The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."  +/
Сообщение от opennews on 17-Апр-13, 10:08 
Компания Oracle  представила (https://blogs.oracle.com/java/entry/java_se_7_update_21) плановый корректирующий выпуск Java SE 7 Update 21 (http://www.oracle.com/technetwork/java/javase/7u21-relnotes-...), в котором устранены 42 новые (http://www.oracle.com/technetwork/topics/security/javacpuapr...) проблы с безопасностью, а также внесена порция улучшений, направленных на увеличение  безопасности. Кроме того, несмотря на решение по прекращению выпуска публичных обновлений для Java SE 6, так как данная ветка всё ещё активно используется, опубликован выпуск  Java SE 6 Update 45 (http://www.oracle.com/technetwork/java/javase/6u45-relnotes-...) c устранением 25 уязвимостей (http://www.oracle.com/technetwork/topics/security/javacpuapr...).


19 уязвимостям присвоен максимальный уровень опасности (CVSS Score 10.0), подразумевающий возможность выхода за пределы изолированного окружения виртуальной машины и инициирования выполнения кода в системе при обработке специально оформленного контента. Все уязвимости присутствуют JRE. 39 проблем подвержены удалённой эксплуатации без проведения аутентификации.


В Java SE 7 Update 21 внесена большая серия изменений и улучшений:


-  Подготовлен новый пакет Server JRE (Server Java Runtime Environment), предназначенный для развёртывания  серверных Java-приложений. В состав пакета входит набор инструментов для мониторинга на работой JVM и выполнения типичных задач по обслуживанию серверных Java-приложений, но не входят компоненты, связанные с функционированием браузерного плагина, инсталлятором и системой автоматической установки обновлений. Пакет подготовлен для  Solaris, Windows и Linux;

-  Сформирован JDK для Linux-систем, работающих на платформах ARM. Поддерживаются системы на базе архитектуры ARMv6 и ARMv7. В версии для ARM пока не поддерживаются технологии  Java WebStart,  Java Plug-In, Garbage First (G1) Collector, JavaFX SDK и JavaFX Runtime;

-   Из связанного с безопасностью блока панели управления (Java Control Panel) удалена возможность выбора низкоуровневых и ручных настроек. Связанные с безопасностью параметры теперь выбираются только на основании выбранного уровня безопасности. По умолчанию установлен высокий уровень безопасности, допускающий выполнение только апплетов с верифицированной цифровой подписью;

-  Изменены связанные с безопасностью диалоги, любой выполняемый в браузере Java-код теперь приводит к выводу предупреждения и требует явного подтверждения от пользователя. Форма диалога зависит от уровня риска, для неопасных событий выводятся минималистичные диалоги с предложением кликнуть для согласия, а для потенциально опасных сценариев, таких как запуск неподписанных JAR-файлов, выводятся комплексные формы, требующие от пользователя выполнения серии шагов;

-  Изменения (http://docs.oracle.com/javase/7/docs/technotes/guides/rmi/en...) в RMI (Remote Method Invocation API): по умолчанию активировано свойство java.rmi.server.useCodebaseOnly,  что запрещает загрузку внешних Java-классов по URL, если адрес жестко не прописан в настройках. Подобное изменение может привести к нарушению работы некоторых RMI-приложений;

-  Изменения в  Runtime.exec: для платформы Windows ужесточены правила декодирования управляющих строк в методах Runtime.exec(String), Runtime.exec(String,String[]) и Runtime.exec(String,String[],File). Могут наблюдаться проблемы при выполнении команд, использующих некорректный квотинг. Например, Runtime.getRuntime().exec("C:\\My Programs\\foo.exe bar") из-за отсутствия экранирования пробела будет воспринято как попытка выполнить команду "C:\\My" с аргументами "Programs\\foo.exe" и "bar", а  Runtime.getRuntime().exec("\"C:\\My Programs\\foo.exe\" bar") как попытка выполнить "\"C:\\My";


-  Введён в строй репозиторий с чёрным списком сертификатов и проблемных JAR-файлов. Синхронизация клиентских систем с данными из репозитория осуществляется ежедневно.

