Sun schließt Lücke in Java Web Start
Angreifer konnten Zugriff auf ein System erhalten. In den neuen JDK- und SDK-Versionen ist der Fehler behoben.
- Daniel Bachfeld
Sun hat auf eine Sicherheitslücke in Java Web Start (JWS) hingewiesen, mit der Angreifer Zugriff auf ein System erhalten können. JWS ist Teil der Java-Laufzeitumgebungen und erleichtert die Ausführung und Verwaltung von Java-Applets. Genaue Angaben macht der Hersteller zu dem Problem nicht, es soll sich um einen Fehler bei der Verwendung von System-Classes handeln. Sun geht derzeit davon aus, dass die vom Fujitsu-Security-Team gefundene und gemeldete Lücke noch nicht ausgenutzt wurde.
Betroffen sind laut Fehlerbericht Java Web Start in JDK und JRE 5.0 Update 10 und vorhergehende Versionen unter Windows, Solaris und Linux. Auch SDK und JRE 1.4.2_13 unter Linux, Windows und Solaris enthalten den Fehler. Welche Version installiert ist, kann man auf der Befehlszeile mit java -fullversion herausfinden. In JDK/JRE 5.0 Update 11 und 1.4.2_14 ist der Fehler behoben. Zu beachten ist, dass Java-Updates in der Regel eine vollständig neue Version installieren, ohne die vorherige zu löschen. Anwender müssen die alten verwundbaren Versionen also per Hand deinstallieren.
Darüber hinaus stellt Sun noch ein Update für seine Sun Java System Directory Server zu Verfügung, das eine DoS-Schwachstelle beseitigen soll.
Siehe dazu auch:
- Security Vulnerability With Java Web Start Related to Incorrect Use of System Classes, Fehlerbericht von Sun
- Security Vulnerability in Sun Java System Directory Server May Cause Denial of Service (DoS), Fehlerbericht von Sun
(dab)
