MOCCA und Meldung zu Java Sicherheitslücke

  • Am 28.8. wurde in diversen Medien (Heise , BSI , o.ä.) vor einer kritischen Sicherheitslücke in Java 7 gewarnt. Dies mit der Empfehlung, das Java-Plugin im Browser zu deaktivieren. Konsequenz ist, dass die Online-BKU nicht verwendbar ist.


    Das aktuelle Java 7 Update U07 von Oracle behebt das Problem. Wenn Sie also die MOCCA Online BKU verwenden wollen, empfehlen wir, auf Java 1.7.0_07 zu aktualisieren. (Java 6 war vom konkreten Problem nicht betroffen).


    Das Update geht entweder:


    Die Sicherheitslücke ist unabhängig von MOCCA. D.h. die Empfehlung zum baldigen Update gilt grundsätzlich wenn Java 7 installiert ist, auch wenn Sie MOCCA nicht verwenden. (Je nach Einstellung Ihrer Java Installation prüft diese ggf. nur wöchentlich oder monatlich auf Updfates)

  • Nachdem was Sie schreiben, betrifft das nicht die LOKALE BKU !?


    PS: Java update funktioniert bei mir nur, wenn ich überhaupt auf das Administrator-Konto wechsle. Ansonsten muß ich das ganze Programm herunterladen und mit Administratorrechten starten .

  • Es hat an sich nichts mit der BKU zu tun, sondern war ein Problem im Java. Wir haben den Hinweis gegeben, da alle, die mocca als BKU verwenden, auch Java installiert haben und damit potentiell betroffen waren.

  • Nach dem Update erhalte ich folgende Fehlermeldung:


    sun.security.validator.ValidatorException: PKIX path validation failed: java.security.cert.CertPathValidatorException: java.security.InvalidKeyException: Wrong key usage
    at sun.security.validator.PKIXValidator.doValidate(Unknown Source)
    at sun.security.validator.PKIXValidator.engineValidate(Unknown Source)
    at sun.security.validator.Validator.validate(Unknown Source)
    at sun.security.validator.Validator.validate(Unknown Source)
    at sun.security.validator.Validator.validate(Unknown Source)
    at com.sun.deploy.security.TrustDecider.validateChain(Unknown Source)
    at com.sun.deploy.security.TrustDecider.isAllPermissionGranted(Unknown Source)
    at com.sun.javaws.security.AppPolicy.grantUnrestrictedAccess(Unknown Source)
    at com.sun.javaws.security.JNLPSignedResourcesHelper.checkSignedResourcesHelper(Unknown Source)
    at com.sun.javaws.security.JNLPSignedResourcesHelper.checkSignedResources(Unknown Source)
    at com.sun.javaws.Launcher.prepareResources(Unknown Source)
    at com.sun.javaws.Launcher.prepareAllResources(Unknown Source)
    at com.sun.javaws.Launcher.prepareToLaunch(Unknown Source)
    at com.sun.javaws.Launcher.prepareToLaunch(Unknown Source)
    at com.sun.javaws.Launcher.launch(Unknown Source)
    at com.sun.javaws.Main.launchApp(Unknown Source)
    at com.sun.javaws.Main.continueInSecureThread(Unknown Source)
    at com.sun.javaws.Main.access$000(Unknown Source)
    at com.sun.javaws.Main$1.run(Unknown Source)
    at java.lang.Thread.run(Unknown Source)
    Caused by: java.security.cert.CertPathValidatorException: java.security.InvalidKeyException: Wrong key usage
    at sun.security.provider.certpath.PKIXMasterCertPathValidator.validate(Unknown Source)
    at sun.security.provider.certpath.PKIXCertPathValidator.doValidate(Unknown Source)
    at sun.security.provider.certpath.PKIXCertPathValidator.engineValidate(Unknown Source)
    at java.security.cert.CertPathValidator.validate(Unknown Source)
    ... 20 more
    Caused by: java.security.InvalidKeyException: Wrong key usage
    at java.security.Signature.initVerify(Unknown Source)
    at sun.security.provider.certpath.OCSPResponse.verifyResponse(Unknown Source)
    at sun.security.provider.certpath.OCSPResponse.<init>(Unknown Source)
    at sun.security.provider.certpath.OCSP.check(Unknown Source)
    at sun.security.provider.certpath.OCSPChecker.check(Unknown Source)
    ... 24 more

  • Dieser Fehler tritt seit den letzten Java-Updates bei der Online-Zertifikats-Validierung auf. (Siehe z.B. auch diesen Eintrag im Oracle-Forum: https://forums.oracle.com/foru…threadID=2434846&tstart=0)
    Wenn man die Validierung deaktiviert (das ist auch die Standardeinstellung bei einer Java Neuinstallation) sollte die Online BKU bzw. die lokale MOCCA-BKU wieder starten.
    Zur Deaktivierung in der Java-Systemsteuerung (Java-Control-Panel) unter dem Reiter "Erweitert", bei Sicherheit-Allgemein das Häckchen bei "Onlinezertifikatsvalidierung aktivieren" entfernen.