Hónapok óta javítatlan, kritikus Mac OS X Java sebezhetőségre figyelmeztetnek szakemberek

macOS

Landon Fuller arról vált szélesebb körben is ismertté, hogy megpróbált minél hamarabb patch-eket készíteni 2007. januárjában a Month of Apple Bugs figyelmeztetőkben publikált hibákra. A biztonsági szakember most arról ír blogjában, hogy öt hónappal ezelőtt a CVE-2008-5353 hibajegyben leírt és más sebezhetőségeket közölt publikusan és javított ki a Sun Microsystems.

A CVE-2008-5353 figyelmeztetőben leírt sebezhetőség lehetővé teszi a rosszindulatú kód számára, hogy az kitörjön a Java sandbox-ból és tetszőleges parancsokat futtasson az éppen aktuális felhasználó nevében. Ez azt eredményezi, hogy nem megbízható Java applet-ek tetszőleges kódot futtathatnak pusztán azáltal, hogy az érintett rendszerrel rendelkező felhasználó meglátogatja az applet-et hostoló weboldalt.

A szakember szerint ezek a sebezhetőségek azóta is jelen vannak az Apple által szállított JVM-ekben és a Soylatte-ben (Java 6 port Mac OS X 10.4 és 10.5 (Intel) rendszerekhez) 1.0.3-as verziójában is.

Mivel a Soylatte nem kínál böngésző plugint, használata esetén a sebezhetőségből fakadó fenyegetettség kisebb. Az OpenJDK6/Mac OS X legújabb kiadását nem érinti a CVE-2008-5353-ban leírt sebezhetőség.

Landon - hogy bemutassa a hibát - egy proof-of-concept bemutatót készített. Ha az érintett rendszerrel rendelkező felhasználó meglátogatja ezt a weboldalt, akkor a /usr/bin/say fog végrehajtódni a rendszerén a felhasználó saját jogosultságaival.

A szakember több workaround-ot is javasol a hiba orvoslásáig:

  • Mac OS X users should disable Java applets in their browsers and disable 'Open "safe" files after downloading' in Safari.
  • Soylatte users running untrusted code should upgrade to an OpenJDK6-based release, where possible. No future releases of the JRL-based Soylatte branch are planned at this time. If this is an issue for you, please feel free to contact me.
  • No work-around is available for users otherwise running Java untrusted code.

A részletek itt, itt.

( arpi_esp v | 2009. 05. 20., sze – 17:22 )

1 hete volt jre/java update osx-ben, gondolom abban csak kijavitottak mar :)

A'rpi

Nem, az Ubuntu-n azért vagy inkább biztonságban, mert az Ubuntu már januárban fixálta ezt a hibát:

http://www.ubuntu.com/usn/usn-713-1

Ezzel a megjegyzéssel:

"Some Linux distributions don't support Sun's JRE (proprietary software) despite making it available. When I asked Ubuntu to fix this vulnerability, they fixed OpenJDK quickly but told me the Sun JRE was not supported (despite being available by default on the latest LTS Ubuntu release)."

--
trey @ gépház

Én úgy tudom, hogy a legfrissebb kiadásban már ennél frissebb van. Korábbi disztrók esetén pedig azért kell egy kis kézimunka, hogy ez az usert érintse:

Alapértelmezetten az Ubuntu az OpenJDK-t szállítja. Valószínűleg ez úgy került fel a gépedre, hogy

1) engedélyezted kézzel az egyébként nem engedélyezett (community supported) "multiverse" repót (alapértelmezetten azt hiszem nincs engedélyezve)
2) telepítetted a csomagot és
3) hogy ez a csomag legyen alapértelmezetten használatban, futtattad kézzel az update-alternatives-t és beállítottad, hogy ne az Canonical által támogatott OpenJDK legyen az alapértelmezett

--
trey @ gépház

Az úgy került fel a gépemre, hogy a gépem azért van, hogy dolgozni tudjak vele.
A dolgozáshoz meg sajnos néha el kell érnem HP gépek ILO-ját, és más dolgokat is (pld. Sun gépek ALOM-ját, meg mindenféle menedzsment kártyák KVM-jét, meg virtual device részeit), amik ezzel az icedtea, vagy milyen szarral nem (mindig) mennek. Mások szerint sem: https://bugzilla.redhat.com/show_bug.cgi?id=497408.
De lehet, hogy szokás szerint én voltam a béna, amikor tavaly próbáltam.

