The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Обновление Java SE (7u80, 8u45), MySQL и других продуктов Or..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление Java SE (7u80, 8u45), MySQL и других продуктов Or..."  +/
Сообщение от opennews (??) on 15-Апр-15, 09:40 
Компания Oracle представила (https://blogs.oracle.com/security/entry/april_2015_critical_...) плановый выпуск обновлений своих продуктов с устранением уязвимостей. В выпусках Java SE 8u45 и 7u79/80 (http://www.oracle.com/technetwork/java/javase/downloads/inde...) (номер версии присвоен в соответствии с новой схемой нумерации выпусков) устранено 14 проблем с безопасностью (http://www.oracle.com/technetwork/topics/security/cpuapr2015...).  Выпуск Java SE 7u79 вышел одновременно с 7u80 и отличается не только устранением уязвимостей, но и исправлением ошибок, не связанных с безопасностью. Примечательно, что это последние  публично доступные обновления для ветки  Java SE 7, пользователям рекомендуется перейти на Java 8 или оформить расширенную поддержку.


Все 14 уязвимостей в Java могут быть эксплуатированы удалённо без проведения аутентификации. 3 уязвимостям (CVE-2015-0469, CVE-2015-0459, CVE-2015-0491) присвоен максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента. 2 проблемам присвоен уровень 9.3, который подразумевает возможность успешной атаки на клиентские системы, но сложность эксплуатации оценивается как средняя. 3 проблемы, максимальная степень опасности которых 5.0, затрагивают не только клиентские, но и серверные системы.


Из не связанных с уязвимостями изменений (http://www.oracle.com/technetwork/java/javase/8u45-relnotes-...) можно отметить прекращение возможности использования внутри jar-файлов полных путей (путей, начинающихся с "/") и косвенных переходов (".." в пути). При необходимости использования подобных путей следует явно указывать опцию "-P".


Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе сообщается о 5 уязвимостях (http://www.oracle.com/technetwork/topics/security/cpuapr2015...) в Solaris (для локальных проблем с ZFS и с командами аккунтинга указана степень опасности 7.2, уязвимости в Kernel IDMap присвоен уровень 7.1, но она может быть эксплуатирована по сети), 2 уязвимостях (http://www.oracle.com/technetwork/topics/security/cpuapr2015...) в VirtualBox (максимальная степень опасности 4.3) и 24 уязвимостях (http://www.oracle.com/technetwork/topics/security/cpuapr2015...) в MySQL (максимальная степень опасности 5.7).  Уязвимости уже молча исправлены в на днях опубликованных обновлениях (http://blog.gmane.org/gmane.comp.db.mysql.announce)  MySQL Community Server.

URL: https://blogs.oracle.com/security/entry/april_2015_critical_...
Новость: http://www.opennet.me/opennews/art.shtml?num=42041

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление Java SE (7u80, 8u45), MySQL и других продуктов Or..."  +6 +/
Сообщение от Аноним (??) on 15-Апр-15, 09:40 
>>Из не связанных с уязвимостями изменений можно отметить прекращение возможности использования внутри jar-файлов полных путей (путей, начинающихся с "/") и косвенных переходов (".." в пути). При необходимости использования подобных путей следует явно указывать опцию "-P".

Интересно, Зачем это сделали?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Обновление Java SE (7u80, 8u45), MySQL и других продуктов Or..."  +/
Сообщение от iZEN (ok) on 15-Апр-15, 09:58 
Это сделали, возможно, для того чтобы антивирусы при сканировании содержимого jar-файла не усматривали в нём угрозу деструктивных действий для локальной файловой системы и не помещали в "карантин".
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Обновление Java SE (7u80, 8u45), MySQL и других продуктов Or..."  +/
Сообщение от Аноним (??) on 15-Апр-15, 10:02 
То есть, чтоб приложение на Java было безопасным надо собирать уже, обновив jdk?
Или достаточно просто запускать  на обновленном jdk или jre?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Обновление Java SE (7u80, 8u45), MySQL и других продуктов Or..."  +2 +/
Сообщение от iPony on 15-Апр-15, 10:07 
Ничего не надо, это вообще не относится никак к "хорошему" java приложению.
Вектор эксплуатации для jre plugin в браузере - подсовываешь на сайте "плохой" java апплет и через уязвимый jre plugin имеешь всю ОС.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

21. "Обновление Java SE (7u80, 8u45), MySQL и других продуктов Or..."  +/
Сообщение от Аноним (??) on 16-Апр-15, 08:35 
О, я его отключаю, как и флэш, сразу после установки ОСи. Надеюсь, так же поступают и все остальные...  
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

5. "Обновление Java SE (7u80, 8u45), MySQL и других продуктов Or..."  –1 +/
Сообщение от Аноним (??) on 15-Апр-15, 10:34 
Как это здорово - выпускать обновления с устранением уязвимостей *планово*! Может они эти уязвимости также планово туда запихивают? Специальный "цикл жизни" уязвимостей, когда одни "устаревшие" уязвимости плавно заменяются другими.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Обновление Java SE (7u80, 8u45), MySQL и других продуктов Or..."  +1 +/
Сообщение от Аноним (??) on 15-Апр-15, 11:00 
"Oracle и NSA выпустили обновление Java SE с устранением уязвимостей." ;)
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

11. "Обновление Java SE (7u80, 8u45), MySQL и других продуктов Or..."  +3 +/
Сообщение от pkdr (ok) on 15-Апр-15, 12:32 
"Oracle и NSA выпустили обновление набора уязвимостей под названием Java SE"
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "Обновление Java SE (7u80, 8u45), MySQL и других продуктов Or..."  +1 +/
Сообщение от Аноним (??) on 15-Апр-15, 11:45 
А гугл по прежнему никак не работает с апстримом openjdk? И на андроиде до сих пор Ява6 ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Обновление Java SE (7u80, 8u45), MySQL и других продуктов Or..."  –1 +/
Сообщение от Andrey Mitrofanov on 15-Апр-15, 11:51 
> А гугл по прежнему никак не работает с апстримом openjdk? И на
> андроиде до сих пор Ява6 ?

Во-первых, у них не жава, а дальвик. Во-вторых, они продают не цифеку рядом со словом "java", а рекламу. Поэтому они продают циферку рядом со словом "андроид". Понимать же надо!

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Обновление Java SE (7u80, 8u45), MySQL и других продуктов Or..."  +2 +/
Сообщение от Аноним (??) on 15-Апр-15, 12:01 
то что у них VM дальвик это одно, но то что код базируется на java 6 уже несколько лет, это другое. Собственно вопрос был, кто-либо видел представителей Гугла в JSR в последние годы? Или где видел/читал про поддержку со стороны Гугла языковых новшеств из java 8?
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Обновление Java SE (7u80, 8u45), MySQL и других продуктов Or..."  –3 +/
Сообщение от Аноним (??) on 15-Апр-15, 12:21 
Use Qt, Luke, and drop out that shit called java.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "Обновление Java SE (7u80, 8u45), MySQL и других продуктов Or..."  +2 +/
Сообщение от Andrey Mitrofanov on 15-Апр-15, 12:32 
> то что у них VM дальвик это одно, но то что код
> базируется на java 6 уже несколько лет, это другое. Собственно вопрос
> был, кто-либо видел представителей Гугла в JSR в последние годы? Или

Да, не нужен им оракловский лок-ин, у них свой embarrass-n-extend с дальвиками и ART-ами.

Если бы мне это надо было, я бы поискал в гуглях java-8 android и увидел про поддержку jse7, отдельных фич se8, использование jdk8 для андроидо-девелопмента, прекращение поддержки Harmony апач-могилой и пр. совершенно не интересные мне нагромождения сущностей.

Вас эти нагромождения интересовали так же мало?

> где видел/читал про поддержку со стороны Гугла языковых новшеств из java 8?

Трансляция байт-кодов http://zserge.com/blog/android-lambda.html же! Прогрессивно-молодёжно.

ЗЫЖ И да, кому надо "плановых исправлений безопасности" от гугля -- это не к андроиду, это на хромы надо "прыгать".

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "Обновление Java SE (7u80, 8u45), MySQL и других продуктов Or..."  –1 +/
Сообщение от Michael Shigorin email(ok) on 15-Апр-15, 12:50 
У оракловых работяг замечена милая манера ломать, порой существенно, "стабильные" ветки по *сборке*; на этот раз 5.5.x не собирается вот так: http://lists.altlinux.org/pipermail/devel/2015-April/199748.... (и да, при Sun такого тоже не было).
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Обновление Java SE (7u80, 8u45), MySQL и других продуктов Or..."  +/
Сообщение от Аноним (??) on 15-Апр-15, 13:25 
derby починили?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Обновление Java SE (7u80, 8u45), MySQL и других продуктов Or..."  +1 +/
Сообщение от Клыкастый (ok) on 15-Апр-15, 14:22 
жаба, флеш, проблемы с безопасностью.
это уже давно как "Мир. Труд. Май".

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Обновление Java SE (7u80, 8u45), MySQL и других продуктов Or..."  +/
Сообщение от YetAnotherOnanym (ok) on 15-Апр-15, 14:52 
> Все 14 уязвимостей в Java могут быть эксплуатированы удалённо без проведения аутентификации

Мда... Этак и PHP будет выглядеть более безопасной платформой...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Обновление Java SE (7u80, 8u45), MySQL и других продуктов Or..."  +/
Сообщение от Andrey Mitrofanov on 15-Апр-15, 16:08 
> Мда... Этак и PHP будет выглядеть более безопасной платформой...

Не хватает FLOSS-платформы для распространения уязвимостей, killer-аппа, т-скзть. Ср.: wordpress.

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Обновление Java SE (7u80, 8u45), MySQL и других продуктов Or..."  +/
Сообщение от Аноним (??) on 16-Апр-15, 00:05 
Аккунтинга????
Лол!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Обновление Java SE (7u80, 8u45), MySQL и других продуктов Or..."  +/
Сообщение от Анонимммм on 16-Апр-15, 02:08 
> 2 уязвимостях в VirtualBox (максимальная степень опасности 4.3)

Автор новости полагает, что "Oracle VM Server for SPARC" и "VirtualBox" - это одно и тоже?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Обновление Java SE (7u80, 8u45), MySQL и других продуктов Or..."  +/
Сообщение от Аноним (??) on 16-Апр-15, 05:15 
Какая боль https://github.com/mysql/mysql-server
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру