Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 18 reacties
Bron: IDG.net

Sun's Java lekt. Uit dit bericht op IDG kan worden opgemaakt dat met name de Runtime-versies 1.1 en 1.2 en de versies 1.1.6 en 1.1.7B van de Java Development Kit (JDK) een potentiŽel beveiligingsprobleem hebben. Het probleem doet zich inmiddels niet meer voor bij Java 2, en als we fabrikant Sun mogen geloven zijn Microsoft Internet Explorer en Netscape Navigator ook niet gevoelig voor het probleem.

Overigens betreft het probleem zowel MS Windows, Linux als Solaris. Gelukkig is het probleem niet ernstig, toch raadt Sun aan om een upgrade uit te voeren naar versie 1.2.2_006 of hoger van de runtime-versie:

In order for the security hole to be exploited, permission must be granted by a computer to run at least one Java command, according to the bulletin. "Since no permission is granted by default, the circumstances necessary to exploit this vulnerability are relatively rare," Sun said.

The Palo Alto, California-based vendor did not rule out that the bug may effect Java-based technology created by other vendors, but said it has notified Java licensees and made the fix available to them. Sun did not immediately return a call seeking further information.

Hewlett-Packard Co. followed soon after by issuing a warning that "improper permission may be granted in some cases" on its own HP9000 Series 700/800 servers. The warning applies to servers running the HP-UX operating system releases 10.20, 10.24, 11.00, 11.04 and 11.11. HP said fixes for the vulnerable versions were available for download immediately from its Web site.

Het hele verhaal is hier en hier nog eens na te lezen. Meer info is te vinden op SecurityFocus. Met dank aan Kookie voor het submitten van dit nieuws.

Moderatie-faq Wijzig weergave

Reacties (18)

In order for the security hole to be exploited, permission must be
granted by a computer to run at least one Java command, according
to the bulletin. "Since no permission is granted by default, the
circumstances necessary to exploit this vulnerability are relatively
rare," Sun said.
Dit is geen beveiligingslek maar een beheerprobleem lijkt mij.
Het staat helaas niet duidelijk omschreven wat nou precies bedoeld wordt met een "command". Maar het lijkt me voorbarig om te stellen dat het enkel een configuratieprobleem is. Er staat dat als een applet of application toestemming krijgt om 1 specifiek commando uit te voeren, hij dan onterecht ook toegang krijgt tot andere commando's.
Ik vind dit bericht nergens op slaan. Java is heel makkelijk open te stellen als je dat wilt als gebruiker. Gewoon een grants java.security.AllPermissions geven in je java.policy file. Dan mag een applet alles bij je doen.

Maar omdat dit altijd default heel veilig ingesteld staat voor java (kijk maar eens voor de gein wat een applet allemaal niet mag), kan er eigenlijk niets gebeuren.

Het is eigenlijk ook niet zo interessant om te weten dat een oudere versie van java een security bug heeft indien er iets verkeerd staat ingesteld. Maar dat het nieuws is geeft wel aan hoe veilig java wel niet is :-)
dat met name de Runtime-versies 1.1 en 1.2 en de versies 1.1.6 en 1.1.7B van de Java Development Kit (JDK) een potentiŽel beveiligingsprobleem hebben. Het probleem doet zich inmiddels niet meer voor bij Java 2
Java 1.2 is Java 2, dus een beetje raar om die twee zo door elkaar te gebruiken. :)

Overigens is 1.2.2_006 al een behoorlijke tijd uit, evenals 1.3, dus euh... een klein beetje achterhaald is het wel. :)
Ja, degenen die gewoon met de nieuwere versies werken hebben geen probleem: voor windows is de 1.1.8 al bij release 6, en de bug zit er maar t/m release 3 in. Voor 1.2.2 is er inderdaad ook al een nieuwere release, en zelfs 1.3.0_01 is allang uit (en aangezien de 1.3 draait als een speer, zie ik weinig redenen om nog met oude versies te blijven draaien, maar goed...).

Maar toch netjes dat ze zoiets nog vinden in de oudere versies en posten, want er zijn erg veel bedrijven die gewoon nog met oud spul draaien: die zijn nu dus gewaarschuwd!

Dat 'granten' van rechten aan signed applets is trouwens zo gevaarlijk als wat: de gemiddelde gebruiker heeft namelijk als eerste geleerd dat ie bij onduidelijke vragen altijd op 'OK' moet klikken... :P
Dus wat voor rechten je applet ook vraagt, veel gebruikers staan het gewoon toe.

Java VM: "Deze applet wil de rechten om uw harddisk te formatteren, en is gesigned met een onbekend certificaat van HackerzAroundTheWorld, staat u dat toe?"
Gebruiker: ????? Nou, eh, doe maar 'OK' dan...
Ik denk dat de heren uit Redmond in hun vuistje lachen.........
Ja, die gasten in Redmond kunnen ook 'n keer in hun fuistje lachen, maar moet je eens kijken hoe vaak de andere kant dat kan...
Het valt namelijk op dat Sun's Java een veiligheidslekje heeft en dat is een goed teken. Vele produkten van MS en consorten hebben zo vaak bugs, dat dat niet meer opvalt.
Vele producten van MS...
MS heeft ook net wat meer softwareproducten dan Sun, bovendien meer gebruikers aangezien MS veel consumentenproducten verkoopt. Logisch gevolg is dat er meer bugs gevonden worden.

edit:
typo
Bedrijven zijn ook consumenten hoor; die willen juist misschien wel liever stabiele software. Er wordt wel meer programmatuur de M$ gemaakt, maar ik durf wel te zeggen dat er toch wel erg inveel bugs inzitten in vergelijking tot die van SUN
Zonder in de eeuwige discussie ms / vs unix te belanden. Sun heeft met java een grote stap voorwaards gezet. Nl Het sandbox prinype. Je mocht een paar dingetjes niet zoals leezen en schrijven. maar toch voor de rest mocht je als programeur alles binnen jouw kleine wereldje doen op een andermans pc. Tot dat die andere software maaschapij vond goh das niet user friendly laten we active x in voeren.
En jouw hoor de programma makers kunnen na toesteming van de gebruiker schijven en lezen. ( fijn he )

Een bijkomstig probleem dat MS producten nogal fout gevoeling zijn waardoor DE GROTE MASSA in eens probleemjes met hun emailtjes headers en andre proggries kreegen.

Door acivex wordt een kleinfoutje in je systeem makkelijk exploiteerbaar in een heele fijne hersenloze java builder die alles voor je aangeeft. Dus we laden simpel ff alle foutlook adressen etc. Wat je wil.

Voordat iemand me afschiet MELISSA en KOURNICOVA werte niet met een active X bestand maar met VBS.

ehm.. ik wou geen flame war.. mom ff iets aan doen.. maar voor de rest is MS sjit heel gebruikers vriendelijk een stabiel.
Over fout-gevoeligheid... ik vond zo al 14 bugs in jouw taalgebruik ;)
Zou het niet aan z'n browser liggen? ;)
In order for the security hole to be exploited, permission must be granted by a computer to run at least one Java command, according to the bulletin. "Since no permission is granted by default, the circumstances necessary to exploit this vulnerability are relatively rare," Sun said.
Dus uiteindelijk is het een bug waar je geen last van zou mogen hebben als je weet waar je mee bezig bent.

Helaas schijnen deze mensen "nogal zeldzaam" te zijn in deze brache.

\[edit: 'K moet toch een m'n spellingcontrole versnellen]
Onzin, als de exploit over poort 80 gaat helpt een firewall ook niet meer.
Volgens mij moeten hun servers dan ook geupdate worden want volgens mij is iemand met hun lekje aan het spelen ;)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True