The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Компания Oracle выпустила критическое обновление Java SE с у..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Компания Oracle выпустила критическое обновление Java SE с у..."  +/
Сообщение от opennews (??) on 02-Фев-13, 10:51 
Компания Oracle представила (https://blogs.oracle.com/security/entry/february_2013_critic...) крупнейшее в истории обновления с исправлением проблем безопасности в Java SE -  Java SE 7 Update 13 (http://www.oracle.com/technetwork/java/javase/7u13-relnotes-...) и Java SE 6 Update 39 (http://www.oracle.com/technetwork/java/javase/6u39-relnotes-...), в которых устранено 50 уязвимостей (http://www.oracle.com/technetwork/topics/security/javacpufeb...), 26 из которым присвоен максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента.  Изначально, выпуск обновлений был запланирован на 19 февраля, но был выпущен раньше срока, так как одна критическая уязвимость, исправленная в браузерном Java-плагине, имеет характер zero-day проблемы, для которой в сети уже зафиксированы факты эксплуатации.


Все критические проблемы подвержены удалённой эксплуатации без необходимости аутентификации. 23 критические уязвимости проявляются на стороне клиента при обработке в браузерном плагине специально оформленного Java Web Start приложения или Java-апплета, трём проблемам подвержены как клиентские, так и серверные системы (эксплуатация через обращение к серверному API). Отдельно отмечаются 2 уязвимости в серверном компоненте JSSE (Java Secure Socket Extension).

Из общего числа проблем 49 уязвимостей могут быть эксплуатированы удаленно с вектором атаки через сеть без предварительной аутентификации. 39 уязвимостей выявлено в Java Runtime Environment, а 11 в JavaFX. Из уязвимостей в JRE две проблемы найдены в 2D-подсистеме, 4 в CORBA, 4 в AWT, 10 в Deployment Toolkit, 3 в JMX, 5 в библиотеках, 2 в JSSE, 1 в Java Beans, 1 в системе скриптинга, 1 в звуковой подсистеме, 1 в инсталляторе, 1 в JAX-WS, 1 в JAXP, 1 в RMI,  1 в сетевой подсистеме.


В анонсе Oracle отмечается, что опасность эксплуатации проблем безопасности снижена благодаря тому, что начиная с Java SE 7 Update 11 был изменён предлагаемый по умолчанию уровень безопасности. Если ранее при выполнении апплетов использовался средний уровень безопасности, то теперь задействован наивысший уровень, включающий дополнительные проверки и требующий обязательного ручного подтверждения запуска в браузере неподписанных апплетов, приложений Java Web Start или JavaFX. Тем не менее, Адам Говдяк (Adam Gowdiak), известный польский исследователь безопасности, недавно заявил (https://www.opennet.ru/opennews/art.shtml?num=35941), что уровни безопасности можно обойти и они эффективны только в теории. На практике же, достаточно быстро удалось найти уязвимость, позволяющую обеспечить выполнение вредоносного ПО даже при активации наивысшего уровня защиты, вообще запрещающего запуск неподписанных апплетов. Используя указанную уязвимость вредоносное ПО как и раньше может запускаться с открытой страницы, абсолютно незаметно для пользователя.


Дополнительно можно упомянуть опубликованную вчера заметку (http://blog.fuseyism.com/index.php/2013/02/01/the-death-of-i.../) Эндрю Хьюза (Andrew Hughes), одного из разработчиков IcedTea  из компании Red Hat, о будущем полностью открытой реализации Java SE. По мнению Эндрю проект IcedTea потерял смысл и близок к своему завершению, так как с выпуском OpenJDK он по сути является его перепаковкой с незначительными локальными патчами. Если текущие ветки IcedTea ещё будут поддерживаться, то будущий выпуск IcedTea на базе Java SE 8 под большим вопросом.

URL: https://blogs.oracle.com/java/entry/critical_patch_update_fo...
Новость: https://www.opennet.ru/opennews/art.shtml?num=35999

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Компания Oracle выпустила критическое обновление Java SE с у..."  +/
Сообщение от Аноним (??) on 02-Фев-13, 10:51 
>критическое обновление

Оно в самом деле критическое?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Компания Oracle выпустила критическое обновление Java SE с у..."  +4 +/
Сообщение от Lain_13 email(ok) on 02-Фев-13, 12:25 
26 дыр максимального уровня закрывает, одна из которых уже эксплуатируется. Да, наверное не критическое, а так, самое обычное обновление безопасности. Можешь не ставить, если лень.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

13. "Компания Oracle выпустила критическое обновление Java SE с у..."  +3 +/
Сообщение от pavlinux (ok) on 02-Фев-13, 16:12 
> Update 13

Звучит прям как название очередного космического ужастика =:)

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

21. "Компания Oracle выпустила критическое обновление Java SE с у..."  +/
Сообщение от Lain_13 email(ok) on 02-Фев-13, 20:25 
>> Update 13
> Звучит прям как название очередного космического ужастика =:)

У тебя трискаидекафобия :?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

30. "Компания Oracle выпустила критическое обновление Java SE с у..."  +1 +/
Сообщение от Аноним (??) on 03-Фев-13, 00:31 
> У тебя трискаидекафобия :?

Не знаю как у него, а для оракла число и правда не очень счастливое :).

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

37. "Компания Oracle выпустила критическое обновление Java SE с у..."  +/
Сообщение от Аноним (??) on 03-Фев-13, 05:54 
> 26 дыр максимального уровня закрывает, одна из которых уже эксплуатируется.

Как минимум, три. Просто эксплоитов нет в паблике.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

2. "Компания Oracle выпустила критическое обновление Java SE с у..."  +1 +/
Сообщение от YetAnotherOnanym (ok) on 02-Фев-13, 10:53 
Ждём сообщений о дырах в новой жабе.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Компания Oracle выпустила критическое обновление Java SE с у..."  –5 +/
Сообщение от Аноним (??) on 02-Фев-13, 11:11 
Надеюсь оракль не пожалел бабок своим линейным [s]юнитам[/s] разработчикам, пашут как путин на галерах
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Критическое обновление Java SE с устранением 50 уязвимостей"  –14 +/
Сообщение от iZEN (ok) on 02-Фев-13, 12:31 
Не знаю, как в линуксах, а linux-sun-jre17 7.13 (порт java/linux-sun-jre17 http://www.freshports.org/java/linux-sun-jre17/ ) и linux-sun-jdk17 7.13 (порт java/linux-sun-jdk17 http://www.freshports.org/java/linux-sun-jdk17/ ) уже в коллекции портов FreeBSD. :))
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Критическое обновление Java SE с устранением 50 уязвимостей"  +13 +/
Сообщение от anoname on 02-Фев-13, 13:38 
Это очень ценное сообщение, спасибо.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "Критическое обновление Java SE с устранением 50 уязвимостей"  +5 +/
Сообщение от Аноним (??) on 02-Фев-13, 14:32 
А у меня уже в коллекции слакбилдов java.SlackBuild для Oracle jdk/jre 7u13, и чо? Вместо того, чтобы постить всякую хрень, ты бы лучше пилил дрова для оптимуса под фряху, было бы больше пользы.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

11. "Критическое обновление Java SE с устранением 50 уязвимостей"  +3 +/
Сообщение от ананим on 02-Фев-13, 15:24 
он же уже несколько раз говорил, что на винде сидит.
а с фряхой… это он так кворум гпл-хэйтеров создаёт.
трухин, только с жабой вместо дотнета.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

38. "Критическое обновление Java SE с устранением 50 уязвимостей"  +/
Сообщение от Аноним (??) on 04-Фев-13, 07:18 
Кстати, где Трухин? Кто знает, что с ним? Неужто заболел^W нашёл работу?
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

22. "Критическое обновление Java SE с устранением 50 уязвимостей"  –1 +/
Сообщение от iZEN (ok) on 02-Фев-13, 20:26 
> А у меня уже в коллекции слакбилдов java.SlackBuild для Oracle jdk/jre 7u13, и чо?

Хотел получить отзывы от пользователей дистрибутивов Linux, появились ли у них обновления JRE/JDK7u13 в репозиториях используемых ими дистрибутивов. Насколько оперативно среагировали мантейнеры дистрибутивов Linux на официальный апдейт Явы.

> Вместо того, чтобы постить всякую хрень, ты бы лучше пилил дрова для оптимуса под фряху, было бы больше пользы.

"Оптимус" это что?


Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

23. "Критическое обновление Java SE с устранением 50 уязвимостей"  +1 +/
Сообщение от IMHO on 02-Фев-13, 20:55 
> "Оптимус" это что?

видеокарты NVidia, за нее Торвальдс факью показал

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "Критическое обновление Java SE с устранением 50 уязвимостей"  +/
Сообщение от Michael Shigorin email(ok) on 02-Фев-13, 23:11 
> Насколько оперативно среагировали мантейнеры дистрибутивов Linux
> на официальный апдейт Явы.

https://www.opennet.ru/opennews/art.shtml?num=31622

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

25. "Критическое обновление Java SE с устранением 50 уязвимостей"  +/
Сообщение от админик on 02-Фев-13, 23:37 
И правильно сделала тк нечего перепаковывать оригинальные файлы Oracle JDK. Хочется свое - используйте OpenJDK reference implementation, а если это Oracle JDK – он должен быть таким, как его задумал Oracle. Никто не мешает в репозиторий его положитъ вообще
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

27. "Критическое обновление Java SE с устранением 50 уязвимостей"  –1 +/
Сообщение от ананим on 02-Фев-13, 23:54 
Ха! Ещё как мешает.
Чтобы скачать ораклждк, нужно зайти на сайт и согласиться с условиями.
Если в бзде это не так, то они банально нарушают права оракла. Ворюги другими словами.

Зыж
К примеру в генту это реализовано так — ставишь сабж, выдаётся мезедж "сходите на <урл>, скачайте после подтверждения (надо поставить галку и нажать аксепт. Ну можно ещё прочитать,  что это жаба не для террористов и тд.), после скачивания скопируйте туда-то. Потом нажмите У". Короче, вгетом не скачаешь.
А в свою репу низя. Если ты не айзн-террорист конечно.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

35. "Критическое обновление Java SE с устранением 50 уязвимостей"  +/
Сообщение от BayaN (ok) on 03-Фев-13, 02:39 
>Если в бзде это не так

Так. Топай на сайт, скачивай, кидай в distfiles и устанавливай.

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

36. "Критическое обновление Java SE с устранением 50 уязвимостей"  +/
Сообщение от ананим on 03-Фев-13, 02:47 
влом.
надо будет, поставлю.
Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

7. "Критическое обновление Java SE с устранением 50 уязвимостей"  +2 +/
Сообщение от Crazy Alex (ok) on 02-Фев-13, 14:13 
Интересно, хоть неделю продержится до нового сообщения об уязвимости?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Критическое обновление Java SE с устранением 50 уязвимостей"  +/
Сообщение от ананим on 02-Фев-13, 15:26 
ну так дочитайте последний абзац.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

16. "Критическое обновление Java SE с устранением 50 уязвимостей"  +/
Сообщение от Crazy Alex (ok) on 02-Фев-13, 18:18 
Ну так это ж о состоянии до этого апдейта?
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

19. "Критическое обновление Java SE с устранением 50 уязвимостей"  +1 +/
Сообщение от ананим on 02-Фев-13, 19:07 
а где написано, что апдэйт это закрыл?
насколько я понял как раз таки нет.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

31. "Критическое обновление Java SE с устранением 50 уязвимостей"  +/
Сообщение от Crazy Alex (ok) on 03-Фев-13, 00:53 
Из новости непонятно, но претензия была к апдейту 11, а это уже 13-й. Я, конечно, понимаю, что Оракл слоупоки, но не до такой степени же.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

34. "Критическое обновление Java SE с устранением 50 уязвимостей"  +/
Сообщение от ананим on 03-Фев-13, 02:31 
и тем не менее, в фразе:
>Тем не менее, Адам Говдяк (Adam Gowdiak), известный польский исследователь…

именно «тем не менее» наводит на мысль, что автор новости как раз и имел в виду, что сабж тем не менее уязвим.
ну, наверное можно спросить у автора, что он под этим имел в виду.

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

8. "Критическое обновление Java SE с устранением 50 уязвимостей"  +/
Сообщение от Аноним (??) on 02-Фев-13, 14:15 
После некоторой критики со стороны некоторых личностей, Oracle все же выпускает обновление. В котором уязвимостей даже больше чем в списке, который обсуждался.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

15. "Критическое обновление Java SE с устранением 50 уязвимостей"  +/
Сообщение от Аноним (??) on 02-Фев-13, 18:08 
Это просто сообщения, я не думаю что они радикально в коде все обновляли
Мы все прекрасно понимает как Оракл плюет на людей
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

40. "Критическое обновление Java SE с устранением 50 уязвимостей"  +/
Сообщение от Аноним (??) on 04-Фев-13, 12:20 
> Это просто сообщения, я не думаю что они радикально в коде все
> обновляли
> Мы все прекрасно понимает как Оракл плюет на людей

Он так-то не обязан быть лицом к ним. Видишь ли, в компании в 35 тыщ эмплоёв никакие дела быстро - не делаются. По определению просто.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Критическое обновление Java SE с устранением 50 уязвимостей"  +5 +/
Сообщение от kai3341 (ok) on 02-Фев-13, 19:01 
> Критическое обновление Java SE с устранением 50 уязвимостей

Мне кажется, это опять не повод Мозиле исключать java-плагин из чёрного списка :)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Критическое обновление Java SE с устранением 50 уязвимостей"  +/
Сообщение от Аноним (??) on 02-Фев-13, 19:06 
Mozilla хороший пинок под зад дал Oracle,
Отключение Java в браузере обезапасит от FBI бэкдоров
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

26. "Критическое обновление Java SE с устранением 50 уязвимостей"  +/
Сообщение от Имя on 02-Фев-13, 23:38 
>  Mozilla хороший пинок под зад дал Oracle,

Хотел бы согласиться, но яббл тоже пнул.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

28. "Критическое обновление Java SE с устранением 50 уязвимостей"  +1 +/
Сообщение от Аноним (??) on 03-Фев-13, 00:08 
а пнуть лежачий мелкософт? это же святое
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

20. "Критическое обновление Java SE с устранением 50 уязвимостей"  +1 +/
Сообщение от iFRAME (ok) on 02-Фев-13, 20:23 
>Отключение Java в браузере обезапасит от FBI бэкдоров

От FBI бекдоров не обезопасит ничто.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Критическое обновление Java SE с устранением 50 уязвимостей"  +/
Сообщение от Аноним (??) on 03-Фев-13, 00:30 
> с устранением 50 уязвимостей

Оракл - это масштабно, энтерпрайзно.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Критическое обновление Java SE с устранением 50 уязвимостей"  +/
Сообщение от Аноним (??) on 03-Фев-13, 01:16 
Fail Enterprise
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

33. "Критическое обновление Java SE с устранением 50 уязвимостей"  +/
Сообщение от AnonuS on 03-Фев-13, 01:46 
Блин, тока вчерась до "Java SE 6 Update 38" обновился, теперь опять...

Интересно чем ответит на это Адам?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "Критическое обновление Java SE с устранением 50 уязвимостей"  +/
Сообщение от Odity on 04-Фев-13, 08:47 
Вот долбаебская политика по выпуску заплаток - все по графику. пусчай хоть что то поработает.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру