- Épített vízhűtés (nem kompakt) topic
- Amlogic S905, S912 processzoros készülékek
- A 3D V-Cache és a rengeteg memória lehet az új PlayStation fő fejlesztési iránya
- TCL LCD és LED TV-k
- Nvidia GPU-k jövője - amit tudni vélünk
- HiFi műszaki szemmel - sztereó hangrendszerek
- AMD Navi Radeon™ RX 9xxx sorozat
- Azonnali alaplapos kérdések órája
- Apple iPad 11” (A16, 2025) - a táblagépek vanília fagylaltja
- Apple MacBook
Új hozzászólás Aktív témák
-
floatr
veterán
Akkor gondolom az kimaradt, hogy nem a teljes jelentés volt a beszélgetés tárgya, hanem a "java nyelv" sebezhetősége, amiről végül kiderült, hogy inkább a hotspot runtimera és a pluginre gondoltak a szakemberek, csak véletlenül eltévesztették.
A másik része meg megint csak más tészta -- kinek mi a vesszőparipája -- hogy a sebezhetőségek tekintetében a szerverek elég kis hangsúlyt kaptak "valamiért". Így akkor maradtak a mobilok, meg a desktop, amiből még egyelőre az utóbbi van többségben.
-
floatr
veterán
Egy kicsit félreértesz "minket". Alapvetően én is frissítéspárti vagyok, csak láthatóan nem érted, vagy nem akarod érteni a problémát. Vagy egyszerűen nem ismered.
Java esetében hatványozottan igaz az, hogy ami nem romlott el, azt nem akard megjavítani. Az utóbbi években ez a kevésbé figyelmes rendszergazdáknál is lejöhetett, hogy a Java update nem patch-elés. Sok dolog változik egy új release-ben, és odavághat olyan technológiáknak, amik egy nappal korábban még tökéletesen működtek. A JRE 1.7.0 apache komponenseket vágott gallyra. A tavaszi biztonsági frissítések miatt az appletek és a JWS alkalmazások voltak szopóágon. A legutóbbi frissítés (j8u11, j7u65) a JRebel-t és a Groovy-t nyírta ki, szintén desktop oldali biztonsági kötélhúzás okán.
Szóval hacsak nincsen valami konkrét és komoly exploit a szerver oldalon, egy épelméjű support nem fogja kockáztatni a vállalat rendszerének teljesen ufó lerohadását egy nagyon korlátozott elérhetőségű alkalmazásszerver vélt sérülékenységének feltételezett javítása érdekében.
(#31) VaniliásRönk véletlenül azt hitte, hogy a dalvik is java runtime
A szerver sérülékenységét, meg most próbálják igazolni helyi levezetéssel. A szerver-oldali dolgokról még a komolyabb szagemberek is annyit mondanak csak, hogy untrusted 3rd party komponensek, amiben nyilván bele lehet futni, ha az ember azt sem tudja, mit épít az alkalmazásba. Volt már erre példa (mármint JAR-okat feleslegesen halmozó emberek) de nem voltak hosszú életűek komolyabb projektekben. Szóval megint egy olyan dolgot erőltetnek itt páran, amiről láthatóan nem tudnak többet mondani, mint az általános szövegek. -
floatr
veterán
Ezek szerint a "ha" kimaradt. Csak azért kötöm az ebet a karóhoz, mert nem konkrétumokról beszélsz, hanem csak általában lehetőségről. A file upload már valami, de még mindig nem az, amitől a java-nak önmagában pusztulni kéne (hibás az apache, pusztuljon c/c++). Ettől sokkal komolyabb exploitok voltak az utóbbi időkben openssl-re, x11-re, apache httpd-re meg kitudja még mi a rákra - local meg remote is. Ráadásul egy rakat ilyen sokáig még akkor is foltozatlan maradt, amikor kiderült a hiba, ezek szerint akkor mindezeknek pusztulni a kéne
A plugines dolgokkal én sem vagyok kibékülve, de a jws alkalmazásokkal (pl. abev) már hadd ne legyen probléma, ha a user dönti el, hogy akarja-e használni. A szerver dolgait illetően meg még mindig nem értünk egyet. A runtime hibák nagy része a sandbox-szal kapcsolatos. Amit linkeltél, az is. Ettől függetlenül nekem sem tetszik, ahogy az oracle kezeli a dolgokat.
De akkor meg rettegjetek, mert a bankok vakmerően használják
![;]](//cdn.rios.hu/dl/s/v1.gif)
-
floatr
veterán
Amire én gondolok, az a java szerver pozicionálása. Általában úgy használják, hogy egy frontend szerver mögött van eldugva az alkalmazásszerver - kívülről védett. Belülről értelemszerűen megbízható rendszerek érhetik el - hacsak a belső rendszer nem átjáróház, megint csak elég sovány a dolog. Ha létezik OS szintű privilégiumszint eszkaláció, akkor egy helyi felhasználó támadhatja a rendszert - eltekintve a java hosting szerverektől szintén ritka, hogy problémás júzerek támadnának. Meg ha támadnának is, akkor erre adódhat jóval több lehetőségük, mint a JRE. De még várom azt az OS szintű PE exploitot, amivel ezt meg lehet(ett) tenni.
Amit a cikkben elemezgetnek, az a sandboxról szól. Elég gáz ez is, de JRE/plugin probléma, nem a "nyelvé".
A szerver sérülékenységét, meg most próbálják igazolni helyi levezetéssel. A szerver-oldali dolgokról még a komolyabb szagemberek is annyit mondanak csak, hogy untrusted 3rd party komponensek, amiben nyilván bele lehet futni, ha az ember azt sem tudja, mit épít az alkalmazásba. Volt már erre példa (mármint JAR-okat feleslegesen halmozó emberek) de nem voltak hosszú életűek komolyabb projektekben. Szóval megint egy olyan dolgot erőltetnek itt páran, amiről láthatóan nem tudnak többet mondani, mint az általános szövegek.![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
Hirdetés
- Ubiquiti hálózati eszközök
- A fociról könnyedén, egy baráti társaságban
- Xbox tulajok OFF topicja
- Ford topik
- sziku69: Fűzzük össze a szavakat :)
- Épített vízhűtés (nem kompakt) topic
- Amlogic S905, S912 processzoros készülékek
- Poco F6 5G - Turbó Rudi
- gban: Ingyen kellene, de tegnapra
- Kuponkunyeráló
- További aktív témák...
- Samsung S21 5G megkímélt jó állapotban.
- NVidia RTX 3080 Founders Edition + 12VHPWR átalakító
- Canton Karat 40 hangfalpár
- AM5 Gamer PC - Ryzen 5 8400F / RX 9060 XT / A620M / 16GB vagy 32GB DDR5 RAM / 256GB M.2+1TB M.2 SSD
- Új Lenovo ideapad Slim 5i Multimédiás Laptop -35% 16" Brutál i5-1245U 10Mag 16/1TB IPS FHD+
- AKCIÓ! Lenovo IS8XM LGA 1150 DDR3 alaplap garanciával hibátlan működéssel
- ÁRGARANCIA!Épített KomPhone Ryzen 7 5700X3D 32/64GB RAM RX 7800 XT 16GB GAMER PC termékbeszámítással
- Frederick Forsythe: Isten ökle (nem olvasott)
- Azonnali készpénzes Sony Playstation 5 lemezes és digitális felvásárlás személyesen/csomagküldéssel
- Felsőkategóriás Gamer PC-Számítógép! Csere-Beszámítás! I9 13900K / RTX 4080 / 32GB / 1TB SSD
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft.
Város: Budapest