甲骨文稱�,考慮到零日漏洞補(bǔ)丁的增加�,所以有必要重新編號(hào)。
甲骨文改變了Java安全更新的號(hào)碼排列��。如一位專家所言:“好像Java更新還不夠復(fù)雜一樣����。”
上周Oracle 支持文檔就發(fā)布了這次的改變通知。
“Limited Update的發(fā)布將以20的倍數(shù)編號(hào)�����,”該文檔說(shuō)���。“我們打算讓Critical Patch Update繼續(xù)使用奇數(shù)��。在原有Limited Update基礎(chǔ)上加上5的倍數(shù)�����,就可以計(jì)算出這些數(shù)字���。如果有必要��,還需要加一個(gè)數(shù)使其成奇數(shù)形式�����。”
Limited Update只是添加新特性����,但是沒(méi)有安全補(bǔ)丁;Critical Patch Update則包含了補(bǔ)丁����。
甲骨文稱,之所以需要改變是因?yàn)槭潜黄劝l(fā)布補(bǔ)丁以便在公司發(fā)現(xiàn)漏洞前����,就撤銷黑客已經(jīng)利用的漏洞����,因?yàn)樾扪a(bǔ)漏洞的機(jī)會(huì)比較小。
“對(duì)于最近發(fā)布的安全補(bǔ)丁����,我們已經(jīng)跳過(guò)一些數(shù)字,而且要重新編號(hào)�����,”甲骨文說(shuō)。“為了避免重新編號(hào)給人們帶來(lái)的迷惑�����,我們要使用新的編號(hào)計(jì)劃����。”
所發(fā)布編號(hào)之間的間隔足以讓甲骨文插入新的號(hào)碼。
從2012年秋季開始���,甲骨文就已經(jīng)發(fā)布了大量OOB(out-of-brand)安全更新�,安全專家們也正是因?yàn)檫@些更新而開始質(zhì)疑甲骨文要鎖住Java的承諾����。
上個(gè)月,甲骨文宣稱會(huì)延遲下一個(gè)主要Java更新的發(fā)布——Java 8——所以它可能要從工程師轉(zhuǎn)為給此軟件的安全提供支持�。
在OOB補(bǔ)丁出現(xiàn)錢,甲骨文就嚴(yán)格遵守每年更新三次Critical Patches Update的計(jì)劃�����,其編號(hào)通常都是奇數(shù)����。但是甲骨文今年早些時(shí)候沒(méi)有按計(jì)劃更新Critical Patches Update�����。
新的編號(hào)計(jì)劃保留了奇偶的安排����,但是甲骨文的解釋足以讓Andrew Storm頭疼�,周二,安全營(yíng)運(yùn)總監(jiān)在Tripwire的nCircle Security上發(fā)推文稱“就好像Java還不還不夠令人迷惑一樣����,”并隨后發(fā)了前文所提支持文檔的鏈接。
Java的編號(hào)計(jì)劃向來(lái)以復(fù)雜聞名����,比如��,“7u21”或“6u45”以及其他名稱�,如“JDK”,“JRE”和“Java SE”�。
在采訪中,Storms就此改變做了解釋�,他說(shuō):“他們必須在代碼中保留特定數(shù)字�����,這是出于兼容性的考慮��。”
甲骨文稱編號(hào)更改是一種妥協(xié)���,但是目前在醞釀一種更為持久性的方案。
甲骨文稱:“另一種更好的方法需要改變JDK的版本形式才能容納多種類型的更新發(fā)布��。為了避免對(duì)現(xiàn)有代碼出現(xiàn)不兼容的情況���,以后會(huì)在主要的Java發(fā)布中部署版本字符串格式的更改��,而且也需要足夠的時(shí)間讓軟件開發(fā)員做好準(zhǔn)備����。”
Storms稱�����,雖然最近的改變需要程序員來(lái)操作�����,但I(xiàn)T管理人員也要意識(shí)到這種改變,終端用戶可能會(huì)忽略這一點(diǎn)�。“程序員必須要知道,”他說(shuō)����,“但是終端用戶只需要自動(dòng)更新。”
“從某一點(diǎn)來(lái)說(shuō)�,如果編號(hào)以更易理解的形式出現(xiàn)該是多好的事情。”Storms補(bǔ)充道����。