Nem bírom felfogni, hogy mi értelme van ennek a multiverse-nek, ha a benne lévő csomagokra még security fixeket sem adnak ki.

Én megértem ezt is, de azért nyilvánvalóan tisztában kell lennie ezt a tárolót engedélyezőnek, hogy csak saját felelősségre használja:

"multiverse" component

The "multiverse" component contains software that is "not free", which means the licensing requirements of this software do not meet the Ubuntu "main" Component Licence Policy.

The onus is on you to verify your rights to use this software and comply with the licensing terms of the copyright holder.

This software is not supported and usually cannot be fixed or updated. Use it at your own risk.

--
trey @ gépház

Azért nem kell túldramatizálni. Nem kell mindennap jvm-et telepítgetni. A negyedévente talán inkább találó becslés...

Persze tudom, hogy csak kötekszel, úgy teszel mintha naponta 3 java_vm verziót adnának ki naponta. ;-)

-------------
Nem neked, mert téged úgysem érdekel, csak nem akarok új szálat nyitni.

Sőt, lehet ellenőrizni, hogy van e újabb

Egyetlen kattintással tudod ellenőrozni a java_vm verziódat.

Ha lenne repó az lenne a baj, mert jönnének a gpl* huszárok, hogy ilyen licensszerl nem kerülhet a központi tárolóba, szóval itt jót nem lehet csinálni. ez linux kommuniti. ;-)

Ill. létezik egy úgyn. debsecan csomag, ami a feltelepített csomagokról biztonsági értesítést küld, ha látod egy csomag elég véres és non free/multivers, stb.ben van, akkor frissíted manuálisan. nincs megtiltva.

Ha pedig ez a rendszer nem tetszik, akkor felraksz egy win(xp-7) et, macit, stb-t, vagy pedig egy kevésbé gpl* huszáros csomagkezeléssel megáldott rendszert.

Windowsnál mondjuk érdemes időnként ránézni a microsoft letöltési központra, mert a microsoft update sajnos hajlamos arra, hogy kihagyhat jónéhány hasznos frissítést, eszközt.

--------------------------

r=1 vagyok, de ugatok...

Persze tudom, hogy csak kötekszel, úgy teszel mintha naponta 3 java_vm verziót adnának ki naponta. ;-)

Nem, snq- azt prezentálta, hogy mekkora trollkodás szokott azon lenni, hogy a Windows alatt nincs alapból egy közös repo, amiből telepíteni és frissíteni lehet third party alkalmazásokat és ezért '1000 helyről, 2 héten keresztül kell összeszedni őket'.

Windowsnál mondjuk érdemes időnként ránézni a microsoft letöltési központra, mert a microsoft update sajnos hajlamos arra, hogy kihagyhat jónéhány hasznos frissítést, eszközt.

A Recommended updates és update service által elérhető opcionális és a nem Windows security fixekkel kapcsolatos frissítésekre gondolsz?

Nem, snq- azt prezentálta, hogy mekkora trollkodás szokott azon lenni, hogy a Windows alatt nincs alapból egy közös repo, amiből telepíteni és frissíteni lehet third party alkalmazásokat és ezért '1000 helyről, 2 héten keresztül kell összeszedni őket'.

Ahham. Úgy látszik a troll folyóírat aznapi száma kimaradt. :-)

A Recommended updates és update service által elérhető opcionális és a nem Windows security fixekkel kapcsolatos frissítésekre gondolsz?

Nem. Olyan ms eszközökre, toolokra gondolok, amiket azért jó lenne ha felajánlana az opcionális között, de ott sem jelenik meg. Pl. Windows defender. / XPről van szó konkrétan /

/Ha már a .NET es cuccosokat felhozza, meg a rosszindulatú programokat eltávolító valamit, akkor ennyi erővel felhozhatná mondjuk a defendert is./
Ha már fent van, akkor a definíció frissítéseket már megcsinálja az MS update, de magát a windows defendert nem hozza az opcionális cuccok között sem. Media playert, IE8asszem igen. szóval azért érdekes.

Mondjuk legalább a def. frissítést megcsinálja, mert az meg a windows defender menüjéből nem mindig szokott menni.

Meg valóban előfordulnak időről időre nem windows sec fixekkel kapcsolatos, de hasznos frissítések, amik az opcionálisban sincsenek benne, és kézzel kell kotorni utána ms letöltési központban kulcsszó megadásával. Nem arról van szó, hogy sokáig tart, vagy valami, de ha már így szóba hoztad... :-))))

----------------------

r=1 vagyok, de ugatok...

Akkor megint megjegyzek egyet és nyitok egy másikat :D

Nyiss egy "ki akar moderátort a hupra" jellegű témát a flame-v. köz9sségi izé forumba, aztán ha többséget szerzel szocialista munkaidőben / deprecated kifejezés ;-) /, társadalmi munkában le is vághatod mindet :D

-----------

r=1 vagyok, de ugatok...

1. Ezt ubuntutól kérdezd, én honnét tudjam ? :))

2. A külön szekciónak van értelme azért, a non-free/multiverse, akármiben azért , mert a csomagkezelőben azonnal látszik, hogy mliyen csomagok frissitését kell adott esetben kézzel elvégezni. Ugyanis ez a szekció nem támogatott, nem frissített, használd saját felelősségedre kategória.

Ha itt van egy csomag, azért nem akkora probléma, ha az adott csomag biztonsági szempontból nemolyan érzékeny. Pl. crafty (sakk engine) / ha akarsz kereshetsz újabbat, de mivel jó eséllyel a "régi" non-free/multiverse verziót sem vered meg, tökfölösleges :D /, de sun-java-6-jre t ha nem frissítik, tényleg nem biztos hogy jó ötlet volt belerakni.

De önmagában nonfree repok léte nem egy rossz ötlet.

----------------------------------------

r=1 vagyok, de ugatok...

Ez így van.

Kivéve a non supported csomagokat. (non-free, multiverse, stb. tároló).

Nem véletlenül vannak különszedve. Ha felteszel innen csomagot, arra neked kell figyelni későbbiekben. Ha megnézed a disztribed csomagkezelési/repo "szabályzatát" világosan leírja, hogy multiverse repoban a csomagok not supportedek, és csak saját felelősségre.

Mondjuk azért az érdekes, hogy megnéztem a deblennyt és ezt láttam, hogy aptitude changelog valamelyik korábbi verzióra ezt írja:

sun-java6 (6-12-0ubuntu1) jaunty;

Ezek szerint van magasabb ubuntu verzió nyílván, mondjuk érdekes, hogy deblenny tárolóba is belerakták korábban, ubuntuba meg még most sem :-)

-----------

Mondjuk lehet még apt-pinningelni is a csomagot egy másik verzióból / testing /, egy jódarabig ez is alkalmazható stratégia, ha lustaság fél egészség, és akkor még frissül is. És az ilyen sun java csomagoknak általában nincsenek rendszert megborító függőségeik / magasabb libc6 követelmény / ha jól emléxem .

-----------

r=1 vagyok, de ugatok...

Egyetértek abban, hogy jó volna ha a multiverse és a többi tároló is hivatalos támogatással bírna. De ne kérjük számon azt, amit nem is vállalt senki.

A cikkben arról van szó, hogy a Mac OS X hivatalosan támogatott verziója sebezhető (immár sok hónapja), az Ubuntu hivatalosan támogatott verzióját pedig gyorsan (január) javították. Almát az almához van értelme hasonlítani.

--
trey @ gépház

Nem mentség, de nem is kérem rajtuk számon :)

Flasht kézzel telepítek (nem is system wide, csak az én useremnek a .mozilla könyvtárba), Java-ból pedig alapértelmezetten az gyárit használom, de ha pl. ILO-zni kell vagy olyan helyre kell, ahova az nem felel meg (ez nagyon ritka), akkor 1 sec alatt átállítom egy update-alternatives-szel ideiglenesen, majd vissza. Egyébként az én disztrómban levő multiverse-ben levő Sun Java sem érintett ebben a hibában (fixme).

--
trey @ gépház