Vulnerabilità Java: che dire di OpenJDK + IcedTea?

5

In questi giorni ci sono molti consigli su come disabilitare java-plugin a causa di una grave vulnerabilità. So che questo argomento è già stato trattato su questo sito qui e qui .

Nelle relazioni sulla vulnerabilità che ho letto fino ad ora, fanno riferimento solo a Java generico o Oracle Java. Sto facendo questa domanda poiché molti computer della nostra azienda eseguono OpenJDK + IcedTea Java Plugin .

Quindi, la domanda è questa:

Qualcuno sa se il plug-in Java di OpenJDK è anch'esso affetto da questa vulnerabilità?

    
posta jap1968 13.01.2013 - 10:31
fonte

3 risposte

4

Java 7 e OpenJDK condividono un sacco di codice comune, quindi, come regola generale, i problemi di sicurezza in Java 7 si applicano anche a OpenJDK. In quel caso specifico, sembra che la vulnerabilità fosse riportata nel pacchetto Debian OpenJDK, quindi sì, sono vulnerabili. Vedi questa domanda su un altro sito di stackexchange . Poiché Oracle sembra aver corretto il proprio JDK, è probabile che la stessa correzione venga visualizzata in OpenJDK in poche ore o giorni.

Sul lato positivo, se usi OpenJDK e IcedTea, è probabile che tu usi Linux. Gli autori di malware raramente si rivolgono a sistemi Linux, perché non ci sono molte persone che navigano sul Web da una macchina Linux, e ci sono molti "sistemi Linux" diversi che rendono difficile scrivere una parte di codice binario (come malware) che funzionerà sulla maggior parte di essi (l'ecosistema Linux si basa sulla distribuzione del codice sorgente e sulla confezione per distribuzione, piuttosto che sulla reale compatibilità binaria). Pertanto, gli autori di malware ritengono che Linux "non valga la pena". Questo è molto utile per spiegare la scarsità di malware su Linux.

Il mio istinto è che la correzione sarà disponibile sui normali canali di aggiornamento molto prima che qualsiasi macchina Linux venga effettivamente attaccata in natura (ma non devi fidarti del mio coraggio - personalmente, non lo faccio).

    
risposta data 13.01.2013 - 15:04
fonte
1

IcedTea 1.2 è decisamente vulnerabile. So di prima mano. Linux non è sicuro da malware per l'esecuzione di codice in modalità remota. Il salvataggio è normalmente eseguito sul desktop come utente non privilegiato, quindi qualsiasi danno è relativo all'account utente e non al sistema.

    
risposta data 04.02.2013 - 16:57
fonte
0

Non sono sicuro di essere d'accordo nell'usare l'argomento "Eseguo Linux quindi sono sicuro" in questo caso. Normalmente sono d'accordo che gli utenti malintenzionati vorrebbero il massimo "bang for the buck" e quindi potrebbero saltare saltando uno specifico exploit * nix sullo stesso exploit per Windows. Tuttavia, dal momento che Java funziona su più piattaforme, il codice malevolo scritto per sfruttare la JVM non sarebbe altrettanto efficace a prescindere dalla piattaforma (cioè Windows, Linux, MacOS, ecc.) Su cui è in esecuzione la JVM? Se la JVM è stata sfruttata e utilizzata per eseguire funzioni sul sistema operativo host, passando dalla JVM all'host, nessun sistema operativo potrebbe essere a rischio?

    
risposta data 02.02.2013 - 18:25
fonte

Leggi altre domande sui tag