Компания Oracle опубликовала (https://blogs.oracle.com/oraclesecurity/october-2018-critica...) плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В октябрьском обновлении в сумме устранено 301 уязвимость (https://www.oracle.com/technetwork/security-advisory/cpuoct2...).

В выпусках Java SE 11.0.1 и 8u191 (http://www.oracle.com/technetwork/java/javase/downloads/inde...) устранено 12 проблем с безопасностью. Все уязвимости могут быть эксплуатированы удалённо без проведения аутентификации.  Трём уязвимостям присвоен (http://www.oracle.com/technetwork/security-advisory/cpuoct20...) уровень опасности 8.3. Одна из проблем (CVE-2018-3183 (https://security-tracker.debian.org/tracker/CVE-2018-3183)) имеет CVSS Score 9, что соответствует критическому уровню опасности. Указанная уязвимость затрагивает компонент JRockit (модуль Scripting) и позволяет неаутентифицированному пользователю по сети скомпрометировать приложения на Java SE, Java SE Embedded, JRockit.

Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

-  34 уязвимости (http://www.oracle.com/technetwork/security-advisory/cpuoct20...) в MySQL (максимальный уровень опасности 8.8). Наиболее опасная проблема
(CVE-2016-9843 (https://security-tracker.debian.org/tracker/CVE-2016-9843)) затрагивает используемую в InnoDB  библиотеку zlib и может привести к некоррекной проверке контрольных сумм;

Проблемы устранены в выпусках MySQL Community Server 8.0.12, 5.7.23, 5.6.41 и 5.5.66 (http://dev.mysql.com/downloads/mysql/).

-  14 уязвимостей (http://www.oracle.com/technetwork/security-advisory/cpuoct20...) в VirtualBox, из которых 13 имеют критическую степень опасности (CVSS Score  8.6+). Уязвимости  устранены в обновлении VirtualBox  5.2.20 (https://www.opennet.me/opennews/art.shtml?num=49455) (в примечании (https://www.virtualbox.org/wiki/Changelog) к релизу факт устранения проблем с безопасностью не был афиширован). Наиболее опасная проблема c CVSS Score  9.0 затрагивает реализацию протокола VRDP.

-  17 проблем (http://www.oracle.com/technetwork/security-advisory/cpuoct20...) в Solaris (максимальная степень опасности 8.1) - проблемы в RAD (Remote Administration Daemon), ядре, LibKMIP, Zones, Sudo, LFTP, RPC, SMB Server и Verified Boot. Проблемы устранены в выпуске
Solaris 11.4 SRU2 (https://blogs.oracle.com/solaris/announcing-oracle-solaris-1...), в котором также обновлены версии пакетов nghttp2  1.32.0, unixodbc  2.3.6 и PHP 7.1.21.

URL: https://blogs.oracle.com/oraclesecurity/october-2018-critica...
Новость: https://www.opennet.me/opennews/art.shtml?num=49456

• Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,Zenitur, 12:28 , 18-Окт-18
  • Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,Аноним, 12:34 , 18-Окт-18
  • Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,Аноним, 13:28 , 19-Окт-18
• Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,както так, 12:36 , 18-Окт-18
• Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,нах, 14:54 , 18-Окт-18
  • Ораклее Java SE, MySQL, VirtualBox и других оракле Oracle...,Andrey Mitrofanov, 15:03 , 18-Окт-18
  • Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,Michael Shigorin, 00:25 , 19-Окт-18
    • Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,Аноним, 09:32 , 19-Окт-18
      • Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,нах, 12:05 , 19-Окт-18
• Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,Аноним, 16:36 , 18-Окт-18
  • Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,Andrey Mitrofanov, 16:39 , 18-Окт-18
  • Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,нах, 16:44 , 18-Окт-18
    • Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,Аноним, 17:09 , 18-Окт-18
      • Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,нах, 17:34 , 18-Окт-18
      • Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,Аноним, 17:36 , 18-Окт-18
  • Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,Аноним, 13:33 , 19-Окт-18
    • Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,лютый лютик__, 06:24 , 22-Окт-18
    • Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,лютый джо__, 06:25 , 22-Окт-18
• Обновление Java SE, MySQL, VirtualBox и других продуктов Ora...,bagas, 12:41 , 22-Окт-18

А чем Java отличается от Java SE?

