Der 7. Kreis der Java-Hölle

Ohne Oracles neuesten Patch: Kritische Sicherheitslücken in Java-Anwendungen

Redaktion JAXenter

© Shutterstock.com/ Tina Jeans

Das neueste kritische Patch-Update zeigt eine massive Verwundbarkeit der JRE/JDK-Versionen auf, anhand derer Angreifer den Fernzugriff auf eine Java-Anwendung erlangen können, ohne dafür über einen Benutzernamen oder ein Passwort verfügen zu müssen. Dies betrifft sämtliche Java-Versionen, die nicht mit dem neuesten vierteljährlichen Patch aktualisiert wurden.

Die im April 2015 veröffentlichte Sammlung von 98 Patches deckt Sicherheitslücken einer großen Bandbreite von Oracle-Produkten ab, darunter JavaSE, MySQL Suite und Oracle Database Server.

14 der 98 Patches zielen auf Java SE ab. Drei von ihnen erhielten die höchstmögliche Einstufung (10.0) im Common Vulnerability Scoring System (CVSS), das die Relevanz einer Verwundbarkeit bewertet. Oracle zufolge können die anderen Verwundbarkeiten nur durch Sandbox-Java Web Start-Anwendungen und Sandbox-Java-Applets ausgenutzt werden. Allerdings können John Matthew Holt (CTO bei Waratek) zufolge 14 JRE- und JDK-Verwundbarkeiten per Fernzugriff über ein Netzwerk ohne Authentifizierung ausgenutzt werden

„Die schwerste Art von Bedrohungen“

Diese Schwachstellen ermöglichen Angreifern potentiell den Zugriff auf und die Kontrolle über Anwendungen, ohne dass die über einen Benutzernamen oder ein Passwort verfügen müssen „die schwerste Art von Bedrohungen“ wie Holt es ausdrückt.

Oracle macht den neuesten Sicherheits-Patch für Java 7-Nutzer zugänglich, was darauf hindeutet, dass diejenigen Unternehmen, die mutig genug sind Java 7 (oder niedrigeren Versionen) die Treue zu halten, sich demnächst auf zahlreiche neue Sicherheitsrisiken gefasst machen müssen. Bis dato ist Java 8 die einzige Version der Java-Plattform mit aktiven Sicherheitsmaßnahmen. Holt dazu:

“This is huge news, and it is going to cause enormous headache and disruption to millions of application owners around the world”

Weiter erklärt Holt, dass Legacy-Entwickler für die Java-Plattform sich entweder für einen volles Upgrade und einen Redeploy des Lebenszyklus auf das neueste Java SE 8-Update entscheiden können, oder stattdessen alle neuen Java Container RASP (Runtime Application Self-Protection)-Technologien installieren müssen, die die Java-Plattform und den gesamten Anwendungsstack automatisch schützen.

So oder so: Der schnelle Lebenszyklus der Java-Plattform und Oracles rücksichtsloser Vorwärtsdrang führen dazu, dass Millionen von Java 7-Anwendungen im Kampf gegen Verwundbarkeiten auf der Codeebene ohne Hilfe von Oracle auskommen müssen.

So schnell wie möglich updaten und patchen

Oracles offizieller Standpunkt besagt, dass die Java-Community die Versionen nutzen muss, für die ein aktiver Support angeboten wird und kritische Patches so schnell wie möglich installiert werden müssen.

Oracle continues to periodically receive reports of malicious exploitation of vulnerabilities for which Oracle has already released fixes. In some instances, it has been reported that malicious attackers have been successful because customers had failed to apply available Oracle patches.

Es handelt sich nicht um Oracles erstes Problem mit großen Sicherheitslücken und es wird vermutlich auch nicht das letzte gewesen sein. Im vergangenen Jahr führten zahlreiche Mängel im JDK und Java im Browser dazu, dass rund die Hälfte der Sicherheitsexperten die Sicherheit von Java-Apps bezweifelten und Mozilla Java in Firefox boykottierte. Zudem führten Sicherheitsprobleme zu deutlichen Verzögerungen beim Release von Java 8.

Aufmacherbild: The hole in the steel mesh von Shutterstock.com / Urheberrecht: Tina Jeans

Verwandte Themen:

Geschrieben von
Kommentare

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
4000
  Subscribe  
Benachrichtige mich zu: