The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от opennews on 20-Июл-16, 10:31 
Компания Oracle представила (https://blogs.oracle.com/security/entry/july_2016_critical_p...) плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В июльском обновлении в сумме устранено 276 уязвимостей (http://www.oracle.com/technetwork/security-advisory/cpujul20...).

В выпусках Java SE 8u101 и 8u102 (http://www.oracle.com/technetwork/java/javase/downloads/inde...) устранено 13 проблем с безопасностью, которые могут быть эксплуатированы удалённо без проведения аутентификации.  Четырём уязвимостям присвоен (http://www.oracle.com/technetwork/security-advisory/cpujul20...)  уровень опасности (CVSS Score) больше 9. Десять проблем проявляются только на клиентских системах (запуск в браузере Java Web Start и Java-апплеты), а три затрагивают как клиентов, так и серверные конфигурации Java. Выпуск Java SE 8u102 вышел одновременно с 8u101 и отличается не только устранением уязвимостей, но и исправлением ошибок, не связанных с безопасностью.


Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

-  22 уязвимости (http://www.oracle.com/technetwork/security-advisory/cpujul20...) в MySQL (максимальный уровень опасности 8.1). Проблемы устранены в выпусках MySQL Community Server 5.7.12, 5.6.30 и 5.5.49 (http://dev.mysql.com/downloads/mysql/).

-  7 уязвимостей (http://www.oracle.com/technetwork/security-advisory/cpujul20...) в Solaris (максимальный уровень опасности 6.5).  Уязвимости устранены в ядре, системе верифицированной загрузки и контейнерах Kernel Zones;

-  2 уязвимости (http://www.oracle.com/technetwork/security-advisory/cpujul20...) в VirtualBox (максимальная степень опасности 5.9), которые связаны с реализацией SSL/TLS и могут эксплуатироваться удалённо. Уязвимости  устранены в обновлении VirtualBox 5.0.26 (https://www.virtualbox.org/).


URL: https://blogs.oracle.com/security/entry/july_2016_critical_p...
Новость: http://www.opennet.ru/opennews/art.shtml?num=44815

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –2 +/
Сообщение от Лютый жабист_ on 20-Июл-16, 10:31 
"В выпусках Java SE 8u101 и 8u102 устранено 13 проблем с безопасностью, которые могут быть эксплуатированы удалённо без проведения аутентификации"

Блин, кто бы объяснил без стёба... допустим есть web-сервер undertow. И теперь через него любого качества приложение можно иметь во все щели, т.к. "13 проблем с безопасностью, которые могут быть эксплуатированы удалённо без проведения аутентификации"?! Ну не верится, ошибки в JVM же где-то в глубине, как это на 3-7 уровнях OSI то можно использовать?

А если не можно, то как на JVM осуществлять атаки "удалённо без проведения аутентификации"?!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Аноним (??) on 20-Июл-16, 12:09 
Рискну предположить:
Известно, что программа состоит из: сегмент кода, сегмент данных. Код это инструкции для процессора, по сути код ассемблера (или инструкции smali для JVM в случае Java).

1. Классическая ошибка - это отсутствие проверки на длину массива. После определённого количества элементов (индекса) все данные считаются кодом и выполняются.
2. Ещё одна классическая ошибка - это парсинг данных, как в старых PHP сайтах (уже вымершая для сайтов благодаря подготовленным процедурам уязвимость). Где после определённого экранирующего символа все данные отправленные пользователем (массив или строка) в запросе считают кодом и выполняются.
3. Ну и совсем уж обычные глупые ошибки. Когда например отправил 100 раз запрос, а на 101 тебе открылась админка. Просто ошибка. Как в heartbleed, когда внезапно пароли передавались: https://ru.wikipedia.org/wiki/Heartbleed
4. Можно ещё выделить в отдельную категорию аппаратные ошибки. Как например недавняя, где после определённого количества обращений к ячейке RAM памяти соседние меняли значения. От них спасает рандомизация запросов.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

19. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –1 +/
Сообщение от Нанобот (ok) on 20-Июл-16, 18:10 
Отставить панику. Для того, чтобы иметь во все щели твоё приложение, оно, как минимум, должно использовать уязвимые классы. Плюс, могут быть дополнительные ограничения
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +3 +/
Сообщение от кто on 20-Июл-16, 10:41 
>плановый выпуск
>Critical Patch Update
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –3 +/
Сообщение от Andrey Mitrofanov on 20-Июл-16, 10:46 
>>плановый выпуск
>>Critical Patch Update

И ч-чё? Оракел победившего социализма. Всем обновить свои уязвимости.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

28. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Вареник on 21-Июл-16, 01:45 
То что у любителе стало бы "Critical Patch Update", то у профессионалов - ждет до "планового выпуска".
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –8 +/
Сообщение от iZEN email(ok) on 20-Июл-16, 13:03 
Дырявость JVM обусловлена применённым языком программирования C++ с элементами на C. Сколько лет можно ловить одни те же ошибки в разных местах, обусловленные несовершенством инструмента? Почему бы не взяться за переписывание виртуальной машины на языке Go или Rust? Почему бы сразу не был применён язык Modula3?
Это говорит о том, что на ранних стадиях отказа от применения C в силу его сложноси и изобретения Java как более простой версии, была совершена колоссальная системная ошибка - взят C++ в качестве основного языка программирования.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –2 +/
Сообщение от Потёртый on 20-Июл-16, 14:06 
Ну да, ну да... Во всём виноваты не индусы, а чёртов Страуструп.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

39. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от ram_scan on 21-Июл-16, 19:16 
> Ну да, ну да... Во всём виноваты не индусы, а чёртов Страуструп.

Если ошибка может быть сделана она будет сделана. А си хоть с крестами хоть без поощряет плохое написание кода, прикрывая это наличием фич в духе "смотрите пацаны как я могу". И это легаси до последнего стандарта протащили и костылями обвешали.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +13 +/
Сообщение от Аноним (??) on 20-Июл-16, 14:24 
Вы зря говорите на языке, на котором можно сказать много глупостей. Язык для речи следует выбирать такой, на котором невозможно сказать ничего неправильного. Ведь такой язык - признак ума. Если человек не способен такой язык изучить, то он наверняка идиот и говорить с ним не о чем.
Камрад Оруелл как-то вводил понятие ньюспика - языка, на котором нельзя сказать неправильных вещей. Но его, видимо, в серьёз не восприняли и язык так и не разработали, оставив его лишь элементом художественной литературы.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

13. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –1 +/
Сообщение от Аноним (??) on 20-Июл-16, 15:41 
Шкраб, сельпо, соцреализм?
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

29. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –1 +/
Сообщение от Вареник on 21-Июл-16, 01:47 
> Шкраб, сельпо, соцреализм?

Именно! ЗК, СИЗО, СССР, ВКЛСМ, ЗПТ, ТЧК.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

14. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Andrey Mitrofanov on 20-Июл-16, 15:59 
> Камрад Оруелл как-то вводил понятие ньюспика - языка, на котором нельзя сказать
> неправильных вещей. Но его, видимо, в серьёз не восприняли и язык
> так и не разработали, оставив его лишь элементом художественной литературы.

Да, норм. всё с новоязом. Маркотоиды регулярно промывают мОзги потреб-ям.

Просто они из оруэла сделали правильный вывод: чтоб нелзя было сказать, им не надо, им надь, чтоб цель думала и делала, чего им надо.

"Десяточка стала ещё лучче", "мйакросоувт самый большой друхх опенсурса". Регулярно в Новосях опенета.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

8. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +2 +/
Сообщение от Анонимус2 on 20-Июл-16, 14:28 
Вообще-то большая часть багов - в стандартной библиотеке, написанной на java, а не в jvm, написанной на c++
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

35. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –1 +/
Сообщение от _ (??) on 21-Июл-16, 17:14 
Да всё еще проще. На крестах можно написать жывыЭм, хоть и с багами. А вот на самой жабе - хренушки! :-))) Это всё что вам надо знать о Жабе! :)
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

41. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –2 +/
Сообщение от iZEN email(ok) on 21-Июл-16, 20:27 
> Да всё еще проще. На крестах можно написать жывыЭм, хоть и с
> багами. А вот на самой жабе - хренушки! :-))) Это всё
> что вам надо знать о Жабе! :)

JVM на Java — Jikes RVM.


Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

43. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +1 +/
Сообщение от Andrey Mitrofanov on 22-Июл-16, 12:05 
>> Да всё еще проще. На крестах можно написать жывыЭм, хоть и с
>> багами. А вот на самой жабе - хренушки! :-))) Это всё
>> что вам надо знать о Жабе! :)
> JVM на Java — Jikes RVM.

Ты когда писал, за пару суток до того: "Почему бы не взяться за переписывание виртуальной машины на языке Go или Rust? Почему бы сразу не был применён язык Modula3?" - про неё не знал? Или ты теперь го/раст больше чем джавву "любишь"? Или чего-то жизненно важного не хватает в?  Неужели еже-месячных обновлений?!

Теряюсь в догадках. Очень сложная Технология эта ваша напиши-везде. Непонятна-а-ая!

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

42. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –1 +/
Сообщение от 1 (??) on 22-Июл-16, 11:19 
Есть же питон на питоне (на самом деле ограниченном компилируемом подмножестве), почему нельзя выделить такое подмножество в Java и написать на нем JVM?
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

20. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +1 +/
Сообщение от Нанобот (ok) on 20-Июл-16, 19:04 
из четырёх самых критичных багов три в java-классах (CVE-2016-3587, CVE-2016-3598, CVE-2016-3610), и только один  - в .cpp-файле (CVE-2016-3606).
остальные баги мне смотреть лень, думаю, там расклад где-то такой-же.
Соответственно, замена С на неС не сильно бы помогла
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

24. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –3 +/
Сообщение от iZEN email(ok) on 20-Июл-16, 19:23 
http://www.oracle.com/technetwork/security-advisory/cpujul20...

CVE-2016-3587, CVE-2016-3606, CVE-2016-3550 - Hotspot (C++)
CVE-2016-3598, CVE-2016-3610 - Libraries (.so, .DLL)

CVE-2016-3552, CVE-2016-3503 - Install
CVE-2016-3511 - Deployment
CVE-2016-3498 - JavaFX
CVE-2016-3500, CVE-2016-3508 - JAXP
CVE-2016-3458 - CORBA
CVE-2016-3485 - Networking

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

33. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –1 +/
Сообщение от Нанобот (ok) on 21-Июл-16, 11:50 
вот тебе патч на CVE-2016-3587: http://hg.openjdk.java.net/jdk8u/jdk8u/jdk/rev/c387bd2fb7db
найди там С++, иксперд
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

40. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –1 +/
Сообщение от iZEN email(ok) on 21-Июл-16, 20:22 
> вот тебе патч на CVE-2016-3587: http://hg.openjdk.java.net/jdk8u/jdk8u/jdk/rev/c387bd2fb7db
> найди там С++, иксперд

Откуда следует что это патч на CVE-2016-3587, а не на другую ошибку?

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

44. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Нанобот (ok) on 22-Июл-16, 13:02 
>> вот тебе патч на CVE-2016-3587: http://hg.openjdk.java.net/jdk8u/jdk8u/jdk/rev/c387bd2fb7db
>> найди там С++, иксперд
> Откуда следует что это патч на CVE-2016-3587, а не на другую ошибку?

я это тут нашёл: https://bugzilla.redhat.com/show_bug.cgi?id=1356987
а вообще, гуглится ж элементарно...

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

30. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Вареник on 21-Июл-16, 01:51 
> Дырявость JVM обусловлена применённым языком программирования C++ с элементами на C. Сколько  лет можно ловить одни те же ошибки в разных местах, обусловленные
> несовершенством инструмента?

Java же и так "безопасная", ибо "VM". Смотрим раннюю рекламу и наслаждаемся.
Вывести на рынок тормозящую в 2 раза VM, объясняя это тем что она написана на хрусте? Объясните это своему продавану.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

37. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –1 +/
Сообщение от _ (??) on 21-Июл-16, 17:16 
Да тут какрах проблем нет. Девиз экономики 21-го века - чем хуже, тем лучше!
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

9. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Володя (??) on 20-Июл-16, 15:20 
Я уже заколебался обновлять MySQL! Может стоит мигрировать на PostgreSQL?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +3 +/
Сообщение от z (??) on 20-Июл-16, 15:25 
Лучше мигрируй на Win98SE: не обновляется уже 15 лет, вот где качество и штабильность!
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –1 +/
Сообщение от Володя (??) on 20-Июл-16, 15:29 
Ну уж нет, увольте. Останусь на MySQL, не буду ничего менять.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

22. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +4 +/
Сообщение от Led (ok) on 20-Июл-16, 19:11 
> Ну уж нет, увольте. Останусь на MySQL, не буду ничего менять

... пока школу не закончу.


Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

15. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Andrey Mitrofanov on 20-Июл-16, 16:01 
> Лучше мигрируй на Win98SE: не обновляется уже 15 лет, вот где качество
> и штабильность!

О, точн. MS-DOS 7.1. 30 лет на Рынке.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

11. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –3 +/
Сообщение от й on 20-Июл-16, 15:27 
узнать про крон не предлагать?
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

17. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Kodir (ok) on 20-Июл-16, 16:50 
Я бы давно перешёл. Постгрес сейчас "на волне", возможности оч вкусные, сам стабилен. По кр. мере между Мускуль и Постгрес я б выбрал последний.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

23. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Led (ok) on 20-Июл-16, 19:13 
> Я бы давно перешёл. Постгрес сейчас "на волне", возможности оч вкусные, сам
> стабилен. По кр. мере между Мускуль и Постгрес я б выбрал
> последний.

Да кто ж рабам разрешит выбирать?

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

31. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Вареник on 21-Июл-16, 01:53 
> Да кто ж рабам разрешит выбирать?

Грамотный рабовладелец всегда учитывает психологический комфорт для рабов.
В конечном итоге это удешевляет их содержание - меньше затраты на охрану, меньше риск бунта.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

21. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –1 +/
Сообщение от Нанобот (ok) on 20-Июл-16, 19:07 
> Я уже заколебался обновлять MySQL! Может стоит мигрировать на PostgreSQL?

бери Microsoft SQL Server 2016 Enterprise, не прогадаешь!

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

26. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –1 +/
Сообщение от bob (??) on 20-Июл-16, 20:20 
надеюсь джава в скором времени исчезнит с компов как и флеш
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от Вареник on 21-Июл-16, 01:57 
> надеюсь джава в скором времени исчезнит с компов как и флеш

Давайте перепишем мавен репо на руби. Или хрусте. А еще лучше на ассемблере.
На выходе будет то же самое, зато можно триллион баксов освоить, лет за 15. Миллион рабочих мест занять и наполнить очередным смыслом.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

27. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  –2 +/
Сообщение от dimcha (??) on 20-Июл-16, 22:14 
А форков эти уязвимости касаются? Например для MariaDB?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

45. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."  +/
Сообщение от iZEN email(ok) on 31-Июл-16, 11:32 
Наконец портировали на FreeBSD:
openjdk8-8.92.14_3                 <   needs updating (index has 8.102.14)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру