Ernstig lek in Java Web Start voor Windows, Solaris en Linux
Jouko Pynnonen heeft een ernstig lek in Java Web Start ontdekt, waardoor een kwaadaardig programma zijn rechten kan verhogen en bestanden op de computer kan lezen, schrijven en uitvoeren. Het lek is aanwezig in Java Web Start in de volgende versies van Java 2 Platform Standard Edition (J2SE): 1.4.2_06 en eerdere 1.4.2 releases voor Windows, Solaris en Linux. Java Web Start in J2SE 5.0 en later en J2SE releases voor 1.4.2 voor Windows, Solaris en Linux zijn niet kwetsbaar. Java Web Start 1.0.1_02 en eerder zijn ook niet kwetsbaar.
Volgens het Internet Storm Center zijn browsers en andere applicaties die "javaws" gebruiken, op Windows, Linux en Solaris kwetsbaar, en zou het lek voor een "cross-platform worm" gebruikt kunnen worden. Het ISC raadt aan om de J2SE omgeving te upgraden of "application/x-java-jnlp-file" JNLP handlers binnen de browser uit te schakelen. Er is inmiddels al proof of concept code dat de kwetsbaarheid misbruikt verschenen, en de impact is vergelijkbaar met de recente IFRAME aanvallen. Het is dan ook waarschijnlijk dat dit lek actief misbruikt zal gaan worden. Meer informatie is deze advisory te vinden.
downloaden. En magasloom is de nieuwste versie ook niet. Zal eerder aan je computer liggen (spyware e.d.).
voilla er was een update beschikbaar.
Ik draai nu Version 1.5.0 (build 1.5.0_02-b09) is het
"probleem" nu opgelost ?
Ik kom net thuis, lees dit bericht, check voor update en
voilla er was een update beschikbaar.
Ik draai nu Version 1.5.0 (build 1.5.0_02-b09) is het
"probleem" nu opgelost ?
Jezus! Wat denk je zelf?
tip: als 1.5.0_02-b09 groter is dan 1.4.2_06 is het ok ,
anders niet.
toen ik java2 er nog niet op had, liep mijn servertje
24/7/52 aan een stuk.
na ja, liep die iedere week vast, door de update notificatie.
java is leuk, maar ook kriebelig voor servers..
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
