URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 115603
[ Назад ]

Исходное сообщение
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."

Отправлено opennews , 18-Окт-18 12:28 
Компания Oracle опубликовала (https://blogs.oracle.com/oraclesecurity/october-2018-critica...) плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В октябрьском обновлении в сумме устранено 301 уязвимость (https://www.oracle.com/technetwork/security-advisory/cpuoct2...).

В выпусках Java SE 11.0.1 и 8u191 (http://www.oracle.com/technetwork/java/javase/downloads/inde...) устранено 12 проблем с безопасностью. Все уязвимости могут быть эксплуатированы удалённо без проведения аутентификации.  Трём уязвимостям присвоен (http://www.oracle.com/technetwork/security-advisory/cpuoct20...) уровень опасности 8.3. Одна из проблем (CVE-2018-3183 (https://security-tracker.debian.org/tracker/CVE-2018-3183)) имеет CVSS Score 9, что соответствует критическому уровню опасности. Указанная уязвимость затрагивает компонент JRockit (модуль Scripting) и позволяет неаутентифицированному пользователю по сети скомпрометировать приложения на Java SE, Java SE Embedded, JRockit.


Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

-  34 уязвимости (http://www.oracle.com/technetwork/security-advisory/cpuoct20...) в MySQL (максимальный уровень опасности 8.8). Наиболее опасная проблема
(CVE-2016-9843 (https://security-tracker.debian.org/tracker/CVE-2016-9843)) затрагивает используемую в InnoDB  библиотеку zlib и может привести к некоррекной проверке контрольных сумм;

Проблемы устранены в выпусках MySQL Community Server 8.0.12, 5.7.23, 5.6.41 и 5.5.66 (http://dev.mysql.com/downloads/mysql/).

-  14 уязвимостей (http://www.oracle.com/technetwork/security-advisory/cpuoct20...) в VirtualBox, из которых 13 имеют критическую степень опасности (CVSS Score  8.6+). Уязвимости  устранены в обновлении VirtualBox  5.2.20 (https://www.opennet.me/opennews/art.shtml?num=49455) (в примечании (https://www.virtualbox.org/wiki/Changelog) к релизу факт устранения проблем с безопасностью не был афиширован). Наиболее опасная проблема c CVSS Score  9.0 затрагивает реализацию протокола VRDP.

-  17 проблем (http://www.oracle.com/technetwork/security-advisory/cpuoct20...) в Solaris (максимальная степень опасности 8.1) - проблемы в RAD (Remote Administration Daemon), ядре, LibKMIP, Zones, Sudo, LFTP, RPC, SMB Server и Verified Boot. Проблемы устранены в выпуске
Solaris 11.4 SRU2 (https://blogs.oracle.com/solaris/announcing-oracle-solaris-1...), в котором также обновлены версии пакетов nghttp2  1.32.0, unixodbc  2.3.6 и PHP 7.1.21.

URL: https://blogs.oracle.com/oraclesecurity/october-2018-critica...
Новость: https://www.opennet.me/opennews/art.shtml?num=49456


Содержание

Сообщения в этом обсуждении
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Zenitur , 18-Окт-18 12:28 
А чем Java отличается от Java SE?

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Аноним , 18-Окт-18 12:34 
Уровнем понтов.

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Аноним , 19-Окт-18 13:28 
Java это только виртуалка. То есть запускалка для java.
Java SE это еще и инструменты для разработки (например javac и т.п.),
которых нету в Java.
Обычно тащут jdk из Java SE. В обычной Java смысла не очень много.
Разве что для пользователей.

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено както так , 18-Окт-18 12:36 
       Java SE
Java <
       Java EE

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено нах , 18-Окт-18 14:54 
кстати, прекрасная новость: https://www.java.com/en/download/release_notice.jsp - взбесившееся земноводное, покусавшее монгу и пожравшее редис, добралось и до своего тёзки.

правда, в свете "openjdk ваш новый стандарт", уже не жалко.


"Ораклее Java SE, MySQL, VirtualBox и других оракле Oracle..."
Отправлено Andrey Mitrofanov , 18-Окт-18 15:03 
>взбесившееся земноводное, покусавшее монгу и пожравшее редис, добралось и до
> своего тёзки.

Ты как будто первый раз слышишь слово "Оракле".


"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Michael Shigorin , 19-Окт-18 00:25 
А вот, между прочим, вариант: https://www.bell-sw.com/java.html

Это разогнанный полтора года назад ораклом питерский офис разработки java, в котором были и люди, знавшие её потроха лучше Гослинга.


"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Аноним , 19-Окт-18 09:32 
со слов тех кто там работал - там все же занимались ME/SE, а не EE.

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено нах , 19-Окт-18 12:05 
так SE теперь тоже нельзя кроме как в домашне-экспериментальных целях.

видимо, топтопам орацла стало не хватать на очередную яхту в кредит.


"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Аноним , 18-Окт-18 16:36 
Может кто-нибудь объяснить, почему они выпускают такие обновления пачкой? Они фиксят и держат в секрете нераскрытые уязвимости некоторое время, а потом разом публикуют всё? Зачем? Почему бы не публиковать апдейты чаще?

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Andrey Mitrofanov , 18-Окт-18 16:39 
> Может кто-нибудь объяснить, почему они выпускают такие обновления пачкой? Они фиксят и
> держат в секрете нераскрытые уязвимости некоторое время, а потом разом публикуют
> всё? Зачем? Почему бы не публиковать апдейты чаще?

Экономят на новостях и эдектронах.

Плановое капиталистическое производство.

Они ещё не научились писать новости об исправлениях пож бравурные марши и тосты типа "как замечательно всё фиксится! будем".

....


"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено нах , 18-Окт-18 16:44 
> Может кто-нибудь объяснить, почему они выпускают такие обновления пачкой?

потому что у их платных пользователей под них подогнаны окна обслуживания, а апдейтиться посередине какой-нибудь биржевой сессии они не могут себе позволить, даже если там вообще remote root пробивающий все файрволы и фильтры.

такая жерня, кговавый ентер-прайс.



"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Аноним , 18-Окт-18 17:09 
> потому что у их платных пользователей под них подогнаны окна обслуживания

Я правильно понимаю, что до момента публикации даже такие проекты, как openjdk или всякие дистрибутивы вроде дебиана и рхела не в курсе про всё это и вынуждены подстраиваться под эти "окна", хотя никак не связаны с интерпрайзными клиентами проприетарного oraclejdk?


"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено нах , 18-Окт-18 17:34 
> Я правильно понимаю, что до момента публикации даже такие проекты, как openjdk или всякие
> дистрибутивы вроде дебиана и рхела не в курсе

насколько я понимаю, да, разьве что у них есть какие-то специальные каналы обмена этой информацией, недоступные даже платным клиентам. Но им никто не мешает находить и исправлять ошибки самостоятельно, это опенсорс. Или просто копипастить каждую новую версию - это вот тоже...опенсорс такой.

забавно что вот заговор молчания вокруг продуктов isc вас не напрягает (а, ну да, редхат же в доле, естественно).


"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Аноним , 18-Окт-18 17:36 
Да, вы правильно понимаете, но ситуация немного другая...
Оракл - это всего-лишь часть разработчиков ( хоть и большая ), и кто-то может фиксануть раньше...

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено Аноним , 19-Окт-18 13:33 
Чаще не значит качественее.
Вы сравните предыдущую 7 ветку, там обновлений на порядок меньше было.
А тут уже 192 нагенерили, а толку? Одно фиксят другое ломают.
Поэтому лучше всего использовать минимум функциональности, а остальное использовать из библиотек проверенных временем.

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено лютый лютик__ , 22-Окт-18 06:24 
Ну, вообще-то это номер билда, а не количество патчей.

"другое ломают"

Ну всё, пора срочно валить... огласите список вкудавалить.


"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено лютый джо__ , 22-Окт-18 06:25 
Ну, вообще-то это номер билда, а не количество патчей.

"другое ломают"

Ну всё, пора срочно валить... огласите список вкудавалить.


"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Отправлено bagas , 22-Окт-18 12:41 
MySQL Community Server 5.5.62!
5,5,66 я не вижу на офф. сайте мускула.