Hallo J�rg, all
Am 25.03.05 13:41 schrieb J�rg Schmidt:
[...]
@all: Vielleicht hatte ich mich vor einigen Tagen nicht korrekt ausgedr�ckt und sollte das klarstellen: Wenn ich schreibe das ich nur Handbuch schreiben will und nicht testen, dann bezog sich das nur auf QA-Test's, da ich selbstverst�ndlich den Installationsverlauf nachvollziehe. Ich verlasse mich dann jedoch konkret darauf das wenn ich eine zugelassene Version "nachvollziehe" (W2k) das es unter den anderen empfohlenen(!) Versionen auch l�uft.
Das ist schon klar, nur muss du wissen, dass trotz aller Tests Bugs �bersehen
werden k�nnen oder unter Testbedingungen nicht auffallen.
Wir sind halt keine Maschinen. Solange es nicht in Patch-Days wie bei anderen ausartet, ist es schon OK.
Mal am Rande: beh�lt jemand auch mal die Frage der Mindest-Javaversion im Auge? Ich wei� das 1.4.2 definitiv geht und 1.4.1 mit allerh�chster Wahrscheinlichkeit, aber was ist wirklich die Mindestversion?
Auszug "javavendors.xml" (zufinden im Installationsverzeichnis: ...\OpenOffice.org1.9.x\share\config\..
[...] <updated>2004-01-30</updated>
<vendorInfos> <vendor name="Sun Microsystems Inc.">
<minVersion>1.4.1_01</minVersion>
</vendor>
<vendor name="IBM Corporation">
<minVersion>1.4.1</minVersion>
</vendor>
</vendorInfos>
Ich rate jedoch davon ab, die Versionen JRE 1.4.1-01 bis 1.4.1_06 zu verwenden. Hierzu siehe:
------------------------------------------------------------------------
20.03.2005 12:23
Kritische L�cke in Suns Java Web Start
Eine Schwachstelle in Suns Java Web Start[1] gef�hrdet die Sicherheit
von PCs. Bereits durch den Besuch einer pr�parierten Web-Seite kann das
System mit Sch�dlingen infiziert werden. Web Start ist eine Technik,
mit deren Hilfe sich Java-Anwendungen sehr leicht �ber Web-Server
verteilen und �ber einen Browser aufrufen lassen. Sie ist Bestandteil
der Java-Laufzeitumgebung (JRE).
Durch einen Fehler im Web Start Launcher k�nnen Java-Anwendungen ihre
Zugriffsrechte auf ein System erh�hen und sich beispielsweise selbst
Lese- und Schreibrechte gew�hren oder bereits auf dem PC vorhandene
andere Programme starten. Normalerweise sollte die Sandbox dies bei
nicht vertrauensw�rdigen Java-Anwendungen verhindern. Aufgrund der
L�cke im Launcher kann ein Angreifer mit manipulierten JNLP-Dateien
aber eigene Befehle an die Java Virtual Machine �bergeben und so die
Sandbox abschalten.
Betroffen ist Java Web Start unter Windows, Solaris und Linux in allen Versionen 1.4.2 der Java 2 Platform Standard Edition (J2SE[2]) bis einschlie�lich 1.4.2_06. Nicht betroffen sind J2SE 5.0 und J2SE vor Version 1.4.2. Die L�cke ist unabh�ngig vom eingesetzten Browser (Internet Explorer, Firefox und Mozilla), nur Opera ist nicht betroffen, da er standardm��ig nicht mit JNLP-Dateien verkn�pft ist. Der Internet Explorer �ffnet JNLP-Dateien automatisch, andere Browser fragen per Dialog nach, ob die Datei ge�ffnet oder gespeichert werden soll.
Sun hat den Fehler in J2SE 1.4.2_07[3] behoben. Alternativ k�nnen Anwender ihr System auch gleich auf J2SE 5.0 Update 2[4] heben. In vielen Web-Start-Installationen ist die automatische Aktualisierung aktiv, hier gen�gt es, dem Update zuzustimmen. Als Workaround schl�gt der Hersteller vor, den Start von Java-Web-Start-Anwendungen durch den Browser zu deaktivieren. Ein Anleitung[5] dazu hat Sun in seinem Advisory ver�ffentlicht. Da sich die Anwendungen auch �ber die Kommandozeile starten lassen, empfiehlt Sun zus�tzlich, den Launcher (javaws.exe unter Windows und javaws unter Solaris und Linux) umzubenennen, um den unerw�nschten Aufruf zu verhindern.
Security Vulnerability With Java Web Start[6] Warnung von Sun Java Web Start argument injection vulnerability[7] Fehlerbeschreibung von Jouko Pynn�nen
(dab[8]/c't)
URL dieses Artikels: http://www.heise.de/newsticker/meldung/57730
Links in diesem Artikel: [1] http://java.sun.com/products/javawebstart/1.2/de/docs/Readme_de.html [2] http://java.sun.com/j2se/index.jsp [3] http://java.sun.com/j2se/1.4.2/download.html [4] http://java.sun.com/j2se/1.5.0/index.jsp [5] http://sunsolve.sun.com/search/document.do?assetkey=1-26-57740-1 [6] http://sunsolve.sun.com/search/document.do?assetkey=1-26-57740-1 [7] http://www.derkeiler.com/Mailing-Lists/Full-Disclosure/2005-03/0650.html [8] mailto:[EMAIL PROTECTED]
------------------------------------------------------------------------ Copyright 2005 Heise Zeitschriften Verlag
Gru� Michael
--------------------------------------------------------------------- To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]
