The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление Java SE 7 Update 21 с устранением 45 уязвимостей и поддержкой ARM

17.04.2013 10:05

Компания Oracle представила плановый корректирующий выпуск Java SE 7 Update 21, в котором устранены 42 проблемы с безопасностью, а также внесена порция улучшений, направленных на увеличение безопасности. Кроме того, несмотря на решение по прекращению выпуска публичных обновлений для Java SE 6, так как данная ветка всё ещё активно используется, опубликован выпуск Java SE 6 Update 45 c устранением 25 уязвимостей.

19 уязвимостям присвоен максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента. Все уязвимости присутствуют в JRE. 39 проблем подвержены удалённой эксплуатации без проведения аутентификации.

Кроме устранения уязвимостей, Java SE 7 Update 21 внесена серия изменений и улучшений:

  • Подготовлен новый пакет Server JRE (Server Java Runtime Environment), предназначенный для развёртывания серверных Java-приложений. В состав пакета входит набор инструментов для мониторинга работы JVM и выполнения типичных задач по обслуживанию серверных Java-приложений, но не входят компоненты, связанные с функционированием браузерного плагина, инсталлятором и системой автоматической установки обновлений. Пакет подготовлен для Solaris, Windows и Linux;
  • Сформирован JDK для Linux-систем, работающих на платформах ARM. Поддерживаются системы на базе архитектуры ARMv6 и ARMv7. В версии для ARM пока не поддерживаются технологии Java WebStart, Java Plug-In, Garbage First (G1) Collector, JavaFX SDK и JavaFX Runtime;
  • Из блока настроек безопасности в панели управления (Java Control Panel) удалена возможность выбора низкоуровневых и ручных настроек. Связанные с безопасностью параметры теперь выбираются только на основании выбранного уровня безопасности. По умолчанию установлен высокий уровень безопасности, допускающий выполнение только апплетов с верифицированной цифровой подписью;
  • Изменены связанные с безопасностью диалоги, любой выполняемый в браузере Java-код теперь приводит к выводу предупреждения и требует явного подтверждения от пользователя. Форма диалога зависит от уровня риска: для неопасных событий выводятся минималистичные диалоги с предложением кликнуть для согласия, а для потенциально опасных сценариев, таких как запуск неподписанных JAR-файлов, выводятся комплексные формы, требующие от пользователя выполнения серии шагов;
  • Изменения в RMI (Remote Method Invocation API): по умолчанию активировано свойство java.rmi.server.useCodebaseOnly, что запрещает загрузку внешних Java-классов по URL, если адрес жестко не прописан в настройках. Подобное изменение может привести к нарушению работы некоторых RMI-приложений;
  • Изменения в Runtime.exec: ужесточены правила декодирования управляющих строк в методах Runtime.exec(String), Runtime.exec(String,String[]) и Runtime.exec(String,String[],File). Могут наблюдаться проблемы при выполнении команд, использующих некорректный квотинг. Например, Runtime.getRuntime().exec("C:\\\\My Programs\\\\foo.exe bar") из-за отсутствия экранирования пробела будет воспринято как попытка выполнить команду "C:\\\\My" с аргументами "Programs\\\\foo.exe" и "bar", а Runtime.getRuntime().exec("\\"C:\\\\My Programs\\\\foo.exe\\" bar") как попытка выполнить "\\"C:\\\\My";
  • Введён в строй репозиторий с чёрным списком сертификатов и проблемных JAR-файлов. Синхронизация клиентских систем с данными из репозитория осуществляется ежедневно.


  1. Главная ссылка к новости (https://blogs.oracle.com/java/...)
  2. OpenNews: Компания Oracle выпустила внеплановое обновление Java SE с устранением 0-day уязвимости
  3. OpenNews: Обновление Java SE 7 Update 15 и Java SE 6 Update 41 с устранением уязвимостей
  4. OpenNews: Критическое обновление Java SE с устранением 50 уязвимостей
  5. OpenNews: Доступен выпуск Java SE 7 Update 11 с устранением критических уязвимостей
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/36715-java
Ключевые слова: java
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (30) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, wS (?), 10:08, 17/04/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    ухх! только Java SE 7 Update 17 поставил как 21 уже вышел
     
  • 1.2, Аноним (-), 10:22, 17/04/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Приходится поддерживать различные ОС. Поэтому несколько слов о проблемах загрузки Java для Windows. Итак:
    1. На сайте http://www.java.com/ru/download/manual.jsp?locale=ru для загрузки предлагается только 32-разрядная версия.
    2. Для загрузки 64-разрядной версии (да и 32-разрядной можно) обратиться по адресу http://www.oracle.com/technetwork/java/javase/downloads/jre7-downloads-188026

    В чем причина такой нелюбви Oracle к 64-разрядной Windows? Видимо, как и большинство, ее не принимают всерьез?

     
     
  • 2.3, Аноним (-), 10:29, 17/04/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да забыли страничку обновить просто. Это как на getfirefox.com доступна только 32-битная версия браузера Firefox для Linux, хотя 64-битную они тоже начали делать, причём больше года.

    Раньше на java.com предлагалась для загрузки только Java 6, а Java 7 была доступна только на сайте Oracle. Так что отсутствие ссылки на 64-битную версию - это ещё мелочь. http://linsovet.org.ua/install-oracle-java-jre-and-jdk

     
     
  • 3.5, ананим (?), 10:43, 17/04/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >хотя 64-битную они тоже начали делать, причём больше года.

    Зато для винды прекратили.
    >В чем причина такой нелюбви Oracle к 64-разрядной Windows? 

    Вот это вот вы на опеннете спрашиваете?

     
     
  • 4.34, cxdcds (?), 02:17, 19/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Вот это вот вы на опеннете спрашиваете?

    Да. Больше негде. Только тут есть универсальные специалисты по любым вопросам.

     
  • 3.9, Аноним (-), 11:03, 17/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Да забыли страничку обновить просто.

    Применяю приложения Java около года, поэтому могу сказать, что это - тенденция. На сайте java по крайней мере за последний год никогда не было 64-разрядной Java для Windows.

     
  • 2.7, Аноним (-), 10:56, 17/04/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > В чем причина такой нелюбви Oracle к 64-разрядной Windows?

    Чтобы было некуда пухнуть по памяти. :)

    > Видимо, как и большинство, ее не принимают всерьез?

    Я бы сказал, что всерьез не воспринимают 32-битную винду. Другое дело, что для винды распространен подход запуска 32-битных прог на 64-битной винде.

     
     
  • 3.8, Аноним (-), 11:00, 17/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Другое дело, что для винды распространен подход запуска 32-битных прог на 64-битной винде.

    Но не Java. Есть примеры клиентских Java-приложений, которые работают на 64-разрядной Windows только под 64-разрядной Java.

     
     
  • 4.16, Аноним (-), 18:34, 17/04/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это как?!?
    А как же "compile once, run -everywhere!"
    Как обычно булшит и враки жабские?? Кто бы сомневался :)
     
     
  • 5.20, Аноним (-), 19:46, 17/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Можете лично проверить. Это приложение WEASIS. Запускалась на Windows 8 x64: отлично работает под Java x64, не работает под Java x86.
     
  • 3.10, Аноним (-), 11:06, 17/04/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Я бы сказал, что всерьез не воспринимают 32-битную винду.

    Как игровая система очень неплоха. Вот, например, есть люди, которые собирают модельки танков, самолетов, и считают это очень серьезным делом (и серьезным бизнесом). Так и Windows - вполне себе хорошая игрушка. И серьезный бизнес.

     

  • 1.4, Аноним (-), 10:40, 17/04/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    вообще-то поддержка arm в jdk7 есть давно и всегда можно скачать пакет с раздела java se embedded, теперь его просто обновили, последний был с update 10
     
  • 1.11, Аноним (-), 12:04, 17/04/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    45 устранили, а сколько добавили?
     
  • 1.12, anoname (?), 17:23, 17/04/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Зачем вот прекращать поддержку 6-й ветки, если большинство клиент-банков работают исключительно на ней?
     
     
  • 2.13, CPP (??), 17:48, 17/04/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Зачем вот прекращать поддержку 6-й ветки, если большинство клиент-банков работают исключительно
    > на ней?

    Может быть потому, что банки не платят Oracle за поддержу 6 ветки -)

     
  • 2.14, Gleb (?), 18:19, 17/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Стоимость поддержки обратной совместимости очень высокая. Вот и заставляют так переходить на новые версии.
     
  • 2.29, Аноним (-), 22:13, 17/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    А что, есть примеры приложений, написанных исключительно для Java 6, которые не работают c Java 7 или Java 8?

    Нет, ну Java же не .NET, для которой каждая мелкая как вошь программулина тянет не только нужную ей основную версию типа 3.0, 3.5, 3.51, 4.0, но, бывает, даже конкретную четырехзначную сборку из указанного, найти которую бывает очень нелегко. Что доставляет пользователям немало острых ощущений.

     
     
  • 3.30, anoname (?), 22:19, 17/04/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Клиент-банки, повторюсь же.
     

  • 1.18, Аноним (-), 18:42, 17/04/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мне вот интересно, это они так хорошо дыры находят или их так много
     
     
  • 2.21, Аноним (-), 19:51, 17/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Мне вот интересно, это они так хорошо дыры находят или их так
    > много

    Предлагаю следующую версию о наличии якобы "дыр" в крупных проприетарных проектах (Java, Windows и т.д.). Версия проста - их нет. Есть намеренно введенные бэкдоры, выполненные разработчиками для каких-то целей. Эти бэкдоры случайно открывают хакеры. Данная парадоксальная версия также объясняет поразительную скорость "закрытия" дыр.

     
     
  • 3.23, serg1224 (ok), 19:59, 17/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Предлагаю следующую версию о наличии якобы "дыр" в крупных проприетарных проектах (Java,
    > Windows и т.д.). Версия проста - их нет. Есть намеренно введенные
    > бэкдоры, выполненные разработчиками для каких-то целей. Эти бэкдоры случайно открывают
    > хакеры. Данная парадоксальная версия также объясняет поразительную скорость "закрытия"
    > дыр.

    Весьма возможно, что половина дыр запланированные, но и ошибки кодирования тоже есть. Даже если в Oracle работают исключительно грамотные программисты, Java под их контролем сравнительно недавно и наверняка в проекте полно старых ошибок, с которыми ещё не сталкивались пользователи.

    Последние несколько лет могу отметить рост количества установок Java у конечных пользователей. Распространённость тоже влияет на количество найденных ошибок, а также на активность недобрых хакеров. Всё-таки клиент-банки - лакомый кусочек для хищников.

     

  • 1.19, serg1224 (ok), 19:44, 17/04/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Введён в строй репозиторий с чёрным списком сертификатов и проблемных JAR-файлов.
    > Синхронизация клиентских систем с данными из репозитория осуществляется ежедневно.

    Скоро в Java появится встроенный антивирус и фаервол :-)

     
     
  • 2.22, Аноним (-), 19:53, 17/04/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Введён в строй репозиторий с чёрным списком сертификатов и проблемных JAR-файлов.
    >> Синхронизация клиентских систем с данными из репозитория осуществляется ежедневно.
    > Скоро в Java появится встроенный антивирус и фаервол :-)

    А зачем? Java "слаба" почти исключительно под Windows. Новая версия - Windows 8 - имеет штатные антивирус и файервол (кстати, по этой причине Kaspersky и прочие теперь не нужны).

     
     
  • 3.24, serg1224 (ok), 20:09, 17/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> Скоро в Java появится встроенный антивирус и фаервол :-)
    > А зачем? Java "слаба" почти исключительно под Windows. Новая версия - Windows
    > 8 - имеет штатные антивирус и файервол (кстати, по этой причине
    > Kaspersky и прочие теперь не нужны).

    Штатные средства безопасности Windows часто отключены либо для сохранения совместимости с предыдущими (но всё ещё популярными) версиями приложений, либо чтобы не доставали пользователя своей назойливостью.

    Не забывайте, что Windows - среда для конечных пользователей (прежде всего), а им (пользователям), чем проще - тем лучше. И вообще, нужно чтобы за них система сама принимала правильные решения, а не мучила вопросами типа: "Программа C:\VeriLong\Path\ToUserProfile\Local Folder\Roaming\AbraKadabra.exe пытается получить доступ в интернет"...)

    Для Java проблемы безопасности - это, прежде всего, РЕПУТАЦИЯ, поэтому надо всё держать под контролем. Если Oracle почувствует, что не тянет такую нагрузку, то сольёт проект в инкубатор Apache. Время покажет...

     
     
  • 4.26, Аноним (-), 21:45, 17/04/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Не открою Америки, если скажу, что в Window 8 можно безопасно работать. Только усилия нужно для этого приложить такие, что для обычного пользователя немыслимы. Если он не может настроить исключения файервола, взамен просто отключая его, постоянно работает под аккаунтом администратора и не способен правильно реагировать на запросы антивируса ... ну туда ему и дорога, если некие крутые ребята через взломанный банк-клиент обчистят его банковский счет.
     
     
  • 5.27, Аноним (-), 21:54, 17/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Не открою Америки, если скажу, что в Window 8 можно безопасно работать.
    > Только усилия нужно для этого приложить такие, что для обычного пользователя
    > немыслимы. Если он не может настроить исключения файервола, взамен просто отключая
    > его, постоянно работает под аккаунтом администратора и не способен правильно реагировать
    > на запросы антивируса ... ну туда ему и дорога, если некие
    > крутые ребята через взломанный банк-клиент обчистят его банковский счет.

    В Windows 8 работа под аккаунтом администратора - не слишком острая проблема благодаря неотключаемому контролю учетных записей, идея которого, похоже, целиком содрана с аналогичного механизма в Linux. Тем не менее неопытный пользователь вполне может разрешить критичную операцию неопознанной программы, что приведет к драматическим последствиям.

     
  • 5.28, serg1224 (ok), 22:03, 17/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Не открою Америки, если скажу, что в Window 8 можно безопасно работать.
    > Только усилия нужно для этого приложить такие, что для обычного пользователя
    > немыслимы. Если он не может настроить исключения файервола, взамен просто отключая
    > его, постоянно работает под аккаунтом администратора и не способен правильно реагировать
    > на запросы антивируса ... ну туда ему и дорога, если некие
    > крутые ребята через взломанный банк-клиент обчистят его банковский счет.

    Безопасно можно работать и на Windows 2000, и на Windows NT, если конечно комплексно подходить к безопасности.

    Только рядовому пользователю все эти виндовые инструменты безопасности непонятны, а чаще просто мешают. Ведь пользователь хочет и бизнес, и развлечения совмещать на одном ПК. Точно так же пользователю удобней иметь один нож и для колбасы, и для вырезания аппендицита.

    Уж не знаю каким местом думают специалисты Microsoft, но на Mac OS X проблема безопасности решена успешней. И даже без антивирусов.

    Микрософтом рулят маркетологи, поэтому они всё время "улучшают" БАЗОВЫЕ фичи, которые в unix-подобных системах просто работают и работают уже давно.

     

  • 1.31, Anonus (ok), 01:46, 18/04/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Подготовлен новый пакет Server JRE (Server Java Runtime Environment), предназначенный для развёртывания серверных Java-приложений.

    Кто-нибудь может объяснить смысл этого нового пакета? Это получается нечто среднее между JDK и JRE что ли ? В чём профит-то ?

     
     
  • 2.32, Anonus (ok), 03:45, 18/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Отвечу сам себе...

    Сравнение показало, что это тот же самый JDK, только с выпиленным JWS, без плагина и без контрольной панельки.

    В чём профит всё равно не понятно... 8-)

     
     
  • 3.33, VoDA (ok), 09:04, 18/04/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Отвечу сам себе...
    > Сравнение показало, что это тот же самый JDK, только с выпиленным JWS,
    > без плагина и без контрольной панельки.
    > В чём профит всё равно не понятно... 8-)

    Плюс настройки по умолчанию сделаны "для сервера". К примеру чтобы через меньшее количество циклов дополнительно "компилировался" bytecode в маш-коды.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру