【 ここから本文 】
- TOP
- > Topics : システム脆弱性
- >
システム脆弱性
ソーシャルブックマークに登録 :
印刷用ページの表示
[米国]
サン、Javaのセキュリティ・アップデート方針を変更
「バージョンごとのアップデートは管理者にとって負担」との批判を受け
(2007年09月26日)
 |
| セキュリティ・アップデート情報が入手できるサンのセキュリティ・ブログ |
米国サン・マイクロシステムズは9月25日、Javaアプリケーション開発プラットフォーム「Java Platform, Standard Edition(Java SE) 」のセキュリティ・アップデートについて、事前通知を開始すると発表した。
また同社は、セキュリティ・パッチのリリース時期が、バージョンごとに異なっていることに対する批判にこたえ、今後はサポートしているすべてのJava SEのセキュリティ・アップデートを、同時に行う方針であることも明らかにした。
セキュリティ・アップデートの事前通知方法は、米国マイクロソフトや米国オラクルのように、設定されたスケジュールに沿うのではなく、電子メールや同社のセキュリティ・ブログで情報を公開するとしている。
サンで広報担当を務めるジャッキー・デコスター氏は、「今回のセキュリティ・アップデート方針の変更で 、システム管理者は一度にセキュリティ・パッチを当てられるようになり、作業負担が軽減される」とコメントしている。
米国イーアイ・デジタル・セキュリティでCTO(最高技術責任者)を務めるマーク・マイフレット氏は今年7月、デスクトップ向けJava技術の一部のバージョンで脆弱性が発見されてから、サンがセキュリティ・バッチをリリースするまで、何カ月もかかったことを痛烈に批判した。
マイフレット氏によると今年1月、同氏の務める会社が「Java Network Launching Protocol(JNLP)」に深刻な脆弱性を発見したという。しかし、サンがこの脆弱性を修正するパッチを開発者に提供したのは、サンが同脆弱性の修正をJavaコミュニティに公開する、わずか数週間前のことだった。
「このような対応の遅れにより、サンはJavaを利用している8億人のデスクトップ・ユーザーを危険にさらしたことになる」(マイフレット氏)
またサンは、「Java 2 Platform, Standard Edition(2SE)5.0」や「J2SE 1.4/1.3」といった旧バージョンのセキュリティ・アップデートも、最新バージョンと同時に行うことを明らかにした。
現在のところ旧バージョンのセキュリティ・アップデートは、最新バージョンのセキュリティ・アップデートの数週間、あるいは数カ月後となっている。ただし、J2SE 1.3のセキュリティ・アップデートがほかのバージョンと同時に行われるのは、2008年になってからだという。
なおデコスター氏は、小型デバイス向けの「Java ME(Micro Edition)」と、アプリケーション・サーバ向けの「Java EE(Enterprise Edition)」に関しては、ほかのバージョンと同時にセキュリティ・アップデートを行うかどうか明言していない。
(ロバート・マクミラン/IDG News Service サンフランシスコ支局)
- 米国サン・マイクロシステムズ
- http://www.sun.com/
[米国]サン、オープンソースのJava EE 5サーバ新版「GlassFish V2」をリリース
マイクロソフト製品との相互運用機能などを新たに搭載
[米国]サン、OpenJDK向けにJava互換性テストの新ライセンスを発表
オープンソースJavaの普及促進に期待
[米国]サン、機能を絞ったJREサブセット「Java Kernel」を来年初めにリリース
各種ランタイム機能は随時ダウンロード可能
[米国]サン、GPLでオープンソース化したJava開発キットをリリース
OpenJDKコミュニティを通じて提供
[世界]アパッチ、Java互換性検証キットのライセンスを巡りサンに抗議
ソフトウェアの知的財産権に制約を設けていると猛反発
