Java a ostatnie krytyczne luki? Czy warto?

0

Oracle wydało aktualizację dla Java SE

http://krebsonsecurity.com/2014/04/critical-java-update-plugs-37-security-holes/

37 security vulnerabilities

4 z nich otrzymały notę 10 w skali CVSS http://nvd.nist.gov/cvss.cfm

Czy warto tworzyć w Javie, gdy potencjalni klienci mają mówiąc krótko przerąbane?

2

A taki np OpenSSL też był napisany w Javie?

0

@Bartosz Wójcik, pociesz się tym, że soft pisany w Cpp ma jeszcze więcej dziur. Zresztą ostatnio bodajże na niebezpieczniku było fajne wyliczenie - jeżeli przyjąć, że 5 linii na 1000 zawiera bugi i tylko 10% bugów związane jest z bezpieczeństwem to w samym Win8 mamy około 60k błędów bezpieczeństwa. Zatem tu klienci mają dopiero przerąbane....

BTW, chodzi o aplety java, których praktycznie nikt nie używa, a przeglądarki zanim je uruchomią to po 20 razy pytają czy aby na pewno.

0
Wibowit napisał(a):

A taki np OpenSSL też był napisany w Javie?

http://www.oracle.com/technetwork/topics/security/opensslheartbleedcve-2014-0160-2188454.html
"Products That Do Not Include OpenSSL" zawiera "Java SE", z drugiej strony "Oracle products that are likely vulnerable to CVE-2014-0160 but for which no fixes are yet available" zawiera "Java ME - Mobile and Wireless".
Czyli, jeżeli dobrze rozumiem, to Java ME używa OpenSSL, ale Java SE już nie.


Jeżeli natomiast mówimy o bezpieczeństwie użytkownika, to moim zdaniem trzeba w przeglądarce usunąć plugin do Javy.
Niestety przez to odpadają apltety i Java Web Start.
Java i tak jest głównie używana na serwerach dostępnych w sieci lokalnej i tam bezpieczeństwo nie jest najważniejsze.

0

OpenSSL jest w wielu systemach na których śmiga ME jako dostawca security. W SE jest już natywna implementacja, a ME wali do tego co udostępnia system.

edit: z listy Oracle
MySQL Connector/C++ [Product ID 8576/CONCPLS]

Czyli co? php won, bo pośrednia zależność... hehhehe

0

1 błąd ras na ruski rok vs poand 30 błędów krytycznych co kwartał - komentować nie trzeba dalej ;) - Bartosz Wójcik 23 minuty temu

W C jest napisanych dużo więcej niż samo OpenSSL. Podaj mi zbiór programów w C które implementują wszystko to co dostarcza Java w standardzie i policz bugi sumarycznie.

0

Java jest napisana w C/C++, wiec w sumie wszystkie bugi w Javie sa jakby bugami w C/C++?

1 użytkowników online, w tym zalogowanych: 0, gości: 1