The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей

17.07.2019 09:23

Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В июльском обновлении в сумме устранено 319 уязвимостей.

В выпусках Java SE 12.0.2, 11.0.4 и 8u221 устранено 10 проблем с безопасностью. 9 уязвимостей могут быть эксплуатированы удалённо без проведения аутентификации. Наивысший присвоенный уровень опасности - 6.8 (уязвимость в libpng). Проблем с высоким и критическим уровнем опасности, позволяющих неаутентифицированному пользователю по сети скомпрометировать приложения на Java SE, не выявлено.

Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

  • 43 уязвимости в MySQL (максимальный уровень опасности 9.8, свидетельствующий о критической проблеме). Наиболее опасная проблема (CVE-2019-3822) связана с переполнением буфера в коде разбора заголовков NTLM в библиотеке libcurl, что может быть использовано для удалённой атаки на сервер MySQL неаутентифицированным пользователем. Почти все остальные проблемы проявляются только при наличии аутентифицированного доступа к СУБД. Исключение составляет только уязвимость в Shell: Admin / InnoDB Cluster, которой присвоен уровень опасности 7.5. Проблемы будут устранены в выпусках MySQL Community Server 8.0.17, 5.7.27 и 5.6.45.
  • 14 уязвимостей в VirtualBox, из которых 3 имеют высокую степень опасности (CVSS Score 8.2 и 8.8). Уязвимости устранены в обновлениях VirtualBox 6.0.10 и 5.2.32 (в примечании к релизу факт устранения проблем с безопасностью не афиширован). Подробности не сообщаются, но, судя по уровню CVSS, устранены уязвимости, позволяющие из окружения гостевой системы выполнить код на стороне хост-системы;
  • 10 уязвимостей в Solaris (максимальная степень опасности 9.1 - связанная с IPv6 уязвимость в ядре (CVE-2019-5597), допускающая удалённую атаку (подробности не сообщаются). Две уязвимости также имеют критический уровень опасности 8.8 - локально эксплуатируемые проблемы в Common Desktop Environment и клиентских утилитах для LDAP. Из проблем с уровнем опасности выше 7 также можно отметить удалённо эксплуатируемые уязвимости в обработчиках ICMPv6 и NFS в ядре Solaris, и локальные проблемы в файловой системе и Gnuplot.


  1. Главная ссылка к новости (https://blogs.oracle.com/secur...)
  2. OpenNews: Компания Oracle выпустила ядро Unbreakable Enterprise Kernel R5U2
  3. OpenNews: Началось тестирование бета-версии Oracle Linux 8
  4. OpenNews: Oracle меняет лицензию на сборки Java SE. Red Hat взял на себя сопровождение OpenJDK 8 и 11
  5. OpenNews: Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей
  6. OpenNews: Компания Oracle опубликовала Java SE 12
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: oracle, java, mysql, virtualbox
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (16) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (2), 11:05, 17/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    300+ уязвимостей! Жесть!
     
     
  • 2.3, Аноним (3), 11:10, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    В этом как раз ничего удивительного, у них так всегда.
    Интересно другое, что второй Critical Patch Update подозрительно мало проблем в Java и много в MySQL. В Java максималный CVSS  6.8 - это вообще рекорд за всё время, раньше было не меньше 8-9.
     
     
  • 3.13, орацл (?), 17:27, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    жабобезопастник в этом месяце в отпуске. Наверстает в следующем.
     
  • 2.4, proninyaroslav (ok), 11:18, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • –2 +/
    "Надо срочно переписать всё на Rust" (c)
     
     
  • 3.5, Andrey Mitrofanov_N0 (??), 11:26, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    >> В Java максималный CVSS  6.8 - это вообще рекорд за всё время, раньше было не меньше 8-9.
    > "Надо срочно переписать всё на Rust" (c)

    %)

     
  • 3.7, Аноним (7), 12:16, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Может и не срочно, но однозначно нужно.
     
  • 2.6, iPony129412 (?), 11:36, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > 300+ уязвимостей! Жесть!

    На сотню весьма сложных продуктов. Как-то не очень.

     

  • 1.8, Аноним (8), 13:08, 17/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А где можно скачать билды явы подтсвободной лицензией?
     
     
  • 2.9, Andrey Mitrofanov_N0 (??), 13:23, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > А где можно скачать билды явы подтсвободной лицензией?

    На зеркалах дебиана, федоры, убунты и... все-всех-всех.
    Может, даже на suse-вском варез-буилдере есть, не знаю.

     
     
  • 3.12, Аноним (8), 16:31, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    ... для винды, то что у никсов всё в репах есть - это и так понятно.
     
  • 2.10, DiabloPC (ok), 13:30, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • –1 +/
    http://diablopc.linuxforum.ru/pub/Java/
    На тебе. И JRE и JDK
     
  • 2.11, Аноним (11), 15:40, 17/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Тут все https://jdk.dev/download/
     

  • 1.14, anono (?), 17:36, 17/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    https://gifs.com/gif/11-08-15-y7gJ3Z
     
  • 1.15, ОЛЕГ (?), 19:17, 17/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Oracle=уязвимость!
     
  • 1.16, Аноним (16), 20:49, 17/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    при использовании C C++ нужно очень аккуратно следить за корректным выделением и освобождением памяти поэтому при росте сложности программ ничего удивительного
     
     
  • 2.17, Аноним (17), 09:42, 18/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > при использовании C C++ нужно очень аккуратно следить за корректным выделением и освобождением памяти поэтому при росте сложности программ ничего удивительного

    Спасибо, сейчас запишу в блокнотик... А за обращением к ранее освобожденной памяти и за выходом за границы выделенной памяти и массивов уже следить не требуется?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру