The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

17.01.2018 09:32  Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей

Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В январском обновлении в сумме устранено 237 уязвимостей, в том числе в некоторые продукты внесены исправления для блокирования атак Spectre и Meltdown.

В выпусках Java SE 8u161/8u162 и 9.0.4 устранена 21 проблема с безопасностью. 18 уязвимостей могут быть эксплуатированы удалённо без проведения аутентификации. 3 уязвимостям присвоен уровень опасности 8.3, критических проблем с CVSS Score 9 и выше в этот раз не выявлено. 7 проблем проявляются только на клиентских системах (запуск в браузере Java Web Start и Java-апплеты) и 10 затрагивают как клиентов, так и серверные конфигурации Java.

Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

  • 22 уязвимости в MySQL (максимальный уровень опасности 7.5), из которых 3 позволяют выполнить атаку удалённо без прохождения аутентификации. Проблемы устранены в выпусках MySQL Community Server 5.7.21, 5.6.39 и 5.5.59.
  • 12 уязвимостей в VirtualBox (максимальная степень опасности 8.8). В том числе добавлена защита от проведения атаки Spectre. Уязвимости устранены в сегодняшних обновлениях VirtualBox 5.2.6 и 5.1.32.
  • 5 проблем в Solaris (максимальная степень опасности 7.1 - проблемы в ядре, связанные с обработкой пакетов ICMP).


  1. Главная ссылка к новости (https://blogs.oracle.com/oracl...)
  2. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
  3. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
  4. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
  5. OpenNews: Раскрыты подробности двух атак на процессоры Intel, AMD и ARM64
  6. OpenNews: Эксплоиты и тесты производительности, связанные с уязвимостями Meltdown и Spectre
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: oracle, mysql, virtualbox
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.3, пох, 09:38, 17/01/2018 [ответить] [смотреть все]
  • +1 +/
    > в том числе в некоторые продукты внесены исправления для блокирования атак
    > Spectre и Meltdown (https://www.opennet.ru/opennews/art.shtml?num=47856).

    теперь будет тормозить еще и virtualbox

    > в Solaris (максимальная степень опасности 7.1, крах ядра при обработке некорректных
    > пакетов ICMP).

    а в illumos добро пожаловать с ping-of-death ?

     
     
  • 2.4, _hide_, 09:46, 17/01/2018 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    Да он и так тормозит, потому что работает на ОС с патчами Последние ядра в Ubu... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.7, _hide_, 10:13, 17/01/2018 [^] [ответить] [смотреть все]  
  • +5 +/
    Моё исследование производительности на примере парсера, который пускаю в VB, по... весь текст скрыт [показать]
     
     
  • 4.8, iPony, 10:25, 17/01/2018 [^] [ответить] [смотреть все]  
  • +/
    > А если ещё на винду патчи поставить?

    А ты налей и отойди (с)

     
  • 4.9, Andrey Mitrofanov, 10:26, 17/01/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    Арифметику пора повторить, устный счёт подтянуть echo scale 2 a 1 60 20 b 48... весь текст скрыт [показать]
     
     
  • 5.11, EHLO, 10:42, 17/01/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    if 60 20 48 48 2 then echo больше else echo не fi больше... весь текст скрыт [показать]
     
     
  • 6.14, Andrey Mitrofanov, 10:57, 17/01/2018 [^] [ответить] [смотреть все]  
  • +/
    b 48 a-b 100 b 124 bc 66 66 Сажусь, двойка ... весь текст скрыт [показать]
     
  • 6.15, angra, 11:01, 17/01/2018 [^] [ответить] [смотреть все]  
  • –2 +/
    Да начнется битва математиков за истину Выступлю на стороне Андрея Потраченн... весь текст скрыт [показать]
     
  • 5.12, _hide_, 10:43, 17/01/2018 [^] [ответить] [смотреть все]  
  • +/
    Арифметика тут не причем - я только скорость парсинга показывал мне же сидеть в... весь текст скрыт [показать]
     
     
  • 6.13, _hide_, 10:52, 17/01/2018 [^] [ответить] [смотреть все]  
  • +/
    4 linux-image-4 13 0-26-generic, VB 5 2 6, винда без патчей -- 1 08 - исправили... весь текст скрыт [показать]
     
  • 5.24, КО, 15:58, 17/01/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    При определении процента изменений, в качестве основания обычно берут исходную в... весь текст скрыт [показать]
     
  • 4.16, iZEN, 11:24, 17/01/2018 [^] [ответить] [смотреть все]  
  • +2 +/
    А чё, собрать и установить кастомное ядро Linux без патчей не осиливаем?
     
  • 4.18, Аноним, 12:59, 17/01/2018 [^] [ответить] [смотреть все]  
  • +/
    А какие цифры если сделать
    echo 0 > /sys/kernel/debug/x86/pti_enabled
    ?
     
     
  • 5.19, _hide_, 13:43, 17/01/2018 [^] [ответить] [смотреть все]  
  • +/
    Не влияет. Никак!
     
  • 4.20, пох, 13:56, 17/01/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    просела, считают незначительным читай - у нас настолько много денег, что даже... весь текст скрыт [показать]
     
     
  • 5.37, _hide_, 10:08, 18/01/2018 [^] [ответить] [смотреть все]  
  • +/
    Ну сейчас у меня для этих целей виртуалка - в мир смотрит только полностью обнов... весь текст скрыт [показать]
     
     
  • 6.38, пох, 18:03, 18/01/2018 [^] [ответить] [смотреть все]  
  • +2 +/
    дык - прикол в том, что память прекрасно протекает и между виртуалками - тоже у... весь текст скрыт [показать]
     
  • 3.17, Аномномномнимус, 11:45, 17/01/2018 [^] [ответить] [смотреть все]  
  • +/
    Оффтопик на работе с VisualStudio в режиме дебага после патчей стал тормозить ещ... весь текст скрыт [показать]
     
     
  • 4.21, пох, 13:58, 17/01/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    если у тебя денег больше чем у гугля - непоянтно, зачем чего-то ждать У серых н... весь текст скрыт [показать]
     
     
  • 5.26, Аномномномнимус, 17:03, 17/01/2018 [^] [ответить] [смотреть все]  
  • +/
    У тебя ко мне очень странные предъявы Ты забыл включить мозг Я не предлагаю ... весь текст скрыт [показать]
     
     
  • 6.29, пох, 20:17, 17/01/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    а, ну так кто забыл включить мозг-то Никогда По тем же причинам, по которым не... весь текст скрыт [показать]
     
  • 1.5, anomymous, 09:50, 17/01/2018 [ответить] [смотреть все]  
  • +/
    > 5 проблем в Solaris (максимальная степень опасности 7.1 - проблемы в ядре, связанные с обработкой пакетов ICMP)

    А оно разве не закoпано ещё?

     
     
  • 2.10, Аноним, 10:26, 17/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Оно ещё нас с тобой переживёт.
     
     
  • 3.30, _, 21:14, 17/01/2018 [^] [ответить] [смотреть все]  
  • +/
    Ну раве только если оракалы его в Apache Foundation спихнут :)
     
  • 2.27, Anonymoustus, 17:16, 17/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Thursday, January 26, 2017 B Long live Solaris 11 - Until at least 2034 to be ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.31, _, 21:16, 17/01/2018 [^] [ответить] [смотреть все]  
  • +2 +/
    ТоварищЪ - верЬ! (С)
     
     
  • 4.33, Anonymoustus, 21:40, 17/01/2018 [^] [ответить] [смотреть все]  
  • +/
    Когда закончатся винды, пингвины, бзди и маки, я буду посмеиваться, глядя на упа... весь текст скрыт [показать]
     
  • 1.6, Аноним, 10:02, 17/01/2018 [ответить] [смотреть все]  
  • +1 +/
    ping of death в 2018м году ... весь текст скрыт [показать]
     
     
  • 2.22, oracle, 13:59, 17/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    все нормально, этот код Sun писала в 1998-м ... весь текст скрыт [показать] [показать ветку]
     
  • 1.23, Аноним, 15:39, 17/01/2018 [ответить] [смотреть все]  
  • +1 +/
    В managed языках не может быть уязвимостей Вы врёти ... весь текст скрыт [показать]
     
     
  • 2.28, IB, 19:07, 17/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    И доказательством этого выступает Пыхпых
     
     
  • 3.32, _, 21:18, 17/01/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    люто ... пых нынче - managed? :-)))))
     
     
  • 4.34, Anonymoustus, 21:41, 17/01/2018 [^] [ответить] [смотреть все]  
  • +/
    > люто ... пых нынче - managed? :-)))))

    Если на один пых, то да. Если на больше, то надо смотреть.

     
  • 4.35, angra, 00:24, 18/01/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    Нет, что ты, там ручное выделение/освобождение памяти и адресная арифметика.
     
  • 2.36, лж__, 06:31, 18/01/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    >В managed языках не может быть уязвимостей! Вы врёти

    Вообще-то уязвимости в JVM, которая написана на могучем си... ещё вопросы?

     
     
  • 3.39, Аноним, 21:45, 18/01/2018 [^] [ответить] [смотреть все]  
  • +/
    https www openhub net p openjdk https github com dmlloyd openjdk Давно бы пе... весь текст скрыт [показать]
     
     
  • 4.40, лютый ж__, 05:50, 19/01/2018 [^] [ответить] [смотреть все]  
  • +/
    >Давно бы переписали эти несчастные 11% на жабу, если все ошибки лезут оттуда.

    Вы перепутали, безопасность и скорость это то, на что сишники др.чат (но с первым у них ещё хуже, чем у жабистов).

    Вообще, подавляющее большинство "страшных дырок в hotspot" это "applies to clients running sandboxed Java Web Start applications or sandboxed Java applets, that load and run untrusted code and rely on the Java sandbox for security"
    только эксперты опеннета по ссылкам не ходют жеж

     
     
  • 5.41, Аноним, 16:44, 19/01/2018 [^] [ответить] [смотреть все]  
  • +/
    Ну да, проблемы с безопасностью песочницы и не проблемы вовсе, а так - тьху и ра... весь текст скрыт [показать]
     
     
  • 6.42, лж__, 17:28, 20/01/2018 [^] [ответить] [смотреть все]  
  • +/
    >Ну да, проблемы с безопасностью песочницы и не проблемы вовсе,

    Назови хоть ОДНУ песочницу, которую ни разу не сломали. Или свободен...
    От КубеОС до песочницы того же Хромого (который аналогично запускает untrusted code and rely on the  sandbox for security" - всё решeto

     
     
  • 7.43, Аноним, 18:59, 20/01/2018 [^] [ответить] [смотреть все]  
  • +/
    Да-да, а cпектр на самом деле тоже не дыра на десктопах, потому что нет немаргин... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor