Beveiligingslek in Java

Sun's Java lekt. Uit dit bericht op IDG kan worden opgemaakt dat met name de Runtime-versies 1.1 en 1.2 en de versies 1.1.6 en 1.1.7B van de Java Development Kit (JDK) een potentiëel beveiligingsprobleem hebben. Het probleem doet zich inmiddels niet meer voor bij Java 2, en als we fabrikant Sun mogen geloven zijn Microsoft Internet Explorer en Netscape Navigator ook niet gevoelig voor het probleem.

Overigens betreft het probleem zowel MS Windows, Linux als Solaris. Gelukkig is het probleem niet ernstig, toch raadt Sun aan om een upgrade uit te voeren naar versie 1.2.2_006 of hoger van de runtime-versie:

In order for the security hole to be exploited, permission must be granted by a computer to run at least one Java command, according to the bulletin. "Since no permission is granted by default, the circumstances necessary to exploit this vulnerability are relatively rare," Sun said.

The Palo Alto, California-based vendor did not rule out that the bug may effect Java-based technology created by other vendors, but said it has notified Java licensees and made the fix available to them. Sun did not immediately return a call seeking further information.

Hewlett-Packard Co. followed soon after by issuing a warning that "improper permission may be granted in some cases" on its own HP9000 Series 700/800 servers. The warning applies to servers running the HP-UX operating system releases 10.20, 10.24, 11.00, 11.04 and 11.11. HP said fixes for the vulnerable versions were available for download immediately from its Web site.

Het hele verhaal is hier en hier nog eens na te lezen. Meer info is te vinden op SecurityFocus. Met dank aan Kookie voor het submitten van dit nieuws.