URL: https://blogs.oracle.com/java/entry/java_se_7_update_21
Новость: http://www.opennet.dev/opennews/art.shtml?num=36715

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."  –2 +/
Сообщение от wS on 17-Апр-13, 10:08 
ухх! только Java SE 7 Update 17 поставил как 21 уже вышел
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."  –1 +/
Сообщение от Аноним (??) on 17-Апр-13, 10:22 
Приходится поддерживать различные ОС. Поэтому несколько слов о проблемах загрузки Java для Windows. Итак:
1. На сайте http://www.java.com/ru/download/manual.jsp?locale=ru для загрузки предлагается только 32-разрядная версия.
2. Для загрузки 64-разрядной версии (да и 32-разрядной можно) обратиться по адресу http://www.oracle.com/technetwork/java/javase/downloads/jre7...

В чем причина такой нелюбви Oracle к 64-разрядной Windows? Видимо, как и большинство, ее не принимают всерьез?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."  +1 +/
Сообщение от Аноним (??) on 17-Апр-13, 10:29 
Да забыли страничку обновить просто. Это как на getfirefox.com доступна только 32-битная версия браузера Firefox для Linux, хотя 64-битную они тоже начали делать, причём больше года.

Раньше на java.com предлагалась для загрузки только Java 6, а Java 7 была доступна только на сайте Oracle. Так что отсутствие ссылки на 64-битную версию - это ещё мелочь. http://linsovet.org.ua/install-oracle-java-jre-and-jdk

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."  +3 +/
Сообщение от ананим on 17-Апр-13, 10:43 
>хотя 64-битную они тоже начали делать, причём больше года.

Зато для винды прекратили.
>В чем причина такой нелюбви Oracle к 64-разрядной Windows? 

Вот это вот вы на опеннете спрашиваете?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

34. "Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."  +/
Сообщение от cxdcds on 19-Апр-13, 02:17 
Вот это вот вы на опеннете спрашиваете?

Да. Больше негде. Только тут есть универсальные специалисты по любым вопросам.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."  +/
Сообщение от Аноним (??) on 17-Апр-13, 11:03 
> Да забыли страничку обновить просто.

Применяю приложения Java около года, поэтому могу сказать, что это - тенденция. На сайте java по крайней мере за последний год никогда не было 64-разрядной Java для Windows.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

7. "Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."  –1 +/
Сообщение от Аноним (??) on 17-Апр-13, 10:56 
> В чем причина такой нелюбви Oracle к 64-разрядной Windows?

Чтобы было некуда пухнуть по памяти. :)

> Видимо, как и большинство, ее не принимают всерьез?

Я бы сказал, что всерьез не воспринимают 32-битную винду. Другое дело, что для винды распространен подход запуска 32-битных прог на 64-битной винде.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

8. "Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."  +/
Сообщение от Аноним (??) on 17-Апр-13, 11:00 
> Другое дело, что для винды распространен подход запуска 32-битных прог на 64-битной винде.

Но не Java. Есть примеры клиентских Java-приложений, которые работают на 64-разрядной Windows только под 64-разрядной Java.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

16. "Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."  +1 +/
Сообщение от Аноним (??) on 17-Апр-13, 18:34 
Это как?!?
А как же "compile once, run -everywhere!"
Как обычно булшит и враки жабские?? Кто бы сомневался :)
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

20. "Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."  +/
Сообщение от Аноним (??) on 17-Апр-13, 19:46 
Можете лично проверить. Это приложение WEASIS. Запускалась на Windows 8 x64: отлично работает под Java x64, не работает под Java x86.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

10. "Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."  +1 +/
Сообщение от Аноним (??) on 17-Апр-13, 11:06 
> Я бы сказал, что всерьез не воспринимают 32-битную винду.

Как игровая система очень неплоха. Вот, например, есть люди, которые собирают модельки танков, самолетов, и считают это очень серьезным делом (и серьезным бизнесом). Так и Windows - вполне себе хорошая игрушка. И серьезный бизнес.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

4. "Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."  +1 +/
Сообщение от Аноним (??) on 17-Апр-13, 10:40 
вообще-то поддержка arm в jdk7 есть давно и всегда можно скачать пакет с раздела java se embedded, теперь его просто обновили, последний был с update 10
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."  –2 +/
Сообщение от Аноним (??) on 17-Апр-13, 12:04 
45 устранили, а сколько добавили?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."  –1 +/
Сообщение от anoname on 17-Апр-13, 17:23 
Зачем вот прекращать поддержку 6-й ветки, если большинство клиент-банков работают исключительно на ней?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."  +1 +/
Сообщение от CPP (??) on 17-Апр-13, 17:48 
> Зачем вот прекращать поддержку 6-й ветки, если большинство клиент-банков работают исключительно
> на ней?

Может быть потому, что банки не платят Oracle за поддержу 6 ветки -)

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."  +/
Сообщение от Gleb on 17-Апр-13, 18:19 
Стоимость поддержки обратной совместимости очень высокая. Вот и заставляют так переходить на новые версии.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

29. "Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."  +/
Сообщение от Аноним (??) on 17-Апр-13, 22:13 
А что, есть примеры приложений, написанных исключительно для Java 6, которые не работают c Java 7 или Java 8?

Нет, ну Java же не .NET, для которой каждая мелкая как вошь программулина тянет не только нужную ей основную версию типа 3.0, 3.5, 3.51, 4.0, но, бывает, даже конкретную четырехзначную сборку из указанного, найти которую бывает очень нелегко. Что доставляет пользователям немало острых ощущений.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

30. "Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."  –1 +/
Сообщение от anoname on 17-Апр-13, 22:19 
Клиент-банки, повторюсь же.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

18. "Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."  +/
Сообщение от Аноним (??) on 17-Апр-13, 18:42 
Мне вот интересно, это они так хорошо дыры находят или их так много
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."  +/
Сообщение от Аноним (??) on 17-Апр-13, 19:51 
> Мне вот интересно, это они так хорошо дыры находят или их так
> много

Предлагаю следующую версию о наличии якобы "дыр" в крупных проприетарных проектах (Java, Windows и т.д.). Версия проста - их нет. Есть намеренно введенные бэкдоры, выполненные разработчиками для каких-то целей. Эти бэкдоры случайно открывают хакеры. Данная парадоксальная версия также объясняет поразительную скорость "закрытия" дыр.

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

23. "Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."  +/
Сообщение от serg1224 (ok) on 17-Апр-13, 19:59 
> Предлагаю следующую версию о наличии якобы "дыр" в крупных проприетарных проектах (Java,
> Windows и т.д.). Версия проста - их нет. Есть намеренно введенные
> бэкдоры, выполненные разработчиками для каких-то целей. Эти бэкдоры случайно открывают
> хакеры. Данная парадоксальная версия также объясняет поразительную скорость "закрытия"
> дыр.

Весьма возможно, что половина дыр запланированные, но и ошибки кодирования тоже есть. Даже если в Oracle работают исключительно грамотные программисты, Java под их контролем сравнительно недавно и наверняка в проекте полно старых ошибок, с которыми ещё не сталкивались пользователи.

Последние несколько лет могу отметить рост количества установок Java у конечных пользователей. Распространённость тоже влияет на количество найденных ошибок, а также на активность недобрых хакеров. Всё-таки клиент-банки - лакомый кусочек для хищников.

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

19. "Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."  +/
Сообщение от serg1224 (ok) on 17-Апр-13, 19:44 
> Введён в строй репозиторий с чёрным списком сертификатов и проблемных JAR-файлов.
> Синхронизация клиентских систем с данными из репозитория осуществляется ежедневно.

Скоро в Java появится встроенный антивирус и фаервол :-)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."  –1 +/
Сообщение от Аноним (??) on 17-Апр-13, 19:53 
>> Введён в строй репозиторий с чёрным списком сертификатов и проблемных JAR-файлов.
>> Синхронизация клиентских систем с данными из репозитория осуществляется ежедневно.
> Скоро в Java появится встроенный антивирус и фаервол :-)

А зачем? Java "слаба" почти исключительно под Windows. Новая версия - Windows 8 - имеет штатные антивирус и файервол (кстати, по этой причине Kaspersky и прочие теперь не нужны).

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

24. "Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."  +/
Сообщение от serg1224 (ok) on 17-Апр-13, 20:09 
>> Скоро в Java появится встроенный антивирус и фаервол :-)
> А зачем? Java "слаба" почти исключительно под Windows. Новая версия - Windows
> 8 - имеет штатные антивирус и файервол (кстати, по этой причине
> Kaspersky и прочие теперь не нужны).

Штатные средства безопасности Windows часто отключены либо для сохранения совместимости с предыдущими (но всё ещё популярными) версиями приложений, либо чтобы не доставали пользователя своей назойливостью.

Не забывайте, что Windows - среда для конечных пользователей (прежде всего), а им (пользователям), чем проще - тем лучше. И вообще, нужно чтобы за них система сама принимала правильные решения, а не мучила вопросами типа: "Программа C:\VeriLong\Path\ToUserProfile\Local Folder\Roaming\AbraKadabra.exe пытается получить доступ в интернет"...)

Для Java проблемы безопасности - это, прежде всего, РЕПУТАЦИЯ, поэтому надо всё держать под контролем. Если Oracle почувствует, что не тянет такую нагрузку, то сольёт проект в инкубатор Apache. Время покажет...

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

26. "Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."  –1 +/
Сообщение от Аноним (??) on 17-Апр-13, 21:45 
Не открою Америки, если скажу, что в Window 8 можно безопасно работать. Только усилия нужно для этого приложить такие, что для обычного пользователя немыслимы. Если он не может настроить исключения файервола, взамен просто отключая его, постоянно работает под аккаунтом администратора и не способен правильно реагировать на запросы антивируса ... ну туда ему и дорога, если некие крутые ребята через взломанный банк-клиент обчистят его банковский счет.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

27. "Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."  +/
Сообщение от Аноним (??) on 17-Апр-13, 21:54 
> Не открою Америки, если скажу, что в Window 8 можно безопасно работать.
> Только усилия нужно для этого приложить такие, что для обычного пользователя
> немыслимы. Если он не может настроить исключения файервола, взамен просто отключая
> его, постоянно работает под аккаунтом администратора и не способен правильно реагировать
> на запросы антивируса ... ну туда ему и дорога, если некие
> крутые ребята через взломанный банк-клиент обчистят его банковский счет.

В Windows 8 работа под аккаунтом администратора - не слишком острая проблема благодаря неотключаемому контролю учетных записей, идея которого, похоже, целиком содрана с аналогичного механизма в Linux. Тем не менее неопытный пользователь вполне может разрешить критичную операцию неопознанной программы, что приведет к драматическим последствиям.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

28. "Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."  +/
Сообщение от serg1224 (ok) on 17-Апр-13, 22:03 
> Не открою Америки, если скажу, что в Window 8 можно безопасно работать.
> Только усилия нужно для этого приложить такие, что для обычного пользователя
> немыслимы. Если он не может настроить исключения файервола, взамен просто отключая
> его, постоянно работает под аккаунтом администратора и не способен правильно реагировать
> на запросы антивируса ... ну туда ему и дорога, если некие
> крутые ребята через взломанный банк-клиент обчистят его банковский счет.

Безопасно можно работать и на Windows 2000, и на Windows NT, если конечно комплексно подходить к безопасности.

Только рядовому пользователю все эти виндовые инструменты безопасности непонятны, а чаще просто мешают. Ведь пользователь хочет и бизнес, и развлечения совмещать на одном ПК. Точно так же пользователю удобней иметь один нож и для колбасы, и для вырезания аппендицита.

Уж не знаю каким местом думают специалисты Microsoft, но на Mac OS X проблема безопасности решена успешней. И даже без антивирусов.

Микрософтом рулят маркетологи, поэтому они всё время "улучшают" БАЗОВЫЕ фичи, которые в unix-подобных системах просто работают и работают уже давно.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

31. "Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."  +/
Сообщение от Anonus (ok) on 18-Апр-13, 01:46 
> Подготовлен новый пакет Server JRE (Server Java Runtime Environment), предназначенный для развёртывания серверных Java-приложений.

Кто-нибудь может объяснить смысл этого нового пакета? Это получается нечто среднее между JDK и JRE что ли ? В чём профит-то ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."  +/
Сообщение от Anonus (ok) on 18-Апр-13, 03:45 
Отвечу сам себе...

Сравнение показало, что это тот же самый JDK, только с выпиленным JWS, без плагина и без контрольной панельки.

В чём профит всё равно не понятно... 8-)

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

33. "Обновление Java SE 7 Update 21 с устранением 45 уязвимостей ..."  +/
Сообщение от VoDA (ok) on 18-Апр-13, 09:04 
> Отвечу сам себе...
> Сравнение показало, что это тот же самый JDK, только с выпиленным JWS,
> без плагина и без контрольной панельки.
> В чём профит всё равно не понятно... 8-)

Плюс настройки по умолчанию сделаны "для сервера". К примеру чтобы через меньшее количество циклов дополнительно "компилировался" bytecode в маш-коды.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру