Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей

21.04.2021 08:15

Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В апрельском обновлении в сумме устранено 390 уязвимостей.

Некоторые проблемы:

2 проблемы с безопасностью в Java SE. Все уязвимости могут быть эксплуатированы удалённо без проведения аутентификации. Проблемы имеют уровень опасности 5.9 и 5.3, присутствуют в библиотеках и проявляются только в окружениях, допускающих выполнение не заслуживающего доверия кода. Уязвимости устранены в выпусках Java SE 16.0.1, 11.0.11 и 8u292 . Дополнительно отмечается отключение по умолчанию протоколов TLSv1.0 и TLSv1.1 в OpenJDK.
43 уязвимости в сервере MySQL, из которых 4 могут быть эксплуатированы удалённо (данным уязвимостям присвоен уровень опасности 7.5). Удалённо эксплуатируемые уязвимости проявляются при сборке с OpenSSL или MIT Kerberos. 39 локально эксплуатируемых уязвимостей вызваны ошибками в парсере, InnoDB, DML, оптимизаторе, системе репликаций, организации выполнения хранимых процедур и плагине для аудита. Проблемы устранены в выпусках MySQL Community Server 8.0.24 и 5.7.34.
20 уязвимостей в VirtualBox. Три наиболее опасные проблемы имеют уровень опасности 8.1, 8.2 и 8.4. Одна из данных проблем допускает удалённую атаку через манипуляцию с протоколом RDP. Уязвимости устранены в обновлении VirtualBox 6.1.20.
2 уязвимости в Solaris. Максимальная степень опасности 7.8 - локально эксплуатируемая уязвимость в CDE (Common Desktop Environment). Вторая проблема имеет уровень опасности 6.1 и проявляется в ядре. Проблемы устранены в обновлении Solaris 11.4 SRU32.

исправить +12 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/54994-oracle

Ключевые слова: oracle, java, virtualbox, solaris

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (29)

1.1, acroobat (ok), 08:34, 21/04/2021 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Ждём обновлений от Adobe?

2.5, Арагорн (?), 08:45, 21/04/2021 [^] [^^] [^^^] [ответить]	+1 +/–
да вроде нет

1.3, Аноним (3), 08:35, 21/04/2021 [ответить] [﹢﹢﹢] [ · · · ]	+/–
У них 100 уровней градаций опасности? О_О. А чем 7.3 от 7.2 отличаются?

2.6, Аноним (6), 08:51, 21/04/2021 [^] [^^] [^^^] [ответить]	+/–
Это наверно CVSS "нотация" или в этом духе, хотя сходу мне не удалось найти в чем заключалось бы различие приведенного примера.

2.10, Аноним (10), 09:15, 21/04/2021 [^] [^^] [^^^] [ответить]	+4 +/–
Рейтинг cve рассчитывается по ~25 метрикам в каждом по 2-4 значения. Смотри nvd calculator https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator

3.23, Урри (ok), 18:06, 21/04/2021 [^] [^^] [^^^] [ответить]	+/–
ОГО. Спасибо, будем образовываться.

2.13, Dmitry (??), 11:04, 21/04/2021 [^] [^^] [^^^] [ответить]	+/–
Очевидно на 1/10 опасности больше ! )

2.14, VladSh (?), 11:41, 21/04/2021 [^] [^^] [^^^] [ответить]	+/–
3 > 2 по любому.

1.4, kissmyass (?), 08:40, 21/04/2021 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Интересно связаны ли CVE MySQL с MariaDB. Подвержена мария тем же проблемам или нет.

1.7, лютый жабби__ (?), 09:04, 21/04/2021 [ответить] [﹢﹢﹢] [ · · · ]	–4 +/–
в дебиан до сих пор 11.0.9... всё, что нужно знать про этот заменитель oracle linux

2.9, Аноним (3), 09:10, 21/04/2021 [^] [^^] [^^^] [ответить]	–2 +/–
Возьми и сделай, в чем проблема?

3.31, лютый жабби__ (?), 13:40, 23/04/2021 [^] [^^] [^^^] [ответить]	+/–
>Возьми и сделай в оракле линукс 11.0.11 уже прилетело... debian фофаны чтоли? что за разговоры потом про серверный дистриб?

1.12, Аноним (12), 10:19, 21/04/2021 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
> Solaris. Максимальная степень опасности 7.8 - локально эксплуатируемая уязвимость в CDE Там же гном вроде? Или можно цде как-то включить?

1.15, Fractal (?), 12:10, 21/04/2021 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Закрывайте своим сишным фаерволом с eBPF RCE

2.17, Онаним (?), 14:50, 21/04/2021 [^] [^^] [^^^] [ответить]	+1 +/–
Перепишешь хотя бы MySQL на хрусте - приходи.

1.16, InuYasha (??), 12:20, 21/04/2021 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Бойкотировал все продукты от этой гнилой конторы - сам доволен и другим советую. Только лучше не на Машку переходить а сразу на pgsql. И избегайте покупки их железок - себе дороже. Sun был здоровским, а это - ...

2.18, Michael Shigorin (ok), 15:07, 21/04/2021 [^] [^^] [^^^] [ответить]	+/–
+

2.19, лютый жабби__ (?), 15:09, 21/04/2021 [^] [^^] [^^^] [ответить]

–1 +/–

>Бойкотировал все продукты от этой гнилой конторы - сам доволен и другим советую.

контора гнилая, а ларри так вообще...

Но жаба прекрасна. Oracle Linux тоже. Остальное да, хотя у них продуктов много, всё не пощупаешь )

3.24, Урри (ok), 18:11, 21/04/2021 [^] [^^] [^^^] [ответить]	+/–
Была. С тех пор много воды утекло.

3.27, Аноним (27), 07:44, 22/04/2021 [^] [^^] [^^^] [ответить]	+1 +/–
> контора гнилая, а ларри так вообще... даже не знаю как бы помягче сказать. Звучит прямо как из произведения Чехова :) Скажем так, очень далеко от уровня аргументирования и тональности принятых в ИТ

4.28, лютый жабби__ (?), 09:21, 22/04/2021 [^] [^^] [^^^] [ответить]

–1 +/–

>Скажем так, очень далеко от уровня аргументирования и тональности принятых в ИТ

надо все банальности перечислять про то, что орки сделали с жабой ЕЕ и просто жабой?

ещё у оркосубд система лицензирования настолько шедевральная, что никто точно не знает сколько ты им должен ) в один год могут насчитать одно, на следующий год заметно больше. про неадекватность ценника молчу - идеал для распильщиков.

Ларри, ЦРУшная шваль. В этой стране принято только ФСБшников своим именем называть?

2.20, лютый жабби__ (?), 15:10, 21/04/2021 [^] [^^] [^^^] [ответить]	–2 +/–
>а сразу на pgsql в 2021м году переходить на постгрес? Вы тока школу закончили?

3.21, F (?), 15:54, 21/04/2021 [^] [^^] [^^^] [ответить]	+/–
Подскажите, что же сейчас в тренде, что изучать.

4.22, turbo2001 (ok), 17:11, 21/04/2021 [^] [^^] [^^^] [ответить]	–1 +/–
MSSQL осел.jpg

3.26, Аноним (27), 07:41, 22/04/2021 [^] [^^] [^^^] [ответить]	+/–
PostgresPRO - инновативно, заместительно, патриотично.

4.29, PnD (??), 14:16, 22/04/2021 [^] [^^] [^^^] [ответить]	+/–
Учи́тесь как надо: """ DisCO расшифровывается как «Distributed Cooperative Organization» (распределенная кооперативная организация) и представляет собой феминистскую, кооперативную и ориентированную на интересы общества альтернативу широко распространенной DAO-парадигме (Decentralized Autonomous Organization — распределенная автономная организация). """ Brick-face, глаза на выкате, и… Вот так!

2.25, Аноним (27), 07:40, 22/04/2021 [^] [^^] [^^^] [ответить]

–1 +/–

> Бойкотировал все продукты от этой гнилой конторы - сам доволен и другим советую

ну вообще-то это не называется "байкотировал" :)

А в чем "гнилость", меня как технаря интересует. Ты какие-то уникальные бенчмарки собрал, тайную коллекцию уязвимостей, живущих годами, что-то, короче такое, что делает твое мнение более ценным, чем мнение индустрии?

3.30, InuYasha (??), 11:23, 23/04/2021 [^] [^^] [^^^] [ответить]	+/–
Выбор технических дисциплин не освобождает от знания русского языка. Гнилость у их руководства в мозгах (или в сердце). Ну, например, тебе на сервер 5-летней давности надо бы поставить новую прошивку с устранением дыр, а тебе говорят: "чтобы скачать прошивку, купите поддержку за 1500$". И так - во всём. А вообще - я не твой персональный гугл.

1.32, Аноним (32), 15:26, 23/04/2021 [ответить] [﹢﹢﹢] [ · · · ]	+/–
44 CVE у мыскля. Вот прям от души на все деньги. Но мартышки будут продолжать и дальше пихать эту перделку во все проекты.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: