¿La falla de seguridad de Java también afecta a Ubuntu?

9

Hay rumores sobre un problema real de seguridad de Java. El BSI aconseja a las personas que desactiven los plugins de Java versión 7 y anteriores en todo tipo de SO, incluso en Linux. ¿Esto significa que debo desactivar el complemento de té helado en ubuntu ahora? ¿O esta versión específica no se refiere?


Muchas gracias por su respuesta. Ya busqué esta información en Internet, pero no pude encontrar lo que descubriste, ya que no sé mucho sobre la interdependencia. He deshabilitado el complemento icedtea ahora. Más vale prevenir que lamentar...

¿Cómo podemos advertir a todos los demás usuarios de Ubuntu? Según el BSI, el exploit ya se usa en exceso en los países de Noruega, Alemania y los Países Bajos. Como ubuntu también se ve afectado cuando concluyó, esto parece ser realmente importante. También escribe Heise Security ahora, el error se refiere a todo tipo de sistema operativo y navegador que es compatible con Java.

Por cierto, Oracle finalmente ha logrado corregir el error en la versión 7, actualización 7 http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-verbose-1835710.html

¿Cómo puedo saber cuándo se solucionó el problema en la versión de icedtea que usa ubuntu?

Información adicional: http://www.kb.cert.org/vuls/id/636312

Kerry
fuente

Respuestas:

6

Desde aquí dijeron que se informó como CVE-2012-4681 para Oracle Java 7 Update 6, and possibly other versions,

Parece que todavía no se ha informado ni se ha contabilizado para Ubuntu, pero se puede ver informado para Debian como aquí para los paquetes openjdk-6 y openjdk-7 , por lo que supongo que también se aplica aquí.

ingrese la descripción de la imagen aquí

Si lo adivino bien, aquí existe la misma versión para Ubuntu

ingrese la descripción de la imagen aquí

Así que desactívelo, para estar seguro de un lado más seguro.


Editar (1-9-2012) Ahora es abordado por el equipo de Seguridad de Ubuntu como se puede ver aquí . Supongo que pronto se proporcionará una actualización de seguridad para el paquete.

El paquete Icetea-Web incluye el complemento, que parece no haber sido afectado como aquí.

ingrese la descripción de la imagen aquí

Puede hacer clic en el enlace de Ubuntu como se muestra arriba para ver los paquetes que contiene. Así que supongo que es seguro usarlo.

atenz
fuente
Hola tijybba, parece que el té helado no es seguro a pesar de lo que está escrito en la tabla anterior. "Red Hat ha probado la falla y confirmó que afecta a Java SE 7 provisto por OpenJDK 7 (java-1.7.0-openjdk), Oracle Java SE 7 (java-1.7.0-oracle) e IBM Java SE 7 (java- 1.7.0-ibm) "(citado de: bugzilla.redhat.com/show_bug.cgi?id=852051 ) Entonces, ¿Tom Brosman a continuación puede tener razón, después de todo?
Kerry
Acabo de notar su edición: [qoute] Editar (1-9-2012) Ahora es abordado por el equipo de Seguridad de Ubuntu como se puede ver aquí. Supongo que pronto se proporcionará una actualización de seguridad para el paquete. [/ Quote] Esta es la información importante para mí, es justo lo que estaba buscando. El enlace muestra ahora que la versión más nueva está afectada. Me quedaré con Java "deshabilitado" por ahora. Muchas gracias.
Kerry
@ Kerry: Sí, afecta a openjdk 7 como ya se mencionó en el enlace, publiqué lo que leí allí sobre el complemento icedtea-web, deshabilitar sería inteligente. Y nunca dije que Tom Brosman se equivocara :)), gracias por responder.
atenz
¿Podemos actualizar esta respuesta a cuál es el estado actual?
Jorge Castro
@ JorgeCastro- Estoy de acuerdo.
atenz
3

Parece que el complemento IcedTea es seguro (contrario a lo que se indicó anteriormente), aquí copio del sitio RedHat (también mencionado anteriormente):

Tomas Hoger 2012-08-27 09:09:03 EDT

La ejecución del código se confirmó con el último complemento de navegador web Oracle e IBM Java 7. IcedTea-Web usando OpenJDK7 bloquea este exploit al no permitir que el applet cambie el SecurityManager (que está permitido en el complemento Oracle e IBM Java).

Java 6 actualmente no se sabe afectado.

Esto es importante para mí, ya que necesito un navegador habilitado para Java para descargar archivos de un sitio patrocinado por el gobierno de EE. UU., Protein Data Bank (http://www.rcsb.org/pdb/home/home.do), y el complemento IcedTea en obras allí.

csevcik
fuente
1

, debe deshabilitarlo (o incluso eliminarlo) por ahora. Tenga en cuenta que las otras respuestas aquí están desactualizadas y suponga que el parche 'update 7' recién lanzado (30 de agosto de 2012) solucionó las cosas. No lo hizo, sigue siendo vulnerable . Es el sábado 1 de septiembre de 2012 cuando escribo esta actualización 7 de Java 7 que contiene un error crítico. Del artículo vinculado:

Los investigadores dijeron que descubrieron una falla en la actualización de Java 7 lanzada por Oracle el jueves que permite a los atacantes tomar el control completo de las computadoras de los usuarios finales.

Las instrucciones sobre cómo deshabilitar el complemento del navegador en Firefox y Chrome están aquí, en esta pregunta similar . Tenga en cuenta que Javascript y Java no son lo mismo .

Tom Brossman
fuente
+1 para actualizar nueva información y consejos también. Gracias.
atenz
@tijybba no hay problema. Puedo eliminar mi respuesta una vez que todo esté parchado solo para mantener esta publicación simple. Ahora es difícil leer las preguntas y respuestas con todas las ediciones.
Tom Brossman
no señor, por favor no lo elimine, es informativo e importante para este tipo de situación.
atenz