The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей

17.04.2019 11:11

Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В апрельском обновлении в сумме устранено 297 уязвимостей.

В выпусках Java SE 12.0.1, 11.0.3 и 8u212 устранено 5 проблем с безопасностью. Все уязвимости могут быть эксплуатированы удалённо без проведения аутентификации. Одной уязвимости, специфичной для платформы Windows, присвоен CVSS Score 9.0 (CVE-2019-2699), что соответствует критическому уровню опасности и позволяет неаутентифицированному пользователю по сети скомпрометировать приложения на Java SE. Двум уязвимостям в подсистеме обработки 2D графики присвоен уровнень 8.1 (CVE-2019-2697, CVE-2019-2698). Подробности пока не раскрываются.

Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

  • 40 уязвимостей в MySQL (максимальный уровень опасности 7.5). Наиболее опасная проблема (CVE-2019-2632) затрагивает подсистему подключаемых модулей аутентификации. Проблемы будут устранены в выпусках MySQL Community Server 8.0.16, 5.7.26 и 5.6.44.
  • 12 уязвимостей в VirtualBox, из которых 7 имеют критическую степень опасности (CVSS Score 8.8). Уязвимости устранены в обновлениях VirtualBox 6.0.6 и 5.2.28примечании к релизу факт устранения проблем с безопасностью не афиширован). Подробности не сообщаются, но судя по уровню CVSS устранены уязвимости, продемонстрированные на соревновании Pwn2Own 2019 и позволяющие из окружения гостевой системы выполнить код на стороне хост-системы.
  • 3 уязвимости в Solaris (максимальная степень опасности 5.3 - проблемы в пакетном менеджере IPS, SunSSH и сервисе управления блокировками. Проблемы устранены в выпуске Solaris 11.4 SRU8, в котором также возобновлена поддержка библиотек UCB (libucb, librpcsoc, libdbm, libtermcap, libcurses) и сервиса fc-fabric, обновлены версии пакетов ibus 1.5.19, NTP 4.2.8p12, Firefox 60.6.0esr, BIND 9.11.6, OpenSSL 1.0.2r, MySQL 5.6.43 & 5.7.25, libxml2 2.9.9, libxslt 1.1.33, Wireshark 2.6.7, ncurses 6.1.0.20190105, Apache httpd 2.4.38, perl 5.22.


  1. Главная ссылка к новости (https://blogs.oracle.com/secur...)
  2. OpenNews: Компания Oracle опубликовала Java SE 12
  3. OpenNews: Компания Oracle выпустила ядро Unbreakable Enterprise Kernel R5U1
  4. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
  5. OpenNews: Oracle передал код GlassFish организации Eclipse Foundation
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: oracle
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (19) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, YetAnotherOnanym (ok), 11:36, 17/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > В выпусках Java SE 12.0.1, 11.0.3 и 8u212 устранено 5 проблем с безопасностью. Все уязвимости могут быть эксплуатированы удалённо без проведения аутентификации.

    Джо Армстронг ухмыляется.

     
  • 1.3, ryoken (ok), 11:52, 17/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    5+40+12+3!=297, не..?
    Где про остальные дыры? :)
     
     
  • 2.5, A (?), 12:03, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Подозреваю, что в Java SE ):
     

  • 1.4, Аноним (4), 11:52, 17/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > в котором также возобновлена поддержка библиотек UCB (libucb,
    > librpcsoc, libdbm, libtermcap, libcurses)

    Кажетсо, срочно извлеченный из криокамеры специалист по программированию на коболе сумел объяснить, почему банковская система сломалась при предыдущем апгрейде  ;-)

     
  • 1.6, erthink (ok), 12:13, 17/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    Вечное сияние чистейшей "безопасности" Java.
     
     
  • 2.7, MVK (??), 12:21, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    "уязвимости, специфичной для платформы Windows"
     
     
  • 3.8, erthink (ok), 12:24, 17/04/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > > "уязвимости, специфичной для платформы Windows"

    "5 проблем с безопасностью. Все уязвимости могут быть эксплуатированы удалённо без проведения аутентификации."

    А "специфичная для Windows" - это вишенка на торте ;)

     
     
  • 4.17, лютый жабист__ (?), 05:54, 18/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >Все уязвимости могут быть эксплуатированы удалённо без проведения аутентификации

    Сломаешь последней версии Wildfly, торчащий в инет? У меня их много, никакими nginx-ами не закрыто. Или только кукарекать горазд?

     
  • 2.16, лютый жабист__ (?), 05:51, 18/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >Вечное сияние чистейшей "безопасности" Java.

    К чему ты хороший фильм приплел?

    Кстати, ЖВМ написана на вонючем си, из-за чего она такое рещето. Уж поскорее бы на расте переписали.

     
     
  • 3.18, Andrey Mitrofanov (?), 08:20, 18/04/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >Уж поскорее бы на расте переписали.

    Переписывать надо на жавве.

    Ты прям как не  жаббист.

    Вона, у пи-пи-тонистов получилось.

    Хватит песен про Си, начинай уже.

     
     
  • 4.20, Аноним (20), 08:34, 19/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Graalvm на подмножестве java написан
     

  • 1.9, Аноним (9), 12:47, 17/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > Проблемы устранены в выпуске Solaris 11.4 SRU8, в котором ...
    > MySQL 5.6.43 & 5.7.25
    > 40 уязвимостей в MySQL (максимальный уровень опасности 7.5). ...
    > Проблемы будут устранены в выпусках MySQL Community Server 8.0.16, 5.7.26 и 5.6.44.

    Какая прелесть. ОНО сразу дырявое выходит. :-)

     
  • 1.10, Аноним (10), 13:00, 17/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Ну всё. Чтобы запустить приложение Java, помимо ответа "да" на трех экранах и наличия сертификата, нужно будет оформить две доверенности и одно согласие, отсканировать их, отправить по имейлу, а следом довезти оригиналы.
     
  • 1.11, Аноним (10), 13:05, 17/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    > Подробности пока не раскрываются

    Вот это забавная тенденция в ИТ сложилась - дать время на устранение, потом открыть подробности. Один нюанс - есть системы, которые обновлять нежелательно, а есть, которые обновить не представляется возможным. И как тут назвать открывателей? Хотя Макаревич уже назвал ...

     
     
  • 2.21, GGG (?), 15:13, 20/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Тех, у кого такие системы есть, надо называть ССЗБ
     

  • 1.12, Анонм (?), 13:22, 17/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Все уязвимости были связанны с апплетами. Их давно уже выбросили из Java.
     
  • 1.13, CHERTS (ok), 14:35, 17/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >>Проблемы будут устранены в выпусках MySQL Community Server 8.0.16, 5.7.26 и 5.6.44.

    Ключевое слово - БУДУТ, т.к. пока данные релизы еще недоступны и на оф. сайте их нет, зачем писать про то, чего еще нет?

     
     
  • 2.19, forum reader (?), 23:33, 18/04/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Что бы ты успел предупредить семью, что папка проведет уикенд вне дома плотно занимаясь сексом .
     

  • 1.15, Аноним (15), 17:55, 17/04/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Теперь только с регистрацией и СМС? Ничего, недолго им осталось...
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру