LINUX.ORG.RU

Java SE 7 Update 21

 


0

1

Oracle выпустила обновление для Java SE 7, в котором исправлено множество проблем безопасности (подробности). Также была обновлена ветка Java SE 6, в ней было закрыто 25 уязвимостей.

Улучшения в Update 21:

  • Введён репозиторий с чёрным списком сертификатов и проблемных JAR-файлов. Синхронизация осуществляется ежедневно.
  • Создан JDK для linux-систем работающих под управлением ARM, заявлена поддержка ARMv6 и ARMv7. В версии для ARM не работают Java WebStart, Java Plug-In, Garbage First (G1) Collector, JavaFX SDK и JavaFX Runtime.
  • Новый Server JRE (Server Java Runtime Environment), созданный для развёртывания серверных Java-приложений. В состав входит набор инструментов для мониторинга работы JVM и выполнения задач по обслуживанию серверных Java-приложений, но не входят компоненты, связанные с функционированием браузерного плагина, инсталлятором и системой автоматической установки обновлений. OC Solaris, Windows и Linux.
  • Cвязанные с безопасностью диалоги изменены, любой выполняемый в браузере Java-код теперь приводит к выводу предупреждения и требует явного подтверждения от пользователя. Форма диалога зависит от уровня риска.
  • В RMI (Remote Method Invocation API): теперь активно java.rmi.server.useCodebaseOnly, что запрещает загрузку внешних классов Java по URL.

>>> Подробности



Проверено: beastie ()
Последнее исправление: beastie (всего исправлений: 5)

Cвязанные с безопасностью диалоги изменены , любой выполняемый в браузере Java-код теперь приводит к выводу предупреждения и требует явного подтверждения от пользователя. Форма диалога зависит от уровня риска

Я всю жизнь удивлялся почему этого не было с самого начала, это же логично

vertexua ★★★★★
()

Так а что, оракловскую джаву еще используют? openjdk же референсная реализация java 7.

anonymous
()

исправлено множество проблем с безопасностью

мой фф больше не будет мне говорить, чтобы я оключил яву?

unt1tled ★★★★
()

было закрыто 25 уязвимостей

А сколько открыто?:)

fang90 ★★★★★
()

Это, км-км.
Каждое обновление по 10-50 уязвимостей.

GanGSISoft ★★
()

вроде там еще запретили неподписанные апплеты?

Deleted
()

Думал, что шестую ветку уже усё... Хорошая новость, дельная.

ivanlex ★★★★★
()
Ответ на: комментарий от vertexua

настроить же можно. Там галочка есть, ну в шиндовсе точно. Типа алерт на любой java-апплет/java-код в браузере

ii343hbka ★★★
()

а что там с JRE и JavaFX под Android слышно ?

qwerky
()

И оно таки перестало напару с флэшем быть дырявым ведром? С тех пор как заботливая лиса порекомендовала мне отключить это порочное поделие, у меня оно и отключено.

SjZ ★★★★★
()
Ответ на: комментарий от dearboy

Не путай OpenJDK и GCJ. Крошится последний, на OpenJDK работает почти всё — лично у меня red5 только отказался.

Aceler ★★★★★
()

Java SE 7 Update 21

вот праздник то какой))

gray ★★★★★
()
Ответ на: комментарий от dearboy

Эклипс крашится даже на официальной - стоит накатить кучку плагинов или проапгредить их.

Deleted
()

Никто уже даже не говорит решето

anonymous
()
Ответ на: комментарий от anonymous

Бывали случаи, когда webstart (неизбежное зло) работал на оракловской лучше, чем на openjdk. Дело в том, что в саму openjdk webstart не входит, а с ней обычно поставляется альтернативный webstart, разработанный в рамках проекта IcedTea.

Deleted
()

Введён репозиторий с чёрным списком сертификатов и проблемных JAR-файлов.

И чего с ними делают? Не запускают что-ли? Мне просто интересно.

void_ptr ★★★★
()

Введён репозиторий с чёрным списком сертификатов и проблемных JAR-файлов. Синхронизация осуществляется ежедневно.

А вот это интересное нововведение, между прочим. Можно ли посмотреть как оно выглядит? Есть ли веб-интерфейс, как у Mozilla или оно закопано где-то внутри JRE? А то сайт Oracle'а читать невозможно. :(

X-Pilot ★★★★★
()
Ответ на: комментарий от vertexua

Я всю жизнь удивлялся почему этого не было с самого начала, это же логично

Ничего логичного. Выводить предупреждение на каждое выполнение джаваскрипта тоже логично? А джава апплет от джаваскрипта теоретически ничем не отличается — тьюринг-полный код выполняющийся в ограниченной песочнице. По сути признание, что песочница джавы — ненадежное решето и неявная рекомендация не использовать технологию апплетов.

Legioner ★★★★★
()

«обновлена ветка Java SE 6, в ней было закрыто 25 уязвимостей.» - это конечно мило. Стоит еще сказать что обновление для ветки Java SE 7 исправляет 42 уязвимости, 19 из которых имеют рейтинг 10 (высший) по шкале CVVS.

Из 42 уязвимостей 39 могут быть использованы для удаленного эксплойта без аутентицации, т.е. могут быть использованы чтобы оплучить доступ к компьютеру по сети без имени и пароля (написал Oracle в заметках к патчу).

scott_tiger ★★★
()
Ответ на: комментарий от scott_tiger

и пофикшены они все были в 17м апдейте для 7ки и в 43м для 6ки. А то что в подробностях - обновление только с фиксами безопасности и выходит по расписанию.

RedPossum ★★★★★
()
Ответ на: комментарий от Legioner

По сути признание, что песочница джавы — ненадежное решето и неявная рекомендация не использовать технологию апплетов.

Не джавы, а конкретно, Oracle JRE

X-Pilot ★★★★★
()

Создан JDK для linux-систем работающих под управлением ARM, заявлена поддержка ARMv6 и ARMv7.

Ну теперь венде точно капец.

Quasar ★★★★★
()
Ответ на: комментарий от anonymous

Так а что, оракловскую джаву еще используют? openjdk же референсная реализация java 7.

в продакшине ее и используют

kto_tama ★★★★★
()
Ответ на: комментарий от leave

там шг

В OpenJDK все нормально со шрифтами, если только вы не используете openSUSE, в котором SuSEconfig зачем-то портит fontconfig.properties.

Fice ★★
()
Ответ на: комментарий от hizel

я в курсе, но почему-то не помогло. Впрочем, у меня все равно для шаринга десктопа в jitsi оракловая ждк стояла.

leave ★★★★★
()

Java SE 7 Update 21

Вроде только недавно открыли 7-ю ветку, а уже update 21. Скоро догонят шестёрку, которая ещё жива :)

router ★★★★★
()
Последнее исправление: router (всего исправлений: 1)
Ответ на: комментарий от leave

Попробовал у себя.

java version "1.7.0_17"
OpenJDK Runtime Environment (fedora-2.3.8.3.fc18-x86_64)
OpenJDK 64-Bit Server VM (build 23.7-b01, mixed mode)

Шрифты в PyCharm выглядят нормально, точно такие же, как в GNOME, из под которого я его запустил.

Fice ★★
()
Ответ на: комментарий от Legioner

По сути признание, что песочница джавы — ненадежное решето и неявная рекомендация не использовать технологию апплетов.

Вот только альтернативы не видно. Всё железо использует для веб-консолей java апплеты.

З.Ы. специально держу на рабочем компе jre старой версии - чтобы firefox при запуске каждого апплета требовал подтверждение :)

router ★★★★★
()
Ответ на: комментарий от router

В about:config, plugins.click_to_play=true. Тем более, что флэш (если он есть) ничуть не более безопасен (но почему-то шума его уязвимости вызывают меньше).

Fice ★★
()
Ответ на: комментарий от router

Вот только альтернативы не видно. Всё железо использует для веб-консолей java апплеты.

Ну вряд ли веб-консоль попытается хакнуть твой компьютер, тут что джава, что activex, что угодно подойдёт и песочница как таковая не особенно нужна.

З.Ы. специально держу на рабочем компе jre старой версии - чтобы firefox при запуске каждого апплета требовал подтверждение :)

Вроде noscript умеет такое.

Legioner ★★★★★
()
Ответ на: комментарий от Legioner

Ну вряд ли веб-консоль попытается хакнуть твой компьютер, тут что джава, что activex, что угодно подойдёт и песочница как таковая не особенно нужна.

Типун тебе на язык. Java хоть кроссплатформенна. Плюс ActiveX как минимум не менее дырявый.

router ★★★★★
()

Поясните плиз, зачем это вообще надо?

Запускать на компе говеные жава программки столетней давности для сотовых телефонов?

anonymous
()
Ответ на: комментарий от Legioner

Теория от практики очень сильно отличаются...

anonymous
()
Ответ на: комментарий от router

Вроде только недавно открыли 7-ю ветку

В середине 2011. По меркам IT почти два года — не настолько уж и мало, чтоб жаловаться «совсем недавно сделали, а столько ещë наворотили...».

Хотя, сдругой стороны, такое количество исправляемых уязвимостей характеризует сабж не с самой лучшей стороны (имеется ввиду именно изначальная дырявость, из-за которой приходится столько обновлений-исправлений выпускать).

anonymous
()
Ответ на: комментарий от anonymous

Applies to client deployment of Java only. This vulnerability can be exploited only through untrusted Java Web Start applications and untrusted Java applets. (Untrusted Java Web Start applications and untrusted applets run in the Java sandbox with limited privileges.) - почти все уязвимости. К основным областям применения жавы это мало относится.

svr69 ★★
()

Как будто кто-то Java 7 использует. Все, что после Java 6 - ересь и подлежит уничтожению.

anonymous
()
Ответ на: комментарий от kto_tama

В продакшине Java 7 ты нигде не найдешь. Только 6 и раньше.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.