Alarm over kritiek Java-lek op Windows, Mac en Linux

[testcees]

op Windows update Java zichzelf automatisch

In Windows zie ik wel eens een melding dat er een java update is.

Als je in Ubuntulinux Oracle java gebruikt krijg je dan ook een melding als een java update beschikbaar is?

[Pjotr]

Alleen als je Oracle Java hebt geïnstalleerd vanuit een pakketbron, zoals die van ons medeforumlid grizzler (de Duinsoftbron).

Zolang als die pakketbron bestaat, heeft grizzler die vlot bijgewerkt (doorgaans op dezelfde dag als waarop Oracle een nieuwe Javaversie uitbracht).

Overigens is 7u7 (de nieuwste versie) weliswaar bijgewerkt voor het meest verbreide lek, maar een ander lek schijnt nog steeds niet te zijn hersteld (zucht). Daarom is het beter om, tenminste tijdelijk, door te fietsen met een uitgeschakelde of verwijderde Java.

[RikRik]

Alleen als je Oracle Java hebt geïnstalleerd vanuit een pakketbron, zoals die van ons medeforumlid grizzler (de Duinsoftbron).

Zolang als die pakketbron bestaat, heeft grizzler die vlot bijgewerkt (doorgaans op dezelfde dag als waarop Oracle een nieuwe Javaversie uitbracht).

Overigens is 7u7 (de nieuwste versie) weliswaar bijgewerkt voor het meest verbreide lek, maar een ander lek schijnt nog steeds niet te zijn hersteld (zucht). Daarom is het beter om, tenminste tijdelijk, door te fietsen met een uitgeschakelde of verwijderde Java.

Klopt, Het advies blijft dan ook onveranderd: deïnstalleer Java, tenzij je het echt nodig hebt.
http://webwereld.nl/nieuws/111638/-java-noodpatch-bevat-nieuw-kritiek-lek-.html

[Cumulus007]

Of maak /usr/bin/java tijdelijk onuitvoerbaar (chmod -x /usr/bin/java). Zo hoef je niets te verwijderen, en wanneer het lek is gemaakt, zet je de executable bit weer terug (chmod +x /usr/bin/java).

[edgar]

Misschien zie ik het te makkelijk maar je complete java-installatie slopen/de-installeren lijkt mij wat rigoureus. De java-plugins in je browser uitschakelen is afdoende omdat alleen daar de kwetsbaarheden uitgebuit kunnen worden. In bijv LibreOffice of andere Java based toepassingen kan het mi. geen kwaad.

[Vistaus]

Misschien zie ik het te makkelijk maar je complete java-installatie slopen/de-installeren lijkt mij wat rigoureus. De java-plugins in je browser uitschakelen is afdoende omdat alleen daar de kwetsbaarheden uitgebuit kunnen worden. In bijv LibreOffice of andere Java based toepassingen kan het mi. geen kwaad.

Precies. Daarom is wat Cumulus voorschrijft veel handiger.

[Wout55]

In mijn nieuwste Ubuntu zit geen Orcale Java meer, maar wel open jdk. Dat is nodig om Davmail aan de praat te houden. In de browsers heb ik geen plugin meer. Bij windows was de plugin uitgeschakeld en heb ik java nu opgeruimd. Maar nu heb ik dus geen mail meer. Dat is het grote voordeel van een werkgever die Exchange geïnstalleerd heeft. Ik ben nu aan het rommelen met een nieuwe beta plugin die als vervanging zou kunnen dienen. Het meest belachelijke is dus dat mijn Android telefoon (Ook linux) probleemloos met Exchange praat. 

[edgar]

Misschien zie ik het te makkelijk maar je complete java-installatie slopen/de-installeren lijkt mij wat rigoureus. De java-plugins in je browser uitschakelen is afdoende omdat alleen daar de kwetsbaarheden uitgebuit kunnen worden. In bijv LibreOffice of andere Java based toepassingen kan het mi. geen kwaad.

Precies. Daarom is wat Cumulus voorschrijft veel handiger.

Alleen werkt er dan geen enkel Java based programma meer.

[Pjotr]

Voor de veiligheid volstaat de volgende, weinig ingrijpende aanpak:
1. werk Oracle Java bij naar 7u7;
2. schakel de Java-invoegtoepassing uit in je webbladeraars (Firefox, Chrome, ...).

Wanneer er weer een nieuwe bijgewerkte Javaversie verschijnt, krijg je die dan of vanzelf aangeboden (via een pakketbron als Duinsoft), of je kunt 'm handmatig installeren, bijvoorbeeld via mijn handleiding: https://sites.google.com/site/computertip/java
De uitgeschakelde invoegtoepassing in je bladeraar, wordt dan vanzelf weer ingeschakeld.

Bovendien heb je zo de mogelijkheid, om ad hoc de invoegtoepassing snel eventjes te heractiveren, wanneer je 'm voor iets specifieks nodig hebt. Daarna snel weer uitschakelen, natuurlijk....

Op deze wijze heb je de minste last van dit hele vervelende gedoe, denk ik.

[grizzler]

Ik zal het pakket van Grizzler dan maar even handmatig updaten, aangezien ik werk met Mint en Mint is altijd vrij laat met updates.

Zodra er iets nieuws beschikbaar komt in de duinsoft-pakketbron, zou je updatebeheerder dat moeten oppikken, ongeacht welke distributie je gebruikt. Vooropgesteld dat je die pakketbron in je bronnenlijst hebt staan, uiteraard.

[Vistaus]

Misschien zie ik het te makkelijk maar je complete java-installatie slopen/de-installeren lijkt mij wat rigoureus. De java-plugins in je browser uitschakelen is afdoende omdat alleen daar de kwetsbaarheden uitgebuit kunnen worden. In bijv LibreOffice of andere Java based toepassingen kan het mi. geen kwaad.

Precies. Daarom is wat Cumulus voorschrijft veel handiger.

Alleen werkt er dan geen enkel Java based programma meer.

Dat werkt het ook niet als je Java verwijdert...

[edgar]

Misschien zie ik het te makkelijk maar je complete java-installatie slopen/de-installeren lijkt mij wat rigoureus. De java-plugins in je browser uitschakelen is afdoende omdat alleen daar de kwetsbaarheden uitgebuit kunnen worden. In bijv LibreOffice of andere Java based toepassingen kan het mi. geen kwaad.

Precies. Daarom is wat Cumulus voorschrijft veel handiger.

Alleen werkt er dan geen enkel Java based programma meer.

Dat werkt het ook niet als je Java verwijdert...

Ik heb het niet over het verwijderen van Java maar over het uitschakelen van de browser plugins. Zie ook het laatste stukje van Pjotr.

[Vistaus]

Sorry, verkeerd gelezen

[Soul-Sing]

openjdk update vandaag.

[lord4163]

Vanochtend had ik die ook geinstalleerd. Zitten daar grote bugfixes in?

[Soul-Sing]

Vanochtend had ik die ook geinstalleerd. Zitten daar grote bugfixes in?

in de iceateaplugin zeker.

[JPaulus]

Vanochtend had ik die ook geinstalleerd. Zitten daar grote bugfixes in?

Na update eea even gecontroleerd op http://www.isjavaexploitable.com/

Iceteaplugin is nog steeds gevaarlijk. Advies deze uit te laten staan lijkt mij nog steeds van kracht 

[Cumulus007]

Vanochtend had ik die ook geinstalleerd. Zitten daar grote bugfixes in?

Na update eea even gecontroleerd op http://www.isjavaexploitable.com/

Iceteaplugin is nog steeds gevaarlijk. Advies deze uit te laten staan lijkt mij nog steeds van kracht 

Ik kan nergens op die pagina vinden of er onderscheid wordt gemaakt tussen OpenJDK en Oracle Java. Beiden hebben hetzelfde versienummer, maar verschillen van elkaar.

[Soul-Sing]

Vanochtend had ik die ook geinstalleerd. Zitten daar grote bugfixes in?

Na update eea even gecontroleerd op http://www.isjavaexploitable.com/

Iceteaplugin is nog steeds gevaarlijk. Advies deze uit te laten staan lijkt mij nog steeds van kracht 

de icetea plugin is bijgewerkt, maar blijkbaar zit daar het nieuwe lek nog steeds in. net als de oracle plugin.

[testcees]

Alleen als je Oracle Java hebt geïnstalleerd vanuit een pakketbron, zoals die van ons medeforumlid grizzler (de Duinsoftbron).

Als een niet-officiële pakketbron geen probleem kan je hiervoor ook een PPA gebruiken bijvoorbeeld van webupd8team:

Code: [Selecteer]

sudo add-apt-repository ppa:webupd8team/java
sudo apt-get update
sudo apt-get install oracle-java7-installer

Doet ongeveer hetzelfde: automatisch downloaden en installeren van een nieuwe (de nieuwste) java JRE.

[Pjotr]

De pakketbron van webupd8team doet hetzelfde als de Duinsoftbron, inderdaad.... Maar ik kan niet beoordelen of het installatiescript van webupd8team van dezelfde kwaliteit is als dat van Duinsoft, noch of webupd8team dezelfde hoge responssnelheid heeft als Duinsoft.

Met webupd8team heb ik geen ervaring, maar met Duinsoft wel; erg goede ervaring zelfs. Prima kwaliteit en razendsnel met updates. Bovendien is het natuurlijk leuk dat een actief medeforumlid (grizzler) die beheert; Nederlandse Linuxprogrammeurs moedig ik graag aan.

[markba]

Alleen als je Oracle Java hebt geïnstalleerd vanuit een pakketbron, zoals die van ons medeforumlid grizzler (de Duinsoftbron).

Als een niet-officiële pakketbron geen probleem kan je hiervoor ook een PPA gebruiken bijvoorbeeld van webupd8team:

Eerlijk gezegd gebruik ik geen Java (dus ook geen PPA) omdat ik er geen toepassing voor heb, maar waarom zou je deze PPA gebruiken ipv de Duinsoft-PPA?

[grizzler]

Doet ongeveer hetzelfde: automatisch downloaden en installeren van een nieuwe (de nieuwste) java JRE.

En kan kennelijk 'interessante' resultaten opleveren. Zie bijvoorbeeld http://forum.ubuntu-nl.org/software-en-configuratie/installatie-java-mislukt-blijft-hangen-in-installatie-%28apt-get-synaptic-etc-%29/

[testcees]

En kan kennelijk 'interessante' resultaten opleveren. Zie bijvoorbeeld

Correctie: dat voorbeeld gaat over een andere PPA en niet over de PPA van webupd8.

@grizzler: Dat ik de PPA van webupd8 opmerkte was niet omdat ik een probleem heb met je pakketbron (beiden geven hier nu hetzelfde resultaat, de laatst beschikbare Oracle java versie inclusief plugins). Top dat je je inzet om een eigen pakketbron en installatiescript te onderhouden. 

Eerlijk gezegd gebruik ik geen Java

Dan is er ook geen reden een niet-officiële pakketbron te gebruiken om java te installeren.

[markba]

Eerlijk gezegd gebruik ik geen Java

Dan is er ook geen reden een niet-officiële pakketbron te gebruiken om java te installeren.

Je bent je smiley vergeten.  En dat was dan ook geen antwoord op mijn vraag.