Java: Spring4Shell Sicherheitslücke

vor einigen Tagen wurde im #Java Basierten Spring Framework kritische #Sicherheitslücken Spring4Shell entdeckt und mittlerweile auch geschlossen. Nach intensiver Recherche konnten wir keine Software entdecken, die das Framework im uns bekannten Umfeld einsetzt. Außerdem erfordert das Ausnutzen der Lücke eine recht exotische Installationsanordnung. Das bedeutet nicht, dass Sie im eigenen Umfeld diese Konstellation einsetzen könnten.

Diese Lücke zeigt jedoch wieder, dass der Einsatz von Java-basierter Software grundsätzlich ein Risiko darstellt. Da es keine zentrale Liste gibt, die beschreibt, welche JAVA-Bibliotheken eine Software-Anwendung einsetzt und jede Java-Version spätestens nach drei Monaten ohne Updates Sicherheitslücken enthält, bleibt der Einsatz von JAVA kritisch.

[faq openfirst=0 numbered=1] Wann bin ich von der Lücke betroffen|=|Nur, wenn Sie JAVA in Verbindung mit einer JAVA-basierten Software im Einsatz haben, die das Spring Framework einsetzt|| Was kann ich tun?|=|Die effektivste Methode ist, sich von allen JAVA-Installationen zu trennen, und wenn Software mit JAVA im Einsatz ist, nach Alternativen zu suchen|| Ist Spring4Shell so gefährlich wie LOG4Shell?|=|Nein. Erstens setzen wesentlich weniger JAVA-Projekte auf dieses Framework als das bei LOG4J der Fall ist, zweitens lässt sich die Remote Code Lücke nur in Verbindung mit einer in speziellem Modus gestarteten TOMCat Webserver nutzen|| Wo bekomme ich den Patch her?|=|Wenn Sie eine Software identifiziert haben sollten, die das Framework benutzt, wenden Sie sich bitte an den Hersteller der Software[/faq]

Umgang mit Java

• Vorhandene JAVA-Installationen sollten darauf geprüft werden, ob sie noch von Programmen genutzt werden - wenn nicht: entfernen!
• Ist die Java-Installation von Oracle, sollte sie grundsätzlich sofort entfernt und durch Adoptium Temurin ersetzt werden. Möchte man aktuelle Oracle Java Versionen einsetzen, ist ein Abonnement mit der Oracle Corporation pro Gerät erforderlich.
• Im Optimalfall ist keine Software auf JAVA-Basis mehr erforderlich. Damit lassen sich dann auch keine Schwachstellen wie LOG4J oder SPRING4SHELL ausnutzen und die Sicherheitslücken der Java-Runtime entfallen.
• Bleibt noch JAVA-basierte Software im Einsatz, nehmen Sie mit dem Hersteller Kontakt auf und fragen nach Alternativen - oder stellen die Produkte ein. "Ein Leben ohne JAVA ist möglich und nicht sinnlos".

Spring4Shell has been catalogued as CVE-2022-22965 and fixed in Spring Framework 5.3.18 and 5.2.20, and Spring Boot (which depends on the Spring Framework) 2.5.12 and 2.6.6.“The vulnerability impacts Spring MVC and Spring WebFlux applications running on JDK 9+. The specific exploit requires the application to run on Tomcat as a WAR deployment,” Spring Framework developers have explained.“If the application is deployed as a Spring Boot executable jar, i.e. the default, it is not vulnerable to the exploit. However, the nature of the vulnerability is more general, and there may be other ways to exploit it.”

https://www.helpnetsecurity.com/2022/04/01/cve-2022-22965/

LOG4J Sicherheitslücke JAVA

Die vielfach verwendeten Uqibiti WLAN-Access Points der amerikanischen Firma Unifi. Die Controller-Software, um ganze WLAN-Netzwerke zu verwalten, lässt sich auf einer Hardware-Appliance, unter Linux oder unter Windows (-Server) als Dienst betreiben. Nur mit Version 6.5.54 ist die Lücke geschlossen. Firmware-Updates bzw. Software-Updates sind unbedingt erforderlich. Als Runtime kann Adoptium eingesetzt werden.

