Компания Oracle представила (https://blogs.oracle.com/security/entry/october_2015_critica...) плановый выпуск обновлений своих продуктов, в которых в сумме устранено 154 уязвимости (http://www.oracle.com/technetwork/topics/security/cpuoct2015...).
В выпусках Java SE 8u65 и 8u66 (http://www.oracle.com/technetwork/java/javase/documentation/...) устранено 25 проблем с безопасностью, из которых 24 могут быть эксплуатированы удалённо без проведения аутентификации. 7 уязвимостям присвоен (http://www.oracle.com/technetwork/topics/security/cpuoct2015...) максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента. Все критические уязвимости отмечены как легко эксплуатируемые по сети, но проявляющиеся только на клиентских системах (запуск в браузере Java Web Start и Java-апплеты). 5 проблем, максимальная степень опасности которых 7.6, затрагивают не только клиентские, но и серверные системы.
Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:
- 28 уязвимостей (http://www.oracle.com/technetwork/topics/security/cpuoct2015...) в MySQL (максимальный уровень опасности 6.4). Проблемы устранены в сентябрьских выпусках MySQL Community Server 5.6.27 (http://dev.mysql.com/downloads/mysql/5.6.html) и 5.5.46.
- 12 уязвимостей (http://www.oracle.com/technetwork/topics/security/cpuoct2015...) в Solaris (максимальный уровень опасности 6.6), в том числе удалённо эксплуатируемая уязвимость в INETD;
- 3 уязвимости (http://www.oracle.com/technetwork/topics/security/cpuoct2015...) в VirtualBox (максимальная степень опасности 4.9, все проблемы имеют локальный характер). Уязвимости уже устранены в обновлениях VirtualBox 5.0.8 (http://comments.gmane.org/gmane.comp.emulators.virtualbox.an...) и 4.3.32, 4.2.34, 4.1.42, 4.0.34 (http://comments.gmane.org/gmane.comp.emulators.virtualbox.an...);
URL: https://blogs.oracle.com/security/entry/october_2015_critica...
Новость: http://www.opennet.me/opennews/art.shtml?num=43171
Что ж оно такое решето-то? Каждый выпуск по 25 дыр
Чем крупнее проект, тем больше в нём дырок
Да их даже в ядре меньше.)) неужели java прям больше ядра?))Не, я понимаю дыры есть. Но по 25 штук в каждом выпуске, из которых 24 ещё и remote?!
> Да их даже в ядре меньше.)) неужели java прям больше ядра?))да, уже давно больше - если мерять в килобайтах исходников.
Но самое главное - гораздо сложнее. 70% кода ржавого линуксного ведра представляют собой драйвера никому нахрен не сдавшихся экзотических устройств, написанные методом cut-&paste с заменой пары строк, половина из которых давно не работает, потому что тот, кто их для себя любимого делал - давно поменял железки, а проблемы пользователя "у меня не воспроизводится".
Поскольку кернельный oops в таком драйвере обычно вообще не считают за security проблему, на них никто и внимания не обращает, кроме уж совсем вопиющих случаев, когда это оказывается драйвер tty.
А собственно ядро - штука простая, по большей части, причем эти части довольно компактны и изолированны, ревью делать легко.> Не, я понимаю дыры есть. Но по 25 штук в каждом выпуске, из которых 24 ещё и remote?!
поскольку практически весь функционал того же mysql "remote" (ибо не-remote у нас уже есть прекрасно работающий sqlite, второй нафиг не сдался), удивляться следует скорее 25й локальной.
На деле это, чаще всего, не ужаснее oops в ненужном драйвере - в большинстве случаев удаленный доступ и так предоставлен trusted приложению, которое вполне в рамках допустимых действий над своими собственными данными может причинить гораздо больший ущерб.Тех исключительных случаев, когда ущерб может быть нанесен без авторизации и серьезный - не настолько больше, чем, скажем, серьезных проблем в линуксном ipv6 стеке того же уровня опасности.
"Да их даже в ядре меньше.)) неужели java прям больше ядра?))"
А кто вам сказал что ядро больше? Посмотри на WebLogic по сравнению с ним ядро маляшка."Не, я понимаю дыры есть. Но по 25 штук в каждом выпуске, из которых 24 ещё и remote?!"
Если бы в разработку ядра вбухивали такое же колличество бабла сколько вбухивают в Java то и в нем бы находили проблемные места с такой же скоростью, а не раз в 100500 лет.
А в MySQL 28.
> ... 7 уязвимостям присвоен максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы ...Причём через семь, из двадцати пяти, вирусы и зловреды вываливаются буквально из системника на пол, пугают окружающих своим безобразным видом и беспардонно разгуливают по комнате, а вечерами сами по себе играют в танчеги.
> Причём через семь, из двадцати пяти, вирусы и зловреды вываливаются буквально из
> системника на пол, пугают окружающих своим безобразным видом и беспардонно разгуливают
> по комнате, а вечерами сами по себе играют в танчеги.Кстати, где Изя. Срочно требуется его экспертное мнение по этой новости.
"Программисты", мля. Ещё небось и ЧСВ завышено, они же пришли к успеху, в Оракле "вкалывают". Зарплату им тоже надо начислять с ошибками.
Полагаю, Ваш код не содержит ошибок... как минимум потому что Вы его не пишете.
Подскажите, почему два выпуска Java предлагается скачать на сайте Oracle, а не только последний?
Ну так CPU и PSU
Starting each quarter, Oracle Critical Patch Updates (CPU) will now contain both the PSU and CPU, so the DBA may choose to apply just the CPU or apply all patches in the PSU patch bundle (which includes additional fixes).Стало яснее. Но как-то раньше не замечал сразу двух версии для скачивания. Плохо следил?
Господа, таки и не пойму, все эти баги в openjdk тоже присутствуют или только в пропиетарной оракловой jdk?В линуксах же почти всегда openJDK/JRE используется. Но смущает то, что open выходит параллельно с оракловой. Получается что-то типа сборок chromium vs chrome?