Уровнем понтов.

Java это только виртуалка. То есть запускалка для java.
Java SE это еще и инструменты для разработки (например javac и т.п.),
которых нету в Java.
Обычно тащут jdk из Java SE. В обычной Java смысла не очень много.
Разве что для пользователей.

       Java SE
Java <
       Java EE

кстати, прекрасная новость: https://www.java.com/en/download/release_notice.jsp - взбесившееся земноводное, покусавшее монгу и пожравшее редис, добралось и до своего тёзки.

правда, в свете "openjdk ваш новый стандарт", уже не жалко.

>взбесившееся земноводное, покусавшее монгу и пожравшее редис, добралось и до
> своего тёзки.

Ты как будто первый раз слышишь слово "Оракле".

А вот, между прочим, вариант: https://www.bell-sw.com/java.html

Это разогнанный полтора года назад ораклом питерский офис разработки java, в котором были и люди, знавшие её потроха лучше Гослинга.

со слов тех кто там работал - там все же занимались ME/SE, а не EE.

так SE теперь тоже нельзя кроме как в домашне-экспериментальных целях.

видимо, топтопам орацла стало не хватать на очередную яхту в кредит.

Может кто-нибудь объяснить, почему они выпускают такие обновления пачкой? Они фиксят и держат в секрете нераскрытые уязвимости некоторое время, а потом разом публикуют всё? Зачем? Почему бы не публиковать апдейты чаще?

> Может кто-нибудь объяснить, почему они выпускают такие обновления пачкой? Они фиксят и
> держат в секрете нераскрытые уязвимости некоторое время, а потом разом публикуют
> всё? Зачем? Почему бы не публиковать апдейты чаще?

Экономят на новостях и эдектронах.

Плановое капиталистическое производство.

Они ещё не научились писать новости об исправлениях пож бравурные марши и тосты типа "как замечательно всё фиксится! будем".

....

> Может кто-нибудь объяснить, почему они выпускают такие обновления пачкой?

потому что у их платных пользователей под них подогнаны окна обслуживания, а апдейтиться посередине какой-нибудь биржевой сессии они не могут себе позволить, даже если там вообще remote root пробивающий все файрволы и фильтры.

такая жерня, кговавый ентер-прайс.

> потому что у их платных пользователей под них подогнаны окна обслуживания

Я правильно понимаю, что до момента публикации даже такие проекты, как openjdk или всякие дистрибутивы вроде дебиана и рхела не в курсе про всё это и вынуждены подстраиваться под эти "окна", хотя никак не связаны с интерпрайзными клиентами проприетарного oraclejdk?

> Я правильно понимаю, что до момента публикации даже такие проекты, как openjdk или всякие
> дистрибутивы вроде дебиана и рхела не в курсе

насколько я понимаю, да, разьве что у них есть какие-то специальные каналы обмена этой информацией, недоступные даже платным клиентам. Но им никто не мешает находить и исправлять ошибки самостоятельно, это опенсорс. Или просто копипастить каждую новую версию - это вот тоже...опенсорс такой.

забавно что вот заговор молчания вокруг продуктов isc вас не напрягает (а, ну да, редхат же в доле, естественно).

Да, вы правильно понимаете, но ситуация немного другая...
Оракл - это всего-лишь часть разработчиков ( хоть и большая ), и кто-то может фиксануть раньше...

Чаще не значит качественее.
Вы сравните предыдущую 7 ветку, там обновлений на порядок меньше было.
А тут уже 192 нагенерили, а толку? Одно фиксят другое ломают.
Поэтому лучше всего использовать минимум функциональности, а остальное использовать из библиотек проверенных временем.

Ну, вообще-то это номер билда, а не количество патчей.

"другое ломают"

Ну всё, пора срочно валить... огласите список вкудавалить.

Ну, вообще-то это номер билда, а не количество патчей.

"другое ломают"

Ну всё, пора срочно валить... огласите список вкудавалить.

MySQL Community Server 5.5.62!
5,5,66 я не вижу на офф. сайте мускула.