The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"В Java 6 Update 13 исправлено 16 уязвимостей"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"В Java 6 Update 13 исправлено 16 уязвимостей"  
Сообщение от opennews on 26-Мрт-09, 23:17 
Компания Sun Microsystems выпустила внеплановые версии обновления Java:
JRE 6 Update 13 (http://java.sun.com/javase/6/webnotes/6u13.html),
JRE 5.0 Update 18 (http://java.sun.com/javase/downloads/index_jdk5.jsp), JRE 1.4.2_20 (http://www.sun.com/software/javaseforbusiness/getit_download...) и JRE 1.3.1_25 (http://java.sun.com/j2se/1.3/download.html) с исправлением 16 уязвимостей (http://secunia.com/advisories/34451/), уровень опасности 9 из которых оценивается как критический:


-  Ошибка в JRE LDAP клиенте может быть использована злоумышленником для загрузки и выполнения произвольного кода, при получении специально подготовленных данных со стороннего LDAP сервера;

-  Переполнение буфера и целочисленное переполнение в JRE, позволяют двумя разными способами выполнить код злоумышленника в момент распаковки средствами утилиты "unpack200" специально модифицированных JAR архивов, с апплетами и приложениями Java Web Start;

-  Ошибка распаковки сериализированных данных в Java ...

URL: http://java.sun.com/javase/6/webnotes/6u13.html
Новость: https://www.opennet.ru/opennews/art.shtml?num=20948

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "В Java 6 Update 13 исправлено 16 уязвимостей"  
Сообщение от Анонимус on 26-Мрт-09, 23:17 
Жаль только в убунтовских репах её не будет до октября :(
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "В Java 6 Update 13 исправлено 16 уязвимостей"  
Сообщение от ононим on 26-Мрт-09, 23:59 
обновления безопасности все равно выпустят даже для выпущенного релиза. в чем паника?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "В Java 6 Update 13 исправлено 16 уязвимостей"  
Сообщение от User294 (ok) on 26-Мрт-09, 23:43 
Дать подать сюда этих тяпкиных-ляпкиных^W жавофилов оравших что веб-приложения через яву - якобы безопасно.Глядя на такой changelog я уж лучше без ява-приложений в браузере как-нить обойдусь.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "В Java 6 Update 13 исправлено 16 уязвимостей"  
Сообщение от iZEN (ok) on 27-Мрт-09, 00:05 
unpack200 написан на C или на C++.
Внешний LDAP-сервер — скорее всего тоже.
"Обработчики" GIF и PNG — 100% неуправляемый код на C, вызываемый из Java-приложений.

Так кто от кого защищается?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "В Java 6 Update 13 исправлено 16 уязвимостей"  
Сообщение от User294 (ok) on 27-Мрт-09, 02:09 
>"Обработчики" GIF и PNG — 100% неуправляемый код на C, вызываемый из Java-приложений.

Правильно, потому что если написать это на яве - юзер от тормозов повесится нахрен.

> Так кто от кого защищается?

От вот этой вот "якобы безопасной" технологии.Не выполнять java-stuff с веб страниц - наиболее безопасно ИМХО.Тогда никто не переполнит буфера лишний раз, не обойдет в стопервый раз ограничения JVM и прочая.Понимаю бы если б это  было единоразово, но оно ж постоянно вот так вот.Как-то changelog не внушает оптимизма, дыра на дыре и дырой погоняет.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "В Java 6 Update 13 исправлено 16 уязвимостей"  
Сообщение от F on 27-Мрт-09, 02:58 
Ну тогда, для начала, я бы рекомендовал вам отказаться от JavaScript: думаю, что он поопасней будет.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "В Java 6 Update 13 исправлено 16 уязвимостей"  
Сообщение от iZEN (ok) on 27-Мрт-09, 10:15 
>>"Обработчики" GIF и PNG — 100% неуправляемый код на C, вызываемый из Java-приложений.
>Правильно, потому что если написать это на яве - юзер от тормозов повесится нахрен.

Нет. Это потому, что лесяпед никому не хочется изобретать — LZMA и ZIP уже написаны на C и код довольно большой для полного перевода его на Java. Легче использовать то, что есть, и по идеологическим причинам — "побочные эффекты" должны быть одни, а не много и разных.

>От вот этой вот "якобы безопасной" технологии.Не выполнять java-stuff с веб страниц - наиболее безопасно ИМХО.Тогда никто не переполнит буфера лишний раз, не обойдет в стопервый раз ограничения JVM и прочая.Понимаю бы если б это  было единоразово, но оно ж постоянно вот так вот.Как-то changelog не внушает оптимизма, дыра на дыре и дырой погоняет.

Посмотрите, с каким упорством чинятся дыры в Firefox и (не)чинятся в IE. Чуть ли не каждые две-три недели выходят новые минорные версии и заплатки, соответственно!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "В Java 6 Update 13 исправлено 16 уязвимостей"  
Сообщение от vitek (??) on 30-Мрт-09, 19:28 
опять всё с ног на голову.
причину то я понять могу - да не хочется.. уже написано... на этом страшном и ни кем не управляемом С...

но когда в рекламных роликах говорят о жабе, то не упоминают, что она использует этот страшный С.

возникает вопрос. а что ещё страшного она использует?

p.s.
здесь можно заменить слово жаба на любое другое... впрочем как и С... и даже поменять их местами. дырки есть и точка... в законченном и объявленном безопасным (а иногда и самом безопасным) ПО.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "В Java 6 Update 13 исправлено 16 уязвимостей"  
Сообщение от F on 27-Мрт-09, 03:04 
> Так кто от кого защищается?

В том то и дело. Чтобы действительно получить от управляемого кода преимущество в безопасности, все пользовательское пространство полностью должно быть в управляемом коде. Думаю, что OS следующего поколения будут устроены именно так. Уже есть JNode, Inferno, Singularity.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "В Java 6 Update 13 исправлено 16 уязвимостей"  
Сообщение от ДяДя on 27-Мрт-09, 22:49 
Oberon и Bluebottle ;-) http://bluebottle.ethz.ch/
Oberon постарше Java будет.
Жаль, что в Java байткод стали сразу использовать не подумав.
В .NET подход более правильный, хотя тоже идея Витра как и байткод.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "В Java 6 Update 13 исправлено 16 уязвимостей"  
Сообщение от F on 27-Мрт-09, 22:59 
> В .NET подход более правильный

Чем именно? На самом деле интересно, поскольку я преимуществ .NET перед Java не вижу.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "В Java 6 Update 13 исправлено 16 уязвимостей"  
Сообщение от iZEN (ok) on 27-Мрт-09, 23:07 
>> В .NET подход более правильный
>
>Чем именно? На самом деле интересно, поскольку я преимуществ .NET перед Java
>не вижу.

В .Net используется AOT (Ahead Of Time compiler) — приложение при первом запуске ГРУБО компилируется в бинарник, понятный операционной системе, после запуска .exe окончательно JIT'ится и кладётся в кэш (GAC) — ну точно локальный репозиторий. :)

А преимществ .Net перед Java нет, так как это несопоставимые программные технологии.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "В Java 6 Update 13 исправлено 16 уязвимостей"  
Сообщение от F on 28-Мрт-09, 03:09 
> В .Net используется AOT (Ahead Of Time compiler)

Для Java есть GCJ, плюс никто не мешает добавить в Java механизм AOT компиляции аналогичный тому, который в .NET - это вопрос частной реализации, а не технологии в целом.

> А преимществ .Net перед Java нет, так как это несопоставимые программные технологии.

Разве? Проблема только в том, что под словом Java очень много всего сразу подразумевается, .NET - тоже много всего. Можно сравнивать JVM и CLR, язык Java и C#, FCL и Java API.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "В Java 6 Update 13 исправлено 16 уязвимостей"  
Сообщение от ximaera on 27-Мрт-09, 18:37 
Хорошо, на чём вы предлагаете писать веб-приложения?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "В Java 6 Update 13 исправлено 16 уязвимостей"  
Сообщение от iZEN (ok) on 27-Мрт-09, 22:39 
>Хорошо, на чём вы предлагаете писать веб-приложения?

На JRuby. Нет? :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "В Java 6 Update 13 исправлено 16 уязвимостей"  
Сообщение от ДяДя on 27-Мрт-09, 22:51 
А Groovy ?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "В Java 6 Update 13 исправлено 16 уязвимостей"  
Сообщение от iZEN (ok) on 27-Мрт-09, 23:09 
>А Groovy ?

медленный газ


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "В Java 6 Update 13 исправлено 16 уязвимостей"  
Сообщение от thevery (??) on 27-Мрт-09, 23:47 
grails медленнее чистого spring mvc всего на четверть...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "В Java 6 Update 13 исправлено 16 уязвимостей"  
Сообщение от iZEN (ok) on 29-Мрт-09, 07:26 
>grails медленнее чистого spring mvc всего на четверть...

Grails == замена ПХП, но никак не клиентского rich-приложения типа Web-браузера.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру