甲骨文稱,考慮到零日漏洞補丁的增加,所以有必要重新編號。
甲骨文改變瞭Java安全更新的號碼排列。如一位專傢所言:“好像Java更新還不夠復雜一樣。”
上周Oracle 支持文檔就發佈瞭這次的改變通知。
“Limited Update的發佈將以20的倍數編號,”該文檔說。“我們打算讓Critical Patch Update繼續使用奇數。在原有Limited Update基礎上加上5的倍數,就可以計算出這些數字。如果有必要,還需要加一個數使其成奇數形式。”
Limited Update隻是添加新特性,但是沒有安全補丁;Critical Patch Update則包含瞭補丁。
甲骨文稱,之所以需要改變是因為是被迫發佈補丁以便在公司發現漏洞前,就撤銷黑客已經利用的漏洞,因為修補漏洞的機會比較小。
“對於最近發佈的安全補丁,我們已經跳過一些數字,而且要重新編號,”甲骨文說。“為瞭避免重新編號給人們帶來的迷惑,我們要使用新的編號計劃。”
所發佈編號之間的間隔足以讓甲骨文插入新的號碼。
從2012年秋季開始,甲骨文就已經發佈瞭大量OOB(out-of-brand)安全更新,安全專傢們也正是因為這些更新而開始質疑甲骨文要鎖住Java的承諾。
上個月,甲骨文宣稱會延遲下一個主要Java更新的發佈——Java 8——所以它可能要從工程師轉為給此軟件的安全提供支持。
在OOB補丁出現錢,甲骨文就嚴格遵守每年更新三次Critical Patches Update的計劃,其編號通常都是奇數。但是甲骨文今年早些時候沒有按計劃更新Critical Patches Update。
新的編號計劃保留瞭奇偶的安排,但是甲骨文的解釋足以讓Andrew Storm頭疼,周二,安全營運總監在Tripwire的nCircle Security上發推文稱“就好像Java還不還不夠令人迷惑一樣,”並隨後發瞭前文所提支持文檔的鏈接。
Java的編號計劃向來以復雜聞名,比如,“7u21”或“6u45”以及其他名稱,如“JDK”,“JRE”和“Java SE”。
在采訪中,Storms就此改變做瞭解釋,他說:“他們必須在代碼中保留特定數字,這是出於兼容性的考慮。”
甲骨文稱編號更改是一種妥協,但是目前在醞釀一種更為持久性的方案。
甲骨文稱:“另一種更好的方法需要改變JDK的版本形式才能容納多種類型的更新發佈。為瞭避免對現有代碼出現不兼容的情況,以後會在主要的Java發佈中部署版本字符串格式的更改,而且也需要足夠的時間讓軟件開發員做好準備。”
Storms稱,雖然最近的改變需要程序員來操作,但IT管理人員也要意識到這種改變,終端用戶可能會忽略這一點。“程序員必須要知道,”他說,“但是終端用戶隻需要自動更新。”
“從某一點來說,如果編號以更易理解的形式出現該是多好的事情。”Storms補充道。
Orignal From: 甲骨文公司為Java補丁更新重新編號
留言列表
