Diskrimierung von OpenJDK durch Heise?

[Florian Weimer]

* Volker Grabsch:

> Der Heise-Artikel differenziert in keiner Weise zwischen dem
> offiziellen Java (von Oracle) und unabhängigen Implementierungen
> wie OpenJDK.

"OpenJDK" ist nicht unabhängig, da Oracle die Markenrechte hält (nicht
daß das an sich ein Problem wäre, das Adjektiv ist schlicht
unangebracht).

> Das heißt, mir als OpenJDK-Nutzer wird erzählt, ich sollte Java
> deaktivieren, obwohl "nur" Oracle Mist gebaut hat - und nicht das
> OpenJDK-Team.

Oracle hat den Fehler in OpenJDK eingebaut und dann aus OpenJDK ins
proprietäre JDK übernommen.

> Habe ich etwas falsch verstanden, oder ist die Sicherheitslücke
> so fundamental, dass davon auch andere Implementierungen wie
> OpenJDK betroffen sind?

OpenJDK ist keine andere Implementierung. Im Vergleich zum Oracle-JDK
fehlen lediglich einige Komponenten, u.a. das Browser-Plugin.

Die Schwachstelle ist aber troztdem verhanden. Theoretisch kann man
z.B. auch JEE-Anwendungen mit einen Security-Manager laufen lassen,
der sich mit dieser Schwachstelle aushebeln läßt.