Java-noodpatch dicht server-DDoS-gat

java

Artikelgereedschap

  • Tip ons
  • Printen
  • Reacties (2)
1x Aanbevolen

Gepubliceerd: Donderdag 10 februari 2011
Auteur: Jasper Bakker

Java heeft een noodpatch gekregen voor een lek dat nog geen 2 weken geleden is ontdekt. Servers zijn door de bug op eenvoudige wijze te DDoS'en.

Sun-eigenaar Oracle heeft de patch om dit lek te dichten in allerijl uitgebracht. Normaliter hanteert het bedrijf een kwartaalcyclus voor het uitbrengen van patches. Bovendien heeft Oracle niet de reputatie gaten snel te dichten. De noodpatch is dinsdag uitgekomen, terwijl de bug op 31 januari is geopenbaard.

Het nu met spoed te dichten gat is een fout in de verwerking van een specifiek groot getal: 2.2250738585072012e-308. De Java-code op zowel pc's als servers kan hiermee worden aangezet tot een oneindige loop van berekeningen die de processor (of processors) volledig belast. Dit kan op eenvoudige wijze: een kwaadwillende hoeft de kwetsbare Java-omgeving slechts een bepaalde header-waarde toe te sturen.

Java-servers

"Een succesvolle aanval op deze kwetsbaarheid kan leiden tot de ongeautoriseerde mogelijkheid om de Java Runtime Environment vast te laten lopen of die herhaaldelijk te laten crashen", zegt Oracle tegen Computerworld. Overigens zou dit gat al 10 jaar geleden zijn gemeld aan toenmalig Java-eigenaar Sun Microsystems.

Het nu door Oracle genoemde vastlopen komt neer op de genoemde overbelasting. Het crashen is een echt uitvallen van de Java-omgeving, wat neerkomt op een denial of service van de daarop draaiende software. "Java-applicaties en webservers lopen vooral risico door deze kwetsbaarheid", waarschuwt Oracle dan ook.

Soortgelijk lek in PHP

Begin vorige maand is een soortgelijke bug ontdekt in programmeertaal PHP. Dat vergelijkbare lek in PHP is binnen twee dagen al gedicht. Hackers en malwaremakers richten zich in toenemende mate op 'alternatieve doelwitten', dus naast besturingssystemen zoals Windows. Java ligt daarbij ook onder vuur, naast de al populaire doelwitten Flash en Reader van Adobe.

Halverwege 2010 is Java plots enorm gestegen in 'populariteit' bij exploitpogingen, blijkt uit onderzoek van Microsoft. Die aanzwellende jacht op 'nuttige' beveiligingsgaten heeft Oracle eerder al aangezet tot haast voor het uitbrengen van Java-patches.

2 jaar openstaand gat

Op dit moment staat er echter nog een lek open dat de ontdekker 2 jaar geleden al heeft gemeld bij toenmalig Java-eigenaar Sun Microsystems (later ingelijfd door Oracle). Details over dit lek zijn nu geopenbaard door de ontdekker.

Het al 2 jaar openstaande gat zit in het JFileChooser-component waarmee Java-applets bestanden op een computer kunnen aanpassen zonder medewerking of medeweten van de gebruiker. Tests door de Duitse tech-site Heise Security tonen aan dat dit lek in de tussentijd niet stilletjes is gepatcht. Misbruik ervan is nog steeds mogelijk.

Relevante whitepapers

Alle whitepapers >>

Nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox

Whitepapers

  • Maximaliseer het voordeel van SaaS

    Cloud-applicaties hebben grote invloed op het gebruik van de IT-architectuur en niet ieder project levert de verwachte voordelen op.

    Downloaden
  • Houdt grip op UC-uitdagingenUnified communications biedt heel veel, maar heeft ook specifieke uitdagingen!
  • Overheid bespaart met cloud computingDiscussie over cloud-beleid overheid. Whitepaper over kosten, veiligheid en beschikbaarheid.
» Meer whitepapers

Peiling

Loading Poll

Video: Review: HTC One X-smartphone met vijf...

Review: HTC One X-smartphone met vijf cores (video)