Java updaten

[Soul-Sing]

Het is ook onzin dat de oudere versies in Ubuntu onveiliger zijn. Veiligheidsgaten worden gewoon gedicht hoor!
Dat wordt vaak alleen niet op de standaardmanier gedaan (installeer nieuwe versie), maar door de bugs zelf te corrigeren.
Zo kan een lek in (ik noem maar wat) versie 9 opgelost worden door versie 10 te installeren, maar ook door de verbeteringen terug te plaatsen en een versie 9.x te maken. Dat laatste doet Ubuntu over het algemeen.

Ben je het daarmee niet eens, dan kan je dus handmatig versie 10 installeren, maar daarmee ben je wel zelf verantwoordelijk voor toekomstige updates. Als je bij de standaardversies blijft zoals Ubuntu die aanbiedt, dan blijf je wel automatisch veilig.

Hoe kan in gesloten software zoals Sun java (jre) Ubuntu zelf via een omweg (welke dan) gaten repareren?, in Hardy repareert Ubuntu niks omtrent gesloten java, omdat het niet default actief is.
Welke bugfixes heeft Ubuntu dan uitgegeven omtrent Sun java (jre)? Dat zou mij overtuigen. Waarom doen veel andere distro´s wel aan redelijk snelle updates omtrent Sun java? (Bijvoorbeeld Open Suse.)

[Pjotr]

Hoe kan in gesloten software zoals Sun java (jre) Ubuntu zelf via een omweg (welke dan) gaten repareren?, in Hardy repareert Ubuntu niks omtrent gesloten java, omdat het niet default actief is.
Welke bugfixes heeft Ubuntu dan uitgegeven omtrent Sun java (jre)? Dat zou mij overtuigen. Waarom doen veel andere distro´s wel aan redelijk snelle updates omtrent Sun java? (Bijvoorbeeld Open Suse.)

leoquant +1

Ik vind die traagheid van Ubuntu bij Sun Java JRE updates, ook verontrustend. Dat is niet nieuw; het viel me al jaren geleden op. Degene die daarvoor verantwoordelijk is, is niet actief genoeg. Bij mij in huis draaien drie bureaucomputers op Hardy, en dat wil ik graag zo houden tot juli 2010, wanneer 10.04.1 beschikbaar komt. Maar dat moet dan wel veilig kunnen.

Met openSUSE heb ik dezelfde ervaring als leoquant: die sluizen updates van Sun Java JRE wel snel door. Het kan dus wel.

Het pakket zit in Multiverse. De beheerder daarvan is Matthias Klose <doko@ubuntu.com>. Ik denk dat ik hem eens ga benaderen.

[Vistaus]

Ik ben het eens met leoquant en Pjotr.

Ik zal de introtekst wel veranderen, maar NIET als in de 2e gewijzigde versie, maar als in de eerste gewijzigde versie.

[Johan van Dijk]

Het pakket zit in Multiverse. De beheerder daarvan is Matthias Klose <doko@ubuntu.com>. Ik denk dat ik hem eens ga benaderen.

Laat je het resultaat weten?
Ik ben wel benieuwd wat de beheerder ervan zegt.

Het zou een enorme blamage voor Ubuntu of Linux in het algemeen zijn als men echt zo laks is met het doorvoeren van veiligheidsupdates.

[testcees]

Ik zal de introtekst wel veranderen, maar NIET als in de 2e gewijzigde versie, maar als in de eerste gewijzigde versie.

Ik zie je aanpassing. Verander je ook standaard in multiverse pakketbron?

Goed idee van Pjotr om naar de bron van dit verhaal te gaan. Ik ben nieuwsgierig naar het resultaat!

[Vistaus]

Ik zal de introtekst wel veranderen, maar NIET als in de 2e gewijzigde versie, maar als in de eerste gewijzigde versie.

Ik zie je aanpassing. Verander je ook standaard in multiverse pakketbron?

Done!

[Pjotr]

Publieke bespreking heeft vaak het meeste effect, daarom heb ik het eerst maar even op Launchpad gezet:
https://bugs.launchpad.net/ubuntu/+source/sun-java6/+bug/360414

Je mag het daar ondersteunen, als je wil.... Hoe meer mensen erom vragen, hoe eerder ze het doen.  :-)

[Soul-Sing]

Publieke bespreking heeft vaak het meeste effect, daarom heb ik het eerst maar even op Launchpad gezet:
https://bugs.launchpad.net/ubuntu/+source/sun-java6/+bug/360414

Je mag het daar ondersteunen, als je wil.... Hoe meer mensen erom vragen, hoe eerder ze het doen.  :-)

Op confirmed gezet. Er zijn duplicates van de bug, maar dat mag iemand anders uitzoeken....

[Vistaus]

Heb je ook gesteund...

[Johan van Dijk]

Als je even door de bugs bladert, dan zie je dat er al maanden geleden, voor meerdere Ubuntu-versies, dezelfde soort bugs gerapporteerd zijn. Ze zijn allemaal op confirmed gezet, maar ik heb nog geen enkel antwoord van een developer gezien...

Ik denk dat je beter even kan mailen naar degene die verantwoordelijk is voor dat pakket.

[Pjotr]

Als je even door de bugs bladert, dan zie je dat er al maanden geleden, voor meerdere Ubuntu-versies, dezelfde soort bugs gerapporteerd zijn. Ze zijn allemaal op confirmed gezet, maar ik heb nog geen enkel antwoord van een developer gezien...

Ik denk dat je beter even kan mailen naar degene die verantwoordelijk is voor dat pakket.

Zal ik doen. Hopelijk krijg ik dan wel een reactie.... Tot nu toe is de stilte oorverdovend.

Voorlopig heb ik maar even de nieuwste JRE handmatig geïnstalleerd. Heel vervelend dat dit nodig is.

--toevoeging--

Ziehier de tekst van mijn e-mail, die ik zojuist heb verstuurd:

Mr. Matthias Klose,

If I'm correct you're the maintainer of the Sun Java JRE 6 package. In
8.04 Hardy Heron the current minor version is vulnerable because of
serious security gaps. These have been repaired by Sun, in the latest
minor version that Sun has released (6-13-1).

Please make these security repairs available to Hardy users quickly,
through the updates. It's unacceptable that a LTS version has serious
security vulnerabilities in this popular and widely used package.

I have already posted this as a bug on Launchpad, but there's no
reaction from a developer yet.
https://bugs.launchpad.net/ubuntu/+source/sun-java6/+bug/360414

I eagerly await your reaction.

Greeting, Pjotr.

[Pjotr]

Wie niet sterk is, moet slim zijn.... Canonical heeft de nodige debjes allang. Ze zijn alleen (nog?) niet beschikbaar voor Hardy. Ik heb ze gezocht en gevonden in de Jaunty-bronnen.

--toevoeging--
Installeren van de debjes in Hardy lukt niet. Wel in Intrepid?
--einde toevoeging--

Hier kun je de kant-en-klare debjes binnenhalen, voor de makkelijkste manier van installeren:

Sun Java JRE:
http://nl.archive.ubuntu.com/ubuntu/pool/multiverse/s/sun-java6/sun-java6-bin_6-13-1_i386.deb

Plugin voor Mozilla:
http://nl.archive.ubuntu.com/ubuntu/pool/multiverse/s/sun-java6/sun-java6-plugin_6-13-1_i386.deb

Eerst de JRE-deb dubbelklikken. Daarna de plugin-deb.

Let op: theoretisch zijn deze pakketten een risico voor Hardy, want daar zijn ze niet op beproefd door Canonical. In de praktijk hoef je daar met deze twee pakketjes absoluut niet bang voor te zijn. Gewoon installeren die hap!  :-)

Groet, Pjotr.

[Vistaus]

Heb je ze ook getest op Hardy? En op Intrepid?

[Pjotr]

Heb je ze ook getest op Hardy? En op Intrepid?

Goed dat je er even naar vraagt. Ik was te snel: installeren in Hardy geeft een foutmelding wegens een afhankelijkheid waaraan niet wordt voldaan.

Intrepid heb ik niet meer geïnstalleerd staan; misschien kan iemand anders het even uitproberen op Intrepid?

[siegi]

Een installatie geeft geen bewijs dat het voor de andere gevallen ook zal werken.
Verschillende leden hebben verschillende setups, sommige hebben bijv ook nog openjdk geinstalleerd etc.

[Soul-Sing]

Een installatie geeft geen bewijs dat het voor de andere gevallen ook zal werken.
Verschillende leden hebben verschillende setups, sommige hebben bijv ook nog openjdk geinstalleerd etc.

Ik heb ze vanuit de bron (java zelf) in de /opt dir. geinstalleerd. Zowel op een 64 als 32 bit versie. Zo houd ik ze wat apart van de off. install. Werkt perfect. Ook de 64 bit plugin is geen probleem.

[Vistaus]

Een installatie geeft geen bewijs dat het voor de andere gevallen ook zal werken.
Verschillende leden hebben verschillende setups, sommige hebben bijv ook nog openjdk geinstalleerd etc.

Ik heb ze vanuit de bron (java zelf) in de /opt dir. geinstalleerd. Zowel op een 64 als 32 bit versie. Zo houd ik ze wat apart van de off. install. Werkt perfect. Ook de 64 bit plugin is geen probleem.

siegie heeft het over de .debs uit Pjotrs post hierboven

[testcees]

Pjotr is warm! Maar er zijn 2 pakketten van deze pagina nodig, de -bin en -jre:

http://nl.archive.ubuntu.com/ubuntu/pool/multiverse/s/sun-java6/sun-java6-bin_6-13-1_i386.deb
en
http://nl.archive.ubuntu.com/ubuntu/pool/multiverse/s/sun-java6/sun-java6-jre_6-13-1_all.deb

Dan lukt de installatie op hardy en intrepid:

Code: [Selecteer]

naam@ubuntu-nl:~$ sudo dpkg -i Bureaublad/sun-java6-bin_6-13-1_i386.deb Bureaublad/sun-java6-jre_6-13-1_all.deb
(Database inlezen ... 104802 bestanden en mappen geïnstalleerd.)
Voorbereiden om sun-java6-bin 6-10-0ubuntu2 te vervangen (door
.../sun-java6-bin_6-13-1_i386.deb) ...
sun-dlj-v1-1 license has already been accepted
Uitpakken van vervangende sun-java6-bin ...
Voorbereiden om sun-java6-jre 6-10-0ubuntu2 te vervangen (door
.../sun-java6-jre_6-13-1_all.deb) ...
sun-dlj-v1-1 license has already been accepted
Uitpakken van vervangende sun-java6-jre ...
Instellen van sun-java6-bin (6-13-1) ...
Installeren van nieuwe versie van configuratiebestand
/etc/java-6-sun/security/java.policy ...
Installeren van nieuwe versie van configuratiebestand
/etc/java-6-sun/security/java.security ...
Installeren van nieuwe versie van configuratiebestand
/etc/java-6-sun/security/cacerts ...
Installeren van nieuwe versie van configuratiebestand
/etc/java-6-sun/management/jmxremote.access ...

Instellen van sun-java6-jre (6-13-1) ...

En voor Mozilla natuurlijk de plugin:
http://nl.archive.ubuntu.com/ubuntu/pool/multiverse/s/sun-java6/sun-java6-plugin_6-13-1_i386.deb

Wel is een voorwaarde dat het pakket sun-java6-jre al eerder was geïnstalleerd uit de pakketbron want anders blijven er wel afhankelijkheden open.

[Pjotr]

Kijk, zo komen we verder! Goed gevonden, testcees. :-)

Nu is het nog wat makkelijker geworden om java handmatig bij de tijd te houden in Hardy en Intrepid.

Ik vind het trouwens wel heel vervelend, dat de ontwikkelaars maar niks van zich laten horen. Kan iemand dit eens hogerop aankaarten in Canonical?

Als een Ubuntu Member dit doet, dan heeft het 't meeste gewicht. Ik ben geen Ubuntu Member, maar enkele forumleden wel. Kan een van jullie dit eens aan de orde stellen in een IRC-vergadering van Canonical?

[Soul-Sing]

Ik wil dat wel doen, echter de Ubuntu filosofie gaat niet uit van "rangen en standen", als het goed is. Wat echt helpt is steun, veel +1-en. Bij deze dus geachte forumleden, surf naar de bug, en laat een vlammend (of niet) commentaar achter.

[dvdmeer]

Maar het is dus zo dat zowel hardy als intrepid deze security updates niet heeft?

[Soul-Sing]

Maar het is dus zo dat zowel hardy als intrepid deze security updates niet heeft?

nee

[testcees]

Op basis van een Ubuntu pakket wordt het zo iets?
http://wiki.ubuntu-nl.org/community/JavaVersie6Update13

[testcees]

Arie. Correcte opmerking, de browser moet herstart worden. Staat erbij.

[Pjotr]

Ik wil dat wel doen, echter de Ubuntu filosofie gaat niet uit van "rangen en standen", als het goed is. Wat echt helpt is steun, veel +1-en. Bij deze dus geachte forumleden, surf naar de bug, en laat een vlammend (of niet) commentaar achter.

Zou je dat toch eens aan de orde willen stellen in een IRC met Ubuntu Members? Ik ben ervan overtuigd dat het zal helpen als daardoor bijvoorbeeld Mark Shuttleworth eens bij de pakketbeheerder aandringt op opwaardering van JRE in Hardy.   :-)

Helaas lijkt het er namelijk op, dat alleen foutmelden op Launchpad, in deze kwestie onvoldoende effect heeft.