web-dev-qa-db-ja.com

JInitiatorは時代遅れであり、セキュリティ上の理由で拒否する必要がありますよね?

OracleのJInitiator( http://www.Oracle.com/technetwork/testcontent/jinit-084453)の大規模な(200以上のユーザー)ロールアウトを許可しないことについて、開発者から多くの反論と抵抗を受けています。 .html )は、Oracle Formsクライアントの代替として使用します。 JInitiatorは、Javaブラウザプラグインの初期バージョンのバグを回避するためにOracleによって公開された古いJREバージョンです。2008年にサポートを終了し、使用しないようにアドバイスしています。

デスクトップ上のJREにパッチを適用し続けると、現在JRE/binフォルダーにある必要なdllが吹き飛ばされるため、毎回ビジネスが中断されます。この問題を解決する準備が整っています。別のフォルダにDLLをドロップするようにOracleフォームサーバーを構成できます。

JInitiatorに関する私の考えを確認したかったのです。これは、Javaブラウザプラグインの古いバージョンであり、おそらく現在のJavaブラウザプラグインと同じ欠陥の多くを持っています) 。CVEが存在しないからといって、安全であるとは限りません。同じ注意が払われた場合、Javaプラグインが立ち上がっているため、立ち上がらないでしょう。

あなたが私をバックアップするかどうかにかかわらず、あなたの注意をありがとう。

web-browserjavaoracle
4
mcgyver5

JInitiator はSun(現在のOracle)JVM実装に基づいているため、すべての単一の脆弱性が2008年より前(最後のJInitiatorバージョンが作成されたとき)のSun/Oracle JVMですが、後で発見されたのはJInitiatorのみです。 CVEの欠如は、CVEを満たしている人々の無関心からのみ生じます(5年前に廃止された製品のセキュリティ欠陥を指摘することに栄光はありません)。

一部の脆弱性は目新しさであることに注意してください。 このページ で説明されているものは、Java 7-で導入された機能を使用します-JInitiatorでは機能しません。 このリスト :2008年以降に発見されたがJRE 1.3以降に影響を与える脆弱性は、JInitiatorにも影響を与える可能性が高くなります。oneJInitiatorをできるだけ早く展開するべきであるという説得力のあるケースを持つようにエクスプロイトデモを実施しています。

5
Tom Leek

アップデート(2015年6月):

  • Oracle Forms 11g(最新バージョン)は、Java 7(または1.7;命名規則がJava!)最新のJava 8も同様です。OracleForms 11gアプリケーションがこれらの両方のバージョンで動作し、JREクライアント側での微調整が不要であることを確認できます。

  • Oracle Forms 10g(現在はサポートされていません)は、Java 7および8の両方で動作するように作成できます。これは、Oracle Forms 10gを使用する必要があるサイトの場合(レガシーシステム、アップグレードパスが遅い、など)、少なくとも最新のJREクライアントを使用していることを確認できます。

ただし、新しいJavaクライアントとの互換性を実現するための手順は非常に残忍です。JREクライアントのベンダー情報を上書きする必要があります(それ以外の場合は、 Jinitiatorの古いバージョン)、アプリケーションが使用するすべてのJARを更新して、署名付きJARの現在の要件に合わせます。これには、Oracle iAS 10g Webサーバー(Oracle Formsの実行に使用されるプラットフォーム)の一部であるOracle JARが含まれます。 10g)。

JREクライアントのベンダー情報を上書きするために必要な手順は、このStack Overflow応答で説明されています。 https://stackoverflow.com/a/24140005/2335347

JARを更新するには、既存のOracle署名を削除し、マニフェストを更新してから、JARを独自のコード署名証明書で再署名する必要があります。問題なく動作するコモド製のものを使用しています。

やるべきことはたくさんありますが、一度完了すると、レガシーOracle Forms 10gシステムは最新のJREクライアントで正常に動作し、エンドユーザーにセキュリティ警告は表示されません。

3
Keith Greenberg

はい、@ Tom Leek氏が言ったように、JInitiatorから移行します。これは、代替手段よりも悪く、古いjreエクスプロイトがそれに対して機能するはずです。

しかし:

ニュースはここからさらに悪化します。

Oracle Formsは1.6 JREでの実行についてのみ認定されており、現在更新を取得していません。

また、JRE 1.7の更新によって1.6のインストールが無効になる場合があります(Oracleからの現在のアドバイスは、管理されていないウィンドウでJava)の自動更新をオフにすることです)。

したがって、あなたはうさぎの穴を掘り下げたところであり、JavaとOracle Formsの開発者は矛盾した決定をしています(もちろん、両方ともOracle Corpです)。

私の世界へようこそ。

1
Andrew Russell