Write once, bugs everywhere

Wie lautet noch mal das zentrale Argument für kommerzielle, proprietäre Software? Richtig: Wartung. Nur wer kontinuierlich Geld beim Hersteller abliefert, ist auf der sicheren Seite, da er regelmäßig Updates mit Korrekturen für Bugs und Sicherheitslücken bekommt. Dass es sich bei dieser Erzählung um eine moderne Variante von „Des Kaisers neue Kleider“ handelt, demonstriert Oracle zurzeit: Der Softwarekonzern gibt sich eine Blöße nach der anderen.

Beispiel Datenbank: Seit mindestens vier Jahren ist eine Lücke in Oracles namensgebendem Produkt bekannt, die Man-in-the-Middle-Angriffe ermöglicht. Per TNS-Poisoning können Interessierte ohne große Anstrengungen den Verkehr zwischen Server und Client mitlesen. Eine Korrektur will Oracle für Kunden der Version 11g nicht mehr liefern – die wird es nur für das nächste Release geben, dessen Veröffentlichungstermin noch gar nicht bekannt ist. Wohlgemerkt: Wartungsgebühren kassiert die Firma für 11g natürlich trotzdem.

Es gibt ja auch noch genügend andere Bugs, die die vierteljährlich erscheinenden Critical Patch Updates fixen können – alleine das erste in diesem Jahr beseitigte 86 Fehler. Bereits bekannte Schwachstellen in Oracles zweiter Datenbank MySQL blieben jedoch weiterhin bestehen. Exploits für die Zero-Day-Lücken sind seit Dezember im Umlauf, und die freie Konkurrenz um den MySQL-Clone MariaDB hat die meisten davon inzwischen beseitigt.

Oracle jedoch tut, zumindest für seine Kunden mit Wartungsvertrag, nichts dergleichen. Die allgemein zum Herunterladen verfügbaren MySQL-Quellen und -Binaries der Community-Version enthalten zwar bereits einige Korrekturen, doch wer zahlt, soll darauf noch warten.

Während Oracles Umgang mit seinen kommerziellen Produkten zumindest fragwürdig ist, behandelt es Java inzwischen, als wolle es die Technik möglichst schnell in den Orkus befördern. So sollte der Support für die Version 6 zunächst im Juni 2012 enden. Der Termin wurde dann nach Anwenderbeschwerden auf November 2012 verschoben und schließlich endgültig auf Mitte Februar dieses Jahres festgelegt. Danach soll es Updates nur noch für zahlende Kunden geben. Wohlgemerkt: 80 Prozent der Java-Plug-ins nutzen noch Version 6 oder eine ältere.

Für sein Java 7 musste Oracle bereits zweimal Eil-Updates veröffentlichen, weil Zero-Day-Lücken bekannt wurden. Der zweite Notfalleinsatz war nur deshalb erforderlich, weil die Java-Ingenieure eine bekannte Lücke nicht komplett geschlossen hatten und Schlupflöcher offenließen. In diesem Zusammenhang empfahlen sowohl das US-Heimatschutzministerium als auch das deutsche BSI Endanwendern, das Browser-Plug-in oder besser noch die gesamte Java-Laufzeitumgebung zu deinstallieren. Apple hat das Plug-in inzwischen einfach stillgelegt, Benutzer müssen es ausdrücklich aktivieren.

Nun mag mancher mit den Schultern zucken – die Zero-Day-Lücken und die panischen Korrekturversuche betreffen nur Java-Applets im Browser, und wer braucht die schon?

Hierzulande jeder, der seine Steuern mit ElsterOnline verarbeiten will oder muss. Oder auch die Wagemutigen, die die eID-Funktion ihres neuen Personalausweises nutzen möchten – denn die vom BSI zertifizierte AusweisApp setzt ebenso auf Java wie alternative eID-Anwendungen. Dasselbe gilt für manche Programme zum qualifizierten Signieren mit einer Smartcard. In den USA verwenden Patentanwälte ein Java-Applet für die Kommunikation mit dem Patentamt. Die Behörde empfiehlt allerdings noch ausdrücklich Version 6 dafür.

Ausgerechnet in einem Bereich, in dem Sicherheit und Vertraulichkeit eine zentrale Rolle spielen, hat sich also Desktop-Java etabliert. Und das wirft die Frage auf, ob man diese Technik wirklich einer Firma überlassen darf, die sich durch Luschigkeit bei der Fehlerbehebung und Desinteresse an der langfristigen Unterstützung auszeichnet. (ck)