Patch urgenti per Java

Sun ha rilasciato versioni aggiornate del proprio Java Runtime Environment che correggono diverse falle di sicurezza, alcune delle quali ritenute piuttosto pericolose

Roma - All'interno di uno dei software più diffusi al mondo, il Java Runtime Environment (JRE) di Sun, si celano alcune vulnerabilità di sicurezza che potrebbero consentire ad un aggressore remoto di eseguire del codice a propria scelta.

Come noto, JRE contiene la macchina virtuale Java (JVM) di Sun, e consente agli utenti di PC, Mac e altre piattaforme di eseguire le applicazioni Java in modo stand alone o all'interno di un browser. Le ultime patch rilasciate da Sun si applicano alle versioni di JRE 6 Update 6, 5 Update 16, 1.4.2_17, 1.3.1_22 e a tutte le rispettive release precedenti.

Le vulnerabilità corrette da Sun sono otto, ed includono buffer overflow (sfruttabili per l'esecuzione di codice a distanza), denial of service (DoS), ed elevazione dei privilegi. Le più gravi possono consentire ad una applet Java maligna di corrompere la memoria di sistema e compromettere il sistema, eventualmente installando backdoor o altro genere di codice dannoso.
Sun raccomanda ai propri utenti di installare quanto prima le versioni aggiornate di JRE e Java Development Kit (JDK): quest'ultimo è un software che comprende anche JRE. Oltre che attraverso il sistema di aggiornamento automatico incluso in JRE, gli utenti possono scaricare l'ultima versione del software da qui. Le istruzioni per l'installazione o per l'eventuale disinstallazione di vecchie versioni sono disponibili qui in italiano.

Una descrizione delle vulnerabilità corrette in JRE è stata pubblicata da FrSIRT.
72 Commenti alla Notizia Patch urgenti per Java
Ordina
  • Un confronto: ma soltanto a me capita di notare che applicazioni da far girare in produzione su server *x, sono praticamente sempre scritte in JAVA? Sia se si tratti di applicazioni web che applicazioni "batch" o similari (in questo caso, EJB e JMS/RMI vengono usate moltissimo)

    Python/C# possono essere utilizzati anche su HP-UX o Solaris? E se sì, a che punto? E voi avete notizia di applicazioni, in contesti medio grandi, sviluppate con queste tecnologie e installate su server *X?

    Lo chiedo perchè a me sembra che Java stia perdendo parte delle sue prerogative iniziali, ma si stia diffondendo tantissimo, molto più di prima, per applicazioni di business...
    non+autenticato
  • Copre circa un 20% del mercato dei linguaggi di programmazione, ma è continuamente in calo da diversi anni.
    Questo perché non è rimasto al passo con i tempi, e l'attuale versione (1.6) è decisamente indietro rispetto ad altri linguaggi "fratelli" come C# (3.0) o Python (3000).

    Prendetelo naturalmente solo come un parere personale, ma io penso che Java abbia fallito. Per i seguenti motivi:

    1. ╚ eccessivamente ed inutilmente complesso.
    Tutto è tipizzato in maniera maniacale. Anche soltanto per aprire in file è necessario creare 2 o 3 classi filtro.
    Non parliamo poi di factory, e milioni di classi simili.
    Metà del tempo in Java lo si perde a creare oggetti inutili da dare in pasto al Garbage Collector e fare dei Cast unsafe tra un tipo e l'altro.
    La versione 3.0 del C# (senza entrare nel dettaglio) ha introdotto talmente tante novità che è diventata una spanna superiore a Java.
    Per non parlare poi di altri linguaggi come Python: una riga di codice Python equivale a 5-6 righe di codice Java.

    2. Java vanta tanto di essere multipiattaforma, ma poi si scopre che il 90% dei programmi scritti in Java disponibili in più OS riscrivono l'interfaccia grafica usando le librerie native, perché le SWING fanno schifo e sono lente da morire.
    A questo punto tanto vale usare un qualsiasi altro linguaggio se occorre riscrivere ogni volta l'interfaccia.

    3. Fa schifo come linguaggio per web.
    Framework come Spring o Struts sono decisamente inferiori alle controparti come Django (Python)o Ruby on Rails (Ruby).
    non+autenticato
  • risposta al punto 1) sai cosa sono i generics? mi sembra di no...
    Garbage Collector?? In Java??? ma sai come si cancella un'istanza di un oggetto in Java?? Il paragone con Python non regge Python non è un linguaggio compilato ma interpretato, in certi contesti si usa addirittura come linguaggio di scripting e quindi è naturale che sia più espressivo, d'altronde anche 1 riga di scripting bash può corrispondere a 50 righe di codice java, ma la sicurezza java sulle porcate che può fare un programmatore o su errori logici che possono saltar fuori è nota.

    risposta al punto 2) ma cosa dici?? molto codice java, anche di java.lang si basa su codice nativo, ma questo viene fatto proprio per aumentare la velocità a runtime, d'altronde non è obbligatorio che SWING debba implementare ogni singolo elemento grafico, il riutilizzo del codice non è peccato (anzi è un bene!)

    risposta al punto 3) fa schifo perchè non sai usare Struts?
    non+autenticato
  • - Scritto da: tomlnx
    > risposta al punto 1) sai cosa sono i generics? mi
    > sembra di no...

    Si so, cosa sono i generics.

    > Garbage Collector?? In Java??? ma sai come si
    > cancella un'istanza di un oggetto in Java??

    Un instanza di un oggetto in java viene allocata nello heap della JVM.
    Il Garbage Collector quando interviene cestina gli oggetti inutilizzati e deframmenta la memoria.
    Forse tu non sai come si cancella un oggetto in java...

    >Il paragone con Python non regge Python non è un
    > linguaggio compilato ma interpretato, in certi
    > contesti si usa addirittura come linguaggio di
    > scripting e quindi è naturale che sia più
    > espressivo, d'altronde anche 1 riga di scripting
    > bash può corrispondere a 50 righe di codice java,
    > ma la sicurezza java sulle porcate che può fare
    > un programmatore o su errori logici che possono
    > saltar fuori è
    > nota.

    Il Python non è un linguaggio di scripting interpretato, informati meglio.
    Il compilatore python produce un bytecode in modo analogo a quella che fa il compilatore java.
    Anche la sicurezza viene gestita con eccezioni ed errori run-time nello stessa maniera, quindi non so cosa tu intenda quando parli di "porcate".

    > risposta al punto 2) ma cosa dici?? molto codice
    > java, anche di java.lang si basa su codice
    > nativo, ma questo viene fatto proprio per
    > aumentare la velocità a runtime, d'altronde non è
    > obbligatorio che SWING debba implementare ogni
    > singolo elemento grafico, il riutilizzo del
    > codice non è peccato (anzi è un
    > bene!)

    Io stavo dicendo che le Swing fanno talmente schifo che non vengono utilizzate ormai da nessun programma multipiattaforma, quindi sinceramente non capisco cosa centri la tua risposta.

    > risposta al punto 3) fa schifo perchè non sai
    > usare
    > Struts?

    Forse a te non fa schifo perché non sai usare Django Sorride
    non+autenticato
  • se sai cosa sono i generics perché hai parlato di cast unsafe? quando con i generics sai benissimo che non servono

    "Il Garbage Collector quando interviene cestina gli oggetti inutilizzati e deframmenta la memoria. " Giusta definizione, ma perchè hai detto che "gli oggetti vanno dati in pasto al Garbage Collector" quando, salvo rarissimi casi, non serve chiamarlo esplicitamente?

    riguardo al python mi sono espresso male, riformulo "a mio avviso il python è molto più espressivo di java visto che in certi contesti viene applicato come se fosse un linguaggio di scripting" e a mio avviso un linguaggio di scripting permette al programmatore di prendersi molte più libertà e quindi di commettere errori con maggiore probabilità bash docet.

    La "colpa" di SWING è che ormai tutti gli ambienti grafici hanno le loro librerie per lo sviluppo di interfacce grafiche e vengono sempre più utilizzate quelle, visto che, e qui parlo per linux, si possono anche installare contemporaneamente diverse librerie grafiche su uno stesso sistema. Ma dal dire che fa schifo ce ne passa...

    Infine non mi esprimo sulle diatribe "il framework mio è più bello del tuo..."
    non+autenticato
  • Sono fondamentalmente d'accordo, ma penso non si debba mai perdere di vista lo scopo dell'applicazione che si va ad uilizzare.
    Penso che Java, ad oggi, non offra granchè per quanto riguarda le applicazioni con GUI ma abbia ancora molto da dire nelle implementazioni di servizi.
    D'altro canto il porting per QT4 su piattaforme Win32 è ad uno stadio più che soddisfacente per cui...
    H5N1
    1641
  • - Scritto da: tomlnx
    > se sai cosa sono i generics perché hai parlato di
    > cast unsafe? quando con i generics sai benissimo
    > che non
    > servono

    Parlavo di cast unsafe perché in generale intendevo che l'ecessiva tipizzazione del Java porta spesso a fare upcasting (che può andarmi bene) e downcasting (unsafe), per convertire un oggetto da un tipo all'altro.
    Anche con i Generics può capitare di avere ad esempio una Generics di un tipo e doverlo convertire in un Generics di un altro...
    Inoltre non è possibile avere Generics di tipologia mista e così si è obbligati a lavorare con Object (così funzionano ad esempio Hibernate o Toplink) e questo secondo me è un fortissimo controsenso.

    > "Il Garbage Collector quando interviene cestina
    > gli oggetti inutilizzati e deframmenta la
    > memoria. " Giusta definizione, ma perchè hai
    > detto che "gli oggetti vanno dati in pasto al
    > Garbage Collector" quando, salvo rarissimi casi,
    > non serve chiamarlo
    > esplicitamente?

    La mia era una battuta un po' scherzosa: molto spesso in Java si devono creare moltissimi oggetti per ottenere il vero oggetto che in realtà si vuole (anche in una semplice apertura di un file, oppure quando si usano delle factory). Questo a mio avviso è molto fastidioso e intendevo quindi che l'unico scopo di queste istanze aggiuntive sia di "dare qualcosa da mangiare" al Garbage Collector.

    > La "colpa" di SWING è che ormai tutti gli
    > ambienti grafici hanno le loro librerie per lo
    > sviluppo di interfacce grafiche e vengono sempre
    > più utilizzate quelle, visto che, e qui parlo per
    > linux, si possono anche installare
    > contemporaneamente diverse librerie grafiche su
    > uno stesso sistema. Ma dal dire che fa schifo ce
    > ne
    > passa...

    Io dicevo che a mio avviso fanno schifo perché penso che quando una cosa non venga praticamente più utilizzata possa considerarsi superata. Dal momento che ad esempio Swing e JApplet non vengono più usate nei nuovi software ritengo che possano considerarsi cose del passato.

    > Infine non mi esprimo sulle diatribe "il
    > framework mio è più bello del
    > tuo..."

    Si, hai decisamente ragione qui.
    Io dicevo soltanto che avendo provato diversi framework personalmente mi sono trovato in perfetta sintonia con Django, sia per le avanzate funzionalità che per il rapid application development che purtroppo framework come Spring o Struts non riescono ad offrire.
    non+autenticato
  • i generics cmq non sono una prerogativa di java...
    non+autenticato
  • e chi lo dice scusa?
    non+autenticato
  • beh per come dicevi "sai cosa sono i generics?!?!"
    sembrava che il continuo sottointeso della frase intendesse dire questo...
    non+autenticato
  • ...sa che non esiste il miglior linguaggio in assoluto, ma che ogni linguaggio ha i suoi specifichi campi di applicazione.
    Sa anche, soprattutto se fa il consulente, cosa consigliare ai suoi clienti.
    Java sta rinascendo grazie al software per cellulari che, nella sua versione micro, sta trovando nuove applicazioni.

    Ho letto molti commenti riguardo alla interoperabilità (cross-platform) scritti da chi, in modo molto evidente, di interoperabilità non conosce nulla.

    Il framework .NET non può definirsi in alcun modo cross-platform.

    Se volessi sviluppare una piccola applicazione che giri su qualunque piattaforma sceglierei Java.



    Anche in questo caso vedo schierarsi Linux-fanatici contro Windows-maniaci e lo trovo ridicolo.

    Ogni sistema fa bene quello che deve fare, per cui è stato progettato e predisposto.
    Così preferisco un WebServer Linux con APACHE a IIS e allo stesso tempo delle Workstation Windows per il lavoro su disegni CAD.

    Ogni altro discorso è superfluo, pretenzioso o menzognero.
    -----------------------------------------------------------
    Modificato dall' autore il 14 luglio 2008 14.57
    -----------------------------------------------------------
    H5N1
    1641
  • - Scritto da: H5N1
    > Se volessi sviluppare una piccola applicazione
    > che giri su qualunque piattaforma sceglierei
    > Java.

    ma perchè dovresti sbatterti a sviluppare su "qualunque piattaforma", se il 99% degli utenti usa 1 ed 1 sola piattaforma chiamata Windows?
    non+autenticato
  • > > Se volessi sviluppare una piccola applicazione
    > > che giri su qualunque piattaforma sceglierei
    > > Java.
    >
    > ma perchè dovresti sbatterti a sviluppare su
    > "qualunque piattaforma", se il 99% degli utenti
    > usa 1 ed 1 sola piattaforma chiamata
    > Windows?
    Lasciali dormire tranquilli...
    non+autenticato
  • - Scritto da: tucano
    > ma perchè dovresti sbatterti a sviluppare su
    > "qualunque piattaforma", se il 99% degli utenti
    > usa 1 ed 1 sola piattaforma chiamata
    > Windows?

    Perchè il mercato desktop è solo 1 dei tanti.
    Uby
    893
  • Per diversi motivi.
    1 - perchè io li uso entrambi e vorrei poter essere libero di utilizzarli entrambi
    2 - perchè esistono altri sistemi oltre a Linux e Windows
    H5N1
    1641
  • Ammazza il cross platform...ma avete provato a sviluppare con ME...per fare girare una applicazione stupida per cellulare devo ideare un programma per ogni tipo di marca e modello...e la chiamate tecnologia cross platform??

    Mi sa che qui solo lamer altro che developers...X_X
    non+autenticato
  • > Ammazza il cross platform...ma avete provato a
    > sviluppare con ME...per fare girare una
    > applicazione stupida per cellulare devo ideare un
    > programma per ogni tipo di marca e modello...e la
    > chiamate tecnologia cross
    > platform??
    >
    > Mi sa che qui solo lamer altro che
    > developers...X_X
    shhhh, è quello che gli racconta mamma sun...A bocca aperta
    non+autenticato
  • Questo però dipende più che altro dai produttori di cellulari che "personalizzano" i loro JAVA.
    H5N1
    1641
  • - Scritto da: Karmakoma
    > Ammazza il cross platform...ma avete provato a
    > sviluppare con ME...per fare girare una
    > applicazione stupida per cellulare devo ideare un
    > programma per ogni tipo di marca e modello...e la
    > chiamate tecnologia cross
    > platform??
    >
    > Mi sa che qui solo lamer altro che
    > developers...X_X

    Conosci alternative in ambito mobile per avere un minimo di cross platform?

    Se poi ritieni di dover "ideare un programma per ogni marca e modello" c'è da chiedersi chi sia il lamer Rotola dal ridere
    Uby
    893
  • il bravo informatico in italia non esiste, quindi e' inutile porsi il problema.
    la qualita' di un informatico e' direttamente proporzionale alla distanza della sua residenza dall'italia.
    questa regola comprende anche gli italiani emigrati all'estero.
    in italia non occorrono bravi informatici, e' sufficiente il marcio che c'e' gia' ora. i bravi, se mai ce ne fossero ancora farebbero bene ad andarsene anziche' adeguardi all'ambiente marcio retrogado e ignorante italiano (laureati e non, vecchio o nuovo - tipici discorsi idioti italiani - compresi).
    buon divertimeno ma anche buona italia! presto festeggeremo il vostro meritato decadimento..... frutto di un'ignoranza diffusa e ormai irrecuperabile.
    auguri.
    non+autenticato
  • questo articolo sia stato abbastanza snobbato finora... chissà come mai?!!?
    non+autenticato
  • quindi, secondo te che sei espertissimo in materia, quale sarebbe o sarebbero i linguaggi a utilizzare?
    Sono certo mi risponderai C# o Visual Basic. Tra l'altro quest'ultimo e' 4░ nella classifica TIOBE.
    A mio parere, ogni linguaggio ha un suo valore. Un bravo informatico dovrebbe conoscerne piu' di uno e utilizzare quello piu' adatto alla situazione.
    Questa e' una modestissima opinione di una persona che non e' al livello professionale/intellettuale dei geni informatici italiani di punto informatico.
    A leggervi pare che siate i migliori in assoluto, peccato che l'italia non sia mai stata molto influente in questo settore.
    Magari sarete geni incompresi!
    Vi suggerirei di essere meno sbruffoni e a rispettare chi ha rivoluzionato il settore e anziche' criticare costantemente (=ignoranza assoluta) cercando di prendere/apprendere il meglio da ogni cosa.
    Grazie a tutti, perche' leggervi e' sempre un divertimento e da' un'indicazione sulla qualita' informatica italiana.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 8 discussioni)