The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

17.01.2018 09:32  Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей

Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В январском обновлении в сумме устранено 237 уязвимостей, в том числе в некоторые продукты внесены исправления для блокирования атак Spectre и Meltdown.

В выпусках Java SE 8u161/8u162 и 9.0.4 устранена 21 проблема с безопасностью. 18 уязвимостей могут быть эксплуатированы удалённо без проведения аутентификации. 3 уязвимостям присвоен уровень опасности 8.3, критических проблем с CVSS Score 9 и выше в этот раз не выявлено. 7 проблем проявляются только на клиентских системах (запуск в браузере Java Web Start и Java-апплеты) и 10 затрагивают как клиентов, так и серверные конфигурации Java.

Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

  • 22 уязвимости в MySQL (максимальный уровень опасности 7.5), из которых 3 позволяют выполнить атаку удалённо без прохождения аутентификации. Проблемы устранены в выпусках MySQL Community Server 5.7.21, 5.6.39 и 5.5.59.
  • 12 уязвимостей в VirtualBox (максимальная степень опасности 8.8). В том числе добавлена защита от проведения атаки Spectre. Уязвимости устранены в сегодняшних обновлениях VirtualBox 5.2.6 и 5.1.32.
  • 5 проблем в Solaris (максимальная степень опасности 7.1 - проблемы в ядре, связанные с обработкой пакетов ICMP).


  1. Главная ссылка к новости (https://blogs.oracle.com/oracl...)
  2. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
  3. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
  4. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
  5. OpenNews: Раскрыты подробности двух атак на процессоры Intel, AMD и ARM64
  6. OpenNews: Эксплоиты и тесты производительности, связанные с уязвимостями Meltdown и Spectre
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: oracle, mysql, virtualbox
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.3, пох, 09:38, 17/01/2018 [ответить] [смотреть все]    [к модератору]
  • +1 +/
    > в том числе в некоторые продукты внесены исправления для блокирования атак
    > Spectre и Meltdown (https://www.opennet.ru/opennews/art.shtml?num=47856).

    теперь будет тормозить еще и virtualbox

    > в Solaris (максимальная степень опасности 7.1, крах ядра при обработке некорректных
    > пакетов ICMP).

    а в illumos добро пожаловать с ping-of-death ?

     
     
  • 2.4, _hide_, 09:46, 17/01/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]
  • +/
    Да он и так тормозит, потому что работает на ОС с патчами Последние ядра в Ubu... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.7, _hide_, 10:13, 17/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +5 +/
    Моё исследование производительности на примере парсера, который пускаю в VB, по... весь текст скрыт [показать]
     
     
  • 4.8, iPony, 10:25, 17/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > А если ещё на винду патчи поставить?

    А ты налей и отойди (с)

     
  • 4.9, Andrey Mitrofanov, 10:26, 17/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Арифметику пора повторить, устный счёт подтянуть echo scale 2 a 1 60 20 b 48... весь текст скрыт [показать]
     
     
  • 5.11, EHLO, 10:42, 17/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    if 60 20 48 48 2 then echo больше else echo не fi больше... весь текст скрыт [показать]
     
     
  • 6.14, Andrey Mitrofanov, 10:57, 17/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    b 48 a-b 100 b 124 bc 66 66 Сажусь, двойка ... весь текст скрыт [показать]
     
  • 6.15, angra, 11:01, 17/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Да начнется битва математиков за истину Выступлю на стороне Андрея Потраченн... весь текст скрыт [показать]
     
  • 5.12, _hide_, 10:43, 17/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Арифметика тут не причем - я только скорость парсинга показывал мне же сидеть в... весь текст скрыт [показать]
     
     
  • 6.13, _hide_, 10:52, 17/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    4 linux-image-4 13 0-26-generic, VB 5 2 6, винда без патчей -- 1 08 - исправили... весь текст скрыт [показать]
     
  • 5.24, КО, 15:58, 17/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    При определении процента изменений, в качестве основания обычно берут исходную в... весь текст скрыт [показать]
     
  • 4.16, iZEN, 11:24, 17/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    А чё, собрать и установить кастомное ядро Linux без патчей не осиливаем?
     
  • 4.18, Аноним, 12:59, 17/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    А какие цифры если сделать
    echo 0 > /sys/kernel/debug/x86/pti_enabled
    ?
     
     
  • 5.19, _hide_, 13:43, 17/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Не влияет. Никак!
     
  • 4.20, пох, 13:56, 17/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    просела, считают незначительным читай - у нас настолько много денег, что даже... весь текст скрыт [показать]
     
     
  • 5.37, _hide_, 10:08, 18/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ну сейчас у меня для этих целей виртуалка - в мир смотрит только полностью обнов... весь текст скрыт [показать]
     
     
  • 6.38, пох, 18:03, 18/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    дык - прикол в том, что память прекрасно протекает и между виртуалками - тоже у... весь текст скрыт [показать]
     
  • 3.17, Аномномномнимус, 11:45, 17/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Оффтопик на работе с VisualStudio в режиме дебага после патчей стал тормозить ещ... весь текст скрыт [показать]
     
     
  • 4.21, пох, 13:58, 17/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    если у тебя денег больше чем у гугля - непоянтно, зачем чего-то ждать У серых н... весь текст скрыт [показать]
     
     
  • 5.26, Аномномномнимус, 17:03, 17/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    У тебя ко мне очень странные предъявы Ты забыл включить мозг Я не предлагаю ... весь текст скрыт [показать]
     
     
  • 6.29, пох, 20:17, 17/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    а, ну так кто забыл включить мозг-то Никогда По тем же причинам, по которым не... весь текст скрыт [показать]
     
  • 1.5, anomymous, 09:50, 17/01/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    > 5 проблем в Solaris (максимальная степень опасности 7.1 - проблемы в ядре, связанные с обработкой пакетов ICMP)

    А оно разве не закoпано ещё?

     
     
  • 2.10, Аноним, 10:26, 17/01/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Оно ещё нас с тобой переживёт.
     
     
  • 3.30, _, 21:14, 17/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Ну раве только если оракалы его в Apache Foundation спихнут :)
     
  • 2.27, Anonymoustus, 17:16, 17/01/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Thursday, January 26, 2017 B Long live Solaris 11 - Until at least 2034 to be ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.31, _, 21:16, 17/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +2 +/
    ТоварищЪ - верЬ! (С)
     
     
  • 4.33, Anonymoustus, 21:40, 17/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Когда закончатся винды, пингвины, бзди и маки, я буду посмеиваться, глядя на упа... весь текст скрыт [показать]
     
  • 1.6, Аноним, 10:02, 17/01/2018 [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    ping of death в 2018м году ... весь текст скрыт [показать]
     
     
  • 2.22, oracle, 13:59, 17/01/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    все нормально, этот код Sun писала в 1998-м ... весь текст скрыт [показать] [показать ветку]
     
  • 1.23, Аноним, 15:39, 17/01/2018 [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    В managed языках не может быть уязвимостей Вы врёти ... весь текст скрыт [показать]
     
     
  • 2.28, IB, 19:07, 17/01/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    И доказательством этого выступает Пыхпых
     
     
  • 3.32, _, 21:18, 17/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    люто ... пых нынче - managed? :-)))))
     
     
  • 4.34, Anonymoustus, 21:41, 17/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > люто ... пых нынче - managed? :-)))))

    Если на один пых, то да. Если на больше, то надо смотреть.

     
  • 4.35, angra, 00:24, 18/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    Нет, что ты, там ручное выделение/освобождение памяти и адресная арифметика.
     
  • 2.36, лж__, 06:31, 18/01/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    >В managed языках не может быть уязвимостей! Вы врёти

    Вообще-то уязвимости в JVM, которая написана на могучем си... ещё вопросы?

     
     
  • 3.39, Аноним, 21:45, 18/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    https www openhub net p openjdk https github com dmlloyd openjdk Давно бы пе... весь текст скрыт [показать]
     
     
  • 4.40, лютый ж__, 05:50, 19/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    >Давно бы переписали эти несчастные 11% на жабу, если все ошибки лезут оттуда.

    Вы перепутали, безопасность и скорость это то, на что сишники др.чат (но с первым у них ещё хуже, чем у жабистов).

    Вообще, подавляющее большинство "страшных дырок в hotspot" это "applies to clients running sandboxed Java Web Start applications or sandboxed Java applets, that load and run untrusted code and rely on the Java sandbox for security"
    только эксперты опеннета по ссылкам не ходют жеж

     
     
  • 5.41, Аноним, 16:44, 19/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ну да, проблемы с безопасностью песочницы и не проблемы вовсе, а так - тьху и ра... весь текст скрыт [показать]
     
     
  • 6.42, лж__, 17:28, 20/01/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    >Ну да, проблемы с безопасностью песочницы и не проблемы вовсе,

    Назови хоть ОДНУ песочницу, которую ни разу не сломали. Или свободен...
    От КубеОС до песочницы того же Хромого (который аналогично запускает untrusted code and rely on the  sandbox for security" - всё решeto

     
     
  • 7.43, Аноним, 18:59, 20/01/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Да-да, а cпектр на самом деле тоже не дыра на десктопах, потому что нет немаргин... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor