Alfonso Maruccia

Java, Oracle dispensa patch e dubbi

Nuovi update di sicurezza per la virtual machine sviluppata da Sun. Ma il suo attuale proprietario si ritrova le sue gatte da pelare con la community, accusato di gestire "a porte chiuse" il linguaggio

Roma - Oracle sgancia una nuova gragnola di patch sulla virtual machine Java, un update facente parte del ciclo di aggiornamenti previsti per giugno e pensato per chiudere ben 17 vulnerabilità di livello critico. E mentre il codice di Java si aggiorna, la community che dovrebbe gestire lo "standard" assieme al colosso dei database ha un nuovo motivo per essere insoddisfatta dalla direzione presa da Oracle.

L'advisory di sicurezza preparato da Oracle in merito agli aggiornamenti parla di vulnerabilità in grado di mettere in pericolo gli utenti degli ambienti Java Runtime Environment 1.4.2 e Java Development Kit 5 e 6, su tutte le piattaforme supportate. La pericolosità della maggioranza delle falle viene classificata con l'indice "10.0", il massimo livello di pericolosità possibile che però scende a 7,5 sugli OS dove l'utente standard non ha i privilegi di amministrazione (Linux). Tutte le vulnerabilità possono essere sfruttate da remoto - senza autenticazione - per mezzo di applet web malevoli.

Un serie di "buchi" vengono chiusi nel codice di Java, mentre al cuore del Java Community Process (JCP) si apre l'ennesima crepa che spacca la community composta dalle aziende che dipendono dallo standard per i loro business.
Motivo del (nuovo) contendere è l'approvazione delle specifiche Java SE 7 in seno al JCP, una votazione che ha provocato il malcontento polemico di quelle aziende insoddisfatte di come Oracle gestisca "le Java Specification Request (JSR) che fanno riferimento ad altre JSRs" sotto il controllo diretto dell'azienda.

Nonostante Oracle abbia già promesso di voler "rifondare" la community e il funzionamento del JCP, questa sostanzialmente l'accusa di IBM, Red Hat, SouJava, London Java Community, Goldman Sachs e Fujitsu, la attuale gestione a porte chiuse non fa che allontanare sempre più gli interessi della "community" di Java da quelli di Oracle.

Come nota a margine, il JCP ha visto Google interpretare il ruolo di "convitato di pietra" che partecipa ma non vota: Oracle e Google hanno già di che discutere di Java nelle aule di tribunale.

Alfonso Maruccia
Notizie collegate
  • AttualitàJava, Oracle vuole rifondare la communityIl colosso dei database annuncia importanti cambiamenti in vista di un nuovo inizio per la community di Java. Con tanto di maggiore trasparenza e partecipazione di tutti nel processo di standardizzazione
24 Commenti alla Notizia Java, Oracle dispensa patch e dubbi
Ordina
  • ... è che è ancora usato XD
    non+autenticato
  • - Scritto da: Herkt
    > ... è che è ancora usato XD
    Ecco il solito professionista. Non c'e' che dire sei sopra la media degli utenti di PI
    non+autenticato
  • - Scritto da: Gia Gia
    > - Scritto da: Herkt
    > > ... è che è ancora usato XD
    > Ecco il solito professionista. Non c'e' che dire
    > sei sopra la media degli utenti di
    > PI


    si fa chiamare : il professionista del giardinaggio che esprime commenti sul software Rotola dal ridere
    Fiber
    3605
  • "OS dove l'utente standard non ha i privilegi di amministrazione Fan Linux. "
    mica solo linux.. anche seven e vista
    non+autenticato
  • - Scritto da: Kwerk
    > "OS dove l'utente standard non ha i privilegi di
    > amministrazione Fan Linux."
    > mica solo linux.. anche seven e vista

    Che era ora ci arrivassero, gli altri e' da una vita...
    krane
    22544
  • - Scritto da: Kwerk
    > "OS dove l'utente standard non ha i privilegi di
    > amministrazione Fan Linux.
    > "
    > mica solo linux.. anche seven e vista


    evidentemente chi scrive gli articoli e' rimasto alle versioni di Windows dal 1995 fino al 2001
    Fiber
    3605
  • Non ho ancora capito cosa usano alle poste, se IBM/Oracle/Java
    http://punto-informatico.it/3009034/PI/News/oracle...
    o Microsoft/.net
    In ogni caso ...... pacheranno ???
    Dubito
    ciao
    non+autenticato
  • Lascia stare MS stavolta, si tratta di un pateracchio di IBM e HP e non mi pare che BigBlue sponsorizzi SW di Redmond...

    http://salastampa.poste.it/ol/comunicatostampa.do?...
  • - Scritto da: Gianluca70
    > Lascia stare MS stavolta, si tratta di un
    > pateracchio di IBM e HP e non mi pare che BigBlue
    > sponsorizzi SW di
    > Redmond...
    >
    > http://salastampa.poste.it/ol/comunicatostampa.do?

    sono proprio curioso di conoscere questo problema delle poste...
    Secondo me è stato un problema di scalabilità.
    non+autenticato
  • - Scarica la release MSI per installazione offline
    - Eseguila in modalità amministrativa
    - Cerca il pacchetto d'installazione
    - Pubblicalo sul server di distribuzione, aggiorna la GPO
    - Manda la solita mail agli utenti sensibili, dicendo loro che forse domattina non funzionerà più qualche programma, si premuniscano.
    - Domattina arriva presto, che c'è da testare un po' di programmi.
    - Se a qualcuno non funziona qualcosa, prepara un nuovo PC virtuale con la versione vecchia di Java oppure interdici loro la navigazione.
    - Manda i soliti accidenti a Java ed ai suoi sostenitori.

    Quanto me va di traverso sto' caffè!
    non+autenticato
  • parli per esperienza personale? E' possibile che smetta di funzionare qualcosa per incompatibilità con la nuova minor release?
    Chiedo seriamente ti è mai successo? Uso poco java ma a me mai,..
    non+autenticato
  • Triste esperienza personale (vedi altro post in questo thread).
    non+autenticato
  • quanto la fai polemica ... basta fare un downgrade della release nel caso ci fossero problemi ... e comunque nelle minor release difficilmente ci sono problemi di compatibilità, non credo vengano deprecate e tolte sintassi in questo caso
    non+autenticato
  • Scusa, non per farmi i fatti tuoi, ma non potresti fare esattamente il contrario?

    Cioè: provare la nuova minor release sulla virtual machine e verificare che le applicazioni che devi gestire funzionino correttamente, poi magari identificare dei key users ed installare _solo a loro_ l'aggiornamento, ed infine, ma solo infine, preparare il pacchetto da distribuire a tutti i client?

    Ripeto, non per farmi gli affari tuoi: solo per curiosità.
  • così mediamente lavora meno perchè da per scontato di NON avere problemi dall'upgrade
    non+autenticato
  • In teoria avresti ragione, nella pratica non lo voglio fare perché sono paranoico.

    Lo scenario sono circa 80 persone distribuite in varie aziende, da 4 a 35 utenti per sito in varie nazioni, che usano il computer per applicazioni office, programmi gestionali comuni al sito in cui si trovano, applicazioni specifiche di quell'utente massimo due, e navigare.

    Quasi sempre le patch di Java non servono per i software o gli applicativi WEB che sfruttano la VM, servono fondamentalemnte per tutelare la navigazione.

    Ritengo Java molto molto pericoloso, secondo solo ai profotti Adobe, quindi la prima preoccupazione è quella di distribuire la nuova release per prevenire malaware durante la navigazione, sperando che la nuova release non impatti sui programmi e le applicazioni web specifiche dei singoli utenti.

    Per i motivi di cui sopra non tollero downgrade, quindi l'unica è isolare l'applicazione creandogli intorno un PC virtuale, e certe volte non è proprio una passeggiata... magari devo legare anche la macchina virtuale al dominio e poi inibirle la navigazione internet a livello di MAC address.

    Oltretutto con calma occorre prendere le applicazione che erano state congelate a suo tempo e vedere se con la nuova release hanno ripreso a funzionare.

    Ogni tanto qualche sito WEB che usa Java (in genere banche) rilasciano una nuova versione della loro aplet che danno problemi, magari servirebbe un downgrade.

    Circa un anno fa fu abbastanza gotica con l'Unicredit, mi diedero un elenco di versioni di VM java da provare "guarda un po' quale funziona".

    In aggiunta a tutto, non scordiamoci le varie applicazioni, da un gestionale a certe applicazioni ministeriali (non solo italiane!), che vogliono "quella" versione di Java, esempio la 1.3.non mi ricordo, 5.12 o la 5.16 o la 6.7. Queste girano da anni dentro Virtual PC, prima c'erano utenti che avevano anche tre computer uno sopra l'altro con switch monitor.

    La ciliegina sono poi le applicazioni (tutti applicativi locali) che per funzionare chiedono una modifica alle policy di sicurezza.

    Capito perché la quando vedo una tazzina arancione mi vien male?

    Lasciamolo java laddove può imperare solitario (nei frigoriferi e giù di li) ma liberiamoci di tale presenza nefasta laddove si deve far gioco di squadra.
    non+autenticato
  • > In aggiunta a tutto, non scordiamoci le varie
    > applicazioni, da un gestionale a certe
    > applicazioni ministeriali (non solo italiane!),
    > che vogliono "quella" versione di Java, esempio
    > la 1.3.non mi ricordo, 5.12 o la 5.16 o la 6.7.
    > Queste girano da anni dentro Virtual PC, prima
    > c'erano utenti che avevano anche tre computer uno
    > sopra l'altro con switch
    > monitor.
    >

    > Lasciamolo java laddove può imperare solitario
    > (nei frigoriferi e giù di li) ma liberiamoci di
    > tale presenza nefasta laddove si deve far gioco
    > di
    > squadra.

    Java 1.3 è uscita nel 2000 Java 1.4 ne 2002
    Quindi qui si parla di applicazioni vecchie di 10 anni.
    A meno che non torni ai vecchi mainframe ibm un ambiente capace di farti girare su tanti computer diversi applicazioni così vecchie non esiste.

    Se riuscissi a liberarti di Java la soluzione sarebbe semplice. Quello che prima funzionava a fatica non funziona più. Punto.
    guast
    1319
  • Veramente nel mare eterogeneo di applicazioni di cui devo garantire l'eseguibilità ci sono un paio di prodotti in VB6 ed un paio di programmini DOS, e funzionano tutti benissimo su XP o W7 alla faccia dei mainframe.

    In 20 anni l'unico problema di retrocompatibilità (java escluso) l'ho avuto con il programma che scaricava un dittafono della Philips.

    La versione 1.3 di Java è richiesta dalle application form o come-diavolo-si-chiamano di una applicazione su piattaforma Oracle chè è tuttora mantenuta e sviluppata e che è il gestionale di una azienda anche ben conosciuta.

    Parafrasando, a cavallo che funziona non si guarda in bocca!

    Potessi liberarmi di Java sarei felice, il guaio è che per una installazione che smonto me ne rientrano due dalla finestra, sotto forma del nuovo rapporto bancario, di una azienda acquisita, di qualche applicazione WEB.

    Va' un po a questo link e poi dimmi come faccio a liberarmi di Java!!!

    http://www.agenziaentrate.gov.it/wps/portal/entrat.../
    non+autenticato
  • - Scritto da: Francesco
    > Veramente nel mare eterogeneo di applicazioni di
    > cui devo garantire l'eseguibilità ci sono un paio
    > di prodotti in VB6 ed un paio di programmini DOS,
    > e funzionano tutti benissimo su XP o W7 alla
    > faccia dei
    > mainframe.
    >
    > In 20 anni l'unico problema di retrocompatibilità
    > (java escluso) l'ho avuto con il programma che
    > scaricava un dittafono della
    > Philips.
    >
    Sarà, ma la mia esperienza è esattamente l'opposto
    guast
    1319
  • - Scritto da: Guast
    > Java 1.3 è uscita nel 2000 Java 1.4 ne 2002
    > Quindi qui si parla di applicazioni vecchie di 10 anni.
    > A meno che non torni ai vecchi mainframe ibm un ambiente
    > capace di farti girare su tanti computer diversi applicazioni
    > così vecchie non esiste.

    Non è detto...


    - Scritto da: Francesco
    > La versione 1.3 di Java è richiesta dalle
    > application form o come-diavolo-si-chiamano di
    > una applicazione su piattaforma Oracle chè è
    > tuttora mantenuta e sviluppata e che è il
    > gestionale di una azienda anche ben
    > conosciuta.

    Se parli di Oracle Forms e del relativo Forms Server, il problema è bifronte: da una parte Windows, dall'altra l'eventuale WebCache dell'Application Server di Oracle.

    Quando c'è di mezzo Internet Explorer, il sistema pretende di scaricare ed installare una ben precisa versione di JInitiator, dipendente dalla versione di Forms Server installata, che sulle piattafome Windows più recenti crea problemi a non finire, quando riesce a girare.

    E questo, pare, a prescindere dalle configurazioni lato Forms Server: MSIE tenta comunque di caricare JInitiator. Se però ne crei una che prevede l'uso di Java puro, ed accedi con un browser alternativo come Mozilla, questo carica regolarmente la versione di Java cui il plugin fa riferimento, che può anche essere la più recente, ed unica per tutto il sistema.

    A questo punto può scattare il problema della WebCache: evidentemente parecchie versioni hanno un bug per cui il client non riceve l'header Content-Size (vado a memoria), e questo provoca un errore Java.

    Per aggirare il problema, bisogna disabilitare la WebCache e riconfigurare il server, oppure in maniera meno invasiva aggirare la WebCache e colloquiare direttamente con la porta del Forms Server - se usi l'SSO, può bastare un PHP che effettua il login su quest'ultimo e poi redireziona in automatico sul Forms Server, invece che far parlare l'applicazione per default attraverso la Web Cache.

    In questo modo, sono riuscito ad utilizzare la applicazioni Forms sia con Linux (CEntOS, Ubuntu / Firefox 3.x, Chromium / JRE Sun 6.x, IcedTea 1.1), sia con Windows 32 bit (XP, Vista, Seven / Firefox 3.x / JRE Sun 5.x, 6.x). Su piattaforme a 64 bit non ho provato.

    Può esserci un ulteriore problema con Forms scritte per fare uso di alcuni tipi di combo box, ma basta modificarle per usare controlli equivalenti e tornano a funzionare anche loro.

    Se la cosa può tornarti utile...
    -----------------------------------------------------------
    Modificato dall' autore il 10 giugno 2011 14.46
    -----------------------------------------------------------