MOCCA und Meldung zu Java Sicherheitslücke

  • Am 28.8. wurde in diversen Medien (Heise , BSI , o.ä.) vor einer kritischen Sicherheitslücke in Java 7 gewarnt. Dies mit der Empfehlung, das Java-Plugin im Browser zu deaktivieren. Konsequenz ist, dass die Online-BKU nicht verwendbar ist.


    Das aktuelle Java 7 Update U07 von Oracle behebt das Problem. Wenn Sie also die MOCCA Online BKU verwenden wollen, empfehlen wir, auf Java 1.7.0_07 zu aktualisieren. (Java 6 war vom konkreten Problem nicht betroffen).


    Das Update geht entweder:


    Die Sicherheitslücke ist unabhängig von MOCCA. D.h. die Empfehlung zum baldigen Update gilt grundsätzlich wenn Java 7 installiert ist, auch wenn Sie MOCCA nicht verwenden. (Je nach Einstellung Ihrer Java Installation prüft diese ggf. nur wöchentlich oder monatlich auf Updfates)

  • Nach dem Update erhalte ich folgende Fehlermeldung:


    sun.security.validator.ValidatorException: PKIX path validation failed: java.security.cert.CertPathValidatorException: java.security.InvalidKeyException: Wrong key usage
    at sun.security.validator.PKIXValidator.doValidate(Unknown Source)
    at sun.security.validator.PKIXValidator.engineValidate(Unknown Source)
    at sun.security.validator.Validator.validate(Unknown Source)
    at sun.security.validator.Validator.validate(Unknown Source)
    at sun.security.validator.Validator.validate(Unknown Source)
    at com.sun.deploy.security.TrustDecider.validateChain(Unknown Source)
    at com.sun.deploy.security.TrustDecider.isAllPermissionGranted(Unknown Source)
    at com.sun.javaws.security.AppPolicy.grantUnrestrictedAccess(Unknown Source)
    at com.sun.javaws.security.JNLPSignedResourcesHelper.checkSignedResourcesHelper(Unknown Source)
    at com.sun.javaws.security.JNLPSignedResourcesHelper.checkSignedResources(Unknown Source)
    at com.sun.javaws.Launcher.prepareResources(Unknown Source)
    at com.sun.javaws.Launcher.prepareAllResources(Unknown Source)
    at com.sun.javaws.Launcher.prepareToLaunch(Unknown Source)
    at com.sun.javaws.Launcher.prepareToLaunch(Unknown Source)
    at com.sun.javaws.Launcher.launch(Unknown Source)
    at com.sun.javaws.Main.launchApp(Unknown Source)
    at com.sun.javaws.Main.continueInSecureThread(Unknown Source)
    at com.sun.javaws.Main.access$000(Unknown Source)
    at com.sun.javaws.Main$1.run(Unknown Source)
    at java.lang.Thread.run(Unknown Source)
    Caused by: java.security.cert.CertPathValidatorException: java.security.InvalidKeyException: Wrong key usage
    at sun.security.provider.certpath.PKIXMasterCertPathValidator.validate(Unknown Source)
    at sun.security.provider.certpath.PKIXCertPathValidator.doValidate(Unknown Source)
    at sun.security.provider.certpath.PKIXCertPathValidator.engineValidate(Unknown Source)
    at java.security.cert.CertPathValidator.validate(Unknown Source)
    ... 20 more
    Caused by: java.security.InvalidKeyException: Wrong key usage
    at java.security.Signature.initVerify(Unknown Source)
    at sun.security.provider.certpath.OCSPResponse.verifyResponse(Unknown Source)
    at sun.security.provider.certpath.OCSPResponse.<init>(Unknown Source)
    at sun.security.provider.certpath.OCSP.check(Unknown Source)
    at sun.security.provider.certpath.OCSPChecker.check(Unknown Source)
    ... 24 more

  • Dieser Fehler tritt seit den letzten Java-Updates bei der Online-Zertifikats-Validierung auf. (Siehe z.B. auch diesen Eintrag im Oracle-Forum: https://forums.oracle.com/foru…threadID=2434846&tstart=0)
    Wenn man die Validierung deaktiviert (das ist auch die Standardeinstellung bei einer Java Neuinstallation) sollte die Online BKU bzw. die lokale MOCCA-BKU wieder starten.
    Zur Deaktivierung in der Java-Systemsteuerung (Java-Control-Panel) unter dem Reiter "Erweitert", bei Sicherheit-Allgemein das Häckchen bei "Onlinezertifikatsvalidierung aktivieren" entfernen.