Компания Oracle опубликовала (https://blogs.oracle.com/oraclesecurity/october-2018-critica...) плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В октябрьском обновлении в сумме устранено 301 уязвимость (https://www.oracle.com/technetwork/security-advisory/cpuoct2...).В выпусках Java SE 11.0.1 и 8u191 (http://www.oracle.com/technetwork/java/javase/downloads/inde...) устранено 12 проблем с безопасностью. Все уязвимости могут быть эксплуатированы удалённо без проведения аутентификации. Трём уязвимостям присвоен (http://www.oracle.com/technetwork/security-advisory/cpuoct20...) уровень опасности 8.3. Одна из проблем (CVE-2018-3183 (https://security-tracker.debian.org/tracker/CVE-2018-3183)) имеет CVSS Score 9, что соответствует критическому уровню опасности. Указанная уязвимость затрагивает компонент JRockit (модуль Scripting) и позволяет неаутентифицированному пользователю по сети скомпрометировать приложения на Java SE, Java SE Embedded, JRockit.
Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:- 34 уязвимости (http://www.oracle.com/technetwork/security-advisory/cpuoct20...) в MySQL (максимальный уровень опасности 8.8). Наиболее опасная проблема
(CVE-2016-9843 (https://security-tracker.debian.org/tracker/CVE-2016-9843)) затрагивает используемую в InnoDB библиотеку zlib и может привести к некоррекной проверке контрольных сумм;Проблемы устранены в выпусках MySQL Community Server 8.0.12, 5.7.23, 5.6.41 и 5.5.66 (http://dev.mysql.com/downloads/mysql/).
- 14 уязвимостей (http://www.oracle.com/technetwork/security-advisory/cpuoct20...) в VirtualBox, из которых 13 имеют критическую степень опасности (CVSS Score 8.6+). Уязвимости устранены в обновлении VirtualBox 5.2.20 (https://www.opennet.me/opennews/art.shtml?num=49455) (в примечании (https://www.virtualbox.org/wiki/Changelog) к релизу факт устранения проблем с безопасностью не был афиширован). Наиболее опасная проблема c CVSS Score 9.0 затрагивает реализацию протокола VRDP.
- 17 проблем (http://www.oracle.com/technetwork/security-advisory/cpuoct20...) в Solaris (максимальная степень опасности 8.1) - проблемы в RAD (Remote Administration Daemon), ядре, LibKMIP, Zones, Sudo, LFTP, RPC, SMB Server и Verified Boot. Проблемы устранены в выпуске
Solaris 11.4 SRU2 (https://blogs.oracle.com/solaris/announcing-oracle-solaris-1...), в котором также обновлены версии пакетов nghttp2 1.32.0, unixodbc 2.3.6 и PHP 7.1.21.URL: https://blogs.oracle.com/oraclesecurity/october-2018-critica...
Новость: https://www.opennet.me/opennews/art.shtml?num=49456
А чем Java отличается от Java SE?
Уровнем понтов.
Java это только виртуалка. То есть запускалка для java.
Java SE это еще и инструменты для разработки (например javac и т.п.),
которых нету в Java.
Обычно тащут jdk из Java SE. В обычной Java смысла не очень много.
Разве что для пользователей.
Java SE
Java <
Java EE
кстати, прекрасная новость: https://www.java.com/en/download/release_notice.jsp - взбесившееся земноводное, покусавшее монгу и пожравшее редис, добралось и до своего тёзки.правда, в свете "openjdk ваш новый стандарт", уже не жалко.
>взбесившееся земноводное, покусавшее монгу и пожравшее редис, добралось и до
> своего тёзки.Ты как будто первый раз слышишь слово "Оракле".
А вот, между прочим, вариант: https://www.bell-sw.com/java.htmlЭто разогнанный полтора года назад ораклом питерский офис разработки java, в котором были и люди, знавшие её потроха лучше Гослинга.
со слов тех кто там работал - там все же занимались ME/SE, а не EE.
так SE теперь тоже нельзя кроме как в домашне-экспериментальных целях.видимо, топтопам орацла стало не хватать на очередную яхту в кредит.
Может кто-нибудь объяснить, почему они выпускают такие обновления пачкой? Они фиксят и держат в секрете нераскрытые уязвимости некоторое время, а потом разом публикуют всё? Зачем? Почему бы не публиковать апдейты чаще?
> Может кто-нибудь объяснить, почему они выпускают такие обновления пачкой? Они фиксят и
> держат в секрете нераскрытые уязвимости некоторое время, а потом разом публикуют
> всё? Зачем? Почему бы не публиковать апдейты чаще?Экономят на новостях и эдектронах.
Плановое капиталистическое производство.
Они ещё не научились писать новости об исправлениях пож бравурные марши и тосты типа "как замечательно всё фиксится! будем".
....
> Может кто-нибудь объяснить, почему они выпускают такие обновления пачкой?потому что у их платных пользователей под них подогнаны окна обслуживания, а апдейтиться посередине какой-нибудь биржевой сессии они не могут себе позволить, даже если там вообще remote root пробивающий все файрволы и фильтры.
такая жерня, кговавый ентер-прайс.
> потому что у их платных пользователей под них подогнаны окна обслуживанияЯ правильно понимаю, что до момента публикации даже такие проекты, как openjdk или всякие дистрибутивы вроде дебиана и рхела не в курсе про всё это и вынуждены подстраиваться под эти "окна", хотя никак не связаны с интерпрайзными клиентами проприетарного oraclejdk?
> Я правильно понимаю, что до момента публикации даже такие проекты, как openjdk или всякие
> дистрибутивы вроде дебиана и рхела не в курсенасколько я понимаю, да, разьве что у них есть какие-то специальные каналы обмена этой информацией, недоступные даже платным клиентам. Но им никто не мешает находить и исправлять ошибки самостоятельно, это опенсорс. Или просто копипастить каждую новую версию - это вот тоже...опенсорс такой.
забавно что вот заговор молчания вокруг продуктов isc вас не напрягает (а, ну да, редхат же в доле, естественно).
Да, вы правильно понимаете, но ситуация немного другая...
Оракл - это всего-лишь часть разработчиков ( хоть и большая ), и кто-то может фиксануть раньше...
Чаще не значит качественее.
Вы сравните предыдущую 7 ветку, там обновлений на порядок меньше было.
А тут уже 192 нагенерили, а толку? Одно фиксят другое ломают.
Поэтому лучше всего использовать минимум функциональности, а остальное использовать из библиотек проверенных временем.
Ну, вообще-то это номер билда, а не количество патчей."другое ломают"
Ну всё, пора срочно валить... огласите список вкудавалить.
Ну, вообще-то это номер билда, а не количество патчей."другое ломают"
Ну всё, пора срочно валить... огласите список вкудавалить.
MySQL Community Server 5.5.62!
5,5,66 я не вижу на офф. сайте мускула.