Oracle warnt vor Java-Schwachstelle

Die Umwandlung von Zeichenketten in Gleitkommazahlen bringt Java aus dem Tritt. Insbesondere Server-Systeme auf Grundlage von Java laufen Gefahr, aus der Ferne zum Absturz gebracht zu werden.

In Pocket speichern vorlesen Druckansicht 95 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Daniel Bachfeld

Erst ist PHP darüber gestolpert, nun kommt Java ins Straucheln: Die Umwandlung des Literals "2.2250738585072012e-308" in eine Gleitkommazahl führt zu einer Endlosschleife in Java, in dessen Folge die CPU voll ausgelastet wird. Insbesondere Server-Systeme laufen damit Gefahr, aus der Ferne abgeschossen zu werden. Dazu genügt es beispielsweise, in HTTP-Request-Headern das Literal als Parameter q mitzusenden.

Oracle soll über das Problem zwar bereits seit einigen Wochen informiert sein, hat jedoch erst jetzt eine Warnung veröffentlicht. Betroffen sind Java SE und Java for Business in aktuellen und vorhergehenden Version von JDK/JRE 6, 5 und 1.4. Ein Hotfix des Herstellers soll das Problem lösen, er empfiehlt es möglichst bald zu installiere, da die Informationen zum Ausnutzen der DoS-Schwachstelle bereits frei verfügbar sind. Für den 15. Februar plant der Hersteller zudem ein reguläres Update von Java. (dab)