Veiligheidsupdates voor Sun Java JRE

[Pjotr]

Heer Pjotr, zelf ben ik ook geen MOTU member, maar ik steun uw initiatief van harte. Zeer bedankt voor de moeite die u neemt.

Dank je.  

Maar ik doe het natuurlijk net zo goed voor mezelf.....  

Bij dit verzoek aan de MOTU's hebben we helaas waarschijnlijk weinig aan ondersteuning van gewone forumleden zoals jij en ik. Enkelen onder ons zijn Ubuntu Members en staan dus een treedje hoger in de organisatie, en kunnen daardoor vermoedelijk wel effectief ondersteunen: http://www.ubuntu.com/community/processes/newmember

[Vistaus]

Ik ben ook geen MOTU, wel een Ubuntero

Niet veel mensen zijn MOTU trouwens

Goed zo Pjotr, ik hoop dat de MOTO's hier iets aan zullen doen

[Pjotr]

Tussenbericht:

Er komt wat leven in de Launchpad-draad: voor het eerst laat de verantwoordelijke pakketbeheerder (Matthias Klose) wat van zich horen. Niet erg vriendelijk (pfff), maar hij reageert tenminste. Het zou nondedju eens tijd worden....

Ik blijf respectvol maar dringend aansporen tot actie. Wordt vervolgd.

[Tom]

Tussenbericht:

Er komt wat leven in de Launchpad-draad: voor het eerst laat de verantwoordelijke pakketbeheerder (Matthias Klose) wat van zich horen. Niet erg vriendelijk (pfff), maar hij reageert tenminste. Het zou nondedju eens tijd worden....

Ik blijf respectvol maar dringend aansporen tot actie. Wordt vervolgd.

Volg alles zeer gespant en aandachtig.
nondedju <  Ook Belg ?.

[Vistaus]

Ik volg het inderdaad ook op de voet

[Vistaus]

En ik heb ook maar even gereageerd, alweer.

[testcees]

Beste Pjotr, ik bewonder je vasthoudendheid. Toch snap ik ook de reacties dat:

• openjdk-6 standaard is. Die versie wordt officieel onderhouden en veiligheidlekken direct gedicht. Dat niet alle websites compatible zijn zal waar zijn, maar...
  
• de ondersteuning van Sun java "uitbesteed" is aan de community.

We zullen zien hoe dit verder gaat.

[Johan van Dijk]

Eerlijk gezegd vind ik dat er wel erg laks om wordt gegaan met de bugs mbt Java.

Kijk hier maar eens, en zie de massa's aan dezelfde fouten. Veel zullen te "danken" zijn aan de licentie die je niet kan accepteren als je via Synaptic installeert. (Of is dat al opgelost?)
Het is een kleine moeite om al die bugs als "duplicate" aan te melden, en te confirmen indien nodig. Alleen is de lijst nogal lang geworden, zodat niemand er blijkbaar zin in heeft om het te doen.
Je ziet ook nog dat de meeste bugs nog steeds op "new" staan, omdat er verder nog niemand naar gekeken heeft.

Het lijkt me duidelijk dat niemand echt aandacht schenkt aan bugs voor Java. Of dit door een gebrek aan mankracht komt, of dat het desinteresse is kan me niet zoveel schelen. Het is voor mij belangrijk dat er wat gebeurt hiermee.

Misschien kunnen we hier een community-project van maken? Dan hebben we meteen iets om over te onderhandelen.
Zoiets als: "wij helpen met het opruimen van die bugs, als jij meer aandacht geeft aan het updaten van Java".

Als we van tevoren overleggen zodat duidelijk is wat er precies moet gebeuren, dan kunnen we met een paar man binnen no time die belachelijk lange lijst met bugs opschonen. De package maintainer blij, wij blij.

Is dit een goed idee?

[Tom]

Een geweldig idee zelfs.

# de ondersteuning van Sun java "uitbesteed" is aan de community.

Als ze dat nu eens afschafte en in het Sun java program een update functie zetten was die Update manager van het hele gedonder af.
Was dat in Windows ook niet .. een update knop ?.

[Pjotr]

Johan +1

Als we desondanks geen medewerking krijgen, dan stel ik voor om manieren te zoeken om Marc Shuttleworth rechtstreeks te benaderen. Voor mijn part via een IRC-vergadering van Ubuntu Members, of hoe dan ook.

Matthias Klose is blijkbaar een werknemer van Canonical, dus dan spelen we het via z'n baas.
https://launchpad.net/~doko

[testcees]

Meehelpen met de triage van bugs op Launchpad is altijd welkom. Maar of die inspanning "onderhandelbaar" is betwijfel ik.

Hoe zinnig het is om "hoger in de boom te klimmen". Er is een strategische keuze voor openjdk als alternatief voor sun-java. Die keuze past goed in de open-source filosofie van Ubuntu.
Ubuntu is een andere distributie dan opensuse. Het advies van Pjotr om voor opensuse te gaan als Sun java erg belangrijk voor je is snap ik. Novell en Sun hebben (voor zover ik weet nog steeds) een samenwerkingsovereenkomst.

[Pjotr]

Meehelpen met de triage van bugs op Launchpad is altijd welkom. Maar of die inspanning "onderhandelbaar" is betwijfel ik.

Hoe zinnig het is om "hoger in de boom te klimmen". Er is een strategische keuze voor openjdk als alternatief voor sun-java. Die keuze past goed in de open-source filosofie van Ubuntu.
Ubuntu is een andere distributie dan opensuse. Het advies van Pjotr om voor opensuse te gaan als Sun java erg belangrijk voor je is snap ik. Novell en Sun hebben (voor zover ik weet nog steeds) een samenwerkingsovereenkomst.

Dat van openSUSE was niet mijn advies, maar meer een uiting van frustratie.... 

OpenJDK is helaas nog geen 100 % vervanger voor JRE. Dus JRE blijft belangrijk, of we dat nou leuk vinden of niet.

Verder vind ik, dat Ubuntu moet kiezen: of ze bieden JRE aan, of niet.

Als ze JRE aanbieden (wat ik toejuich), dan horen ze het ook fatsoenlijk te ondersteunen met veiligheidsupdates. Linksom of rechtsom, ongeacht de filosofie die onder de betreffende pakketbron (Multiverse) ligt. Daar is het pakket gewoon te veelgebruikt voor. Het is niet een obscuur pakketje dat maar wordt gebruikt door enkele mensen....

[Pjotr]

Ik heb in het Launchpad-draadje al een voorzetje gegeven: misschien moeten we overwegen, om ons LoCo Team collectief te mobiliseren.

Met andere woorden: een officieel verzoek van de leiding van Ubuntu-NL aan Marc Shuttleworth (hetzij direct, hetzij via Jono Bacon), om deze update algemeen beschikbaar te maken.

Vraagje aan de leiding van Ubuntu-NL: wat denken jullie daarvan? Zouden jullie dat eventueel willen doen?

--toevoeging--
Ik lees net een uitgebreide reactie van Jamie Strandboge, die de bal min of meer terugspeelt. Ik weet eerlijk gezegd niet goed hoe ik dit moet plaatsen, oftewel: wat is wijsheid?

[Johan van Dijk]

Ik denk dat het totaal geen zin heeft om het hogerop te zoeken.
Zoals door Jamie Strandboge  is uitgelegd, is het bijhouden van Java een community-taak.
Iemand uit de community moet het dus oppakken. Klagen bij Canonical/Mark Shuttleworth himself heeft echt geen enkele zin. Die mensen hebben wel wat beters te doen denk ik. Bijvoorbeeld de packages die wel gesupport zijn bijhouden.

Wil je per se nieuwe versies van sun-java, dan zal je een vrijwilliger met genoeg kennis en kunde moeten vinden die dat wil gaan bijhouden. Is zo'n persoon niet te vinden, dan gebeurt er dus niets.

Wat de zaak nog lastiger maakt is dat Debian sun-java ook niet meer support en dat het dus helemaal uit Debian zal verdwijnen. Aangezien Ubuntu veel pakketten overneemt uit Debian zal het voor Ubuntu nog lastiger worden om sun-java wel te houden. Misschien verdwijnt het pakket wel volledig in Karmic of Karmic+1.


Een andere optie is het meewerken aan OpenJDK/IcedTea. Als die wel 100% compatible zijn heb je sun-java helemaal niet meer nodig, want dan hebben we al een volledige en vrije alternatieve versie.

[Pjotr]

Mooi is dat..... 

Lekker makkelijk voor iemand die Ubuntu-machines wil aanvallen: kijk gewoon, welke veiligheidsgaten er in de JRE-versie zitten die bij de stabiele Ubuntuversie wordt aangeboden, en ga je gang: 90 % van de Ubuntugebruikers is immers kwetsbaar.

Ik beschik zelf niet over voldoende kennis voor pakketonderhoud zoals Strandboge dat beschrijft; ik ben "maar" een ervaren eindgebruiker, meer niet. Pakketonderhoud gaat me ver boven de pet. Daar begin ik dus niet aan.

Overigens vind ik Strandboge's argument dat het pakket eerst uitgebreid uitgeprobeerd moet worden en aangepast bij regressies, een rijkelijk algemeen verhaal. In zijn algemeenheid klopt dat natuurlijk, maar ik vermoed dat dit bij Sun Java JRE niet nodig is. De pakketleverancier (Sun) is een professionele partij, die goed beproefde producten op de markt brengt. Ik heb nog nooit gehoord, dat een handmatig geïnstalleerde JRE zoals die wordt aangeboden voor Linux op de webstek van Sun, problemen gaf na installatie.

Tja, dat betekent dus: terugvallen op handmatig. En steeds het nieuws in de gaten houden, of er een nieuwe JRE-versie is. Wat JRE-updates betreft is het in Windows toch beter geregeld; daar krijg je tenminste een melding. 

[Vistaus]

"Overigens vind ik Strandboge's argument dat het pakket eerst uitgebreid uitgeprobeerd moet worden en aangepast bij regressies, een rijkelijk algemeen verhaal. In zijn algemeenheid klopt dat natuurlijk, maar ik vermoed dat dit bij Sun Java JRE niet nodig is."

Dat is ook niet nodig. Vlak na het uitkomen van de desbetreffende Java-update, had Matthias Klose hem al in Karmic gepushed. Dus hij heeft het helemaal niet uitgebreid getest.

[Pjotr]

"Overigens vind ik Strandboge's argument dat het pakket eerst uitgebreid uitgeprobeerd moet worden en aangepast bij regressies, een rijkelijk algemeen verhaal. In zijn algemeenheid klopt dat natuurlijk, maar ik vermoed dat dit bij Sun Java JRE niet nodig is."

Dat is ook niet nodig. Vlak na het uitkomen van de desbetreffende Java-update, had Matthias Klose hem al in Karmic gepushed. Dus hij heeft het helemaal niet uitgebreid getest.

Maar ja, Karmic is een alfa-versie.... Hardy, Intrepid en Jaunty zijn stabiele versies. Pakketten daarvoor, moeten voldoen aan hogere eisen. Enfin, dat zou zijn argument kunnen zijn.

Hoe dan ook, ik denk niet, dat een professioneel pakket als JRE, het nodig heeft om uitgebreid te worden beproefd. Tja, wat doen we eraan... 

[Vistaus]

Ik denk toch dat Mark persoonlijk benaderen, de beste oplossing is. Als er iemand is die het beleid van Ubuntu kan veranderen, is hij het wel.

[dellkubuntu]

Voor ubuntu gebruik ik nu openjdk met icedtea plugin,overigens zonder problemen.In linux mint gebruik ik wel sun jre 1.6,omdat die verweven zit in mintinstall,maar hier is de laatste versie wel aanwezig.Is dit dus alleen bij Canonical het geval,dat openjdk voorrang heeft op sunjava?

[Johan van Dijk]

Mooi is dat..... 

Lekker makkelijk voor iemand die Ubuntu-machines wil aanvallen: kijk gewoon, welke veiligheidsgaten er in de JRE-versie zitten die bij de stabiele Ubuntuversie wordt aangeboden, en ga je gang: 90 % van de Ubuntugebruikers is immers kwetsbaar.

Waar haal jij dat getal vandaan? Ik denk dat 90% zwaar overdreven is.
1: Servers hebben geen Java geïnstalleerd en als ze dat al hebben is dat afgeschermd.
2: Veel desktopgebruikers zullen OpenJDK gebruiken, zij zijn niet kwetsbaar.
3: Van de mensen die Sun Java gebruiken, zullen er een aantal zijn die handmatig de bestanden van Sun zelf installeren. Buiten de officiële repo's om dus.

Kijk bijvoorbeeld weer naar de popcon statistieken: 1,2 miljoen gebruikers hebben de standaard systeempakketten geïnstalleerd. En 550.000 een versie van Sun Java. Dan zit je al onder de 50%. Overigens hebben 250.000 mensen OpenJDK.
Dus in plaats van "bijna alle gebruikers kwetsbaar" is het "minder dan de helft mogelijk kwetsbaar".

Dat neemt niet weg dat het nog steeds een vervelende kwestie is...

Ik beschik zelf niet over voldoende kennis voor pakketonderhoud zoals Strandboge dat beschrijft; ik ben "maar" een ervaren eindgebruiker, meer niet. Pakketonderhoud gaat me ver boven de pet. Daar begin ik dus niet aan.

Hier hetzelfde. Ik heb wel eens het één en ander gelezen over het maken van kleine aanpassingen in bestaande pakketten en hoe je die "zoals het hoort" kan bouwen. Dit werkte op mijn eigen systeem best goed. Maar het beheer van een pakket voor honderdduizenden andere gebruikers zie ik toch echt niet zitten

Overigens vind ik Strandboge's argument dat het pakket eerst uitgebreid uitgeprobeerd moet worden en aangepast bij regressies, een rijkelijk algemeen verhaal. In zijn algemeenheid klopt dat natuurlijk, maar ik vermoed dat dit bij Sun Java JRE niet nodig is. De pakketleverancier (Sun) is een professionele partij, die goed beproefde producten op de markt brengt. Ik heb nog nooit gehoord, dat een handmatig geïnstalleerde JRE zoals die wordt aangeboden voor Linux op de webstek van Sun, problemen gaf na installatie.

Ben je het debacle met de X updates in Dapper vergeten? Dat zou ook een simpele update zijn...
Of het "foutje" met de SSH keys... SSH zou één van de veiligste pakketten moeten zijn.
Zomaar vertrouwen op Sun lijkt me dan ook geen goed idee, tenzij zij ook de .deb pakketten gaan bouwen. Dan kan je namelijk bij Sun aankloppen als het mis gaat.
Een gebruiker die een installatie van Sun omzet naar een .deb pakket moet ook van goeden huize komen. Er zijn echt heel veel gebruikers afhankelijk van zijn werk.

Tja, dat betekent dus: terugvallen op handmatig. En steeds het nieuws in de gaten houden, of er een nieuwe JRE-versie is. Wat JRE-updates betreft is het in Windows toch beter geregeld; daar krijg je tenminste een melding. 

Ik gebruik OpenJDK, en dat werkt in de praktijk in 90% van de gevallen prima. Eigenlijk gebruik ik het zo weinig, dat ik niet eens weet wat er precies werkt en wat niet.
De Sun Java heb ik ook geïnstalleerd, om er eens mee te prutsen in het geval dat dat nodig mocht zijn. Maar de standaardversie die bij mij gebruikt wordt is toch echt OpenJDK.

Vanuit persoonlijke ervaring kan ik dus wel vrij makkelijk zeggen dat iedereen maar over moet stappen op OpenJDK, maar mijn ervaring is behoorlijk beperkt. Als er 2x zoveel gebruikers zijn van Sun Java, dan van OpenJDK dan is het wel duidelijk welke er beter werkt.

[Vistaus]

Een mini-cursus pakketten bouwen:

http://wiki.getdeb.net/PackagingGuide/QuickPackaging

Maar dat terzijde, ik denk dat Pjotr wel aardig in de buurt zit met zijn 90%.

[Johan van Dijk]

Popcon statistieken:

Belangrijk systeempakket:

Code: [Selecteer]

#rank name                            inst  vote   old recent no-files (maintainer)
1     libacl1                        1203106 113571 1059955 29134   446 (Nathan Scott)                 
2     ncurses-bin                    1203103 94549 1082303 26185    66 (Daniel Baumann)
OpenJDK:

Code: [Selecteer]

1698  openjdk-6-jre                  252675 20489 196814 35332    40 (Matthias Klose)
Sun Java en de rank in multiverse:

Code: [Selecteer]

#rank name                            inst  vote   old recent no-files (maintainer)
1     libfaac0                       699639  5266 366770  9882 317721 (Christian Marillat)           
2     libxvidcore4                   698639   157 17863   369 680250 (Ubuntu Motu Media Team)       
3     flashplugin-nonfree            606991     8  1959    97 604927 (Bart Martens)                 
4     sun-java6-jre                  552781 59297 480150 11184  2150 (Matthias Klose)               
5     sun-java6-bin                  551113 59290 479597 11158  1068 (Matthias Klose)In de algemene statistieken staat sun-java6 op plaats 1144 en 1145.

Toelichting:
inst: het aantal systemen waarop geïnstalleerd
vote: het aantal systemen waarop dit pakket vaak wordt gebruikt (niet altijd even accuraat, kijk naar bijv. flashplugin-nonfree)

552781 java pakketten, 1203106 installaties, dat is 45,9%
Hoe kom je er dan in godsnaam bij dat 90% van de Ubuntu gebruikers kwetsbaar is 

Ik vind het een ernstige zaak, maar we moeten niet gaan overdrijven.

Bron: http://popcon.ubuntu.com/by_inst , http://popcon.ubuntu.com/multiverse/by_inst

[Vistaus]

Maar dat is alleen maar door gebruikersstatistieken, en standaard staat Statistieken verzenden naar Canonical uit. Dus je weet niet hoeveel mensen nog meer Sun Java hebben geïntalleerd.

[Pjotr]

We kunnen natuurlijk niet weten, om hoeveel procent het gaat. Laten we daar niet over gaan strijden. Maar we kunnen wel aannemen, dat de popcon-statistieken een lager JRE-percentage laten zien dan wat er in het echt aan de hand is.

Popcon zal eerder gebruikt worden door ervaren gebruikers. Ervaren gebruikers zullen waarschijnlijk eerder kiezen voor OpenJDK, omdat die open-bron is.

Hoe dan ook, zelfs op basis van het popcon-percentage is het een immens probleem. Daar moet echt een oplossing voor komen.

[Johan van Dijk]

Discussie over hoe representatief de cijfers zijn is ok, maar niet nodig. Laten we er dan voor de zekerheid 10% bij optellen. Dan zit je net over de helft. En de helft is nog lang geen 90%

Wat mij wel verbaast zijn de nogal onderkoelde reacties op de bug en zo weinig aandacht op het internationale forum.
Zijn wij te paranoïde of zijn de andere mensen te weinig geïnteresseerd? Of wordt de ernst van de situatie niet goed begrepen?