La faille de sécurité de Java affecte-t-elle également ubuntu?
Il y a des rumeurs sur un problème de sécurité réel Java. La BSI conseille aux utilisateurs de désactiver Java plug-ins versions 7 et antérieures dans tous types d’OS, même sous Linux. Est-ce que cela signifie que je devrais désactiver le plug-in iced-tea dans Ubuntu maintenant? Ou est-ce que cette version spécifique n'est pas concernée?
Merci beaucoup pour votre réponse. J'ai déjà cherché cette information sur Internet, mais je n'ai pas pu trouver ce que vous avez découvert, car je ne connais pas grand chose à propos de l'interdépendance. J'ai désactivé le plugin icedtea maintenant. Mieux vaut prévenir que guérir ...
Comment pouvons-nous avertir tous les autres utilisateurs d'ubuntu? Selon le BSI, l'exploit est déjà excessivement utilisé dans les pays norvégiens, allemands et néerlandais. Comme vous avez conclu que Ubuntu est également affecté, cela semble être vraiment important. Également, heise security écrit maintenant que le bogue concerne tous les types d’OS et de navigateurs supportés par Java.
Btw, Oracle a finalement réussi à résoudre le bogue dans la version 7 de la version 7 de Ver 7 http://www.Oracle.com/technetwork/topics/security/alert-cve-2012-4681-verbose-1835710.html =
Comment savoir si le problème est résolu dans la version d'icedtea utilisée par ubuntu?
Informations supplémentaires: http://www.kb.cert.org/vuls/id/636312
De ici ils ont dit qu'il était signalé comme CVE-2012-4681 pour Oracle Java 7 Update 6, and possibly other versions
Il semble que cela ait pas encore été rapporté ou comptabilisé pour Ubunt mais peut être vu rapporté pour Debian comme ici pour les paquets openjdk-6 et openjdk-7 , donc je suppose que ça s'applique ici aussi.
Si je le devine, la même version existe pour Ubuntu ici
Alors s'il vous plaît désactiver, pour être assuré pour le côté plus sûr.
Edit (1-9-2012) Il est maintenant adressé par l'équipe de sécurité Ubuntu comme on peut le voir ici . Une mise à jour de sécurité pour le paquet sera bientôt fournie, je suppose.
Le paquet Icetea-Web inclut le plugin, qui ne semble pas avoir été affecté comme ici.
Vous pouvez cliquer sur le lien Ubuntu comme ci-dessus pour voir les paquetages qu'il contient. Alors je suppose que vous pouvez l'utiliser en toute sécurité .
Il semble que le plugin IcedTea soit sûr (contrairement à ce qui est indiqué ci-dessus), ici je copie depuis le site RedHat (également mentionné ci-dessus):
Tomas Hoger 2012-08-27 09:09:03 EDT
L'exécution du code a été confirmée avec le dernier plug-in de navigateur Web Oracle et IBM Java 7. IcedTea-Web à l'aide d'OpenJDK7 bloque cet exploit en ne permettant pas à l'applet de modifier le SecurityManager (autorisé dans les plug-ins Oracle et IBM Java).
Java 6 n'est actuellement pas affecté.
C’est important pour moi, car j’ai besoin d’un navigateur Java permettant de télécharger des fichiers depuis un site parrainé par le gouvernement américain, Protein Data Bank (http://www.rcsb.org/pdb/home/home.do). , et le plug-in IcedTea y travaille.
OUI, vous devez le désactiver (ou même le supprimer) pour le moment. Notez que les autres réponses ici sont obsolètes et supposons que le correctif 'update 7' qui vient de paraître (30 août 2012) soit corrigé. Ce n'est pas le cas, il est toujours vulnérable. Nous sommes samedi 1er septembre 2012 au moment où je tape ceci Java 7 mise à jour 7 contient un bogue critique. De l'article lié:
Des chercheurs ont déclaré avoir découvert une faille dans la mise à jour Java 7 publiée jeudi par Oracle, qui permet aux attaquants de prendre le contrôle intégral des ordinateurs des utilisateurs finaux.
Les instructions pour désactiver le plug-in de navigateur dans Firefox et Chrome sont ici, dans cette question similaire . Notez que Javascript et Java sont pas la même chose .