Alarm over kritiek Java-lek op Windows, Mac en Linux

[RikRik]

asphyxia, bedankt voor je reactie. ik heb twee maanden geleden fresh install gedaan maar nooit Java geïnstalleerd. Ook in  Synaptic geen geïnstalleerde java te vinden, blijkbaar heb ik (wij) helemaal geen java nodig   

[asphyxia]

Het lek wordt al uitbundig toegepast: http://webwereld.nl/nieuws/111603/massale-nederlandse-trojaninfecties-door-java-lek.html
Genoemd IP-adres hoort bij een server op de Seychellen, met een Russisch contact. Je verwacht het niet.

Ik heb gisteren maar een trits waarschuwingsmails verstuurd naar familie en kennissen... 

[Vistaus]

Als je Ubuntu restricted extra's installeer,heb je dan niet automatisch ook java geïnstalleerd?
Ubuntu restricted extras
Commonly used applications with restricted copyright (mp3, avi, mpeg, TrueType, Java, Flash, Codecs)

Ik denk dat dit een spraakverwarring is.
Waar het om gaat, is openJDK en de icedtea-7-plugin. Die staan niet geinstalleerd als je ubuntu-restricted-extras hebt, en moet je apart erbij installeren.

Nu heb ik enkele weken geleden  een fresh install gedaan, en heb ik die over het hoofd gezien. Maar ik heb het ook niet nodig gehad, en dat gaat verder zo blijven, vermoed ik.

Dat WAS het geval. Voorheen werd Sun Java via de restricted extras binnengehaald, tegenwoordig haalt het geen Java meer binnen (in sommige gevallen alleen OpenJDK 6 zonder IcedTea).

[Muppet]

hallo,

ik wilde op het forum een vraag stellen over een java lek dat was geconstateerd en kwam deze topic al tegen op dit forum. dat heb ik nu eens door gelezen maar wil toch iets vragen als beginner linux gebruiker;

ik heb nu xubuntu 12.04 op de computer standaard geinstalleerd.

als ik firefox about:plugins type dan zie ik dat er geen addons aanwezig zijn. ik denk dat ik er vanuit mag gaan dat er dus geen java standaard mee geinstalleerd wordt in de firefoxbrowser ? klopt dat ?.......

wel kan ik aanvinken of ik javascript ingeschakeld wil hebben of niet.......kan ik dit nu met een gerust hart ingeschakeld hebben staan of moet ik dit toch ook uitschakelen om veilig te zijn ?......

alvast bedankt voor de reactie

Willlem

[Pjotr]

*Javascript* gerust aanlaten. Niks mee aan de hand.

*Java* wel uitschakelen, indien geïnstalleerd. Java wordt *niet* standaard geïnstalleerd, dus het is heel goed mogelijk dat je die niet eens hebt.

[erik1984]

Ok, gelukkig, dan hoef ik me dus geen zorgen te maken. Nooit geweten dat ik java niet had, blijkbaar heb ik het nooit nodig gehad.

Als je Ubuntu restricted extra's installeer,heb je dan niet automatisch ook java geïnstalleerd?
Ubuntu restricted extras
Commonly used applications with restricted copyright (mp3, avi, mpeg, TrueType, Java, Flash, Codecs)

Dat pakket staat bij mij ook niet geïnstalleerd (blijkbaar wel ubuntu-restricted-addons) maar flash en mp3 werken gewoon ootb. Dan heb ik het over een verse install van 12.04.1.

[Cumulus007]

Je hoeft Java niet uit te schakelen, zo lang je maar OpenJDK 6 gebruikt.

[Muppet]

hallo,

hartelijk dank Pjotr voor de supersnelle reactie.

voel me in elk geval een stuk geruster internetten  door het antwoord.

ik zal deze topic blijven volgen hoe het verder gaat en of het dan ook alleen de Oracle versie betreft of ook de openJDK versies bijv .................

groeten,

Willem

[RikRik]

Je hoeft Java niet uit te schakelen, zo lang je maar OpenJDK 6 gebruikt.

Vraag mij af , wordt OpenJDK 6  ook op beveiligingslekken getest door een Beveiligingsspecialist?

[alcmaer]

Op http://www.gratissoftwaresite.nl/tip-java-plugin-uitschakelen-uitzetten-in-internet-explorer-firefox-safari-opera meldt iemand:
Op Ubuntu gebruik ik de IcedTea-Web Plugin (icedtea-plugin 1.2-2ubuntu1.1).
Op de site http://www.isjavaexploitable.com/ is na te gaan of je een kwetsbare Java-versie hebt. Deze geeft bij ingeschakelde IcedTea de volgende waarschuwing:
"WARNING: Your Java version is exploitable! Java Version 6 Update 50 detected. To secure this system you should disable the browser plugin or uninstall Java."
Schakel ik de plugin uit, dan meldt de site:
"Java plugin was not detected. This indicates that either you don't have Java installed or it isn't enabled in this browser. This browser should be safe from drive-by exploitation via Java."
Elders lees je, dat IcedTea geen gevaar loopt, maar nu twijfel ik en hou hem voorlopig maar uitgeschakeld.

[Muppet]

hallo femke98,

heb de link gebruikt en volgens test geen java op de computer.

bedankt voor de tip

groeten,

willem

[Vistaus]

Je hoeft Java niet uit te schakelen, zo lang je maar OpenJDK 6 gebruikt.

Vraag mij af , wordt OpenJDK 6  ook op beveiligingslekken getest door een Beveiligingsspecialist?

Nee, maar de nieuwe OpenJDK 7 wel.

[Cumulus007]

Je hoeft Java niet uit te schakelen, zo lang je maar OpenJDK 6 gebruikt.

Vraag mij af , wordt OpenJDK 6  ook op beveiligingslekken getest door een Beveiligingsspecialist?

Aangezien het opensource is, duiken er altijd wel fouten op in de code tijdens het programmeren of evalueren door hobbyisten of professionals. Overigens kun je sowieso op veiligheidsupdates rekenen van Canonical, aangezien ze het officieel ondersteunen, i.t.t. OpenJDK 7.

[Dave]

Dus vrienden en familie maar even waarschuwen...

Zou ik zeker doen om maar van die familiale verplichtingen af te raken.
Levert zoveel meer vrije weekenden op.

Verder zijn er maar zeer weinigen die java geïnstalleerd hebben volgens mij.
Enkel de plug-in voor de webbrowser.
Dus wat dat met het systeem zou kunnen doen in Linux?

[Vistaus]

De browser-plugin is affected en daarbij is Icedtea 7 en de browserplugin van Java allebei afhankelijk van Java

[Pjotr]

Oracle heeft vandaag Java 7u7 uitgebracht. Geen uitgavenotities kunnen vinden, maar het betreft waarschijnlijk de noodreparatie....

Ik heb mijn handleidingen direct bijgewerkt:
https://sites.google.com/site/computertip/java

Verder heb ik contact opgenomen met grizzler, over de Duinsoft-pakketbron.

[Vistaus]

Uitgavenotites staan gewoon op de website van Oracle bij het nieuws van Java Runtime Environment: http://www.oracle.com/technetwork/java/javase/7u-relnotes-515228.html

De enige fix die in Update 7 zit is deze: http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-1835715.html

[Pjotr]

Dat is 'm dus. Gelukkig.

Grizzler heeft inmiddels de Duinsoftbron bijgewerkt met 7u7. Snel deze update binnensleuren, dus....

[Vistaus]

Oké, gelukkig dat dat inderdaad de fix is waar we op zaten te wachten (ik kon dat zo gauw niet opmaken uit de CVE dus dank voor de toelichting )

[asphyxia]

Oracle wist al sinds april van dit lek (wat heet, zo diep als de Marianentrog): http://webwereld.nl/nieuws/111616/-oracle-weet-al-maanden-van-kritiek-java-gat-.html .
Ook in het doorsnee nieuws: geen woord. Kijk, wij redden ons wel, maar over de vele mensen die wat minder security-websites lezen maak ik me wat meer zorgen...

[Vistaus]

De meeste van die mensen, asphyxia, lezen WC-eend UHM ik bedoel security.nl

Trouwens webwereld heeft het nog fout ook.
" Die allernieuwste versie van Java is dus kwetsbaar, terwijl de voorgaande versie 6 dat niet is"

Terwijl Oracle zelf zegt:

Affected product releases and versions: Java SE
JDK and JRE 7 Update 6 and before
JDK and JRE 6 Update 34 and before

[Soul-Sing]

ik gebruik openjdk

java version "1.6.0_24"
OpenJDK Runtime Environment (IcedTea6 1.11.3) (6b24-1.11.3-1ubuntu0.12.04.1)
OpenJDK Server VM (build 20.0-b12, mixed mode)

is dit de meest recente?

[Cumulus007]

Niet de meest recente, maar OpenJDK blijkt toch geen gevaar te lopen.

[Joris Donders]

Volgens de post van Vistaus loop je dus wel risico; snel updaten Leoquant.

[Soul-Sing]

openjdk gaat toch via de reguliere updates? waarom heb ik zo'n oude versie van openjdk?
vanmorgen had ik nog een icetea update.
verder, wanneer ik openjdk6 verwijder via synaptic, installeert automagisch openjdk7....bizar gedoe.