パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Java SEに脆弱性。IPAとJPCERT/CCは修正パッチの早期適用を呼び掛け」記事へのコメント

  • by Anonymous Coward

    実質はOpenJDKと同様に脆弱性は3つで、CVSS 3.1ベーススコアの最大値は5.3。
    これくらいなら他の言語ランタイムでもよくある話では?

    • by Anonymous Coward

      Java全体の安全性は長年メンテされてて確実に良くなってます。

      2010年代途中だとまだ平気でCVSSv3で9.1が何個も見つかってたとかありましたが、ここんとこはスコア低いのばかりですね。Log4ShellはLog4j/Apacheの実装側の問題だったし。

      ここのところでスコアが高いのって多くは、形式上はJavaの脆弱性にカウントされてはいますがGraalVMのPythonとかNode.jsとかの脆弱性です。要するにpython/nodejsの方がヤバい脆弱性が多くてGraalVMはそれに巻き込まれた形。

      JavaがセキュリティリスクだったのはブラウザでApplet使うときのSandboxが実装が大変だっただけで、もうWindowsを除いてAppletクラス自体がありませんし、WindowsだってIEが止まってしまったから基本的には気にしなくて良いんです。

      要するにJavaは危険と騒いでる人たちは脳みそのアップデートが追いついてない可哀想な人たちなんです。

      • by Anonymous Coward

        Javaが危険って言われていたのは概ね一貫してアプレットとしてのJavaで、
        ローカルで動くアプリの開発言語・実行環境としては最初から大して危険でもなんでもないというか、
        ローカルアプリで動いてる時点でJREと同等のユーザ権限で動いてるから昇格もクソもない。
        標準ライブラリのバグやバグを作りやすい言語仕様とかは存在し得るが、概ねアプリ側でカバーすべき領域だし、
        その意味で言えばデファクトなC/C++が直球で致命的不具合を作れる言語だから別に問題にはならない。

        問題なのはアプレットの脆弱性が騒がれてる中、アプレットの古いバージョンを強制しちゃう連中が居た事。
        言語の利用者のリテラシーがヤバすぎた。その意味ではPHPも似たところがあるね。
        そういう状況だとよく使われるライブラリに脆弱性があったり見逃されたりしがち。

        んで、python/nodejsをディスっているけどそこはこの2つもおんなじだったりしない?

        • by Anonymous Coward on 2023年01月25日 15時35分 (#4400087)

          いやまあ、disってるつもりはないというか、
          スコアの高い脆弱性がGraalVM経由でJavaのrisk matrixに入っちゃってるのを
          誤解/曲解する人はいるだろうから、
          そこは言っておかないとっていう意図でした。攻撃的に読めたらスマヌ。

          親コメント

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

処理中...