Nets om Java-problemer: Vi har måske ikke testet godt nok

Det står endnu ikke klart, hvordan den seneste Java-opdatering kunne blokere for NemID. Nets, der driver NemID, får beta-versioner af Java-opdateringer fra Oracle, men har måske ikke testet godt nok.

Besøg i netbanken, borgerservice fra offentlige websider og brug af alle andre tjenester, som bruger NemID til login, er i dag blevet umuligt for alle dem, som følger god sikkerhedspraksis og har opdateret Java til seneste version.

Java 7 update 45, der kom i går, giver nemlig store problemer for NemID, og Nets anbefaler derfor alle at vente med opdateringen, indtil NemID er blevet tilrettet, så den fungerer med den nye Java-version.

Læs også: Java-opdatering blokerer NemID

Men hvordan kunne det ske? Det ved Nets, som driver hele NemID-systemet, ikke endnu. Det kan være en fejl under test af NemID i forhold til den nye version, fortæller Søren Winge, pressechef hos Nets.

»Det er problemer af en karakter, vi ikke har set før, hvor der er opstået nogle funktionelle udfordringer. Vi får typisk en beta-version af opdateringerne fra Oracle, så vi kan teste den. Hvad der er sket her, ved vi ikke endnu. Det kan være en fejl hos os, hvor vi ikke har fået testet godt nok. Så før vi ved, hvad der er sket, vil vi ikke sende ansvaret videre til andre,« siger han til Version2.

Nets overvejer nu, om man skal anbefale danskerne, der har opdateret Java, at skrue tiden tilbage til den tidligere version, hvis de skal bruge NemID. Det kommer an på, hvor lang udsigt der er til en løsning.

»Vi overvejer, hvilken anbefaling vi skal give, for vi anbefaler normalt altid brugerne at opdatere til den nyeste version, og det er der også mange, der allerede har gjort. Hvis man ikke har opgraderet endnu, skal man vente, det er klart, men vi overvejer lige nu, om vi skal anbefale, at man nedgraderer. Det kommer an på, hvor lang tid det vil tage at finde en løsning,« siger Søren Winge.

Der er ikke en klar tidshorisont på at få ændret NemID, så den fungerer med den seneste version af Java, men løsningen bliver næppe klar i løbet af i dag, onsdag, lyder meldingen.

Men alene Nets’ udmelding om, at man skal vente med at opdatere Java, møder kritik fra sikkerhedsfolk.

It-sikkerhedsfirmaet Esec skriver for eksempel i et blogindlæg onsdag morgen, at man bør opdatere, uanset hvad Nets siger. Opdateringen lukker nemlig 51 sikkerhedshuller, hvoraf mange er alvorlige.

»For - uhyre forbavsende - anbefaler vores digitale identifikationsselskab ove rfor det offentlige, NemID, på deres webforside, at man ikke opdaterer. Fordi NemID-softwaren har problemer med den nye Java-version. Mon NemID yder assistance, hvis man bliver inficeret med angreb mod en af de mange sårbarheder, man så er eksponeret over for?« spørger sikkerhedsfirmaet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (48)
Kristian Sørensen

»For - uhyre forbavsende anbefaler vores digitale identifikationsselskab overfor det offentlige, NemID, på deres webforside, at man ikke opdaterer. Fordi NemID-softwaren har problemer med den nye Java-version. Mon NemID yder assistance, hvis man bliver inficeret med angreb mod en af de mange sårbarheder, man så er eksponeret overfor?« spørger sikkerhedsfirmaet.

Det har manden jo helt ret i.

Det understreger med al ønskelig tydelighed et af de helt centrale problemer med tvangs digitaliseringen.

DanId påtvinger alle et bestemt it mæssigt adfærdsmønster, som er til fordel for DanId her og nu, men til ulempe for alle andre.

Det er så overladt til alle andre at finde alternative måder at gardere sig på.

Martin Droid

I løbet af de næste to dage vil java selv begynde at plage brugerne om at opdatere. Der er desuden en række kritiske opdateringer i denne pakke som man (efter min mening) SKAL have så hurtigt som muligt.

Der er en række ændringer i den nye version i forhold til signering af applets. Disse skal forhindre adgang fra uautoriserede kilder.

Her er et link til Release notes på dev-kittet til 7u45 - http://www.oracle.com/technetwork/java/javase/7u45-relnotes-2016950.html

Og her er den bid jeg tror kan være relevant:

JavaScript to Java calls will be allowed without any security dialog prompt only if:
JAR is signed by a trusted CA, has the Caller-Allowable-Codebase manifest entry and JavaScript runs on the domain that matches it.
JAR is unsigned and JavaScript calls happens from the same domain as the JAR location.

The JavaScript to Java (LiveConnect) security dialog prompt is shown once per Applet classLoader instance.

Bare et gæt. Hvad tror I?

Malte Christensen

Jeg har programmeret Java siden version 1.02 (yeah, right, AWT!). Men at basere sin offentlige infrastruktur på noget så volatile som Java er forrykt. In my not so humble opinion. Java er fint nok til middle tier og back end, men front end????? (Inden for skakspillet betyder flere spørgsmålstegn: blunder!)

Michael Thomsen

JavaScript to Java calls will be allowed without any security dialog prompt only if:
JAR is signed by a trusted CA, has the Caller-Allowable-Codebase manifest entry and JavaScript runs on the domain that matches it.
JAR is unsigned and JavaScript calls happens from the same domain as the JAR location.

Ovenstående burde blot betyde, at der vises en dialogboks. Mon ikke fejlen skyldes "JavaScript-> Java (LiveConnect) call fails silently if JavaScript/HTML and unsigned JAR/class files comes from different codebase host."

Og at det ikke er blevet opdaget i deres testmiljø fordi det hele kører på samme host?

Martin Droid

Og hvis man læser brugernes kommentarer under den anden historie her - http://www.version2.dk/artikel/java-opdatering-blokerer-nemid-54468

Så rapporterer brugeren "Claus Bruun" at hans i nat gav fejlen: "This application will be blocked in a future Java security update because the JAR file manifest does not contain the Permissions attribute. Please contact the Publisher for more information"

Det stemmer overens med denne passage fra release notes her - http://www.oracle.com/technetwork/java/javase/7u45-relnotes-2016950.html

"If the portion of the codebase that specifies the protocol, host, and port, are not the same for the unsigned JAR file (or class files) as for the JavaScript or HTML, the code will fail without a mixed code dialog warning."

nets/danID har tidligere anvendt unsigned applets. Gør de stadig det, så kan man forestille sig at der opstår fejl som ikke giver nogle warnings.

Så hvis de havde læst op, så ville de have vidst at man ville lukke det hul i denne uge. Det er derfor skuffende at nemID/nets ikke udfordres mere af journalisterne så det ikke bliver så nemt som at sige "bare lad være med at opdatere, der sker nok ik' noget." Det er også lidt at pisse på os andre der prøver at få folk til at opdatere software som en vane.

Se evt. DR og Tv's dækning. De lader nemID få ALT spaltepladsen og udfordrer ikke de tåbelige råd. De forfølger heller ikke sagen når der reelt er noget at spørge om: "hvor længe vil ministeren lade ét og kun ét firma stå for denne kritiske del af IT-samfundets infrastruktur?"

s_ mejlhede

Det er lykkes net at lægge sig selv bedre ned, ind et DOS kunne.

Hvem skal betale og straffes for det, de er jo ikke nede, man kan bare ikke bruge dem. Så net kommer ikke til at betale for deres manglende rettidig omhu. Hvis ikke de selv intern skiller sig af med de ansvarlige.

Men alle de 2, der kan programmere ved dem, er nok sat på den nye løsning de arbejder på, og dem gamle version er overladt til sig selv :-)

Hans-Christian Mose Jehg

Kære(host host) NemID

Jeg informere jer hermed, helt uden at kræve betaling, om det problem i tilsyneladende slås med:

I Dialogen: "Do you want to run this application?" står der:

This application **[Det er altså NemID's application der er tale om] will be blocked in a future security update because the JAR file manifest does not contain the Permissions attribute. Please contact the publisher for more information.**

I yderligere info står der:

Missing Application-Name: manifest attribute for: https://applet.danid.dk/bootapplet/63517521305742
Missing Permissions manifest attribute for: https://applet.danid.dk/bootapplet/63517521305742
Missing Codebase manifest attribute for: https://applet.danid.dk/bootapplet/63517521305742
.
.
Missing Application-Library-Allowable-Codebase manifest attribute for: https://applet.danid.dk/bootapplet/63517521305742
Missing Application-Name: manifest attribute for: https://applet.danid.dk/bootapplet/63517522015677
Missing Permissions manifest attribute for: https://applet.danid.dk/bootapplet/63517522015677
Missing Codebase manifest attribute for: https://applet.danid.dk/bootapplet/63517522015677

Men måske var det bedre at applikationen KUNNE køre i en sandbox uden privilegier... Det ville måske også løse dette problem ..og måske øge brugerens sikkerhed ..og måske gøre det nemmere for NemID at undgå sådan nogen fadæser.

:-) (host host)

Claus Gravesen

Og hvis man læser brugernes kommentarer under den anden historie her - http://www.version2.dk/artikel/java-opdatering-blokerer-nemid-54468

Så rapporterer brugeren "Claus Bruun" at hans i nat gav fejlen: "This application will be blocked in a future Java security update because the JAR file manifest does not contain the Permissions attribute. Please contact the Publisher for more information"

Det stemmer overens med denne passage fra release notes her - http://www.oracle.com/technetwork/java/javase/7u45-relnotes-2016950.html

"If the portion of the codebase that specifies the protocol, host, and port, are not the same for the unsigned JAR file (or class files) as for the JavaScript or HTML, the code will fail without a mixed code dialog warning."

nets/danID har tidligere anvendt unsigned applets. Gør de stadig det, så kan man forestille sig at der opstår fejl som ikke giver nogle warnings.

Så hvis de havde læst op, så ville de have vidst at man ville lukke det hul i denne uge. Det er derfor skuffende at nemID/nets ikke udfordres mere af journalisterne så det ikke bliver så nemt som at sige "bare lad være med at opdatere, der sker nok ik' noget." Det er også lidt at pisse på os andre der prøver at få folk til at opdatere software som en vane.

Se evt. DR og Tv's dækning. De lader nemID få ALT spaltepladsen og udfordrer ikke de tåbelige råd. De forfølger heller ikke sagen når der reelt er noget at spørge om: "hvor længe vil ministeren lade ét og kun ét firma stå for denne kritiske del af IT-samfundets infrastruktur?"

Det er dælme godt nok en pinlig omgang, ja :/

Claus Wøbbe

Man bør også kritisere andre sites som f.eks. Danske Bank for at kræve NemId som login. De kunne vel sagtens vælge en anden adgangsmetode. Lige nu anbefaler Danske Bank faktisk at man undlader at opdatere sin Java:

"Vi anbefaler at du venter med at opdatere Java igen, indtil problemet bliver endeligt løst."

Uni-C's system til elevadministration på samtlige erhvervsskoler, Easy-A, kræver i øvrigt også en gammel Java-version for at kunne køre. Ikke engang den nuværende kan den køre på.

Rasmus Faber-Espensen

Gætter på at det her er problemet: http://stackoverflow.com/questions/19393826/java-applet-manifest-allow-a...

Det er tilsyneladende ikke muligt at være kompatibel med både Java 7u21-7u40 og Java 7u45 på én gang.

Det burde DanID selvfølgelig have opdaget i god tid og fundet en løsning på inden den blev frigivet, men mig bekendt har der ikke været en Early Access release af 7u45 (jeg abonnerer på dem og kan ikke se, at jeg har fået én siden 7u40).

Anonym

2 dage uden NemID. Uha. Jeg synes NemID i det store hele har fungeret glimrende - og gjort mit liv lettere. Man får et noget andet indtryk når man lytter med herinde. Nuvel der er plads til forbedringer - og mon ikke også de finder vej.

Hans Schou

... dem, der tror, at det hele kommer til at fungere upåklageligt,


Da jeg sidste havde netbank med javascript hos jyskebank, der virkede det upåklageligt med alle mulige forskellige browsere, undtagen den tekstbaserede "links2". Hvis ikke JavaScript/NemID kommer til at virke hos jyskebank, så ville det være meget underligt, nu da de har haft det til at virke før.

Men når DanID er blandet ind i opgaven, og med den track-record de har indtil nu, så tror jeg ikke på at det virker 2014-q2.

Jeg har ingen tekniske problemer med NemID, for jeg har ikke NemID.

Hans Schou

@Hans. Du har ikke NemID, skriver du. Hvordan "overlever" du så med kommunikation til det offentlige mv.?


Da jeg meldte mine børn ud af institutionerne de gik i, mødte jeg op personligt på pladsanvisning. Jeg skulle egentlig have brugt NemID, men der var ingen problemer i møde op selv. Eksemplarisk betjening i øvrigt.

Men OK, jeg er en snydepels: Min hustru har NemID, og hun ordner det hele. Det er lidt spøjst at få sin løn ind på en konto, og så ikke selv have NemID-adgang til den.

Henrik Madsen

@Hans. Du har ikke NemID, skriver du. Hvordan "overlever" du så med kommunikation til det offentlige mv.?

Jeg har heller ikke NemID og har aldrig haft det. Kuverten med kodekort osv er makuleret og det har aldrig været aktiveret.

Jeg lever fint uden NemID, alle regningerne bliver alligevel betalt over netbank og jeg bor i umiddelbar nærhed af min bank så de bruger nok en rulle bonpapir ekstra årligt, når jeg trækker kontoudtog.

Jeg har ikke haft nogen synderlig kontakt med det offentlige, udover da jeg for et par år siden skulle melde min datter i folkeskolen, men det gik nemt og smertefrit via en skriflig formular.

Tror faktisk at de fleste ville kunne klare sig fint uden.

Jeg har indtil for nyligt haft adgang til E-boks'en via eposthuset hvor man kan logge ind med user/pass og så vælge "Gå til min e-boks", denne løsning har dog været nede i et par måneder og når jeg spørger PostDanmark så får jeg svar i øst og vest.

Jeg har modtaget svar fra dem, ligefra "Det kommer til at virke igen lige straks" til "Det kommer aldrig til at virke den vej mere".

Hele PostDanmark farcen er næsten en separat artikel værdig, som sædvanligt får man det indtryk at den ene hånd ikke ved hvad den anden gør.

Casper Bang

Men måske var det bedre at applikationen KUNNE køre i en sandbox uden privilegier... Det ville måske også løse dette problem ..og måske øge brugerens sikkerhed ..og måske gøre det nemmere for NemID at undgå sådan nogen fadæser.


NemID/DanID påstår jo at de har brug for at smugle ukendt native kode ind hos os, for at lave unikt fingerprint og logging. De må nu sidde tilbage og spørge sig selv, om det var dét værd - amatøragtigt skrøbeligt design!

PS: Hvad sker der for Version2's servere, jeg synes jeg er begyndt at få flere og flere:
Error 503 Service Unavailable
Service Unavailable
Guru Meditation:
XID: 132133841234
Varnish cache server

Svend Andersen

Opdater din computer

Det er vigtigt, at din computer hele tiden er opdateret. Sårbarheder i dit styresystem (fx Windows XP) og programmer (fx Adobe Reader eller QuickTime) udnyttes ofte af de it-kriminelle. De fungerer som en ulåst bagdør til din computer, hvor uvedkommende kan få uhindret adgang. De løbende opdateringer sørger for, at sårbarhederne fjernes.

Anvend derfor altid opdaterede versioner af dit styresystem, din webbrowser og dit e-mailprogram. Slå automatisk opdatering til, hvor det er muligt, så glemmer du det ikke.

Særligt i forhold til NemID er det desuden vigtigt, at du anvender den seneste version af programmet Java.

...Skriver Nemid på deres side.

Lad være med at følge Nemid's anbefalinger om opdateringer, men anvend usikre programmer som Java der er fulde af sårbarheder.
Det er godt, at Nets ikke er sat til, at passe på adgang til kritiske systemer..

Ebbe Hansen

http://www.nemid.nu/java
"Du kan følge fejlrettelsen på https://www.nemid.nu/dk-da/om_nemid/aktuelt/driftsstatus/ "

https://www.nemid.nu/dk-da/om_nemid/aktuelt/driftsstatus/
"Tidspunkt Status
16. okt.
19:06 Problemer med seneste java opdatering
Der meldes om problemer med login med NemID efter opdatering til java 7 opdatering 45. Se yderligere info på
15. okt.
23:08 Problemer med seneste java opdatering
Der meldes om problemer med login med NemID efter opdatering til java 7 opdatering 45, vi anbefaler derfor at man ikke opgraderer til højere end java 7 version 40. Se yderligere info på http://www.nemid.nu/java "

Sådan laver man en ubrydelig ring :-) Uden at fortælle noget....
Nu har vi kæmpet med virus, orme og trojanere. Det nye sort er åbenbart mider.

Knud Høgh Knudsen

.....kan ansvarlige personer der kræver at digital kommunikation rulles hen over hovederne på almindelige mennesker.
Man bruger uforståelige termer. Opfordrer folk til ikke at følge god praksis. Hvor stor en del af Denmarks befolkning forstår "Nets overvejer nu, om man skal anbefale danskerne, der har opdateret Java, at skrue tiden tilbage til den tidligere version".
Hvem almindelige brugere forstår at "nedgradere" sin PC ???? Det er uforståeligt og en katastrofe, at EEEET enkelt system kan nedlægge hele den danske kommunikation med banker og offentlige myndigheder.
Hvor er forstandigheden i dette digitale cirkus?

Lars Tørnes Hansen

PS: Hvad sker der for Version2's servere, jeg synes jeg er begyndt at få flere og flere:
Error 503 Service Unavailable
Service Unavailable
Guru Meditation:
XID: 132133841234
Varnish cache server


Dem har eg også haft - sidste gang var vist i fredags.

Løsning: Nuke din browser cache, jeg nukede også alle session cookies. Bagefter virkede det knas-frit igen.

Jeg bruger en Firefox tilføjelse der hedder "Clear Browsing Data" til hurtigt og effektive at nuke forskellige browser data.

Albert Nielsen

Fordi DanID og dem der valgt, denne løsning til digital identifikation af borger samt tvangsdigitalisering, har Hoved op i R*ven.

Har hvad oppe i R*ven?

Du mener vel: Har R*ven oppe i Rven? for når man tager i betragtning, hvad det kan koste ikke at have adgang til netbank med valutakøb/salg, værdipapirer, bankoverførsler på bestemt dato, osv. har jeg vanskeligt ved at se, hvor et hoved skulle komme i spil.

Hvem erstatter tab?

Lars Christensen

./. Politikerne på Borgen mener åbenbart stadig at det er fornuftigt, at lade Nets stå for vitale dele af Danmarks IT-infrastruktur.

./. Alle de normalt fornuftige og forstandige debattører på V2 og Ing.dk bruger stadig skønne men spildte kræfter i forsøget på at råbe gevalt overfor Nets' himmelråbende inkompetence.

./. Resten af os danskere tror at vi er så kloge, at et system som NemId der er betalt med voldsomt mange skattekroner da ikke kan være så dårligt som eksperterne siger - tsk tsk monstro vi kun har set toppen af isbjerget?

Mvh. Lars plbrake.dk

Hans-Christian Mose Jehg

Vi har måske ikke testet godt nok
.... men der kommer en rigtig god løsning i morgen!

Hvis man læser artiklens overskrift må det da være:

.... men der kommer MÅSKE en MÅSKE rigtig god løsning MÅSKE i morgen!

På den anden side:

Artiklens overskrift er: "Nets om Java-problemer: Vi har måske ikke testet godt nok"

...Men nede i teksten står der:

Det kan være en fejl hos os, hvor vi ikke har fået testet godt nok.
[altså ikke noget måske]

Hvad har Nets egentligt sagt, eller ikke sagt?

Hans-Christian Mose Jehg

Ubuntu
Kunne jeg bare kunne sige her at det er problemfrit i Ubuntu, nå men en form for aha-oplevelse er der forhåbentlig for nogle.

Aha-oplevelse, joo ... men betyder det mon at den version af java (sikkert icedtea) du benytter har de samme sikkerhedsproblemer som den gamle version af Oracles Java havde...

HC, der selv bruger linux - dog ikke Ubuntu - rigtigt mange steder...

Ebbe Hansen

Årsagen til at Nets denne gang ikke har fået testet den nye java (fejlen er så åbenlys, at selv den mindste test ville have afsløret den) er, at de har ligget underdrejet pga nemid til digital postkasse til erhverv og supportarbejde i den forbindelse.

Jesper Kildebogaard

Artiklens overskrift er: "Nets om Java-problemer: Vi har måske ikke testet godt nok"

...Men nede i teksten står der:

Det kan være en fejl hos os, hvor vi ikke har fået testet godt nok.
[altså ikke noget måske]

Hvad har Nets egentligt sagt, eller ikke sagt?


Hej Hans-Christian,

Nets har sagt det, de bliver citeret for i artiklen. Nemlig (med lidt anden ordstilling) at fejlen kan være, at der ikke er blevet testet godt nok. Det er i mine øjne det samme som 'måske'.

vh.

Jesper, Version2

Lars Bengtsson

Det virker også på Arch linux med OpenJDK 7u40 2.4.2-1, som er den nyeste release og der er vist ikke planer om en 7u45, men derimod 7u60.

Så vi har ikke de kritiske rettelser med, så som altid med java i browseren må man hellere minimere brugen af det.

Er der nogen der har prøvet med Oracles 7u45 på linux?

Lars Bengtsson

Da IcedTea ikke deler kodebase med Oracles Java plugin, er det jo ikke sikkert, at de samme kritiske sikkerhedshuller findes i IcedTea.


Nja. IcedTea består af browser plugin og java web start. Selve kørslen af java kode foregår stadigvæk på OpenJDK JVM som stort set er identisk med Oracles JVM, må man formode.

Min vurdering er at den sikkerhedskritiske del ligger i JVM'en og ikke i selve browser pluginet, da det er JVM'en som fortolker og udsættes fra det kode der kommer udefra.

Men jeg er ikke ekspert på området.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 10:31

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017