Alarm over kritiek Java-lek op Windows, Mac en Linux

[Harry07]

Dank je Pjotr. En, fijne dagen gewenst.

[testcees]

Alleen als je Oracle Java hebt geïnstalleerd vanuit een pakketbron, zoals die van ons medeforumlid grizzler (de Duinsoftbron).

Bij de standaard java in Ubuntu (OpenJDK) is het voldoende updates aan te brengen

http://wiki.ubuntu-nl.org/DirectDoen#Softwareupdates

[Pjotr]

Bij de standaard java in Ubuntu (OpenJDK) is het voldoende updates aan te brengen

Ik help het je hopen, maar ik zou er niet op vertrouwen. De beheerder, Matthias Klose, is nog steeds dezelfde. Vroeger was hij ook allesbehalve alert inzake het bijhouden van Sun Java (toen dat nog in de pakketbronnen zat en onder hem viel).

Ik heb toendertijd af en toe stevig met hem gebakkeleid over zijn verzuim: gapende veiligheidsgaten in Java die bovenstrooms allang waren hersteld, bleven onverantwoord lang bestaan in de pakketbronversie.

De code voor openJDK en Oracle Java is grotendeels gelijk.... Ook bij openJDK / Icedtea adviseer ik daarom: hou 'm standaard uitgeschakeld, en schakel 'm alleen tijdelijk even in wanneer je 'm nodig hebt. Java blijft qua veiligheid een zorgenkindje, ook in de open-bron-editie.

[testcees]

Ik help het je hopen, maar ik zou er niet op vertrouwen. De beheerder, Matthias Klose, is nog steeds dezelfde.

Topictitel is "Alarm over kritiek Java-lek" en gaat niet over een (1) pakketbeheerder. Begrijp dat u een persoonlijk conflict heeft gehad maar zie verder geen reden Matthias te wantrouwen: https://launchpad.net/~doko, http://qa.debian.org/developer.php?login=doko%40debian.org, enz.

De standaard java (vanaf Ubuntu 12.10 openjdk-7) komt uit de Ubuntu "fully supported" main pakketbron.

In Ubuntu zijn updates vaak snel beschikbaar.

Concreet welke bugmeldingen op https://bugs.launchpad.net/~openjdk of elders zijn er nog niet opgelost?

Iets (java, openjdk, ppa, ubuntu?) niet gebruiken sluit uiteraard alle risico's uit, dat is waarheid als een koe. Dat veel websites en programma's geen gebruik maken van  java (dus lang niet iedereen een java runtime engine nodig heeft) is ook waar.

[Pjotr]

Begrijp dat u een persoonlijk conflict heeft gehad

Niet persoonlijk, maar strikt zakelijk... En niet eenmaal, maar meerdere malen (bij verschillende Javalekken). Dat heeft mijn vertrouwen in de desbetreffende ontwikkelaar danig aangetast. En hij lijkt nog steeds een leidende rol te hebben in de Javaploeg.

Vertrouwen gaat verder dan de concrete situatie van nu, die best 100 % in orde kan zijn. Op dit ogenblik dan. Vertrouwen betreft de overtuiging dat iemand in z'n algemeenheid op tijd goed werk aflevert.

Enfin, mijn advies is zoals het is. Doe ermee wat je goeddunkt. 

[Vistaus]

Ik ben het met Pjotr eens. In die discussie-tijd heb ik ook die draadjes gevolgd en ook de manier waarop Matthias tegen o.a. Pjotr reageerde. Dat vond ik een dusdanig dieptepunt en dat is niet hoe Pjotr en de anderen behandeld hadden moeten worden. Mijn vertrouwen in Matthias is dus ook niet erg hoog.

[Joris Donders]

Misschien onderschat men een beetje het 'grote risico' met Java (open & Oracle) op een Linux-systeem.
Ik hoor het ook vaak bij steunpunten hier in België, dat je met Linux sowieso op rozen zit, en dat risico's, bijna, uitgesloten zijn, Java of niet.

Het kan zijn dat die pakketbeheerder veel meer aan zijn hoofd heeft dan puur de Java-bron te onderhouden, wat goed mogelijk is bij die gasten. En natuurlijk: 'is er een noodzaak (?)' en dan heb je de perfecte cocktail om die bron nauwelijks te onderhouden.

Maar het advies van Pjotr is zeker juist: uitschakelen en enkel inschakelen wanneer nodig.
Persoonlijk, na alles wat ik heb meegemaakt (Windows destijds) met Java; nooit van mijn leven komt het nog op mijn systeem.

[Pjotr]

Ik hoor het ook vaak bij steunpunten hier in België, dat je met Linux sowieso op rozen zit, en dat risico's, bijna, uitgesloten zijn, Java of niet.

Met alle respect voor jou: die lieden verkopen onzin. Java is platform-onafhankelijk. Met alle voordelen van dien, maar ook met alle nadelen....

[Vistaus]

Ik hoor het ook vaak bij steunpunten hier in België, dat je met Linux sowieso op rozen zit, en dat risico's, bijna, uitgesloten zijn, Java of niet.

Met alle respect voor jou: die lieden verkopen onzin. Java is platform-onafhankelijk. Met alle voordelen van dien, maar ook met alle nadelen....

Precies. Er zijn allang veel betere cross-platform-oplossing die ook in de browser kunnen draaien (dus net als Java zowel offline (jar) als in de browser) zoals Enyo (en dan met name het WebView-component wat daarvoor gebruikt kan worden), Flash (ja ik heb een ontzettende hekel aan Flash maar het is tenminste wel iets veiliger) of Qt (maar dat moet zich in-browser nog bewijzen).

Alleen ja, zie men maar eens te overtuigen een alternatief te gebruiken... helaas worden er nog steeds toepassingen met Java gemaakt zoals webcam controls (in browser) of zelfs offline zoals muCommander (cross-platform open source bestandsbeheerder).

[Vistaus]

UPDATE

Wellicht nu dan eindelijk een, voor nu althans, definitieve oplossing: http://www.internetnews.com/security/is-oracle-java-7-update-10-going-to-improve-security.html

[Joris Donders]

while the Java 7u10 includes a number of new features designed to bolster security, Oracle still has a long way to go to improve Java security.

"When I make a list of software people should uninstall, Java is always near the top," Storms said. "Oracle has done a lousy job addressing Java security throughout 2012 and there’s no reason to expect they will change their approach in 2013."

Lijkt me verre van in orde; maar dat zal nooit goed komen vermoed ik .

[jolo]

Nu is er weer een nieuw beveiligingsprobleem met Java.
http://tweakers.net/nieuws/86588/nieuw-beveiligingsprobleem-java-wordt-mogelijk-al-misbruikt.html
http://forum.computertotaal.nl/phpBB2/viewtopic.php?t=219341&highlight=

[Pjotr]

Nu is er weer een nieuw beveiligingsprobleem met Java.
http://tweakers.net/nieuws/86588/nieuw-beveiligingsprobleem-java-wordt-mogelijk-al-misbruikt.html
http://forum.computertotaal.nl/phpBB2/viewtopic.php?t=219341&highlight=

Van Java word ik al jaren niet echt vrolijk.... De veiligheid blijft een probleem.

Overigens is er voor 15 januari een reguliere veiligheidsopwaardering gepland:
http://www.oracle.com/technetwork/topics/security/alerts-086861.html

Hopelijk pakken ze dit gat mee....

--Toevoeging:
http://www.nu.nl/internet/3002634/beveiligingslek-in-java-wordt-binnenkort-hersteld.html

[Cumulus007]

Wanneer je Oracle Java 6 en/of OpenJDK 6/7 gebruikt, ben je niet vatbaar voor dit lek.

Omdat Oracle Java closed-source is, ben je afhankelijk van een onregelmatige en magere patchronde. Er is zelfs ook gebleken dat Oracle dit meest recente lek niet eens heeft opgenomen in de aanstaande patchronde.

Voor de veiligheid kun je dus beter OpenJDK of als het echt moet Oracle JRE 6 gebruiken.

[Vistaus]

Wanneer je Oracle Java 6 en/of OpenJDK 6/7 gebruikt, ben je niet vatbaar voor dit lek.

OpenJDK 7 is ook vatbaar:
http://www.kb.cert.org/vuls/id/625617

Ik citeer:
"Oracle Java 7 update 10 and earlier Java 7 versions are affected. OpenJDK 7, and subsequently IcedTea, are also affected."

"Vendor Information (Learn More)
Vendor   Status   Date Notified   Date Updated
IcedTea   Affected   -   14 Jan 2013
OpenJDK   Affected   -   14 Jan 2013"

[Cumulus007]

Wanneer je Oracle Java 6 en/of OpenJDK 6/7 gebruikt, ben je niet vatbaar voor dit lek.

OpenJDK 7 is ook vatbaar:
http://www.kb.cert.org/vuls/id/625617

Ik citeer:
"Oracle Java 7 update 10 and earlier Java 7 versions are affected. OpenJDK 7, and subsequently IcedTea, are also affected."

"Vendor Information (Learn More)
Vendor   Status   Date Notified   Date Updated
IcedTea   Affected   -   14 Jan 2013
OpenJDK   Affected   -   14 Jan 2013"

Ah, dan heb ik me verkeerd geïnformeerd.

[grizzler]

Gaat goed met Java...

http://tweakers.net/nieuws/86688/java-bevat-mogelijk-opnieuw-beveiligingsgat.html
http://webwereld.nl/nieuws/113062/opnieuw-zero-day-lek-in-java.html

[Kingdom]

Oracel wat een achterlijk bedrijf is dat joh  Ernstige lekken dicht je toch zo snel mogelijk? Of ligt het aan mij. Fijn ik gebruik Java toch niet, vroeger was al bekend destijds onder Windows dat Java zo lek als een mandje is. Onbetrouwbaar dus, niet gebruiken.

[Cumulus007]

De updates van vandaag herstellen twee beveiligingsproblemen in OpenJDK 7:

Code: [Selecteer]

    - S8004933, CVE-2012-3174: Improve MethodHandle interaction with libraries.
    - S8006017, CVE-2013-0422: Improve lookup resolutions.


[lord4163]

Oracel wat een achterlijk bedrijf is dat joh  Ernstige lekken dicht je toch zo snel mogelijk? Of ligt het aan mij. Fijn ik gebruik Java toch niet, vroeger was al bekend destijds onder Windows dat Java zo lek als een mandje is. Onbetrouwbaar dus, niet gebruiken.

Jawel, maar het is een mooie programmeertaal aan de andere kant

[Tom]

De updates van vandaag herstellen twee beveiligingsproblemen in OpenJDK 7:

Code: [Selecteer]

    - S8004933, CVE-2012-3174: Improve MethodHandle interaction with libraries.
    - S8006017, CVE-2013-0422: Improve lookup resolutions.


Ik heb geen updates bekomen hoor vandaag betreffende OpenJDK.

[Cumulus007]

De updates van vandaag herstellen twee beveiligingsproblemen in OpenJDK 7:

Code: [Selecteer]

    - S8004933, CVE-2012-3174: Improve MethodHandle interaction with libraries.
    - S8006017, CVE-2013-0422: Improve lookup resolutions.


Ik heb geen updates bekomen hoor vandaag betreffende OpenJDK.

Draai je 12.10 en OpenJDK 7?

[Kingdom]

Oracel wat een achterlijk bedrijf is dat joh  Ernstige lekken dicht je toch zo snel mogelijk? Of ligt het aan mij. Fijn ik gebruik Java toch niet, vroeger was al bekend destijds onder Windows dat Java zo lek als een mandje is. Onbetrouwbaar dus, niet gebruiken.

Jawel, maar het is een mooie programmeertaal aan de andere kant

Zover ben ik nog niet 

[Tom]

Draai je 12.10 en OpenJDK 7?

Neen xuby 12.04 lts .
Maar dacht als er java OpenJDK updates waren dat de lts versie die ook kreeg ...niet dus..tsja.

Moderator edit: Type fout verbetert.

[Vistaus]

Draai je 12.10 en OpenJDK 7?

Neen xuby 12.04 lts .
Maar dacht als er java OpenJDK updates waren dat de lts versie die ook kreeg ...niet dus..tsja.

Moderator edit: Type fout verbetert.

Dat komt omdat de LTS standaard OpenJDK 6 gebruikt en 6 is veilig. De enige die onveilig is (was) is 7 en die is pas vanaf 12.10 standaard. Waarom zou 6 een update moeten krijgen met gedichtte lekken uit code die niet eens in 6 zit?