La verdad es que son muchas las ocasiones en las que hemos hablado de Oracle. La mayoría han sido para informar sobre problemas o decisiones muy discutidas. En esta ocasión la noticia está relacionada con una mejora de seguridad que afecta directamente a los JAR. Más que una mejora de seguridad, podría decirse que es una restricción, ya que la empresa bloqueará aquellos que estén firmados haciendo uso de MD5. Descubre esta lista de proveedores de email privados.
Para ser más exactos, será a partir del próximo 18 de abril cuando la empresa comenzará a bloquear todos los que estén firmados haciendo uso de este algoritmo. La empresa ya ha comenzado a advertir sobre este aspecto en la página web. Cuando procedemos a la descarga de una de las versiones para desarrolladores, se puede leer un mensaje en el que se indica esto que hemos dicho.
Desde Oracle habían fijado esta decisión para esta misma semana. Sin embargo, dado que muchos desarrolladores no tenían tiempo material para realizar los cambios oportunos, los responsables han tomado la decisión de aplazar esta decisión para mediados del próximo mes de abril.
Oracle Java SE 8u131 será la primera versión que no dispondrá de este algoritmo.
MD5 comenzó a retirarse en 2006
Se considera como un algoritmo muy básico que permite el cifrado de ficheros y datos en las bases de datos. Sin embargo, se demostró que era inseguro, algo que no precipitó su retirada de los softwares. Sin ir más lejos, en los navegadores web la retirada se realizó de forma paulatina.
Al menos han sido dos los métodos utilizados para saltarse este cifrado o firma, obteniendo en ambos casos la misma palabra hash que permitía el acceso a los datos.
La actualización sugerida de Oracle que nunca llegará
En estos casos siempre sucede lo mismo. La empresa recomienda la realización de una actualización para mejorar la seguridad y sin embargo esta nunca se produce. Esto es lo que pasa con las páginas web y todos los complementos utilizados y se extrapolará a los JAR firmados utilizando MD5.
Esto quiere decir que miles de ejecutables quedarán desactualizados en lo que se refiere a materia de seguridad.
¿Cómo puedo comprobar que la firma utilizada en un JAR es segura?
Para comprobar la firma de cualquier JAR los usuarios se pueden ayudar de jarsigner, una aplicación que se encuentra en los JDK y que se puede utilizar haciendo uso de la consola. Un ejemplo de utilización sería el siguiente:
jarsigner -verify -J-Djava.security.debug=jar test.jar
En el caso de que la comprobación falle, ya se sabe cuál será la solución a tomar: utilizar un nuevo algoritmo de firmado.
Una de las actualizaciones más importantes hasta la fecha
Hablando del paquete de actualizaciones publicado esta misma semana, hay que decir que se trata de una de las más importantes hasta la fecha, sobre todo porque agrupa las soluciones a 270 vulnerabilidades. en este paquete estaba incluida la retirada de MD5. Por el momento tocará esperar hasta el mes de abril para ver qué es lo que sucede, aunque todo parece indicar que la repercusión no será significativa.