Tag-Archive for » JSSE «

Java 8u91/92 bringt mehr Sicherheit

Gerade werden von Oracle die Updates JDK 8u91 und 8u92 verteilt, die vor allem die Sicherheit verbessern sollen. Dabei geht es diesmal nicht nur wie üblich um kritische Fehler in Java selbst, sondern der Umgang mit unsicheren Signaturen und potenziellen Angriffen durch das Ausnutzen von Fehlern stehen im Fokus.

Die JVM (Java Virtual Machine) hat nun zwei neue Optionen, die den Umgang mit Out-of-Memory-Fehlern bestimmen, die die Virtual Machine bisher selbst behandelt hat.

Bei Nutzung des Flags ExitOnOutOfMemory stoppt sie jetzt, sobald der Hauptspeicher nicht mehr ausreicht. Wenn ein Nutzer das Flag CrashOnOutOfMemory setzt, führt der Fehler zum Absturz der JVM, der dann entsprechende Einträge in den Log-Dateien erzeugt.

Der Message-Digest Algorithm 5 (MD5) gilt schon länger als unsicher, weil das Erzeugen unterschiedlicher Nachrichten mit denselben MD5-Hashes recht einfach möglich ist.

Deshalb akzeptiert die JSSE-Implementierung (Java Secure Socket Extension) inzwischen standardmäßig keine MD5withRSA-Signaturen mehr. Wer im Legacy-Bereich weiterhin auf MD5 angewiesen ist, muss sie erst manuell aus der Liste der deaktivierten Algorithmen (jdk.tls.disabledAlgorithms) wieder entfernen.

Auch diesmal gibt es wie immer wieder eine große Anzahl von Bugfixes. Alle Neuerungen im  JDK 8u91/8u92 finden Sie in den Release Notes. Auf der Download-Seite stehen das JDK und auch die Laufzeitumgebungen (JRE) für Clients und Server in den aktuellen Versionen zum Download bereit.