Veiligheidsupdates voor Sun Java JRE

[Pjotr]

Goed dat je het meldt, Johan. Dit is belangrijk om in de gaten te houden.

[testcees]

https://bugs.launchpad.net/ubuntu/+source/sun-java6/+bug/409559

[Johan van Dijk]

Ik heb de bug geconfirmed.

[Pjotr]

Ik heb "this bug doesn't affect me" veranderd in "this bug affects me too".

Trouwens een verwarrende methode om een foutmelding zonder commentaar te ondersteunen... Daar kunnen ze wel eens een duidelijkere knop van maken.

[testcees]

http://www.waarschuwingsdienst.nl/render.html?it=1976

[Pjotr]

Update 15 van Sun Java JRE 1.6 vandaag binnengekregen in openSUSE 11.1. Via de centrale automatische update-functie in YaST: uit de pakketbronnen dus.

In Ubuntu: nog niets....

[Pjotr]

Nog steeds niks in Multiverse:
http://nl.archive.ubuntu.com/ubuntu/pool/multiverse/s/sun-java6/

Inmiddels is er ook al een draadje over op het Engelstalige Ubuntuforum:
http://ubuntuforums.org/showthread.php?t=1235730

[Vistaus]

Update 15 van Sun Java JRE 1.6 vandaag binnengekregen in openSUSE 11.1. Via de centrale automatische update-functie in YaST: uit de pakketbronnen dus.

In Ubuntu: nog niets....

Inderdaad.

Trouwens, even Offtopic maar heb jij ook problemen met die ene pakketbron op openSUSE? Die waar Sun Java in zit? Want ik heb nu al meer dan een week dat ie zegt dat ie geen dingen van die pakketbron kan downloaden. Daardoor installeert ie ook die Sun Java update niet. Voorheen deed die pakketbron het keurig.

[Pjotr]

Trouwens, even Offtopic maar heb jij ook problemen met die ene pakketbron op openSUSE? Die waar Sun Java in zit? Want ik heb nu al meer dan een week dat ie zegt dat ie geen dingen van die pakketbron kan downloaden. Daardoor installeert ie ook die Sun Java update niet. Voorheen deed die pakketbron het keurig.

Had ik ook. Kies vaste spiegelservers:
http://sites.google.com/site/computertip/opensuse
(punt 5)

Je kunt gewoon de Akense servers van de voorbeelden pakken, die werken prima.

Terzake: het is verontrustend, vast te stellen dat we in Ubuntu weer eens achterlopen met veiligheidsupdates voor Sun Java JRE. Ze moeten daar verdorie bovenop zitten, zowat iedere thuisgebruiker heeft dat pakket immers.

Ze moeten goed voor de veiligheid van hun gebruikers zorgen; als een pakket wijdverbreid is, dan moeten veiligheidsupdates snel komen. Ook al zit het in Multiverse.

[testcees]

Het toevoegen van CVE-nummers in launchpad kan helpen?

[Johan van Dijk]

Bij bijna alle security updates zie je in de changelog wel de CVE-nummers genoemd. Ik denk dus dat het zeker wel handig/noodzakelijk is. Het kan zeker geen kwaad en misschien versnelt het het proces zelfs.

[testcees]

Dat denk ik ook maar voor de duidelijkheid: ik weet de nummers niet.

Het bulletin van Sun vermeld geen CVE nummers.

[testcees]

Offtopic - Het kan wel snel: vandaag (11 augustus) kreeg ik een update van openjdk-6. Als je kijkt op https://launchpad.net/ubuntu/+source/openjdk-6/ zie je de CVE nummers die zijn opgelost. Bijvoorbeeld CVE-2009-2690, registratiedatum 10 augustus. Maar openjdk is geen sun jdk.

[Pjotr]

Het zit inmiddels in Multiverse, voor Karmic. Tijd voor een simpele noodmaatregel voor Hardy, Intrepid en Jaunty:
http://sites.google.com/site/computertip/java

Pas het zeker toe: belangrijke veiligheidskwestie!

[Vistaus]

Gelijk even toegepast, dank Pjotr

Nu maar hopen dat ze het ook snel in de updates gooien voor Hardy, Intrepid en Jaunty...

[Pjotr]

Het zit inmiddels in Multiverse, voor Karmic. Tijd voor een simpele noodmaatregel voor Hardy, Intrepid en Jaunty:
http://sites.google.com/site/computertip/java

Pas het zeker toe: belangrijke veiligheidskwestie!

--duwtje omhoog--

Allemaal doen, mensen! Het is namelijk nog maar de vraag of, en zo ja wanneer, deze zeer belangrijke update in Hardy, Intrepid en Jaunty beschikbaar komt via de normale updates (helaas!).

[Roel1963]

Allemaal doen, mensen! Het is namelijk nog maar de vraag of, en zo ja wanneer, deze zeer belangrijke update in Hardy, Intrepid en Jaunty beschikbaar komt via de normale updates (helaas!).

Done!

Met de juiste links is dit een actie van nog geen 2 minuten

[DarkEra]

Over openJDK kan ik wel wat vinden en dat betreft alleen ubuntu 8.10 en 9.04:

http://www.ubuntu.com/usn

http://www.ubuntu.com/usn/usn-814-1

En als er echt een belangrijk veiligheids risico in Sun Java zit dan hadden ze het via een update al lang gefixt.

[Roel1963]

En als er echt een belangrijk veiligheids risico in Sun Java zit dan hadden ze het via een update al lang gefixt.

Is dat zo? Een paar postings hierboven:

Update 15 van Sun Java JRE 1.6 vandaag binnengekregen in openSUSE 11.1. Via de centrale automatische update-functie in YaST: uit de pakketbronnen dus.

In Ubuntu: nog niets....

Waarom SUSE dan wel, zou je zeggen?

[Tom]

Het nadeel van te vele Distro´s te onderhouden in Ubuntu. 8.04 - 8.10 - 9.04 - okt de 9.10 na ja kan zo doorgaan.
Oke sommige vallen weg maar dan zijn er weer nieuwe.

[welrob]

Het zit inmiddels in Multiverse, voor Karmic. Tijd voor een simpele noodmaatregel voor Hardy, Intrepid en Jaunty:
http://sites.google.com/site/computertip/java

Pas het zeker toe: belangrijke veiligheidskwestie!

En gedaan, en bedankt Pjotr voor deze weer grand oplossing.

[Ploffie]

Ook weer geregeld, bedankt Pjotr.

[Pjotr]

En als er echt een belangrijk veiligheids risico in Sun Java zit dan hadden ze het via een update al lang gefixt.

Niet, dus:
http://java.sun.com/javase/6/webnotes/6u15.html
Let op de enorme waslijst aan gerepareerde kwetsbaarheden (vulnerabilities) in de lijst met Bug Fixes (onderaan de pagina).

Normaal gesproken is Ubuntu behoorlijk vlug met veiligheidsupdates voor pakketten. Sun Java JRE is echter wat dat betreft een vervelende uitzondering. Telkens weer.

Kortom: beslist toepassen die noodmaatregel:
http://sites.google.com/site/computertip/java

[testcees]

Update 16 is nu ook uitgekomen: http://java.sun.com/javase/6/webnotes/6u16.html

In update 16 zijn echter GEEN nieuwe beveiligingsissues opgelost, update 15 is voldoende voor een veilig systeem.

Helaas wachten we nog op update 15 vanuit de pakketbron (voor andere versies dan Karmic).
Het melden van CVE-nummers in Launchpad lijkt niet nodig. Deze bij de pakketbeheerder bekend blijkt uit de omschrijving van de Karmic versie:

Release notes at http://java.sun.com/javase/6/webnotes/6u15.html
Addresses CVE-2009-0217, CVE-2009-2475, CVE-2009-2476, CVE-2009-2625, CVE-2009-2670, CVE-2009-2671, CVE-2009-2672, CVE-2009-2673, CVE-2009-2674, CVE-2009-2675, CVE-2009-2676, CVE-2009-2690.

[Johan van Dijk]

Hoeveel moeite is het om ook voor de andere versies van Ubuntu een update te bakken?
Beetje jammer dat er nu alleen voor Karmic een update is.