甲骨文稱�,考慮到零日漏洞補丁的增加��,所以有必要重新編號�。
甲骨文改變了Java安全更新的號碼排列。如一位專家所言:“好像Java更新還不夠復(fù)雜一樣��。”
上周Oracle 支持文檔就發(fā)布了這次的改變通知�。
“Limited Update的發(fā)布將以20的倍數(shù)編號����,”該文檔說�����。“我們打算讓Critical Patch Update繼續(xù)使用奇數(shù)����。在原有Limited Update基礎(chǔ)上加上5的倍數(shù)��,就可以計算出這些數(shù)字�����。如果有必要��,還需要加一個數(shù)使其成奇數(shù)形式����。”
Limited Update只是添加新特性,但是沒有安全補丁;Critical Patch Update則包含了補丁��。
甲骨文稱�,之所以需要改變是因為是被迫發(fā)布補丁以便在公司發(fā)現(xiàn)漏洞前�,就撤銷黑客已經(jīng)利用的漏洞����,因為修補漏洞的機會比較小。
“對于最近發(fā)布的安全補丁�,我們已經(jīng)跳過一些數(shù)字,而且要重新編號�,”甲骨文說。“為了避免重新編號給人們帶來的迷惑�,我們要使用新的編號計劃。”
所發(fā)布編號之間的間隔足以讓甲骨文插入新的號碼�。
從2012年秋季開始,甲骨文就已經(jīng)發(fā)布了大量OOB(out-of-brand)安全更新�����,安全專家們也正是因為這些更新而開始質(zhì)疑甲骨文要鎖住Java的承諾��。
上個月�,甲骨文宣稱會延遲下一個主要Java更新的發(fā)布——Java 8——所以它可能要從工程師轉(zhuǎn)為給此軟件的安全提供支持。
在OOB補丁出現(xiàn)錢���,甲骨文就嚴格遵守每年更新三次Critical Patches Update的計劃��,其編號通常都是奇數(shù)���。但是甲骨文今年早些時候沒有按計劃更新Critical Patches Update�����。
新的編號計劃保留了奇偶的安排�����,但是甲骨文的解釋足以讓Andrew Storm頭疼,周二���,安全營運總監(jiān)在Tripwire的nCircle Security上發(fā)推文稱“就好像Java還不還不夠令人迷惑一樣,”并隨后發(fā)了前文所提支持文檔的鏈接�。
Java的編號計劃向來以復(fù)雜聞名,比如����,“7u21”或“6u45”以及其他名稱,如“JDK”��,“JRE”和“Java SE”。
在采訪中����,Storms就此改變做了解釋,他說:“他們必須在代碼中保留特定數(shù)字�,這是出于兼容性的考慮。”
甲骨文稱編號更改是一種妥協(xié)����,但是目前在醞釀一種更為持久性的方案。
甲骨文稱:“另一種更好的方法需要改變JDK的版本形式才能容納多種類型的更新發(fā)布�����。為了避免對現(xiàn)有代碼出現(xiàn)不兼容的情況���,以后會在主要的Java發(fā)布中部署版本字符串格式的更改�����,而且也需要足夠的時間讓軟件開發(fā)員做好準(zhǔn)備���。”
Storms稱���,雖然最近的改變需要程序員來操作,但IT管理人員也要意識到這種改變��,終端用戶可能會忽略這一點��。“程序員必須要知道�����,”他說���,“但是終端用戶只需要自動更新。”
“從某一點來說��,如果編號以更易理解的形式出現(xiàn)該是多好的事情��。”Storms補充道��。
