# Vorsicht, Java bug! [SOLVED]

## hds

checkt mal eure browser:

http://www.heise.de/newsticker/meldung/53582

bei mir unter konqueror sowie mozilla keine probleme mit blackdown java engine.

wer allerdings laenger kein update gemacht hat, sicherheitshalber mal austesten.Last edited by hds on Thu Dec 16, 2004 4:25 pm; edited 1 time in total

----------

## kip

also mein firefox mit der stable blackdown engine ist anfällig ... laut Heise ist erst das blackdown-1.4.2-01 jdk nicht mehr anfällig, und das ist noch garnicht im portage ...

----------

## Aldo

Mein Sun-JRE ist nicht anfällig.

Aber das aus dem Sun-JDK! (das aus dem portage)

----------

## hds

komisch, also ich nutze diese:

/opt/blackdown-jdk-1.4.1/bin/java

und beim heise test kommt das fenster es waere alles OK   :Shocked: 

hmm.. sicherheitshalber dennoch mal 1.4.2r1 emergen?

//nachtrag: habe auf 1.4.2 upgedated, und jetzt kommt "sie sind verwundbar"   :Laughing: 

naja, also mal auf die 1.4.2-01 warten...

----------

## Polynomial-C

Hi,

wer keine Lust hat, auf das offizielle blackdown-jdk update von Gentoo zu warten, kann sich hier einen ebuild für die gefixte Version runterladen:

ftp://polynomial-c.homelinux.net/pub/polynomial-c/gentoo/portage/

[edit]Gentoo hat das update veröffentlich, daher ziehe ich meinen ebuild zurück.[/edit]

Poly

----------

## hds

jo, mit dem gedanken hab ich auch gespielt - aber dazu muesste ich wissen wie das nexte release im portage heissen wird - somit kann ich das in mein /etc/portage dann schonmal injecten.

in meinem alter vergisst man das ansonsten nach ein paar tagen  :Wink: 

----------

## Polynomial-C

Hi,

 *hds wrote:*   

> aber dazu muesste ich wissen wie das nexte release im portage heissen wird - somit kann ich das in mein /etc/portage dann schonmal injecten. 

 

das kapiere ich jetzt nich ganz. Der ebuild hat die selbe Versionsnummer, wie der aktuellste testing ebuild im portage-tree. Bringt Gentoo einen neuen ebuild raus, wird der auf jeden Fall ne höhere Versionsnummer haben und somit auch installiert werden bei einem update...

Poly

----------

## hds

 *Polynomial-C wrote:*   

> Bringt Gentoo einen neuen ebuild raus, wird der auf jeden Fall ne höhere Versionsnummer haben
> 
> 

 

oder ein -rx

wie gesagt hatte ich vorhin 1.4.2 emerged, ware dann 1.4.2-r1?

----------

## Polynomial-C

Hi,

klar bekommt der neue ebuild auf jeden Fall mindestens ein -r1 drangehängt. Da der bug ja auch sicherheitsrelevant ist (bug #72221), wird durch den versionssprung auf jeden Fall sichergestellt, daß alle das update durch portage angezeigt bekommen.

Poly

----------

## hds

naja, wie gesagt.. die 1-2 tage warte ich halt. eigentlich besuche ich eh nie externe seiten mit java. auf anhieb zumindest faellt mir keine "wichtige" site ein, welche java nutzt.

ausser so'n joke krempel  :Wink: 

ps: soll jetzt nicht gegen java sein, nur fuer meinen bedarf isses halt so. ich kann also getrost erstmal java in meinen browsern disablen.

eigentlich nervt das eh, bis die engine dann geladen ist usw.. eigentlich hasse ich java beim surfen.

----------

## Polynomial-C

Hi,

es wird viel zu oft für Sachen benutzt, die auch anders realisierbar wären. Aber das ändert nichts dran, daß man es hin und wieder braucht. Außerdem fehlt bei mir im mozilla komischerweise die Option zum deaktivieren von Java in den Einstellungen, obwohl ich Java mit Mozilla benutzen kann - es also für mozilla vorhanden ist. Daher wollte ich auch gleich mein blackdown updaten.

Poly

----------

## hds

 *Polynomial-C wrote:*   

> Außerdem fehlt bei mir im mozilla komischerweise die Option zum deaktivieren von Java in den Einstellungen, obwohl ich Java mit Mozilla benutzen kann

 

du wirst lachen, aber das ist mir heute nachmittag auch aufgefallen ;(

ich bin mir auch zu 99% sicher, das dies mal ging!

ich dachte erst, es liegt daran das ich mozilla-bin emerged habe, aber ist ja auch quatsch - oder?

however, du kannst es in mozilla deaktivieren, indem du ihm das plugin unter dem hintern wechziehst <g>. also in /opt/mozilla/plugins. naja, ueber preferences faende ich das auch eleganter.. aber so gesehen musste man den link ja auch von hand anlegen. wohlmoeglich muss das also so?

nunja, weiss nicht welche GUI du benutzt, aber unter KDE der konqueror ist mittlerweile echt brauchbar. ich nutze mozilla eh nur zum testen meiner webpages. man will ja userfriendly sein  :Wink: 

----------

## Polynomial-C

Hi,

stimmt, das is ja als Plugin drin... ich bin die ganze Zeit davon ausgegangen, daß das fest im mozilla drin ist, weil mit java-useflag kompiliert.  :Rolling Eyes: 

Naja, jetzt hab' ich schon das neue blackdown installiert, nun laß ich java an  :Mr. Green: 

Hab' auch KDE installiert, aber ich bleibe dem Mozilla seit Version 0.9.6 treu.

Poly

----------

## hds

 *Polynomial-C wrote:*   

> 
> 
> Naja, jetzt hab' ich schon das neue blackdown installiert, nun laß ich java an 
> 
> 

 

ja, aber es waere schon toll, wenn man es wahlweise ein/ausschalten koennte   :Rolling Eyes: 

zumindest sowas wie:

"this site asks you to start a java application. agree <y/N>?"

ich mein, mit java ist ja da oefters mal was im busch.. zumindest unter WhimpDOS   :Laughing: 

bei meinem private https key fragt er mich das ja auch staendig, obwohl ich ihm sagte "accept forever". und das hatte ich sofar mit allen mozilla versions   :Shocked: 

----------

## gerix

java abschalten in mozilla 1.7.3 geht bei mir über:

bearbeiten - einstellungen - erweitert

----------

## hds

 *gerix wrote:*   

> java abschalten in mozilla 1.7.3 geht bei mir über:
> 
> bearbeiten - einstellungen - erweitert

 

cool, und weiter? welche funktion dann?

im englischen waere das wohl:

edit -> preferences -> advanced

wie gesagt - was dann?

ich fuer meine teil finde dort lediglich JavaScript. sollte das fuer dich das gleiche bedeuten - schnell zurueck in die noob ecke mit dir   :Laughing: 

ich sorge dann dafuer das dir 50 post abgezogen werden, von deinem konto   :Laughing: Last edited by hds on Wed Nov 24, 2004 8:17 pm; edited 1 time in total

----------

## gerix

hier kann ich dann  "java aktivieren" wählen - ja klar, hab ja auch compiliert!!

muss dann wohl daran liegen!

----------

## hds

 *gerix wrote:*   

> hier kann ich dann  "java aktivieren" wählen - ja klar, hab ja auch compiliert!!
> 
> muss dann wohl daran liegen!

 

wirklich "java" oder "JavaScript" ?

----------

## gerix

hey, "java" nicht "javascript" (der unterschied ist mir schon bewusst).

der würfel auf der heise browsercheckseite unter "java" (nicht javascript) ist dann auch weg.

