Java: Neue JDK-Versionen bringen strengere Sicherheitsvorgaben

Wenn Oracle eine neue Version des JDK veröffentlicht, gilt meist der erste Blick den gepatchten Sicherheitsproblemen. Auch die Versionen 8u91 und 8u92 konzentrieren sich auf das Thema Security. Allerdings handelt es sich diesmal weniger um kritische Fehler in Java selbst als den Umgang mit unsicheren Signaturen und potenziellen Angriffen durch das Ausnutzen von Fehlern.

So erhält die JVM (Java Virtual Machine) zwei neue Optionen, die den Umgang mit Out-of-Memory-Fehlern bestimmen, die sie normalerweise selbst behandelt. Bei Verwendung des Flags ExitOnOutOfMemory beendet sie stattdessen ihre Arbeit, sobald der Hauptspeicher nicht mehr ausreicht.. Setzt ein Nutzer das Flag CrashOnOutOfMemory, führt der Fehler zu einem harten Absturz der JVM, die entsprechende Log-Dateien erzeugt.

Umgang mit unsicheren Algorithmen

Der Message-Digest Algorithm 5 (MD5) gilt seit einiger Zeit als unsicher, da das Erzeugen unterschiedlicher Nachrichten mit gleichen MD5-Hashes relativ einfach möglich ist. Daher akzeptiert die JSSE-Implementierung (Java Secure Socket Extension) nun standardmäßig keine MD5withRSA-Signaturen mehr. Wer weiterhin darauf angewiesen ist, muss sie manuell aus der Liste der deaktivierten Algorithmen (jdk.tls.disabledAlgorithms) entfernen. Beim Erstellen von DSA-Signaturen (Digital Signature Algorithm) überprüft das JDK neuerdings, ob der verwendete Algorithmus für die Sicherheitsstufe des Schlüssels ausreicht und bricht sonst mit einer Fehlermeldung ab. Außerdem beinhaltet das JDK acht neue Zertifikate für Root-CAs (Zertifizierungsstellen).

Darüber hinaus gibt es eine lange Reihe von Bugfixes. Alle Neuerungen des JDK 8u91/8u92 stehen in den Release Notes. Auf der Download-Seite stehen das JDK sowie die Laufzeitumgebungen (JRE) für Client und Server in den aktuellen Versionen zum Herunterladen bereit.

[Update 20.4. 11:30]:

Die fehlerhafte Übersetzung Speicherüberlauffehler für Out of Memory wurde ersetzt. (rme)