ออราเคิลฟ้องบริษัทให้บริการซัพพอร์ตระบบปฎิบัติการ Solaris สองบริษัทคือ Terix และ Maintech ฐานให้บริการอัพเดตกับลูกค้าอย่างผิดกฎหมาย โดยออราเคิลอ้างว่าทั้งสองบริษัทใช้บัญชีของบริษัทเองเข้าไปดาวน์โหลดอัพเดตให้กับลูกค้า ทำให้ลูกค้าไม่ต้องซื้อบริการซัพพอร์ตรายปีจากออราเคิลโดยตรง

Terix ปฎิเสธข้อกล่าวหาของออราเคิล โดยระบุว่าลูกค้าของ Terix นั้นมีบัญชีผู้ใช้ในระบบของออราเคิลและมีสัญญาการซัพพอร์ตอยู่แล้ว ทาง Terix เข้าไปดาวน์โหลดอัพเดตออกมาให้เพื่อประโยชน์ของลูกค้าเท่านั้น ส่วนทาง Maintech ยังไม่ออกมาตอบโต้ใดๆ

สถาปัตยกรรมซีพียู ARMv8 แบบ 64 บิตกำลังใกล้เป็นจริงขึ้นเรื่อยๆ และลูกค้าหลักของซีพียูกลุ่มนี้ย่อมหนีไม่พ้นตลาดเซิร์ฟเวอร์องค์กรประหยัดพลังงาน (micro server) ซึ่งก็ใกล้เคียงกับกลุ่มลูกค้าสาย Java เดิม

ออราเคิลในฐานะเจ้าของ Java จึงเป็นเสือปืนไว ประกาศปรับปรุงประสิทธิภาพของ Java SE ให้ทำงานกับสถาปัตยกรรม ARM มากขึ้น (ทั้งรุ่น 32 และ 64 บิต)

ตามข้อตกลงนี้ ออราเคิลกับ ARM จะร่วมกันปรับปรุง Java ทั้งเรื่องประสิทธิภาพ การประหยัดพลังงาน และความเข้ากันได้ของไลบรารีต่างๆ โดยเน้นไปที่ลูกค้ากลุ่มองค์กรและตลาดฝังตัวเป็นหลัก

ที่มา - ARM

นักวิจัยด้านความปลอดภัยจากบริษัท Security Explorations ค้นพบช่องโหว่ใหม่ของ Java 7 (มีผลกระทบกับ Java SE 7 Update 25 ซึ่งเป็นตัวล่าสุดด้วย)

ปัญหาอยู่ที่ส่วนของ Reflection API ซึ่งเป็นฟีเจอร์ที่เพิ่มเข้ามาใน Java 7 แต่กลับเป็นต้นเหตุของรูโหว่ใน Java เป็นจำนวนมาก ช่องโหว่นี้เป็นเรื่องของ data type ที่ต่างกันระหว่าง integer/pointer ซึ่ง Security Explorations บอกว่าเปิดให้ถูกโจมตีแบบง่ายๆ ซึ่งไม่ควรเกิดขึ้นแล้วในยุคนี้

Security Explorations จึงตั้งคำถามกับกระบวนการด้านตรวจสอบความปลอดภัยของออราเคิลว่ามีประสิทธิภาพมากเพียงใด เพราะปัญหารูโหว่ใน Java ช่วงหลังมาจากโค้ดใหม่ๆ ที่เพิ่มเข้ามาในเวอร์ชันหลังๆ นั่นเอง

ออราเคิลซื้อซันไปเมื่อปี 2009 และนำผลิตภัณฑ์ของซันมาใช้ต่ออีกหลายตัว อย่างไรก็ตามล่าสุดออราเคิลประกาศหยุดพัฒนาฮาร์ดแวร์-ซอฟต์แวร์เดิมของซันดังนี้

• Oracle Virtual Desktop Infrastructure Software
• Oracle Virtual Desktop Client (OVDC) Software
• Oracle Sun Ray Software (SRS)
• Oracle Sun Ray Client Hardware

เหตุผลที่ออราเคิลเลิกทำซอฟต์แวร์กลุ่ม VDI ของซันคงเป็นเพราะซ้ำซ้อนกับ Oracle Secure Global Desktop ที่เป็น VDI แบบรันผ่านเซิร์ฟเวอร์เหมือนกัน ส่วนซอฟต์แวร์ desktop virtualization ของซันอย่าง VirtualBox นั้นยังพัฒนาต่อไปเหมือนเดิม

ออราเคิลเปิดตัวเซิร์ฟเวอร์ฐานข้อมูลสำหรับการประมวลผลในหน่วยความจำ Oracle Exalytics In-Memory Machine X3-4 สำหรับการประมวลข้อมูลธุรกิจขนาดใหญ่ในหน่วยความจำโดยตรง

Exalytics X3-4 เป็นเซิร์ฟเวอร์ Xeon E7-4800 สูงสุด 40 คอร์, แรม 2TB, SSD ขนาด 2.4TB, และฮาร์ดดิสก์ 5.4TB ตัวเครื่องมาพร้อมกับ Oracle BI และ Oracle TimesTen

ราคาตั้งแต่ 200,000 ดอลลาร์ไปจนถึง 1,600,000 ดอลลาร์ ขึ้นกับคอนฟิก คงเหมาะกับการวิเคราะห์ข้อมูลขนาดใหญ่ที่ต้องการความเร็วสูงๆ

ที่มา - eWeek

ในขณะที่ Steve Ballmer ให้สัมภาษณ์กับ BusinessWeek เรื่องการปรับโครงสร้างองค์กรนั้น มีประเด็นที่น่าสนใจ ดังนี้

ออราเคิลประกาศเปลี่ยนสัญญาอนุญาตระบบฐานข้อมูล Berkeley DB ในรุ่น 6.0 เป็นต้นไป เป็น AGPL แทนที่ไลเซนส์แบบ Sleepycat เดิม

AGPL เป็นสัญญาอนุญาตที่ "แน่น" กว่า GPL ปกติค่อนข้างมาก เงื่อนไขสำคัญที่เพิ่มขึ้นคือการปรับปรุงโค้ดแม้ไม่ได้ส่งซอฟต์แวร์ให้ลูกค้าแต่ให้บริการแบบออนไลน์ก็ต้องเปิดซอร์สโค้ดที่แก้ไขไปด้วยเช่นกัน มันถูกออกแบบมาเพื่อบีบให้ผู้ให้บริการออนไลน์ที่ต้องการใช้งานซอฟต์แวร์กลุ่มนี้ต้องซื้อซอฟต์แวร์รุ่นเพื่อการค้า หรือไม่ก็ต้องใช้ตัวอื่นแทนที่

ข่าวความร่วมมือระหว่างไมโครซอฟท์และออราเคิลประกาศออกมาเป็นทางการแล้วในวันนี้ โดยออราเคิลจะรับรองการทำงานซอฟต์แวร์ของตัวเองหลายตัวบน Hyper-V และ Azure แม้ทุกวันนี้อาจจะมีผู้ใช้งานซอฟต์แวร์ในรูปแบบนี้อยู่แล้ว แต่การรับรองเป็นทางการนี้ก็ทำให้ใช้ไลเซนส์ในแบบ license mobility ทำให้ย้ายซอฟต์แวร์ไปมาระหว่างศูนย์ข้อมูลภายในและศูนย์ข้อมูลภายนอกที่ใช้บริการประมวลผลแบบกลุ่มเมฆได้

ความร่วมมือสำคัญอีกอย่างหนึ่ง คืือ ไมโครซอฟท์จะมีบริการ Oracle Database, Oracle WebLogic, รวมถึง Oracle Linux ไว้บน Azure สำหรับลูกค้าที่ไม่มีไลเซนส์ของออราเคิลอยู่แล้วก็สามารถเช่าใช้งานได้ทันที

ออราเคิลเตรียมประกาศความร่วมมือกับบริษัขนาดใหญ่หลายบริษัทเพื่อสร้างพันธมิตรให้บริการ โดยจะระบุรายละเอียดอีกครั้งในงานแถลงข่าวสัปดาห์หน้า

NetSuite และ Salesforce นั้นเป็นลูกค้าของออราเคิลอยู่แล้ว ความร่วมมือใหม่ที่จะประกาศจึงไม่ชัดเจนนักว่าจะมีอะไรเพิ่มเติมเข้ามา แหล่งข่าวที่ไม่ต้องการเปิดเผยตัวระบุกับ New York Times ว่าข้อตกลงนี้จะเป็นการแชร์ข้อมูลข้ามแอพพลิเคชั่นที่ทำได้ง่ายขึ้น

ขณะทีความน่าสนใจจะไปตกกับไมโครซอฟท์ แม้ว่าไมโครซอฟท์จะเป็นผู้ให้บริิการโครงสร้างพื้นฐานผ่าน Azure แต่ไมโครซอฟท์ก็เป็นคู่แข่งกับออราเคิลจาก SQL Server และซอฟต์แวร์อื่นๆ ที่ทับสายกันไปมา ความร่วมมือที่ชัดเจนที่สุดคงเป็นการรองรับ Oracle บน Azure ที่คู่แข่งอย่างอเมซอนนั้นรองรับไปก่อนนานแล้ว

ออราเคิลเปิดตัว Oracle Database 12c ตั้งแต่ปีที่แล้ว แม้ตอนนี้ยังไม่ออกตัวจริงแต่ทางซีอีโอ Larry Ellison ก็เริ่มพูดถึงเวอร์ชันต่อไป Oracle Database 12.1c แล้ว

ฟีเจอร์ใหม่ของ Oracle 12.1c จะเน้นเรื่องการใช้งานฐานข้อมูลแบบโหลดทั้งหมดใส่หน่วยความจำ (in-memory database) แทนการอ่านข้อมูลจากดิสก์เพราะมีประสิทธิภาพดีกว่ากันมาก และคู่แข่งอย่าง SAP ก็ล้ำหน้าไปก่อนแล้วด้วย SAP HANA

อย่างไรก็ตาม Ellison ยืนยันว่า Oracle 12.1c จะมีประสิทธิภาพดีกว่า SAP HANA มากจนถึงขนาดว่า HANA สู้ไม่ได้เลยทีเดียว (แต่ออราเคิลก็ยังไม่บอกว่าจะออก 12.1c เมื่อไร)

จาก MySQL อาจไม่ใช่ซอฟต์แวร์เสรีอีกต่อไป นั้น มีนักพัฒนารายหนึ่งที่ใช้ชื่อว่า "Norvald Ryeng" ได้รายงานข้อผิดพลาด (bug) นี้ลงใน MySQL Bugs โดยอยู่ในหัวข้อ MySQL Bugs: #69512: Wrong license in man pages in Community Server

โดยสรุปได้ว่า "ในหน้าสัญญาอนุญาตดังกล่าวนั้นเป็นการดึง copyright header ที่ผิดพลาดมาจากชุดอื่นที่ไม่ใช่ GPL packages ในระบบสร้างเอกสารหน้านั้นๆ" ทำให้ต้องทำการแก้ไขในรุ่นต่อไปในอนาคต ซึ่งสุดท้ายข้อผิดพลาดนี้จะถูกแก้ไขใน MySQL 5.1.70, 5.5.32, 5.6.12 และ 5.7.1-m11 ตามลำดับ

มีคนไปพบว่าหน้าเพจที่อธิบายเกี่ยวกับเงื่อนไขข้อตกลงการใช้งาน MySQL จากเวอร์ชัน 5.5.30 ไป 5.5.31 ถูกเปลี่ยนแปลงในส่วนเงื่อนไขข้อตกลงใบอนุญาตการใช้งาน โดยมิได้มีการประกาศแจ้งไปยังผู้ใช้งานล่วงหน้า

จากข้อความเดิม

This documentation is free software; you can redistribute it and/or modify it only under the terms of the GNU General Public License as published by the Free Software Foundation; version 2 of the License.

ไปเป็น

บริษัทไอทีองค์กรรายใหญ่ๆ ทุกวันนี้หันมาพูดเรื่อง cloud/big data กันหมดแล้ว ส่วนรายไหนจะโดดเด่นกว่ากันก็ต้องพิจารณาที่ "จุดเด่น" ของค่ายนั้นๆ ว่ามีอะไรที่สร้างความแตกต่างจากคนอื่นได้บ้าง

ผมมีโอกาสได้สัมภาษณ์ผู้บริหารของออราเคิลคือคุณ Chandru Relwani มีตำแหน่งเป็น Senior Director, CRM Applications Product Management ของ Oracle ภูมิภาคเอเชียแปซิฟิกและญี่ปุ่น (สำนักงานอยู่ที่สิงคโปร์) ในประเด็นด้านยุทธศาสตร์กลุ่มเมฆของออราเคิล

ปัญหาความปลอดภัยของ Java ในรอบปีสองปีที่ผ่านมาสร้างชื่อเสียงทางลบอย่างมาก จนออราเคิลต้องออกมาประกาศนโยบายด้านความปลอดภัยใหม่ของ Java ชุดใหญ่ ดังนี้

ออราเคิลอัพเดตซีพียูสำหรับเซิร์ฟเวอร์ในตระกูล SPARC T5 โดยเพิ่มคอร์ภายในเป็น 16 คอร์ต่อซ็อกเก็ต พร้อมกับตัวควบคุมหน่วยความจำ 4 ชุดบนตัวซีพียู ทำให้ทำความเร็วการส่งข้อมูลกับหน่วยความจำเป็นสองเท่าตัว ส่วนตัวบอร์ดจะสามารถรองรับซีพียูได้ 8 ซ็อกเก็ต ทำให้ได้ 128 คอร์ต่อบอร์ด

ชุดคำสั่งใหม่ที่เพิ่มเข้ามาใน SPARC T5 เน้นเรื่องของการรักษาความปลอดภัยมากขึ้น เป็นแนวทางเดียวกับอินเทลที่ช่วงหลังเพิ่มชุดคำสั่ง AES-NI เข้ามา ทางฝั่งของ SPARC นั้นเพิ่มชุดคำสั่งทั้งการเข้ารหัสแบบ AES, และ DES รวมไปถึงกระบวนการอื่นๆ เช่น SHA, MD5, ECC, และ RSA ฟีเจอร์เหล่านี้ทำให้การเข้ารหัสรูปแบบต่างๆ ทำได้เร็วขึ้น

Oracle ออกมาประกาศว่า Java 8 ที่มีกำหนดออกเดือนกันยายนนี้ จะถูกเลื่อนออกไปเป็นปี 2014 (กำหนดเวลายังไม่ชัดเจน แต่น่าจะเป็นไตรมาสแรกของปี 2014)

เหตุผลที่เลื่อนเป็นเพราะปัญหาด้านความปลอดภัยของ Java ที่รุมเร้าอยู่ในตอนนี้ ทำให้ทีมงานต้องการเวลาเพิ่มเติมในการปรับปรุงกระบวนการพัฒนา Java ให้ปลอดภัยกว่าเดิม

ออราเคิลปล่อยแพตซ์ความปลอดภัยจำนวนมากให้กับสินค้าหลายตัว ตั้งแต่ระบบฐานข้อมูล, แอพพลิเคชั่นเซิร์ฟเวอร์, มิดเดิลแวร์, และซอฟต์แวร์จัดการเช่น Siebel/PeopleSoft รวมไปถึงขาประจำอย่างจาวาไปพร้อมกัน

แพตซ์ทั้งหมดเป็นแพตซ์ความปลอดภัยในระดับ critical ออราเคิลแนะนำให้ลูกค้าทุกรายอัพเดตให้เร็วที่สุดเท่าที่เป็นไปได้ บั๊กหลายตัวสามารถข้ามผ่านระบบการล็อกอินเพื่อโจมตีได้

ใครดูแลระบบไหนกันอยู่ตอนนี้อาจจะต้องเร่งมาทดสอบเพื่อเอาตัวใหม่ขึ้นกันเร็วสักหน่อยครับ

ออราเคิลออกแพตช์ให้ Java SE รอบเดือนเมษายน 2013 (นับเวอร์ชันเป็น Java 7 update 21 และ Java 6 update 45) ซึ่งแพตช์นี้แก้ปัญหาเรื่องช่องโหว่ใน Java ไปถึง 42 จุด ถือเป็นการอุดรูรั่วความปลอดภัยครั้งใหญ่สำหรับโลกของ Java

แพตช์ชุดนี้ยังเพิ่มหน้าต่าง dialog box แจ้งเตือนเมื่อผู้ใช้รัน Java applet ที่มีความเสี่ยงด้วย (เมื่อก่อนเคยมีหน้าต่างนี้ แต่มีบั๊กไม่ยอมเช็คใบรับรองดิจิทัลที่ถูกเพิกถอน)

Red Hat ประกาศรับช่วงบทบาทการเป็นผู้นำโครงการ OpenJDK 6 ต่อจากออราเคิล หลังจากออราเคิลหยุดสนับสนุน Java 6 อย่างเป็นทางการเมื่อช่วงสิ้นเดือนกุมภาพันธ์ที่ผ่านมา

Red Hat อธิบายว่าหน่วยงานจำนวนมากยังใช้ Java 6 อยู่ (โดยเฉพาะลูกค้า JBoss ของบริษัทเอง) และต้องการสนับสนุน Java 6 ต่อไปผ่านโครงการ OpenJDK ที่เป็นโอเพนซอร์ส (Red Hat มีส่วนกับ OpenJDK มานานแล้ว แต่ไม่ได้เป็นผู้นำโครงการ)

ที่มา - Red Hat

ต่อจาก พบอีก 2 ช่องโหว่ใหม่ใน Java รุ่นล่าสุด 7u15 ออราเคิลก็ประกาศออก Java 7u17 (ข้ามเลข 16) เพื่อแก้ปัญหาทั้ง 2 จุดแล้ว

ออราเคิลให้ข้อมูลว่าได้รับรายงานช่องโหว่ดังกล่าวเมื่อวันที่ 1 กุมภาพันธ์ ซึ่งช้าไปสำหรับการออกแพตช์รอบ 19 กุมภาพันธ์ และตั้งใจจะรวมแพตช์ไว้ในการออกรอบ 16 เมษายนแทน แต่เมื่อมีรายงานว่าช่องโหว่นี้ถูกใช้งานในวงกว้าง บริษัทจึงตัดสินใจออกแพตช์ชุดนี้ทันที

อย่างไรก็ตาม ผู้เชี่ยวชาญความปลอดภัย Security Explorations จากโปแลนด์ ก็ประกาศว่าพบช่องโหว่ใหม่ของ Java อีก 5 จุด ตอนนี้ยังไม่มีรายงานการโจมตีด้วยช่องโหว่ชุดใหม่นี้ และส่งข้อมูลให้ออราเคิลเรียบร้อยแล้ว

Adam Gowdiak นักวิจัยด้านความปลอดภัยจากบริษัท Security Explorations ประกาศว่าค้นพบช่องโหว่ใหม่อีก 2 จุด ซึ่งใช้ได้กับ Java SE 7 Update 15 รุ่นล่าสุดในปัจจุบัน (ไม่มีผลกับ Java 6)

ช่องโหว่ 2 จุดนี้คล้ายกับช่องโหว่ชุดก่อนๆ หน้านี้ นั่นคือสามารถลัดระบบความปลอดภัย sandbox ของ Java ได้

Gowdiak ส่งข้อมูลของช่องโหว่ไปยังออราเคิลตามธรรมเนียมของวงการ ปัญหาคือออราเคิลยอมรับว่าเป็นช่องโหว่จริงเพียงจุดเดียวเท่านั้น ส่วนอีกจุดหนึ่งออราเคิลระบุว่าเป็น "พฤติกรรมที่อนุญาตอยู่แล้ว" (allowed behavior) ไม่ถือเป็นช่องโหว่ด้านความปลอดภัยแต่อย่างใด

ทางทีมของ Gowdiak ยืนยันว่าเป็นช่องโหว่อย่างแน่นอน และถ้าออราเคิลยังยืนยันแบบเดิมอยู่ เขาก็จะเปิดเผยข้อมูลของช่องโหว่ต่อสาธารณะต่อไป

ออราเคิลยื่นเอกสารอุทธรณ์ฉบับเต็มที่ประกาศไว้ตั้งแต่เดือนพฤศจิกายนที่ผ่านมา คัดค้านคำตัดสินของศาลชั้นต้นที่ระบุว่า API ไม่มีลิขสิทธิ์ ตรงกับแนวทางก่อนหน้านี้ที่การอุทธรณ์จะเน้นหนักไปที่ API เพราะสิทธิบัตรในส่วนของ JVM หลายตัวนั้นกำลังจะหมดอายุแล้ว

ส่วนที่เป็นข่าวที่สุด คงเป็นส่วนคำอุปมาอุปมัยระหว่าง API ของจาวากับนิยายเรื่องแฮร์รี พอตเตอร์ ว่า

ปีที่แล้วออราเคิลประกาศโอเพนซอร์ส JavaFX แต่กระบวนการผ่านไปหลายเดือนก็ยังไม่สมบูรณ์ แต่ระหว่างที่กระบวนการโอเพนซอร์สเดินหน้าไป ทางออราเคิลก็ออกมาประกาศว่าโครงการอีกส่วนหนึ่งที่จะเปิดออกมาคือ JavaFX สำหรับ Android และ iOS

เป็นเรื่องปกติของการโอเพนซอร์สโครงการขนาดใหญ่ที่จะใช้เวลาหลายเดือนจนถึงเวลานับปี เช่น โครงการ Solaris ของซันในยุคก่อนจะโอเพนซอร์สก็ต้องใช้เวลานานเพราะติดโค้ดบางส่วนที่ซื้อจากบริษัทภายนอกมาอีกที

ไลเซนส์ที่ปล่อยมาสำหรับ OpenJFX คือ GPLv2 + Classpath Exception ทำให้สามารถลิงก์ JavaFX ทั้งแบบ static และแบบ dynamic เข้ากับแอพพลิเคชั่นได้โดยไม่ต้องเปิดซอร์สแอพพลิเคชั่นของตัวเองเอง

จากข่าว ออราเคิลออกแพตช์ความปลอดภัย Java รอบเดือนกุมภาพันธ์ 2013 ทางออราเคิลออกมาชี้แจงว่า การอัพเดตแพตช์รอบก่อนรีบออกเพื่อแก้ปัญหาความปลอดภัยเร่งด่วน ทำให้ยังปิดช่องโหว่อื่นๆ ไม่ครบ และจะออกแพตช์รอบใหม่ในวันที่ 19 กุมภาพันธ์นี้

ออราเคิลยังไม่แจ้งว่าช่องโหว่ที่จะแก้ไขในรอบ 19 กุมภาพันธ์มีอะไรบ้าง แต่ก็บอกว่าผู้ใช้หรือหน่วยงานที่ไม่ได้อัพเดตรอบก่อน สามารถรออัพเดตรอบ 19 กุมภาพันธ์ได้ทีเดียวเลยครับ

ที่มา - Oracle

หลังจากประสบปัญหาเรื่องความปลอดภัยอย่างต่อเนื่อง ออราเคิลก็ตัดสินใจออกแพตช์ความปลอดภัยของ Java SE ประจำเดือนกุมภาพันธ์ให้เร็วกว่าเดิม จากเดิมที่มีกำหนดออกวันที่ 19 กุมภาพันธ์ ก็เปลี่ยนมาออกตั้งแต่วันที่ 1 กุมภาพันธ์แทน

แพตช์ชุดนี้มีชื่ออย่างเป็ฯทางการว่า Critical Patch Update for Java SE – February 2013 ใช้กับ Java 5u38, 6u38, 7u11 ขึ้นไป รวมถึง JavaFX 2.2.4 ด้วย โดยตัวเลขเวอร์ชันของอัพเดตนี้จะกลายเป็น 6u39, 7u13 และ JavaFX 2.2.5 ครับ