アカウント名:
パスワード:
The FrSIRT is not aware of any official supplied patch for this issue.
ホントーに Java って、脆弱性が見つかってから、また脆弱性が見つかるまでの間隔が短すぎるよね。12月も問題出したばっかりじゃないか。
Java は、アンインストールして、二度とインストールしない方がセキュリティーは向上するな。
DoS 止まりだが、 Sun Java System Directory Server LDAP Denial of Service Vulnerability というのが見つかった。
Sun Java System Directory ServerとJREは別物です。
ホントーに Java って、脆弱性が見つかってから、また脆弱性が見つかるまでの間隔が短すぎるよね。
間隔はともかく、結構数が出ている印象はありますね。修正版が出てから脆弱性を公表するまでの期間が長いことも気になっているのですが、何か理由でもあるのでしょうか?
間隔が短いと、発表された脆弱性を持つ環境がたくさん残った状態でより多くの攻撃者にセキュリティホールを知らせてしまうからではないでしょうか。
脆弱性が公表されなければ多くの利用者はアップデートせず、脆弱性を持つ環境がたくさん残った状態のままなのでは?
また、パッチをリバースエンジニアリングしてExploitコードが作られたり [impress.co.jp]もしているようなので、脆弱性の発表前に修正版を出すこと自体がより多くの攻撃者にセキュリティホールを知らせてしまう原因にもなりかねません。
AppleのJVMは、SUNより遅れるのでこういう配慮は嬉しいです。
それは企業間で連絡を取り合うなり、CERT/CC [cert.org]とかに協力してもらうなりして調整すれば良いだけの話です。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー
最新版にも未パッチの脆弱性が (スコア:1, オフトピック)
ホントーに Java って、脆弱性が見つかってから、また脆弱性が見つかるまでの間隔が短すぎるよね。12月も問題出したばっかりじゃないか。
Java は、アンインストールして、二度とインストールしない方がセキュリティーは向上するな。
Re:最新版にも未パッチの脆弱性が (スコア:3, 参考になる)
Sun Java System Directory ServerとJREは別物です。
間隔はともかく、結構数が出ている印象はありますね。修正版が出てから脆弱性を公表するまでの期間が長いことも気になっているのですが、何か理由でもあるのでしょうか?
Re:最新版にも未パッチの脆弱性が (スコア:2, すばらしい洞察)
間隔が短いと、発表された脆弱性を持つ環境が
たくさん残った状態でより多くの攻撃者に
セキュリティホールを知らせてしまうからでは
ないでしょうか。
# どうあがいても知る人は知ってしまうので
# そういうひと以外にわざわざ知らせない、という意味
セキュリティパッチが出てないのに
公表されると怖いですよ。さすがに。
AppleのJVMは、SUNより遅れるのでこういう配慮は
嬉しいです。
Re:最新版にも未パッチの脆弱性が (スコア:1)
脆弱性が公表されなければ多くの利用者はアップデートせず、脆弱性を持つ環境がたくさん残った状態のままなのでは?
また、パッチをリバースエンジニアリングしてExploitコードが作られたり [impress.co.jp]もしているようなので、脆弱性の発表前に修正版を出すこと自体がより多くの攻撃者にセキュリティホールを知らせてしまう原因にもなりかねません。
それは企業間で連絡を取り合うなり、CERT/CC [cert.org]とかに協力してもらうなりして調整すれば良いだけの話です。