Java-Lücke: Nur Oracle?
Hi, es ist ja seit einigen Tage überall(TM) von der neuen, bösen Java-Lücke die Rede. (Wer es noch immer nicht gehört hat: Guckst du hier: http://www.heise.de/newsticker/meldung/Warnung-vor-kritischer-Java- Luecke-1675454.html) Inzwischen soll Oracle ja tatsächlich einen Patch herausgebracht haben ... Weiß jemand ob sich diese Lücke nur auf Oracle- (ex.SUN-) Java beschränkt? Oder ist auch openJDK betroffen? Bye Bernd -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 01.09.2012 09:01, schrieb Bernd Nachtigall:
Hi,
es ist ja seit einigen Tage überall(TM) von der neuen, bösen Java-Lücke die Rede. (Wer es noch immer nicht gehört hat: Guckst du hier: http://www.heise.de/newsticker/meldung/Warnung-vor-kritischer-Java- Luecke-1675454.html)
Inzwischen soll Oracle ja tatsächlich einen Patch herausgebracht haben ...
Weiß jemand ob sich diese Lücke nur auf Oracle- (ex.SUN-) Java beschränkt? Oder ist auch openJDK betroffen?
Ich kann nur vermuten, dass nur Oracle betroffen ist. Bei Golem ist übrigens zu lesen, dass der Patch 7u7 selbst ein Sicherheitsloch aufreißt: <http://www.golem.de/news/java-7-update-7-update-oeffnet-neue-kritische-sicherheitsluecke-1209-94274.html> Never ending story? Gruß Werner -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Samstag, 1. September 2012, 19:23:16 schrieb Werner Flamme:
Am 01.09.2012 09:01, schrieb Bernd Nachtigall:
Weiß jemand ob sich diese Lücke nur auf Oracle- (ex.SUN-) Java beschränkt? Oder ist auch openJDK betroffen?
Ich kann nur vermuten, dass nur Oracle betroffen ist.
Kann ich mir beim besten Willen nicht voststellen. Seit Java 7 baut das Oracle Java doch auf dem OpenJDK auf, sprich es basiert auf den selben Sourcen mit ein paar Extras (ähnlich wie Chrome auf Chromium fusst).
Bei Golem ist übrigens zu lesen, dass der Patch 7u7 selbst ein Sicherheitsloch aufreißt: <http://www.golem.de/news/java-7-update-7-update-oeffnet-neue-kritisch e-sicherheitsluecke-1209-94274.html>
Never ending story?
Ja, ist echt mist im Moment. Ist vielleicht noch das beste auf der 6er zu bleiben und das Browser-Plugin nicht, oder nur für bestimmte Seiten zu aktivieren. -- Machs gut | http://www.iivs.de/schwinde/buerger/tremmel/ | http://packman.links2linux.de/ Manfred | http://www.knightsoft-net.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On Sat, Sep 01, 2012 at 07:47:55PM +0200, Manfred Tremmel wrote:
Am Samstag, 1. September 2012, 19:23:16 schrieb Werner Flamme:
Am 01.09.2012 09:01, schrieb Bernd Nachtigall:
Weiß jemand ob sich diese Lücke nur auf Oracle- (ex.SUN-) Java beschränkt? Oder ist auch openJDK betroffen?
Ich kann nur vermuten, dass nur Oracle betroffen ist.
Kann ich mir beim besten Willen nicht voststellen. Seit Java 7 baut das Oracle Java doch auf dem OpenJDK auf, sprich es basiert auf den selben Sourcen mit ein paar Extras (ähnlich wie Chrome auf Chromium fusst).
Bei Golem ist übrigens zu lesen, dass der Patch 7u7 selbst ein Sicherheitsloch aufreißt: <http://www.golem.de/news/java-7-update-7-update-oeffnet-neue-kritisch e-sicherheitsluecke-1209-94274.html>
Never ending story?
Ja, ist echt mist im Moment. Ist vielleicht noch das beste auf der 6er zu bleiben und das Browser-Plugin nicht, oder nur für bestimmte Seiten zu aktivieren.
Wir sind uns nicht voellig sicher, es koennte das icedtea-web plugin aber betroffen sein. https://bugzilla.novell.com/show_bug.cgi?id=777499 Ciao, Marcus -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 01.09.2012 21:12, schrieb Marcus Meissner:
On Sat, Sep 01, 2012 at 07:47:55PM +0200, Manfred Tremmel wrote:
Am Samstag, 1. September 2012, 19:23:16 schrieb Werner Flamme:
Am 01.09.2012 09:01, schrieb Bernd Nachtigall:
Weiß jemand ob sich diese Lücke nur auf Oracle- (ex.SUN-) Java beschränkt? Oder ist auch openJDK betroffen?
Ich kann nur vermuten, dass nur Oracle betroffen ist.
Kann ich mir beim besten Willen nicht voststellen. Seit Java 7 baut das Oracle Java doch auf dem OpenJDK auf, sprich es basiert auf den selben Sourcen mit ein paar Extras (ähnlich wie Chrome auf Chromium fusst).
Bei Golem ist übrigens zu lesen, dass der Patch 7u7 selbst ein Sicherheitsloch aufreißt: <http://www.golem.de/news/java-7-update-7-update-oeffnet-neue-kritisch e-sicherheitsluecke-1209-94274.html>
Never ending story?
Ja, ist echt mist im Moment. Ist vielleicht noch das beste auf der 6er zu bleiben und das Browser-Plugin nicht, oder nur für bestimmte Seiten zu aktivieren.
Wir sind uns nicht voellig sicher, es koennte das icedtea-web plugin aber betroffen sein.
Hallo zusammen, hier nun mein Erfahrungsbericht. :-) Ich habe mal das Exploit heruntergeladen und etwas für Linux angepasst. Ich habe in der Kombination OpenJDK 1.6.0 + icedtea-web und OpenJDK 1.7.0 + icedtea-web ausprobiert. Das Exploit funktioniert nicht. Aus Spaß an der Freude habe ich mal das aktuelle Java 7u7 [1] installiert, um das Exploit dort zu testen. Klappt auch nicht. Ich habe noch eine andere Version von Java 7u6 [2] gefunden. Dort klappte das Exploit und bei mir ploppt der KCalc auf. :-) Wer das testen möchte, kann es gerne hier tun: http://www.sebastian-siebert.de/downloads/Gondvv.html Ich bin die ganze Zeit ohne Java-Browser-Plugin gut gefahren und werde es weiterhin tun. Ein Risikofaktor weniger. Java-Browser-Plugin -> Tonne HTH, Sebastian [1] <http://www.java.com/de/download/linux_manual.jsp?locale=de> [2] <http://www.oracle.com/technetwork/java/javase/downloads/jre7-downloads-1637588.html> -- Gruß Sebastian - openSUSE Member (Freespacer) Webseite/Blog: <http://www.sebastian-siebert.de> Wichtiger Hinweis zur openSUSE Mailing Liste: <http://de.opensuse.org/openSUSE:Mailinglisten_Netiquette> -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Sonntag, 2. September 2012, 00:04:10 schrieb Sebastian Siebert:
Am 01.09.2012 21:12, schrieb Marcus Meissner:
On Sat, Sep 01, 2012 at 07:47:55PM +0200, Manfred Tremmel wrote: https://bugzilla.novell.com/show_bug.cgi?id=777499 Wer das testen möchte, kann es gerne hier tun: http://www.sebastian-siebert.de/downloads/Gondvv.html Hallo Sebastian,
danke für den Testcase, ich habe mir erlaubt im Bugzilla auf diesen hinzuweisen. Außerdem habe ich mir erlaubt die Java-Class vor dem testen zu dekompilieren[0] um nachzusehen, was da vor sich geht, nicht das du heimlich noch Ubuntu oder sowas installierst ;) Bei meinem openJDK 1.6.0 + IcedTea Web 1.2.1 war ebenfalls alles negativ.
Ich bin die ganze Zeit ohne Java-Browser-Plugin gut gefahren und werde es weiterhin tun. Ein Risikofaktor weniger. Java-Browser-Plugin -> Tonne Ack (falls man es wirklich mal brauchen sollte kann man es ja immernoch mit einem Knopfdruck aktivieren)
Was hälst du von dem Vorschlag statt kcalc xcalc aufzurufen, das ist glaube ich auf jeder openSUSE-Installation standardmäßig dabei und nicht von KDE abhängig? [0] http://paste.opensuse.org/685a1c56 -- Viele Grüße, Michael
Hallo Michael, Am 02.09.2012 12:41, schrieb Michael Skiba:
Am Sonntag, 2. September 2012, 00:04:10 schrieb Sebastian Siebert:
Am 01.09.2012 21:12, schrieb Marcus Meissner:
On Sat, Sep 01, 2012 at 07:47:55PM +0200, Manfred Tremmel wrote: https://bugzilla.novell.com/show_bug.cgi?id=777499 Wer das testen möchte, kann es gerne hier tun: http://www.sebastian-siebert.de/downloads/Gondvv.html [...] danke für den Testcase, ich habe mir erlaubt im Bugzilla auf diesen hinzuweisen. Außerdem habe ich mir erlaubt die Java-Class vor dem testen zu dekompilieren[0] um nachzusehen, was da vor sich geht, nicht das du heimlich noch Ubuntu oder sowas installierst ;)
Ubuntu auf openSUSE installieren?! o_O Da müsste ich weitere Tools hacken, um überhaupt an root-Rechte zu kommen und bei den unzähligen Linux-Distributionen wie auch unterschiedliche Versionen ist es schwierig. Da liegt der Hase im Pfeffer. Oder ein naiver User sorgt dafür: # xdg-su -c "eval \`echo eHRlcm0gLWhvbGQgLWUgd2hvYW1pCg== | base64 -d\`" ;-)
Bei meinem openJDK 1.6.0 + IcedTea Web 1.2.1 war ebenfalls alles negativ.
Jepp, genau die gleiche Beobachtung.
Ich bin die ganze Zeit ohne Java-Browser-Plugin gut gefahren und werde es weiterhin tun. Ein Risikofaktor weniger. Java-Browser-Plugin -> Tonne Ack (falls man es wirklich mal brauchen sollte kann man es ja immernoch mit einem Knopfdruck aktivieren)
Was hälst du von dem Vorschlag statt kcalc xcalc aufzurufen, das ist glaube ich auf jeder openSUSE-Installation standardmäßig dabei und nicht von KDE abhängig?
Nun ja. Du hast den Quellcode vom Java-Exploit ja schon. Feel free to modify it. Im Moment möchte ich nicht nochmal die JRE (inkl. SDK) von Oracle installieren. :-) -- Gruß Sebastian - openSUSE Member (Freespacer) Webseite/Blog: <http://www.sebastian-siebert.de> Wichtiger Hinweis zur openSUSE Mailing Liste: <http://de.opensuse.org/openSUSE:Mailinglisten_Netiquette> -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 02.09.2012 20:04, schrieb Sebastian Siebert:
Im Moment möchte ich nicht nochmal die JRE (inkl. SDK) von Oracle installieren. :-)
Hallo, versteh ich das richtig? Man braucht java von Oracle nicht mehr, wenn man "openJDK" und "IcedTea Web" installiert hat? Gruß Hugo -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Sonntag, 2. September 2012, 20:26:15 schrieb Hugo Egon Maurer:
versteh ich das richtig? Man braucht java von Oracle nicht mehr, wenn man "openJDK" und "IcedTea Web" installiert hat?
Richtig, ich verweise hier jetzt einfach mal auf den Wiki-Eintrag von openSUSE, da ich die Unterschiede selbst nicht besser erklären könnte :-) http://de.opensuse.org/Java -- Grüße, Michael
Manfred Tremmel schrieb:
Ja, ist echt mist im Moment. Ist vielleicht noch das beste auf der 6er=20=
zu bleiben und das Browser-Plugin nicht, oder nur f=C3=BCr bestimmte Se= iten=20 zu aktivieren.
z.B. für die Hochsicherheitslösung der dfiebischen Elstern (www.elster.de) - deren Versionserkennung erzählt was von irgendwelchen fehlerhaften Minor Versionsnummern und bekommt nicht mit, dass die Major Versionsnummer zu niedrig ist :)
Wolfgang -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Samstag, 1. September 2012 schrieb Bernd Nachtigall: (...)
Weiß jemand ob sich diese Lücke nur auf Oracle- (ex.SUN-) Java beschränkt? Oder ist auch openJDK betroffen? (...)
Hallo zusammen, vielen Dank für die ausführlichen Antworten und die Mühe die ihr euch gemacht habt, um das zu testen! Kann ich weiter für Linux (und openSUSE im besonderen) trommeln ;-) Bye Bernd -------------------------------------------------- Bitte nur der Liste antworten, danke -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (8)
-
Bernd Nachtigall -
hamann.w@t-online.de -
Hugo Egon Maurer -
Manfred Tremmel -
Marcus Meissner -
Michael Skiba -
Sebastian Siebert -
Werner Flamme