ComputerBase Menü
Aktuelles

News Java 8 verspätet sich weiter

Ich kenne mich bei .NET wenig aus aber an Middleware mangelt es kaum, zumindest ist deine Aussage überzogen.
BizTalk, AppFabric, MSMQ, WCF und das Entity Framework fallen mir da spontan ein. Und viele Java-Projekte findet man portiert, beispielsweise NHibernate oder Spring.net, wobei es für letzteres auch andere Alternativen gibt. Neben MSMQ kann man über die NMS Api auch auf ActiveMQ zurückgreifen.
 
Ich finde, jeder, der immer noch den gewaltigen Fehler macht, Java für irgendwas einzusetzen, sollte sich diese kleine Erinnerungsstütze als Homepage setzen:

http://istherejava0day.com/

€: Gibt es auch etwas ausführlicher
http://java-0day.com/

Frage mich, wie man da als Java-Opfer noch irgendwas rationalisieren kann.
 
Zuletzt bearbeitet:
Netter Trollpost, vielleicht solltest du die Seite mal genauer anschauen.

The only purpose of this page is to raise awareness
Zum Vergrößern anklicken....

Da ist nichts schlechtes dran, zumal es dem Autor offensichtlich um Applets und das Browserplugin geht. Da stehen auch noch andere tolle Tipps, wie beispielsweise das Deaktivieren von Javascript :rolleyes:
 
Nur weil es provokant formuliert war, ist es noch lange kein Trollpost.

Die einzig logische Konsequenz dieser awareness ist Java zu deinstallieren und niemals wieder einzusetzen.
Oracle kümmert sich einen Furz darum, seine Software sicher zu halten. Das ist nicht nur bei Java so. Und
es gibt keine Aussicht, dass sich das jemals bessern wird. Java laufen zu haben ist nichts anderes, als eine
Einladung, kompromittiert zu werden.
 
asdfman schrieb:
Nur weil es provokant formuliert war, ist es noch lange kein Trollpost.

Die einzig logische Konsequenz dieser awareness ist Java zu deinstallieren und niemals wieder einzusetzen.
Zum Vergrößern anklicken....
nö, ist weder die einzige noch überhaupt eine logische konsequenz daraus. das ist lediglich für manche, aufgrund ihrer anwendungsgebiete für java. das trifft aber mit nichten auf alle zu.

ein fan von java bin ich nicht und war ich nie, aber das hat hauptsächlich ganz andere gründe.
 
@asdfman
Das Java im Browser nur ein Bruchteil der Einsatzmöglichkeiten ist, weißt du aber ;)
 
Natürlich weiß ich das. Deshalb habe ich ja auch nirgendwo von Java im Browser gesprochen.

Ist es schon so weit mit dem Textverständnis der Leute? 6-
 
Dann verstehe ich nicht, was du willst. Die Sicherheitsprobleme kommen durch das Browser-Plugin.
 
Bitte nicht lügen.

The Java Runtime Environment (JRE) component in Oracle Java SE 7 Update 17 and earlier, 6 Update 43 and earlier, and 5.0 Update 41 and earlier allows remote attackers to execute arbitrary code via vectors related to AWT.
Zum Vergrößern anklicken....

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-0401

€: Etwas ausführlicher hier: https://bugs.gentoo.org/show_bug.cgi?id=CVE-2013-0401

18) An unspecified error in the RMI component of the client and server deployment can be exploited to potentially execute arbitrary code.
29) An unspecified error in the Install component of the client deployment can be exploited by a local user to gain escalated privileges.
37) An unspecified error in the Deployment component of the client deployment can be exploited by a local user to gain escalated privileges.
42) An unspecified error in the JAX-WS component of the client and server deployment can be exploited by local users to manipulate certain data.
Zum Vergrößern anklicken....

Gruselt es niemand sonst, dass die aktuelle Version 42 verschiedene Angriffsvektoren bietet?
 
Zuletzt bearbeitet:
Dass du dein Gehirn einschaltest (und das Java-Realitätsverzerrungsfeld aus)?

Dass die Sicherheitslücke als erstes über das Browserplugin ausgenutzt wurde,
schließt nicht aus, dass das eigentliche Problem in der JRE liegt. Denn das ist der
Fall. Siehe auch: JEDE BEKACKTE SEITE, AUF DER DAS CVE GELISTET IST (duh!)
 
Und du meinst also, dass Java das einzige Einfallstor auf deinem PC ist?
 
asdfman schrieb:
Ist es schon so weit mit dem Textverständnis der Leute? 6-
Zum Vergrößern anklicken....

Von was für Leuten bin ich hier umgeben? Was fantasiert ihr euch Dinge herbei, die ich nie geschrieben habe?

In diesem Thread geht es um Java oder nicht? Soll ich jetzt alle Software aufzählen, die problematisch ist?
Was soll diese blödsinnige Frage?
 
Ist das ein Witzasdfman? Wenn du dir irgendeine Software auf deinem Rechner installierst, hat die auch gleich die Möglichkeiten, die du erst durch die Java Bugs bekommen kannst.
Diese Bugs sind wirklich nur für Applets von Relevanz.
 
wenn du java nicht im browser ausführst, dann sind die von dir oben genannten bugs (bzw. die meisten davon) völlig irrelevant. nutzt man z.b. java als backend (z.b. für intranetanwendungen) so kannst du diese attacken gar nicht anbringen. das gleiche gilt auch für standalone java anwendungen.

natürlich sind diese fehler als sochle schlimm und wie ich auch finde etwas peinlich, dass sie immer noch nicht gefixt wurden (denn teilweise schon lange bekannt). aber für einen großteil der praxis in der java verwendet wird sind diese irrelevant.

edit: viel schlimmere fehler hast du bei windows selbst, anderen anwendungen ebenfalls. da sie aber nur in kontrollierten umgebungen genutzt werden, bzw. andersweitig sichergestellt wird, dass nur vorgegebene dinge ausgeführt werden, kann man diverse sachen mit ihren vorteilen weiter nutzen. damit besteht (leider) kaum bedarf solche alten lücken zu schließen.

so läuft das nun einmal überall. und da ist java nicht schlechter als andere.
 
Zuletzt bearbeitet:
ice-breaker: Ich verstehe dich nicht ganz. Privilege escalation und Ausführung beliebigen Codes, nur durch die reine Existenz eines Programms das nicht in Java geschrieben ist?

Dese schrieb:
wenn du java nicht im browser ausführst, dann sind die von dir oben genannten bugs (bzw. die meisten davon) völlig irrelevant. nutzt man z.b. java als backend (z.b. für intranetanwendungen) so kannst du diese attacken gar nicht anbringen. das gleiche gilt auch für standalone java anwendungen.
Zum Vergrößern anklicken....

18) An unspecified error in the RMI component of the client and server deployment can be exploited to potentially execute arbitrary code.
29) An unspecified error in the Install component of the client deployment can be exploited by a local user to gain escalated privileges.
37) An unspecified error in the Deployment component of the client deployment can be exploited by a local user to gain escalated privileges.
42) An unspecified error in the JAX-WS component of the client and server deployment can be exploited by local users to manipulate certain data.
Zum Vergrößern anklicken....
 
Zuletzt bearbeitet:
dann will ich das doch etwas weiter ausführen:
keines der lücken oben kann z.b. bei unserem kunden ausgenutzt werden. der einzige local user, der zugriff auf das java der server hat oder gar auf unser produkt ist der systemadmin und der deployment user.

und die brauchen die lücken nicht um unfug zu trieben, wenn sie es wollen.

alle oben genannten lücken betreffen nicht einen einzigen unserer kunden und auch sonst die wenigsten unternehmen, die java einsetzten.

edit: backend-lösungen sollten normalerweise nicht auf einem client-rechner laufen, auf dem es "beliebige" local user gibt. logisch oder?

edit: zum verständnis im falle unserer lösung: verwendet wird die software über browser. die angezeigten webseiten bestehen jedoch unr aus html, jsp und bissle ajax. java wird als backendsoftware verwendet. und auf die server hat niemand zugriff, da gibt es auch keine x-beliebigen lokalen user die rigendwas angreifen können.
 
Zuletzt bearbeitet:
Danke für eine ausführliche und endlich einmal vernünftige Antwort. Mit den anderen Typen hier war es ja kaum auszuhalten.

Da ich natürlich nicht weiß, wie die Infrastruktur in deinem Unternehmen funktioniert kann ich dir nicht widersprechen und
glaube dir, was du sagst. Du solltest aber natürlich auch bedenken, dass nicht die einzige Gefahr, die von diesen Problemen
ausgeht, darin besteht, Code auf dem Server auszuführen.

Mitarbeiter können sich auf Arbeitsplatzrechnern auf denen eine JRE installiert ist die Rechte erweitern und Daten manipulieren.
Unter Umständen ist das ein gravierendes Problem. Auch kann ein Benutzer ein manipuliertes Programm untergeschoben
bekommen sich und im Glauben, er sei durch die VM geschützt, Schadsoftware installieren. Besonders innerhalb von Unternehmen,
die wichtige Geschäftsgeheimnisse haben kann das bei einem gezielten Angriff katastrophal sein. Und solche Angriffe finden
statt. Siehe (jetzt nicht im Zusammenhang mit Java) den RSA-Hack oder ganz als ganz üblen gezielten Angriff auf einen Staat
die Stuxnet-Geschichte.
 
das sind natürlich probleme.

aber, du sprachst ja (sinngemäß) wer java als entwickler nutzt der spinnt (salopp gesprochen).
d.h. es ging um java als entwicklungssprache und runtime für im grunde alle anwendungen und nicht um java auf einem client rechner eines angestellten.

java wird oft und gerne für backend-lösungen, webservices, intranet-anwendungen genutzt. die laufen auf servern auf die eben kein user zugriff hat. zu sehen bekommt der anwender der software dann entweder irgend einen speziellen client oder halt meistens den webbrowser in dem aber kein java läuft.

derzeit ist so etwas DIE hauptanwendung für java schlecht hin und demenstsprechend werden auch sicherheitsprobleme und andere bugs priorisiert. java im browser ist schon längst vergangenheit und dafür relevante fehler werden sehr niedrig priorisiert. auch gibt es nicht wirklich viele java-programme, welche im firmenumfelt auf client-rechner verwendet werden.

ich wüsste nicht wo auf angestelltenrechnern ne JRE installiert wird, also in firmen etc. wozu auch? wobei da fallen mir grad ein paar beispile ein. doch in den fällen stellen diese sicherheitslücken ebenfalls kein risiko dar, weil auf die JRE nicht von ausserhalb zugegriffen werden kann und zum anderen der anwender am client mit einem solchen exploit nichts anfangen/gewinnen kann.

gibt vieleicht hier und da in einer arzt praxis noch irgend eine java software mit solchen problemen, oder anders vor in solchen "kleinunternehmen", aber das ist nicht wirklich ein problem solange nicht das java-plugin im browser läuft ;)

java hat seine niche gefunden und bugs werden hier zielgerichtet priorisiert und gefixt. natürlich läuft auch das nicht immer optimal, aber schlechter als bei anderen finde ich es nicht.

p.s. allerdings nervt mich einiges an der sprache selber, vorallem an einigen implementierungen von datenstrukturen und algorithmen der standardbibliothek.
 
Zuletzt bearbeitet:
Keine der aufgelisteten Lücken bietet ein wirklich realistisches Angriffsszenario, die Position, die das Ausnutzen der Lücken gestattet, bietet einem andere Möglichkeiten (aber Applaus trotzdem dafür, dass du aus der Liste an Lücken die vier herausgesucht hast, bei denen das Wort Applet nicht vorkommt).

asdfman schrieb:
Auch kann ein Benutzer ein manipuliertes Programm untergeschoben
bekommen sich und im Glauben, er sei durch die VM geschützt, Schadsoftware installieren.
Zum Vergrößern anklicken....

Wenn du ein manipuliertes Programm untergeschoben bekommst, dann muss das unter Umständen gar keine Lücken mehr ausnutzen und du hast ganz andere Probleme. Lustig, sich an ein paar Lücken der JVM aufzuhängen, wobei man bei anderen Technologien gleich gar keine VM außenherum hat.
Keiner setzt Java aus Sicherheitsgründen ein (bevor das Argument mit der trügenden Sicherheit kommt), die JVM bietet dir massig Sicherheiten auf Programmierebene, das war's.

asdfman schrieb:
Danke für eine ausführliche und endlich einmal vernünftige Antwort. Mit den anderen Typen hier war es ja kaum auszuhalten.
Zum Vergrößern anklicken....

Ach bitte :freak:

"Frage mich, wie man da als Java-Opfer noch irgendwas rationalisieren kann."
"[...]ist Java zu deinstallieren und niemals wieder einzusetzen"
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Vitche
News 3DMark Steel Nomad: ULs neuer Rasterizer-Benchmark verspätet sich erneut
3 4 5
Antworten
94
Aufrufe
10.297
PS828
PS828
Volker
News Neue Chipfabrik: Intels Ohio-Fab verspätet sich um ein volles Jahr
2
Antworten
21
Aufrufe
1.870
marco_f
marco_f
T
Java 8, ist das wichtig für Funktionieren des PCs?
Antworten
14
Aufrufe
957
dms
dms
Frank
News ViewSonic Elite XG341C-2K: 34-Zoll-UWQHD mit Mini-LED und 200 Hz ein Jahr verspätet
2 3 4
Antworten
65
Aufrufe
10.839
Blood011
Blood011
AbstaubBaer
News Two Point Campus: Uni-Manager verspätet sich mit positivem Eindruck
Antworten
16
Aufrufe
3.099
eax1990
E
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz