Suche
Neue Sicherheitsfunktionen und Bugfixes

Java 8 Update 121 erschienen: Neuer Serialisierungsfilter stößt auf Kritik

Hartmut Schlosser

(c) Shutterstock / BeautyLine

 

Oracle hat das Update 121 für JDK 8 vorgelegt. Neben den üblichen Bugfixes ist ein neuer Serialisierungsfilter enthalten, der nicht überall auf Gegenliebe stößt.

Java SE 8 CPU Update 121

Vier sogenannte Critical Patch Updates (CPU) sieht Oracle pro Jahr für Java SE vor. Unter der Versionsnummer JDK 8u121 ist nun das erste dieser Updates erschienen.

Als wichtigstes neues Feature ist ein Serialisierungsfilter in der JVM hinzugekommen, mit dem Deserialisierungsattacken verhindert werden können. Ein neuer Sicherheitsmechanismus bewirkt, dass serialisierte Daten vor einer Deserialisierung überprüft werden. Die Validierung wird über einen Filter durchgeführt, der nach dem White/Black-List-Prinzip funktioniert.

Umgesetzt wurde damit der JEP 290: Filter Incoming Serialization Data, der zum Ziel hat, die Anzahl der Klassen, die grundsätzlich deserialisiert werden könnten, über konfigurierbare Filter auf ein je nach Kontext passendes Maß einzuschränken. Auch die RMI Registry und die verteilte Garbage Collection machen von den Mechanismen aus JEP 290 Gebrauch, um die Robustheit der Services zu verbessern.

Eine kritische Auseinandersetzung mit dem neuen Serialisierungsfilter im Java SE findet sich im Artikel „A First Look Into Java’s New (and Flawed) Serialization Filtering“ von Apostolos Giannakidis. Das Feature wird dort zwar als „Schritt in die richtige Richtung“ bezeichnet, doch als schwierig zu beherrschen eingeschätzt:

The complexity of configuring the filters (security policies) for Serialization Filtering is now even bigger. This is due to the fact that users now have to configure and maintain not just one policy but several.

Serialization Filtering is the minimum that Oracle could provide in order to stop being blamed for not doing anything about the critical Deserialization attacks. It it is a first step in the right direction but it does not completely solve the problem and, as we have described, it is not suitable for enterprise production environments.

Zu den weiteren Neuerungen in JDK 8u121 gehören ein erhöhter Schutz von JNDI Remote Class Loading, ein erweitertes jarsigner-Werkzeug und eine Vergrößerung der Schlüsselwortlänge für XML-Signaturen auf 1024 Stellen. Außerdem sind wieder zahlreiche Bugfixes erfolgt, die in den 8u121 Update Release Notes zusammengefasst werden.

Das Update JDK 8u121 ist Teil des umfassenden Oracle Critical Patch Update (CPU), das insgesamt 270 Schwachstellen im Oracle Software-Portfolio behebt. 121 Patches beziehen sich auf Oracles E-Business Suite, aber auch Fehlerquellen in MySQL, Solaris und GlassFish wurden geschlossen.

Vorgesehen sind drei weitere Critical Patch Updates im Jahr 2017, die an den folgenden Terminen fällig werden:

  • 18. April 2017
  • 18. Juli 2017
  • 17. Oktober 2017

Hinzukommen können weitere Updates, die je nach Bedarf eingeschoben werden. Oracle beschreibt die folgenden drei Arten von Sicherheitsupdates:

  • CPU (Critical Patch Updates): Critical Patch Updates (kritische Patchupdates) sind Zusammenstellungen von Sicherheitskorrekturen für Oracle-Produkte. Kritische Patchupdates werden zum gleichen Zeitpunkt auf java.com und Oracle Technology Network (OTN) freigegeben.
  • Begrenztes Update: Die Limited Update-(LU-)Daten entsprechen den Freigabedaten auf OTN. LU-Freigaben finden im Allgemeinen einige Tage nach OTN auf der java.com-Site statt.
  • Patch Set Update: Patch Set Updates (PSU) enthalten alle Sicherheitskorrekturen in den bis zu dieser Version veröffentlichten CPUs sowie zusätzliche nicht kritische Korrekturen. Verwenden Sie Java PSU-Releases nur, wenn Sie von einem der zusätzlichen in dieser Version korrigierten Bugs betroffen sind. Die PSU-Daten entsprechen den Freigabedaten auf OTN.

Oracle empfiehlt allen Nutzern ein Update auf die neuesten Versionen.

Verwandte Themen:

Geschrieben von
Hartmut Schlosser
Hartmut Schlosser
Hartmut Schlosser ist Redakteur und Online-Koordinator bei Software & Support Media. Seine Spezialgebiete liegen bei Java-Enterprise-Technologien, JavaFX, Eclipse und DevOps. Vor seiner Tätigkeit bei S & S Media studierte er Musik, Informatik, französische Philologie und Ethnologie.
Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.