A fórumtéma "egy adott kérdés megvitatására", figyelemfelhívásra.
http://hup.hu/cikkek/20130110/ujabb_java_0day_sebezhetoseget_hasznalnak_ki_aktivan
A hírek szerint
http://krebsonsecurity.com/2013/01/zero-day-java-exploit-debuts-in-crimeware/
egy új 0day Java sebezhetőséget használnak ki aktívan az interneten. A legfrissebb Java verzió - Java 7 Update 10 - érintett. Bölcs dolog a Java plugin böngészőben való letiltása:
Java plugin kikapcsolása Firefox-ban
https://support.mozilla.org/en-US/kb/How%20to%20turn%20off%20Java%20applets
Java plugin kikapcsolása Chrome-ban
https://support.google.com/chrome/bin/answer.py?hl=en&answer=142064
Java plugin kikapcsolása Safari-ban
https://support.apple.com/kb/HT5241
Opera böngészőben a plugin-kezelő az "about:plugins" címsávba írásával érhető el. A H Security szerint IE alatt a Java plugin deaktiválása nem egyszerű/egyértelmű feladat, így a legjobb megoldás a Java teljes eltávolítása a Vezérlőpult -> Programok telepítése és törlése menüpont alatt. A Java plugin működőképessége a H Security tesztoldalán
http://www.h-online.com/security/services/Java-747799.html
ellenőrizhető. Részletek itt:
http://www.h-online.com/security/news/item/Dangerous-vulnerability-in-latest-Java-version-1781156.html
(A H Security tesztoldalt FF 17-el / Iceweasel megnyitva a böngészőm bezáródott.
Jelenleg Java6-ot és Icedtea6-ot használok a JDownloader miatt. A plugint kikapcsoltam)
____
Kritikus hibát javít az új Java-frissítés
http://index.hu/tech/2013/01/14/letoltheto_a_java_javitocsomagja/
írja az index.hu az ITcafé portálra hivatkozva
2013. január 14.
Komoly riadalmat
http://index.hu/x?index_tech_cikklink=http%3A%2F%2Findex.hu%2Ftech%2F2013%2F01%2F11%2Fveszelyes_a_java%2F
keltett a múlt héten, hogy újra egy javítatlan, súlyos Java-sérülékenységre bukkantak szakértők. A rendkívüli frissítéseket nem kedvelő Oracle megígérte, hogy javítják a hibát; mostanra ki is adták
http://index.hu/x?index_tech_cikklink=http%3A%2F%2Fitcafe.hu%2Fhir%2Fjava_oracle_frissites_update.html
a soron kívüli frissítést.
A híradások szerint a biztonsági rés minden internetező számára komoly kockázatot jelentett, akinek a Java telepítve volt a számítógépére. Mivel a biztonsági rést már többen kihasználták, az amerikai belbiztonsági hivatal számítástechnikai részlege, a CERT (Computer Emergency Readiness Team) azt tanácsolta a felhasználóknak, hogy kapcsolják ki a böngészőben a plug-int, mert csak ez biztosíthat védelmet.
Az egyik kritikus hibát úgy frissítették, hogy az alkalmazásfuttatás biztonsági szintjét magasabbra állították. Az Oracle kiadási megjegyzéseinek alapján ez a gyakorlatban azt jelenti, hogy megszűnik a háttérben történő alkalmazásfuttatás: a felhasználókat a program mindig értesíti a gyanús alkalmazásokról. A frissítés az Oracle honlapjáról tölthető le.
http://www.oracle.com/technetwork/java/javase/downloads/index.html
(Linux terjesztésekben nyilván a frissítés "hozza")
___
Megoldás
Nemrég ki lett adva egy javítófolt (Java 7 Update 11) a Java-ra, bizonyos támadás miatt. A linux rendszeren lévő külső csomagok is rövid idő alatt frissülnek, így az Oracle Java is (mely egy ideje azonos az Open Java-val), azonban a legjobb, ha azonnal megkapjuk ezt a biztonsági frissítést. Ennek a módját írom le most.
A megoldás egy szkript a duinsoft portálról, mely a legfrissebb Java JRE verzióra frissíti a rendszeren levő java csomagokat és a böngésző plugint is (automatikusan, a frissítések alkalmával így a többi csomaggal együtt frissül a Java is a lehető legújabb verzióra, már, ha létezik újabb):
http://www.duinsoft.nl/packages.php?t=en
Tehát nem kell az Oracle oldalról letöltött
csomagot az ott szereplő
leírás alapján telepíteni (frissítési lehetőség nélkül) vagy e leírás (ugyanaz)
https://sites.google.com/site/easylinuxtipsproject/java
szerint eljárni sem.
A folyamat:
A frissítési és telepítési forrásokat, azaz a tükörszerverek listáját tartalmazó fájlt kell szerkeszteni. Ez az /etc/apt/ könyvtárútvonalon lévő
sources.list
fájl, mely egy - emelt joggal - szerkeszthető szövegfájl (a
sources.list.d
mappában is lehetnek források, ezzel most nem foglalkozom).
Alt + F2 (Futtatás ablak nyitása billentyűparanccsal)
gksu gedit /etc/apt/sources.list (root jogú gedit/fájl elérés szerint)
"Futtatás" (a parancssor végrehajtása/felhasználói jelszó beírása szükséges)
Terminal-ból is végrehajtható ugyanez a szerkesztés a nano szerkesztővel:
sudo nano /etc/apt/sources.list
A meglévő többi sor után sorközzel be kell másolni az alábbi szöveget, majd a szöveg végén üssünk enter billentyűt, legyen egy üres sor ott is:
#ORACLE (SUN) JAVA RUNTIME ENVIRONTMENT
# A shell script to automate the retrieval and installation of the
# Oracle (Sun) Java Runtime Environment
# http://www.duinsoft.nl/packages.php?t=en
# Secure APT: apt-key adv --keyserver keys.gnupg.net --recv-keys 5CB26B26
deb http://www.duinsoft.nl/pkg debs all
A fájlt szerkesztése (szövegbeillesztés) után menteni szükséges. A szerkesztés/mentés után a szövegszerkesztőt be lehet zárni, illetve ki lehet belőle lépni. (más grafikus szövegszerkesztő is használható a gedit helyett, KDE alatt a kedit például vagy
a többiek.)
- Fel kell venni a duinsoft oldal hitelesítési kulcsát szintén Terminal-t nyitva:
sudo apt-key adv --keyserver keys.gnupg.net --recv-keys 5CB26B26
- Majd ki kell adni ezt a parancsot, mellyel a változtatások életbe lépnek:
sudo apt-get update
- Következő lépésben telepítjük a szkriptet, mely rendben telepíti a rendszerre a legújabb Java JRE-t, ebben az esetben a 11-es javítást:
sudo apt-get install update-sun-jre
Ha netán a Synaptic (vagy Muon) csomagkezelő szimpatikusabb, onnan is telepíthetjük a szkript által a legújabb Java-t, kikeresve a csomagot.
Minden esetben a lehető legfrissebb és stabil Java lesz a rendszeren, mely a rendszerfrissítések alkalmával frissül.
- Nem debian alapú rendszeren válaszd az alábbi módszert
(ha más megoldásod nincs)
A frissítés az Oracle honlapjáról tölthető le és telepíthető a readme szerint:
http://www.oracle.com/technetwork/java/javase/downloads/index.html
Az egyik kritikus hibát úgy frissítették, hogy az alkalmazásfuttatás biztonsági szintjét magasabbra állították. Az Oracle kiadási megjegyzéseinek alapján ez a gyakorlatban azt jelenti, hogy megszűnik a háttérben történő alkalmazásfuttatás: a felhasználókat a program mindig értesíti a gyanús alkalmazásokról.
Remélem, segítettem!