Veiligheidsupdates voor Sun Java JRE

[testcees]

Discussie over hoe representatief de cijfers zijn is ok, maar niet nodig. Laten we er dan voor de zekerheid 10% bij optellen. Dan zit je net over de helft. En de helft is nog lang geen 90%

Bedenk dat sinds 9.04 sun java niet meer in {x|u}buntu-restricted-extras zit (launchpad). We moeten nu niet overdrijven met 90% maar het is zeker een respectabel aantal. 

Het is deels een tijdelijk probleem: in de volgende versie van Ubuntu (Karmic 9.10) is de nieuwe sun java wel beschikbaar. Een gebruiker kan dan een upgrade doen. In ieder geval zal het aantal gebruikers van de oude versie afnemen.
Voordeel van deze werkwijze mag duidelijk zijn: er wordt op dit moment volop getest met de nieuwe Ubuntu versie Karmic 9.10 en de nieuwe java versie wordt zo "vanzelf" ook getest.

Offtopic: het beleid van het restriced-extras pakket is mij op dit punt niet duidelijk. In Karmic (Ubuntu 9.10) wordt op dit moment sun-java geinstalleerd niet geinstalleerd in de 32-bit versie maar wel in de 64-bit versie. Ook de Kubuntu versie(s) van dit pakket installeert sun-java in Karmic.

[Tom]

Ik heb  gisteren dat hele Java gezever er af gegooid.
Was het kotszat met dat apart update.
Oke in de nieuwe karmic zit de nieuwste versie maar na een tijd begint gegarandeerd daar ook weer dat update geflikker.
Dan had ik ook gelezen dat Debian afstand zou gaan nemen van Sun java etc
Heb toen  Openjdk en de icedtea plugin geinstalleerd.
Daarna de door mij meest bekeken Websites bezocht en moest tot mijn grote verbazing vaststellen dat ik totaal geen verschil bemerkte.
Alles ging even vlot als voorheen.
NoScript  werkte juist zo goed  met dat openspul.
Dus voor mij persoonlijk da da Sun Java ... Openjdk is nu mijn standaard.(jaunty).

[Pjotr]

Ik heb in het Launchpad-draadje twee mogelijke oplossingen voorgesteld, die beide veilig zijn:

1. Duw gewoon standaard de onbeproefde JRE-pakketten in de ontwikkelingstak (Karmic) door naar de stabiele versies (Hardy, Intrepid en Jaunty). Beter "onbeproefd maar veilig", dan "stabiel maar onveilig".

2. Verwijder JRE uit de pakketbronnen en bied alleen OpenJDK aan. Als mensen toch JRE willen, dan zijn ze gedwongen om de spullen handmatig binnen te halen en te installeren.

Ze weten dan ook, dat ze zelf regelmatig op de webstek van Sun moeten controleren op bijgewerkte versies. Ze zijn zich dan bewust van het risico.

Uiteraard heeft oplossing 1 mijn voorkeur, maar met oplossing 2 kan ik ook leven. Zoals het nu gaat, kan het in elk geval beslist niet doorgaan.

[testcees]

Optie 1? Verreweg het groootste deel van de java programma's zal helemaal geen gebruik/misbruik maken van de geconstateerde veiligheidsproblemen. Ook hebben we vastgesteld dat sun java veel wordt gebruikt. Waarom zou je een risico lopen dat deze programma's niet meer goed werken? Bovendien lost het niet zoveel op. Als probleem wordt resources (mensen) genoemd. Wie gaat de onbeproefde pakketten uploaden voor Hardy, Interpid en Jaunty?
Het kost volgens Vistaus maar 5 minuten. Als deze inschatting is gemaakt op basis van de genoemde mini-cursus pakketten bouwen wil ik wel wijzen op de tekst in deze cursus: "it is not sufficient to build a good .deb package".

[Pjotr]

Optie 1? Verreweg het groootste deel van de java programma's zal helemaal geen gebruik/misbruik maken van de geconstateerde veiligheidsproblemen. Ook hebben we vastgesteld dat sun java veel wordt gebruikt. Waarom zou je een risico lopen dat deze programma's niet meer goed werken? Bovendien lost het niet zoveel op. Als probleem wordt resources (mensen) genoemd. Wie gaat de onbeproefde pakketten uploaden voor Hardy, Interpid en Jaunty?
Het kost volgens Vistaus maar 5 minuten. Als deze inschatting is gemaakt op basis van de genoemde mini-cursus pakketten bouwen wil ik wel wijzen op de tekst in deze cursus: "it is not sufficient to build a good .deb package".

De deb-pakketten zijn er al, testcees. Ze zitten allang in Multiverse, maar ze hebben blijkbaar een Karmic-etiketje. Zoals ik al diverse malen heb gezegd.... Doorsluizen naar Hardy, Intrepid en Jaunty kan dus bepaald geen reuzeklus wezen. Dat is wat Vistaus bedoelt.
Ziehier de inhoud van Multiverse: http://nl.archive.ubuntu.com/ubuntu/pool/multiverse/s/sun-java6/

Veel risico loop je overigens niet met Sun Java JRE: ook handmatige installatie volgens de aanwijzingen op de webstek van Sun, levert doorgaans een prima werkend resultaat op. Hoewel dat natuurlijk al helemaal niet beproefd is in Ubuntu, alleen wellicht door de ontwikkelaars van Sun zelf.

Ik vind dit een principieel punt: veiligheid dient hier boven gebruiksgemak te gaan. Maar niet alleen principieel, ook praktisch: het is beslist denkbaar, dat een aanvaller de veiligheidsgaten in JRE gebruikt.

[testcees]

De deb-pakketten zijn er al, testcees. Ze zitten allang in Multiverse, maar ze hebben blijkbaar een Karmic-etiketje. Zoals ik al diverse malen heb gezegd.... Doorsluizen naar Hardy, Intrepid en Jaunty kan dus bepaald geen reuzeklus wezen. Dat is wat Vistaus bedoelt.

It'll only cost you 5 minutes or less. Vrij vertaalt: fluitje van een cent. Waarom neemt dan niemand de tijd voor zo'n klein klusje? Waarom zou uitgerekend Matthias dat moeten doen? Omdat hij het Karmic pakket heeft gemaakt? Sinds wanneer schept een community bijdrage verplichtingen? Ook dat is blijkbaar een principieel punt.

(ff advocaat van de duvel spelen:)
Het is evengoed denkbaar dat het aantal potentiële slachtoffers beperkt is. Er zijn meerdere mogelijkheden om voor veiligheid te gaan (in willekeurige volgorde):
- Upgrade naar Karmic 9.10 (misschien nog even mee wachten )
- PPA van franick gebruiken
- Workaround beschrijving van Pjotr gebruiken
- OpenJDK gebruiken (Sun java is optioneel)
- java voortaan zelf installeren vanaf de sun site.

En om praktisch gebruik te maken van de veiligheidsgaten moet je de gebruiker(s) ook nog een malafide javaprogramma laten uitvoeren. Niet dat dat onmogelijk is maar toch.

Neemt niet weg dat er vanwege deze veiligheidsgaten ook een nieuw pakket voor de oudere Ubuntu versies moet komen. Dus wachten we tot iemand de community (en sun ) een dienst wil bewijzen om een nieuwe pakket te sturen naar http://revu.ubuntuwire.com/

[Vistaus]

"Waarom zou uitgerekend Matthias dat moeten doen?"

Hij moet het niet doen, maar hij is wel degene die steeds de pakketten heeft gemaakt voor Hardy, Intrepid, Jaunty en Karmic. En dan bedoel ik de originele pakketten en de update naar -13.

[Pjotr]

Het werk zit 'm blijkbaar in het *uitproberen en testen* van de nieuwe JRE in de stabiele versies, niet in het doorpompen van reeds bestaande deb-pakketten. Mijn voorstel is dus, om dat uitproberen en testen allemaal achterwege te laten, zodat al dat werk niet hoeft te worden gedaan.

Dan is het dus hoogstwaarschijnlijk inderdaad een klusje van niks, om de bestaande deb-pakketten *die nota bene al in Multiverse zitten* voor Karmic, simpelweg door te douwen naar Hardy, Intrepid en Jaunty, via de normale updates.

Dat vergt wel een beleidswijziging. En die kunnen wij niet doen; dat kan alleen "hogerhand" beslissen (MOTU?).

Deze beleidswijziging lijkt me verantwoorder dan de huidige praktijk: immers, beter "onbeproefd maar veilig", dan "stabiel maar onveilig".

Nu zijn er vele honderdduizenden Ubuntugebruikers onbeschermd. Zonder dat ze dat beseffen! Waaronder zelfs ervaren Ubuntugebruikers: http://forum.ubuntu-nl.org/software-en-configuratie/geen-geluid-meer-bij-flash-in-firefox/msg464953/#msg464953

Een akelige gedachte. Maar daar kan men wat aan doen.

Het enige andere aanvaardbare (want veilige) alternatief is, om JRE compleet uit de pakketbronnen te donderen en alleen nog OpenJDK aan te bieden. Dan kun je voortaan uitsluitend nog JRE *handmatig* binnenhalen vanaf de webstek van Sun, en vervolgens handmatig installeren. Dan weet je tenminste, dat je ook regelmatig handmatig updates zult moeten installeren.

Mijn voorkeur is de eerste oplossing. Maar met de tweede kan ik ook vrede hebben.

[testcees]

Het werk zit 'm blijkbaar in het *uitproberen en testen* van de nieuwe JRE in de stabiele versies, niet in het doorpompen van reeds bestaande deb-pakketten. Mijn voorstel is dus, om dat uitproberen en testen allemaal achterwege te laten, zodat al dat werk niet hoeft te worden gedaan.

Ik zal het wel niet begrijpen maar volgens mij is de volgende stap een pakket sturen naar http://revu.ubuntuwire.com/

@Vistaus: Vistaus claims it'll take 5 minutes. Zijn niet mijn woorden, je hebt het vast anders bedoelt maar... iets voor jou?
Pas daarna kan er überhaupt iets getest of uitgeprobeerd worden.

Als je het mij vraagt zit het meer in de reactie van John Vivirito dat dit geen "normaal" pakket is (ja, wat is "normaal"?).

@pjotr: het topic waarnaar je verwijst is ook niet met de nieuwe java versie opgelost. Ik begrijp niet goed waarom je dat erbij haalt. Het geeft mogelijk aan hoe belangrijk een stabiel/werkend (lees: goed getest) systeem is.

[Vistaus]

Cees, even teruglezen en dan snap je wat ik bedoel:

Pjotr:
"De deb-pakketten zijn er al, testcees. Ze zitten allang in Multiverse, maar ze hebben blijkbaar een Karmic-etiketje. Zoals ik al diverse malen heb gezegd.... Doorsluizen naar Hardy, Intrepid en Jaunty kan dus bepaald geen reuzeklus wezen. Dat is wat Vistaus bedoelt."

Btw, Pjotr +1 Vind het een heel goed plan wat je gemaakt hebt, en ik zal je hierin, voor zover dat kan, steunen

[testcees]

@vistaus: heb je deze gestuurd naar http://revu.ubuntuwire.com/ dan? Dat was de vraag.

[Pjotr]

revu.ubuntuwire is onderdeel van het uitproberen en testen. Dat is hard werken, en alleen voor specialisten. Zoals gezegd, bij optie 1 van mijn suggestie is dat overbodig.

Inmiddels gaan er steeds meer zwaargewichten zich mengen in de Launchpad-discussie. Prima zaak! Dan komt er tenminste schot in. Dat zijn de mensen die aan de touwtjes trekken. 
https://bugs.launchpad.net/ubuntu/+source/sun-java6/+bug/409559/comments/44

De laatste reactie, van zwaargewicht Daniël Holbach, lijkt in de richting van optie 2 te gaan: het geheel verwijderen van Sun Java JRE uit de pakketbronnen. Dat doet hij blijkbaar liever dan de uitprobeer- en testfase over te slaan.

Enigszins jammer, maar in elk geval een oplossing voor het veiligheidsprobleem. En dat is het belangrijkste. Wij redden ons wel met handmatige installatie.

Enfin, er is nog geen definitief resultaat natuurlijk, maar ik begin nu wel vertrouwen te krijgen in het Launchpad-proces voor deze kwestie.

[testcees]

Daniel vraagt om de stappen die vorige keer zijn gevolgd om deze pakketten bij te werken. Zoals ik het lees in de hoop dat iemand (uit de community) geïnteresseerd raakt in dit werk.

Als er eenmaal pakketten zijn die getest kunnen worden kan naar mijn idee de testfase snel afgerond worden. Wat met name getest moet worden is of de installatie correct verloopt, niet de sun java functionaliteit van A tot Z. De ellende is niet te overzien als de update op grote schaal mislukt, wel testen zou mijn advies zijn.
Nogmaals: naar mijn idee is de testfase niet het probleem maar uberhaupt het feit dat (nog) niemand pakketten heeft gemaakt voor de oudere Ubuntu versies.

De andere optie, het laten vallen net als het tor pakket, zie ik nog niet zo snel gebeuren. Daarvoor heeft dit pakket te veel gebruikers. Dus ook ik heb vertouwen in dit Launchpad-proces, het duurt alleen wat langer dan we zouden willen.

[Pjotr]

Nogmaals: naar mijn idee is de testfase niet het probleem maar uberhaupt het feit dat (nog) niemand pakketten heeft gemaakt voor de oudere Ubuntu versies.

Zoals ik al vele malen heb gezegd: die deb-pakketten zijn er allang en werken prima, niet alleen in Karmic maar ook in de stabiele versies:
http://nl.archive.ubuntu.com/ubuntu/pool/multiverse/s/sun-java6/

Laten we het daar nou eens niet meer over hebben, want dat wordt een beetje flauw, vind ik. 

De andere optie, het laten vallen net als het tor pakket, zie ik nog niet zo snel gebeuren. Daarvoor heeft dit pakket te veel gebruikers. Dus ook ik heb vertouwen in dit Launchpad-proces, het duurt alleen wat langer dan we zouden willen.

Ik zou natuurlijk het liefste zien, dat er inderdaad alsnog updates komen. Maar schrappen van het pakket is desnoods ook aanvaardbaar, wat mij betreft.

Hopelijk schieten ze wel op, want het voortbestaan van dit veiligheidsgat is onaanvaardbaar, en hoe langer het duurt, hoe erger het is....

[testcees]

Laten we er inderdaad maar over ophouden want we begrijpen elkaar niet. Ik wil graag geloven dat je gelijk hebt maar als Jamie Strandboge schrijft: It takes more than simply uploading the Karmic package as is to Hardy, Intrepid and Jaunty wil ik die ook wel geloven. Later.

[bas.]

Heb toen  Openjdk en de icedtea plugin geinstalleerd.

Welke versie heb jij geinstalleerd?

[Tom]

Openjdk 6b14-1.4.1  icedtea plugin idem .. loopt geweldig bemerk echt geen verschil tussen deze en Sun java.
http://sites.google.com/site/hardy804lts/kk
Dit is een Java gevoelige Site.zie onder.
http://www.beurs.nl/koersen/AEX/p1 en hij gaat prima met Openjdk en icedtea plugin.

[Vistaus]

@Wanda: Dan zul je toch moeten updaten. Want update 15 is allang uit, en die fixed bepaalde veiligheidsgaten. En ja, voor OpenJDK is versie 15 wél uit. En jij gebruikt versie 14.

[SpookieNL]

Vraagje, ik heb Java geupdate volgens de methode op Computertip. Maar nu kan ik het Control Panel niet meer openen, ik krijg dan een foutmelding.

Weten iemand of, en hoe ik weer toegang krijg tot het Control Panel?

[Vistaus]

Het Control Panel van wat? Ubuntu of Kubuntu?

[SpookieNL]

Van Sun Java natuurlijk!

[Vistaus]

Van Sun Java natuurlijk!

Ja, dat was dus niet helemaal duidelijk.

Krijg je een foutmelding als je het Control Panel probeert te openen?

[SpookieNL]

Ja, als ik via Systeem>Voorkeuren>Sun Java 6 Pugin Control Panel ga dan krijg ik een foutmelding.

FOUT

Kan ‘Sun Java 6 Plugin Control Panel’ niet uitvoeren

Uitvoeren van dochterproces ‘/usr/lib/jvm/java-6-sun-1.6.0.13/bin/ControlPanel’ is mislukt (Bestand of map bestaat niet)

[testcees]

@Wanda: Dan zul je toch moeten updaten. Want update 15 is allang uit, en die fixed bepaalde veiligheidsgaten. En ja, voor OpenJDK is versie 15 wél uit. En jij gebruikt versie 14.

Ook in 9.04 zit versie 14: maar de bekende veiligsgaten zijn (natuurlijk ) in de Ubuntu versie gefixt. Daar heb je update 15 beslist NIET voor nodig, zie Launchpad.

Canonical levert kritieke updates voor openjdk-6-jre tot oktober 2010.


En in de Karmic proefversie zit op dit moment update 16.

[Vistaus]

Ah, het Control Panel is gebroken. Hij zoekt naar het Control Panel van update 13, terwijl jij 15 geïnstalleerd hebt (net als ik).

Open de Menubewerker (rechtsklikken op Toepassingen en kiezen voor Menubewerker o.i.d.) en navigeer naar het mapje Voorkeuren (of Systeem>>>Voorkeuren). Verander het commando door dit commando:

/usr/lib/jvm/java-6-sun-1.6.0.15/bin/ControlPanel