A szakember szerint ezek a sebezhetőségek azóta is jelen vannak az Apple által szállított JVM-ekben és a Soylatte-ben (Java 6 port Mac OS X 10.4 és 10.5 (Intel) rendszerekhez) 1.0.3-as verziójában is.
Mivel a Soylatte nem kínál böngésző plugint, használata esetén a sebezhetőségből fakadó fenyegetettség kisebb. Az OpenJDK6/Mac OS X legújabb kiadását nem érinti a CVE-2008-5353-ban leírt sebezhetőség.
Landon - hogy bemutassa a hibát - egy proof-of-concept bemutatót készített. Ha az érintett rendszerrel rendelkező felhasználó meglátogatja ezt a weboldalt, akkor a /usr/bin/say fog végrehajtódni a rendszerén a felhasználó saját jogosultságaival.
A szakember több workaround-ot is javasol a hiba orvoslásáig:
- Mac OS X users should disable Java applets in their browsers and disable 'Open "safe" files after downloading' in Safari.
- Soylatte users running untrusted code should upgrade to an OpenJDK6-based release, where possible. No future releases of the JRL-based Soylatte branch are planned at this time. If this is an issue for you, please feel free to contact me.
- No work-around is available for users otherwise running Java untrusted code.
- A hozzászóláshoz be kell jelentkezni
Hozzászólások
1 hete volt jre/java update osx-ben, gondolom abban csak kijavitottak mar :)
A'rpi
- A hozzászóláshoz be kell jelentkezni
De hát ha egyszer megdönthetetlen bizonyíték van arra, hogy nem javították?!
Nem volt hír róla a hupon. :)
Szerk: ja, de. :D
- A hozzászóláshoz be kell jelentkezni
"Unfortunately, it is still not patched in their latest security update from just a few days ago."
A második link alatt.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
A nénikéjét. Működik. :(
- A hozzászóláshoz be kell jelentkezni
telleg :)
A'rpi
- A hozzászóláshoz be kell jelentkezni
Kellemetlen, de szerencsére én biztonságban vagyok az ubuntun, mert azt írja, hogy /usr/bin/say, no such file or directory.
- A hozzászóláshoz be kell jelentkezni
Annyira nem, hiszen az
/usr/bin/say
helyett meghívódhatna más program is. Mondjuk az
/usr/bin/rm
?
Ave, Saabi.
- A hozzászóláshoz be kell jelentkezni
Irónia volt, arra reagálva, hogy ennek amúgy nem sok köze van a Mac OSX-hez, sokkal inkább a használt JRE/JDK-hoz.
- A hozzászóláshoz be kell jelentkezni
Nem, az Ubuntu-n azért vagy inkább biztonságban, mert az Ubuntu már januárban fixálta ezt a hibát:
http://www.ubuntu.com/usn/usn-713-1
Ezzel a megjegyzéssel:
"Some Linux distributions don't support Sun's JRE (proprietary software) despite making it available. When I asked Ubuntu to fix this vulnerability, they fixed OpenJDK quickly but told me the Sun JRE was not supported (despite being available by default on the latest LTS Ubuntu release)."
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
http://packages.ubuntu.com/intrepid/sun-java6-jre
Tehát nem fixálta. Az, hogy a "multiverse"-ben van szerintem elég gyenge indok.
- A hozzászóláshoz be kell jelentkezni
a multiverse egy ősi afrikai szó, ami azt jelenti, hogy "az csak ahhoz kell, hogy el lehessen mondani, hogy 30-300000 szoftver elerhető, és hogy készen áll a desktopra"
- A hozzászóláshoz be kell jelentkezni
:)
---
/* No comment */
Ketchup elementál megidézése a sajt síkra
- A hozzászóláshoz be kell jelentkezni
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Ezt most megúszták a Linuxosok.
Viszont egy csomó mást nem. :)
- A hozzászóláshoz be kell jelentkezni
Pont hogy nem (feltétlenül) úszták meg, nekem pld. ez van:
ii sun-java6-jre 6-10-0ubuntu2 Sun Java(TM) Runtime Environment (JRE) 6
- A hozzászóláshoz be kell jelentkezni
Én úgy tudom, hogy a legfrissebb kiadásban már ennél frissebb van. Korábbi disztrók esetén pedig azért kell egy kis kézimunka, hogy ez az usert érintse:
Alapértelmezetten az Ubuntu az OpenJDK-t szállítja. Valószínűleg ez úgy került fel a gépedre, hogy
1) engedélyezted kézzel az egyébként nem engedélyezett (community supported) "multiverse" repót (alapértelmezetten azt hiszem nincs engedélyezve)
2) telepítetted a csomagot és
3) hogy ez a csomag legyen alapértelmezetten használatban, futtattad kézzel az update-alternatives-t és beállítottad, hogy ne az Canonical által támogatott OpenJDK legyen az alapértelmezett
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Linux != Ubuntu
- A hozzászóláshoz be kell jelentkezni
Ja, de itt most nem abből indult ki a beszélgetés?
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
De, most hogy mondod.
- A hozzászóláshoz be kell jelentkezni
Az úgy került fel a gépemre, hogy a gépem azért van, hogy dolgozni tudjak vele.
A dolgozáshoz meg sajnos néha el kell érnem HP gépek ILO-ját, és más dolgokat is (pld. Sun gépek ALOM-ját, meg mindenféle menedzsment kártyák KVM-jét, meg virtual device részeit), amik ezzel az icedtea, vagy milyen szarral nem (mindig) mennek. Mások szerint sem: https://bugzilla.redhat.com/show_bug.cgi?id=497408.
De lehet, hogy szokás szerint én voltam a béna, amikor tavaly próbáltam.
Nem bírom felfogni, hogy mi értelme van ennek a multiverse-nek, ha a benne lévő csomagokra még security fixeket sem adnak ki.
- A hozzászóláshoz be kell jelentkezni
Értem az okot, hogy miért került fel egy alapértelmezetten nem szupportált csomag a gépedre ahelyett, ami hivatalos támogatással bír.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Mert a hivatalos támogatással bíró használhatatlan.
- A hozzászóláshoz be kell jelentkezni
Én megértem ezt is, de azért nyilvánvalóan tisztában kell lennie ezt a tárolót engedélyezőnek, hogy csak saját felelősségre használja:
The "multiverse" component contains software that is "not free", which means the licensing requirements of this software do not meet the Ubuntu "main" Component Licence Policy.
The onus is on you to verify your rights to use this software and comply with the licensing terms of the copyright holder.
This software is not supported and usually cannot be fixed or updated. Use it at your own risk.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
És ez szerinted mentség? Te melyik JRE-t használod? (egy rakás HP géppel vagy körülvéve, hogy éred el a konzoljukat?) Melyik flasht?
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
akkor mi ertelme van a tarolonak?
---
/* No comment */
Ketchup elementál megidézése a sajt síkra
- A hozzászóláshoz be kell jelentkezni
hogy lehessen rájuk mutogatni a hupfórumban, hogy mennyivel egyszerűbb, mint _napokig_ (vö 2-3 perc) telepítgetni és keresgélni az új verziókat _minden_nap_
- A hozzászóláshoz be kell jelentkezni
Azért nem kell túldramatizálni. Nem kell mindennap jvm-et telepítgetni. A negyedévente talán inkább találó becslés...
Persze tudom, hogy csak kötekszel, úgy teszel mintha naponta 3 java_vm verziót adnának ki naponta. ;-)
-------------
Nem neked, mert téged úgysem érdekel, csak nem akarok új szálat nyitni.
Sőt, lehet ellenőrizni, hogy van e újabb
Egyetlen kattintással tudod ellenőrozni a java_vm verziódat.
Ha lenne repó az lenne a baj, mert jönnének a gpl* huszárok, hogy ilyen licensszerl nem kerülhet a központi tárolóba, szóval itt jót nem lehet csinálni. ez linux kommuniti. ;-)
Ill. létezik egy úgyn. debsecan csomag, ami a feltelepített csomagokról biztonsági értesítést küld, ha látod egy csomag elég véres és non free/multivers, stb.ben van, akkor frissíted manuálisan. nincs megtiltva.
Ha pedig ez a rendszer nem tetszik, akkor felraksz egy win(xp-7) et, macit, stb-t, vagy pedig egy kevésbé gpl* huszáros csomagkezeléssel megáldott rendszert.
Windowsnál mondjuk érdemes időnként ránézni a microsoft letöltési központra, mert a microsoft update sajnos hajlamos arra, hogy kihagyhat jónéhány hasznos frissítést, eszközt.
--------------------------
r=1 vagyok, de ugatok...
- A hozzászóláshoz be kell jelentkezni
Persze tudom, hogy csak kötekszel, úgy teszel mintha naponta 3 java_vm verziót adnának ki naponta. ;-)
Nem, snq- azt prezentálta, hogy mekkora trollkodás szokott azon lenni, hogy a Windows alatt nincs alapból egy közös repo, amiből telepíteni és frissíteni lehet third party alkalmazásokat és ezért '1000 helyről, 2 héten keresztül kell összeszedni őket'.
Windowsnál mondjuk érdemes időnként ránézni a microsoft letöltési központra, mert a microsoft update sajnos hajlamos arra, hogy kihagyhat jónéhány hasznos frissítést, eszközt.
A Recommended updates és update service által elérhető opcionális és a nem Windows security fixekkel kapcsolatos frissítésekre gondolsz?
- A hozzászóláshoz be kell jelentkezni
Nem, snq- azt prezentálta, hogy mekkora trollkodás szokott azon lenni, hogy a Windows alatt nincs alapból egy közös repo, amiből telepíteni és frissíteni lehet third party alkalmazásokat és ezért '1000 helyről, 2 héten keresztül kell összeszedni őket'.
Ahham. Úgy látszik a troll folyóírat aznapi száma kimaradt. :-)
A Recommended updates és update service által elérhető opcionális és a nem Windows security fixekkel kapcsolatos frissítésekre gondolsz?
Nem. Olyan ms eszközökre, toolokra gondolok, amiket azért jó lenne ha felajánlana az opcionális között, de ott sem jelenik meg. Pl. Windows defender. / XPről van szó konkrétan /
/Ha már a .NET es cuccosokat felhozza, meg a rosszindulatú programokat eltávolító valamit, akkor ennyi erővel felhozhatná mondjuk a defendert is./
Ha már fent van, akkor a definíció frissítéseket már megcsinálja az MS update, de magát a windows defendert nem hozza az opcionális cuccok között sem. Media playert, IE8asszem igen. szóval azért érdekes.
Mondjuk legalább a def. frissítést megcsinálja, mert az meg a windows defender menüjéből nem mindig szokott menni.
Meg valóban előfordulnak időről időre nem windows sec fixekkel kapcsolatos, de hasznos frissítések, amik az opcionálisban sincsenek benne, és kézzel kell kotorni utána ms letöltési központban kulcsszó megadásával. Nem arról van szó, hogy sokáig tart, vagy valami, de ha már így szóba hoztad... :-))))
----------------------
r=1 vagyok, de ugatok...
- A hozzászóláshoz be kell jelentkezni
Ms weboldalain amúgy még egy rakás hasznos tool van, de ezeket annyira ügyesen el tudják szórni, hogy csak google-ből lehet megtalálni. Pl. az xp powertoys, bár az pont rossz példa, mert azokat még aránylag könnyű megtalálni. :)
- A hozzászóláshoz be kell jelentkezni
Hát ilyen nincs. sikerült elmenni totál offtopic irányba, mindezt egyetlen elejtett megjegyzésem miatt. :D
-----------------
r=1 vagyok, de ugatok...
- A hozzászóláshoz be kell jelentkezni
Kéne már pár moderátor ide is, akik levágják az offtopic szálakat.
- A hozzászóláshoz be kell jelentkezni
Akkor megint megjegyzek egyet és nyitok egy másikat :D
Nyiss egy "ki akar moderátort a hupra" jellegű témát a flame-v. köz9sségi izé forumba, aztán ha többséget szerzel szocialista munkaidőben / deprecated kifejezés ;-) /, társadalmi munkában le is vághatod mindet :D
-----------
r=1 vagyok, de ugatok...
- A hozzászóláshoz be kell jelentkezni
-1, sok hasznos info szokott lenni ezekben a szalakban
- A hozzászóláshoz be kell jelentkezni
1. Ezt ubuntutól kérdezd, én honnét tudjam ? :))
2. A külön szekciónak van értelme azért, a non-free/multiverse, akármiben azért , mert a csomagkezelőben azonnal látszik, hogy mliyen csomagok frissitését kell adott esetben kézzel elvégezni. Ugyanis ez a szekció nem támogatott, nem frissített, használd saját felelősségedre kategória.
Ha itt van egy csomag, azért nem akkora probléma, ha az adott csomag biztonsági szempontból nemolyan érzékeny. Pl. crafty (sakk engine) / ha akarsz kereshetsz újabbat, de mivel jó eséllyel a "régi" non-free/multiverse verziót sem vered meg, tökfölösleges :D /, de sun-java-6-jre t ha nem frissítik, tényleg nem biztos hogy jó ötlet volt belerakni.
De önmagában nonfree repok léte nem egy rossz ötlet.
----------------------------------------
r=1 vagyok, de ugatok...
- A hozzászóláshoz be kell jelentkezni
Naívan azt hittem, hogy ezeknek a disztribúcióknak pont az az értelme, hogy helyettem tartanak karban csomagokat, és azokat frissítik, követik, összecsiszolják.
- A hozzászóláshoz be kell jelentkezni
Van olyan distrib, amelyiknek nem okoz nagy gondot a licenc elfogadasa es raadasul meg tamogatott is.
- A hozzászóláshoz be kell jelentkezni
Ez így van.
Kivéve a non supported csomagokat. (non-free, multiverse, stb. tároló).
Nem véletlenül vannak különszedve. Ha felteszel innen csomagot, arra neked kell figyelni későbbiekben. Ha megnézed a disztribed csomagkezelési/repo "szabályzatát" világosan leírja, hogy multiverse repoban a csomagok not supportedek, és csak saját felelősségre.
Mondjuk azért az érdekes, hogy megnéztem a deblennyt és ezt láttam, hogy aptitude changelog valamelyik korábbi verzióra ezt írja:
sun-java6 (6-12-0ubuntu1) jaunty;
Ezek szerint van magasabb ubuntu verzió nyílván, mondjuk érdekes, hogy deblenny tárolóba is belerakták korábban, ubuntuba meg még most sem :-)
-----------
Mondjuk lehet még apt-pinningelni is a csomagot egy másik verzióból / testing /, egy jódarabig ez is alkalmazható stratégia, ha lustaság fél egészség, és akkor még frissül is. És az ilyen sun java csomagoknak általában nincsenek rendszert megborító függőségeik / magasabb libc6 követelmény / ha jól emléxem .
-----------
r=1 vagyok, de ugatok...
- A hozzászóláshoz be kell jelentkezni
Egyetértek abban, hogy jó volna ha a multiverse és a többi tároló is hivatalos támogatással bírna. De ne kérjük számon azt, amit nem is vállalt senki.
A cikkben arról van szó, hogy a Mac OS X hivatalosan támogatott verziója sebezhető (immár sok hónapja), az Ubuntu hivatalosan támogatott verzióját pedig gyorsan (január) javították. Almát az almához van értelme hasonlítani.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Nem mentség, de nem is kérem rajtuk számon :)
Flasht kézzel telepítek (nem is system wide, csak az én useremnek a .mozilla könyvtárba), Java-ból pedig alapértelmezetten az gyárit használom, de ha pl. ILO-zni kell vagy olyan helyre kell, ahova az nem felel meg (ez nagyon ritka), akkor 1 sec alatt átállítom egy update-alternatives-szel ideiglenesen, majd vissza. Egyébként az én disztrómban levő multiverse-ben levő Sun Java sem érintett ebben a hibában (fixme).
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni