Hop til indhold
  • 3

JAVA problemer igen igen igen


Lars1
 Share

Spørgsmål

Jeg vil fremover forsøge at holde denne tråd opdateret med de forskellige problemer der findes for de forskellige Java og IHC firmware versioner. Skriv endeligt kommentar i denne tråd. Jeg vil efter bedste evne forsøge at holde dette indlæg opdateret.

Seneste nyt: 28/07-2021:
Oracle har fornylig releaset Java 8 update 311. I den er TLS 1.0 og 1.1 disablet på en ny måde. For at enable de 2 skal de fjernes fra jdk.tls.disabledAlgorithms=. Se flere detaljer længere nede.

Seneste nyt: 22/07-2021:
Oracle har fornylig releaset Java 8 update 291. I den er TLS 1.0 og 1.1 disablet. For at enable de 2 skal de tilføjes i på samme måde som MD5. Se flere detaljer længere nede.

Seneste nyt: 19/10-2017:
Oracle har fornylig releaset Java 8 update 151. Ingen problemer med firmware 2.8.4. Tidligere firmware har problemer med manglende MD5 understøttelse.

Seneste nyt: 29/7-2017:
Oracle har fornylig releaset Java 8 update 141. Samme udfordring med MD5 som med Java 8 update 131. Problemet er imidlertid løst med firwmare 2.8.4 som er blevet released af LK inden for den sidste mdr.

Seneste nyt: 21/4-2017:
Oracle har releaset Java 8 update 131. LK IHC Serviceview etc. virker ikke med denne Java medmindre man enabler MD5 certifikater igen. Se workaround under Java 8 update 131.

Seneste nyt: 1/10-2016:
LK har langt om længe releaset firmware 2.8.1, men det bør kun installeres på HW6.2 controller jvf. LK. Den nye firmware løser såvidt jeg kan se alle kendte JAVA problemer. Jeg har ikke fået checket om de også har fået opdateret krypterings algorithmerne som bruges i forbindelse med HTTPS trafik.
Eftersom der ikke er kommet en ny firmware til HW6.1 controller, lader jeg nedenstående stå.

Seneste nyt: 22/7-2016:
Oracle har releaset Java 8 update 101 og den ser ud til igen at virke med LK's firmware 2.7.199 og 2.7.220, sålænge man bruger de workarounds som er beskrevet for Java 8 update 71 længere nede. Hvis i allerede har implementeret workaroundsne, kan i opgrader til Java 8 update 101 direkte uden at ændre noget.

 

Firmware 2.8.4:
Problemer:

  • Fungere i.flg LK's support site ikke på HW6.1 controller.

Løst:

  • MD5 certifikater bruges ikke længere af serviceview etc.
  • Det ser umiddelbart ud til at Visual's problemer med at forbinde til controlleren samtidig med at f.eks. IHC Captain køre er blevet løst

Firmware 2.8.3:
Problemer:

  • Fungere i.flg LK's support site ikke på HW6.1 controller.
  • Enkelte rapporter om at Visual har problemer med at connecte til controlleren hvis Serviceview eller f.eks. IHC Captain køre

Løst:

  • Sandsynligvis fornyede certifikater

Firmware 2.8.1:
Problemer:

  • PT ingen kendte problemer udover at den i.flg LK's support site ikke fungere på HW6.1 controller.

Løst:

  • Fornyede certifikater

Firmware 2.7.220:
Problemer:

  • Udløbne JAVA og SSL certifikater, som giver problemer med Java applikationer som service view etc.
  • Forældet krypterings algorithm'er som giver problemer for web scene view i nyer browser, samt SOAP API'et
  • Generelt set som en ustabil firmware

Løst:

  • Understøttelse at TLS 1.1 og 1.2 kryptering
  • Support for lux/temp og fugt/temp sensor

 

Firmware 2.7.199:
Problemer:

  • Udløbne JAVA og SSL certifikater, som giver problemer med Java applikationer som serviceview etc.
  • Forældet krypterings algorithm'er som giver problemer for web sceneview i nyer browser.
  • Kun understøttelse af TLS 1.0, hvilket giver problemer for Java applikationer som service view etc.
  • Ingen understøttelse af lux/temp og fugt/temp sensor

Løst:

  • Generelt set som en stabil firmware

Java 8 update 311:
TLSv1, TLSv1.1 skal nu også fjernes fra jdk.tls.disabledAlgorithms= i <JAVA_HOME>/lib/security/java.security. Hvis man ikke fjerne dem der, får man unable to login.

Java 8 update 291:
Ældre TLS protokoller er blevet disablet. Disablingen forhindre IHC Java applikationerne i at blive loadet. Find filen <JAVA_HOME>/lib/security/java.security og tilføj "TLSv1, TLSv1.1" til jdk.tls.legacyAlgorithms

Java 8 update 131, 141 og 151:
Problemet er løst med firmware 2.8.4
Jeg får nedenstående fejl når jeg forsøger at starte Serviceview. Workarounden er at fjerne MD5 fra jdk.jar.disabledAlgorithms= som findes i konfig. filen java.security i <JAVA_HOME>/lib/security/java.security. En nærmere beskrivelse af baggrunden for ændringen i Java findes her https://blogs.oracle.com/java-platform-group/entry/strengthening_signatures og her https://blogs.oracle.com/java-platform-group/entry/strengthening_signatures_part_2

597cc72dea756_Javaerror-3.JPG.2c028dbebd1c7c8d20c4a7c8ee9e7a05.JPG

Java 8 update 101:
Java 8 update 101 blev released omkring 22/7-2016. Den ser ud til at virke med samme workarounds som for Java 8 update 71

Java 8 update 77:
Java 8 update 77 blev released 23/3-2016. PT. er det ikke lykkes mig at få service view til at starte med JAVA 8 build 77 installeret, heller ikke selvom den er disablet i java control panel. :angry: Jeg får nedenstående fejl og ingen af løsningerne fra de tidligere Java versioner virker. :angry:

Java-8_77-error.JPG

Løsningen er pt. at downgrade til en ændre Java version. De ændre versioner kan hentes her http://www.oracle.com/technetwork/java/archive-139210.html men vær opmærksom på at den nyeste version skal afinstalleres for at admin, service view etc. vil virke. Jeg håber jeg kan få fat på LK efter påske og få dem til at release en ny FW med opdaterede certifikater og krypterings protokoller, da det synes at være det som er problemet.
Edit 1/4-2016: Problemet ser ud til at være opstået allerede i Java 8 update 72. Java 8 update 71 ser dermed ud til at være den sidste Java version, som kan bringes til at afvikle LK's IHC's Java applikationer. Jvf. LK's support site er seneste supporterede Java version for HW6.1 controller Java 8 update 66.

Java 8 update 71 eller tidligere (Gælder også for Java 8 update 101):
Efter opgradering til Java 8 update 71 vil service view ikke længere starte. Den kommer med nedenstående fejl, og der kommer ikke nogen boks hvor man kan aksepter expired certifikater.
JAVA error.JPG

Løsningen findes her. http://java.com/en/download/help/jcp_security.xml Tilføj det som står uden for location i ovenstående billed, under edit site list på security tab'en i Java control panel. Java vil brokke sig over at i kun skriver http: og ikke https:, men det skal i bare aksepter. Der skal står HTTP:, da JAVA applikationen downloades via HTTP, mens data og login sendes og modtages over https:
Når i starter service view første gang efter ovenstående rettelse, vil få en boks hvor i kan aksepter udløbne certifikater.

 

Forkert bruger ID/Password:
Denne fejl ses ind imellem hvis man køre med en Java 8 update 71 eller nyer, samt Firmware 2.7.199 eller ældre. Workarounden er at disable TLS 1.1 og 1.2 og enable TLS 1.0 i Java.
59201ba64dd9b_TLSerror-2.jpg.b09d878eb6d8ecd73510d975fce3a135.jpg

 

Browser support for forældet kryptering:
I firefox skriver i about:config i url linien. aksepter den advarsel som kommer op, og søger efter security.tls.insecure_fallback_hosts. Dobbelt klik på entriet, og indtast ip addressen på jeres IHC controller. Herefter vil web scene viewer igen virke, ligesom SOAP login fra en browser etc.

Link til kommentar
Del på andre sites

Recommended Posts

  • 0

Hej,

 

Jeg har netop fået dette svar ....

Tak for din henvendelse i forbindelse med manglende opdatering af Java certifikat til IHC Visual 2 Controller.

 

Vores udviklingsafdeling arbejder på en ny og forbedret firmware version. Den nye firmware version kommer til at indeholde opdateret Java certifikat.

 

På nuværende tidspunkt, kan vi desværre ikke komme en udgivelsesdato for den nye firmware. Vi opfordre til at følge med på vores hjemmeside på følgende link: http://www.lk.dk/support/professionel/ihc-software/

 Vi beklager for ulejligheden.

 

Med venlig hilsen

Customer Care Center

Link til kommentar
Del på andre sites

  • 0
2 timer siden, Flemming Wilton Hansen skrev:

Hej,

 

Jeg har netop fået dette svar ....

Tak for din henvendelse i forbindelse med manglende opdatering af Java certifikat til IHC Visual 2 Controller.

 

 

 

Vores udviklingsafdeling arbejder på en ny og forbedret firmware version. Den nye firmware version kommer til at indeholde opdateret Java certifikat.

 

 

 

På nuværende tidspunkt, kan vi desværre ikke komme en udgivelsesdato for den nye firmware. Vi opfordre til at følge med på vores hjemmeside på følgende link: http://www.lk.dk/support/professionel/ihc-software/

 

 Vi beklager for ulejligheden.

 

 

 

 

Med venlig hilsen

 

Customer Care Center

 

SUK :blink:

Link til kommentar
Del på andre sites

  • 0

Prøv at dobbelt checke om det er den rigtige linie i java.security du har fjernet md5 fra. Det skal være jdk.jar.disabledAlgorithms. Der er mindst en anden linie som hedder nogenlunde det samme, men den ændre ikke noget.

Der udover bør du checke at det er den rigtige java.security du retter i og at du rent faktisk får gemt ændringerne. Nogle Java opdateringer får f.eks. ikke slettet de gamle biblioteker, og hvis du køre windows 7 skal du sikkert køre din tekst editor via run as admin.. for at få lov til at gemme dine config ændringer.

Link til kommentar
Del på andre sites

  • 0

Hej Lars1

Tak for dit svar. Jeg er klar over at filen er beskyttet og skal rettes med administrator rettigheder. Jeg har rettet den rigtige property i java.securities og faktisk også prøvet at fjerne MD5 flere steder, men det ændre ikke noget. Jeg kører windows 10 på begge maskiner men jeg har ingen JAVA_HOME system variabel, som på eks. Unix (Jeg kender ikke meget til Windows - Jeg er Unix mand). Hvad er den rigtige fil?

/T

Link til kommentar
Del på andre sites

  • 0

Jeg køre selv kun med windos 7, så jeg ved ikke lige hvordan det ser ud på windos 10. På min computer er JAVA_HOME=C:\Program Files (x86)\Java\jre1.8.0_131\

Hvis du prøver at starte Java control panel på din computer, kan du i Java faneblade trykke på view. Herefter får du en oversigt som fortæller hvor dine forskellige Java versioner ligger på din computer.

Link til kommentar
Del på andre sites

  • 0
2 timer siden, thk skrev:

Hej Lars1

Tak for dit svar. Jeg er klar over at filen er beskyttet og skal rettes med administrator rettigheder. Jeg har rettet den rigtige property i java.securities og faktisk også prøvet at fjerne MD5 flere steder, men det ændre ikke noget. Jeg kører windows 10 på begge maskiner men jeg har ingen JAVA_HOME system variabel, som på eks. Unix (Jeg kender ikke meget til Windows - Jeg er Unix mand). Hvad er den rigtige fil?

/T

Jeg kører windows 10 og har ikke problemer, efter jeg fjernede md5.

Link til kommentar
Del på andre sites

  • 0

Næh, efter en typisk Windows genstart kom den med. Tak for hjælpen.

Syntes LK lader kunderne i stikken med disse IHC produkter... De modarbejder jo IT sikkerheden, hvilket alt andet lige burde give dem anmærkninger i deres Revisions-rapporter. 

Link til kommentar
Del på andre sites

  • 0

Hvis ellers dem som udvikler produkter til Java, sørgede for at opdater deres produkter og brugte de rigtige udviklings metoder, så er Java faktisk et rigtigt godt cross platform OS. Hvis sikkerheden i windos var ligeså høj som i Java, så ville du have stort set lige så mange problemer med stortset alle programmer på din windos PC som du har med LK IHC og Java.

Edit:

Glemte lige at skrive at MD5 og udløbne certifikater ikke er et Java specifikt problem, men derimod et HW problem. Controlleren har ganske simpelt ikke CPU krafter nok til at håndter mere moderne krypterings algorithmer og certifikater med mere end 256bit nøgler.

Link til kommentar
Del på andre sites

  • 0

Nyt info om ny opdateringen til Visual2 v6.2  med nyeste Firmware til JAVA version 8U131
Til Info så er der kommet opdateringer fredag 30 juni 2017. :-)

se link:http://www.lk.dk/support/professionel/ihc-software

Visual2 v6.2 Nyeste Firmware/Java Version 2.8.4 / Java 8 update 131

----- # ----- # ----- # ----- # ----- # ----- # ----- # ----- # ----- # ----- # ----- # -----

Det med at rode med JAVA kræver lidt viden hvordan det er strikket op. Men det kan lade sig gøre på tværs Visual Viewer version og hvilken version JAVA man benytter. Sålænge vi snakker om IP conect til Controller eller USB conect til Controller. Som du skriver Lars1 om MD5 og udløbne certifikater ikke er et Java specifikt problemså burde browsere holde op med at acceptere MD5 certifikater der må findes andre løsninger i JAVA program. EKS. have en felt i JAVA hvor modulen MD5 selv opdater i hvilken versionen i et JAVA program man benytter på en computer. Men det er bare ønsketænkning. Det er ikke sådan med Sikkerheds certifikater hvor der begrænsninger. 
Vi i firmaet kommer ofte ud for at skulle ændre Java version og genstarte ens arb. bærbar computer når vi kommer ud til flere IHC anlæg eller bøvle en del med Contecte en IHC controler når dokumentationen ikke forfindes hos kunden så man kan se hvilken version FW der benyttes. Mest er det hos mindre virksomheder hvor bygningen har være ejet af flere kunder.

Nu har jeg være på side vognen i mange år i dette forum og har nok været for passivt i denne periode. Jeg har rodet/arbejdet med IHC i større eller mindre grad og har selv en mindre IHC-Styring og et IHC Alarm anlæg ved siden af. 

jdk-8u131-windows-x64.exe

Link til kommentar
Del på andre sites

  • 0
På 2/7/2017 at 20:59 , Overgaard skrev:

Det med at rode med JAVA kræver lidt viden hvordan det er strikket op. Men det kan lade sig gøre på tværs Visual Viewer version og hvilken version JAVA man benytter. Sålænge vi snakker om IP conect til Controller eller USB conect til Controller. Som du skriver Lars1 om MD5 og udløbne certifikater ikke er et Java specifikt problemså burde browsere holde op med at acceptere MD5 certifikater der må findes andre løsninger i JAVA program. EKS. have en felt i JAVA hvor modulen MD5 selv opdater i hvilken versionen i et JAVA program man benytter på en computer. Men det er bare ønsketænkning. Det er ikke sådan med Sikkerheds certifikater hvor der begrænsninger.

MD5 er som sådan ikke et Java problem. MD5 er en HASH algorithme, som bruges til at verificer om der er blevet ændret i data under transporten mellem klienten og serveren eller omvendt. Protokollen er imidlertid tilbage fra 80'erne, og derfor er den for let at knække med de computer vi har idag, hvilket kan resulter i at en ondsindet person, kan opsnappe data pakken, ændre indholdet og sende den afsted igen med en ny MD5 HASH værdi. Modtageren vil da ikke være i stand til at se at indholdet i data pakken er blevet ændret.

MD5 bruges også i forbindelse med FTP overførsel af filer etc.

På 2/7/2017 at 20:59 , Overgaard skrev:

Vi i firmaet kommer ofte ud for at skulle ændre Java version og genstarte ens arb. bærbar computer når vi kommer ud til flere IHC anlæg eller bøvle en del med Contecte en IHC controler når dokumentationen ikke forfindes hos kunden så man kan se hvilken version FW der benyttes. Mest er det hos mindre virksomheder hvor bygningen har være ejet af flere kunder.

Hvis du følger de guides jeg har lagt på ovenover, så burde det ikke være nødvendigt at skulle ændre Java version afhængig af hvilken FW version din kunde bruger. Men bortset fra det, så vil jeg nok som det første opgrader til FW 2.7.199 på en HW 6.1 controller og FW 2.8.4 på en HW6.2 controller. FW uploaderen kræver ikke Java, så det burde være relativt simpelt at gøre, også slipper du for mange af problemerne.

Link til kommentar
Del på andre sites

  • 0

Hej lars

Info:
system 2.7.342
Som så mange andre kunne jeg ikke få kontakt til controller, hverken lan eller usb
Jeg søgte her på IHC-user efter info
Efter genstart af controller virkede ALT perfekt :-)
Tusind tak for at I deler jeres ekspert viden, så brugere som mig også har mulighed for at få løst mine problemer.

vh. Peter

Link til kommentar
Del på andre sites

  • 0

Med Java 8 update 161 og firmware 2.8.6 har jeg problemer med at komme på. Det går fortsat fint med Java 8 update 151. Skal der foretages tilretninger i java.security vedr. MD5 som i 'gamle dage' eller? På https://java.com/en/download/faq/release_changes.xml optræder flg.: MD5 added to jdk.jar.disabledAlgorithms Security property This JDK release introduces a new restriction on how MD5 signed JAR files are verified. If the signed JAR file uses MD5, signature verification operations will ignore the signature and treat the JAR as if it were unsigned.

Redigeret af LarsU
Lavede lidt mere research efter at jeg gentagne gange fik Java fejlkode vedr. MD5withRSA
Link til kommentar
Del på andre sites

  • 0
7 timer siden, LarsU skrev:

Med Java 8 update 161 og firmware 2.8.6 har jeg problemer med at komme på. Det går fortsat fint med Java 8 update 151. Skal der foretages tilretninger i java.security vedr. MD5 som i 'gamle dage' eller? På https://java.com/en/download/faq/release_changes.xml optræder flg.: MD5 added to jdk.jar.disabledAlgorithms Security property This JDK release introduces a new restriction on how MD5 signed JAR files are verified. If the signed JAR file uses MD5, signature verification operations will ignore the signature and treat the JAR as if it were unsigned.

Du kan også prøve LK'S nye Javastarter.

Så slipper du for disse justeringer. 

 

Link til kommentar
Del på andre sites

  • 0
2 minutter siden, LarsU skrev:

Tak for dette - men LK oplyser her http://www.lk.dk/mit-lk/ihc-software at Java Starter kun anvendes ved LAN og USB opkobling og ikke ved netopkobling, som er det jeg anvender. Eller har jeg misforstået noget?

Hvad mener du med netopkobling? Den virker via lokalt netværk og med usb kablet. 

Link til kommentar
Del på andre sites

  • 0
9 minutes ago, Bjarne Sørensen said:

Hvad mener du med netopkobling? Den virker via lokalt netværk og med usb kablet. 

Jeg sidder nogle tusinde kilometer fra min IHC og snakker med den via internettet, så jeg bruger ikke lokalt netværk. Men jeg fandt en løsning på problemet med Java 8 Update 161 ved at fjerne MD5 henvisningerne i java.security filen

Link til kommentar
Del på andre sites

  • 0
15 minutter siden, LarsU skrev:

Jeg sidder nogle tusinde kilometer fra min IHC og snakker med den via internettet, så jeg bruger ikke lokalt netværk. Men jeg fandt en løsning på problemet med Java 8 Update 161 ved at fjerne MD5 henvisningerne i java.security filen

Ahh, okay. 

Men du taster bare ipadressen ind i Javastarter som normalt. 

Link til kommentar
Del på andre sites

  • 0

Når jeg åbner jarfilen og indtaster min IP adresse får jeg en fejlmeddelelse 'resource not found'. Men som nævnt fandt jeg en for mig god løsning, der giver mig mulighed for fortsat at anvende min almindelige browseropsætning når jeg tilgår LK IHC Service View. Tak for rådgivning :-)

Link til kommentar
Del på andre sites

  • 0
12 timer siden, LarsU skrev:

Med Java 8 update 161 og firmware 2.8.6 har jeg problemer med at komme på. Det går fortsat fint med Java 8 update 151. Skal der foretages tilretninger i java.security vedr. MD5 som i 'gamle dage' eller? På https://java.com/en/download/faq/release_changes.xml optræder flg.: MD5 added to jdk.jar.disabledAlgorithms Security property This JDK release introduces a new restriction on how MD5 signed JAR files are verified. If the signed JAR file uses MD5, signature verification operations will ignore the signature and treat the JAR as if it were unsigned.

Der burde ikke være flere MD5 certifikater i brug i firmware 2.8.6, så jeg tvivler lidt på at det er dette som er issuet, men jeg har ikke selv opdateret Java endnu, så jeg har ikke set problemet endnu.

4 timer siden, LarsU skrev:

Jeg sidder nogle tusinde kilometer fra min IHC og snakker med den via internettet, så jeg bruger ikke lokalt netværk. Men jeg fandt en løsning på problemet med Java 8 Update 161 ved at fjerne MD5 henvisningerne i java.security filen

LK's IHC controller ser alt som ikke kommer fra samme IP subnet som ens PC controlleren selv sidder på, som kommende fra internettet. Dette kan man dog omgå ved at lave en hide NAT regl i sin FW/router.

Jeg har ikke selv prøvet Java starteren, men jeg vil ikke blive forbavset hvis den har en tilsvarende begrænsning, så at den kræver at være på samme subnet som IHC controlleren for at virker. Jeg håber det ikke men vil ikke blive overrasket hvis det er tilfældet. Hvis man har ovenstående hide NAT regl i sin FW/router og den ellers er lavet rigtig burde dette ikke være et problem.

Link til kommentar
Del på andre sites

  • 0
19 timer siden, Lars1 skrev:

 

LK's IHC controller ser alt som ikke kommer fra samme IP som ens PC, som kommende fra internettet. Dette kan man dog omgå ved at lave en hide NAT regl i sin FW/router.

 

Lille rettelse: Det er alt det trafik, fra det subnet, som Controlleren selv sidder i, den ser som Intern.

dvs. hvis din controller har IP: 192.168.1.3 med subnet maske: 255.255.255.0, vil den se alt trafik fra udstyr med en IP fra 192.168.1.1 til 192.168.1.254 som intern.

Link til kommentar
Del på andre sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Gæst
Svar på dette spørgsmål

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loader...
 Share

×
×
  • Tilføj...

Important Information

Privatlivspolitik og We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.

1200x630bb.png

ok