Abo
  • Services:

Oracle: Java entzieht MD5 und SHA-1 das Vertrauen

Oracles Java soll ab April keinen Code mehr ausführen, der mit dem unsicheren MD5-Algorithmus signiert worden ist. Dieses Update musste Oracle auf Druck der Kunden sogar verschieben. Zudem soll sich Java von SHA-1-Zertifikaten verabschieden.

Artikel veröffentlicht am ,
Java verabschiedet sich von MD5 und SHA-1.
Java verabschiedet sich von MD5 und SHA-1. (Bild: Andreas Donath)

Der Hash-Algorithmus MD5 gilt schon seit Jahren nicht mehr als sicher. Oracles Laufzeitumgebung für Java, JRE, wird deshalb ab dem für Mitte April geplanten Update keinen Java-Code mehr ausführen, der mit MD5 signiert worden ist. Konkret betroffen davon sind signierte Java-Archive, kurz Jar, die üblicherweise zum Verteilen von Anwendungen genutzt werden.

Stellenmarkt
  1. B. Strautmann & Söhne GmbH & Co. KG, Bad Laer
  2. alanta health group GmbH, Hamburg-Jenfeld

Die standardmäßige Verwendung von MD5 zur Erstellung einer Signatur beendete Oracle bereits im Jahr 2006 mit der Veröffentlichung von Java SE 6. Umgesetzt wird die angekündigte Änderung sowohl für das aktuelle Java SE 8 als auch für Java SE 6 und 7, die beide noch von Oracle offizielle Langzeitunterstützung erhalten. Ursprünglich geplant war die Änderung bereits für die Veröffentlichung des Januar-Updates, das vergangene Woche erschienen ist.

Oracle hat aber offenbar einige Hinweise von seinen Kunden bekommen, dass diese mehr Zeit benötigen, um auf die Änderung reagieren zu können. Bekanntgegeben worden ist der Plan bereits im Oktober vergangenen Jahres. Es ist in der Vergangenheit auch bei anderer Software immer wieder vorgekommen, dass sicherheitsrelevante Änderungen verschoben werden mussten, weil etwa Kunden, Nutzer oder betroffene Dritte nicht gut genug darauf vorbereitet gewesen sind.

Mit dem für April geplanten Update sollen außerdem standardmäßig keine SHA-1-Zertifikate mehr in Oracles JDK genutzt werden können. Ausgenommen davon seien sollen Zertifikate, die lokal oder für Unternehmensnetzwerke selbst ausgestellt werden. Signierter Code, mit einem Zeitstempel vor dem 1. Januar 2017, soll davon ebenso nicht betroffen sein.



Anzeige
Spiele-Angebote
  1. (u. a. Division 2: Standard Edition, Call of Duty: Black Ops 4, Red Dead Redemption 2)
  2. (-15%) 12,74€
  3. 4,99€

whitbread 24. Jan 2017

Fritzbox und Sicherheit sollten eh' nicht einem Satz verwendet werden.

gbpa005 24. Jan 2017

Gilt das auch für MessageDigest? Unter http://docs.oracle.com/javase/8/docs/api/java...

M.P. 24. Jan 2017

Aktuell von der Oracle Seite https://docs.oracle.com/javase/tutorial/deployment/jar/intro...

ibsi 23. Jan 2017

Quelle: https://www.golem.de/news/zertifikate-google-will-vor-sha-1-warnen-1408-108700...


Folgen Sie uns
       


Sailfish OS auf dem Sony Xperia XA2 Plus ausprobiert

Sailfish OS gibt es als Sailfish X auch für einige Xperia-Smartphones von Sony. Wir haben uns die aktuelle Beta-Version auf dem Xperia XA2 Plus angeschaut.

Sailfish OS auf dem Sony Xperia XA2 Plus ausprobiert Video aufrufen
Adblock Plus: Adblock-Filterregeln können Code ausführen
Adblock Plus
Adblock-Filterregeln können Code ausführen

Unter bestimmten Voraussetzungen können Filterregeln für Adblocker mit einer neuen Funktion Javascript-Code in Webseiten einfügen. Adblock Plus will reagieren und die entsprechende Funktion wieder entfernen. Ublock Origin ist nicht betroffen.
Von Hanno Böck


    Days Gone angespielt: Zombies, Bikes und die Sache mit der Benzinpumpe
    Days Gone angespielt
    Zombies, Bikes und die Sache mit der Benzinpumpe

    Mit dem nettesten Biker seit Full Throttle: Das Actionspiel Days Gone schickt uns auf der PS4 ins ebenso große wie offene Abenteuer. Trotz brutaler Elemente ist die Atmosphäre erstaunlich positiv - beim Ausprobieren wären wir am liebsten in der Welt geblieben.
    Von Peter Steinlechner


      Fitbit Versa Lite im Test: Eher smartes als sportliches Wearable
      Fitbit Versa Lite im Test
      Eher smartes als sportliches Wearable

      Sieht fast aus wie eine Apple Watch, ist aber viel günstiger: Golem.de hat die Versa Lite von Fitbit ausprobiert. Neben den Sport- und Fitnessfunktionen haben uns besonders der Appstore und das Angebot an spaßigen und ernsthaften Anwendungen interessiert.
      Von Peter Steinlechner

      1. Smartwatch Fitbit stellt Versa Lite für Einsteiger vor
      2. Inspire Fitbits neues Wearable gibt es nicht im Handel
      3. Charge 3 Fitbit stellt neuen Fitness-Tracker für 150 Euro vor

        •  /