Suchfunktion nach "--install" ergibt dort nichts, also sollte es wohl irgendwo mit rein.
Java
|
Anmeldungsdatum: Beiträge: 29240 |
|
|
Anmeldungsdatum: Beiträge: 1292 |
hi, Java/Installation Sun Java aus den Paketquellen installieren / Hintergrund meiner heutigen Änderung: Nachdem die als unsicher/critical eingestufte Oracle (Sun)-Java Version6, Update26 weiterhin über die Standard-Paketquellen installierbar bleibt und nicht aus den Paketquellen entfernt wird, habe ich heute die Entscheidung getroffen, die Installationshinweise (Paketquellen) dazu vorübergehend aus dem Wiki zu entfernen. Als Alternative bleibt die Installation von OpenJDK (Version 6 oder 7 (?)) oder die manuelle Installation von Sun-Java bestehen, dies ist im Artikel vermerkt. Ein Bugreport 881746, Status: confirmed/bestätigt, besteht und Canonical, hat im Gegensatz zu Redhat/Debian bisher keine adäquaten Massnahmen getroffen. um seine Benutzer vor möglichen Gefahren zu schützen, respektive die betroffenen Pakete zu entfernen. An einer Lösung wird gearbeitet, der Fehler ist seit E/Oktober bekannt. |
|
Anmeldungsdatum: Beiträge: 14259 |
Ich habe die entsprechende Warnung mal auf das Wesentliche gekuerzt. Bleibt die Frage, ob man die Entscheidung, diese Version trotzdem zu installieren, nicht dem Benutzer ueberlaesst? So erinnert es mich nur an Security through obscurity und vorauseilenden Gehorsam. Und was ist mit den Rechnern, die der veraltete Version bereits installiert haben? Die muesstest Du auch warnen, wenn man das derzeitige Problem mit Sun Java konsequent zu Ende denkt. PS: siehe auch http://archive.canonical.com/pool/partner/s/sun-java6/ - falls sich etwas tut. |
|
Anmeldungsdatum: Beiträge: 1292 |
Hallo Danke für's diplomatische anpassen! Ich schau' so in's "Partner"-Archiv: http://archive.canonical.com/pool/partner/s/sun-java6/?C=M;O=D, dann habe ich gleich die letzten Versionen in der Tabellenansicht nach oben sortiert. Die Punkte mit bereits verteilter Software, sind im Launchpad-Bugbericht ja schon aufgeführt. Secunia-Status, vom 27.10. ist: highly critical Dort werden als mögliche Auswirkungen auf das System beschrieben:
Warum sollte man dem Benutzer die Möglichkeit geben, das über die Paketverwaltung zu installieren, ohne das er die Risiken kennt? Sowas gehört vom Server genommen. My 5 Cent Alte Versionen kann man beim Hersteller bekommen, jedoch nicht ohne Warnhinweis |
|
Anmeldungsdatum: Beiträge: 14259 |
Das habe ich nicht geschrieben - und eine Warnung ist nun enthalten. |
|
Anmeldungsdatum: Beiträge: 1292 |
Hallo ich weiss das Du das nicht so geschrieben hast, hatte das ja auch bewusst nicht als Zitat markiert. Es war gedacht. als Antwort auf
Java/Installation |
|
Anmeldungsdatum: Beiträge: 14259 |
Nein, bitte nicht noch mehr "Knöpfle" ☺ Die apturl-Schaltflächen sollen die Installation erleichtern. Wer die volle Kontrolle haben moechte, waehlt die benoetigten Pakete selbst ueber eine Paketverwaltung aus. |
|
Anmeldungsdatum: Beiträge: 9245 |
|
|
Anmeldungsdatum: Beiträge: 1292 |
Hey, Danke! Hab einfach "optional" in der Paketbeschreibung hinzugefügt. Softwarecenter ist für mich (leider) keine Paketverwaltung und die muss/kann man sich ja ab 11.10 zusätzlich nachrüsten (auch leider)... Insofern trifft das für mich nur halb den Punkt. Aber "bitte kein zusätzliches "Knöpfle"" ist angekommen. 😉 |
|
Anmeldungsdatum: Beiträge: 1292 |
Update: Die Lücke in Sun-Java-6-26 wird bereits erfolgreich ausgenutzt (auch in Linux). http://reviews.cnet.com/8301-13727_7-57335639-263/update-java-to-thwart-active-cross-platform-exploit/ Bericht in CNET vom 2.12.2012 |
|
Anmeldungsdatum: Beiträge: 29240 |
Wie gut, dass ich per Alternativen-System einfach das freie Java nutze und seltsamerweise auch nie auf Seiten stoße, die Java brauchen. |
|
Anmeldungsdatum: Beiträge: 29567 |
Hallo, ihr habt's vielleicht schon gelesen: Sun's Java fliegt aus den Quellen - auch für die aktuellen Releases. https://lists.ubuntu.com/archives/ubuntu-security-announce/2011-December/001528.html Wäre schön, wenn ein Java-affiner Nutzer die Artikel anpassen könnte. Gruß, noisefloor |
|
Anmeldungsdatum: Beiträge: 14259 |
|
|
Anmeldungsdatum: Beiträge: 29567 |
Hallo, sieht gut aus, Danke. ☺ Gruß, noisefloor |
|
Anmeldungsdatum: Beiträge: 1292 |
hi! hab nochmal die Warnbox 2 Absätze nach oben verschoben. Damit die noch enthaltene Empfehlung auf Partner-Repository <11.10 nicht missverstanden wird (Java/Installation). Die ## hab ich auch drinne gelassen, könnten doch jetzt raus, oder?
Womit dann auch Deinem durchaus berechtigtem Nachsatz, seitens der Maintainer Rechnung getragen wird. Klar ist auch, dass man lediglich mit einer vorauseilenden Änderung im Wiki rel. wenig bewirkt. I.d.R. kann man ja wenig mehr machen. Kann mich nicht erinnern, dass eine ähnliche Situation je bestanden hat. Allerdings hätte man sich gedanklich seit Rücknahme der DLJ darauf einstellen können. Bin übrigens der Ansicht, das die Installation von Oracle-Java-7 so nicht funktioniert, wie hier im Wiki beschrieben. |