(wenn das als beweis nicht reicht, gucke ich mir gerne eine andere seite für dich an)

----------

## hds

 *gerix wrote:*   

> 
> 
> der würfel auf der heise browsercheckseite unter "java" (nicht javascript) ist dann auch weg.
> 
> 

 

hae? dann hast du garkein java im browser.

sorry, aber troll elsewhere ;(

----------

## gerix

ja, der würfel is weg wenn ich den haken bei "java aktivieren" rausnehme!

dann is nämlich java deaktiviert (nicht javascript!!!!!!!!).

ausserdem steht in der HILFE von mozilla, wie man java und javascript abschaltet -

aber du bist wahrscheinlich viel zu sehr von dir überzeugt um dahin zu klicken und zu suchen.

----------

## hds

>ja, der würfel is weg wenn ich den haken bei "java

> aktivieren" rausnehme!

ok - sprich - du hast garkein java mehr. (ja, ich wiederhole mich)

>dann is nämlich java deaktiviert

ja, habe ich doch gesagt?

> (nicht javascript!!!!!!!!).

habe ich auch gesagt, goenne dir weniger von diesen "!!" und nehme mehr von diesen pillen, die dein arzt dir verschrieben hat   :Razz: 

und bleib mal locker, ey   :Razz: 

---

mann mann mann, immer des abends diese Xcesse, wenn die deutschen zuviel bier hatten!

bleibt doch die frage:

hast du java On/Off?

kannst du wohlmoeglich sogar die java engine deinem mozilla mitteilen?

ich tippe mal auf "nein"

----------

## Polynomial-C

Hi,

muß mich hier nochmal einklinken...

Also ich hab' nochmal genau geschaut und bei meinem Mozilla ist Java ebenfalls in "Bearbeiten" -> "Einstellungen" -> "Erweitert" abschaltbar  :Rolling Eyes: . Wobei mich das jetzt etwas verwirrt hat... ich habe diese Option bisher immer in "Bearbeiten" -> "Einstellungen" -> "Erweitert" -> "Skripte & Plugins" vermutet. Das ist aber wahrscheinlich nur dann der Fall, wenn man Java als Plugin herunterläd und einbindet.

@ hds: Kannst du mal bitte schauen, ob diese Option bei dir ebenfalls vorhanden ist? Ich könnte fast drum wetten, daß sie da ist  :Smile: 

[edit]Bin ja mal gespannt, wann der erste meckert, der Thread sei offtopic²  :Mr. Green: [/edit]

Poly

----------

## finr

Hmmm...

```
rainer@voyager rainer $ emerge -s blackdown-jdk

Searching...

[ Results for search key : blackdown-jdk ]

[ Applications found : 1 ]

a*  dev-java/blackdown-jdk

      Latest version available: 1.4.2.01

      Latest version installed: 1.4.2.01

      Size of downloaded files: 73,189 kB

      Homepage:    http://www.blackdown.org

      Description: Blackdown Java Development Kit

      License:     sun-bcla-java-vm

rainer@voyager rainer $ java -version

java version "1.4.2-01"

Java(TM) 2 Runtime Environment, Standard Edition (build Blackdown-1.4.2-01)

Java HotSpot(TM) Client VM (build Blackdown-1.4.2-01, mixed mode)
```

Und trotzdem kommt dass ich verwundbar bin?! Browser ist der konqueror...

----------

## Polynomial-C

Hi,

 *finr wrote:*   

> Und trotzdem kommt dass ich verwundbar bin?! Browser ist der konqueror...

 

ja, hab' das eben auch ausprobiert. Mit mozilla bin ich nicht verwundbar, jedoch mit konqueror. Komische Sache...

Poly

----------

## hds

 *Polynomial-C wrote:*   

> 
> 
> ja, hab' das eben auch ausprobiert. Mit mozilla bin ich nicht verwundbar, jedoch mit konqueror. 

 

dito. firefox OK, konqueror verwundbar   :Shocked: 

moeglicherweise hatder heise test noch ne kleine macke?

----------

## hoschi

bei mir ist das ganz einfach:o

ich brauche einfach kein java!

kein java-support im gcc, und ein useflag "-java" sorgen für "zurücklehnfaktor"

seit meine bank das onlinebanking auf html umgestellt hat, tja, öhmmm, wozu ?

----------

## hds

tach.

ist ja einige zeit verstrichen, aber immer noch keine loesung in sicht?   :Shocked: 

----------

## Polynomial-C

Hi hds,

gugg mal hier, es gibt schon einen bugreport (#72750) dafür:

kde-base/kdebase Konqueror Java vulnerabilities

Poly

----------

## hds

naja, ne loesung waere mir lieber. hinterlaesst halt ein ungutes gefuehl.. man fuehlt sich beim surfen immer so unbekleidet  :Laughing: 

hmm.. vor allem ist es ja wirklich unlogisch, wenn konqueror verwundbar ist, und firefox nicht. und, ja, auch ich hatte natuerlich den pfad angepasst. wollte schon auf SUN umstellen, aber wie ich jetzt im bugreport las (thx fuer den link) gibt es dort ja das gleiche problem    :Shocked: 

@hoschi: java braucht man nicht ausschliesslich zum browsen. schau dir z.B. mal Project-X an. ferner gibt es nicht nur private environments, sondern gentoo wird auch in firmen eingesetzt, wo die leute java seiten besuchen MUESSEN. also bitte nicht immer alles so pauschalisieren   :Evil or Very Mad: 

----------

## hoschi

ich pauschalisiere das auf mich  :Very Happy: 

----------

## hds

 *hoschi wrote:*   

> ich pauschalisiere das auf mich 

 

deine meinung mag sich schlagartig aendern, sofern du mal von DVB einen TS aufzeichnen moechtest  :Wink: 

----------

## hoschi

siehst du, ich weiß nicht mal wozu ich das brauchen sollte  :Very Happy: 

----------

## Aldo

Ohne Java läuft hier kein SAP-Logon/SAP-Gui.

Nicht daß ich gerne damit arbeite, aber nunja...

----------

## hds

 *Aldo wrote:*   

> 
> 
> Nicht daß ich gerne damit arbeite

 

genau das was ich sagen wollte, danke. man muss es unter umstaenden nutzen muessen.

oder (lasst euch nicht verarschen mode on) die coolen handy games by jamba! waehle 0190-irgendwas fuer huhn auf schaaf

 :Laughing:   :Laughing:   :Laughing: 

----------

## hoschi

so was nennt man neudeutsch "zwickmühle"  :Very Happy: 

----------

## hds

 *Polynomial-C wrote:*   

> Hi hds,
> 
> gugg mal hier, es gibt schon einen bugreport (#72750) dafür:
> 
> kde-base/kdebase Konqueror Java vulnerabilities
> ...

 

du wirst lachen, aber das funktioniert jetzt. sprich: heise test meckert bei konqui nicht mehr rum.

frag mich nicht, ob das nun am KDE update lag (blackdown hatte ich seither nicht mehr upgedated), oder am heise test.

ps: kde 3.3.2r1

----------

## Inte

 *hds wrote:*   

> (lasst euch nicht verarschen mode on) die coolen handy games by jamba! waehle 0190-irgendwas fuer huhn auf schaaf   

 Apropos Jamba http://spreeblick.de/wp/index.php?p=324  :Wink: 

----------

## hds

interessante hintergrundinfos, das mit alando wusste ich nicht. aber jamba.de isses ja nicht alleine. die gleiche tv werbung laeuft auch in skandinavien usw.. natuerlich dort in einer mir unverstaendlichen sprache  :Laughing: 

also, wer sich gerne abzocken laesst.. nen vorwurf kann ich den jungs eigentlich nicht machen. eher den eltern der dummen zahlenden kids   :Shocked: 

achne, auch die kids sind ja nicht dumm, denn das zahlen ja die eltern. also sind die eltern die dummen  :Laughing: 

fuer die schlauen kids hat der liebe EDV gott so kabel erschaffen, damit kann man dann seine eigene musik auf sein handy packen.  :Wink: 

----------

