現在、Scientific Linux 6.3には以下がインストールされています。
[root@localhost ~]# rpm -qa | egrep -i 'java|jre'
java-1.7.0-openjdk-1.7.0.9-2.3.7.1.el6_3.x86_64
java-1.6.0-openjdk-1.6.0.0-1.56.1.11.8.el6_3.x86_64
tzdata-java-2012j-1.el6.noarch
[root@localhost ~]#
最近のJavaの脆弱性から保護するために削除する必要がありますか? (java-1.6.0-openjdkを削除しようとすると、libreofficeも削除しようとしています。)
または、これらの脆弱性はJava Webブラウザプラグインとのみ関連していますか?
答え1
jdksの最新の脆弱性(2013年2月公開)を参照しているなら、それは必要ありません。
ブラウザでJavaプラグインを無効にするだけです。
答え2
はい、ほとんどの脆弱性はWebブラウザプラグインに関連しています。ほとんどの場合(すべて?)これらの弱点を悪用する悪意のあるJavaコードを(積極的に)実行する必要があります。
攻撃者の観点から見ると、最も簡単な方法は、そのコードをネットワークに配置し、ユーザーをネットワークに誘導してコードを実行できるようにすることです。
より微妙なアプローチは、いくつかのJavaコードをアプリケーションにアップロードし、コードを実行することです(コード挿入などの他の弱点を利用して)。
したがって、コードを実行できる外部に公開されているアプリケーションが実行されていないか、ブラウザがインストールされていない場合はかなり安全です。