Liebe Fellows,
neulich wurde folgende Meldung von Heise Security herausgegeben:
"Wegen einer aktuellen Sicherheitslücke sollten Sie Java derzeit nicht einsetzen. [...]"
Ich bin nun wirklich kein großer Fan von Java, muss aber aus beruflichen Gründen hin und wieder ein Java-Applet starten. Ich benutze _nicht_ das Oracle-Java, sondern OpenJDK, das via IcedTeaWeb-Plugin in meinen Firefox integriert ist. [1]
Der Heise-Artikel differenziert in keiner Weise zwischen dem offiziellen Java (von Oracle) und unabhängigen Implementierungen wie OpenJDK. Das heißt, mir als OpenJDK-Nutzer wird erzählt, ich sollte Java deaktivieren, obwohl "nur" Oracle Mist gebaut hat - und nicht das OpenJDK-Team.
Habe ich etwas falsch verstanden, oder ist die Sicherheitslücke so fundamental, dass davon auch andere Implementierungen wie OpenJDK betroffen sind?
Gruß Volker
[1] http://mlists.in-berlin.de/pipermail/linux-l-mlists.in-berlin.de/2011-Decemb...
2013/1/14 Volker Grabsch vog@notjusthosting.com:
Liebe Fellows,
neulich wurde folgende Meldung von Heise Security herausgegeben:
"Wegen einer aktuellen Sicherheitslücke sollten Sie Java derzeit nicht einsetzen. [...]"
Ich bin nun wirklich kein großer Fan von Java, muss aber aus beruflichen Gründen hin und wieder ein Java-Applet starten. Ich benutze _nicht_ das Oracle-Java, sondern OpenJDK, das via IcedTeaWeb-Plugin in meinen Firefox integriert ist. [1]
Doch, der Artikel spricht eindeutig von Oracle's Java, nicht von anderen Varianten. Ausserdem betrifft diese Sicherheitslücken nur Windows-Systeme :)
Lieber Gruß, Myriam
Am 2013-01-14 10:49, schrieb Myriam Schweingruber:
2013/1/14 Volker Grabsch vog@notjusthosting.com:
Liebe Fellows,
neulich wurde folgende Meldung von Heise Security herausgegeben:
"Wegen einer aktuellen Sicherheitslücke sollten Sie Java derzeit nicht einsetzen. [...]"
Ich bin nun wirklich kein großer Fan von Java, muss aber aus beruflichen Gründen hin und wieder ein Java-Applet starten. Ich benutze _nicht_ das Oracle-Java, sondern OpenJDK, das via IcedTeaWeb-Plugin in meinen Firefox integriert ist. [1]
Doch, der Artikel spricht eindeutig von Oracle's Java, nicht von anderen Varianten. Ausserdem betrifft diese Sicherheitslücken nur Windows-Systeme :)
Insgesamt in der Berichterstattung war zwar meist wirklich von Oracle Java die Rede, aber habe zumindest nie den explizieten und deutlichen Hinweis gesehen, dass die anderen nicht betroffen sind -- was schade ist und noch Potential vorhanden
( Persönlich bin ich ja aber eh kein so großer Fan vom Javauniversum, einfach auf Grund der ganzen rechtlichen und wer darf was und wie implementieren-Geschichte, so dass ich zumindest persönlich den Ratschlag "Don't use" gut finde ;) ... Eigentlich müsste es ja der Ratschlag an die Welt da draußen sein: Wenn es schon unbedingt Java sein muss, dann nutzt doch zum Beispiel das OpenJDK )
Gruß Frank
moin Myriam,
am Montag, 2013-01-14 10:49:06 +0100, schrieb Myriam Schweingruber:
Doch, der Artikel spricht eindeutig von Oracle's Java, nicht von anderen Varianten. Ausserdem betrifft diese Sicherheitslücken nur Windows-Systeme :)
Der konkrete exploit betrifft nur Windows, die Luecke koennte aber in jeder OS-Variante von Java 1.7 vorhanden sein.
Eike
On Mon, Jan 14, 2013 at 10:49:06AM +0100, Myriam Schweingruber wrote:
2013/1/14 Volker Grabsch vog@notjusthosting.com:
Liebe Fellows,
neulich wurde folgende Meldung von Heise Security herausgegeben:
"Wegen einer aktuellen Sicherheitslücke sollten Sie Java derzeit nicht einsetzen. [...]"
Ich bin nun wirklich kein großer Fan von Java, muss aber aus beruflichen Gründen hin und wieder ein Java-Applet starten. Ich benutze _nicht_ das Oracle-Java, sondern OpenJDK, das via IcedTeaWeb-Plugin in meinen Firefox integriert ist. [1]
Doch, der Artikel spricht eindeutig von Oracle's Java, nicht von anderen Varianten. Ausserdem betrifft diese Sicherheitslücken nur Windows-Systeme :)
Naja, IcedTea basiert zum Großteil auch auf dem Quellcode von Oracle.
Laut Pro-Linux ist aber nur das Browser-Plugin betroffen, und das ist bei IcedTea bzw. OpenJDK tatsächlich ein anderes. OpenJDK soll nicht betroffen gewesen sein. http://www.pro-linux.de/news/1/19329/oracle-schliesst-kritische-java-luecke....
* Volker Grabsch:
Der Heise-Artikel differenziert in keiner Weise zwischen dem offiziellen Java (von Oracle) und unabhängigen Implementierungen wie OpenJDK.
"OpenJDK" ist nicht unabhängig, da Oracle die Markenrechte hält (nicht daß das an sich ein Problem wäre, das Adjektiv ist schlicht unangebracht).
Das heißt, mir als OpenJDK-Nutzer wird erzählt, ich sollte Java deaktivieren, obwohl "nur" Oracle Mist gebaut hat - und nicht das OpenJDK-Team.
Oracle hat den Fehler in OpenJDK eingebaut und dann aus OpenJDK ins proprietäre JDK übernommen.
Habe ich etwas falsch verstanden, oder ist die Sicherheitslücke so fundamental, dass davon auch andere Implementierungen wie OpenJDK betroffen sind?
OpenJDK ist keine andere Implementierung. Im Vergleich zum Oracle-JDK fehlen lediglich einige Komponenten, u.a. das Browser-Plugin.
Die Schwachstelle ist aber troztdem verhanden. Theoretisch kann man z.B. auch JEE-Anwendungen mit einen Security-Manager laufen lassen, der sich mit dieser Schwachstelle aushebeln läßt.