Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей

15.01.2020 08:16

Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В январском обновлении в сумме устранено 334 уязвимости.

В выпусках Java SE 13.0.2, 11.0.6 и 8u241 устранено 12 проблем с безопасностью. Все уязвимости могут быть эксплуатированы удалённо без проведения аутентификации. Наивысший уровень опасности - 8.1, который присвоен проблеме с сериализацией (CVE-2020-2604), позволяющей скомпрометировать приложения на Java SE через передачу специально оформленных сериализированных данных. Три уязвимости имеют уровень опасности 7.5. Данные проблемы присутствуют в JavaFX и вызваны уязвимостями в SQLite и libxslt.

Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

12 уязвимостей в сервере MySQL и 3 уязвимости в реализации клиента MySQL (C API). Наибольший уровень опасности 6.5 присвоен трём проблемам в парсере и оптимизаторе MySQL. Проблемы устранены в выпусках MySQL Community Server 8.0.19, 5.7.29 и 5.6.47.
18 уязвимостей в VirtualBox, из которых 6 имеют высокую степень опасности (CVSS Score 8.2 и 7.5). Уязвимости будут устранены в обновлениях VirtualBox 6.1.2, 6.0.16 и 5.2.36, которые ожидаются сегодня.
10 уязвимостей в Solaris. Максимальная степень опасности 8.8 - локально эксплуатируемая проблема в Common Desktop Environment. Из проблем с уровнем опасности выше 7 также можно отметить локальные уязвимости в Consolidation Infrastructure и файловой системе. Проблемы устранены во вчерашнем обновлении Solaris 11.4 SRU 17.

исправить +13 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/52186-oracle

Ключевые слова: oracle, mysql, java, virtualbox, solaris

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (42)

1.1, Alen (??), 08:24, 15/01/2020 [ответить] [﹢﹢﹢] [ · · · ]	+5 +/–
Вот все таки Оракл, какие молодцы! У них устранение и даже нахождение критических ремотных уязвимостей, идет по плану! Во истину оракул :)

1.2, Lockywolf (ok), 08:47, 15/01/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Опенсорсная CDE не подвержена этой уязвимости и раньше была.

2.4, Anonymoustus (ok), 09:16, 15/01/2020 [^] [^^] [^^^] [ответить]	+/–
Опенсорсную CDE никто нигде не использует. Да и оракулевую вряд ли много кто.

3.6, Lockywolf (ok), 09:17, 15/01/2020 [^] [^^] [^^^] [ответить]	+/–
> Опенсорсную CDE никто нигде не использует. Да и оракулевую вряд ли много > кто. В мейл-листах отмечаются пользователи. Немного, правда.

4.7, Anonymoustus (ok), 09:18, 15/01/2020 [^] [^^] [^^^] [ответить]	+/–
Это же частные лица, а не дистрибутивы и организации. Не считается.

5.10, Lockywolf (ok), 09:34, 15/01/2020 [^] [^^] [^^^] [ответить]

+/–

> Это же частные лица, а не дистрибутивы и организации. Не считается.

GUI в никсах (кроме андроида) -- вообще удел частных лиц по большому счёту.

Единственный пример обратного, который я видел -- это ЕМИАС в московском депздраве. Там Гном, естественно.

6.23, vimer (?), 17:12, 15/01/2020 [^] [^^] [^^^] [ответить]	+/–
Прочитал как: "Emacs в московском депздраве", был удивлён.

6.29, Аноним (29), 21:47, 15/01/2020 [^] [^^] [^^^] [ответить]	+/–
>GUI в никсах (кроме андроида) -- вообще удел частных лиц по большому счёту. Самый сертифицированный (Ябло)NIX смотрит на вас с недоумением.

7.30, Lockywolf (ok), 05:19, 16/01/2020 [^] [^^] [^^^] [ответить]

+/–

>>GUI в никсах (кроме андроида) -- вообще удел частных лиц по большому счёту.
> Самый сертифицированный (Ябло)NIX смотрит на вас с недоумением.

Fair point, но я не видел примеров успешного запуска cocoa-gui на лиуксе. У gnustep больше проблем со сборкой, чем у CDE, и она далеко не весь gui реализует.

1.3, Аноним (3), 09:03, 15/01/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
все как обычно сотни уязвимостей

2.5, Anonymoustus (ok), 09:16, 15/01/2020 [^] [^^] [^^^] [ответить]	+3 +/–
Исправленных, да. Не то, что ваш нотабуг.

2.9, iPony129412 (?), 09:29, 15/01/2020 [^] [^^] [^^^] [ответить]	+2 +/–
Ну сложные продукты — поэтому...

2.12, Ан (??), 10:02, 15/01/2020 [^] [^^] [^^^] [ответить]	+/–
А где их нет?

