目前我已在 Scientific Linux 6.3 上安装了这些:
[root@localhost ~]# rpm -qa | egrep -i 'java|jre'
java-1.7.0-openjdk-1.7.0.9-2.3.7.1.el6_3.x86_64
java-1.6.0-openjdk-1.6.0.0-1.56.1.11.8.el6_3.x86_64
tzdata-java-2012j-1.el6.noarch
[root@localhost ~]#
我是否需要删除 then 才能免受最近的 Java 漏洞的影响? (如果我尝试删除 java-1.6.0-openjdk.. 那么它也想删除 libreoffice..)
或者这些漏洞只是与 java webbrowser 插件有关?
答案1
如果你参考了jdks的最新漏洞(2013年2月公开的),那就没有必要了。
只需在浏览器中禁用 java 插件即可。
答案2
是的,大多数漏洞都与网络浏览器插件有关。在大多数(所有?)情况下,您必须(主动)执行利用这些弱点的恶意 java 代码。
从攻击者的角度来看,最简单的方法是将该代码放入网络中并引诱您进入其中,以便您执行该代码。
一种更微妙的方法可能是将一些 Java 代码上传到您的应用程序中并让它执行该代码(通过利用其他弱点,例如代码注入)。
因此,如果您既没有运行的、可以执行代码的外部公开应用程序,也没有安装浏览器,那么您应该非常安全。