Fragen? Antworten! Siehe auch: Alternativlos
Dazu jetzt ein Leserbrief:
reicht ja nicht, dass die Lücke von November 2021 bis vorgestern bei Oracle bekannt war, bis sie gepatcht wurde. Es gibt bis heute auch in kaum einer Distribution eine gepatchte Variante des OpenJDKs.Nehmt Java, haben sie gesagt! Das ist secure by design, haben sie gesagt!OpenJDK Projekt? Listet das geplante 17.0.3 Release Datum als 19.04., das letzte GA Release ist aber immer noch 17.0.2: https://wiki.openjdk.java.net/display/JDKUpdates/JDK+17u
Debian? CentOS? openSUSE? Warten wohl alle noch auf den Upstream Build und verteilen inzwischen weiterhin fleißig 17.0.2.
Adoptium? Hat ein fetzen Banner auf der Homepage, dass man sich hier den Buildzustand anschauen kann: https://github.com/adoptium/adoptium/issues/140
Ein fertiges Release gibts leider noch für keine Version.Die einzige bisher gepatchte OpenJDK Version scheint Arch zu haben: https://archlinux.org/packages/extra/x86_64/jdk17-openjdk/
Vermutlich haben die ihren eigenen Build.
Warum dauert das so lang? Offensichtlich gibts keinen Hotfix Prozess und es fallen Tests um: https://github.com/adoptium/aqa-tests/issues/3594
Da fragt man sich, was passiert eigentlich, wenn in Java ne RCE auftaucht? Warten wir dann auch > 2 Tage darauf, dass der Code Change im Binärpaket landet?
Nicht dass CVE-2022-21449 in irgendeiner Form etwas anderes als kritisch wäre...
Ich möchte an der Stelle darauf hinweisen, dass hier offensichtlich Oracle nicht OpenJDK vorab informiert hat, damit die auch einen Patch fertig haben. Das ist eine Sache, die man häufiger beobachten kann, dass Firmen selbst monatelang auf 0days sitzen, und nicht nur ihre Kunden gefährden, sondern auch absichtlich Open-Source-Komponenten uninformiert lassen, denn wenn du die informierst, dann fixen die das natürlich sofort und nicht erst wie du 6 Monate später. Und dann könnte die Welt ja sehen, was du für eine unzumutbare Patchpolitik fährst, indem du deine Kunden mit scharfen Sprengstoffgürteln durch die Gegend rennen lässt.
Aus meiner Sicht haben wir hier doppelt Oracle zu danken. Und es stellt sich die Frage, wieso die Finder dieser Lücke das überhaupt an Oracle gemeldet haben, und nicht bloß an OpenJDK. Den Oracle-Kram setzt doch eh niemand mehr ein!
Gab es da eine Bug Bounty oder was ist da los?
Update: Können wir an der Stelle bitte auch kurz hervorheben, dass wir von Open Source erwarten, dass es nach zwei Tagen funktionierende Patches für alle Plattformen gibt, während bei Oracle offenbar außer mir niemand ein Problem damit hat, dass die SECHS FUCKING MONATE ihre Kunden mit blutender Wunde unversorgt weiterhumpeln ließen?
Ich frage mich ja, wieso der Bug überhaupt an Oracle gemeldet wurde. Man hätte das an OpenJDK melden können. Oracle hätte dann sagen können: oh, äh, ja, das betrifft uns auch. Der nächste Patchtag ist im Oktober 2023!1!!
Update: Improve ECDSA signature support ist ja auch mal ganz großes Hallentennis als Commit Message.
Ein Leser schlägt vor, dass die Bugfilter ihr Geld damit verdienen, dass Bugs offen bleiben, damit ihre Kunden einen Vorteil davon haben, wenn sie deren Service einkaufen, der sie vor Lücken warnt. Insofern könnte das Vorsatz gewesen sein, nur Oracle zu informieren und nicht OpenJDK.
Update: Zwei Leserbriefe dazu kamen rein, die ich hier erwähnen will. Der erste meinte: Der Bug wurde an OpenJDK gemeldet, nicht an Oracle. Aber die Mannschaft hinter OpenJDK ist halt zum Großteil bei Oracle angestellt, insofern hat das nicht geholfen. Der andere meinte: Der Bug tritt angeblich nur unter Windows auf. Huch, muss ich übersehen haben im Advisory.
Update: Nein, hab ich nicht übersehen. Es gibt mehrere Fußnoten mit der Nummer 1. m(