Обновление Java SE (7u76, 8u31), MySQL и других продуктов Oracle с устранением уязвимостей
Компания Oracle представила плановый выпуск обновлений своих продуктов с устранением уязвимостей. В выпусках Java SE 8u31 и 7u75/76 (номер версии присвоен в соответствии с новой схемой нумерации выпусков) устранено 19 проблем с безопасностью. Выпуск Java SE 7u76 вышел одновременно с 7u75 и отличается не только устранением уязвимостей, но и исправлением ошибок, не связанных с безопасностью. Одновременно сообщается о скором прекращении выпуска публично доступных обновлений для ветки Java SE 7 — последнее обновление выйдет в апреле. Для пользователей Java SE 7 у которых включена функция автоматической установки обновлений, после установки январского выпуска будет осуществлена миграция на Oracle JRE 8. В новых выпусках Java SE отключена поддержка протокола SSL v3.0, который теперь не может считаться безопасным. Что касается исправленных в Java SE 7u75 и 8u31 уязвимостей, то 14 из них могут быть эксплуатированы удалённо без проведения аутентификации. 4 уязвимостям (CVE-2014–6601, CVE-2015–0412, CVE-2014–6549, CVE-2015–0408) присвоен максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента. 3 проблемам присвоен уровень 9.3, который подразумевает возможность успешной атаки на клиентские системы, но сложность эксплуатации оценивается как средняя. 2 проблемы, максимальная степень опасности которых 5.4, затрагивают не только клиентские, но и серверные системы.
Кроме проблем в Java SE, наличие уязвимостей обнародовано и в других продуктах Oracle, в том числе сообщается о 17 уязвимостях в Solaris (максимальная степень опасности 7.2), 8 уязвимостях в VirtualBox (максимальная степень опасности 6.8) и 9 уязвимостях в MySQL (максимальная степень опасности 7.5). Уязвимости уже молча исправлены в ранее опубликованном обновлении VirtualBox. Для MySQL Community Server обновление пока ограничивается выпуском 5.6.22, доступным с 1 декабря (проявляются ли в нём уязвимости неизвестно).
© OpenNet