Biztonsági probléma van a Java 7 Update 7-tel is

Java

Ugyan az Oracle javítást adott ki az április óta általa is ismert, súlyos biztonsági hibára, szakemberek újabb kritikus hibát találtak a frissen patchelt Java 7-ben. A Security Explorations - aki a csütörtökön javított hibát is jelentette - szerint a Java 7 Update 7-tel is probléma van. A cég - elővigyázatosságból - pontos részleteket nem közölt a hibáról. A hibát bejelentette az Oracle-höz, ami ugyan még nem erősítette meg az új hiba létezését, viszont az igen, hogy kapott a Security Explorations-től hibabejelentést és azt már elemzi.

A részletek itt olvashatók.

( DirtY_iCE | 2012. 09. 01., szo – 16:37 )

/off ezeket kene felelossegre vonni, akik 4 honap alatt nem kepesek (marmint aki tehet rola hogy nem tortent meg) egy normalis patchet eloallitani egy altaluk ismert biztonsagi resre, nem a programozot aki elfelejtett valamit... /on

I hate myself, because I'm not open-source.

Mire? Hiszen még csak most elemzik, hogy mi a probléma... Meg egyáltalán. Mire kérsz pénzért javítást?

"- Halló, az interneten olvastam, hogy az Önök termékével megint biztonsági probléma van. Kérek rá javítást." <- erre gondolsz? Vagy arra, hogy pénzes ügyfeleket suttyomban értesítik?

--
trey @ gépház

"Mire? Hiszen még csak most elemzik, hogy mi a probléma... Meg egyáltalán. Mire kérsz pénzért javítást?"

Szerény véleményem szerint már kész a javítás az összes bejelentett biztonsági hibára, ahogy a most kiadottra is elkészült már július 19-én, csak a release ciklus miatt nem került kiadásra. Lehet szeretni vagy nem szeretni a kétszer kéthavi feature-security release ciklust, de ez van, vannak olyan gyártók, ahol csak fél- vagy egy évente adnak ki új frissítést, csak az átlag halandónak fogalma nincs arról, hogy veszélyben van-e vagy nincs (amíg egy-egy hibát fel nem kap a média).
--
http://wiki.javaforum.hu/display/~auth.gabor/Home

Nem korrekt, de sajnos nem nagyon tudsz olyan nagyobb céget mondani, ahol másképp menne... simán el tudom képzelni egy szimpla Ubuntu esetén is, hogy a Canonical nem fogja elkapkodni a javítás kiadását arra az issue-ra, amit PoC-al együtt bejelentesz és még nem használják széleskörűen.
--
http://wiki.javaforum.hu/display/~auth.gabor/Home

"De te itt másról beszélsz. Szerinted a javítás megvan, csak visszatartják."

Szerinted más cégeknél hogy van? Minden cégnél, ahol nem ad-hoc release van, hanem ütemesen tervezett release-ben gondolkodnak, akkor n darab biztonsági hibát javítanak és e mellé m darab egyéb issue-t tartalmaz minden egyes release. Csak akkor adnak ki tervezett release-en kívüli csomagot, ha nagyon nagy a biztonsági rés és/vagy elkezdik kihasználni. Nézz meg például egy tetszőleges Apache csomagot, ezt fogod látni (http://www.apache.org/dist/httpd/Announcement2.0.html)... vagy nézz meg egy Drupal release notes-t (http://drupal.org/node/449114 és http://drupal.org/node/461882), ezt fogod látni és még sorolhatnám... egyáltalán nem különleges dolog az, hogy megjavítanak egy-egy security issue-t, de nem adják ki azonnal.
--
http://wiki.javaforum.hu/display/~auth.gabor/Home

Ideális világban természetesen azonnal kiadásra kerülhet a javítás. A valóságban a javítás és a javítás kiadása között mindig nullánál nagyobb idő telik el...

Tehát abban van a vita, hogy egy security issue javítása és a kiadása között egészen pontosan maximum mennyi idő telhet el. 1 hét? Miért pont egy hét? 1 nap? Miért pont egy nap? 1 óra? Miért pont egy óra? 1 perc? Miért pont egy perc? Szerintem bármelyik időpont mellett lehet érveket és ellenérveket keresni...

Szerinted mennyi az a maximális idő, ami elfogadható és miért pont annyi?
--
http://wiki.javaforum.hu/display/~auth.gabor/Home

"Szerény véleményem szerint már kész a javítás az összes bejelentett biztonsági hibára"

A kérdés az, hogy ha készen van, akkor miért kell visszatartani.

"Szerinted mennyi az a maximális idő, ami elfogadható és miért pont annyi?"

Ha készen van, akkor az elfogadható visszatartási idő szerintem zéró perc.

--
trey @ gépház

"A kérdés az, hogy ha készen van, akkor miért kell visszatartani."

Mert nem lehet azonnal release-t kiadni. Nem életszerű.

"Ha készen van, akkor az elfogadható visszatartási idő szerintem zéró perc."

Tehát reggel 8-kor bejön egy security issue, kiosztják a feladatot valamelyik fejlesztőnek, délre megfoltozza, kettőre letesztelik, kettő óra nulla perckor kimegy a build. Közben bejön egy security issue 11-kor, kiosztják, kettő óra egy perckor kész a javított build, ezért aznap egy perc különbséggel két build kerül kiadásra, ha nem esik be több security issue.

Egyrészt én ezt egy cseppet sem érzem életszerűnek se logikusnak... másrészt ha így történne, akkor itt pörögne a rendszergazda népség krémje és véres szájjal szidná azt a gyártót, amelyik naponta ad ki release-t minden apró-cseprő security bugra, akár naponta többször is pár perces különbséggel...
--
http://wiki.javaforum.hu/display/~auth.gabor/Home

"Nem életszerű."

Miert? Kifejtened?

"Tehát reggel 8-kor bejön egy security issue"

Erosen kisarkitottad, ilyet senki nem mondott. De en meg azt nem erzem eletszerunek, hogy egyes hirforrasok szerint az Ora mar kb. aprilis kornyeketol tudott a bugrol. Ez bennem kicsit azt a kepzetet kelti, hogy majusig dolgoztak a fejlesztok, aztan jott a nyari szunet, es valamikor augusztus vege fele kezdtek megint gepkozelbe kerulni. Valahogy a nyar kimaradt.

Ugy gondolom, hogy ha bejon egy secu issue egy mar meglevo termekhez, az igenis elvezzen prioritast. Legyen kiadasi utemterv, nem banom, de ne tobb honapig uljenek egy ilyen relative sulyos probleman.
En azt is megertem, hogy ha egy ilyen bug tesztelese sokaig tart - de akkor meg kommunikalni illik.

Nagyon nehezen vedheto ez a bug, akarhonnan nezem.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

""Nem életszerű.""
"Miert? Kifejtened?"

Komolyan úgy gondoljátok, hogy az idei első félévben javított 48 security issue-ra egyenként kellett volna egy-egy release, a patch elkészítése és tesztelése után azonnal?

"Erosen kisarkitottad, ilyet senki nem mondott."

A trey féle 0 perc az nem sarkított mondás? :)

"De en meg azt nem erzem eletszerunek, hogy egyes hirforrasok szerint az Ora mar kb. aprilis kornyeketol tudott a bugrol. Ez bennem kicsit azt a kepzetet kelti, hogy majusig dolgoztak a fejlesztok, aztan jott a nyari szunet, es valamikor augusztus vege fele kezdtek megint gepkozelbe kerulni. Valahogy a nyar kimaradt."

Nem is így történt.

"Nagyon nehezen vedheto ez a bug, akarhonnan nezem."

Ez így van, kapott is egy külön release-t.
--
http://wiki.javaforum.hu/display/~auth.gabor/Home

és akkor supportáljon az ora ~500 különböző verziót, vagy frissítse magát erőszakkal, mint a firefox/adobe/etc.

mert ez a három lehetőség van, visszatartják, kiszórják és fragmentálják, kényszerítik (+1 rendesen tesztelik)
számomra még mindig az első a legszimpibb

Puppy linux felhasználó

( jupiter2005ster v | 2012. 09. 02., v – 12:09 )

A Java 7.6-ig fent volt a gépemen, de most már semmi pénzért nem tenném vissza.

troll on/
oké, adóhatóságnak kell? akkor inkább összerakok egy VM-et és úgy használom vagy kitöltöm papíron.
vagy még jobb, megkérem Őket (nav) hogy csinálják meg nekem. :)
troll off/

ilyen hozzáállás/szakértelem mellett, ha tehetem, elkerülöm a Javat mint a macska a forró kását.
--
A legértékesebb idő a pillanat amelyben élsz.
http://phoenix-art.hanzo.hu/
https://sites.google.com/site/jupiter2005ster/

nem mind1 hogy 7.6 vagy 7u6? ugy is csak fo verziok valtoznak (legalabb is eddig ez volt)
a lenyeg hogy ertheto. egyebkent pedig valoban nem sokat hasznaltam es nem is vagyok otthon a java-ban.
--
A legértékesebb idő a pillanat amelyben élsz.
http://phoenix-art.hanzo.hu/
https://sites.google.com/site/jupiter2005ster/

Sztem az a baj, hogy sok helyen el sem tudod kerülni a Javát, mint belvárosban a kutyasz.rt. Csomó weblap van, ami javával megy, banki interface-ek, SAP, rengeteg IDE, ...

Szóval sztem Java user vagy, hacsak nem tiltottad le a browseredben. (csak akkor sok mindent nem tudsz használni.)