Java a ostatnie krytyczne luki? Czy warto?

Bartosz Wójcik

2014-04-17T10:46:47+02:00

Rejestracja: dni
Ostatnio: dni
Postów: 439

Oracle wydało aktualizację dla Java SE

http://krebsonsecurity.com/2014/04/critical-java-update-plugs-37-security-holes/

37 security vulnerabilities

4 z nich otrzymały notę 10 w skali CVSS http://nvd.nist.gov/cvss.cfm

Czy warto tworzyć w Javie, gdy potencjalni klienci mają mówiąc krótko przerąbane?

Wibowit

2014-04-17T10:54:45+02:00

Rejestracja: dni
Ostatnio: dni
Lokalizacja: XML Hills

A taki np OpenSSL też był napisany w Javie?

Koziołek

2014-04-17T11:27:50+02:00

Rejestracja: dni
Ostatnio: dni
Lokalizacja: Stacktrace
Postów: 6823

@Bartosz Wójcik, pociesz się tym, że soft pisany w Cpp ma jeszcze więcej dziur. Zresztą ostatnio bodajże na niebezpieczniku było fajne wyliczenie - jeżeli przyjąć, że 5 linii na 1000 zawiera bugi i tylko 10% bugów związane jest z bezpieczeństwem to w samym Win8 mamy około 60k błędów bezpieczeństwa. Zatem tu klienci mają dopiero przerąbane....

BTW, chodzi o aplety java, których praktycznie nikt nie używa, a przeglądarki zanim je uruchomią to po 20 razy pytają czy aby na pewno.

__krzysiek85

2014-04-17T11:31:27+02:00

Rejestracja: dni
Ostatnio: dni
Postów: 1019

Wibowit napisał(a):

A taki np OpenSSL też był napisany w Javie?

http://www.oracle.com/technetwork/topics/security/opensslheartbleedcve-2014-0160-2188454.html
"Products That Do Not Include OpenSSL" zawiera "Java SE", z drugiej strony "Oracle products that are likely vulnerable to CVE-2014-0160 but for which no fixes are yet available" zawiera "Java ME - Mobile and Wireless".
Czyli, jeżeli dobrze rozumiem, to Java ME używa OpenSSL, ale Java SE już nie.

Jeżeli natomiast mówimy o bezpieczeństwie użytkownika, to moim zdaniem trzeba w przeglądarce usunąć plugin do Javy.
Niestety przez to odpadają apltety i Java Web Start.
Java i tak jest głównie używana na serwerach dostępnych w sieci lokalnej i tam bezpieczeństwo nie jest najważniejsze.

Koziołek

2014-04-17T11:38:32+02:00

Rejestracja: dni
Ostatnio: dni
Lokalizacja: Stacktrace
Postów: 6823

OpenSSL jest w wielu systemach na których śmiga ME jako dostawca security. W SE jest już natywna implementacja, a ME wali do tego co udostępnia system.

edit: z listy Oracle
MySQL Connector/C++ [Product ID 8576/CONCPLS]

Czyli co? php won, bo pośrednia zależność... hehhehe

Wibowit

2014-04-17T12:04:06+02:00

Rejestracja: dni
Ostatnio: dni
Lokalizacja: XML Hills

1 błąd ras na ruski rok vs poand 30 błędów krytycznych co kwartał - komentować nie trzeba dalej ;) - Bartosz Wójcik 23 minuty temu

W C jest napisanych dużo więcej niż samo OpenSSL. Podaj mi zbiór programów w C które implementują wszystko to co dostarcza Java w standardzie i policz bugi sumarycznie.