Компания Oracle выпустила (https://blogs.oracle.com/security/entry/security_alert_for_c...) экстренные корректирующие обновления Java SE 7 update 7 (http://www.oracle.com/technetwork/java/javase/7u7-relnotes-1...) и Java SE 6 update 35 (http://www.oracle.com/technetwork/java/javase/6u35-relnotes-...). В Java SE 7 update 7 устранена критическая уязвимость (http://www.oracle.com/technetwork/topics/security/alert-cve-...) (CVE-2012-4681), для которой уже около недели публично доступен (https://www.opennet.ru/opennews/art.shtml?num=34669) эксплоит и наблюдаются факты совершения атак в сети. Кроме того, в указанном выпуске устранены ещё две похожие по сути новые уязвимости, обнаруженные в процессе создания патча. Всем трём уязвимостям присвоен высший критический уровень опасности.
Дополнительное в состав включено исправление потенциальной проблемы безопасности в подсистеме AWT , которая не может быть эксплуатирована напрямую, но может быть задействована в комплексе с другими уязвимостями. В отличие от CVE-2012-4681, данная проблема затрагивает и Jаva 6, поэтому одновременно выпущено обновление Java SE 6 update 35. Все исправленные проблемы проявляются исключительно при использовании Java в форме браузерного плагина, серверные и дестктоп применения Java исправленные проблемы безопасности не затрагивают.
Примечательно, что внеплановый выход обновления Java осуществлён впервые в практике Oracle, ранее все выпуски Java формировались точно в соответствии с намеченным графиком (Java SE 7 update 7 должен был выйти 16 октября) для упрощения планирования процесса обновления в корпоративной среде. Тем не менее, это не снимает с Oracle вины за игнорирование уязвимости при подготовке июньского обновления Java, в то время, как о наличии проблемы Oracle было сообщено (https://www.opennet.ru/opennews/art.shtml?num=34696) ещё в апреле.URL: https://blogs.oracle.com/security/entry/security_alert_for_c...
Новость: https://www.opennet.ru/opennews/art.shtml?num=34707
Так от Оракля скоро все партнёры отвернутся.
Понимаешь ли, заделав дырищу, можно открыть ещё 20, об этом сразу не зная.
Поэтому, заявления об ошибках надо воспринимать как объект для внимания,
а не как руководство к действию. Вполне возможны диверсии.
> Понимаешь ли, заделав дырищу, можно открыть ещё 20, об этом сразу не зная.Более того - упоминалось о 30 дырах, а в новости явно меньше перечислено...
Тем более, а к примеру, лобовое исправление багов может привести к несовместимости API.
В opensouce так делают, а проприетарщики не могут позволить себе такую роскошь.
> Поэтому, заявления об ошибках надо воспринимать как объект для внимания,
> Вполне возможны диверсии.Не возможны ! а в данном случае именно она и есть
а как влияет на закрытие дырок то что код почти весь общий с openjdk ?
На практике - никак.
Странно, код с OpenJDK общий, а тест на странице http://java.com/ru/download/testjava.jsp отрабатывает оригинальная Ява, а OpenJDK -- нет. Как это объяснить?
> Примечательно, что внеплановый выход обновления Java осуществлён впервые в практике OracleЭто каких же размеров должен быть тот петух что их клюнул?!?!?
С гору.
Как каких - энтерпрайзных! Представь себе ынтырпрайзы ср@щие кирпичами т.к. их завалило вирусней.
Пока петух маленький - буржуй не перекрестится.
Почему петух должен быть один? Их клевало целое сообщество... эээмм гордых орлов!
На окне уведомления о наличии обновлений Java есть гиперссылка "More Information…", переход по которой открывает web-страницу с заголовком
"Бесплатное обновление Java".
А я уж подумал, что они решили слить Ява-бизнес...
Ан нет, хватило благоразумия.
Хотя вот это:
"Все исправленные проблемы проявляются исключительно при использовании Java в форме браузерного плагина, серверные и дестктоп применения Java исправленные проблемы безопасности не затрагивают."как-бы намекает, что не всё так плохо, как может показаться на первый взгляд.
Врядли они именно _решат_ слить Java. Ибо есть «энтерпрайз», который на Java, и на котором Oracle и гребет свои лярды денег. Но с таким отношением, они могут слить Java внезапно для самих себя.
>А я уж подумал, что они решили слить Ява-бизнес...я вас умоляю...
неоднократно видел внедренцев оебс, которые до сих пор использую джинишатор 1.3.1.18
зыж
кто не знает о чём речь - http://en.wikipedia.org/wiki/Jinitiator
Переведите, пожалуйста, эту статью.
зачем бы мне это?
:) Вам то может, и незачем, вы английский язык в совершенстве знаете. А я (наверное, и не только я), увы, его так не знаю. Переведите для нас, такие старания в перспективе могут окупиться с лихвой. На этом вы можете “заработать” вполне реальные знания и деньги.
> На этом вы можете “заработать” вполне реальные знания и деньги.Не, чувак, это ты как айтишник не сможешь заработать знания и деньги без знания английского. Потому что будешь все узнавать криво и с опозданием. Это будут твои трудности, а не его. Без знания английского невозможно стать серьезным специалистом в какой либо отрасли IT.
Ха! Внезапно, "чувак", я вообще никаким образом не айтишник.
Прочитал ссылку, взял и вбил ее в гугл-переводчик. Получилось коряво, но смысл понятен. Пользуйтесь! И, вообще, не знать хотя бы немного, хотя бы один иностранный язык - неприлично...
Почему мы тут не пишем на английском языке? Прочитал пост, взял и вбил его в гугл-переводчик. Получилось коряво, но смысл понятен. Пользуйтесь!Вы, кстати, такой умный... И знаете язык... Вас я тоже прошу перевести эту статью.
Не вам меня стыдить. Вы не знаете того, что я знаю.
> Почему мы тут не пишем на английском языке?Потому-что нам так проще.
> Вас я тоже прошу перевести эту статью.
Сейчас все всё бросят и побегут переводить вам статью.
У меня к вам встречное предложение - выучите английский или наймите переводчика.
Дорогой Аноним. Большинству беларусов тоже проще читать на русском языке, чем на английском. В том числе и тут, и в Википедии.И как вы могли уже догадаться, вас я тоже хочу кое о чём попросить.
Один раз напишите статью, хотя нет, просто переведите её. И тем самым вы поможете очень многим людям. Которые знают и английский язык в том числе, но не так хорошо, как русский.
Добрый http://translate.google.ru переведет Вам так, что Вы все поймете.
> Один раз напишите статью, хотя нет, просто переведите её.за переводы надо бить ногами. особенно за «переводы», которые на опеннете — когда смысл текста может стать противоположным оригиналу.
глупости.
свои комплексы оставляйте при себе, плс.
наблюдал кучу "специалистов" со знанием корявого английского и полными нулями в специальности.
и наоборот, при чем специалистами в этом случае были отменными (а у меня высокий порог оценки).
> свои комплексы оставляйте при себе, плс.И еще какие комплексы... Писатель Гончаров свободно говорил по английски, французски и немецки. Причем говорил с носителями языка. Такой вызовет комплексы у любого.
Я не спорю, что само по себе знание иностранного языка оно ничего не дает. Но со знанием (особенно английского) набираться профессионализма легче.
>Писатель Гончаров свободно говорил по английски, французски и немецки.ХА!
а писал по-русски.
а ещё Пушкин, Лермонтов,...зыж
я тоже.. по-говариваю. Это чё? Повод щёки дуть?
вон ниже про индусов писал - жалкое зрелище.
такого хотите?
отменный ИТ специалист без знания английского??? вы гоните. Как минимум не unix'овый.
я этого не говорил.зыж
но и
> не знать хотя бы немного, хотя бы один иностранный язык - неприлично...неприлично - это жабабыдлокодеру говорить, что он не знает, что такое стэк.
и что его изучать не надо.
ну и на стенке спать.
настроил себе перевод вот так http://habrahabr.ru/post/137215/ (энтузиастам рекомендую - и функционально, и подход интересен. можно ещё кучу одобных скриптов наделать)
по теме:
>Jinitiator is a JVM made and distributed by Oracle Corporation. It allows a web enabled Oracle Forms client application to be run inside a web browser.мой вольный перевод:
Jinitiator это JVM сделанная и распространяющаяся Oracle Corporation.
она позволяет web-OracleForms клиентским приложениям запускаться внутри браузера.от себя - это обычный java-плагин (именно на клиенте! т.е. сабж!) с оракловыми классами в составе.
это было необходимо во времена java 1.3 (с адоптацией некоторых классов из 1.4) и классами от оракл (включая jdbc)
справедливо во времена оебс 11.5.10.x (т.е. 11i - у меня начало было с x=2)
тогда же появилась инициатива по адоптации по работу с 1.5 (ёли адопт...)
ну и далее по цифрам по ссылке
/по адоптации по работу с 1.5/по адоптации НА работу с оригинальной jvm 1.5 от sun/
> адоптациилолщито?
иди случайся с фсф (или кто там был?) :D
Спасибо.
Вы хорошо сделали, что перевели хоть что-то для меня. Всё же, будет лучше, если вы напишите это в Википедии, пусть огромное количество других людей тоже сможет узнать, что такое Jinitiator.
а нет смысла.
это специфично для профи, а у них есть более лучшие источники.
так что вики (отличный проект - имхо), но для любителей. и это правильно, что ссылки для неё не принимаются, хоть для "обычного" разговора и более чем достаточно (там внизу ссылки на достоверные источники есть)
Я не профи, но мне тоже интересно. Профессионалами не рождаются, может, именно эта статья поможет мне когда-нибудь им стать. И не только мне. Вы правильно заметили, что иногда в Википедию залазишь только из-за ссылок.
Возможно ли, что тот, кто пользуется свободным программным обеспечением, может хоть раз в жизни написать что-нибудь для других? А потом вам это понравится... Или нет.
Главное условие существования свободного ПО — всё-таки не лицензия, а люди, которые готовы бесплатно делиться и совершенствовать...
>Я не профи, но мне тоже интересно.Вы спросили, я ответил.
Нужно что-то большее?
Извините, но это с договором, обслуживанием и тд.
Но думаю и этого достаточно - человек культурно спросил, я (в меру своего воспитания) культурно ответил. По-моему достаточно.
Мы для этого сюда и зашли.
ЗЫЖ
>Возможно ли, что тот, кто пользуется свободным программным обеспечением, может хоть раз в жизни написать что-нибудь для других?ТАК ВСЕГДА ТАК И ДЕЛАЕМ.
<написал и стёр. опять же по причине, по которой стёр, не хочу развивать эту тему>
> Профессионалами не рождаются, может, именно
> эта статья поможет мне когда-нибудь им стать. И не только мне.и ты будешь зашибать кучу бабла, а с автором не поделишься. давай, до свиданья.
S'il vous plaît:
http://ru.wikipedia.org/wiki/Jinitiatorреквестую вполне реальные деньги
Ура!!! Спасибо!!! Вы супер!!!
Ваш поступок служит уроком для тех, кто может часами рассуждать про знание английского языка и про писателей, но не способны сделать хоть что-то реальное и хорошее. Вы сделали эту жизнь чуть-чуть лучше!
Ставлю вам плюс!Ждите, когда вас благодаря вашей активности в Википедии заметят издатели коммерческих энциклопедий, закажут вам статьи. Новостные сайты и издания тоже создают энциклопедические разделы, например Лентапедия на известном российском сайте Lenta.ru. Им также может быть полезен такой опыт.
Эх. Вы так и не поняли.
1. глупость переведена
2. разработка буржуйская, будьте любезны читать первоисточники
3. если не понятно, спрашивайте. например тут (хоть мы тут все и "неадекватные (далее забыл слово, но что-то типа денег нет) красноглазики", но ответим)
Спасибо.
Если там что-то не совсем верно, то поправьте, пожалуйста.А правда, что тут много социопатов?
Без понятия.
Но вам же отвечают?
Сие явление вызвало однозначную реакцию - OMG!
ОЧЪ крутые конторы. ОЧЪ.
с индусами в оутсорсе (на территории заказчика)
зыж
английский язык теперь НЕНАВИЖУ.
> Дополнение: одновременно вышел релиз IcedTea 2.3.1, в котором
> устранены аналогичные уязвимости. IcedTea представляет собой
> полностью открытую реализацию Java SE 7, построенную на базе
> OpenJDK7 и виртуальной машины HotSpot, с использованием
> свободных средств сборки.Вот помню какой-то умник в предыдущей теме кричал, что есть, мол, открытые альтернативы, дырам оригинала не подверженные…
Ага, а вот и он: https://www.opennet.ru/openforum/vsluhforumID3/86175.html#18
Автор не в курсе, что нечетные релизы платформы всегда оставляются для security fixes и на них не назначается дата релиза. Четные содержат новые функции и update 8 назначен на октябрь.
> Автор не в курсе, что нечетные релизы платформы всегда оставляются для security
> fixes и на них не назначается дата релиза. Четные содержат новые
> функции и update 8 назначен на октябрь.Это вы видимо не в курсе, что все обновления Java плановые, в том числе и нечётные с исправлениями уязвимостей. На 16 октября был назначен именно update 7.
http://www.oracle.com/technetwork/topics/security/alerts-086...
Critical Patch Updates
Critical Patch Updates are collections of security fixes for Oracle products. They are available to customers with valid support contracts. They are released on the Tuesday closest to the 17th day of January, April, July and October. The next four dates are:16 October 2012
15 January 2013
16 April 2013
16 July 2013
For Oracle Java SE Critical Patch Updates, the next three dates are:16 October 2012
19 February 2013
18 June 2013
Это даты, в которые выходят не 0-day исправления, вы хоть немного следите за происходящим, только весной java 3 раза патчилась по security причинам
critical patch update – это кумулятивный сборник обновлений для всех продуктов Oracle, вышедший за предыдущий период http://www.oracle.com/technetwork/topics/security/cpujul2012...
ничего так, энтерпрайзненько. не то, что красноглазаки-торопыги: на следующий же день патчи выкатывают.впрочем, всё равно несолидно: хоть бы недели две выдержали.
Это странно, но у меня это внеплановое обновление совсем не хочет работать. Только в списке программ появляется. (((
Как же зайти в I2P?
> Это странно, но у меня это внеплановое обновление совсем не хочет работать. Только в списке программ появляется. (((Если ты обновлялся с помощью официальной RPM, тебе нужно кое-что сделать после установки. Инструмент alternatives может переключать используемую системой версию java или любой другой программы среди нескольких установленных. Необходимые команды я написал в комментариях здесь: http://linsovet.org.ua/install-oracle-java-jre-and-jdk
Ой, я обновлялся с помощью официальной EXE.
Я забыл сказать, что у меня Windows 7 х64.
:-D Тогда не знаю.
Уже обновился с помощью официальной RPM'ки.