2.13, Аноним (13), 10:11, 15/01/2020 [^] [^^] [^^^] [ответить]	+/–
> все как обычно сотни уязвимостей Вроде все просто отлично (для нашего несовершенного мира) и объяснимо: 1) Люди работают (проекты не заброшены, человеки пишут тонны сложного кода, пусть не всегда качественного); 2) Работают люди (в том смысле что не "роботы". А людям свойственно ошибаться); 3) Продукты востребованы (раз находятся и исправляются ошибки, а не как в очередном "пожившем и сдохшем GWT").

3.24, Аноним (24), 17:35, 15/01/2020 [^] [^^] [^^^] [ответить]	–1 +/–
пусть альфы выпускают, раз по 334 ошибок делают

4.27, Аноним (27), 19:59, 15/01/2020 [^] [^^] [^^^] [ответить]	+/–
тогда systemd не выйдет из стадии вечной альфы. достаточно посмотреть баг трекер его, что бы оценить как быстро исправляются критические ошибки которые репортятся не сотрудниками redhat.

4.31, Аноним (13), 09:19, 16/01/2020 [^] [^^] [^^^] [ответить]	+/–
> пусть альфы выпускают, раз по 334 ошибок делают Вы вообще читали новость, а потом переходили по ссылке на список патчей? 334 - это в сумме по куче продуктов, большинство из которых тебе (и многим другим) неизвестно. В этих волнующих Вас явах и мускулях - по 10-20 ошибок. Какая нафиг альфа, если всё запускается, проходит какие-то тесты и работает, а ошибки находятся уже в процессе эксплуатации? С твоим подходом в продакшн можно запускать только ранний оригинальный qmail да HelloWorld на D. Всё. Остальное всё у всех альфа.

1.8, лютый жабист__ (?), 09:23, 15/01/2020 [ответить] [﹢﹢﹢] [ · · · ]	–6 +/–
поскорее бы JVM начали переписывать на rust-е... хотя, кажется, всех всё устраивает и с текущим сишным рэшетом.

2.11, Аноним (11), 09:58, 15/01/2020 [^] [^^] [^^^] [ответить]	+12 +/–
Казалось бы, что каникулы уже закончились..

3.15, Голубой гигант (?), 11:39, 15/01/2020 [^] [^^] [^^^] [ответить]	–3 +/–
У вас не закончились?

4.19, Аноним (19), 14:30, 15/01/2020 [^] [^^] [^^^] [ответить]	+/–
Прогуливает. ;)

2.14, Аноним (13), 10:24, 15/01/2020 [^] [^^] [^^^] [ответить]	+1 +/–
Ну ты как лютый жабист должен знать, что явовский JIT-компайлер уже переписан ораклом на безопасной яве и валяется в составе GraalVM. И даже быстрее HotSpot'а работает. Ситуация (отдаленно) как с PyPy получилась.

2.21, nelson (??), 15:26, 15/01/2020 [^] [^^] [^^^] [ответить]	+1 +/–
да, и добавить функции приготовления смузи и мониторинга скидок в барбершопах хипстоту хлебом не корми - дай переписать что-нибудь системное на растишке да гошке

3.32, Аноним (11), 09:34, 16/01/2020 [^] [^^] [^^^] [ответить]	+/–
Согласен, только COBOL и FORTRAN! Им только дай волю, все перепишут на новомодном C89.

4.39, пох. (?), 12:45, 20/01/2020 [^] [^^] [^^^] [ответить]

+1 +/–

разница между новомодными поделками и с89 - именно в том, что на Си никто не переписывал код, уже работающий на фортране и коболе. На нем писали код, который на фортране и коболе писать было невозможно.

А вот новое поколение не-таких-как-все - очень жаждет все попереписать. Потому что ничего принципиально нового модные язычки не позволяют, а очень хочется войти в историю.

5.40, iZEN (ok), 13:28, 20/01/2020 [^] [^^] [^^^] [ответить]

+/–

> разница между новомодными поделками и с89 - именно в том, что на
> Си никто не переписывал код, уже работающий на фортране и коболе.
> На нем писали код, который на фортране и коболе писать было
> невозможно.
> А вот новое поколение не-таких-как-все - очень жаждет все попереписать. Потому что
> ничего принципиально нового модные язычки не позволяют, а очень хочется войти
> в историю.

Потому что старый код никто, кроме создателей и последователей, не понимает. Новое поколение хочет понять, как работают алгоритмы на старых языках, и написать их на новых. Что в этом плохого? Старые языки убоги, так как для сложных выражений не было поддержки на аппаратном уровне, поэтому программа была многословной. Сейчас в процессорах много чего реализовано аппаратно, а новые языки и компиляторы поддерживают оптимизацию, соотнося её с возможностями процессора. Не зря же отказались от 32-bit [i386] в популярных операционных системах — её просто устали поддерживать — чемодан без ручки.

