Diskrimierung von OpenJDK durch Heise?
Florian Weimer
fw at deneb.enyo.de
So Jan 20 20:37:15 UTC 2013
* Volker Grabsch:
> Der Heise-Artikel differenziert in keiner Weise zwischen dem
> offiziellen Java (von Oracle) und unabhängigen Implementierungen
> wie OpenJDK.
"OpenJDK" ist nicht unabhängig, da Oracle die Markenrechte hält (nicht
daß das an sich ein Problem wäre, das Adjektiv ist schlicht
unangebracht).
> Das heißt, mir als OpenJDK-Nutzer wird erzählt, ich sollte Java
> deaktivieren, obwohl "nur" Oracle Mist gebaut hat - und nicht das
> OpenJDK-Team.
Oracle hat den Fehler in OpenJDK eingebaut und dann aus OpenJDK ins
proprietäre JDK übernommen.
> Habe ich etwas falsch verstanden, oder ist die Sicherheitslücke
> so fundamental, dass davon auch andere Implementierungen wie
> OpenJDK betroffen sind?
OpenJDK ist keine andere Implementierung. Im Vergleich zum Oracle-JDK
fehlen lediglich einige Komponenten, u.a. das Browser-Plugin.
Die Schwachstelle ist aber troztdem verhanden. Theoretisch kann man
z.B. auch JEE-Anwendungen mit einen Security-Manager laufen lassen,
der sich mit dieser Schwachstelle aushebeln läßt.
Mehr Informationen über die Mailingliste FSFE-de