Отправлено Аноним , 19-Янв-13 00:06 
Just Another Vunerability Application framework
"В Java SE 7 Update 11 выявлены две новые уязвимости"
Отправлено Аноним , 19-Янв-13 01:19 
You nailed it *thumbs up*
"В Java SE 7 Update 11 выявлены две новые уязвимости"
Отправлено ОнанВарвар , 19-Янв-13 00:25 
И это только те что обнаружили...
"В Java SE 7 Update 11 выявлены две новые уязвимости"
Отправлено arisu , 19-Янв-13 01:35 
энтерпрайз, однако. надёжность и стабильность.

стабильность вижу: уязвимости стабильно на месте, пусть и разные.

"В Java SE 7 Update 11 выявлены две новые уязвимости"
Отправлено Sw00p aka Jerom , 19-Янв-13 01:42 
не оракл виноват во всём этом, а сан ))
"В Java SE 7 Update 11 выявлены две новые уязвимости"
Отправлено Dorif11 , 19-Янв-13 02:19 
Седьмую явку уже Оракл допиливал. Так что отвечать Ораклу.
"В Java SE 7 Update 11 выявлены две новые уязвимости"
Отправлено arisu , 19-Янв-13 10:44 
так оракель и отвечает. несложной формулой. «не видишь? джинн занят. мы кушаем!» ~(ц)
"В Java SE 7 Update 11 выявлены две новые уязвимости"
Отправлено Atterratio , 19-Янв-13 03:53 
Самое обидной в этом, то что OpenJDK скорей всего тоже имеет эти уязвимости, и затыкать их раньше чем в яве от Оракла опять не будут. Мотивируя тем, что "на основе анализа наложенных патчей можно разработать методы атаки на эти уязвимости".
"В Java SE 7 Update 11 выявлены две новые уязвимости"
Отправлено arisu , 19-Янв-13 10:43 
жабоиды должны страдать.
"В Java SE 7 Update 11 выявлены две новые уязвимости"
Отправлено VoDA , 19-Янв-13 12:59 
> жабоиды должны страдать.

Жабоидам пофиг - Java применяется в интранете и очень редко в Инете =)

"В Java SE 7 Update 11 выявлены две новые уязвимости"
Отправлено arisu , 19-Янв-13 13:00 
это не мешает им страдать же.
"В Java SE 7 Update 11 выявлены две новые уязвимости"
Отправлено Аноним , 19-Янв-13 23:45 
> это не мешает им страдать же.

Срадать? Не, не видел.

"В Java SE 7 Update 11 выявлены две новые уязвимости"
Отправлено ТруВей , 19-Янв-13 19:16 
Да кому этот укоцаный OpenJDK нужен? Разве что домашним хомячкам, которым он нужен с целью "лишь бы был"?
"В Java SE 7 Update 11 выявлены две новые уязвимости"
Отправлено iZEN , 19-Янв-13 22:08 
> Да кому этот укоцаный OpenJDK нужен?

На OpenJDK7 неплохо работают jEdit (лучший редактор с подсветкой синтаксиса языков), RSSOwl (лучший агрегатор новостных лент), Eclipse (лучшая IDE, на C++ до сих пор не написали такого же функционала) и много других десктопных и серверных программ.

"В Java SE 7 Update 11 выявлены две новые уязвимости"
Отправлено анони , 19-Янв-13 08:17 
В .Net тоже полно дыр. Предполагалось. чтт виртуальная машина будет их лишена. Да только она сама написана на C/C++:)
"В Java SE 7 Update 11 выявлены две новые уязвимости"
Отправлено некто , 19-Янв-13 08:47 
все на pypy over colinux over windows over wmvare over host linux over xen over javascript over chromium over ... INFINITY LOOP

Пока доберется до корня ЛЮБОЙ устанет. ж)

"В Java SE 7 Update 11 выявлены две новые уязвимости"
Отправлено arisu , 19-Янв-13 10:43 
к счастью, до корня и не надо. достаточно пробить любой из, и оттуда спокойно уже рассылать спам.
"В Java SE 7 Update 11 выявлены две новые уязвимости"
Отправлено Аноним , 19-Янв-13 11:01 
> Пока доберется до корня ЛЮБОЙ устанет. ж)

Думаешь, оно им надо? Большая часть сракеров хочет использовать ресурсы нашару, не более :)

"В Java SE 7 Update 11 выявлены две новые уязвимости"
Отправлено t28 , 20-Янв-13 01:31 
> все на pypy over colinux over windows over wmvare over host linux

Ой, как это модеры недосмотрели? Ведь прозвучало запещённое слово! Банить, банить, нещадно банить!

"В Java SE 7 Update 11 выявлены две новые уязвимости"
Отправлено Аноним , 21-Янв-13 21:11 
это всё новые веяния в разработке систем. меньше платим разработчикам, больше стрижем гешевт, при этом молимся чтоб работало но оно глючит - выпускаем патчи и снова гешефт, всем хорошо. кто хочет чтоб было без багов плохо платил. РЭЗЮМЭ: в тёмные времена не ищите надёжных систем их не будет, когда главенствуют деньги это тьма и свету прогресса тут не место посему миритесь с тем что есть. извините за вброс, просто забил обновляться, смысл утерян...
"В Java SE 7 Update 11 выявлены две новые уязвимости"
Отправлено arisu , 21-Янв-13 21:12 
> это всё новые веяния в разработке систем.

…которым сто лет в обед.