La faille de sécurité Java affecte-t-elle également Ubuntu?

Il y a des rumeurs sur un problème de sécurité Java réel. Le BSI conseille aux gens de désactiver les plugins java version 7 et antérieurs dans tous les types d'OS, même sous Linux. Est-ce à dire que je devrais désactiver le plugin de thé glacé dans ubuntu maintenant? Ou cette version spécifique n'est-elle pas concernée?

Merci beaucoup pour votre réponse. J'ai déjà cherché ces informations sur Internet, mais je n'ai pas pu trouver ce que vous avez découvert car je ne connais pas grand-chose à l'interdépendance. J'ai désactivé le plugin icedtea maintenant. Mieux vaut prévenir que guérir ...

Comment pouvons-nous avertir tous les autres utilisateurs d'ubuntu? Selon le BSI, l'exploit est déjà excessivement utilisé dans les pays norvégiens, allemands et néerlandais. Étant donné qu'ubuntu est également affecté comme vous l'avez conclu, cela semble être vraiment important. De plus, la sécurité heise écrit maintenant, le bogue concerne tous les types d'OS et de navigateurs pris en charge par Java.

Btw, Oracle a finalement réussi à corriger le bogue dans la mise à jour 7 de Ver 7 http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-verbose-1835710.html

Comment savoir quand le problème est résolu dans la version icedtea utilisée par ubuntu?

Informations supplémentaires: http://www.kb.cert.org/vuls/id/636312

De là, ils ont dit qu'il a été signalé comme CVE-2012-4681 pour Oracle Java 7 Update 6, and possibly other versions,

Il semble qu'il n'ait pas encore été signalé ou pris en compte pour Ubuntu mais peut être vu pour Debian comme ici pour les paquets openjdk-6 et openjdk-7 , donc je suppose que cela s'applique ici aussi.

Si je le suppose bien, la même version existe pour Ubuntu ici

Veuillez donc le désactiver, pour être sûr d'un côté plus sûr.

Edit (1-9-2012) Il est désormais traité par l'équipe de sécurité d'Ubuntu comme vous pouvez le voir ici . Une mise à jour de sécurité pour le package sera bientôt fournie, je suppose.

Le package Icetea-Web inclut le plugin, qui ne semble pas avoir été affecté comme ici.

Vous pouvez cliquer sur le lien Ubuntu comme ci-dessus pour voir les packages qu'il contient. Donc, je suppose que vous pouvez l'utiliser en toute sécurité.

Il semble que le plugin IcedTea soit sûr (contrairement à ce qui est indiqué ci-dessus), ici je copie depuis le site RedHat (également mentionné ci-dessus):

Tomas Hoger 2012-08-27 09:09:03 EDT

L'exécution du code a été confirmée avec le dernier plug-in de navigateur Web Oracle et IBM Java 7. IcedTea-Web utilisant OpenJDK7 bloque cet exploit en ne permettant pas à l'applet de changer SecurityManager (ce qui est autorisé dans Oracle et IBM Java plugin).

Java 6 n'est actuellement pas connu pour être affecté.

Ceci est important pour moi car j'ai besoin d'un navigateur compatible Java pour télécharger des fichiers à partir d'un site parrainé par le gouvernement américain, Protein Data Bank (http://www.rcsb.org/pdb/home/home.do) et du plug-in IcedTea. en travaux là-bas.

OUI , vous devez le désactiver (ou même le supprimer) pour l'instant. Notez que les autres réponses ici sont obsolètes et supposent que le correctif «mise à jour 7» qui vient d'être publié (30 août 2012) corrige les choses. Il ne l'a pas fait, il est toujours vulnérable . C'est le samedi 1er septembre 2012 que je tape cette mise à jour 7 de Java 7 contient un bug critique. De l'article lié:

Les chercheurs ont déclaré avoir découvert une faille dans la mise à jour Java 7 publiée par Oracle jeudi qui permet aux attaquants de prendre le contrôle total des ordinateurs des utilisateurs finaux.

Les instructions sur la façon de désactiver le plug-in de navigateur dans Firefox et Chrome sont ici, dans cette question similaire . Notez que Javascript et Java ne sont pas la même chose .