Vulnerabilidad de Java: ¿Qué pasa con OpenJDK + IcedTea?

Navega tus respuestas
5

En estos días hay muchas recomendaciones sobre la desactivación del complemento de Java debido a una grave vulnerabilidad. Sé que este tema ya se ha cubierto en este sitio aquí y aquí .

En los informes sobre la vulnerabilidad que he leído hasta ahora, se refieren a Java genérico o Java de Oracle. Estoy haciendo esta pregunta ya que muchas computadoras en nuestra compañía ejecutan OpenJDK + IcedTea Java Plugin .

Entonces, la pregunta es esta:

¿Alguien sabe si el complemento de Java de OpenJDK también se ve afectado por esta vulnerabilidad?

    
pregunta jap1968 13.01.2013 - 10:31
fuente

3 respuestas

4

Java 7 y OpenJDK comparten muchos códigos comunes, por lo que, como regla general, los problemas de seguridad en Java 7 también se aplican a OpenJDK. En ese caso específico, parece que la vulnerabilidad se informó en el paquete Debian OpenJDK, por lo que sí, son vulnerables. Consulte esta pregunta en otro sitio de stackexchange . Dado que Oracle parece haber arreglado su JDK, es probable que la misma solución aparezca en OpenJDK en unas pocas horas o días.

En el lado positivo, si usa OpenJDK y IcedTea, entonces es probable que use Linux. Los autores de malware rara vez se enfocan en los sistemas Linux, porque no hay muchas personas que navegan en la Web desde una máquina con Linux, y hay muchos "sistemas Linux" diferentes que dificultan la escritura de un código binario (como malware) que se ejecutará en la mayoría de ellos (el ecosistema de Linux se basa en la distribución del código fuente y en el empaquetado por distribución, en lugar de la compatibilidad binaria real). Por lo tanto, los autores de malware generalmente consideran que Linux "no vale la pena". Esto explica en gran medida la escasez de malware en Linux.

Mi intuición es que la solución estará disponible en los canales de actualización normales mucho antes de que cualquier máquina Linux sea atacada de forma salvaje (pero no tienes que confiar en mis agallas, personalmente, no lo hago).

    
respondido por el Thomas Pornin 13.01.2013 - 15:04
fuente
1

IcedTea 1.2 es definitivamente vulnerable. Lo sé de primera mano. Linux no está a salvo del malware de ejecución remota de código. La salvación es una que normalmente ejecuta el escritorio como un usuario sin privilegios, por lo que cualquier daño es a la cuenta del usuario y no al sistema.

    
respondido por el Craig 04.02.2013 - 16:57
fuente
0

No estoy seguro de estar de acuerdo con usar el argumento "Ejecuto Linux, así que estoy seguro" en este caso. Normalmente, estoy de acuerdo en que los usuarios malintencionados querrían la mayor parte del "beneficio por su dinero" y, por lo tanto, podrían omitir la escritura de un exploit * nix específico sobre el mismo exploit para Windows. Sin embargo, dado que Java funciona en varias plataformas, ¿no sería el código malicioso escrito para explotar la JVM tan eficaz sin importar en qué plataforma (es decir, Windows, Linux, MacOS, etc.) se está ejecutando la JVM? Si la JVM fuera explotada y utilizada para realizar funciones en el sistema operativo del host, el viceversa de la JVM en el host, ¿no estaría en riesgo ningún sistema operativo?

    
respondido por el g0bbledeeg00k 02.02.2013 - 18:25
fuente

Lea otras preguntas en las etiquetas

Explotación ROP en ARM ¿Los sistemas de prueba de trabajo basados en la latencia son capaces de prevenir ataques DDoS en los servicios de tor ocultos más populares (sitios web .onion)?