#17 El uso de una version mas nueva de OpenJDK (ya sea en referencia a jdk8u121, jdk8u191 o 11.0.1) provee unicamente de una mitigacion parcial del problema. En muchas circunstancias, sigue siendo posible explotar la vulnerabilidad utilizando otras alternativas.
Esta vulnerabilidad debe considerarse critica independientemente de que version de OpenJDK se esta utilizando. La unica opcion para evitar el problema es actualizar Log4j2 a la ultiva version de 2.15 disponible (2.15rc2 en el momento de escribir este mensaje)
#48 una afirmación bastante atrevida. Veo tres formas de interpretar esto. O bien considerando que la mayoría de trabajos en informática son malos (y Java no es la excepción). O porque se desconoce el mercado laboral en el mundo de Java, o finalmente, porque se tiene una preferencia personal muy fuerte en contra del lenguaje. Pero ninguna de esas interpretaciones hacen que los trabajos en Java sean peores que otros
#23 completamente cierto, no me verás a mi negarlo. Pero últimamente en entrevistas de trabajo, donde la gente puede elegir que lenguaje utilizar, la mayor parte opta por otros lenguajes, Python principalmente. No es mayor problema porque la gente espabilada, si luego tiene que ponerse con Java lo hace rapido
#5 Sigue dandose programación en Java? Era mi impresión que a día de hoy sería mas común ver otros lenguajes tipo Python o Javascript. Pero bueno, ya han pasado años
#31 Esto que comentas no es totalmente cierto. La mayor parte de las implementaciones libres de la maquina virtual de java estan basadas en OpenJDK. OpenJDK es la maquina virtual que Sun libero poco antes de ser comprada por Oracle. Aunque al principio no incluia todos los componentes, en las ultimas versiones el JDK que ofrece Oracle es una build de OpenJDK. OpenJDK es GPLv2, por lo que incluso si el juicio hubiera ido a favor de Oracle, esto no habria afectado a OpenJDK (aunque quiza a otras implementaciones como OpenJ9). Igualmente, aunque Oracle no suministrase parches de seguridad, otra gente podria hacerlo (de la misma manera que a dia de hoy, Oracle distribuye parches de seguridad para OracleJDK8, pero para OpenJDK8 los parches de seguridad no necesariamente vienen de Oracle
#64 llevo seis años (aunque no todos en la división de AWS). He trabajado tanto en España como ahora en EEUU, y si bien no tenía queja en España, mi sensación es que en EEUU el trabajo es más light (aunque no creo que sea por horas o exigencias, creo que es subjetivo porque el trabajo que hago ahora es más interesante).
#23#27 Soy ingeniero de AWS. Sinceramente, no se de donde vienen estos comentarios. Llevo varios años aquí y nunca he tenido la impresión de que esto fuera un quema gente, y por lo que hablo con compañeros, ellos tampoco.
No trabajo más horas que las 8 diarias, las contadisimas ocasiones que he trabajado más porque había alguna historia me han dado días libres para compensar. He pasado por varios equipos (no porque las cosas estuvieran mal, sino porque quería probar otras cosas) y algunos de mis amigos más cercanos son ex-compañeros. Personalmente, si alguien me preguntase, le recomendaría encarecidamente el curro.
Esta vulnerabilidad debe considerarse critica independientemente de que version de OpenJDK se esta utilizando. La unica opcion para evitar el problema es actualizar Log4j2 a la ultiva version de 2.15 disponible (2.15rc2 en el momento de escribir este mensaje)