image

Oracle monsterpatch mist ernstig Java-lek

woensdag 17 oktober 2012, 17:02 door Redactie, 11 reacties

Oracle heeft gisteren een belangrijke update voor Java uitgebracht die in totaal 30 beveiligingslekken verhelpt, maar een ernstige kwetsbaarheid wordt pas in februari 2013 gepatcht. Dat zegt de Poolse beveiligingsonderzoeker Adam Gowdiak van het bedrijf Security Explorations tegenover Security.nl. De update van Oracle verhelpt wel 19 beveiligingslekken die Security Explorations eerder aan Oracle rapporteerde.

Via deze kwetsbaarheden kan een aanvaller uit de Java-sandbox breken om het onderliggende systeem over te nemen. Het gaat hier onder andere om de kwetsbaarheid die in een noodpatch voor een ander ernstig Java-lek werd ontdekt.

Februari
"Hoewel Oracle's update van oktober veel ernstige kwetsbaarheden in de software verhelpt, bevat het geen fix voor een ernstig beveiligingslek dat in alle Java SE versies, 5, 6 en 7, aanwezig is", aldus Gowdiak. Oracle liet de onderzoeker weten dat het van plan is om het lek tijdens de patchdinsdag van februari te dichten. In tegenstelling tot Microsoft dat elke maand met updates komt, brengt Oracle elk kwartaal updates uit.

In een verklaring waarom een update voor het ernstige Java-probleem is uitgesteld, stelt Oracle dat het bijna klaar was met het testen van de update van oktober, toen de melding over het nieuwe ernstig lek binnenkwam. Daardoor was het te laat om de update in de patchronde van oktober mee te nemen.

Reacties (11)
17-10-2012, 18:10 door [Account Verwijderd]
[Verwijderd]
17-10-2012, 18:14 door Anoniem
Wie heeft dat eigenlijk bedacht, dat onzalige idee van die "patchrondes"?
17-10-2012, 19:21 door Anoniem
Dit is dus precies de reden dat ik geen JAVA op mijn PC heb.
17-10-2012, 19:52 door Sith Warrior
Ik begrijp ook niet helemaal waarom we van update 7 naar 9 zijn gegaan en 8 geskipt is.
17-10-2012, 20:12 door Anoniem
Door Sith Warrior: Ik begrijp ook niet helemaal waarom we van update 7 naar 9 zijn gegaan en 8 geskipt is.

Iemand heeft bedacht dat de oneven nummers voor security updates zijn en de even nummers voor releases
met nieuwe features.
We gingen voor het grote publiek ook van 5 naar 7 terwijl daar tussen wel een versie 6 was voor de java addicten
waarin men voor het eerst de JavaFX spullen er standaard bij zaten.
(daarmee werd het installatie pakket weer 10MB groter)

Door gauw de Update 7 te installeren in verband met de security crisis trok je dus meteen ook een stuk nieuwe
functionaliteit naar binnen, waarvan we maar moeten hopen dat die niet weer nieuwe lekken introduceert.

Tussen 7 en 9 zit niet zo'n release, die heeft men van 8 opgeschoven naar 10.
17-10-2012, 20:45 door Anoniem
Het blijft een merkwaardig fenomeen, Java en Oracle. Nou en, dan komt die informatie te laat binnen. Niet lullen, maar poetsen is het credo. Werk eraan en kom dan sneller met een juiste patch uit, a.s.a.p. Is ook een kwestie van prioriteiten stellen.
18-10-2012, 00:39 door Anoniem
Kortom: Wij patchen eens per kwartaal en voor de rest zoekt u het maar uit, ongeacht de consequenties. Wij zijn groot en u is klein. Lekker, puh.
18-10-2012, 00:53 door Anoniem
Klinkt als: deinstalleer Java. What's the problem?
18-10-2012, 09:45 door WhizzMan
Ik heb het al eerder gezegd. Oracle neemt beveiliging niet serieus genoeg; dat blijkt wel weer uit de arrogantie waarmee ze dit probleem aanpakken en er over communiceren. Van dit lek weten we het, omdat Gowdiak er zelf de pers mee op zoekt. Van hoeveel andere lekken weten we het niet en wordt er misbruik gemaakt?

Ik zou nog eens goed nadenken of je Oracle producten wel wilt gebruiken als er alternatieven zijn die wel actief aan hun beveiliging werken. Dat geldt dus niet alleen voor een Java VM, maar ook voor besturingssystemen en databases.
18-10-2012, 10:29 door Anoniem

Ik zou nog eens goed nadenken of je Oracle producten wel wilt gebruiken als er alternatieven zijn die wel actief aan hun beveiliging werken. Dat geldt dus niet alleen voor een Java VM, maar ook voor besturingssystemen en databases.[/quote]
Nou dat lost zichzelf wel op. Ik zie de ene applicatie na de andere migreren naar Microsoft SQL Server.
(dwz alle applicaties die we op het werk draaien die nu op een andere database draaien die hebben aangekondigd
dat ze bij de volgende release gaan migreren)

Lijkt je dat beter?
18-10-2012, 22:07 door Anoniem
Java, software? is dat niet een van de 4 grote soemba eilanden in de Indonesische archipel? Tenminste daar houd ik het voortaan maar weer op en Oracle: vlieg op (met je halfslachtigheid).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.