6.41, Anonymoustus (ok), 20:03, 23/01/2020 [^] [^^] [^^^] [ответить]	+/–
> Потому что старый код никто, кроме создателей и последователей, не понимает. Новое > поколение хочет понять, как работают алгоритмы на старых языках, и написать > их на новых. Что в этом плохого? Старые языки убоги, так > как для сложных выражений не было поддержки на аппаратном уровне, поэтому > программа была многословной. Сейчас в процессорах много чего реализовано аппаратно, а > новые языки и компиляторы поддерживают оптимизацию, соотнося её с возможностями процессора. > Не зря же отказались от 32-bit [i386] в популярных операционных системах > — её просто устали поддерживать — чемодан без ручки. Так вот почему новые программы работают на порядки медленнее старых на том же железе! В чём же прогресс, я стесняюсь спросить?

7.42, iZEN (ok), 21:34, 23/01/2020 [^] [^^] [^^^] [ответить]

+/–

> Так вот почему новые программы работают на порядки медленнее старых на том
> же железе! В чём же прогресс, я стесняюсь спросить?

Прогресс... он в головах, прежде всего. Все эти пальцетыкательные интерфейсы и распознавание лиц по отпечатку глаза после пьянки... Вот это всё оттуда.

2.35, iZEN (ok), 12:48, 17/01/2020 [^] [^^] [^^^] [ответить]	+3 +/–
> поскорее бы JVM начали переписывать на rust-е... хотя, кажется, всех всё устраивает и с текущим сишным рэшетом. Не дай Боже на Rust'е. Лучше переписать весь сишный крап на Modula-3, но жалко нет специалистов.

3.36, Тита_М (?), 05:44, 18/01/2020 [^] [^^] [^^^] [ответить]	+/–
А почему не на оберонах?

2.38, пох. (?), 12:43, 20/01/2020 [^] [^^] [^^^] [ответить]

+/–

на erlang.

Чтоб было как с pgp. Ни одна сволочь в галактике не знала, как это потом чинить.

1.16, Аноним (16), 12:09, 15/01/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Ох уж эта сериализация с джаве с кучей "магии" и постоянных уязвимостей. Не зря в планах её замена.

1.17, Аноним (17), 12:11, 15/01/2020 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Молодцы обновили... Теперь и без кого кривой virtualbox разучился расширения удалять/ставить. Симулятор вечного прогресс бара заказывали?

2.20, Аноним (19), 14:33, 15/01/2020 [^] [^^] [^^^] [ответить]	+/–
Вагрант + KVM адептам ком.строки и ненужен стал VBox. Зато ВМ-ки разворачиваются новые, подностью засетапленые за минуту другую.

1.18, Аноним (18), 13:14, 15/01/2020 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
ubreakable орки с честью несут свое имя сквозь тысячи cve

1.22, Урри (?), 16:11, 15/01/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Оракл со сломанной возможностью установить старую джаву поверх сломанной обратной совместимости, когда на новой джаве старый код не бегает идет на..й Это все, что я хочу знать об Оракле - что они успешно дошли туда, куда их послали.

2.26, Аноним (26), 18:14, 15/01/2020 [^] [^^] [^^^] [ответить]	+/–
В духе прогрессивных компаний типа M$ и Гугля.

1.25, Аноним (24), 17:44, 15/01/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Чем отличаются версии? VirtualBox 6.1.2, 6.0.16 и 5.2.36

2.37, господин Уэф (?), 12:41, 20/01/2020 [^] [^^] [^^^] [ответить]	+/–
ты что, пацак - слепой совсем? Шесть от пять и один от ноль отличить не можешь?

1.28, Аноним (28), 20:51, 15/01/2020 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
> В выпусках Java SE 13.0.2, 11.0.6 и 8u241 устранено 12 проблем с безопасностью. Все уязвимости могут быть эксплуатированы удалённо без проведения аутентификации. Жирная, тормозная и дырявая. Репутация подтверждена.

2.33, Урри (?), 16:41, 16/01/2020 [^] [^^] [^^^] [ответить]	+/–
Казалось бы за эти годы можно было бы наладить процесс ревью, исключающий такие ошибки. Но нет, мы будем год за годом наступать на одни и те же грабли.

1.34, iZEN (ok), 12:46, 17/01/2020 [ответить] [﹢﹢﹢] [ · · · ]	+/–
% pkg info -r mysql57-client mysql57-client-5.7.29: libreoffice-6.3.4 Да тут полпланеты подвержено уязвимости!

Добавить комментарий

Текст: