Czy luka w zabezpieczeniach Java ma również wpływ na Ubuntu?

Krążyły pogłoski o rzeczywistym problemie bezpieczeństwa java. BSI zaleca ludziom dezaktywację wtyczek Java w wersji 7 i wcześniejszych we wszystkich systemach operacyjnych, nawet w Linuksie. Czy to oznacza, że ​​powinienem teraz dezaktywować wtyczkę mrożonej herbaty w Ubuntu? Czy ta konkretna wersja nie dotyczy?

Bardzo dziękuję za odpowiedź. Szukałem już tych informacji w Internecie, ale nie byłem w stanie znaleźć tego, czego się dowiedziałeś, ponieważ niewiele wiem o współzależności. Teraz wyłączyłem wtyczkę icedtea. Lepiej dmuchać na zimne...

Jak możemy ostrzec wszystkich innych użytkowników ubuntu? Według BSI exploit ten jest już nadmiernie wykorzystywany na obszarach Norwegii, Niemiec i Holandii. Ponieważ dotyczy to również Ubuntu, ponieważ doszedłeś do wniosku, że jest to naprawdę ważne. Również heise security pisze teraz, że błąd dotyczy każdego rodzaju systemu operacyjnego i przeglądarki obsługiwanej przez Javę.

Przy okazji, Oracle w końcu udało się naprawić błąd w aktualizacji 7 do wersji 7 http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-verbose-1835710.html

Skąd mam wiedzieć, kiedy problem został rozwiązany w wersji icedtea, z której korzysta Ubuntu?

Informacje dodatkowe: http://www.kb.cert.org/vuls/id/636312

Od tutaj powiedzieli, że został zgłoszony jako CVE-2012-4681 dla Oracle Java 7 Update 6, and possibly other versions,

Wygląda na to, że nie został jeszcze zgłoszony ani uwzględniony w systemie Ubuntu, ale można go zobaczyć w przypadku Debiana, jak tutaj dla pakietów openjdk-6 i openjdk-7 , więc myślę, że dotyczy to również tutaj.

Jeśli zgaduję, że tak, istnieje tutaj ta sama wersja dla Ubuntu

Proszę więc go wyłączyć, aby zapewnić sobie bezpieczniejszą stronę.

Edytuj (1-9-2012) Jest to obecnie adresowane przez zespół ds. Bezpieczeństwa Ubuntu, jak widać tutaj . Chyba wkrótce zostanie udostępniona aktualizacja zabezpieczeń pakietu.

Pakiet Icetea-Web zawiera wtyczkę, na którą nie ma to wpływu, jak tutaj.

Możesz kliknąć link Ubuntu jak wyżej, aby zobaczyć pakiety w nim. Myślę, że możesz z niego bezpiecznie korzystać.

Wygląda na to, że wtyczka IcedTea jest bezpieczna (w przeciwieństwie do powyższego), tutaj kopiuję ze strony RedHat (również wspomnianej powyżej):

Tomas Hoger 27.08.2012 09:09:03 EDT

Wykonanie kodu zostało potwierdzone najnowszą wtyczką przeglądarki internetowej Oracle i IBM Java 7. IcedTea-Web za pomocą OpenJDK7 blokuje ten exploit, nie pozwalając apletowi na zmianę SecurityManager (co jest dozwolone w Oracle i IBM Java plugin).

Obecnie nie ma wpływu na Java 6.

Jest to dla mnie ważne, ponieważ potrzebuję przeglądarki obsługującej Javę, aby pobierać pliki z witryny sponsorowanej przez rząd USA, Protein Data Bank (http://www.rcsb.org/pdb/home/home.do) oraz wtyczki IcedTea w pracach tam.

TAK , na razie powinieneś je wyłączyć (lub nawet usunąć). Pamiętaj, że inne odpowiedzi tutaj są nieaktualne i załóżmy, że łatka „aktualizacja 7” właśnie wydana (30 sierpnia 2012 r.) Rozwiązała problemy. Nie zrobił tego, wciąż jest wrażliwy . Jest sobota 1 września 2012 r., Kiedy piszę, że aktualizacja 7 Java 7 zawiera krytyczny błąd. Z powiązanego artykułu:

Badacze stwierdzili, że odkryli lukę w aktualizacji Java 7 wydanej przez Oracle w czwartek, która umożliwia atakującym przejęcie pełnej kontroli nad komputerami użytkowników końcowych.

Instrukcje dotyczące wyłączania wtyczki przeglądarki w Firefoksie i Chrome znajdują się tutaj, w tym podobnym pytaniu . Pamiętaj, że JavaScript i Java to nie to samo .