Seccommerce, der Anbieter von Digitalen Signatur-Lösungen (z.B. E-Rechnung mit digitaler Signatur gegen Fake E-Mails) hat veröffentlicht, dass sie kein LOG4J einsetzen in deren Server-Softareprodukten – und am Client Adoptium JRE unterstützen.

Handlungsbedarf

1. Ermitteln Sie den Software-Bestand auf Ihren Servern und Endgeräten (Windows und Linux), sowie auf Hardware-Appliances (wie Kamera-Servern, Zeiterfassungs-Software und Diensten auf Servern). Hierbei kann Open-Audit (audit und nmap scan) insbesondere für die Windows-Umgebung hilfreich sein.
2. Nehmen Sie mit den Herstellern der Software Kontakt auf, und/oder prüfen, ob es aktuelle Versionen oder Firmware Updates gibt.
3. Führen Sie diese Updates durch (oder lassen sie vom Anbieter durchführen).

Scan-Tool (nur für Windows)

Für das Entdecken von Lücken auf der Windows-Plattform (erkennt damit nicht Log4J in Hardwaregeräten oder Linux-Systemen) gibt es auf GitHub ein Befehlszeilen Werkzeug, das man auf jedem Windows-Server oder PC, auf denen JAVA installiert ist, ausführen muss. Es sucht (nur die angegebenen Laufwerke) nach anfälligen Bibliotheken und schreibt einen Bericht darüber. Die Java-Komponente aktualisieren oder entfernen (wenn die Software sie nicht benötigt), muss man immer noch:

Eine Beschreibung wie man das Werkzeug nutzt und der direkte Download sind hier beschrieben. An der administrativen Befehlszeile oder Powershell ist dann: Log4j2-scan c:\ --fix auszuführen und das Ergebnis auszuwerten.

https://github.com/logpresso/CVE-2021-44228-Scanner

Die gängigen Tools finden auch alte (Version 1.x) Bibliotheken von LOG4J. Im Regelfall eignet es sich, solche unbenutzten JAR-Dateien irgendwo hin zu isolieren und wenn keine Nebenwirkungen auftreten, sie dann zeitverzögert zu entsorgen. Lässt sich eine genutzte Software (die diese Bibliotheken und JAVA benötigt) nicht mehr nutzen, wenden Sie sich bitte an den jeweiligen Software-Hersteller.

Ein Leben ohne JAVA ist möglich (und nicht sinnlos)

Ungeachtet der oben genannten Schritte gilt: Wenn möglich und geprüft, JAVA Runtimes komplett deinstallieren oder den Hersteller fragen, ob sich Adoptium Temurin Runtime einsetzen lässt. Hier gibt es regelmäßig Sicherheitsupdates.

Eine weitere Sammlung von Softwareprodukten und Hersteller-Erklärungen ist auf Gist zu finden. Allerdings unterscheidet die Liste nicht, ob das Produkt ein verwundbares LOG4J enthält oder nicht. Wenn Sie die von Ihnen verwendeten Produkte in der Liste durchklicken, erfahren Sie, ob Ihre Produkte betroffen sind oder gar kein LOG4J enthalten.

https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

Java für alle - Adoptium Temurin

Scrollen Sie in der Liste nach unten, bis Sie die folgende Konstellation finden:

Windows x86

jre

(aktuelles Datum) 11 September 2021

.zip (37 MB)

.msi

Wenn Sie die .msi Datei herunterladen, erhalten Sie JAVA mit Setup-Programm. Hier bitte alles ankreuzen und schon ist die aktuelle Java-Version auf Ihrem System. Möchten Sie die von Programmen mitgeführte JAVA Version aktualisieren (meist in einem Unterverzeichnis JRE im Programmordner), laden Sie die ZIP-Datei herunter und ersetzen den Inhalt des JRE Ordners damit. Das funktioniert natürlich nur, wenn JAVA8 und 32-Bit benötigt werden.
Ein Beispiel für solche Software ist XMind Classic 3.7.8, die letzte kostenlose Version dieser Software. Letztgenannte wird nicht mehr aktualisiert, man kann aber die enthaltene Java-Version wie oben beschrieben aktualisieren.

Sofern Sie andere JAVA-Konstellationen wie 64-Bit oder die LTS Version 16 benötigen, können Sie das auf der Projektseite am Anfang einstellen und laden dann diese Version herunter.

Mittlerweile kommen in meinem Umfeld keine kostenpflichtigen Funktionen mehr vor, für die ich Oracle Java benötige.

JAVA - kostenlose Alternative

Seit April 2019 (und Java Version 8 Update 211) dürfen Geschäftskunden #JAVA nur noch verwenden, wenn Sie über eine aktive Subscription (Wartungsvertrag) von Oracle verfügen. Pro "named User" kostet die Java Runtime rund 28 € pro Jahr.

Da Java aber ohne die Oracle Komponenten weiterhin Open Source Projekte sind, gibt es zahlreiche Abspaltungen (forks) aus dem kostenlosen OpenJDK. Das flexibelste Projekt, das sich auch noch über eine .msi Installer Datei einfach verteilen lässt, ist dabei AdoptOpenJDK - jetzt #Adoptium .

Auf der Projektseite kann man sich dann den passenden Installer herunterladen oder aber bestehen Java-basierte Software aktualisieren, indem man die .ZIP-Datei herunterlädt und in der Software den Inhalt des Unterordners /JRE austauscht.

Praxistipps zu Java

Ermitteln Sie zunächst, welche JAVA-Versionen bei Ihnen in Betrieb sind. Hierbei kann Ihnen das Open Source Inventarwerkzeug "Open-Audit Classic" helfen, das wir im Download Bereich für Sie anbieten.

Varianten: "Hotspot" ist derzeit weiter verbreitet als "OpenJ9". Daher bitte zunächst mit der Hotspot-Variante ausprobieren. Wenn es Fehler beim Aufruf der Software gibt, die OpenJ9 Variante installieren.

Die meisten JAVA-Anwendungen basieren auf JAVA Version 8 in 32-Bit (x86). Auf der Projektseite demnach die Windows x86 Variante herunterladen.

Laden Sie immer das Produkt herunter, wo JRE hinter steht, nicht das JDK. Wir wollen ja nicht in JAVA entwickeln, sondern nur die Runtime nutzen. Die Runtime ist zwischen 30 und 40 MB groß, das JDK über 100 MB.

Im Installationsprogramm dann bitte alles ankreuzen. Nur so werden die Umgebungsvariablen und die Registry-Einstellungen gesetzt, die helfen, dass die Software auch ohne Oracle funktioniert. Silent-Installationen lassen sich über die bekannten .MSI Parameter erstellen. Hierbei müssen die anzukreuzenden Komponenten per Befehlszeile mitgegeben werden:

msiexec /i OpenJDK8-jdk_xxx.msi /qn ADDLOCAL=FeatureMain,FeatureEnvironment,FeatureJarFileRunWith,FeatureJavaHome

Führt die von Ihnen verwendete Software JAVA mit, enthält das Software-Verzeichnis meist einen Unterordner /JRE, den es neu zu befüllen gibt. Laden Sie dazu die JRE 8 in 32 Bit der passenden Variante (meist ist das allerdings OpenJ9 und nicht Hotspot) herunter, entpacken die ZIP Datei und ersetzen den Inhalt des JRE Verzeichnisses Ihrer Software. Normalerweise sollte nun auch die Software den aktuellen Sicherheitsstand von Java haben und funktionieren

Was tun, wenn alles nicht funktioniert?

Lässt sich Ihre JAVA-basierte Software nicht mit den oben genannten Mitteln in Betrieb nehmen, nutzt sie vermutlich Komponenten von Oracle, die nicht Open Source, also lizenzpflichtig sind. In dem Fall nehmen Sie bitte Kontakt mit Ihrem Software-Lieferanten auf, ob er Versionen ohne JAVA oder ohne Oracle Komponenten anbietet. Wenn nicht, muss mit Oracle ein Wartungsvertrag abgeschlossen werden (für alle named User, die diese Software nutzen) und dann das Oracle SETUP mit der aktuellen Version ausgeführt werden.

Warnung: Vermeiden Sie bitte, unlizensierte Oracle Versionen geschäftlich zu nutzen. Da der enthaltene Updater "nach Hause telefoniert", ist es für Abmahn-Anwälte mit Oracle Mandat ein Leichtes, Sie in Regress zu nehmen.

Umzug des AdoptOpenJDK Projekts

Das AdoptOpenJDK Projekt hat angekündigt, zur Eclipse-Foundation zu wechseln. Seit Juli 2021 gibt es auch schon die "neue Seite" im Eclipse Projekt. Dort findet man aber nur das JDK, nicht die JRE Runtime. Ferner wird unter dem neuen Namen "Adoptium" nur die OpenJ9-Variante angeboten.

Wegen des Umzugs sind die aktuellen (Update 302) JRE nur unter den Nightly Builds auf der AdoptOpenJDK Seite zu finden. Die Seite aufrufen, dann "Release Archiv und nächtliche Builds" anklicken, dann "nächtliche Builds"...

https://adoptopenjdk.net/nightly.html?variant=openjdk8&jvmVariant=hotspot

Nun nach Windows suchen und die neuste Kombination als .msi Installer herunterladen:

Windows x86

jre

normal

8 Aug 2021

.zip (37 MB)

.msi

Soll es die ZIP-Datei sein, zuvor oben auf OpenJ9 umstellen.

Warum ist Libreoffice immer noch keine Alternative zu Microsoft Office

#FAQ #Libreoffice und andere Open-Source Bürosoftware wie Open-Office bieten keine Schnittstellen zu anderen Microsoft Programmen.

Was geht nicht?

So wird beispielsweise in Microsoft Dynamics 365 Business Central (ehemals Navision) für Office Funktionen eine Microsoft Schnittstelle aufgerufen, über die Daten an Word und Excel übergeben werden, die nur Microsoft Office hat .

Auch die JDBC-Schnittstelle von Libreoffice ist nicht komfortabel und basiert auf Java (J steht für JAVA). Java gehört neben Adobe Flash zu den gefährlichsten Programmen der Welt. Im Übrigen ist Oracle #Java für Unternehmen kostenplfichtig.

Die abweichende Darstellung und Formatierung, sowie fehlende Assistenten machen die freie Software für den täglichen Gebrauch unwirtschaftlich - zumal alle neuen Mitarbeiter schon in der Schule den Umgang mit Microsoft Office lernen.

Ein weiterer, wichtiger Aspekt ist, dass Libreoffice kein Outlook (Mailprogramm) enthält. Outlook und Word als Einzelprogramme lizensiert, sind teurer als ein Office Plan oder eine Boxware für Einzelplatzeinsatz.

Auch für Administratoren bietet Liebreoffice keine Zero-Admin Updateverfahren, die auch in Cloud- und Citrix-Umgebungen funktionieren.

Wer auf all diese Funktionen und den Support für die Büro-Software verzichten möchte, kann (die jeweils aktuelle Version einsetzen) von Libreoffice einsetzen. Etwa einmal alle 2 Monate gibt es Sicherheits-Updates, die installiert werden sollten.
Am Rande gibt es auch Positives von Libeoffice ab Version 6 zu berichten - daher werden einige Administratoren das Produkt parallel zum Microsoft Office installieren möchten. Der SWriter (Schreibprogramm vom Libreoffice) kann ausfüllbare PDF-Formulare erstellen. Man nehme eine Word-Datei und füge im Swriter Form-Felder zu. Gespeichert als PDF und jemand bereitgestellt, kann dieser die PDF am Bildschirm ausfüllen und mit Inhalten zuschicken. Das spart es, auf Webseiten Formulare zu programmieren.

Fazit

Im Firmen-Umfeld sind aktuell die Microsoft 365 Apps die professionelle Variante mit den meisten Vorteilen. Auch betriebswirtschaftlich und im Namen der Sicherheit ist es wichtig, immer auf dem aktuellen Stand zu sein. Die Funktionalität muss mit den Geschäfts-Anforderungen mitwachsen.

Java Sicherheitslücken: Updates mieten oder deinstallieren

Oracle macht ernst: Die ersten kritischen Sicherheitslücken wurden mit #Java 8 Update 212 heute geschlossen. Das Java Update ist zwar auf java.com herunterladbar, ein leuchtend gelber Hinweis macht aber klar, dass nur Privatpersonen die aktuelle Java Runtime kostenfrei herunterladen und auf ihrem Privatrechner installieren dürfen.

Die Java Runtime (JRE) ist damit bereits heute mit kritischen Sicherheitslücken angreifbar. Man kann davon ausgehen, dass diese Lücken auch zeitnah genutzt werden, um Rechner Netzwerke zu kompromittieren und so den nichts ahnenden Benutzern beispielsweise Verschlüsselungs-Trojaner unterzuschieben.

Effektiv schützen kann man sich nur,

• wenn man Java von allen Systemen entfernt. Das alte Java Update 192 ist keine sichere Alternative mehr
• Die Hersteller von Java-basierter Software auffordert, Alternativen zu schaffen und beispielsweise auf HMTL5, C# oder Webservices zu setzen
• Einen aktuellen und sicheren Virenscanner einsetzt.
• Eine Firewall der zweiten Generation in Betrieb hat, die SSL-Interception und Advanced Thread Detection hat

Zitate aus den Lizenzbedingungen für Java und Java Runtime bei Oracle:

Oracle Java Updates JRE with Java Web Start, continues to be free for personal use. Personal users can continue downloading the Oracle Java SE 8 JRE at java.com.
Personal use is using Java on a desktop or laptop computer to do things such as to play games or run other personal applications. If you are using Java on a desktop or laptop computer as part of any business operations, that is not personal use.

https://www.oracle.com/technetwork/java/javase/overview/oracle-jdk-faqs.html

Letztes freies Java Sicherheitsupdate

Oracle hat heute das letzte kostenlose Java-Sicherheitsupdates für die #Java Runtime 8 veröffentlicht. Die Versionsangabe steigt damit auf Version 8.0.202. Ab Februar sind dann weitere Updates der Runtime nur mit einem kostenpflichtigen Abo zu beziehen. Wer noch Anwendungen auf Java-Basis (lokale Anwendungen und auch Browser-Web-Anwendungen) einsetzt, sollte schnell handeln, damit keine größeren #Sicherheitslücken genutzt werden ab Februar.

Alternativen zur kostenpflichtigen Java wie das #Adoptium (OpnJDK) habe ich in dem anderen Artikel genannt. Das Prüfprogramm für elektronische Rechnungen "Secsigner" erfordert bereits jetzt keine Oracle Java Runtime mehr, sondern enthält eine eigene OpenJDK im Installationspaket.

Java-Alternativen

Wer nur eine #Java Runtime benötigt, um damit in Java entwickelte Programme lokal betreiben zu wollen, kann die #Adoptium openJDK Java Laufzeitumgebung installieren, die GPL-lizensiert ist (also Open-Source). Zwar fertigt auch hier Oracle die Windows Binärdateien an, diese unterliegen aber dem GPLv2 Lizenzvertrag und sind damit ohne Lizenzgebühren weiterhin verfügbar. So ist Version 11.0.1 binärkompatibel zur lizenzpflichtigen Java SE 11 - aber kostenlos. Leider gibt es kein Installations-Programm, sondern nur eine ZIP-Datei. Das bedeutet, dass man sich (z. B. mit Innosetup) selbst ein Setup bauen muss, oder die von Java-basierter Software benötigten Registrierungs-Einträge und ggf. einen JAVA-Pfad und eine Systemvariable in der Umgebung von Hand einrichten muss. Ich habe mit einem Innosetup, dass nur die javasoft Registrierungs-Einträge setzt, beispielsweise TV-Browser und den Seccommerce SecSigner starten und benutzen können. Die Oracle 8 Update 192 Version hatte ich zuvor komplett deinstalliert. :N Wer ein Browser-Plugin benötigt (aktuell nur noch als Active-X für den Internet Explorer 11), wird mit dem Anbieter der Software über Alternativen diskutieren müssen, Lizenzgebühren auf Mietbasis für Java SE 11 zahlen oder die ab Februar 2019 potenziell unsichere Java Runtime 8U192 verwenden. (Post ID:1177)

Java wird kostenpflichtig

Oracle ändert Lizenzbedingungen von Java für Firmen: Ab Januar 2019 werden alle Java-Versionen größer als Version 8 Update 192 kostenpflichtig für gewerbliche oder produktive Nutzung. Updates der neueren Versionen werden dann auch nicht mehr öffentlich zum Download angeboten, sondern nur mit Oracle-Konto. :N Das bedeutet für alle Firmen: Das unter Angreifern und Hackern wegen seiner Sicherheitslücken sehr beliebte #Java darf nicht mehr aktualisiert werden, weil man ansonsten gegen die Lizenzvereinbarungen verstößt. Die Lizenz kann man auch nicht kaufen, sondern muss sie pro Named User, der eine Java Runtime (JRE) produktiv nutzen könnte, monatlich mieten. Da Lizenzbestimmungen nicht rückwirkend für die vorhandenen 8er- bzw. ältere Versionen geändert werden können, bleibt nur der Ausweg, die Java Update-Dienste zu stoppen und nachhaltig und konsequent zu verhindern, dass Java Updates installiert werden. Auch bei Neu-Installationen von Rechnern, Servern und Software muss darauf geachtet werden, dass keine neuere Version als 8 Update 192 installiert und betrieben wird. :J Werden Java Programme lokal auf dem Rechner betrieben, die keinen Web-Browser benötigen (hierzu zählt das Werkzeug "Secsigner" von Seccommerce zum Überprüfen von signierten Rechnungen durch den Rechnungsempfänger), so kann man die GPLv2 lizensierte OpenJDK Umgebung installieren, Registrierungseinträge machen und nutzen. :J Die bessere Alternative - vor allem aus Sicherheitsaspekten wird natürlich sein, Java komplett von allen Systemen zu entfernen. Konsequenz ist, dass einige System-Software-Werkzeuge der Hersteller (z.B. FTS RAID Manager) dann nicht mehr genutzt werden können. Schon heute lassen sich alte HP-Jetdirect Boxen nicht mehr administrieren, weil sie Java 6 in 32-Bit erfordern. Bei Nutzung von aktueller Vmware Vsphere bleibt nur der Ausweg, die Vcenter HTML5 Oberfläche zu benutzen und nicht die Java-basierte Oberfläche. Wer eine Lizenz für die Konsolen-Weiterleitung beim IRMC erworben hat, findet in den Einstellungen der meisten neueren Weboberflächen die Möglichkeit, dort auf HTML5 umzustellen. Schon kann vom PC mit Webbrowser ohne Java die Serverkonsole/das BIOS erreicht werden. Anbieter von in Java programmierter Software, die nicht auf #Adoptium OpenJDK basiert, sondern auf Oracles Java SE basiert, können das nur tun, wenn der Anbieter selbst und seine Kunden monatlich Lizenzgebühren an Oracle dafür zahlen. Fazit: Kostenlos sind nur - Java Runtimes deinstallieren, OpenJDK für lokale Java Anwendungen einsetzen oder (für Java Webanwendungen) Sicherheitslücken und hohe Risiken dulden. Alle anderen Varianten erfordern auch für die Clients monatliche Lizenzgebühren an Oracle. Hinweis: Dies ist keine Rechtsberatung, sondern nur eine Faktensammlung auf Basis der Lizenzvereinbarung von Java 8 Update 192.

Java und die Sicherheits-Updates

Oracle legt den Stichtag für das Ende der öffentlich verfügbaren Updates für Dezember 2020 fest. Java 7 wurde bereits im März 2015 eingestellt. Wer noch Installationen von Java 7 auf seinen Systeme hat, prüfe bitte, ob Java notwendig ist und wenn ja, die verwendete Software auch mit Java 8 funktioniert. Dann steht einem Update auf Java Version 8 nichts mehr im Wege. :W #Java 8 ist die letzte Version mit öffentlichem Langzeit Support. Alle Nachfolgeversionen erfordern für den Long Term Service einen Mietvertrag mit Oracle. Eine Alternative, weil noch sicherer ist die aktuelle Java 10 Version, da viele Bereiche in reservierten Speicherbereichen (sandboxing) laufen. Ab Java 9 sind die Support-Zyklen aber wesentlich kürzer. Java 10 beispielsweise erschien im März, der Support endet im September 2018. Damit gibt es wie bei Microsoft Windows auch bei Oracle Java nun 2 Halbjahres-Versionen, die aktualisiert werden müssen. Fazit: Java 8 wird noch bis 2020 aktualisiert. Prüfen, ob noch Java 7 Installationen vorliegen, wenn ja, Notwendigkeit der Installation bzw. Lauffähigkeit der Software unter Java8 prüfen. Auf Java 8 umstellen. (Post ID:1163)

Java .msi Datei extrahieren

Update Januar 2019: #Java 8 SE seit Update 211 und seine Runtime sind nur noch für "persönliche Nutzung" kostenfrei. Bei kommerzieller Nutzung benötigt man eine Subscription (Mietvertrag) mit Oracle auf monatlicher Basis. Java von Oracle wird nur benötigt, wenn die Anwendung "Webstart", .jnlp-Dateien oder ein Browser-Plugin im Internet Explorer 11 verwendet.

Hier beschreiben wir Ihnen, wie Sie den MSI Installer javamsi finden. Wenn man java Updates herunterlädt, kommen sie in Form einer EXE Datei. Zur Verteilung/Installation per GPO benötigt man aber die enthaltene .MSI: Startet man die .EXE und läßt sie auf dem ersten Java Dialog stehen, findet man den MSI Installer unter:

C:/Users/%username%/AppData/LocalLow/Oracle/Java/ <b>Update 25.03.2018:</b>

Die .MSI Datei erscheint erst in dem Ordner, wenn man das Setup startet und auf "installieren" klickt. Je nach Anwendung benötigt man die 32- Bit oder 64-Bit-Version. Der Ordner heißt wie das aktuelle Update. Zum Beispiel: jre1.8.0_211.
Im Unterordner liegt dann die MSI Datei, die man zur Verteilung mit den üblichen Silent-Parametern verwenden kann.

Wer JAVA dann unattended (silent) installieren möchte, verwendet folgende Befehlszeile:

MsiExec.exe /qb- /norestart /X {26A24AE4-039D-4CA4-87B4-2F64180301F0} REBOOT=Suppress
msiexec /i jre1.8.0_30164.msi REINSTALLMODE=amus /qb- /norestart IEXPLORER=1 MOZILLA=0 REBOOT=Suppress JAVAUPDATE=0 EULA=1

Die rote Meldung, dass ein Java-Update vorhanden ist, kann man über diese Registry-Schlüssel entfernen:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft\Java Update\Policy]
"UpdateSchedule"=dword:00000000
"NotifyInstall"=dword:00000000
"NotifyDownload"=dword:00000001
"EnableJavaUpdate"=dword:00000000
"Frequency"=dword:010a0000
"ScheduleId"="S-1-5"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RUN]
"SunJavaUpdateSched"=-

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\JavaQuickStarterService]
"Start"=dword:00000003

[HKEY_CURRENT_USER\Software\JavaSoft\Java Update\Policy]
"EnableAutoUpdateCheck"=hex:01,00,00,00,d0,8c,9d,df,01,15,d1,11,8c,7a,00,c0,4f,\
  c2,97,eb,01,00,00,00,61,97,40,d9,07,91,d4,47,a6,fa,7d,eb,03,54,7d,50,00,00,\
  00,00,1c,00,00,00,50,00,61,00,73,00,73,00,77,00,6f,00,72,00,64,00,20,00,44,\
  00,61,00,74,00,61,00,00,00,03,66,00,00,a8,00,00,00,10,00,00,00,0d,ee,d3,f1,\
  52,45,a0,d9,42,48,d3,6c,e4,75,46,51,00,00,00,00,04,80,00,00,a0,00,00,00,10,\
  00,00,00,d0,94,f7,6a,f5,e5,a0,29,fc,da,46,ad,b2,c0,75,c5,08,00,00,00,b4,41,\
  34,f6,6a,e7,61,f8,14,00,00,00,22,f0,89,37,b1,12,26,e6,fe,b5,1c,50,f7,8d,83,\
  5f,83,ec,e0,ec

Microsoft Sicherheitslücken

#Java 8u72 mit zahlreichen Sicherheitsfixes, ebenso Google #Chrome Enterprise: 48.0.2564.82, Microsoft Skype: 7.18.32.109, Windows 10 Insider Preview: build 11102. Halten Sie Ihre Umgebung bitte auf dem aktuellen Stand. Für die Insider Preview gibt es einen Fix für die Fehlermeldung nach dem Start: schtasks /delete /TN "\Microsoft\Windows\WS\WSRefreshBannedAppsListTask" /F mit administrativen Rechten ausführen und die Meldung kommt nicht mehr. (Post ID:991)