The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Релиз свободного Java-пакета IcedTea 2.0. Обновление Java SE 6u29 и 7u1 с устранением 20 уязвимостей

19.10.2011 23:48

Анонсирован релиз IcedTea 2.0, первой версии полностью открытой реализации Java SE 7, построенной на базе OpenJDK7 и виртуальной машины HotSpot, с использованием свободных средств сборки. IcedTea 2.0 поддерживает все возможности Java SE 7 и включает внесенные в дерево исходных текстов OpenJDK7 патчи. В IcedTea также интегрировано несколько улучшений, созданных разработчиками проекта. Например, добавлен звуковой драйвер для работы через PulseAudio, обеспечена поддержка использования альтернативных виртуальных машин, реализован 64-разрядный браузерный плагин IcedTea-Web с поддержкой LiveConnect и Java Web Start, добавлена поддержка дополнительных платформ.

Ранее поставляемая в составе IcedTea виртуальная машина Cacao пока не адаптирована для работы с OpenJDK7. В новой версии также отмечено устранение 13 уязвимостей, некоторые из которых могут привести к организации удаленного выполнения кода злоумышленника. Одновременно с IcedTea 2.0 выпущены корректирующие релизы IcedTea 1.8.10, 1.9.10 и 1.10.4, в которых устранены аналогичные уязвимости.

Одновременно компания Oracle представила двадцать девятый корректирующий релиз Java SE Runtime (JRE) 6 и Java SE Development Kit (JDK) 6, в котором устранено 20 уязвимостей. Подробности об устраненных уязвимостях не сообщаются, упоминается только, что некоторые из проблем имеют критический характер и пользователям следует немедленно обновить Java.

19 из 20 уязвимости могут быть эксплуатированы удаленно с вектором атаки через сеть. 5 уязвимостей имеют статус опасных, для 5 уязвимостей степень опасности определена средняя, а для 10 как незначительная. 9 уязвимостей могут привести к выполнению кода при обработке специально оформленного апплета. 10 уязвимостей позволяют получить доступ к закрытым данным или произвести манипуляции с данными не имея на это прав. Одна уязвимость позволяет организовать атаку по подстановке фиктивных значений в кэш DNS.

Известно, что одна уязвимость исправлена в 2D-подсистеме, одна в HotSpot VM, три в Deployment Toolkit, одна в SAAJ, одна в сетевой подсистеме, одна в Swing, одна в звуковой подсистеме, одна в сетевой подсистеме, одна в JAXWS, две в AWT, две в JSSE, две в RMI, две в JRE и одна в подсистеме скриптинга. Опасные уязвимости исправлены в AWT, Deployment Toolkit, JRE и в сетевой подсистеме.

Дополнение: доступен Java SE 7 Update 1 с устранением аналогичных уязвимостей и исправлением 6 серьезных ошибок в браузерном плагине и виртуальной машине HotSpot.

  1. Главная ссылка к новости (http://mail.openjdk.java.net/p...)
  2. OpenNews: На базе IcedTea для web-браузеров подготовлен открытый Java-плагин
  3. OpenNews: Обновление свободного Java-пакета IcedTea6 1.9
  4. OpenNews: Обновление Java SE 6 Update 25
  5. OpenNews: Обновление Java SE 6 Update 26 c исправлением 17 уязвимостей
  6. OpenNews: Компания Oracle анонсировала выход Java SE 7
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/32087-icedtea
Ключевые слова: icedtea, java
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (7) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.3, F (?), 04:45, 20/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    С одной стороны, кажется что это слишком дофига уязвимостей для одного пакета, но следует учитывать, что в состав Java SE входит куча библиотек, начиная от I/O и работы с сетью и закачивая GUI.
     
     
  • 2.5, eugenyn (ok), 06:25, 20/10/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А так же с базами данных и многопоточностью. Давно пора переименовывать SE во что-нибудь вроде "экстреме эдишн". :)
     
  • 2.10, Аноним (-), 09:33, 20/10/2011 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > С одной стороны, кажется что это слишком дофига уязвимостей для одного пакета,
    > но следует учитывать, что в состав Java SE входит куча библиотек,
    > начиная от I/O и работы с сетью и закачивая GUI.

    Кто сам без kernel.org, пусть кинет в нее камень.

     
     
  • 3.11, Michael Shigorin (ok), 10:06, 20/10/2011 [^] [^^] [^^^] [ответить]  
  • +/
    > Кто сам без kernel.org, пусть кинет в нее камень.

    Возможно, Вы хотели сказать "кто сам ничего не делает".  Или незаметен на радаре...

     

  • 1.6, jdeveloper (?), 06:32, 20/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И все молчат об Java SE 7u1...
     
  • 1.12, Андрей (??), 11:32, 20/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ждём icedtea-plugin 7 в дебиан тестинг! А то устанавливаешь openjdk-7-jre, а для браузера нужен icedtea-plugin с зависимостью от openjdk-6-jre.
     
  • 1.13, Аноним (-), 17:25, 20/10/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ждем, когда Oracle  примет в OpenJDK переписанные под свободную лицензию компоненты IcedTea
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру