URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 89651
[ Назад ]

Исходное сообщение
"Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."

Отправлено opennews , 17-Апр-13 10:08 
Компания Oracle  представила (https://blogs.oracle.com/java/entry/java_se_7_update_21) плановый корректирующий выпуск Java SE 7 Update 21 (http://www.oracle.com/technetwork/java/javase/7u21-relnotes-...), в котором устранены 42 новые (http://www.oracle.com/technetwork/topics/security/javacpuapr...) проблы с безопасностью, а также внесена порция улучшений, направленных на увеличение  безопасности. Кроме того, несмотря на решение по прекращению выпуска публичных обновлений для Java SE 6, так как данная ветка всё ещё активно используется, опубликован выпуск  Java SE 6 Update 45 (http://www.oracle.com/technetwork/java/javase/6u45-relnotes-...) c устранением 25 уязвимостей (http://www.oracle.com/technetwork/topics/security/javacpuapr...).


19 уязвимостям присвоен максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента. Все уязвимости присутствуют JRE. 39 проблем подвержены удалённой эксплуатации без проведения аутентификации.


В Java SE 7 Update 21 внесена большая серия изменений и улучшений:


-  Подготовлен новый пакет Server JRE (Server Java Runtime Environment), предназначенный для развёртывания  серверных Java-приложений. В состав пакета входит набор инструментов для мониторинга на работой JVM и выполнения типичных задач по обслуживанию серверных Java-приложений, но не входят компоненты, связанные с функционированием браузерного плагина, инсталлятором и системой автоматической установки обновлений. Пакет подготовлен для  Solaris, Windows и Linux;

-  Сформирован JDK для Linux-систем, работающих на платформах ARM. Поддерживаются системы на базе архитектуры ARMv6 и ARMv7. В версии для ARM пока не поддерживаются технологии  Java WebStart,  Java Plug-In, Garbage First (G1) Collector, JavaFX SDK и JavaFX Runtime;

-   Из связанного с безопасностью блока панели управления (Java Control Panel) удалена возможность выбора низкоуровневых и ручных настроек. Связанные с безопасностью параметры теперь выбираются только на основании выбранного уровня безопасности. По умолчанию установлен высокий уровень безопасности, допускающий выполнение только апплетов с верифицированной цифровой подписью;

-  Изменены связанные с безопасностью диалоги, любой выполняемый в браузере Java-код теперь приводит к выводу предупреждения и требует явного подтверждения от пользователя. Форма диалога зависит от уровня риска, для неопасных событий выводятся минималистичные диалоги с предложением кликнуть для согласия, а для потенциально опасных сценариев, таких как запуск неподписанных JAR-файлов, выводятся комплексные формы, требующие от пользователя выполнения серии шагов;

-  Изменения (http://docs.oracle.com/javase/7/docs/technotes/guides/rmi/en...) в RMI (Remote Method Invocation API): по умолчанию активировано свойство java.rmi.server.useCodebaseOnly,  что запрещает загрузку внешних Java-классов по URL, если адрес жестко не прописан в настройках. Подобное изменение может привести к нарушению работы некоторых RMI-приложений;

-  Изменения в  Runtime.exec: для платформы Windows ужесточены правила декодирования управляющих строк в методах Runtime.exec(String), Runtime.exec(String,String[]) и Runtime.exec(String,String[],File). Могут наблюдаться проблемы при выполнении команд, использующих некорректный квотинг. Например, Runtime.getRuntime().exec("C:\\My Programs\\foo.exe bar") из-за отсутствия экранирования пробела будет воспринято как попытка выполнить команду "C:\\My" с аргументами "Programs\\foo.exe" и "bar", а  Runtime.getRuntime().exec("\"C:\\My Programs\\foo.exe\" bar") как попытка выполнить "\"C:\\My";


-  Введён в строй репозиторий с чёрным списком сертификатов и проблемных JAR-файлов. Синхронизация клиентских систем с данными из репозитория осуществляется ежедневно.

URL: https://blogs.oracle.com/java/entry/java_se_7_update_21
Новость: http://www.opennet.me/opennews/art.shtml?num=36715


Содержание

Сообщения в этом обсуждении
"Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."
Отправлено wS , 17-Апр-13 10:08 
ухх! только Java SE 7 Update 17 поставил как 21 уже вышел

"Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."
Отправлено Аноним , 17-Апр-13 10:22 
Приходится поддерживать различные ОС. Поэтому несколько слов о проблемах загрузки Java для Windows. Итак:
1. На сайте http://www.java.com/ru/download/manual.jsp?locale=ru для загрузки предлагается только 32-разрядная версия.
2. Для загрузки 64-разрядной версии (да и 32-разрядной можно) обратиться по адресу http://www.oracle.com/technetwork/java/javase/downloads/jre7...

В чем причина такой нелюбви Oracle к 64-разрядной Windows? Видимо, как и большинство, ее не принимают всерьез?


"Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."
Отправлено Аноним , 17-Апр-13 10:29 
Да забыли страничку обновить просто. Это как на getfirefox.com доступна только 32-битная версия браузера Firefox для Linux, хотя 64-битную они тоже начали делать, причём больше года.

Раньше на java.com предлагалась для загрузки только Java 6, а Java 7 была доступна только на сайте Oracle. Так что отсутствие ссылки на 64-битную версию - это ещё мелочь. http://linsovet.org.ua/install-oracle-java-jre-and-jdk


"Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."
Отправлено ананим , 17-Апр-13 10:43 
>хотя 64-битную они тоже начали делать, причём больше года.

Зато для винды прекратили.
>В чем причина такой нелюбви Oracle к 64-разрядной Windows? 

Вот это вот вы на опеннете спрашиваете?


"Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."
Отправлено cxdcds , 19-Апр-13 02:17 
Вот это вот вы на опеннете спрашиваете?

Да. Больше негде. Только тут есть универсальные специалисты по любым вопросам.


"Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."
Отправлено Аноним , 17-Апр-13 11:03 
> Да забыли страничку обновить просто.

Применяю приложения Java около года, поэтому могу сказать, что это - тенденция. На сайте java по крайней мере за последний год никогда не было 64-разрядной Java для Windows.


"Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."
Отправлено Аноним , 17-Апр-13 10:56 
> В чем причина такой нелюбви Oracle к 64-разрядной Windows?

Чтобы было некуда пухнуть по памяти. :)

> Видимо, как и большинство, ее не принимают всерьез?

Я бы сказал, что всерьез не воспринимают 32-битную винду. Другое дело, что для винды распространен подход запуска 32-битных прог на 64-битной винде.


"Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."
Отправлено Аноним , 17-Апр-13 11:00 
> Другое дело, что для винды распространен подход запуска 32-битных прог на 64-битной винде.

Но не Java. Есть примеры клиентских Java-приложений, которые работают на 64-разрядной Windows только под 64-разрядной Java.


"Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."
Отправлено Аноним , 17-Апр-13 18:34 
Это как?!?
А как же "compile once, run -everywhere!"
Как обычно булшит и враки жабские?? Кто бы сомневался :)

"Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."
Отправлено Аноним , 17-Апр-13 19:46 
Можете лично проверить. Это приложение WEASIS. Запускалась на Windows 8 x64: отлично работает под Java x64, не работает под Java x86.

"Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."
Отправлено Аноним , 17-Апр-13 11:06 
> Я бы сказал, что всерьез не воспринимают 32-битную винду.

Как игровая система очень неплоха. Вот, например, есть люди, которые собирают модельки танков, самолетов, и считают это очень серьезным делом (и серьезным бизнесом). Так и Windows - вполне себе хорошая игрушка. И серьезный бизнес.


"Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."
Отправлено Аноним , 17-Апр-13 10:40 
вообще-то поддержка arm в jdk7 есть давно и всегда можно скачать пакет с раздела java se embedded, теперь его просто обновили, последний был с update 10

"Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."
Отправлено Аноним , 17-Апр-13 12:04 
45 устранили, а сколько добавили?

"Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."
Отправлено anoname , 17-Апр-13 17:23 
Зачем вот прекращать поддержку 6-й ветки, если большинство клиент-банков работают исключительно на ней?

"Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."
Отправлено CPP , 17-Апр-13 17:48 
> Зачем вот прекращать поддержку 6-й ветки, если большинство клиент-банков работают исключительно
> на ней?

Может быть потому, что банки не платят Oracle за поддержу 6 ветки -)


"Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."
Отправлено Gleb , 17-Апр-13 18:19 
Стоимость поддержки обратной совместимости очень высокая. Вот и заставляют так переходить на новые версии.

"Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."
Отправлено Аноним , 17-Апр-13 22:13 
А что, есть примеры приложений, написанных исключительно для Java 6, которые не работают c Java 7 или Java 8?

Нет, ну Java же не .NET, для которой каждая мелкая как вошь программулина тянет не только нужную ей основную версию типа 3.0, 3.5, 3.51, 4.0, но, бывает, даже конкретную четырехзначную сборку из указанного, найти которую бывает очень нелегко. Что доставляет пользователям немало острых ощущений.


"Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."
Отправлено anoname , 17-Апр-13 22:19 
Клиент-банки, повторюсь же.

"Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."
Отправлено Аноним , 17-Апр-13 18:42 
Мне вот интересно, это они так хорошо дыры находят или их так много

"Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."
Отправлено Аноним , 17-Апр-13 19:51 
> Мне вот интересно, это они так хорошо дыры находят или их так
> много

Предлагаю следующую версию о наличии якобы "дыр" в крупных проприетарных проектах (Java, Windows и т.д.). Версия проста - их нет. Есть намеренно введенные бэкдоры, выполненные разработчиками для каких-то целей. Эти бэкдоры случайно открывают хакеры. Данная парадоксальная версия также объясняет поразительную скорость "закрытия" дыр.


"Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."
Отправлено serg1224 , 17-Апр-13 19:59 
> Предлагаю следующую версию о наличии якобы "дыр" в крупных проприетарных проектах (Java,
> Windows и т.д.). Версия проста - их нет. Есть намеренно введенные
> бэкдоры, выполненные разработчиками для каких-то целей. Эти бэкдоры случайно открывают
> хакеры. Данная парадоксальная версия также объясняет поразительную скорость "закрытия"
> дыр.

Весьма возможно, что половина дыр запланированные, но и ошибки кодирования тоже есть. Даже если в Oracle работают исключительно грамотные программисты, Java под их контролем сравнительно недавно и наверняка в проекте полно старых ошибок, с которыми ещё не сталкивались пользователи.

Последние несколько лет могу отметить рост количества установок Java у конечных пользователей. Распространённость тоже влияет на количество найденных ошибок, а также на активность недобрых хакеров. Всё-таки клиент-банки - лакомый кусочек для хищников.


"Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."
Отправлено serg1224 , 17-Апр-13 19:44 
> Введён в строй репозиторий с чёрным списком сертификатов и проблемных JAR-файлов.
> Синхронизация клиентских систем с данными из репозитория осуществляется ежедневно.

Скоро в Java появится встроенный антивирус и фаервол :-)


"Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."
Отправлено Аноним , 17-Апр-13 19:53 
>> Введён в строй репозиторий с чёрным списком сертификатов и проблемных JAR-файлов.
>> Синхронизация клиентских систем с данными из репозитория осуществляется ежедневно.
> Скоро в Java появится встроенный антивирус и фаервол :-)

А зачем? Java "слаба" почти исключительно под Windows. Новая версия - Windows 8 - имеет штатные антивирус и файервол (кстати, по этой причине Kaspersky и прочие теперь не нужны).


"Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."
Отправлено serg1224 , 17-Апр-13 20:09 
>> Скоро в Java появится встроенный антивирус и фаервол :-)
> А зачем? Java "слаба" почти исключительно под Windows. Новая версия - Windows
> 8 - имеет штатные антивирус и файервол (кстати, по этой причине
> Kaspersky и прочие теперь не нужны).

Штатные средства безопасности Windows часто отключены либо для сохранения совместимости с предыдущими (но всё ещё популярными) версиями приложений, либо чтобы не доставали пользователя своей назойливостью.

Не забывайте, что Windows - среда для конечных пользователей (прежде всего), а им (пользователям), чем проще - тем лучше. И вообще, нужно чтобы за них система сама принимала правильные решения, а не мучила вопросами типа: "Программа C:\VeriLong\Path\ToUserProfile\Local Folder\Roaming\AbraKadabra.exe пытается получить доступ в интернет"...)

Для Java проблемы безопасности - это, прежде всего, РЕПУТАЦИЯ, поэтому надо всё держать под контролем. Если Oracle почувствует, что не тянет такую нагрузку, то сольёт проект в инкубатор Apache. Время покажет...


"Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."
Отправлено Аноним , 17-Апр-13 21:45 
Не открою Америки, если скажу, что в Window 8 можно безопасно работать. Только усилия нужно для этого приложить такие, что для обычного пользователя немыслимы. Если он не может настроить исключения файервола, взамен просто отключая его, постоянно работает под аккаунтом администратора и не способен правильно реагировать на запросы антивируса ... ну туда ему и дорога, если некие крутые ребята через взломанный банк-клиент обчистят его банковский счет.

"Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."
Отправлено Аноним , 17-Апр-13 21:54 
> Не открою Америки, если скажу, что в Window 8 можно безопасно работать.
> Только усилия нужно для этого приложить такие, что для обычного пользователя
> немыслимы. Если он не может настроить исключения файервола, взамен просто отключая
> его, постоянно работает под аккаунтом администратора и не способен правильно реагировать
> на запросы антивируса ... ну туда ему и дорога, если некие
> крутые ребята через взломанный банк-клиент обчистят его банковский счет.

В Windows 8 работа под аккаунтом администратора - не слишком острая проблема благодаря неотключаемому контролю учетных записей, идея которого, похоже, целиком содрана с аналогичного механизма в Linux. Тем не менее неопытный пользователь вполне может разрешить критичную операцию неопознанной программы, что приведет к драматическим последствиям.


"Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."
Отправлено serg1224 , 17-Апр-13 22:03 
> Не открою Америки, если скажу, что в Window 8 можно безопасно работать.
> Только усилия нужно для этого приложить такие, что для обычного пользователя
> немыслимы. Если он не может настроить исключения файервола, взамен просто отключая
> его, постоянно работает под аккаунтом администратора и не способен правильно реагировать
> на запросы антивируса ... ну туда ему и дорога, если некие
> крутые ребята через взломанный банк-клиент обчистят его банковский счет.

Безопасно можно работать и на Windows 2000, и на Windows NT, если конечно комплексно подходить к безопасности.

Только рядовому пользователю все эти виндовые инструменты безопасности непонятны, а чаще просто мешают. Ведь пользователь хочет и бизнес, и развлечения совмещать на одном ПК. Точно так же пользователю удобней иметь один нож и для колбасы, и для вырезания аппендицита.

Уж не знаю каким местом думают специалисты Microsoft, но на Mac OS X проблема безопасности решена успешней. И даже без антивирусов.

Микрософтом рулят маркетологи, поэтому они всё время "улучшают" БАЗОВЫЕ фичи, которые в unix-подобных системах просто работают и работают уже давно.


"Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."
Отправлено Anonus , 18-Апр-13 01:46 
> Подготовлен новый пакет Server JRE (Server Java Runtime Environment), предназначенный для развёртывания серверных Java-приложений.

Кто-нибудь может объяснить смысл этого нового пакета? Это получается нечто среднее между JDK и JRE что ли ? В чём профит-то ?


"Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."
Отправлено Anonus , 18-Апр-13 03:45 
Отвечу сам себе...

Сравнение показало, что это тот же самый JDK, только с выпиленным JWS, без плагина и без контрольной панельки.

В чём профит всё равно не понятно... 8-)


"Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."
Отправлено VoDA , 18-Апр-13 09:04 
> Отвечу сам себе...
> Сравнение показало, что это тот же самый JDK, только с выпиленным JWS,
> без плагина и без контрольной панельки.
> В чём профит всё равно не понятно... 8-)

Плюс настройки по умолчанию сделаны "для сервера". К примеру чтобы через меньшее количество циклов дополнительно "компилировался" bytecode в маш-коды.