Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."	+/–
Сообщение от opennews (?), 17-Июл-19, 10:21
Компания Oracle опубликовала (https://blogs.oracle.com/security/july-2019-critical-patch-u...) плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В июльском обновлении в сумме устранено 319 уязвимостей (https://www.oracle.com/technetwork/security-advisory/cpujul2...). В выпусках Java SE 12.0.2, 11.0.4 и 8u221 (http://www.oracle.com/technetwork/java/javase/downloads/inde...) устранено 10 проблем с безопасностью. 9 уязвимостей могут быть эксплуатированы удалённо без проведения аутентификации. Наивысший присвоенный уровень опасности - 6.8 (уязвимость в libpng). Проблем с  высоким и критическим уровнем опасности, позволяющих неаутентифицированному пользователю по сети скомпрометировать приложения на Java SE, не выявлено. Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе: -  43 уязвимости (https://www.oracle.com/technetwork/security-advisory/cpujul2...) в MySQL (максимальный уровень опасности 9.8, свидетельствующий о критической проблеме). Наиболее опасная проблема (CVE-2019-3822 (https://security-tracker.debian.org/tracker/CVE-2019-3822)) связана с переполнением буфера (https://curl.haxx.se/docs/CVE-2019-3822.html) в коде разбора заголовков NTLM в библиотеке libcurl, что может быть использовано для удалённой атаки на сервер MySQL неаутентифицированным пользователем. Почти все остальные проблемы проявляются только при наличии аутентифицированного доступа к СУБД.  Исключение составляет только уязвимость в Shell: Admin / InnoDB Cluster, которой присвоен уровень опасности 7.5.  Проблемы будут устранены в выпусках MySQL Community Server 8.0.17, 5.7.27 и 5.6.45 (http://dev.mysql.com/downloads/mysql/). -  14 уязвимостей (https://www.oracle.com/technetwork/security-advisory/cpujul2...) в VirtualBox, из которых 3 имеют высокую степень опасности (CVSS Score  8.2 и 8.8). Уязвимости  устранены в обновлениях VirtualBox   6.0.10 и 5.2.32 (в примечании (https://www.virtualbox.org/wiki/Changelog) к релизу факт устранения проблем с безопасностью не афиширован). Подробности не сообщаются, но судя по уровню CVSS устранены уязвимости,  позволяющие из окружения гостевой системы выполнить код на стороне хост-системы; -  10 уязвимости (https://www.oracle.com/technetwork/security-advisory/cpujul2...) в Solaris (максимальная степень опасности 9.1 - связанная с IPv6 уязвимость в ядре (CVE-2019-5597),  допускающая удалённую атаку (подробности не сообщаются). Две уязвимости также имеют критический уровень опасности 8.8 - локально эксплуатируемые  проблемы в Common Desktop Environment     и  клиентских утилитах для LDAP. Из проблем с уровнем опасности выше 7 также можно отметить удалённо эксплуатируемые уязвимости в обработчиках ICMPv6 и NFS в ядре Solaris, и локальные проблемы в файловой системе и Gnuplot. URL: https://blogs.oracle.com/security/july-2019-critical-patch-u... Новость: https://www.opennet.ru/opennews/art.shtml?num=51107
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по времени | RSS]

2. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."	–2 +/–
Сообщение от Аноним (2), 17-Июл-19, 11:05
300+ уязвимостей! Жесть!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	3. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."	+/–
	Сообщение от Аноним (3), 17-Июл-19, 11:10
	В этом как раз ничего удивительного, у них так всегда. Интересно другое, что второй Critical Patch Update подозрительно мало проблем в Java и много в MySQL. В Java максималный CVSS  6.8 - это вообще рекорд за всё время, раньше было не меньше 8-9.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	13. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."	+4 +/–
	Сообщение от орацл (?), 17-Июл-19, 17:27
	жабобезопастник в этом месяце в отпуске. Наверстает в следующем.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	4. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."	–2 +/–
	Сообщение от proninyaroslav (ok), 17-Июл-19, 11:18
	"Надо срочно переписать всё на Rust" (c)
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	5. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."	+/–
	Сообщение от Andrey Mitrofanov_N0 (??), 17-Июл-19, 11:26
	>> В Java максималный CVSS  6.8 - это вообще рекорд за всё время, раньше было не меньше 8-9. > "Надо срочно переписать всё на Rust" (c) %)
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	7. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."	+/–
	Сообщение от Аноним (7), 17-Июл-19, 12:16
	Может и не срочно, но однозначно нужно.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."	+/–
	Сообщение от iPony129412 (?), 17-Июл-19, 11:36
	> 300+ уязвимостей! Жесть! На сотню весьма сложных продуктов. Как-то не очень.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."	+/–
Сообщение от Аноним (8), 17-Июл-19, 13:08
А где можно скачать билды явы подтсвободной лицензией?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	9. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."	+1 +/–
	Сообщение от Andrey Mitrofanov_N0 (??), 17-Июл-19, 13:23
	> А где можно скачать билды явы подтсвободной лицензией? На зеркалах дебиана, федоры, убунты и... все-всех-всех. Может, даже на suse-вском варез-буилдере есть, не знаю.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	12. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."	+/–
	Сообщение от Аноним (8), 17-Июл-19, 16:31
	... для винды, то что у никсов всё в репах есть - это и так понятно.
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	10. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."	–1 +/–
	Сообщение от DiabloPC (ok), 17-Июл-19, 13:30
	http://diablopc.linuxforum.ru/pub/Java/ На тебе. И JRE и JDK
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	11. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."	+/–
	Сообщение от Аноним (11), 17-Июл-19, 15:40
	Тут все https://jdk.dev/download/
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

14. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."	+1 +/–
Сообщение от anono (?), 17-Июл-19, 17:36
https://gifs.com/gif/11-08-15-y7gJ3Z
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."	+/–
Сообщение от ОЛЕГ (?), 17-Июл-19, 19:17
Oracle=уязвимость!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."	+/–
Сообщение от Аноним (16), 17-Июл-19, 20:49
при использовании C C++ нужно очень аккуратно следить за корректным выделением и освобождением памяти поэтому при росте сложности программ ничего удивительного
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	17. "Обновление Java SE, MySQL, VirtualBox и других продуктов Ora..."	+/–
	Сообщение от Аноним (17), 18-Июл-19, 09:42
	> при использовании C C++ нужно очень аккуратно следить за корректным выделением и освобождением памяти поэтому при росте сложности программ ничего удивительного Спасибо, сейчас запишу в блокнотик... А за обращением к ранее освобожденной памяти и за выходом за границы выделенной памяти и массивов уже следить не требуется?
	Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема