image

Java negeert ingetrokken certificaten

woensdag 6 maart 2013, 10:25 door Redactie, 9 reacties

Java-gebruikers die een melding voorgeschoteld krijgen dat een Java-applet van een betrouwbare partij afkomstig is kunnen hier niet op vertrouwen. Java-ontwikkelaars kunnen via een certificaat een Java-applet signeren. De gebruiker weet zo van wie het applet afkomstig is. Daarnaast worden gesigneerde applets standaard uitgevoerd. Bij alle ongesigneerde applets verschijnt een waarschuwing.

Onlangs werd er een kwaadaardig Java-applet ontdekt dat van een geldig certificaat was voorzien. De privésleutel voor het signeren van het applet was bij een Amerikaans consultancybedrijf gestolen. Het certificaat werd op 7 december door certificaatverstrekker Go Daddy ingetrokken.

Controle
Het probleem is dat Java niet standaard controleert of certificaten zijn ingetrokken en ze daardoor zonder waarschuwing gewoon uitvoert. Gebruikers kunnen dit wijzigen, maar moeten het wel zelf instellen.

"Samengevat, gesigneerde Java-apps zijn niet te vertrouwen als je niet de 'check revocation lists' inschakelt", aldus onderzoeker Eric Romang.

Reacties (9)
06-03-2013, 10:39 door RickDeckardt
Prijsschieten met dat javaspul. Java en Oracle, klinkt zo lekker enterprise...
06-03-2013, 13:43 door Ed Dekker
En er is nog steeds helemaal niets mis met Java
06-03-2013, 14:06 door sjonniev
Alleen jammer dat die controle inderdaad niet standaard aanstaat...
06-03-2013, 16:01 door Anoniem
Het artikel meldt maar 1 instelling maar er zijn er 2.
Je kunt dit in een file "%windir%\Sun\Java\Deployment\deployment.properties" zetten:

deployment.security.validation.crl=true
deployment.security.validation.ocsp=true
06-03-2013, 16:16 door Anoniem
Mooi voorbeeldje hoe je door een klein ding, een dom "foutje" ineens al je veiligheidsmaatregelen alleen maar schijnveiligheid op blijken te leveren.
07-03-2013, 10:13 door SecurityBlasterx
Verwijder java en gebruik het alleen onder een Virtual machine. Problem solved.
07-03-2013, 15:52 door Anoniem
Door Anoniem: Het artikel meldt maar 1 instelling maar er zijn er 2.
Je kunt dit in een file "%windir%\Sun\Java\Deployment\deployment.properties" zetten:

deployment.security.validation.crl=true
deployment.security.validation.ocsp=true

OCSP blijkt redelijk vaak niet te werken. Ik heb het in mijn browser aan staan, maar regelmatig krijg ik een waarschuwing dat er geen OCSP informatie verkregen kan worden. Een reload verhelpt het probleem gelukkig meestal wel.

Peter
08-03-2013, 09:26 door Anoniem
Door Anoniem: OCSP blijkt redelijk vaak niet te werken. Ik heb het in mijn browser aan staan, maar regelmatig krijg ik een waarschuwing dat er geen OCSP informatie verkregen kan worden. Een reload verhelpt het probleem gelukkig meestal wel.
Denk je? Of betekent dat dan dat het ding niet meer zeurt want de cache weet nog dat'ie het al een keer geprobeerd heeft; het antwoord (nul op het rekest) is bekend, de waarschuwing is gegeven, en dus hoeft er niet nog eens geprobeerd te worden?

Overigens bleek je (ik meen) OCSP voor de gek te kunnen houden door een nepservertje op te zetten dat simpelweg "3" antwoordt op alle vragen.

En hup, alweer blijkt een simpelheid het hele veiligheidskaartenhuis in te doen storten.
10-03-2013, 12:14 door Rasalom
Door Ed Dekker: En er is nog steeds helemaal niets mis met Java
In principe niet nee. Het is ernstig mis met het Java webbrowser component. Als je dat uit zet dan heb je van al deze ellende eigenlijk geen last meer.

Helaas snapt de goegemeente dat niet echt.

Start / Configuratiescherm / Java / Security / Enable java content in the browser

Uitzetten, Apply en Ok. En klaar.

Als je Java niet nodig hebt voor Eclipse, Netbeans, OOo of iets dergelijks, dan mag je het natuurlijk best verwijderen. Waarom zou je tenslotte software geïnstalleerd hebben staan zonder enige noodzaak?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.