01.09.2012

Java-Plugin unter Linux stillegen

Heise berichtet seit Tagen √ľber einen Fehler in Java, durch den beliebige Systeme angreifbar werden. Zumindest l√§sst sich mit den Benutzerrechten, mit denen eine Browsersitzung gestartet wurde, Code ausf√ľhren wenn eine Webseite aufgerufen wird, die Schadcode enth√§lt.

Das Plugin l√§sst sich f√ľr alle Benutzer ganz einfach abschalten, in dem man jedem(!) Benutzer alle Rechte entzieht

user@host: ~> sudo bash
host:/home/user # cd /usr/lib64/browser-plugins
host:/usr/lib64/browser-plugins # chmod 000 javaplugin.so

Bei meiner SuSE-Installation ist dadurch letztendlich /usr/lib64/IcedTeaPlugin.so betroffen, weil die Links (s.u.) auf diese Datei verweisen. Aber dieses Plugin hat die selbe Sicherheitsl√ľcke.

Das einfache Umbenennen bringt hier nichts, Opera l√§dt z.B. offenbar alles, was der Ordner hergibt, also nicht nur Bibliotheken mit der Endung '.so'. Die Datei ganz zu l√∂schen k√∂nnte einige M√ľhe verursachen, wenn das heute still ver√∂ffentlichte Update √ľber das Paketmanagement der Distribution verf√ľgbar wird...

Hinweis: Auf 32-Bit-Systemen liegt die Datei (der Link) in /usr/lib/browser-plugins

Freilich kommt auch das Löschen in Frage. Eine Alternative wäre den Link in /etc/alternatives/javaplugin zu manipulieren. z.B. auf /bin/false verweisen zu lassen:

user@host: ~> sudo bash
host:/home/user # cd /etc/alternatives/
host:/etc/alternatives/ # mv javaplugin javaplugin_aus
host:/etc/alternatives/ # ln -s /bin/false javaplugin

Zuvor muss man nat√ľrlich pr√ľfen, ob /usr/lib(64)/browser-plugins √ľberhaupt auf /etc/alternatives/javaplugin verweist. Sonst macht das n√§mlich keinen Sinn.


Der Erfolg sollte durch einen Abruf der Seite http://www.heise.de/security/dienste/Java-403125.html getestet werden.

Kommentare:

Anonym hat gesagt…

Ist das noch notwendig? Es sind doch Updates erschienen (Java 7 - Update 7, Java 6 - Update 35), die die Sicherheitsl√ľcken schliessen.

Anonym hat gesagt…

Auch f√ľr IcedTea gibt es wohl ein Update (2.3.1).

. hat gesagt…

"Ist das noch notwendig?"

Ja, das muss √ľber die Distributoren aber noch verteilt werden.

Freilich kann man das Update auch manuell installieren. Unerfahrene richten dabei aber eher Schaden an. Insbesondere hinsichtlich der Installation k√ľnftiger Updates.

canary hat gesagt…

"Freilich kann man das Update auch manuell installieren. Unerfahrene richten dabei aber eher Schaden an. Insbesondere hinsichtlich der Installation k√ľnftiger Updates."

Was ja besonders f√ľr Dummy-Desktop-Distributionen (SuSE Linux bspw.) gilt. ;-)

Kommentar veröffentlichen