パスワードを忘れた? アカウント作成
7481242 story
Java

Oracle、パッチを追加したJava SEセキュリティーアップデートを2月19日にリリース予定 23

ストーリー by headless
追加 部門より
あるAnonymous Coward 曰く、

Oracleは、2月19日にJava SEのセキュリティーアップデートを行う予定です。これは、2月1日にリリースされたJava SE 7 Update 13に含めることができなかった脆弱性の修正を行うものです(Oracleのブログ記事)。

Oracleは当初、Critical Patch Updateのリリースを2月19日に予定していたが、修正対象の脆弱性の1つを狙った攻撃が確認されたため、リリース日を急遽2月1日に繰り上げていた。これにより、予定していたパッチの一部を含めることができなかったという。そのため、Oracleでは2月1日版に含まれなかったパッチを追加し、あらためて2月19日にリリースする。2月19日版のパッチは累積的なものとなり、2月1日版を飛ばしてインストールすることも可能とのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2013年02月11日 12時27分 (#2323023)

    Update12が存在しなかったあたり、この近辺、慌てすぎていろいろとデグレとか起こしているんじゃないだろうかと思ってます。
    んで、結局Update13でもやっぱり微妙なバグが残っていて、たたかれる前に出してしまおうと。。。

    ただの憶測なんですけどね。
    そして、出さないよりはよっぽど評価もできるのですけどね。
    定期アップデートだからなんていうかもしれないけれど、普段のUpdate間隔とCVEのタメ具合からして、
    Update13出たあとはまた、しばらくパッチでなくても何も不思議じゃない。
    そこでタイトルの話に戻るわけです。

    急がば回れと。ソフトウェア開発で一番重要なことを再認識するべきUpdate祭りなんじゃないでしょうか。
    # まぁ、Javaアプレットなんて金融系のサイトくらいしか使っていないだろうから、一般的には影響少なそうだけど。

    • u12が存在しないのは、Javaのバージョニングポリシーによる物なので少々うがち過ぎです。 奇数はセキュリティフィックスを含むときにつけられ、含まないときに偶数がつけられます。

      尚余談ですが、テストビルドの配布サイト(jdk7.java.net)とopenjdk(openjdk.java.net)のレポジトリを眺めていると予兆をある程度とらえることが出来ます。
      リリースされても居ない(=リリース候補たるfcsビルドを出していない)のにuXの数字が飛ぶときがあり、その場合確実にその飛んだ間の奇数番号が用意されつつあると言うことです。
      --
      # rm -rf ./.
      親コメント
    • by Anonymous Coward on 2013年02月11日 13時07分 (#2323032)

      金融系はお金が絡んでいるから、パッチを出すことに対する圧力が強い。
      ORACLEも、初めは出さないつもりだったが、あまりにも喚く顧客がいるので、今回のような措置にしたのかも。

      それはそうと、Javaは色んな機能と連携製品があるが、やっぱりきちんとレベルダウンなし確認のテストを行うと2週間以上かかるんだろうか。それだけ掛かりそうな気がする。

      親コメント
      • by Anonymous Coward

        OracleはRoutine workが下手糞すぎる。
        日本でOracle Developer Program(ODP)をやったときにも、高い金払わせておいてたいしたことやらなくて、終了するときには無料で本とか送りつけてOTNに無料で移行してくださいとか。客を馬鹿にしているとしか思えない。

      • by Anonymous Coward

        金融系にJavaを外部に見せてるトコってありますかね?
        ……って、思ったけどチャートとかを見せるツールで使ってるのがありましたか。

    • by Anonymous Coward

      前回の修正数は50件で、キリが良すぎましたからね。

  • by fcp (32783) on 2013年02月11日 13時22分 (#2323039) ホームページ 日記

    2月19日版のパッチは累積的なものとなり、2月1日版を飛ばしてインストールすることも可能とのことだ。

    それって別に今回何か特別なわけではなくて、いつものことですよね。 Oracle のブログ記事 [oracle.com]でも

    Note that Critical Patch Updates for Java SE are cumulative. As a result, organizations that may not have applied the February 1st release will be able to apply the updated Critical Patch Update when it is published, and will then gain the benefit of all previously released Java SE fixes.

    私訳 (後半ちょっと端折った):

    Java SE のクリティカルパッチアップデートは累積的です。そのため、更新されたクリティカルパッチアップデートが公表されたら 2 月 1 日版を適用していない組織でも更新版を適用することができ、その場合でもその時点までにリリースされているすべての修正が適用されます。

    と書いてあって、「『今回の』クリティカルパッチアップデートは累積的だ」というような限定は付いていませんし。

    • by Anonymous Coward

      累積と暫定とか関係なくパッチですらなく
      (修正された)フルインストーラーだしね。毎回。

  • 無料アップデート (スコア:3, おもしろおかしい)

    by Anonymous Coward on 2013年02月11日 17時57分 (#2323148)

    あのOracle様が無料でアップデートを申し出てくると考えれば
    素晴らしいことだと思わないだろうか?

  • いくら高速回線が一般的になったっつっても、
    毎回毎回JDKやランタイム環境丸ごとダウンロードして
    以前のをアンインストール→最新版インストールって面倒すぎる。
    パッチで必要部分のみ更新って出来ないのかなあ。
  • by Anonymous Coward on 2013年02月11日 11時50分 (#2323014)

    どうなってんの

    • by Anonymous Coward on 2013年02月11日 12時03分 (#2323017)

      記事読んでそのコメントか
      どうすれば良かったんだよ
      1)2/1にパッチを出さない
      2)2/19にパッチを出さない
      3)脆弱性が一切発生しない完璧なプログラムを作る(キリッ

      親コメント
      • by Anonymous Coward

        いや、インフラ系の人は「またJRE更新処理をやらなあかんorz」だろうから気持ちは分かる。

        • by upken (38225) on 2013年02月11日 19時59分 (#2323204)

          インフラ系は、1.7自体が無理。
          Cisco ASAシリーズとかGUIコンソールが動かなくなる。
          Cisco もいい加減アップデートを計画してほしい。

          親コメント
          • by Anonymous Coward

            CiscoのGUIコンソールなんか使ってる人いたのか(暴言

            • by Anonymous Coward

              初期設定ならまだしも、運用フェーズになると視認性が割と重要だからみんな使ってるんじゃないかなぁ

      • by Anonymous Coward
        4)2/1に今回の分も繰り上げで入れておく(間に合わないなんて泣き言は聞かない)
        • by kei100 (5854) on 2013年02月11日 12時24分 (#2323022)

          エンバグで悲惨な事になりそうなのでヤメテ

          --
          誰も信じちゃいけない、裏切られるから。
          私を信じないで、貴方を裏切ってしまうから。
          親コメント
          • by Anonymous Coward

            4/1に、これまでにない品質のものを提供する

            # JRE最後の日になったりして

      • by Anonymous Coward

        君、趣旨理解できてないでしょ

      • by Anonymous Coward

        4)Oracleが倒産
        これしかない。

  • by Anonymous Coward on 2013年02月11日 13時52分 (#2323044)

    こないだ7u11入れたばかりなのに
    こないだ7u13入れたばかりなのに(new!)

    • by Anonymous Coward

      作業用PCの入れ替えで6u39入れ替えたばっかりですよorz

      #今月までの命なの、わかっちゃいるんですけどねー

typodupeerror

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

読み込み中...