Tag-Archive for » Oracle «

Oracles Java-9-Modulsystem ohne Mehrheit

Der aktuelle Entwicklungsstand des Java Platform Module System (JPMS) hat in der Abstimmung beim Public Review Ballot  keine Mehrheit bekommen. Oracle, das die Entwicklung des für Java 9 geplanten Modulsytems für die Programmierplattform federführend ist, hat jetzt noch einen Monat Zeit, den zuständigen Java Specification Request JSR 376 zu überarbeiten. Dann wird das Expertengremium innerhalb des Java Community Process (JCP) noch einmal über das Modularisierungsprojekt Jigsaw abstimmen.

Sollte Jigsaw wieder nicht die erforderliche Zweidrittelmehrheit bekommen, muss es nach den Regeln des JCP gestoppt werden, was dann auch das Scheitern des Projektes Jigsaw besiegeln würde.

Nur 10 der 23 Stimmberechtigten sprachen sich gestern für den Vorschlag von Oracle aus. Red Hat und IBM kritisierten, dass Jigsaw zwar erfolgreich bei der Modularisierung von Java selbst funktioniert habe, aber in „echten“ Anwendungsszenarien weitgehend ungeprüft sei und viele existierende Java-Anwendungen unter Jigsaw nicht möglich seien oder erhebliche Architekturanpassungen erfordern würden.

Java 8u91/92 bringt mehr Sicherheit

Gerade werden von Oracle die Updates JDK 8u91 und 8u92 verteilt, die vor allem die Sicherheit verbessern sollen. Dabei geht es diesmal nicht nur wie üblich um kritische Fehler in Java selbst, sondern der Umgang mit unsicheren Signaturen und potenziellen Angriffen durch das Ausnutzen von Fehlern stehen im Fokus.

Die JVM (Java Virtual Machine) hat nun zwei neue Optionen, die den Umgang mit Out-of-Memory-Fehlern bestimmen, die die Virtual Machine bisher selbst behandelt hat.

Bei Nutzung des Flags ExitOnOutOfMemory stoppt sie jetzt, sobald der Hauptspeicher nicht mehr ausreicht. Wenn ein Nutzer das Flag CrashOnOutOfMemory setzt, führt der Fehler zum Absturz der JVM, der dann entsprechende Einträge in den Log-Dateien erzeugt.

Der Message-Digest Algorithm 5 (MD5) gilt schon länger als unsicher, weil das Erzeugen unterschiedlicher Nachrichten mit denselben MD5-Hashes recht einfach möglich ist.

Deshalb akzeptiert die JSSE-Implementierung (Java Secure Socket Extension) inzwischen standardmäßig keine MD5withRSA-Signaturen mehr. Wer im Legacy-Bereich weiterhin auf MD5 angewiesen ist, muss sie erst manuell aus der Liste der deaktivierten Algorithmen (jdk.tls.disabledAlgorithms) wieder entfernen.

Auch diesmal gibt es wie immer wieder eine große Anzahl von Bugfixes. Alle Neuerungen im  JDK 8u91/8u92 finden Sie in den Release Notes. Auf der Download-Seite stehen das JDK und auch die Laufzeitumgebungen (JRE) für Clients und Server in den aktuellen Versionen zum Download bereit.

Sicherheitslücken im PHP File Manager

Das Programm PHP File Manager kann man für nur 5 Dollar kaufen. Man installiert es dann auf seinem Internetserver und kann danach beliebige Dateien zwischen seinem PC und dem Server einfach mit dem Browser austauschen.

Dummerweise können das alle anderen auch – vom Programmierer bis zum Hacker!

Weil es so bequem ist, nutzen offensichtlich auch viele große Unternehmen das Tool zum Dateitransfer. Dazu gehören beispielsweise Eneco, Nintendo, Danone, Nestle, Loreal, EON, Siemens, Vattenfall, Oracle, Oxford, Hilton, T-Mobile, CBS, UPC und 3M (und vermutlich noch viele andere), von deren Internetservern seitdem jedermann vertrauliche Dateien ohne Probleme herunterladen kann.

Denn in dem PHP-Skript PHP File Manager schlummern seit mindestens fünf Jahren mehrere kritische Sicherheitslücken, die der Hersteller kennt, aber einfach nicht schließt.

Darauf macht Security-Berater Sijmen Ruwhof in seinem Blog jetzt aufmerksam. So soll es zum Beispiel durch zwei Lücken möglich sein, über das Skript ohne Authentifizierung Code auf den Server zu laden und auch auszuführen.

RevivedwirePHPFileManagerLoginDas Schärfste daran ist aber ein speziell versteckter Superuser mit dem Namen  ****__DO_NOT_REMOVE_THIS_ENTRY__****,  der in allen Installationen des File Managers dasselbe Passwort nutzt. Um es Hackern einfach zu machen, ist dies Passwort auch gleich als MD5-Hash im Script.

Hersteller Revivedwire hat den PHP File Manager inzwischen auf verschämte Art und Weise auf seinem Vertriebsserver gesperrt. Man liest dort ein unverfängliches „Wir konnten die aufgerufene Seite leider nicht finden, bitte überprüfen Sie die URL (ACTUALLY, WE COULDN’T FIND THE PAGE YOU REQUESTED. PLEASE CHECK THE URL.)“.

Ein Hinweis auf die Sicherheitslücken wäre nicht nur ehrlicher, sondern auch hilfreicher für die Kunden, die schließlich Geld für dies Programm bezahlt haben – auch wenn es nur 5 Dollar gekostet hat!

Zweite Entwicklerversion von MySQL angekündigt

Von Oracle wurde das zweite Development Milestone Release (DMR) für MySQL 5.7 Auf der Konferenz MySQL Connect angekündigt.

Besonders die Geschwindigkeit der neuen Version hat sich deutlich verbessert. Sie skaliert bis zu 64 CPUs linear und schafft mit InnoDB bei Lesezugriffen mit POINT SELECT immerhin 500.000 Abfragen pro Sekunde!

Auch die Replikation wurde verbessert und beschleunigt. MySQL 5.7.2 DMR bietet zudem eine verlustfreie, semi-synchrone Replikation, bei der Transaktionen nur dann bestätigt werden, wenn ein Slave-Server sie empfangen hat.

Weitere Details zu MySQL 5.7.2 DMR kann man bei Golem nachlesen.

Oracle bringt neues Schema für Java-Versionsnummern

Java6Mit dem nächsten JDK-7-Update, das am 18. Juni geplant ist, will Oracle nach Informationen von Heise ein neues Versionsnummernschema für Java einführen. Als Grund gibt Oracle die in letzter Zeit häufiger gewordenen Sicherheitsupdates für Java an.

Im neuen Schema erhalten normale Updates mit Fehlerkorrekturen bzw.  Funktionserweiterungen in der Unternummer ein Vielfaches von 20.

Sicherheitsupdates bekommen  dann die ungeraden Zahlen 5, 11 oder 15 in der Unternummer.

Auf diese Weise sollen sich Fehlerkorrekturen einfacher von kritischen Sicherheitsupdates unterscheiden. Sie können dann auch separat und damit rückwirkend veröffentlicht werden.

Auf das derzeit aktuelle JDK7u21 folgen also als nächste „normale“ Updates die Versionen  JDK7u40 beziehungsweise JDK7u60. Die nächsten Sicherheitsupdates für das JDK7u40 erhalten  dann die Versionsnummern 7u45, 7u51 und 7u55.

Mozilla Firefox startet Java-Updates nur auf Nachfrage

Java6Sogar das allerneueste Java-Plugin Java 7 Update 15 blockiert der Firefox-Browser, weil er auf den Click-to-Play-Modus umgeschaltet wurde.

So wird die Ausführung von Javascript zwar nicht komplett geblockt, aber mit einer deutlichen Hürde versehen.  Jetzt zahlt es sich gerade bei kommerziellen Internetseiten wie Onlineshops aus, wenn der Ersteller der Seiten so gearbeitet hat, dass die Funktionen auch ohne Javascript mit reinem HTML laufen.

Die Firmen Oracle, Adobe und Microsoft sehen in diesem Monat nicht besonders gut aus mit ihren vielen Updates. Es hat wohl auch noch nie einen Monat mit mehr Patches, aber auch keinen mit mehr Angriffen auf sie Internetseiten großer Unternehmen über Sicherheitslücken in Java, Flash oder PDF gegeben.

Oracle veröffentlicht SQL-Datenbank MySQL 5.6

Zwei Jahren nach der relationalen SQL-Datenbank MySQL 5.5 hat Oracle jetzt die neue Version MySQL 5.6 im Internet zum Download bereitgestellt.

Das transaktionsfähige Backend InnoDB war ja schon mit der Version 5.5 von Oracle eingeführt worden. Jetzt kann InnoDB das frühere Backend MyISAM komplett ersetzen, denn es beherrscht in dieser neuen Version endlich auch die Volltextsuche in der DB.

In MySQL 5.6 wurden Subqueries merklich beschleunigt. Hilfsmittel wie Semi-Joins oder Materialisierung machen Subqueries jetzt so schnell, dass Software-Entwickler sie nicht mehr aus Performancegründen durch Joins ersetzen müssen.

MySQL 5.6 RC mit besserer InnoDB-Engine

Zur MySQL-Connect-Konferenz in San Francisco hat Oracle eine Release Candidate-Version der Datenbank MySQL 5.6 herausgebracht und zum Download bereitgestellt..

Die Hauptänderung in dieser Version betrifft eindeutig die Datenbank-Engine InnoDD, für die fehlende Funktionen wie zum Beispiel die Volltextsuche nachgelegt wurden. Volltextsuche in MySQL gab es bisher nur mit nicht transaktionsfähigen ISAM-Tabellen.

Auch der Durchsatz mit InnoDB-Tabellen wurde merklich verbessert. Beim Lesen wurde die Geschwindigkeit verdoppelt und beim Schreiben sogar vervierfacht. Auf der MySQL-Internetseite findet man eine übersichtliche Beschreibung der Neuerungen in MySQL 5.6. RC.

Notfall-Update von Oracle für Java-Version 7

Eine sehr kritische Sicherheitslücke in Java-Version 7 hat Oracle mit dem Update 7 gerade ohne jeden Kommentar durch das Update 7 beseitigt. Die Lücke wird aktuell schon für Angriffe benutzt.

Wer Java auf seinem  Rechner nutzt, egal mit welchem Betriebssystem und welchem Browser und in Versionen von Java 7 bis einschließlich Update 6, sollte das Update sofort installieren.

Die Sicherheitslücke erlaubt es Angreifern, die Kontrolle über den Rechner zu übernehmen und zum Beispiel beim Surfen auf eine entsprechend präparierte Internetseite Schadsoftware auf das System zu installieren.

Oracle veröffentlicht Entwicklungsumgebung NetBeans 7.2

Oracle hat gerade die neue Version der quelloffenen Integrierten Entwicklungsumgebung (IDE) Netbeans 7.2 zum Download bereitgestellt. In der neuen Version wurden Performance und Kompatibilität deutlich verbessert.

Die Gesamtperformance soll abhängig von der Projektkonfiguration verglichen mit der Vorversion Netbeans 7.1 um bis zu 60 % besser sein. Schon beim Start eines Prijekts wird der Vorteil der neuen Version 7.2 gegenüber NetBeans 7.1 mit 10 % angegeben.

Eine komplette Beschreibung aller Neuerungen in NetBeans 7.2 findet man auf der “New and Noteworthy”-Seite im Wiki von NetBeans. Die kostenlose Entwicklungsumgebung NetBeans 7.2 kann man jetzt auf NetBeans.org downloden.

Netbeans hat sich schon seit einigen Jahren von einer Java-IDE zu einer IDE für C++ und Java entwickelt und unterstützt auch PHP 5.4.

Ich selbst nutze diese IDE von Oracle schon seit Jahren als Hauptwerkzeug zur Erstellung von dynamischen Internetseiten und -anwendungen mit PHP und Java und bin schon auf den Test der neuen Version gespannt…