ออราเคิลอัพเดตซีพียูสำหรับเซิร์ฟเวอร์ในตระกูล SPARC T5 โดยเพิ่มคอร์ภายในเป็น 16 คอร์ต่อซ็อกเก็ต พร้อมกับตัวควบคุมหน่วยความจำ 4 ชุดบนตัวซีพียู ทำให้ทำความเร็วการส่งข้อมูลกับหน่วยความจำเป็นสองเท่าตัว ส่วนตัวบอร์ดจะสามารถรองรับซีพียูได้ 8 ซ็อกเก็ต ทำให้ได้ 128 คอร์ต่อบอร์ด
ชุดคำสั่งใหม่ที่เพิ่มเข้ามาใน SPARC T5 เน้นเรื่องของการรักษาความปลอดภัยมากขึ้น เป็นแนวทางเดียวกับอินเทลที่ช่วงหลังเพิ่มชุดคำสั่ง AES-NI เข้ามา ทางฝั่งของ SPARC นั้นเพิ่มชุดคำสั่งทั้งการเข้ารหัสแบบ AES, และ DES รวมไปถึงกระบวนการอื่นๆ เช่น SHA, MD5, ECC, และ RSA ฟีเจอร์เหล่านี้ทำให้การเข้ารหัสรูปแบบต่างๆ ทำได้เร็วขึ้น
สำหรับในประเทศไทย นายเอกภาวิน สุขอนันต์ ผู้อำนวยการออราเคิลประเทศไทยหน่วยธุรกิจซิสเต็มส์ระบุว่าสินค้าในกลุ่ม SPARC T5 จะเจาะกลุ่มลูกค้าขนาดกลางถึงขนาดใหญ่ เช่นธนาคาร, การสื่อสาร, ยานยนต์, ราชการ, และการศึกษา
ที่มา - อีเมลประชาสัมพันธ์, Oracle
Oracle ออกมาประกาศว่า Java 8 ที่มีกำหนดออกเดือนกันยายนนี้ จะถูกเลื่อนออกไปเป็นปี 2014 (กำหนดเวลายังไม่ชัดเจน แต่น่าจะเป็นไตรมาสแรกของปี 2014)
เหตุผลที่เลื่อนเป็นเพราะปัญหาด้านความปลอดภัยของ Java ที่รุมเร้าอยู่ในตอนนี้ ทำให้ทีมงานต้องการเวลาเพิ่มเติมในการปรับปรุงกระบวนการพัฒนา Java ให้ปลอดภัยกว่าเดิม
ฟีเจอร์ใหม่ของ Java 8 คือ Project Lambda ที่ถูกเลื่อนมาจาก Java 7 โดยจะเป็นการเพิ่มฟีเจอร์ด้าน closure ให้ตัวภาษา Java เพื่อช่วยให้การทำงานแบบมัลติคอร์ดีขึ้น ทีมงานตัดสินใจเลื่อนกำหนดการของ Java 8 ออกไปแทนการตัด Lambda ทิ้งแล้วออกตามกำหนดเดิม เพื่อให้โลกของ Java ได้ใช้ฟีเจอร์ Lambda ไม่ช้าเกินไปนัก
ส่วน Java 9 ก็โดนผลกระทบให้เลื่อนออกไปด้วย คาดว่าจะเป็นต้นปี 2016 ครับ
ที่มา - Mark Reinhold via Phoronix
ออราเคิลปล่อยแพตซ์ความปลอดภัยจำนวนมากให้กับสินค้าหลายตัว ตั้งแต่ระบบฐานข้อมูล, แอพพลิเคชั่นเซิร์ฟเวอร์, มิดเดิลแวร์, และซอฟต์แวร์จัดการเช่น Siebel/PeopleSoft รวมไปถึงขาประจำอย่างจาวาไปพร้อมกัน
แพตซ์ทั้งหมดเป็นแพตซ์ความปลอดภัยในระดับ critical ออราเคิลแนะนำให้ลูกค้าทุกรายอัพเดตให้เร็วที่สุดเท่าที่เป็นไปได้ บั๊กหลายตัวสามารถข้ามผ่านระบบการล็อกอินเพื่อโจมตีได้
ใครดูแลระบบไหนกันอยู่ตอนนี้อาจจะต้องเร่งมาทดสอบเพื่อเอาตัวใหม่ขึ้นกันเร็วสักหน่อยครับ
ที่มา - Oracle: Java SE Critical Patch Update Advisory, Oracle: Critical Patch Update Advisory
ออราเคิลออกแพตช์ให้ Java SE รอบเดือนเมษายน 2013 (นับเวอร์ชันเป็น Java 7 update 21 และ Java 6 update 45) ซึ่งแพตช์นี้แก้ปัญหาเรื่องช่องโหว่ใน Java ไปถึง 42 จุด ถือเป็นการอุดรูรั่วความปลอดภัยครั้งใหญ่สำหรับโลกของ Java
แพตช์ชุดนี้ยังเพิ่มหน้าต่าง dialog box แจ้งเตือนเมื่อผู้ใช้รัน Java applet ที่มีความเสี่ยงด้วย (เมื่อก่อนเคยมีหน้าต่างนี้ แต่มีบั๊กไม่ยอมเช็คใบรับรองดิจิทัลที่ถูกเพิกถอน)
Hasan Rizvi ผู้บริหารของออราเคิลยอมรับว่าแพตช์ชุดนี้ยังแก้ปัญหาได้ไม่หมด แต่ก็ครอบคลุมช่องโหว่ที่เคยมีประวัติการถูกโจมตีหมดแล้ว เขายังยอมรับว่าลูกค้าองค์กรแสดงความห่วงใยต่อปัญหาความปลอดภัยของ Java และอาจส่งผลต่อการเลิกใช้ Java ขององค์กรเหล่านี้ได้
จากข้อมูลของบริษัท Kaspersky ระบุว่าในปีที่แล้ว Java ขึ้นเป็นอันดับหนึ่งของโปรแกรมที่โดนเจาะมากที่สุด คิดเป็นสัดส่วนถึง 50% ของการเจาะระบบทั้งหมด ส่วนอันดับสองคือ Adobe Reader 28% ในขณะที่ Windows/IE มีสัดส่วนการโดนเจาะแค่ 3% เท่านั้น
ใครที่ยังจำเป็นต้องติดตั้ง Java ในเครื่องก็ควรรีบอัพเดตกันโดยด่วนครับ
ที่มา - Oracle, Ars Technica, Krebs on Security, Reuters
Red Hat ประกาศรับช่วงบทบาทการเป็นผู้นำโครงการ OpenJDK 6 ต่อจากออราเคิล หลังจากออราเคิลหยุดสนับสนุน Java 6 อย่างเป็นทางการเมื่อช่วงสิ้นเดือนกุมภาพันธ์ที่ผ่านมา
Red Hat อธิบายว่าหน่วยงานจำนวนมากยังใช้ Java 6 อยู่ (โดยเฉพาะลูกค้า JBoss ของบริษัทเอง) และต้องการสนับสนุน Java 6 ต่อไปผ่านโครงการ OpenJDK ที่เป็นโอเพนซอร์ส (Red Hat มีส่วนกับ OpenJDK มานานแล้ว แต่ไม่ได้เป็นผู้นำโครงการ)
ที่มา - Red Hat
ต่อจาก พบอีก 2 ช่องโหว่ใหม่ใน Java รุ่นล่าสุด 7u15 ออราเคิลก็ประกาศออก Java 7u17 (ข้ามเลข 16) เพื่อแก้ปัญหาทั้ง 2 จุดแล้ว
ออราเคิลให้ข้อมูลว่าได้รับรายงานช่องโหว่ดังกล่าวเมื่อวันที่ 1 กุมภาพันธ์ ซึ่งช้าไปสำหรับการออกแพตช์รอบ 19 กุมภาพันธ์ และตั้งใจจะรวมแพตช์ไว้ในการออกรอบ 16 เมษายนแทน แต่เมื่อมีรายงานว่าช่องโหว่นี้ถูกใช้งานในวงกว้าง บริษัทจึงตัดสินใจออกแพตช์ชุดนี้ทันที
อย่างไรก็ตาม ผู้เชี่ยวชาญความปลอดภัย Security Explorations จากโปแลนด์ ก็ประกาศว่าพบช่องโหว่ใหม่ของ Java อีก 5 จุด ตอนนี้ยังไม่มีรายงานการโจมตีด้วยช่องโหว่ชุดใหม่นี้ และส่งข้อมูลให้ออราเคิลเรียบร้อยแล้ว
เช่นเดียวกับข่าว Java ข่าวก่อนๆ นั่นคือผู้ใช้ควรอัพเดตเวอร์ชันล่าสุดทันที หรือปิดการทำงานของ Java บนเบราว์เซอร์ถ้าไม่จำเป็นต้องใช้งาน
ที่มา - Oracle, The Next Web
Adam Gowdiak นักวิจัยด้านความปลอดภัยจากบริษัท Security Explorations ประกาศว่าค้นพบช่องโหว่ใหม่อีก 2 จุด ซึ่งใช้ได้กับ Java SE 7 Update 15 รุ่นล่าสุดในปัจจุบัน (ไม่มีผลกับ Java 6)
ช่องโหว่ 2 จุดนี้คล้ายกับช่องโหว่ชุดก่อนๆ หน้านี้ นั่นคือสามารถลัดระบบความปลอดภัย sandbox ของ Java ได้
Gowdiak ส่งข้อมูลของช่องโหว่ไปยังออราเคิลตามธรรมเนียมของวงการ ปัญหาคือออราเคิลยอมรับว่าเป็นช่องโหว่จริงเพียงจุดเดียวเท่านั้น ส่วนอีกจุดหนึ่งออราเคิลระบุว่าเป็น "พฤติกรรมที่อนุญาตอยู่แล้ว" (allowed behavior) ไม่ถือเป็นช่องโหว่ด้านความปลอดภัยแต่อย่างใด
ทางทีมของ Gowdiak ยืนยันว่าเป็นช่องโหว่อย่างแน่นอน และถ้าออราเคิลยังยืนยันแบบเดิมอยู่ เขาก็จะเปิดเผยข้อมูลของช่องโหว่ต่อสาธารณะต่อไป
on 16/02/13 13:49
Tags:
ออราเคิลยื่นเอกสารอุทธรณ์ฉบับเต็มที่ประกาศไว้ตั้งแต่เดือนพฤศจิกายนที่ผ่านมา คัดค้านคำตัดสินของศาลชั้นต้นที่ระบุว่า API ไม่มีลิขสิทธิ์ ตรงกับแนวทางก่อนหน้านี้ที่การอุทธรณ์จะเน้นหนักไปที่ API เพราะสิทธิบัตรในส่วนของ JVM หลายตัวนั้นกำลังจะหมดอายุแล้ว
ส่วนที่เป็นข่าวที่สุด คงเป็นส่วนคำอุปมาอุปมัยระหว่าง API ของจาวากับนิยายเรื่องแฮร์รี พอตเตอร์ ว่า
แอน ดรอยด์ ต้องการตีพิมพ์หนังสือขายดี เธอก็อปปี้หนังสือเรื่อง "แฮร์รี พอตเตอร์และภาคีนกฟีนิกซ์" เธอก๊อปปี้ชื่อบททั้งหมด เธอก๊อปปี้ประโยคแรกของแต่ละย่อหน้า แล้วเขียนส่วนที่เหลือขึ้นใหม่ เธอรีบวางตลาดหนังสือของเธอวางตลาดก่อนผู้เขียนคนแรกโดยใช้ชื่อหนังสือว่า "แฮรี่ พอตเตอร์ภาค 5 โดยแอน ดรอยด์"
เจ เค โรว์ลิง ฟ้องเพื่อปกป้องลิขสิทธิ์ แต่แอน ดรอยด์ระบุว่าเธอเขียนหนังสือขึ้นใหม่เกือบทั้งหมด และการวางโครงเรื่องให้คล้ายกันเป็นการใช้งานอย่างเป็นธรรม
ปีที่แล้วออราเคิลประกาศโอเพนซอร์ส JavaFX แต่กระบวนการผ่านไปหลายเดือนก็ยังไม่สมบูรณ์ แต่ระหว่างที่กระบวนการโอเพนซอร์สเดินหน้าไป ทางออราเคิลก็ออกมาประกาศว่าโครงการอีกส่วนหนึ่งที่จะเปิดออกมาคือ JavaFX สำหรับ Android และ iOS
เป็นเรื่องปกติของการโอเพนซอร์สโครงการขนาดใหญ่ที่จะใช้เวลาหลายเดือนจนถึงเวลานับปี เช่น โครงการ Solaris ของซันในยุคก่อนจะโอเพนซอร์สก็ต้องใช้เวลานานเพราะติดโค้ดบางส่วนที่ซื้อจากบริษัทภายนอกมาอีกที
ไลเซนส์ที่ปล่อยมาสำหรับ OpenJFX คือ GPLv2 + Classpath Exception ทำให้สามารถลิงก์ JavaFX ทั้งแบบ static และแบบ dynamic เข้ากับแอพพลิเคชั่นได้โดยไม่ต้องเปิดซอร์สแอพพลิเคชั่นของตัวเองเอง
ที่มา - FX Experience
จากข่าว ออราเคิลออกแพตช์ความปลอดภัย Java รอบเดือนกุมภาพันธ์ 2013 ทางออราเคิลออกมาชี้แจงว่า การอัพเดตแพตช์รอบก่อนรีบออกเพื่อแก้ปัญหาความปลอดภัยเร่งด่วน ทำให้ยังปิดช่องโหว่อื่นๆ ไม่ครบ และจะออกแพตช์รอบใหม่ในวันที่ 19 กุมภาพันธ์นี้
ออราเคิลยังไม่แจ้งว่าช่องโหว่ที่จะแก้ไขในรอบ 19 กุมภาพันธ์มีอะไรบ้าง แต่ก็บอกว่าผู้ใช้หรือหน่วยงานที่ไม่ได้อัพเดตรอบก่อน สามารถรออัพเดตรอบ 19 กุมภาพันธ์ได้ทีเดียวเลยครับ
ที่มา - Oracle
หลังจากประสบปัญหาเรื่องความปลอดภัยอย่างต่อเนื่อง ออราเคิลก็ตัดสินใจออกแพตช์ความปลอดภัยของ Java SE ประจำเดือนกุมภาพันธ์ให้เร็วกว่าเดิม จากเดิมที่มีกำหนดออกวันที่ 19 กุมภาพันธ์ ก็เปลี่ยนมาออกตั้งแต่วันที่ 1 กุมภาพันธ์แทน
แพตช์ชุดนี้มีชื่ออย่างเป็ฯทางการว่า Critical Patch Update for Java SE – February 2013 ใช้กับ Java 5u38, 6u38, 7u11 ขึ้นไป รวมถึง JavaFX 2.2.4 ด้วย โดยตัวเลขเวอร์ชันของอัพเดตนี้จะกลายเป็น 6u39, 7u13 และ JavaFX 2.2.5 ครับ
ผู้ที่จำเป็นต้องใช้ Java สามารถดาวน์โหลดได้จาก Java SE Downloads (ผู้ใช้วินโดวส์อัพเดตตรงผ่าน Java Update ได้)
เว็บไซต์ ZDNet ทดสอบการติดตั้ง Java บนวินโดวส์ด้วยวิธีการต่างๆ และพบว่าตอนนี้ Java มีเทคนิคแนบเนียนหลายอย่างในการแถมโปรแกรม Ask Toolbar กับ McAfee Security Scanner แม้ผู้ใช้จะไม่ต้องการ
- ไฟล์ automatic updater ของ Java จะมี Ask/McAfee ติดมาด้วยเสมอ
- การอัพเดต Java ทุกครั้งและทุกเวอร์ชัน ออราเคิลจะเลือกติดตั้ง Ask Toolbar มาเป็นค่าดีฟอลต์ ต่อให้คราวก่อนติ๊กออกไปแล้ว คราวหน้าอัพเดตใหม่จะพบหน้าถามว่า "ตั้งค่าดีฟอลต์หรือไม่" ที่ไม่บอกว่าจะติดตั้ง Ask มาด้วย
- เมื่ออัพเดต Java โดยเลือกค่าดีฟอลต์ (ไม่ระบุเจาะจงว่าไม่ลง Ask) ตัวติดตั้งของ Ask จะยังรันอยู่เบื้องหลังอีก 10 นาที แล้วค่อยติดตั้ง Ask Toolbar ลงในเครื่องของเราแบบเงียบๆ วิธีนี้ทำให้ผู้ใช้ที่เข้าไปเช็คใน Control Panel โดนหลอก เพราะจะเห็นแต่รายชื่อของ Java แต่ไม่เห็นรายชื่อของ Ask Toolbar
- ถ้าเกิดเผลอลง Ask Toolbar จะโดนเปลี่ยน homepage ของเบราว์เซอร์เป็น Ask.com ซึ่งเป็นหน้าค้นหาที่พยายามหลอกให้ผู้ใช้คลิกโฆษณาแทนผลการค้นหาจริงๆ
ต่อจากข่าว ออราเคิลออกแพตช์อุดช่องโหว่ Java แล้ว ผู้เชี่ยวชาญความปลอดภัยยังไม่เชื่อถือ
ล่าสุดมีนักวิจัยด้านความปลอดภัยจากบริษัท Security Explorations ในโปแลนด์ ออกมาให้ข้อมูลว่าพบช่องโหว่ 2 จุดใน Java 7 Update 11 ตัวล่าสุดที่เพิ่งออก โดยช่องโหว่นี้สามารถลัดขั้นตอนของ sandbox และรันโค้ดประสงค์ร้ายบนคอมพิวเตอร์ได้
ทาง Security Explorations แจ้งข้อมูลช่องโหว่ไปยังออราเคิลแล้ว (ไม่ได้เปิดเผยต่อสาธารณะ) ซึ่งช่องโหว่นี้เป็นช่องโหว่ใหม่ ไม่เกี่ยวกับช่องโหว่ก่อนหน้านี้ที่ผู้เชี่ยวชาญระบุว่า Java 7u11 ปิดไม่หมดด้วย
ที่มา - PC World
US-CERT หน่วยงานด้านความปลอดภัยไซเบอร์ของรัฐบาลสหรัฐ (สังกัดกระทรวงความมั่นคงแห่งมาตุภูมิ) ยังออกมาเตือนให้ผู้ใช้งาน Java สั่งปิดการทำงานของ Java ในเว็บเบราว์เซอร์ต่อไป แม้ว่าออราเคิลได้ออกแพตช์ Java 7u11 มาแก้ไขแล้วก็ตาม
US-CERT ให้เหตุผลว่าช่องโหว่ Java ตามข่าวก่อนหน้านี้ถูกใช้งานอย่างแพร่หลาย และมีความเป็นไปได้สูงว่าจะพบช่องโหว่ใหม่ๆ ในอนาคต ดังนั้นเพื่อเป็นการป้องกันตัว ผู้ใช้ควรปิดการใช้งาน Java ผ่าน Java Control Panel หรือหน้าจอตั้งค่าของ Java เอง
ผู้เชี่ยวชาญความปลอดภัยระบุว่า Java 7u11 ไม่ได้แก้ปัญหาทั้งหมด และผู้ใช้ยังมีโอกาสโดนมัลแวร์ได้ ถ้าโดนหลอกให้กดรันโค้ดประสงค์ร้ายด้วยวิธี social engineering
Charlie Miller ผู้เชี่ยวชาญด้านความปลอดภัยคนดัง ให้สัมภาษณ์ว่า Java ไม่ปลอดภัยมานานแล้ว ไม่ใช่จู่ๆ เพิ่งเกิดปัญหาด้านความปลอดภัย เพียงแต่เพิ่งมาเป็นข่าวดังในช่วงหลังเท่านั้นเอง
จากปัญหาช่องโหว่ร้ายแรงของ Java 7 และมีมัลแวร์เจาะระบบแล้ว ในที่สุดออราเคิลก็ออกแพตช์หมายเลข CVE-2013-0422 มาแก้ปัญหานี้แล้ว
นอกจากแพตช์ตัวนี้จะปิดช่องโหว่เดิมแล้ว ยังปรับค่า Java Security Level จากเดิม Medium เป็น High ซึ่งมีผลให้ผู้ใช้ต้องกดรัน Java Applet ด้วยตัวเองก่อนเสมอ เพิ่มความปลอดภัยไปอีกขั้นหนึ่ง ผู้ใช้ทุกคนสามารถอัพเดตได้ผ่าน Java Update ของระบบครับ
อย่างไรก็ตาม Adam Gowdiak ผู้เชี่ยวชาญความปลอดภัยด้าน Java กลับแสดงความเห็นว่าอัพเดตนี้ยังไม่ได้ปิดช่องโหว่อีกหลายจุด และเขา "ไม่มั่นใจ" ในการบอกให้ผู้ใช้เปิดการทำงานของ Java อีกต่อไป
