Обновление Java SE 7 Update 51 и других продуктов Oracle с устранением уязвимостей

15.01.2014 14:14

Компания Oracle представила плановый корректирующий выпуск Java SE 7 Update 51 (номер версии присвоен в соответствии с новой схемой нумерации выпусков), в котором устранено 36 проблем с безопасностью, а также внесена порция улучшений, направленных на увеличение безопасности.

34 уязвимости могут быть эксплуатированы удалённо без проведения аутентификации. 5 уязвимостям присвоен максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента. 3 проблемы затрагивают не только клиентские, но и серверные системы. При этом одна уязвимость в серверной версии Java отмечена как критическая, так как она позволяет инициировать передачу данных через API без выполнения изолированного приложения Java Web Start или Java апплета.

Из добавленных в Java SE 7 Update 51 улучшений можно отметить ужесточение применяемых по умолчанию требований к апплетам и приложениям Web Start, выполняемым в браузере. Для выполнения подобных приложений теперь обязательно требуется валидная цифровая подпись и наличие атрибута "Permissions" в файле с манифестом. Все самоподписанные и неподписанные Java-апплеты теперь будут блокироваться в установленном по умолчанию режиме высокой безопасности. В режиме средней безопасности для подобных программ будет выводится специальное предупреждение.

При желании пользователь может вручную добавить определённые сайты, содержащие апплеты, не удовлетворяющие новым требованиям, в специальный список исключений. Кроме того, изменены применяемые по умолчанию права доступа к сетевым сокетам: если раньше приложения могли осуществить привязку к сокетам с номером порта выше 1024, то теперь доступны только порты верхнего диапазона (обычно 49152-65535), для присоединения к остальным портам требуется явное разрешение доступа.

Кроме проблем в Java, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе сообщается о 5 уязвимостях в VirtualBox и 18 уязвимостях в MySQL. Уязвимости в VirtualBox отмечены как некритичные. В MySQL лишь одной уязвимости присвоен максимальный уровень опасности, при этом данная уязвимость специфична для MySQL Enterprise Monitor. Три уязвимости позволяют инициировать крах СУБД при неаутентифицированном удалённом доступе к серверу, но данные проблемы отмечены как маловероятные из-за большой сложности эксплуатации. Остальные уязвимости требуют аутентифицированного доступа к СУБД и приводят к возможности осуществления отказа в обслуживании. Все уязвимости уже молча исправлены в ранее опубликованных обновлениях MySQL и VirtualBox.

исправить +10 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/38864-java

Ключевые слова: java

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (25)

1.1, A.Stahl (ok), 15:03, 15/01/2014 [ответить] [﹢﹢﹢] [ · · · ]	+10 +/–
Я новости про баги в Жаве уже воспринимаю как новости про Wine: выходят регулярно и ничего интересного не содержат.

2.4, Аноним (-), 15:40, 15/01/2014 [^] [^^] [^^^] [ответить]	+12 +/–
Это потому что вы не пишете вредоносное ПО.

2.6, Аноним (-), 15:47, 15/01/2014 [^] [^^] [^^^] [ответить]	+/–
Тем не менее заглянул в комментарии через полчаса.

3.9, A.Stahl (ok), 15:56, 15/01/2014 [^] [^^] [^^^] [ответить]	+3 +/–
Ха! Новость-то может и "не содержит", а комментарии могут очень даже "содержать".

1.5, ram_scan (?), 15:43, 15/01/2014 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Про жабу - это просто праздник какой-то... У меня стойкое очучение что каждый раз уязвимости находят в "порции улучшений направленных на увеличение безопасности".

1.7, Аноним (-), 15:50, 15/01/2014 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> требуют аутентифицированного доступа к СУБД Все, что требует авторизованного доступа, есть не баг, а фича. Так-то.

1.8, Аноним (-), 15:51, 15/01/2014 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
> молча исправлены Аноним считает, что эо - единственно верны

2.23, Аноним (-), 06:59, 16/01/2014 [^] [^^] [^^^] [ответить]	+/–
Да. Зачем шуметь? Исправил, разослал исправления (можно даже без указаний, что именно исправлено) и достаточно. Ну если, конечно, не стоит цель попиариться лишний раз по любому поводу да дать пищу для холиваров на форумах.

1.13, SergMarkov (ok), 19:32, 15/01/2014 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Нормальная новость для нормальных профи. :-)

2.16, Andrey Mitrofanov (?), 21:58, 15/01/2014 [^] [^^] [^^^] [ответить]	+5 +/–
> Нормальная новость для нормальных профи. :-) Соплежуйский подхалимаж в ентерпрайсной новости.

3.20, SergMarkov (ok), 03:52, 16/01/2014 [^] [^^] [^^^] [ответить]

–1 +/–

>> Нормальная новость для нормальных профи. :-)
> Соплежуйский подхалимаж в ентерпрайсной новости.

В него берут только лучших, остальные пишут "лутший аудиоплеер" на гвидобейсике и клянут Ънтерпрайз, потому что в нем не оценили их "гениальность" .. :-)

4.24, Andrey Mitrofanov (?), 10:53, 16/01/2014 [^] [^^] [^^^] [ответить]	+2 +/–
>> Соплежуйский подхалимаж в > В него берут только лучших, Ты лучший, без вопросов.

1.17, Аноним (17), 23:22, 15/01/2014 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А как нужно подписывать приложение, если самоподписанное будет блокироваться?

2.19, Guest (??), 02:11, 16/01/2014 [^] [^^] [^^^] [ответить]	+/–
Сертификатом полученным в авторизированном центре. http://habrahabr.ru/post/201210/ Если по аналогии как для сайтов, то есть даже и бесплатно выдающие, но нужно оплатить установление личности. Эксперты говорят что аплёты вытесняются сервер летами, так что стоит думать о переносе кода аплёта на серверную сторону. Интересно, как бы YouTrack перенесли.

3.21, ram_scan (?), 05:10, 16/01/2014 [^] [^^] [^^^] [ответить]	+/–
> Эксперты говорят что аплёты вытесняются сервер летами, так что стоит думать о переносе кода аплёта на серверную сторону. А зачем тогда жаба нужна ?

4.25, Василий (??), 11:15, 16/01/2014 [^] [^^] [^^^] [ответить]	+/–
А что нужно?

4.28, Guest (??), 23:15, 16/01/2014 [^] [^^] [^^^] [ответить]	+/–
Мало ли ещё есть станд-алон приложений - JDownloader, Eclipse. Не обязательно быть Java разработчиком что б всё ещё ставить её. А так в свете популярности Android разработчикам приложений под последний она ещё нужна. Некоторые банки всё ещё используют аплёты, некоторые даже не подписывают. О чём и предупреждают "в связи с обновлением JVM возможны проблемы с Интернет банкингом".

1.18, Аноним (-), 01:12, 16/01/2014 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Покупать сертификат разработчика либо добавлять в сайт лист ( в на стройках жавы)

1.22, Аноним (-), 06:57, 16/01/2014 [ответить] [﹢﹢﹢] [ · · · ]

+/–

> Для выполнения подобных приложений теперь обязательно требуется валидная цифровая подпись и наличие атрибута "Permissions" в файле с манифестом. Все самоподписанные и неподписанные Java-апплеты теперь будут блокироваться в установленном по умолчанию режиме высокой безопасности. В режиме средней безопасности для подобных программ будет выводится специальное предупреждение.

Вроде и сейчас то же самое делается. Нет?

> Покупать сертификат разработчика

Методика Apple Store. Нет?

2.27, Аноним (-), 17:05, 16/01/2014 [^] [^^] [^^^] [ответить]	+/–
Сливают Java

3.29, Guest (??), 23:17, 16/01/2014 [^] [^^] [^^^] [ответить]	+/–
Вряд ли http://www.opennet.ru/opennews/art.shtml?num=38848

1.26, Аноним (-), 17:01, 16/01/2014 [ответить] [﹢﹢﹢] [ · · · ]

+/–

> Все самоподписанные и неподписанные Java-апплеты теперь будут блокироваться в установленном по умолчанию режиме высокой безопасности.

Вот это глупость. Переписывать все серверы - бред. Но с такими серверами клиентская часть в режиме безопасности выше Medium работать не будет.

Решение проблемы указано тут же. А именно

> В режиме средней безопасности для подобных программ будет выводится специальное предупреждение.

Ну и к чему подобное нововведение приведет? К тому, что будет выставляться минимальный (Medium) уровень безопасности. Между безопасностью и работоспособностью выбор будет за вторым. Короче, неумное решение.

2.30, Guest (??), 23:20, 16/01/2014 [^] [^^] [^^^] [ответить]	–1 +/–
Так же говорили про UAC в Vista, но всё же прижился. Особо говорить про тотальные рекомендации выставить минимальный уровень безопасности в современных версиях Windows не приходится.

3.31, ffirefox (?), 01:11, 17/01/2014 [^] [^^] [^^^] [ответить]	+/–
Выставить минимальный уровень требуют очень многие банковские софтины и почти всё, что взаимодействует с государственными службами. Но надо отметить, что софта, написанного с учетом UAC все больше.

3.34, Аноним (-), 08:51, 17/01/2014 [^] [^^] [^^^] [ответить]	+/–
> Так же говорили про UAC в Vista, но всё же прижился. Особо > говорить про тотальные рекомендации выставить минимальный уровень безопасности в современных > версиях Windows не приходится. Считаю, что обновления не должны ломать логики работы программ, тем более созданных с использованием исключительно их документированных возможностей. Производитель обязан искать иное решение проблемы безопасности.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: