Java | PBCS IT-News

Programmiersprache für Anwendungen und Apps, von Oracle nicht mehr kostenlos, als OpenJDK weiter kostenfrei (GPL)

Samstag, 11. Jun 2022 14:02:12 vor 2 Jahren 01:225583 T4431

Java: Spring4Shell Sicherheitslücke
vor einigen Tagen wurde im #Java Basierten Spring Framework kritische #Sicherheitslücken Spring4Shell entdeckt und mittlerweile auch geschlossen. Nach intensiver Recherche konnten wir keine Software entdecken, die das Framework im uns bekannten Umfeld einsetzt. Außerdem erfordert das Ausnutzen der Lücke eine recht exotische Installationsanordnung. Das bedeutet nicht, dass Sie im eigenen Umfeld diese Konstellation einsetzen könnten. Diese Lücke zeigt jedoch wieder, dass der Einsatz von Java-basierter Software grundsätzlich ein Risiko darstellt. Da es keine zentrale Liste gibt, die beschreibt, welche JAVA-Bibliotheken eine Software-Anwendung einsetzt und jede Java-Version spätestens nach drei Monaten ohne Updates Sicherheitslücken enthält, bleibt der Einsatz von JAVA kritisch. [faq openfirst=0 numbered=1] Wann bin ich von der Lücke betroffen|=|Nur, wenn Sie JAVA in Verbindung mit einer JAVA-basierten Software im Einsatz haben, die das Spring Framework einsetzt|| Was kann ich tun?|=|Die effektivste Methode ist, sich von allen JAVA-Installationen zu trennen, und wenn Software mit JAVA im Einsatz ist, nach Alternativen zu suchen|| Ist Spring4Shell so gefährlich wie LOG4Shell?|=|Nein. Erstens setzen wesentlich weniger JAVA-Projekte auf dieses Framework als das bei LOG4J der Fall ist, zweitens lässt sich die Remote Code Lücke nur in Verbindung mit einer in speziellem Modus gestarteten TOMCat Webserver nutzen|| Wo bekomme ich den Patch her?|=|Wenn Sie eine Software identifiziert haben sollten, die das Framework benutzt, wenden Sie sich bitte an den Hersteller der Software[/faq] Umgang mit Java Vorhandene JAVA-Installationen sollten darauf geprüft werden, ob sie noch von Programmen genutzt werden - wenn nicht: entfernen!Ist die Java-Installation von Oracle, sollte sie grundsätzlich sofort entfernt und durch Adoptium Temurin…

Montag, 13. Dez 2021 11:09:38 vor 2 Jahren 02:138332 T4602

LOG4J Sicherheitslücke JAVA
In Servern und Serverdiensten, die auf der Programmiersprache #JAVA basieren (nicht Javascript!), gibt es eine Bibliothek namens #LOG4J zum Protokollieren von Informationen. Manche Software-Produkte verwenden diese Bibliothek. Ist diese Bibliothek nicht auf dem neusten Stand (betrifft Versionen 2.0 bis 2.16), können Angreifer Kontrolle über den darunter liegenden Server erlangen. Betroffen sind somit Linux-, Unix- und Windows Server – sofern Sie einen JAVA-basierten Serverdienst mit der Bibliothek nutzen. [Anm d. Red.] Grundsätzlich haben auch alte LOG4J-Bibliotheken Version 1.x Sicherheitslücken. Das Bundesamt (BSI) stuft diese alten Versionen aber als geringes Risiko ein. Die vielfach verwendeten Uqibiti WLAN-Access Points der amerikanischen Firma Unifi. Die Controller-Software, um ganze WLAN-Netzwerke zu verwalten, lässt sich auf einer Hardware-Appliance, unter Linux oder unter Windows (-Server) als Dienst betreiben. Nur mit Version 6.5.54 ist die Lücke geschlossen. Firmware-Updates bzw. Software-Updates sind unbedingt erforderlich. Als Runtime kann Adoptium eingesetzt werden. Seccommerce, der Anbieter von Digitalen Signatur-Lösungen (z.B. E-Rechnung mit digitaler Signatur gegen Fake E-Mails) hat veröffentlicht, dass sie kein LOG4J einsetzen in deren Server-Softareprodukten – und am Client Adoptium JRE unterstützen. Handlungsbedarf Ermitteln Sie den Software-Bestand auf Ihren Servern und Endgeräten (Windows und Linux), sowie auf Hardware-Appliances (wie Kamera-Servern, Zeiterfassungs-Software und Diensten auf Servern). Hierbei kann Open-Audit (audit und nmap scan) insbesondere für die Windows-Umgebung hilfreich sein.Nehmen Sie mit den Herstellern der Software Kontakt auf, und/oder prüfen, ob es aktuelle Versionen oder Firmware Updates gibt.Führen Sie diese Updates durch (oder lassen sie vom Anbieter durchführen). Scan-Tool (nur für Windows) Für das Entdecken von Lücken auf der Windows-Plattform (erkennt damit…

Sonntag, 12. Sep 2021 12:33:53 vor 3 Jahren 01:06 242.1K33 m4273

Software Java3 M

Java für alle – Adoptium Temurin
Seit dem Wechsel zur Eclipse Foundation bekommt man hier die Hotspot Releases der kostenlosen Java-Variante. Leider dauert es noch, bis hier alle builds und auch die JRE angekommen sind. Mittlerweile findet man bei Temurin auch die nightly builds. Derzeit ist das die einzige Möglichkeit, ein aktuelles Java mit möglichst wenigen (bekannten) Sicherheitslücken und einem komfortablen Setup, das alle Variablen und Registry-Einstellungen für die Kompatibilität mit gängigen JAVA-Anwendungen setzt. Die meistgenutzte Variante ist dabei: #JAVA 8 (Long Term Support) Runtime. https://adoptium.net/nightly.html?variant=openjdk8&jvmVariant=hotspot Scrollen Sie in der Liste nach unten, bis Sie die folgende Konstellation finden: Windows x86jre(aktuelles Datum) 11 September 2021.zip (37 MB).msiListeneintrag auf der Website des Projekts Wenn Sie die .msi Datei herunterladen, erhalten Sie JAVA mit Setup-Programm. Hier bitte alles ankreuzen und schon ist die aktuelle Java-Version auf Ihrem System. Möchten Sie die von Programmen mitgeführte JAVA Version aktualisieren (meist in einem Unterverzeichnis JRE im Programmordner), laden Sie die ZIP-Datei herunter und ersetzen den Inhalt des JRE Ordners damit. Das funktioniert natürlich nur, wenn JAVA8 und 32-Bit benötigt werden.Ein Beispiel für solche Software ist XMind Classic 3.7.8, die letzte kostenlose Version dieser Software. Letztgenannte wird nicht mehr aktualisiert, man kann aber die enthaltene Java-Version wie oben beschrieben aktualisieren. Sofern Sie andere JAVA-Konstellationen wie 64-Bit oder die LTS Version 16 benötigen, können Sie das auf der Projektseite am Anfang einstellen und laden dann diese Version herunter. Mittlerweile kommen in meinem Umfeld keine kostenpflichtigen Funktionen mehr vor, für die ich Oracle Java benötige.

Freitag, 13. Aug 2021 09:59:42 vor 3 Jahren 02:26 241.1K24 h4154

Software Adoptium Java1 M

JAVA – kostenlose Alternative
Seit April 2019 (und Java Version 8 Update 211) dürfen Geschäftskunden #JAVA nur noch verwenden, wenn Sie über eine aktive Subscription (Wartungsvertrag) von Oracle verfügen. Pro "named User" kostet die Java Runtime rund 28 € pro Jahr. Da Java aber ohne die Oracle Komponenten weiterhin Open Source Projekte sind, gibt es zahlreiche Abspaltungen (forks) aus dem kostenlosen OpenJDK. Das flexibelste Projekt, das sich auch noch über eine .msi Installer Datei einfach verteilen lässt, ist dabei AdoptOpenJDK - jetzt #Adoptium . Auf der Projektseite kann man sich dann den passenden Installer herunterladen oder aber bestehen Java-basierte Software aktualisieren, indem man die .ZIP-Datei herunterlädt und in der Software den Inhalt des Unterordners /JRE austauscht. Praxistipps zu Java Ermitteln Sie zunächst, welche JAVA-Versionen bei Ihnen in Betrieb sind. Hierbei kann Ihnen das Open Source Inventarwerkzeug "Open-Audit Classic" helfen, das wir im Download Bereich für Sie anbieten. Varianten: "Hotspot" ist derzeit weiter verbreitet als "OpenJ9". Daher bitte zunächst mit der Hotspot-Variante ausprobieren. Wenn es Fehler beim Aufruf der Software gibt, die OpenJ9 Variante installieren. Die meisten JAVA-Anwendungen basieren auf JAVA Version 8 in 32-Bit (x86). Auf der Projektseite demnach die Windows x86 Variante herunterladen. Laden Sie immer das Produkt herunter, wo JRE hinter steht, nicht das JDK. Wir wollen ja nicht in JAVA entwickeln, sondern nur die Runtime nutzen. Die Runtime ist zwischen 30 und 40 MB groß, das JDK über 100 MB. Im Installationsprogramm dann bitte alles ankreuzen. Nur so werden die Umgebungsvariablen und die Registry-Einstellungen gesetzt, die helfen, dass die Software auch…

Dienstag, 21. Apr 2020 15:23:01 vor 4 Jahren 01:21 71.8K8 h5465

Office FAQ Java Libreoffice PDF1 J

Warum ist Libreoffice 6 immer noch keine Alternative zu Microsoft Office
#FAQ: #Libreoffice und andere Open-Source Bürosoftware wie Open-Office bieten keine Schnittstellen zu anderen Microsoft Programmen. Was geht nicht? So wird beispielsweise in Microsoft Dynamics 365 Business Central (ehemals Navision) für Office Funktionen eine Microsoft Schnittstelle aufgerufen, über die Daten an Word und Excel übergeben werden, die nur Microsoft Office hat . Auch die JDBC-Schnittstelle von Libreoffice ist nicht komfortabel und basiert auf Java (J steht für JAVA). Java gehört neben Adobe Flash zu den gefährlichsten Programmen der Welt. Im Übrigen ist Oracle #Java für Unternehmen kostenplfichtig. Die abweichende Darstellung und Formatierung, sowie fehlende Assistenten machen die freie Software für den täglichen Gebrauch unwirtschaftlich - zumal alle neuen Mitarbeiter schon in der Schule den Umgang mit Microsoft Office lernen. Ein weiterer, wichtiger Aspekt ist, dass Libreoffice kein Outlook (Mailprogramm) enthält. Outlook und Word als Einzelprogramme lizensiert, sind teurer als ein Office Plan oder eine Boxware für Einzelplatzeinsatz. Auch für Administratoren bietet Liebreoffice keine Zero-Admin Updateverfahren, die auch in Cloud- und Citrix-Umgebungen funktionieren. Wer auf all diese Funktionen und den Support für die Büro-Software verzichten möchte, kann (die jeweils aktuelle Version einsetzen) von Libreoffice einsetzen. Etwa einmal alle 2 Monate gibt es Sicherheits-Updates, die installiert werden sollten. Am Rande gibt es auch Positives von Libeoffice ab Version 6 zu berichten - daher werden einige Administratoren das Produkt parallel zum Microsoft Office installieren möchten. Der SWriter (Schreibprogramm vom Libreoffice) kann ausfüllbare #PDF-Formulare erstellen. Man nehme eine Word-Datei und füge im Swriter Form-Felder zu. Gespeichert als PDF und jemand bereitgestellt, kann dieser die PDF…

Dienstag, 16. Apr 2019 21:32:39 vor 5 Jahren 01:00 241.0K7 h4866

Software Java1 J

Java Sicherheitslücken: Updates mieten oder deinstallieren
Oracle macht ernst: Die ersten kritischen Sicherheitslücken wurden mit #Java 8 Update 212 heute geschlossen. Das Java Update ist zwar auf java.com herunterladbar, ein leuchtend gelber Hinweis macht aber klar, dass nur Privatpersonen die aktuelle Java Runtime kostenfrei herunterladen und auf ihrem Privatrechner installieren dürfen. Die Java Runtime (JRE) ist damit bereits heute mit kritischen Sicherheitslücken angreifbar. Man kann davon ausgehen, dass diese Lücken auch zeitnah genutzt werden, um Rechner Netzwerke zu kompromittieren und so den nichts ahnenden Benutzern beispielsweise Verschlüsselungs-Trojaner unterzuschieben. Effektiv schützen kann man sich nur, wenn man Java von allen Systemen entfernt. Das alte Java Update 192 ist keine sichere Alternative mehrDie Hersteller von Java-basierter Software auffordert, Alternativen zu schaffen und beispielsweise auf HMTL5, C# oder Webservices zu setzenEinen aktuellen und sicheren Virenscanner einsetzt.Eine Firewall der zweiten Generation in Betrieb hat, die SSL-Interception und Advanced Thread Detection hat Zitate aus den Lizenzbedingungen für Java und Java Runtime bei Oracle: Oracle Java Updates JRE with Java Web Start, continues to be free for personal use. Personal users can continue downloading the Oracle Java SE 8 JRE at java.com. Personal use is using Java on a desktop or laptop computer to do things such as to play games or run other personal applications. If you are using Java on a desktop or laptop computer as part of any business operations, that is not personal use. https://www.oracle.com/technetwork/java/javase/overview/oracle-jdk-faqs.html

Montag, 29. Okt 2018 13:16:06 vor 6 Jahren 48s1.6K7 h4187

Internet Java6 M

Java-Alternativen
Wer nur eine #Java Runtime benötigt, um damit in Java entwickelte Programme lokal betreiben zu wollen, kann die #Adoptium openJDK Java Laufzeitumgebung installieren, die GPL-lizensiert ist (also Open-Source). Zwar fertigt auch hier Oracle die Windows Binärdateien an, diese unterliegen aber dem GPLv2 Lizenzvertrag und sind damit ohne Lizenzgebühren weiterhin verfügbar. So ist Version 11.0.1 binärkompatibel zur lizenzpflichtigen Java SE 11 - aber kostenlos. Leider gibt es kein Installations-Programm, sondern nur eine ZIP-Datei. Das bedeutet, dass man sich (z. B. mit Innosetup) selbst ein Setup bauen muss, oder die von Java-basierter Software benötigten Registrierungs-Einträge und ggf. einen JAVA-Pfad und eine Systemvariable in der Umgebung von Hand einrichten muss. Ich habe mit einem Innosetup, dass nur die javasoft Registrierungs-Einträge setzt, beispielsweise TV-Browser und den Seccommerce SecSigner starten und benutzen können. Die Oracle 8 Update 192 Version hatte ich zuvor komplett deinstalliert. :N Wer ein Browser-Plugin benötigt (aktuell nur noch als Active-X für den Internet Explorer 11), wird mit dem Anbieter der Software über Alternativen diskutieren müssen, Lizenzgebühren auf Mietbasis für Java SE 11 zahlen oder die ab Februar 2019 potenziell unsichere Java Runtime 8U192 verwenden. (Post ID:1177)

Sonntag, 14. Okt 2018 19:00:39 vor 6 Jahren 01:43 241.1K3 T4428

Internet Adoptium Java2 W

Java wird kostenpflichtig
Oracle ändert Lizenzbedingungen von Java für Firmen: Ab Januar 2019 werden alle Java-Versionen größer als Version 8 Update 192 kostenpflichtig für gewerbliche oder produktive Nutzung. Updates der neueren Versionen werden dann auch nicht mehr öffentlich zum Download angeboten, sondern nur mit Oracle-Konto. :N Das bedeutet für alle Firmen: Das unter Angreifern und Hackern wegen seiner Sicherheitslücken sehr beliebte #Java darf nicht mehr aktualisiert werden, weil man ansonsten gegen die Lizenzvereinbarungen verstößt. Die Lizenz kann man auch nicht kaufen, sondern muss sie pro Named User, der eine Java Runtime (JRE) produktiv nutzen könnte, monatlich mieten. Da Lizenzbestimmungen nicht rückwirkend für die vorhandenen 8er- bzw. ältere Versionen geändert werden können, bleibt nur der Ausweg, die Java Update-Dienste zu stoppen und nachhaltig und konsequent zu verhindern, dass Java Updates installiert werden. Auch bei Neu-Installationen von Rechnern, Servern und Software muss darauf geachtet werden, dass keine neuere Version als 8 Update 192 installiert und betrieben wird. :J Werden Java Programme lokal auf dem Rechner betrieben, die keinen Web-Browser benötigen (hierzu zählt das Werkzeug "Secsigner" von Seccommerce zum Überprüfen von signierten Rechnungen durch den Rechnungsempfänger), so kann man die GPLv2 lizensierte OpenJDK Umgebung installieren, Registrierungseinträge machen und nutzen. :J Die bessere Alternative - vor allem aus Sicherheitsaspekten wird natürlich sein, Java komplett von allen Systemen zu entfernen. Konsequenz ist, dass einige System-Software-Werkzeuge der Hersteller (z.B. FTS RAID Manager) dann nicht mehr genutzt werden können. Schon heute lassen sich alte HP-Jetdirect Boxen nicht mehr administrieren, weil sie Java 6 in 32-Bit erfordern. Bei Nutzung von aktueller…

Samstag, 18. Aug 2018 10:41:20 vor 6 Jahren 43s 241.0K1 T4239

Internet Java2 M

Java und die Sicherheits-Updates
Oracle legt den Stichtag für das Ende der öffentlich verfügbaren Updates für Dezember 2020 fest. Java 7 wurde bereits im März 2015 eingestellt. Wer noch Installationen von Java 7 auf seinen Systeme hat, prüfe bitte, ob Java notwendig ist und wenn ja, die verwendete Software auch mit Java 8 funktioniert. Dann steht einem Update auf Java Version 8 nichts mehr im Wege. :W #Java 8 ist die letzte Version mit öffentlichem Langzeit Support. Alle Nachfolgeversionen erfordern für den Long Term Service einen Mietvertrag mit Oracle. Eine Alternative, weil noch sicherer ist die aktuelle Java 10 Version, da viele Bereiche in reservierten Speicherbereichen (sandboxing) laufen. Ab Java 9 sind die Support-Zyklen aber wesentlich kürzer. Java 10 beispielsweise erschien im März, der Support endet im September 2018. Damit gibt es wie bei Microsoft Windows auch bei Oracle Java nun 2 Halbjahres-Versionen, die aktualisiert werden müssen. Fazit: Java 8 wird noch bis 2020 aktualisiert. Prüfen, ob noch Java 7 Installationen vorliegen, wenn ja, Notwendigkeit der Installation bzw. Lauffähigkeit der Software unter Java8 prüfen. Auf Java 8 umstellen. (Post ID:1163)

Sonntag, 25. Mrz 2018 10:03:02 vor 6 Jahren 01:26 241.7K4 h38910

Internet Java5 M

Java .msi Datei extrahieren
Update Januar 2019: #Java 8 SE seit Update 211 und seine Runtime sind nur noch für "persönliche Nutzung" kostenfrei. Bei kommerzieller Nutzung benötigt man eine Subscription (Mietvertrag) mit Oracle auf monatlicher Basis. Java von Oracle wird nur benötigt, wenn die Anwendung "Webstart", .jnlp-Dateien oder ein Browser-Plugin im Internet Explorer 11 verwendet. Hier beschreiben wir Ihnen, wie Sie den MSI Installer javamsi finden. Wenn man java Updates herunterlädt, kommen sie in Form einer EXE Datei. Zur Verteilung/Installation per GPO benötigt man aber die enthaltene .MSI: Startet man die .EXE und läßt sie auf dem ersten Java Dialog stehen, findet man den MSI Installer unter: C:/Users/%username%/AppData/LocalLow/Oracle/Java/ <b>Update 25.03.2018:</b> Die .MSI Datei erscheint erst in dem Ordner, wenn man das Setup startet und auf "installieren" klickt. Je nach Anwendung benötigt man die 32- Bit oder 64-Bit-Version. Der Ordner heißt wie das aktuelle Update. Zum Beispiel: jre1.8.0_211.Im Unterordner liegt dann die MSI Datei, die man zur Verteilung mit den üblichen Silent-Parametern verwenden kann. Wer JAVA dann unattended (silent) installieren möchte, verwendet folgende Befehlszeile: MsiExec.exe /qb- /norestart /X {26A24AE4-039D-4CA4-87B4-2F64180301F0} REBOOT=Suppress msiexec /i jre1.8.0_30164.msi REINSTALLMODE=amus /qb- /norestart IEXPLORER=1 MOZILLA=0 REBOOT=Suppress JAVAUPDATE=0 EULA=1 Die rote Meldung, dass ein Java-Update vorhanden ist, kann man über diese Registry-Schlüssel entfernen: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\JavaSoft\Java Update\Policy] "UpdateSchedule"=dword:00000000 "NotifyInstall"=dword:00000000 "NotifyDownload"=dword:00000001 "EnableJavaUpdate"=dword:00000000 "Frequency"=dword:010a0000 "ScheduleId"="S-1-5" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RUN] "SunJavaUpdateSched"=- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\JavaQuickStarterService] "Start"=dword:00000003 [HKEY_CURRENT_USER\Software\JavaSoft\Java Update\Policy] "EnableAutoUpdateCheck"=hex:01,00,00,00,d0,8c,9d,df,01,15,d1,11,8c,7a,00,c0,4f,\ c2,97,eb,01,00,00,00,61,97,40,d9,07,91,d4,47,a6,fa,7d,eb,03,54,7d,50,00,00,\ 00,00,1c,00,00,00,50,00,61,00,73,00,73,00,77,00,6f,00,72,00,64,00,20,00,44,\ 00,61,00,74,00,61,00,00,00,03,66,00,00,a8,00,00,00,10,00,00,00,0d,ee,d3,f1,\ 52,45,a0,d9,42,48,d3,6c,e4,75,46,51,00,00,00,00,04,80,00,00,a0,00,00,00,10,\ 00,00,00,d0,94,f7,6a,f5,e5,a0,29,fc,da,46,ad,b2,c0,75,c5,08,00,00,00,b4,41,\ 34,f6,6a,e7,61,f8,14,00,00,00,22,f0,89,37,b1,12,26,e6,fe,b5,1c,50,f7,8d,83,\ 5f,83,ec,e0,ec

Sonntag, 24. Jan 2016 12:43:14 vor 8 Jahren 15s 1231.0K8 h37811

Internet Chrome Java2 J

Microsoft Sicherheitslücken
#Java 8u72 mit zahlreichen Sicherheitsfixes, ebenso Google #Chrome Enterprise: 48.0.2564.82, Microsoft Skype: 7.18.32.109, Windows 10 Insider Preview: build 11102. Halten Sie Ihre Umgebung bitte auf dem aktuellen Stand. Für die Insider Preview gibt es einen Fix für die Fehlermeldung nach dem Start: schtasks /delete /TN "\Microsoft\Windows\WS\WSRefreshBannedAppsListTask" /F mit administrativen Rechten ausführen und die Meldung kommt nicht mehr. (Post ID:991)

Donnerstag, 17. Apr 2014 02:14:10 vor 10 Jahren 191.0K7 h36212

Internet Java2 J

Patchday bei Oracle
bringt #Java Version 8 Runtime auf Update 5. Neben Sicherheitslücken wurden Fehler korrigiert. Keepass Passwortsafe 2 jetzt in Version 2.2.6 wegen der Heartbleedlücke. (Post ID:844)

Pflichtfeld	(Pflichtfeld: kann nicht abgewählt werden. Notwendige Cookies helfen dabei, eine Webseite nutzbar zu machen, indem sie Grundfunktionen wie Seitennavigation und Zugriff auf sichere Bereiche ermöglichen. Die Webseite kann ohne diese Cookies nicht funktionieren. )
Komfort	(Optional: Komfort-Cookies ermöglichen unserer Webseite, sich an Informationen zu erinnern, wie sich die Seite verhält, z. B. dass Sie bereits für eine Umfrage oder einen Termin abgestimmt haben.)