ที่มา - Oracle Security, Reuters via The Verge
จากข่าว พบช่องโหว่ร้ายแรงของ Java 7 และมีมัลแวร์เจาะระบบแล้ว ล่าสุดมีผู้สร้างเบราว์เซอร์ 2 รายสั่งปิดการทำงานของปลั๊กอิน Java เพื่อป้องกันผู้ใช้จากการโจมตีแล้ว
- ค่าย Mozilla สั่งปิดการทำงานของปลั๊กอิน Java รุ่นล่าสุด (7u9, 7u10, 6u37, 6u38) โดยปลั๊กอินจะไม่โหลดอัตโนมัติ ผู้ใช้ต้องเป็นฝ่ายคลิกเพื่อให้ปลั๊กอินทำงาน (Click to Play) - Mozilla
- แอปเปิลโหดกว่านั้นคืออัพเดตไฟล์ blacklist บน Mac OS X ให้ปิดการทำงานของปลั๊กอิน Java เวอร์ชันล่าสุดเป็นการถาวร (ปิดที่ตัวระบบทำให้ใช้งานไม่ได้บนเบราว์เซอร์ทุกตัว) และจะใช้งานได้ก็ต่อเมื่อออราเคิลออก Java เวอร์ชันใหม่เท่านั้น - Ars Technica
นอกจากนี้ยังมีรายงานว่าบริษัทความปลอดภัย Security Explorations ค้นพบช่องโหว่นี้ตั้งแต่เดือนสิงหาคม 2012 และแจ้งไปยังออราเคิลแล้ว ซึ่งออราเคิลก็ออกแพตช์เมื่อเดือนตุลาคม 2012 แต่กลับอุดช่องโหว่ไม่ได้ทั้งหมด - The Next Web
เว็บไซต์ FOSS Patents อ่านเอกสารยื่นอุทธรณ์ของออราเคิลในคดี Java กับกูเกิล (ซึ่งยื่นเมื่อเดือนธันวาคม) พบว่าออราเคิลตัดสินใจไม่อุทธรณ์คดีส่วนสิทธิบัตร และอุทธรณ์เฉพาะคดีเรื่องลิขสิทธิ์ของ Java API เท่านั้น
FOSSPatents ประเมินว่าออราเคิลคงต้องการโฟกัสไปที่ประเด็นเรื่อง Java API เป็นหลัก, สิทธิบัตรบางชิ้นกำลังจะหมดอายุ และสิทธิบัตรบางชิ้นอาจเรียกค่าเสียหายได้ไม่มากนัก เลยตัดสินใจทิ้งประเด็นเรื่องสิทธิบัตรไป
กระบวนการของคดีนี้ยังต้องใช้เวลาอีกนาน ถ้ากำหนดการเป็นไปตามที่วางแผนกันไว้ กว่าที่ทั้งสองฝ่ายจะแถลงตอบโต้กันครบ (ฝ่ายละ 2 รอบ) ก็ช่วงกลางเดือนกรกฎาคม 2013 ครับ
ที่มา - FOSS Patents
on 28/11/12 0:53
Tags:
จาวาสริปต์เป็นภาษาสคริปต์ของ Netscape ที่พัฒนาขึ้นเพื่อใช้บนเว็บกับ Netscape 2.0 มาตั้งแต่ปี 1995 โดยยืมชื่อ "จาวา" มาจากซันโดยไม่มีความเกี่ยวเนื่องอะไรกัน แต่ความนิยมของจาวาสคริปต์ที่สูงขึ้นเรื่อยๆ จนกระทั่งเริ่มบุกตลาดเซิร์ฟเวอร์ด้วย node.js ตอนนี้ทางออราเคิลก็เปิดโครงการ Nashorn เป็นส่วนหนึ่งของ OpenJDK เพื่อนำจาวาสคริปต์มารันบน JVM แล้ว
โครงการนี้กำลังถูกพัฒนาเป็นการภายในออราเคิลเอง และกำลังเตรียมการโยกย้ายออกมาสู่สาธารณะภายใต้โครงการ OpenJDK จากข้อเสนอของออราเคิล
สมาชิกของ OpenJDK สามารถโหวตเพื่อรับหรือไม่รับโครงการนี้ได้ภายในวันที่ 6 ธันวาคมที่จะถึงนี้
on 14/11/12 10:18
Tags:
การแข่งขันในตลาดลินุกซ์ระหว่างออราเคิลกับเรดแฮตดูจะดุเดือดมากขึ้น เมื่อออราเคิลประกาศนำแพตซ์ของเรดแฮตมาแยกย่อยรายละเอียดแล้วนำขึ้น Git repository ให้คนทั่วไปเข้าถึงได้
ต้องเท้าความก่อนว่าธุรกิจของเรดแฮทนั้นเป็นการขายซัพพอร์ตของตัว RHEL โดยให้ลูกค้าดาวน์โหลดแพตซ์รักษาความปลอดภัยไปใช้งาน แต่เนื่องจากลินุกซ์เป็นสัญญาอนุญาตแบบ GPL ทางเรดแฮตจึงต้องปล่อยซอร์สโค้ดของแพตซ์เหล่านี้ออกมาพร้อมกัน แต่เดิมนั้นเรดแฮตก็ปล่อยออกมาแยกรายบั๊ก ทำให้ทีมลินุกซ์อื่นๆ เช่น CentOS หรือ Scientific Linux สามารถนำไปคอมไพล์แล้วส่งแพตซ์ให้ลูกค้าของตัวเองได้เหมือนกัน แต่นับแต่ช่วงต้นปี 2011 ทางเรดแฮตก็เปลี่ยนกระบวนการปล่อยซอร์สโค้ด โดยปล่อยออกมาเป็นชุดๆ ไม่แยกรายบั๊กอีกต่อไป ทำให้โครงการภายนอกทำงานได้ยากขึ้น
สิ่งที่โครงการ RedPatch ของออราเคิลทำคือการย้อนกลับแพตซ์ทั้งก้อนที่เรดแฮตปล่อยออกมาเพื่อแยกรายละเอียดออกมาทีละบั๊กอีกครั้ง เพื่อให้สามารถเลือกใช้แพตซ์ที่จำเป็นได้ เช่น แพตซ์บางตัวเป็นเรื่องของการเร่งความเร็วเวลาบูตซึ่งไม่จำเป็นสำหรับเครื่องที่ไม่ได้บูตกันบ่อยนักก็สามารถข้ามไปได้
ทีมที่ทำหน้าที่แยกแพตซ์เหล่านี้คือทีม Ksplice ผู้พัฒนาระบบแพตซ์เคอร์เนลที่กำลังรันอยู่ และถูกออราเคิลซื้อไปเมื่อปีที่แล้ว
ที่มา - Oracle
แพตซ์ความปลอดภัยของจาวานั้นมีรอบการปล่อยปีละสามรอบ แม้ก่อนหน้านี้จะมีกรณียกเว้นที่ออราเคิลยอมปล่อยแพตซ์พิเศษในเดือนกันยายน แต่ก็ยังเหลือบั๊กมาถึงรอบปกติเดือนตุลาคม ข่าวร้ายคือแม้จะปล่อยแพตซ์ตามรอบออกมา ปัญหาก็ยังไม่หมด ทำให้บั๊กที่เหลือต้องรอรอบเดือนกุมภาพันธ์ปีหน้า
บั๊กที่ยังแก้ไม่หมดนี้เพิ่งพบในช่วงปลายเดือนกันยายนที่ผ่านมา โดยบริษัท Security Explorations ที่ออกมารายงานบั๊กรอบที่แล้ว โดยกระทบตั้งแต่ Java 5 ถึง Java 7 รวมผู้ใช้ที่ได้รับผลกระทบประมาณพันล้านคน
ทาง Adam Gowdiak นักวิจัยของ Security Explorations ระบุว่าในตอนนี้ที่เขารายงานบั๊กนี้ไปยังออราเคิลครั้งแรก ทางออราเคิลระบุว่ากำลังทดสอบแพตซ์ทั้งหมดในรอบเดือนตุลาคมเป็นช่วงสุดท้าย ทำให้ไม่สามารถแก้บั๊กนี้ได้ทัน
แต่ไม่ว่าอย่างไร ผู้ที่ต้องใช้จาวาในเครื่องทุกคนก็ควรอัพเดตไปยังแพตซ์ล่าสุดนะครับ มีช่องเดียวคงดีกว่ามี 30 ช่องโหว่
ที่มา - Computer World, Oracle
