Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 22 reacties
Bron: Oracle, submitter: psteijns

JavaOracle heeft update 51 voor versie 7.0 van zowel de developmentkit als de runtime-environment van Java Standard Edition uitgebracht. Het gaat om een reguliere en geplande update, die een kleine 150 problemen moet verhelpen, waaronder 36 beveiligingsproblemen. Daarnaast is er een wijziging gemaakt in de werking van de tijd en datum. Meer informatie is op onze voorpagina te vinden, dit zijn de release notes:

New Features and Changes

Jarsigner updated to encourage timestamping

Timestamping for a signed jar is now strongly recommended. The Jarsigner tool will print out an informational warning at signing or verifying when timestamp is missing. For more information, see Signing JAR Files. See 8023338.

Changes to Security Slider:

The following changes to Security Slider were included in this release(7u51):

  • Block Self-Signed and Unsigned applets on High Security Setting
  • Require Permissions Attribute for High Security Setting
  • Warn users of missing Permissions Attributes for Medium Security Setting

For more information, see Java Control Panel documentation.

Prompt users to clear previously remembered decisions:

In JDK 7u51, users are given an option to restore the security prompts, for any prompts that were hidden prior to installing the latest release. For more information, see Install Documentation for Windows. It is recommended that users restore security prompts after every 30 days to ensure better protection.

Note: This option is offered only during Auto update on Mac OS.

Exception Site List:

The Exception Site List feature allows end users to run Java applets and Java Web Start applications that do not meet the latest security requirements. Rich Internet Applications that are hosted on a site in the exception site list are allowed to run with the applicable security prompts. For more information, see Exception Site List documentation.

Change in Default Socket Permissions

The default socket permissions assigned to all code including untrusted code have been changed in this release. Previously, all code was able to bind any socket type to any port number greater than or equal to 1024. It is still possible to bind sockets to the ephemeral port range on each system. The exact range of ephemeral ports varies from one operating system to another, but it is typically in the high range (such as from 49152 to 65535). The new restriction is that binding sockets outside of the ephemeral range now requires an explicit permission in the system security policy.

Most applications using client tcp sockets and a security manager will not see any problem, as these typically bind to ephemeral ports anyway. Applications using datagram sockets or server tcp sockets (and a security manager) may encounter security exceptions where none were seen before. If this occurs, users should review whether the port number being requested is expected, and if this is the case, a socket permission grant can be added to the local security policy, to resolve the issue. See 8011786 (not public).

Change in JAXP Xalan Extension Functions

In JDK 7u51, a change has been made in JAXP Xalan Extension functions to always use the default DOM implementation when Security Manager is present. This change affects the NodeSet created by DOM Document.

Before this change, the DOM implementation is located through the DOM factory lookup process. With this change, when security is enabled, the lookup process is skipped and the default DOM implementation is used.

This change will only affect those applications that use a 3rd party DOM implementation. In general, the NodeSet structure is expected to be compatible with that of the JDK default implementation.

Bug Fixes

This release contains fixes for security vulnerabilities. For more information, see Oracle Java SE Critical Patch Update Advisory.

For a list of bug fixes included in this release, see JDK 7u51 Bug Fixes page.

The following are some of the notable bug fixes in this release:

Area: tools/jar
Synopsis: Clarify jar verifications

The jarsigner tool prints out more messages when there are severe warnings and -strict is on. For details, see the jarsigner tool documentation (Windows)(Solaris/Linux). See 8024302 (not public).

Oracle Java screenshot

Moderatie-faq Wijzig weergave

Reacties (22)

Op 3 pc's hebben we software van de ING ge´nstalleerd. Deze begonnen vanmorgen met de mededeling dat de Java versie (7u45) verouderd was. Op 2 van die 3 heb ik 7u51 ge´nstalleerd en verdomd, de software werkt niet meer. Gelukkig hebben we dus nog 1 pc over met de oudere versie van Java, zodat we nog geld kunnen overmaken ...
(evt. kan ik de andere 2 pc's downgraden, maar eerst eens kijken wat de ING er op te zeggen heeft)
Rabo Telebankieren niet anders, daar schijnen betalingen niet meer ondertekend te kunnen worden voor verzending na de java update. Morgen maar eens kijken...
Systemen die nog werken met pasjes ter authenticatie hebben hier vaak problemen mee. Zij vereisen een specifiek versie(s) en vaak lopen die behoorlijk achter op de meest recente (of de op 1 na recentste versie). Aangezien betalingen doen nog best cruciaal is moet je het wat zorgvuldiger aanpakken (als in: zorg dat je terug kan naar de oude versie, installeer het op 1 machine en doe pas de rest als blijkt dat het op die ene machine zonder problemen werkt). Dat de allernieuwste versie wat problemen kan geven kan ik nog inkomen maar er is geen enkel excuus om nog hele oude versies te gaan ondersteunen. Dan mag je wel wat druk op de ketel zetten.
Hier hetzelfde met oracle - hier werkt het de-installeren en terugzetten van de oude versie.

Oude versie is te downloaden, hier: http://www.oldapps.com/java.php
Wij hadden ook te maken met een applicatie die niet meer werkte, het 'trust-level' verplaatsen naar medium lostte het op.
In JDK 7u51, users are given an option to restore the security prompts
(...)
Note: This option is offered only during Auto update on Mac OS.
Vreemd, toevallig een uurtje geleden deze update met de hand ge´nstalleerd op Windows 7 en ik kreeg die vraag ook.
Ja ik ook eerder vanmiddag. Tevens gaf de installer de waarschuwing dat een eventuele Java 6-installatie mogelijk verwijderd zou worden - maar dat bleek niet het geval te zijn, ook Java 6 staat nog op de machine.
Mag ik vragen waarom je nog java 6 draait op de machine, werkt iets niet meer met java 7 bij jou ?
Java verwijderd zichzelf slecht van een machine als een nieuwe versie wordt ge´nstalleerd. Er blijven vaak resten over van vorige versies. Meerdere versie-check-software vonden dat ook op mijn computers, zodat ik dus eerst Java helemaal verwijderd heb met Revo Uninstaller, zodat ook alle registerverwijzingen en resterende mappen verwijderd werden. Vervolgens 7 opnieuw installeren en dan heb je nergens meer last van.
Klopt java verwijderd zich idd niet helemaal nee, maar heb er zelf nog nooit problemen mee ondervonden door gewoon de nieuwe er over heen te gooien.
Maar als je 1 keer problemen heb met java heb je gelijk goeie problemen vaak.

Maar hier op me werk wel ze hebben hier ook een heel eigen systeem voor installatie en updates verspreiden, als er een java update is word eerst de oude helemaal verwijdert door dat programma.
Daarna herstart die windows en dan gaat die pas beginnen aan de nieuwe java installatie(Dit doen ze trouwens met de meeste programma's).
Dit gebeurt ook allemaal onder een apart account dus je word afgemeld , zo is het zeker dat je ook niks meer open heb staan waar door het dus fout kan gaan.
Ja, het geeft wel aan hoe 'nasty' dat Java eigenlijk is. Snap, buiten het cross-platform kunnen draaien van programma's, dan ook eigenlijk niet helemaal meer het nut van Java. Vanuit security en onderhoudstechnisch gebied gekeken is het gewoon een draak van een platform.
Thuis draai ik het niet eens en al me programms en website's werken gewoon, ik ben ook al blij met chrome automatisch nieuwe flash player niks aan te doen en het zelfde geld voor windows 8(.1) die komt ook met windows update mee.

Geen gedoe meer met deze plugins bij te houden.
Het is de plugin/ActiveX-component waar de meeste bugs in gevonden worden. Dat zegt niet zo veel over Java als geheel.
Geen flauw idee - we werken met diverse op maat gemaakte software binnen onze organisatie die ik zelf niet beheer. Slapende honden niet wakker maken...
"In JDK 7u51, users are given an option to restore the security prompts, for any prompts that were hidden prior to installing the latest release. For more information, see Install Documentation for Windows. It is recommended that users restore security prompts after every 30 days to ensure better protection.

Note: This option is offered only during Auto update on Mac OS."
Juist. Lees de Windows docs voor een functie die alleen op Mac OS werkt 8)7

Of lees ik te kort door de bocht en is dit alleen i.c.m. auto-update op Mac OS, en dus op andere systemen altijd te doen?
Kon vanmorgen gelijk de webcam aan de Exception Site List toevoegen in het Java Control Panel...

Die deed het gewoon echt niet meer.. Vorige Java versie gaf nog een waarschuwing en een 'weet- u-het-zeker' maar de 51 update deed het gewoon echt niet meer zonder de Exception List te vullen.
Klopt, de security settings verwachten nu dat alle jar files signed zijn mbv een code signing certificate. Buiten gesigneerde jar files starten lijkt het toevoegen van websites aan een uitzonderingslijst lijkt vooralsnog de enige oplossing te zijn voor de meeste gebruikers/toepassingen. Vooral veel oude java webapplicaties zijn niet gesigneerd en voor je het weet gaan mensen nu Java secrity settings omlaag schroeven in plaats van websites die ze vertrouwen aan die lijst toe te voegen.
Klopt.

Sommige websites werken nog WEL als je de security op Medium zit maar iets zegt mij dat deze optie er in ÚÚn van de volgende versies ook uitgesloopt wordt...
die een kleine 150 problemen moet verhelpen

Dat noem ik toch geen kleine problemen maar goed :P, maar ik wist dat deze er al aan kwam toevallig door me werk die al een email rond hadden gestuurd.
Er worden in deze een aantal problemen verholpen wat dus zeker aan te raden is hem te updaten.
Gewoon niet meer aanzetten in je browser. Van Firefox weet ik dat die dat standaard al blokkeert, zodat je nog wel lokaal de software kan draaien voor software die vaak cross-platform moet kunnen draaien (zoals bijv. Playstation Media Server).
Patcht deze update nou ALLE bekende problemen, of is het weer net zo halfbakken als de vorige keren? Waarbij dus wel een aantal gaten werd gedicht, maar andere kritieke gewoon nog een halfjaar open gelaten werden.

Maar inderdaad zou ik java gewoon helemaal verwijderen, tenzij je het per se nodig hebt. Een goede tool daarvoor is javara, die ook oudere installaties verwijdert.
*zucht* Waarom nou enkel een link naar de JRE's?

http://www.oracle.com/tec...vase/downloads/index.html

[Reactie gewijzigd door RoestVrijStaal op 15 januari 2014 21:55]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True