Показать сообщение отдельно

Re: IT-безопасность-свежие новости.
Старый 23.04.2016, 08:47   #1029
☭☭☭☭☭
 
Аватар для kroxus

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 10 220

kroxus на форуме

IT-безопасность-свежие новости.


Апрельские патчи от Oracle: закрыто 136 брешей

В минувший вторник Oracle выпустила очередной набор патчей, устраняющий 136 уязвимостей в 46 разных продуктах. Более половины этих брешей допускают удаленный эксплойт без аутентификации.

Пропатчено множество продуктов, в том числе Database Server, E-Business Suite, Fusion Middleware, линейка Sun Products, платформа Java SE и СУБД MySQL. Апрельский выпуск Oracle — уже второй в текущем году; по объему он вполне соответствует прочим квартальным наборам, хотя сильно уступает предыдущему: в январе Oracle установила рекорд, залатав сразу 248 брешей.

Семь из ныне закрываемых уязвимостей, присутствующих в Java SE, Java SE Embedded, JRockit, ОС Solaris и MySQL Server, оценены в 10,0 балла по прежней системе — CVSS v.2.0. Компания предупреждает, что все эти уязвимости допускают удаленный эксплойт без аутентификации, то есть злоумышленнику не требуются логин и пароль для проведения атаки.

Наибольшее количество заплаток получила MySQL — 31; четыре из них можно эксплуатировать удаленно. В Fusion Middleware исправлено 22 бага, из которых 21 допускает удаленный эксплойт.

В целях более точной оценки степени риска Oracle перешла на новейшую версию CVSS — 3.0, которую она планирует применять и в дальнейшем. В соответствии с новой системой индексации ни одна из ныне закрываемых уязвимостей не получила 10 баллов. Уязвимости в Solaris и MySQL по новой шкале получили оценку 9,8, в Java SE — 9,6 и 9,0.

По мнению некоторых ИБ-экспертов Oracle, переход на CVSS v.3.0, систему оценки уязвимостей, введенную в июне 2015 года после трех лет разработки, является прогрессивным шагом. Это отметил и Александр Поляков, технический директор калифорнийской компании ERPScan, помогающей организациям укреплять безопасность систем планирования бизнес-ресурсов (ERP) производства Oracle.

«Меня радуют изменения в системе оценки уязвимостей, так как прежняя, CVSS v.2.0, вызывала много нареканий, — заявил Поляков журналистам Threatpost. — Так, например, из-за несовершенства этой системы вендор может оценить (умышленно или невольно) проблемы в своих продуктах как не очень критические. После обновления система оценки стала более точной, многие недостатки, присущие прежней версии, были устранены».

Поляков также отметил, что в марте на CVSS v.3.0 переключился другой вендор ERP-продуктов — компания SAP.

Помимо апрельских патчей Oracle призывает пользователей непременно установить мартовскую, внеочередную заплатку для Java SE. В отличие от неполноценного патча, выпущенного в 2013 году, она полностью закрывает брешь, позволяющую удаленно исполнить код в обход песочницы.

Еще одна уязвимость примерно той же давности, в IBM-реализации Java SDK, пока остается открытой в версиях 7 и 8. Выпущенный IBM патч оказался несовершенным, и компания пообещала в скором времени исправить эту проблему.

Еще один продукт, безопасность которого давно вызывает множество нареканий, — браузерный Java-плагин — Oracle пообещала упразднить еще в январе. Согласно планам компании, этот плагин будет изъят из JDK в сентябре, из JRE — с выходом очередного релиза Java SE.

подробности
__________________
пусть всегда будет солнце
  Ответить с цитированием
 
Яндекс.Метрика