OpenJDK: hoe veilig is de huidige versie?

[Pjotr]

In de pakketbronnen van Ubuntu 10.04 zit versie 6b18 van OpenJDK. Maar bovenstrooms (OpenJDK-project) zitten ze al maanden op 6b20. Is 6b18 nog wel veilig?

Ik heb me rotgezocht op de webstekken van Oracle en van het OpenJDK-project, maar ik kon er niks over vinden.

Blindelings vertrouwen op de veiligheid van dit pakket doe ik niet, want ik heb slechte ervaringen met "broertje" JRE. JRE werd destijds uitermate beroerd bijgehouden. En OpenJDK valt onder dezelfde verantwoordelijke persoon bij Canonical.

[Pjotr]

Even ter vergelijking: "gesloten broertje" JRE zit bovenstrooms op versie 21. In de partner-pakketbron van Ubuntu zit versie 20 van JRE. Versie 20 is veilig, want versie 21 bevat geen veiligheidsreparaties.

De vergelijking met "broertje" JRE is relevant, omdat OpenJDK daar veel code mee deelt en meestal min of meer gelijkloopt met z'n versienummers (bovenstrooms nu al bijna drie maanden: versie 20).

Eerlijk gezegd begin ik me af te vragen, of we op dit moment niet veiliger af zijn met JRE....

[Soul-Sing]

allebei apl. met heeeel veel code (jre en openjdk), ik denk dat je bevindingen/vermoedens wel weer eens waar kunnen zijn, maandenlang geen updates  voor openjdk lijkt mij welhaast onmogelijk....
echter: http://www.ubuntu.com/usn/usn-971-1 suggereert recente updates

[Pjotr]

http://www.ubuntu.com/usn/usn-971-1 suggereert recente updates

Nuttige verwijzing, dank je...  

Dit geeft inderdaad wat meer vertrouwen. Maar toch vertrouw ik het nog niet helemaal. De pakketbeheerder van OpenJDK, Matthias Klose, is berucht om z'n nalatigheid (over de veiligheidsgaten in JRE, waar hij ook pakketbeheerder van was, heb ik destijds flink met 'm overhoop gelegen).

Veiligheidshalve ben ik daarom tijdelijk overgeschakeld naar JRE. Versie 20 uit de partner-pakketbron, want die is veilig (de bovenstroomse versie 21 bevat, zoals gezegd, geen veiligheidsreparaties t.o.v. versie 20).

Toevoeging:
Voor de mensen die meelezen en willen weten hoe je kunt overschakelen van OpenJDK naar JRE: http://sites.google.com/site/computertip/java#TOC-INSTALLEREN-VIA-DE-PARTNER-PAKKETBR

[testcees]

Wat heeft een versie nummer te maken met veiligheid? Scorebord journalistiek.

Veiligheidsproblemen in OpenJDK inclusief de icedtea-plugin worden juist goed onderhouden. Kom eens met feiten (CVE-nummers of iets dergelijks) die het tegendeel aantonen.

De Ubuntu security notices waarnaar wordt verwezen geeft aan dat er een update is geweest van icedtea-plugin. Prima in orde dus.

[testcees]

De pakketbeheerder van OpenJDK, Matthias Klose, is berucht om z'n nalatigheid (over de veiligheidsgaten in JRE, waar hij ook pakketbeheerder van was, heb ik destijds flink met 'm overhoop gelegen).

Erg flauw om hier af te geven op een pakketbeheerder. Op de man spelen wordt niet gewaardeerd.
Wie gaat er nu ruzie maken met/over een pakketbeheerder? Wat wil je hiermee bereiken?

[Tom]

Open JDK update gehad 16 aug 2010.
Is dus niet zolang geleden.

[Vistaus]

OpenJDK is wel veilig. De huidige versie 18 wordt gewoon gepatched, dus de fixes van nieuwe updates worden toegepast op de versie 18. Daarmee krijgt de versie dus geen bump, maar de fixes worden wel toegepast.

[nomko]

Geen enkele pakket is 100% veilig. Zodra er een update is om bepaalde bugs te patchen komen er wel weer andere bugs naar boven drijven. En zo blijft het doorgaan. Elke versie heeft wel weer wat. En dat geldt niet allen voor Java of Flash, maar elke programma.

En om hier een hoop herrie en stennis te gaan schoppen, groot lopen doen dat je er met de pakketbeheerder erover hebt liggen te ouwehoeren... Stoer hoor, maar wie help je ermee? Ik lees een hoop blabla en groot praat, maar geen feiten of links naar sites waarop meer facts staat. Zal best wel ergens een beetje waarheid inzitten, maar op deze manier zoals het nu gepresenteerd wordt valt het gewoon ondder de categorie: hoog van de toren blazen.

[Pjotr]

Rustig, testcees en nomko, rustig.... Haal eens diep adem. Geen reden voor opwinding. En al zeker niet voor gekrijs.

Ik laat me graag overtuigen dat alles in orde in met OpenJDK 6b18. Maar ik heb slechte ervaringen gehad met de pakketbeheerder, Matthias Klose. Daarom vertrouw ik diens inzet niet helemaal. "Geen nieuws = goed nieuws" overtuigt me in dit geval dus niet. Vandaar ook dat de titel van dit draadje eindigt met een vraagteken.

Ik heb me me suf gezocht naar uitgiftenotities voor OpenJDK 6b19 en 6b20, om te zien of daarin veiligheidsgaten zijn gedicht. Ik heb helaas geen uitgiftenotities kunnen vinden. Hopelijk lukt dat anderen wel.

Tot slot: het verbod om in dit forum "op de man te spelen" moet je niet onnodig oprekken, vind ik. Dat verbod betreft leden van dit forum onderling, en niet de hele wereld daarbuiten. Dat is althans mijn opvatting.

[Vistaus]

In versie 19 en 20 zijn veiligheidsgaten gedicht, in versie 21 niet. OpenJDK 18 in de repo's is gepatched met de security fixes van 19 en 20.

[Pjotr]

In versie 19 en 20 zijn veiligheidsgaten gedicht, in versie 21 niet. OpenJDK 18 in de repo's is gepatched met de security fixes van 19 en 20.

OpenJDK staat bovenstrooms op versie 20, alleen JRE heeft bovenstrooms versie 21. Voor het overige: kun je dat onderbouwen, of veronderstel je het? Zoals gezegd: ik laat me graag overtuigen, maar dan wel onderbouwd. Vooralsnog heb ik m'n twijfels....

Concreet zou ik graag de uitgiftenotities (als die er zijn, ik heb ze niet kunnen vinden!) van OpenJDK 6b19 en 6b20 willen vergelijken met de notities omtrent de laatste bijwerking van 6b18 door Ubuntu.

[testcees]

leden van dit forum onderling,

Ubuntu is veel meer dan dit forum.

Vooralsnog heb ik m'n twijfels....

Nou ik niet:
https://wiki.ubuntu.com/LucidLynx/ReleaseNotes/nl#Sun Java verplaatst naar de Partner pakketbron

Het advies is om OpenJDK te gebruiken, die wordt door Canonical van veiligheidsupdates voorzien. Dat staat los van het versienummer (en andere functionele wijzigingen). Dat is hoe Ubuntu werkt: een nieuwe versie komt in een volgend release (en de nieuwste versies kan je zelf installeren).

[Johan van Dijk]

OpenJDK wordt wel trouw bijgehouden, zie bijv. hier: https://wiki.ubuntu.com/StableReleaseUpdates
(Kopje Special Cases, en natuurlijk sun-java*)
Dat er in het verleden niet direct een update uitkwam voor sun-java kwam omdat dat pakket in multiverse zat (nu in partner).
Juist door onze inspanningen is dat toen veranderd, eerst werd er een uitzondering gemaakt voor sun-java*, vervolgens werd het pakket verplaatst naar de partner repo.

[nomko]

In versie 19 en 20 zijn veiligheidsgaten gedicht, in versie 21 niet. OpenJDK 18 in de repo's is gepatched met de security fixes van 19 en 20.

OpenJDK staat bovenstrooms op versie 20, alleen JRE heeft bovenstrooms versie 21. Voor het overige: kun je dat onderbouwen, of veronderstel je het? Zoals gezegd: ik laat me graag overtuigen, maar dan wel onderbouwd. Vooralsnog heb ik m'n twijfels....

En je eigen postings hier zijn totaal niet onderbouwd. En nu is het wel een vereiste van anderen?? Beetje raar....

Concreet zou ik graag de uitgiftenotities (als die er zijn, ik heb ze niet kunnen vinden!) van OpenJDK 6b19 en 6b20 willen vergelijken met de notities omtrent de laatste bijwerking van 6b18 door Ubuntu.

[nomko]

Rustig, testcees en nomko, rustig.... Haal eens diep adem. Geen reden voor opwinding. En al zeker niet voor gekrijs.

Ik laat me graag overtuigen dat alles in orde in met OpenJDK 6b18. Maar ik heb slechte ervaringen gehad met de pakketbeheerder, Matthias Klose. Daarom vertrouw ik diens inzet niet helemaal. "Geen nieuws = goed nieuws" overtuigt me in dit geval dus niet. Vandaar ook dat de titel van dit draadje eindigt met een vraagteken.

Ik heb me me suf gezocht naar uitgiftenotities voor OpenJDK 6b19 en 6b20, om te zien of daarin veiligheidsgaten zijn gedicht. Ik heb helaas geen uitgiftenotities kunnen vinden. Hopelijk lukt dat anderen wel.

Tot slot: het verbod om in dit forum "op de man te spelen" moet je niet onnodig oprekken, vind ik. Dat verbod betreft leden van dit forum onderling, en niet de hele wereld daarbuiten. Dat is althans mijn opvatting.

Dan weet je het voor de volgende keer: eerst met facts and figures aan komen zetten ipv. hier van alles te gaan plaatsen zonder onderbouwing.

[Johan van Dijk]

Hier in ieder geval de changelogs voor het openjdk pakket in Lucid: https://launchpad.net/ubuntu/lucid/+source/openjdk-6/+changelog
Wie een beetje speelt met de URL kan zo ook heel makkelijk de versie voor Maverick vinden.

[Vistaus]

In versie 19 en 20 zijn veiligheidsgaten gedicht, in versie 21 niet. OpenJDK 18 in de repo's is gepatched met de security fixes van 19 en 20.

OpenJDK staat bovenstrooms op versie 20, alleen JRE heeft bovenstrooms versie 21. Voor het overige: kun je dat onderbouwen, of veronderstel je het? Zoals gezegd: ik laat me graag overtuigen, maar dan wel onderbouwd. Vooralsnog heb ik m'n twijfels....

Concreet zou ik graag de uitgiftenotities (als die er zijn, ik heb ze niet kunnen vinden!) van OpenJDK 6b19 en 6b20 willen vergelijken met de notities omtrent de laatste bijwerking van 6b18 door Ubuntu.

Kwestie van de changelogs bij updates lezen