01.09.2012

Java-Plugin unter Linux stillegen

Heise berichtet seit Tagen ├╝ber einen Fehler in Java, durch den beliebige Systeme angreifbar werden. Zumindest l├Ąsst sich mit den Benutzerrechten, mit denen eine Browsersitzung gestartet wurde, Code ausf├╝hren wenn eine Webseite aufgerufen wird, die Schadcode enth├Ąlt.

Das Plugin l├Ąsst sich f├╝r alle Benutzer ganz einfach abschalten, in dem man jedem(!) Benutzer alle Rechte entzieht

user@host: ~> sudo bash
host:/home/user # cd /usr/lib64/browser-plugins
host:/usr/lib64/browser-plugins # chmod 000 javaplugin.so

Bei meiner SuSE-Installation ist dadurch letztendlich /usr/lib64/IcedTeaPlugin.so betroffen, weil die Links (s.u.) auf diese Datei verweisen. Aber dieses Plugin hat die selbe Sicherheitsl├╝cke.

Das einfache Umbenennen bringt hier nichts, Opera l├Ądt z.B. offenbar alles, was der Ordner hergibt, also nicht nur Bibliotheken mit der Endung '.so'. Die Datei ganz zu l├Âschen k├Ânnte einige M├╝he verursachen, wenn das heute still ver├Âffentlichte Update ├╝ber das Paketmanagement der Distribution verf├╝gbar wird...

Hinweis: Auf 32-Bit-Systemen liegt die Datei (der Link) in /usr/lib/browser-plugins

Freilich kommt auch das L├Âschen in Frage. Eine Alternative w├Ąre den Link in /etc/alternatives/javaplugin zu manipulieren. z.B. auf /bin/false verweisen zu lassen:

user@host: ~> sudo bash
host:/home/user # cd /etc/alternatives/
host:/etc/alternatives/ # mv javaplugin javaplugin_aus
host:/etc/alternatives/ # ln -s /bin/false javaplugin

Zuvor muss man nat├╝rlich pr├╝fen, ob /usr/lib(64)/browser-plugins ├╝berhaupt auf /etc/alternatives/javaplugin verweist. Sonst macht das n├Ąmlich keinen Sinn.


Der Erfolg sollte durch einen Abruf der Seite http://www.heise.de/security/dienste/Java-403125.html getestet werden.

Kommentare:

Anonym hat gesagt…

Ist das noch notwendig? Es sind doch Updates erschienen (Java 7 - Update 7, Java 6 - Update 35), die die Sicherheitsl├╝cken schliessen.

Anonym hat gesagt…

Auch f├╝r IcedTea gibt es wohl ein Update (2.3.1).

. hat gesagt…

"Ist das noch notwendig?"

Ja, das muss ├╝ber die Distributoren aber noch verteilt werden.

Freilich kann man das Update auch manuell installieren. Unerfahrene richten dabei aber eher Schaden an. Insbesondere hinsichtlich der Installation k├╝nftiger Updates.

canary hat gesagt…

"Freilich kann man das Update auch manuell installieren. Unerfahrene richten dabei aber eher Schaden an. Insbesondere hinsichtlich der Installation k├╝nftiger Updates."

Was ja besonders f├╝r Dummy-Desktop-Distributionen (SuSE Linux bspw.) gilt. ;-)

Kommentar ver├Âffentlichen