Отзыв (http://www.opennet.me/opennews/art.shtml?num=31622) лицензии на поставку Oracle Java JDK в составе Linux-дистрибутивов, в сочетании с исправлением (http://www.opennet.me/opennews/art.shtml?num=32087) 20 опасных уязвимостей в октябрьском обновлении JDK, вынудил компанию Canonical из соображений безопасности незамедлительно отключить (https://lists.ubuntu.com/archives/ubuntu-security-announce/2...) у пользователей Ubuntu уже установленный в системах браузерный плагин на основе Oracle JDK. Распространению обновления с устранением уязвимостей мешает отзыв лицензии компанией Oracle, что блокирует возможность поставлять новые версии JDK в составе дистрибутивов. В настоящее время Oracle JDK распространяется через "партнерский репозиторий" и позиционируется для пользователей, которых по тем или иным причинам не устраивает OpenJDK.
Представитель Canonical заявляет, что по имеющимся у компании сведениям эксплойты для октябрьских уязвимостей уже можно найти в откр...URL: http://www.h-online.com/open/news/item/Canonical-to-remove-O...
Новость: http://www.opennet.me/opennews/art.shtml?num=32578
Все правильно делают.
а куда они денутся, если Debian это сделал?
> В настоящее время Oracle JDK распространяется через "партнёрский репозиторий" и позиционируется для пользователей, которых по тем или иным причинам не устраивает OpenJDK.уже с месяц как там нет.
А это что по вашему http://archive.canonical.com/pool/partner/s/sun-java6/
найдите мне там для oneiric? месяц назад и вынесли, теперь приходится пользоваться: http://ppa.launchpad.net/ferramroberto/java/ubuntu
для особо тугодумных напоминаю, что сан ява в репозитории онерика не было в релизе. ибо лицензия была отозвана уже тогда
> для особо тугодумных напоминаю, что сан ява в репозитории онерика не было
> в релизе. ибо лицензия была отозвана уже тогдаok, уговорили, вынесли перед релизом, значит я сидел на pre:
Простите, а почему только 6-ю версию, или в 7-ой этого уже нету?
Вроде как седьмой не было вообще в репах, только OpenJDK
я не хочу, что бы с моих компов кто то что то удалял
Никто не будет удалять прямо с ПК, просто при обновлении, как я понял, придёт OpenJDK.
Как поступили с OpenOffice.org в Debian.
> Никто не будет удалять прямо с ПК, просто при обновлении, как я
> понял, придёт OpenJDK.Придет пустышка. И рекомендация поставить OpenJDK ;)
Можно заморозить текущую версию, чтобы она не обновлялась.
Правда, тогда останется открытой лазейка для других уродов.
А почему не на icedtea?
Потому, что он не заменяет всю JRE, сюрприз да?
> А почему не на icedtea?iced tea это допиленный пол RedHat OpenJDK плюс всякие улучшения по сборке, etc. сам RH активно комиттил в OpenJDK, так что лучше OpenJDK, который оттестирован у огромного количества юзеров включая Win и Lin, а не разработка только под RH.
>> А почему не на icedtea?
> iced tea это допиленный пол RedHat OpenJDK плюс всякие улучшения по сборке,
> etc. сам RH активно комиттил в OpenJDK, так что лучше OpenJDK,
> который оттестирован у огромного количества юзеров включая Win и Lin, а
> не разработка только под RH.IcedTea — это проект ДОПОЛНЕНИЙ для OpenJDK, которые позволяют реализовать недостающую функциональность в OpenJDK и приблизиться к Oracle JDK к некоторым его запатентованным и несвободным фичам.
icedtea6-stubs 1.6b
Icedtea is part of gnu classpath project and is an implementation
of the binary plugs, that Sun is unable to release under the GNUv2 license.
This in combination with openjdk6 or openjdk7 makes a completely legally
distributable version of JavaWWW: http://icedtea.classpath.org/wiki/Main_Page
icedtea-web 1.1.4The IcedTea-Web project provides a Free Software web browser plugin running
applets written in the Java programming language and an implementation of
Java Web Start, originally based on the NetX project.
> IcedTea — это проект ДОПОЛНЕНИЙ для OpenJDK, которые позволяют реализовать недостающую
> функциональность в OpenJDK и приблизиться к Oracle JDK к некоторым его
> запатентованным и несвободным фичам.Изначально они довольно много изменили в принципах сборки OpenJDK, там на auto-что-то там переводили и т.п. Исходя из новостей и описаний типа http://icedtea.classpath.org/wiki/UpstreamingFaq я считал, что IcedTea это проект допилок для OpenJDK.
Спасибо, буду больше знать )))
Так половина апплетов не пашет под openjdk
Это плохо или хорошо?
конечно плохо. у меня на рабочей машине в раз при обновлении клиент-банки по-отваливались. если уж решились чем-то заменять, то пусти напишут работающую реализацию.
А вам не страшно работать с банком через java апплеты?
У всех приличных банков уже обычные веб-клиенты есть.
> А вам не страшно работать с банком через java апплеты?
> У всех приличных банков уже обычные веб-клиенты есть.вообще то у меня аппсервер внутрисетевой, в котором бухи готовят ведомости и платежки.
вот с ним через апплеты и работают.
а если вы про счет физ. лиц, то тут конечно да, вэб мордочка и хватит
http://www.oracle.com/technetwork/java/javase/downloads/jdk-...
> http://www.oracle.com/technetwork/java/javase/downloads/jdk-...это я видел, но не нравится мне такой подход
> конечно плохо. у меня на рабочей машине в раз при обновлении клиент-банки
> по-отваливались. если уж решились чем-то заменять, то пусти напишут работающую реализацию.клиент-банки завязаны на криптопровайдеров, а криптопровы работают через спец-АПИ, который не стандартизован. так что для банк-клиентов потребно ставить Oracle JDK.
И дело не просто в реализации OpenJDK, а в том, что криптошники не поддреживают OpenJDK.
>> конечно плохо. у меня на рабочей машине в раз при обновлении клиент-банки
>> по-отваливались. если уж решились чем-то заменять, то пусти напишут работающую реализацию.
> клиент-банки завязаны на криптопровайдеров, а криптопровы работают через спец-АПИ, который
> не стандартизован. так что для банк-клиентов потребно ставить Oracle JDK.
> И дело не просто в реализации OpenJDK, а в том, что криптошники
> не поддреживают OpenJDK.Дело не в крипт провайдере, так как стендэлоун реализация работает, а ядро у них одно. Дело в поддержке апплетов как таковых.
> Так половина апплетов не пашет под openjdkНапример?
>> Так половина апплетов не пашет под openjdk
> Например?ibank2ua клиент-банки и даже апплет проверки наличия java в системе, который на оракловской страничке. это то, что слету назову.
Да, Аваль те ещё отморозки... умудриться создать на яве виндовый и линуксовый клиент отдельно, да ещё в линуксовом вместо / заюзать виндовый \ в путях архива .tar.gz - это пять!
> Да, Аваль те ещё отморозки... умудриться создать на яве виндовый и линуксовый
> клиент отдельно, да ещё в линуксовом вместо / заюзать виндовый \
> в путях архива .tar.gz - это пять!Да один там клиент, инсталл скрипты разные для апп сервера разные, но тут исключительно сказалось различие в путях и особенностях написания скриптов.
Да и не аваль эту систему писал а бифит.
Работает кстати нормально и под никс, и под вин, только с нормальным jre.
Да чего далеко ходить - делловский DRAC квм нормально с OpenJDK ацки глючит, как, кстати и джуниперовский веб фаервол. А это то, что мне необходимо для работы... Блин, уроды ораклы, теперь приходится с сайта обновляться.
учитывая то, что поддержки апплетов нет и не будет в openjdk, почему только половина?
> учитывая то, что поддержки апплетов нет и не будет в openjdk, почему
> только половина?так там же рецепт у каноникала через icedtea-plugin. раз нет поддержки, зaчем howto
> учитывая то, что поддержки апплетов нет и не будет в openjdk, почему
> только половина?на ЛОР это 4.2
апплеты бегают. вопрос в том, что не все.
мда.. теперь для работы придется снова гемороиться чтобы поставить sun jdk
Правильно! Ведь выковыривать из системы троянов, и откатывать в банке переводы с кредитки на неизвестные счета - это значительно меньший геморрой, чем кликнуть один раз по ссылке.
А может всё заработает под OpenJDK/icedtea :)
Эклипс, например, с ними не очень хорошо работает :(
> Эклипс, например, с ними не очень хорошо работает :(Eclipse 3.6.2 нормально собирается и работает с OpenJDK6. Не собирается, но работает на OpenJDK7.
IDEA CE работает на OpenJDK6, но не работает на OpenJDK7. Последнюю версию IDEA ещё не смотрел, может есть улучшения.
Факты основаны на использовании ПО во FreeBSD [amd64]. Линуксом не пользуюсь.
Главное чтобы не убили возможность запуска JOSM и Netbeans.
У кого-то еще осталось желание ставить систему с подобными фортелями на сервер?
Конечно!!! Конечно осталось!!!Вы или не дочитали новость, или ее не поняли. В тексте, грубо говоря, написано, что Cannonical ЗАБОТИТЬСЯ о безопасности своих пользователей. И это будет не как удаление книг с kindle amazon'ом, а обновление пакета с последующим его удалением, И ТО если вы дадите на это, так сказать, санкцию.
> И ТО если вы дадите на это, так сказать, санкцию.дададада, хорошая сказка.
Почему же сказка? Процесс обновления контролирует администратор системы. А средства Debian в Ubuntu позволяют делать это в полной мере. Или я ошибаюсь?
> Почему же сказка? Процесс обновления контролирует администратор системы. А средства Debian
> в Ubuntu позволяют делать это в полной мере. Или я ошибаюсь?я так понимаю, вместе с бубунтой каждому юзеру выдаётся по администратору, да? круто.
или, может, после автоапдейта надо бы вежливо задать вопрос: «у нас тут такое дело… короче, жаба эта ваша — решето. мы её отключим, чтобы чего не случилось, да? ЕСЛИ ВЫ НЕОПЫТНЫЙ ПОЛЬЗОВАТЕЛЬ, ЖМИТЕ «ДА».» вот *это* — цивилизованый путь. а молча что-то там отвинтить и сделать вид, что так и было — это путь огрызка и прочих m$ с гугелем.
я, впрочем, никогда не сомневался, что каноникал тоже хочет быть как Большие Дяди.
Конечно же, по вашему, лучше если бы неопытный пользователь лишился денег с дебетовой карты. Вы, в своем гневном порыве, забыли причину подобный действий.
> Конечно же, по вашему, лучше если бы неопытный пользователь лишился денег с
> дебетовой карты. Вы, в своем гневном порыве, забыли причину подобный действий.чукча не читатель, чукча писатель, ага.
Для особо одаренных:1 Автоматического обновления по умолчанию нет. (Без подверждения)
2 В подтверждении вы сами выбираете пакеты которые обноалять а которые нет.
> Для особо одаренных:
> 1 Автоматического обновления по умолчанию нет. (Без подверждения)
> 2 В подтверждении вы сами выбираете пакеты которые обноалять а которые нет.До последнего момента под обновлениями понимались именно обновления а не удаления...
Они поэтому и назывались - ОБНОВЛЕНИЯ. А обновление которое предстваляет собой УДАЛЕНИЕ- это извиняюсь, - ложь.
> Для особо одаренных:
> 1 Автоматического обновления по умолчанию нет. (Без подверждения)
> 2 В подтверждении вы сами выбираете пакеты которые обноалять а которые нет.ага. то есть, неопытный юзер — он через дырку в жабе может быть отымет, а вот за
что какой пакет отвечает — это знает на зубок. скажи, ты прикидываешься, или
действительно мозгом не оборудован?
> Почему же сказка? Процесс обновления контролирует администратор системы.
> А средства Debian в Ubuntu позволяют делать это в полной мере. Или я ошибаюсь?Скажем так, я бы делал такое конфликтом в чём-то вроде basesystem или ещё чём important/required. Тогда хоть видней будет, что не ОБНОВИТЬ, а СНЕСТИ по факту.
> Конечно!!! Конечно осталось!!!
> Вы или не дочитали новость, или ее не поняли. В тексте, грубо
> говоря, написано, что Cannonical ЗАБОТИТЬСЯ о безопасности своих пользователей. И этоДа неважно как преподноситься та какашка которую они собираются устроить. Так вещи не делаются.
> будет не как удаление книг с kindle amazon'ом, а обновление пакета
> с последующим его удалением, И ТО если вы дадите на это,
> так сказать, санкцию.Так почему бы не дать решать этот вопрос пользователям и администраторам ОБЫЧНЫМ способом?
Дыры в пакетах были всегда, и фиксились они зачастую не в течении пары дней, а существовали месяцами и годами.То есть, когда в следующий раз, в КАКОМ_НИБУДь пакете обнаружится баг, и не будет исправления в течении - часа-двух-суток-недели - то Каноникал будет УДАЛЯТЬ этот пакет с серверов пользователей?
Например такой участи могут последовать: апач, мыскаль, файрфокс, опера, профтпд, драйвера для звука и видео и т.д. ... и конфиги тоже :))
Таким образом этот финт от каноникала- никак не связан с их заботой о безопасности, это сугубо политический шаг - мстя ораклу и не более того.
И пока у каноникла такое детство в жопе - их дистрибутиву нечего делать на серверах.
Вот представьте- стоит у вас в корпоративной сети сервер, на нем крутятся сервисы.. - и тут еблысь - каноникал решает что он умнее вас и заботится о вас- и у вас больше нет этих сервисов... Причем есть ли у вас там хакеры ломающие ваши сервисы или нет- канониклу глубоко пофигу.
Вобщем пользователи планшетников делают систему для пользователей планшетников и... они нашли свою нишу похоже...
Поддерживаю. Честно говоря редкостное паскудство.
Так нормальные компании не поступают.
Нельзя отыгрываться на пользователях.
> Поддерживаю. Честно говоря редкостное паскудство.
> Так нормальные компании не поступают.
> Нельзя отыгрываться на пользователях.Это вы про Оракл? Тогда согласен
Я и про Оракл и про Каноникал.Оракл поступили по скотски, могли бы хотя бы для 6ой ветки лицензию не отзывать.
У кучи людей же в продакшне всё это.А каноникал, за то, что выбрали такой замечательный способ "оповещения" пользователя.
Его уж точно увидят все, когда сервера приложений перестанут работать.
Да и опять же можно было попробовать договориться с Ораклом. А если они мстят Ораклу таким образом, то это вообще за гранью.
> А каноникал, за то, что выбрали такой замечательный способ "оповещения" пользователя.
> Его уж точно увидят все, когда сервера приложений перестанут работать.
> Да и опять же можно было попробовать договориться с Ораклом. А если
> они мстят Ораклу таким образом, то это вообще за гранью.У каноникала был очень простой выбор
1) Оставить в системе старый JVM к которому в сети уже гуляют эксплоиты
2) Удалить его "обновлением"."Договориться" с ораклом им никто не предлагал и оракл отлично знал последствие своего шага.
Они выбрали 2). Я это всецело поддерживаю. Если у кого-то в организации используется автоматическое обновление - то я не вижу проблем сделать свой репозиторий для Oracle JVM или перейти на OpenJDK. "Месть" тут вообще ни при чем.
3) при накатывании обновлений спросить у пользователя, хочет ли он остаться без ораклового поделия, или пусть оно живёт даже с дырками.но отчего-то такой простой вариант в головы проприетарщиков и латентных проприетарщиков просто не приходит. может, потому, что они считают своих пользователей слишком тупыми и привыкшими жрать, что дают? а может, они вовсе даже не так неправы, как кажется?
p.s. те, кто держат бубунту на серверах — ССЗБ.
> 3) при накатывании обновлений спросить у пользователя, хочет ли он остаться без
> ораклового поделия, или пусть оно живёт даже с дырками.
> но отчего-то такой простой вариант в головы проприетарщиков и латентных проприетарщиков
> просто не приходит. может, потому, что они считают своих пользователей слишком
> тупыми и привыкшими жрать, что дают? а может, они вовсе даже
> не так неправы, как кажется?Потому что в организации такие решения должен принимать отнюдь не конечный пользователь.
А почему бы вместо пустого пакета не сделать пакет со скриптом, который будет выкачивать и ставить последнюю версию оригинальной сборки JDK с сайта Oracle. И у пользователей ничего не поломается, и условия Oracle будут соблюдены.
А ведь в самом деле. Мне всегда интересно: если пакет не распространяется, а собирается на машине конечного пользователя скриптом - это будет нарушением или нет?
Дебиановцы против.
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=646524#25
Am 02.11.2011 16:11, schrieb Petr Hudec:
> Maybe we could offer downloader, something similar to flashplugin-nonfree.No, thanks. We should not start that again. Please help with packaging
OpenJDK if you have some spare time.Torsten
Еще бы, подобным образом, Flash удалили...
> Еще бы, подобным образом, Flash удалили...Зачем? Его с таким трудом затаскивали в систему.
В рассылки новостей Дебиан тоже говорили про удаление JDK.
Вот глупо. Зачем отключать? Могли бы просто обновить на openJDK
> Вот глупо. Зачем отключать? Могли бы просто обновить на openJDKНе могли бы.
1) OpenJDK мог быть уже установлен, эти пакеты не конфликтовали.
2) Много чего не работает в OpenJDK, например у меня не работает DRAC KVM и еще пару приложений критично важных для работы.
> 2) Много чего не работает в OpenJDK, например у меня не работает
> DRAC KVM и еще пару приложений критично важных для работы.после «обновления» и так не будут работать, потому что вообще жабы не останется. подумаешь, ерунда какая.
Всего хорошего Ораклу
навело на мысль, что неплохо бы присоединиться к списку рассылки по безопасности Ubuntu. так, на будущее
Bug #902797 в Ubuntu ~12.04
https://bugs.launchpad.net/ubuntu/+source/openjdk-6/+bug/902797