Java-8-Updates stopfen einige Sicherheitslücken
Die Patches beheben unter anderem einen Fehler in der Prozessverwaltung und einen bei Passwörtern mit AES-Verschlüsselung. Oracle empfiehlt dringend, das JDK auf Version 8u71 oder 8u72 zu aktualisieren.
- Rainald Menge-Sonnentag
Mit inzwischen recht gut geplanter Regelmäßigkeit veröffentlicht Oracle neue Security-Updates für Java. Die aktuellen Versionen JDK 8u71 beziehungsweise 8u72 stopfen einige Sicherheitslücken. Die Release Notes nennen unter anderem ein Problem mit der Prozessverwaltung jps , die alle laufenden JVMs (Java Virtual Machines) mit den zugehörigen Informationen auflistet. Vor dem Patch zeigte sie root-Nutzern unter Solaris und Linux nur die Informationen zu eigenen Prozessen, aber nicht zu denen von anderen Benutzern auf dem System an. Der Fehler wurde durch einen anderen Fix ausgelöst, der mit JDK 7u75 eingeführt wurde.
Ein weiteres Problem betrifft den PBE-Algorithmus (Password-Based Encryption) unter Verwendung von 256-bit AES. Dabei können sich vom selben Passwort abgeleitete Schlüssel voneinander unterscheiden. Zur Vermeidung von Speicherlecks führt das aktuelle JDK zudem eine Standardbegrenzung für die Größe von Entity-Objekten bei der XML-Verarbeitung ein. Auf das grundsätzliche Problem hatte Oracle bereits hingewiesen, aber standardmäßig keine Begrenzung vorgegeben.
Eine Auswahl der behobenen Fehler steht in den Release Notes zum JDK 8u71. Darin enthalten ist auch ein Link zur Seite mit der Liste aller Bug-Fixes, die aber beim Schreiben dieser Meldung nicht verfügbar war. JDK 8u72 erweitert die Korrekturen um zusätzliche Patches. Beide Versionen haben als Verfallsdatum den 19. April, an dem das nächste kritische Update geplant ist. (rme)
