News

Alle aktuellen Sun/Oracle Java Releases sind von einem Fehler betroffen der dazu ausgenutzt werden kann, DoS Attacken gegen serverseitige Java Applikationen erfolgreich auszuführen. Der Fehler tritt beim parsen des Strings "2.2250738585072012e-308" als Double-Wert auf und führt zu einer Endlosschleife im betreffenden Thread. Oracle warnt vor der Lücke und hat einen Hotfix für J2SE 1.4.2 bis einschließlich 1.4.2_29, J2SE 5.0 bis einschließlich 5.0u27 und Java SE 6 einschließlich 6u23 sowie die aktuellen Versionen von Java Real-Time System 2 und JRockit R27 und R28.

 

Über den gleichen Fehler war PHP bereits im vergangen Herbst gestolpert und auch damals reagierten die Verantwortlichen schnell. Zur akuten Gefahr wird der Fehler in allen Applikationen in denen Usereingaben oder URL-Parameter ungefiltert als Double interpretiert werden. Zum Problem wird es aber auch wenn im Tomcat laufende Applikationen die getLocale-Methode des Requests aufrufen um den Accept-Language Header des Clients auszuwerten. Die Tomcat Entwickler haben sehr schnell reagiert und mit den Versionen 5.5.33, 6.0.32 und 7.0.8 den Fehler behoben und damit bereits vor dem Oracle Hotfix diese Lücke geschlossen. Oracle rät allen Anwendern ihre Java Versionen mit dem Patch zu versehen der natürlich auch Bestandteil der in Kürze erscheinenden regulären Java Updates sein wird. Der Patch steht in Form des "Java SE Floating Point Updater Tools" auf der Oracle Webseite zum Download zur Verfügung.