Обновление Java SE, MySQL, VirtualBox и других продуктов Oracle с устранением уязвимостей

18.10.2018 12:06

Компания Oracle опубликовала плановый выпуск обновлений своих продуктов (Critical Patch Update), нацеленный на устранение критических проблем и уязвимостей. В октябрьском обновлении в сумме устранена 301 уязвимость.

В выпусках Java SE 11.0.1 и 8u191 устранено 12 проблем с безопасностью. Все уязвимости могут быть эксплуатированы удалённо без проведения аутентификации. Трём уязвимостям присвоен уровень опасности 8.3. Одна из проблем (CVE-2018-3183) имеет CVSS Score 9, что соответствует критическому уровню опасности. Указанная уязвимость затрагивает компонент JRockit (модуль Scripting) и позволяет неаутентифицированному пользователю по сети скомпрометировать приложения на Java SE, Java SE Embedded, JRockit.

Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе:

34 уязвимости в MySQL (максимальный уровень опасности 8.8). Наиболее опасная проблема (CVE-2016-9843) затрагивает используемую в InnoDB библиотеку zlib и может привести к некоррекной проверке контрольных сумм; Проблемы устранены в выпусках MySQL Community Server 8.0.12, 5.7.23, 5.6.41 и 5.5.66.
14 уязвимостей в VirtualBox, из которых 13 имеют критическую степень опасности (CVSS Score 8.6+). Уязвимости устранены в обновлении VirtualBox 5.2.20 (в примечании к релизу факт устранения проблем с безопасностью не был афиширован). Наиболее опасная проблема c CVSS Score 9.0 затрагивает реализацию протокола VRDP.
17 проблем в Solaris (максимальная степень опасности 8.1) - проблемы в RAD (Remote Administration Daemon), ядре, LibKMIP, Zones, Sudo, LFTP, RPC, SMB Server и Verified Boot. Проблемы устранены в выпуске Solaris 11.4 SRU2, в котором также обновлены версии пакетов nghttp2 1.32.0, unixodbc 2.3.6 и PHP 7.1.21.

исправить +7 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/49456-java

Ключевые слова: java, oracle, solaris

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (19)

1.1, Zenitur (ok), 12:28, 18/10/2018 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
А чем Java отличается от Java SE?

2.2, Аноним (2), 12:34, 18/10/2018 [^] [^^] [^^^] [ответить]	–1 +/–
Уровнем понтов.

2.15, Аноним (15), 13:28, 19/10/2018 [^] [^^] [^^^] [ответить]	+/–
Java это только виртуалка. То есть запускалка для java. Java SE это еще и инструменты для разработки (например javac и т.п.), которых нету в Java. Обычно тащут jdk из Java SE. В обычной Java смысла не очень много. Разве что для пользователей.

1.3, както так (?), 12:36, 18/10/2018 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Java SE Java < Java EE

1.4, нах (?), 14:54, 18/10/2018 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
кстати, прекрасная новость: https://www.java.com/en/download/release_notice.jsp - взбесившееся земноводное, покусавшее монгу и пожравшее редис, добралось и до своего тёзки. правда, в свете "openjdk ваш новый стандарт", уже не жалко.

2.5, Andrey Mitrofanov (?), 15:03, 18/10/2018 [^] [^^] [^^^] [ответить]	+3 +/–
>взбесившееся земноводное, покусавшее монгу и пожравшее редис, добралось и до > своего тёзки. Ты как будто первый раз слышишь слово "Оракле".

2.12, Michael Shigorin (ok), 00:25, 19/10/2018 [^] [^^] [^^^] [ответить]	+/–
А вот, между прочим, вариант: https://www.bell-sw.com/java.html Это разогнанный полтора года назад ораклом питерский офис разработки java, в котором были и люди, знавшие её потроха лучше Гослинга.

3.13, Аноним (13), 09:32, 19/10/2018 [^] [^^] [^^^] [ответить]	+/–
со слов тех кто там работал - там все же занимались ME/SE, а не EE.

4.14, нах (?), 12:05, 19/10/2018 [^] [^^] [^^^] [ответить]

+1 +/–

так SE теперь тоже нельзя кроме как в домашне-экспериментальных целях.

видимо, топтопам орацла стало не хватать на очередную яхту в кредит.

1.6, Аноним (6), 16:36, 18/10/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Может кто-нибудь объяснить, почему они выпускают такие обновления пачкой? Они фиксят и держат в секрете нераскрытые уязвимости некоторое время, а потом разом публикуют всё? Зачем? Почему бы не публиковать апдейты чаще?

2.7, Andrey Mitrofanov (?), 16:39, 18/10/2018 [^] [^^] [^^^] [ответить]

+/–

> Может кто-нибудь объяснить, почему они выпускают такие обновления пачкой? Они фиксят и
> держат в секрете нераскрытые уязвимости некоторое время, а потом разом публикуют
> всё? Зачем? Почему бы не публиковать апдейты чаще?

Экономят на новостях и эдектронах.

Плановое капиталистическое производство.

Они ещё не научились писать новости об исправлениях пож бравурные марши и тосты типа "как замечательно всё фиксится! будем".

....

2.8, нах (?), 16:44, 18/10/2018 [^] [^^] [^^^] [ответить]

+5 +/–

> Может кто-нибудь объяснить, почему они выпускают такие обновления пачкой?

потому что у их платных пользователей под них подогнаны окна обслуживания, а апдейтиться посередине какой-нибудь биржевой сессии они не могут себе позволить, даже если там вообще remote root пробивающий все файрволы и фильтры.

такая жерня, кговавый ентер-прайс.

3.9, Аноним (6), 17:09, 18/10/2018 [^] [^^] [^^^] [ответить]	+/–
> потому что у их платных пользователей под них подогнаны окна обслуживания Я правильно понимаю, что до момента публикации даже такие проекты, как openjdk или всякие дистрибутивы вроде дебиана и рхела не в курсе про всё это и вынуждены подстраиваться под эти "окна", хотя никак не связаны с интерпрайзными клиентами проприетарного oraclejdk?

4.10, нах (?), 17:34, 18/10/2018 [^] [^^] [^^^] [ответить]

+2 +/–

> Я правильно понимаю, что до момента публикации даже такие проекты, как openjdk или всякие
> дистрибутивы вроде дебиана и рхела не в курсе

насколько я понимаю, да, разьве что у них есть какие-то специальные каналы обмена этой информацией, недоступные даже платным клиентам. Но им никто не мешает находить и исправлять ошибки самостоятельно, это опенсорс. Или просто копипастить каждую новую версию - это вот тоже...опенсорс такой.

забавно что вот заговор молчания вокруг продуктов isc вас не напрягает (а, ну да, редхат же в доле, естественно).

4.11, Аноним (11), 17:36, 18/10/2018 [^] [^^] [^^^] [ответить]	+/–
Да, вы правильно понимаете, но ситуация немного другая... Оракл - это всего-лишь часть разработчиков ( хоть и большая ), и кто-то может фиксануть раньше...

2.16, Аноним (15), 13:33, 19/10/2018 [^] [^^] [^^^] [ответить]	+/–
Чаще не значит качественее. Вы сравните предыдущую 7 ветку, там обновлений на порядок меньше было. А тут уже 192 нагенерили, а толку? Одно фиксят другое ломают. Поэтому лучше всего использовать минимум функциональности, а остальное использовать из библиотек проверенных временем.

3.17, лютый лютик__ (?), 06:24, 22/10/2018 [^] [^^] [^^^] [ответить]

+/–

Ну, вообще-то это номер билда, а не количество патчей.

"другое ломают"

Ну всё, пора срочно валить... огласите список вкудавалить.

3.18, лютый джо__ (?), 06:25, 22/10/2018 [^] [^^] [^^^] [ответить]

+/–

Ну, вообще-то это номер билда, а не количество патчей.

"другое ломают"

Ну всё, пора срочно валить... огласите список вкудавалить.

1.19, bagas (ok), 12:41, 22/10/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
MySQL Community Server 5.5.62! 5,5,66 я не вижу на офф. сайте мускула.

Добавить комментарий

Текст: