Oracle обновляет свои продукты и устраняет в них уязвимости


OracleКомпания Oracle выпустила плановые обновления безопасности для своих продуктов. Так, в выпусках Java SE 8u45 и 7u79/80, в общей сложности устранено 14 проблем с безопасностью.

Выпуски Java SE 7u79 и 7u80 вышли одновременно и отличаются друг от друга не только устранением уязвимостей, но и исправлением ошибок, не связанных с безопасностью. Примечательно, но это последние публично доступные обновления для ветки Java SE 7. Теперь пользователям необходимо либо перейти на Java 8 либо оформить расширенную поддержку.

Все 14 уязвимостей в Java могут быть эксплуатированы злоумышленником удаленно без проведения аутентификации. При этом:

  • три уязвимости - CVE-2015-0469, CVE-2015-0459, CVE-2015-0491 - получили максимальный уровень опасности (CVSS Score 10.0). Такой уровень подразумевает возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента;
  • еще двум уязвимостям присвоен средний уровень опасности (CVSS Score 9.3). Он подразумевает возможность успешной атаки на клиентские системы.
  • другие три проблемы, максимальная степень опасности которых 5.0 - затрагивают клиентские и серверные системы.


Изменения, не связанные с уязвимостями - прекращение возможности использования внутри jar-файлов полных путей (путей, начинающихся с "/") и косвенных переходов (".." в пути). При необходимости использования подобных путей следует явно указывать опцию "-P".

Кроме проблем в Java SE, уязвимости также были устранены и в других продуктах Oracle. Так, например, в:

  • Solaris - 5 уязвимостей - для локальных проблем с ZFS и с командами аккунтинга указана степень опасности 7.2, уязвимости в Kernel IDMap присвоен уровень 7.1, но она может быть эксплуатирована по сети;
  • VirtualBox - 2 уязвимости (максимальная степень опасности 4.3);
  • MySQL - 24 уязвимости (максимальная степень опасности 5.7).

Обновлено (15.04.2015 15:58)