Обновление JavaSE (7u55, 8u5), MySQL и других продуктов Oracle с устранением уязвимостей

16.04.2014 20:50

Компания Oracle представила плановый апрельский выпуск обновлений своих продуктов с устранением уязвимостей. В выпусках Java SE 7u55 и Java SE 8u5 (номер версии присвоен в соответствии с новой схемой нумерации выпусков) устранено 37 проблем с безопасностью. 36 уязвимостей могут быть эксплуатированы удалённо без проведения аутентификации. 4 уязвимостям присвоен максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента. 6 проблем затрагивают не только клиентские, но и серверные системы.

Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе сообщается о 2 уязвимостях в VirtualBox и 15 уязвимостях в MySQL. Уязвимости в VirtualBox отмечены как некритичные (степень опасности 4.4 из 10). В MySQL уязвимости также не являются серьёзными - самой опасной проблеме присвоен уровень опасности 6.5 из 10. Все уязвимости уже молча исправлены в ранее опубликованных обновлениях MySQL и VirtualBox.

исправить +8 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/39585-oracle

Ключевые слова: oracle, java, mysql

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (23)

1.1, Alexander Komarov (?), 21:06, 16/04/2014 [ответить] [﹢﹢﹢] [ · · · ]	–5 +/–
JavaSE, как всегда, жжот

2.2, iZEN (ok), 21:11, 16/04/2014 [^] [^^] [^^^] [ответить]	–5 +/–
Как и C/C++, на котором написана JVM.

3.3, rob pike (?), 21:15, 16/04/2014 [^] [^^] [^^^] [ответить]	+12 +/–
Кремний во всём виноват.

4.6, iZEN (ok), 22:00, 16/04/2014 [^] [^^] [^^^] [ответить]	–2 +/–
В том числе. Это из-за него не могут осилить разработчики ядра корректное просыпание компьютера! Постоянно чего-то, но отваливается по причине плохого кремния.

5.13, Аноним (-), 23:03, 16/04/2014 [^] [^^] [^^^] [ответить]	+1 +/–
А то бздуны засыпание/просыпание ноутов, конечно, уже давно запилили, ога ;)

6.33, iZEN (ok), 20:07, 18/04/2014 [^] [^^] [^^^] [ответить]	+/–
СПО корректное просыпание ноутов мешает реализовать те же невнятные спецификации производителей железа, которые, походу, оформлены в виде нерабочего публичного C/C++ API. :))

3.4, хм (?), 21:41, 16/04/2014 [^] [^^] [^^^] [ответить]	+3 +/–
Перепиши на Java

4.34, iZEN (ok), 20:07, 18/04/2014 [^] [^^] [^^^] [ответить]

+/–

> Перепиши на Java

Страдостю! :))

1.5, sanchous (ok), 21:49, 16/04/2014 [ответить] [﹢﹢﹢] [ · · · ]	+/–
три десятка удаленных дыр в каждом апдейте в оракле нашли более дешевые аналоги индусов? они хоть прямоходящие?

2.10, Другой аноним (?), 22:39, 16/04/2014 [^] [^^] [^^^] [ответить]	+1 +/–
Есть два типа ЯП - которые ругают и которые не используют.(Страуструп)

3.11, ананим (?), 22:43, 16/04/2014 [^] [^^] [^^^] [ответить]	+/–
Угу. А ещё они делятся на те, где ты только сам можешь плодить баги, и те, где (по-мимо твоих) ещё будут и баги других. И хорошо, если это будут только баги.

4.22, Аноним (-), 04:24, 17/04/2014 [^] [^^] [^^^] [ответить]	+/–
Пример языка первого рода можно? Ха! А я и см один знаю! Это же ... assembler :)

5.28, rob pike (?), 12:32, 17/04/2014 [^] [^^] [^^^] [ответить]	+/–
А потом он увидел количество страниц Errata для этого процессора..

5.31, Аноним (-), 17:42, 17/04/2014 [^] [^^] [^^^] [ответить]	+1 +/–
В процессоре тоже баги есть.

3.17, chinarulezzz (ok), 01:05, 17/04/2014 [^] [^^] [^^^] [ответить]

+/–

>Есть два типа ЯП - которые ругают и которые не используют.(Страуструп)

а ведь он смотрит на тебя: http://goo.gl/ZuPCdb

;-)

2.12, Аноним (-), 22:54, 16/04/2014 [^] [^^] [^^^] [ответить]	+2 +/–
Количество багов на 1000 строк кода является константой. Хотя большинство их сосредоточено в прокладке между стулом и клавиатурой.

2.23, Аноним (-), 08:34, 17/04/2014 [^] [^^] [^^^] [ответить]	–1 +/–
Достаточно много багов тянется аж с Java SE 5.х. Так что может быть наоборот, разгребают авгиевы конюшни?

1.7, Пушистик (ok), 22:14, 16/04/2014 [ответить] [﹢﹢﹢] [ · · · ]	–3 +/–
Когда они там свою новую ОСь запилят?

2.16, rob pike (?), 00:18, 17/04/2014 [^] [^^] [^^^] [ответить]	+/–
OSv? Это не они.

1.8, Аноним (-), 22:28, 16/04/2014 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Как там с той новой фичи безопасности, из-за которой многий софт отказывался работать? Исправили?

1.21, ананим (?), 01:43, 17/04/2014 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> 36 уязвимостей могут быть эксплуатированы удалённо без проведения аутентификации За всю историю линуха столько нет. А тут за квартал-полгода.

2.24, NikolayV81 (ok), 08:37, 17/04/2014 [^] [^^] [^^^] [ответить]	–1 +/–
1. Applies to client and server deployment of Java. This vulnerability can be exploited through sandboxed Java Web Start applications and sandboxed Java applets. It can also be exploited by supplying data to APIs in the specified Component without using sandboxed Java Web Start applications or sandboxed Java applets, such as through a web service. 2. Applies to client deployment of Java only. This vulnerability can be exploited only through sandboxed Java Web Start applications and sandboxed Java applets. 3. Applies to sites that run the Javadoc tool as a service and then host the resulting documentation. It is recommended that sites filter HTML where it is not explicitly allowed for javadocs. 4. Applies to the unpack200 tool. Конечно безопасность выполнения Апплетов стоит сравнивать с безопасностью на уровне ядра ;)

1.29, Аноним (-), 14:13, 17/04/2014 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Ещё опенждк 1.6 обновилось, но для 1.7 обновление обозвано критическим, а для 1.6 только важным. Прям как с опенссл история — новодельные поделия дырявы и кривы.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: