01.09.2012

Java-Plugin unter Linux stillegen

Heise berichtet seit Tagen über einen Fehler in Java, durch den beliebige Systeme angreifbar werden. Zumindest lässt sich mit den Benutzerrechten, mit denen eine Browsersitzung gestartet wurde, Code ausführen wenn eine Webseite aufgerufen wird, die Schadcode enthält.

Das Plugin lässt sich für alle Benutzer ganz einfach abschalten, in dem man jedem(!) Benutzer alle Rechte entzieht

user@host: ~> sudo bash
host:/home/user # cd /usr/lib64/browser-plugins
host:/usr/lib64/browser-plugins # chmod 000 javaplugin.so

Bei meiner SuSE-Installation ist dadurch letztendlich /usr/lib64/IcedTeaPlugin.so betroffen, weil die Links (s.u.) auf diese Datei verweisen. Aber dieses Plugin hat die selbe Sicherheitslücke.

Das einfache Umbenennen bringt hier nichts, Opera lädt z.B. offenbar alles, was der Ordner hergibt, also nicht nur Bibliotheken mit der Endung '.so'. Die Datei ganz zu löschen könnte einige Mühe verursachen, wenn das heute still veröffentlichte Update über das Paketmanagement der Distribution verfügbar wird...

Hinweis: Auf 32-Bit-Systemen liegt die Datei (der Link) in /usr/lib/browser-plugins

Freilich kommt auch das Löschen in Frage. Eine Alternative wäre den Link in /etc/alternatives/javaplugin zu manipulieren. z.B. auf /bin/false verweisen zu lassen:

user@host: ~> sudo bash
host:/home/user # cd /etc/alternatives/
host:/etc/alternatives/ # mv javaplugin javaplugin_aus
host:/etc/alternatives/ # ln -s /bin/false javaplugin

Zuvor muss man natürlich prüfen, ob /usr/lib(64)/browser-plugins überhaupt auf /etc/alternatives/javaplugin verweist. Sonst macht das nämlich keinen Sinn.


Der Erfolg sollte durch einen Abruf der Seite http://www.heise.de/security/dienste/Java-403125.html getestet werden.

4 Kommentare:

Anonym hat gesagt…

Ist das noch notwendig? Es sind doch Updates erschienen (Java 7 - Update 7, Java 6 - Update 35), die die Sicherheitslücken schliessen.

Anonym hat gesagt…

Auch für IcedTea gibt es wohl ein Update (2.3.1).

. hat gesagt…

"Ist das noch notwendig?"

Ja, das muss über die Distributoren aber noch verteilt werden.

Freilich kann man das Update auch manuell installieren. Unerfahrene richten dabei aber eher Schaden an. Insbesondere hinsichtlich der Installation künftiger Updates.

canary hat gesagt…

"Freilich kann man das Update auch manuell installieren. Unerfahrene richten dabei aber eher Schaden an. Insbesondere hinsichtlich der Installation künftiger Updates."

Was ja besonders für Dummy-Desktop-Distributionen (SuSE Linux bspw.) gilt. ;-)

Kommentar veröffentlichen