Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Oracle : bulletin géant de sécurité et troubles autour de Java

La situation n'est pas près de changer

Oracle : bulletin géant de sécurité et troubles autour de Java

Le 19 avril 2013 à 08h04

Oracle a publié un immense bulletin de sécurité corrigeant pas moins de 128 failles. Il s’agit pour l’éditeur du CPU (Critical Patch Update) d’avril et d’arroser l’ensemble des produits touchés par des failles de sécurité. C’est notamment le cas de Java qui, à lui seul, concerne 42 des correctifs.

java

Une majorité de failles exploitables à distance  

Le dernier bulletin correctif d’Oracle ne passe pas inaperçu : 128 brèches de sécurité réparties sur plusieurs produits de la firme. On retrouve ainsi Fusion Middleware, touché par 29 failles dont 22 sont exploitables à distance. Business Suite est concerné par 6 failles, toutes exploitables à distance, tandis que MySQL est touché par 25 failles, dont une seule exploitable à distance, mais sans requérir d’authentification.

 

Voici la liste des autres produits touchés par des failles :

  • Database Server : 4 failles, toutes exploitables à distance sans authentification
  • Supply Chain Products Suite : 3 failles, dont une exploitable à distance sans authentification
  • PeopleSoft Products : 11 failles, dont 6 exploitables à distance sans authentification
  • Siebel CRM : 8 failles, dont une exploitable à distance sans authentification
  • Industry Applications : 3 failles
  • Financial Services Software : 18 failles, dont une exploitable à distance sans authentification
  • Primavera Products Suite : 2 failles, dont une exploitable à distance sans authentification
  • Support Tools : 1 faille

Le souci principal n’est en fait pas tant le nombre de failles corrigées que le pourcentage d’entre elles exploitable à distance, surtout sans aucune authentification.

Java : la situation n'est pas prête de s'améliorer 

Le festival continue évidemment avec Java. La technologie est régulièrement sous les feux des projecteurs depuis plusieurs mois à cause d’un problème inhérent à la qualité de son code. Ce ne sont ainsi pas moins de 42 brèches qui sont corrigées et il est recommandé aux utilisateurs de mettre leur version à jour aussi rapidement que possible. L’écrasante majorité de ces failles sont considérées comme critiques et sont exploitables à distance, là encore sans authentification préalable.

 

Ross Barrett, responsable de l’ingénierie chez le spécialiste de la sécurité Rapid7, a au sujet de Java un avis pessimiste. Il met en garde : « Les administrateurs et utilisateurs doivent réaliser que le bon sens en ce qui concerne la sécurité et les précautions autour du plug-in Java ne va pas changer avec ce patch, le suivant ou celui d’après. En tant que plug-in web, Java a de nombreux problèmes non résolus, dont la plupart sont révélés à Oracle par des chercheurs responsables qui font essentiellement le travail d’assurance qualité d’Oracle, de manière régulière et gratuitement ».

 

Son point de vue est évident : si des chercheurs sont capables de trouver autant de failles critiques et dangereuses, des pirates motivés par l’appât du gain en feront de même, sinon davantage. De fait, Java doit être considéré comme vulnérable encore pendant un temps, durant lequel Oracle continuera ses travaux. Un avis partagé par Wade Williamson, analyste chez Palo Alto Networks : « Pour beaucoup d’entreprises, les récompenses de Java ont considérablement diminué avec les années, alors que les risques ont augmenté exponentiellement. Alors de nombreuses entreprises vont devoir examiner longuement et attentivement Java pour savoir si le jeu en vaut la chandelle ».

Désactiver Java dans le navigateur 

Sur la plupart des machines des utilisateurs « classiques », Java est pour rappel inutile. Les sites l’utilisant sont rarissimes, mais certaines applications s’en servent encore. On citera d’ailleurs deux exemples populaires : l’excellent PS3 Media Server (transcodage vidéo et diffusion DLNA) et le jeu Minecraft. Dans un cas comme dans l’autre, cela n’empêche pas de désactiver la présence de Java au sein du navigateur, car c’est bien ce dernier qui se retrouve être le vecteur d’attaque le plus fréquent, via des pages web spécialement conçues.

 

Pour rappel, le panneau de configuration java contient une option pour activer ou désactiver le plug-in web du navigateur. L’option se trouve dans l’onglet Sécurité :

 

java

Commentaires (44)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar







rsegismont a écrit :



+1 : j’y ai le droit avec Android …







Je ne peux m’empêcher de me demander si Oracle ne travaillerait pas main dans la main avec Microsoft pour dénigrer la plateforme Java (vu le travail lamentable de maintenance qu’ils font dessus après Sun), tout en s’en servant pour attaquer Android.



Après tout, le couple Windows/Oracle était très heureux avant l’émergence Linux/MySQL …


votre avatar







Youp3 a écrit :



Ouch ! L’erreur dans le titre :



Cela devrait être :







J’imagine que tu voulais dire l’inverse : il faut utiliser “près de” et non “prête de”.



En tout cas j’espère que Vincent n’a pas ajouté une faute à une phrase correcte suite à ton commentaire, car la faute est toujours là :)


votre avatar

C’est drôle comme tout le monde semble oublier qu’avant Oracle, c’était surtout Sun Microsystems qui était en charge de Java… et donc du fameux plug-in.

Certes c’est facile de “taper” sur le propriétaire actuel, mais je trouve que ça montre bien que la qualité a longtemps manqué sur ce périmètre-là. <img data-src=" />

votre avatar







hasterix a écrit :



Je ne peux m’empêcher de me demander si Oracle ne travaillerait pas main dans la main avec Microsoft pour dénigrer la plateforme Java (vu le travail lamentable de maintenance qu’ils font dessus après Sun), tout en s’en servant pour attaquer Android.



Après tout, le couple Windows/Oracle était très heureux avant l’émergence Linux/MySQL …







Je ne suis pas sûr que tous les torts soient à imputer à Oracle.

Ce serait étonnant que toutes les failles découvertes ces derniers temps soient uniquement dues à du code d’Oracle. Le problème de qualité et d’entretien du code devait déjà exister à l’époque de Sun.



votre avatar

A noter tout de même que plus de la moitié de ces 42 failles affectent aussi les versions 6 et antérieures (c’est-à-dire celles du temps de Sun).

votre avatar







RBoudin a écrit :



Je ne suis pas sûr que tous les torts soient à imputer à Oracle.

Ce serait étonnant que toutes les failles découvertes ces derniers temps soient uniquement dues à du code d’Oracle. Le problème de qualité et d’entretien du code devait déjà exister à l’époque de Sun.









Olipla a écrit :



A noter tout de même que plus de la moitié de ces 42 failles affectent aussi les versions 6 et antérieures (c’est-à-dire celles du temps de Sun).







On peut voir ça aussi de la manière suivante : un certain nombre de failles existaient du temps de Sun, 1) elles n’ont pas été corrigées, 2) autant ont été ajoutées par la suite.



Je n’ai pas le sentiment qu’Oracle défende becs et ongles sa technologie nouvellement acquise.



votre avatar







maxxyme a écrit :



C’est drôle comme tout le monde semble oublier qu’avant Oracle, c’était surtout Sun Microsystems qui était en charge de Java… et donc du fameux plug-in.

Certes c’est facile de “taper” sur le propriétaire actuel, mais je trouve que ça montre bien que la qualité a longtemps manqué sur ce périmètre-là. <img data-src=" />







Oracle est le pendant de Microsoft dans le coté Obscur mais pour les PROs.

Ils ont bien salopé MySql avec leur nouvelle politique commerciale. Le positif est qu’il existe désormais d”autres alternatives crédibles coté BDD Libres


votre avatar







Vincent_H a écrit :



Quels autres ? La seule boîte à ne pas vraiment communiquer est Apple. Tous les autres ont des bulletins tout aussi clairs.







ben, tu vois, elles communiquent tellement peu que tu les as pas trouvées <img data-src=" />


votre avatar

en fait, oracle aurait pu corriger plus de bugs, mais ça n’aurait plus le même sens.<img data-src=" />

votre avatar

Et leur mise à jour java essaie toujours d’installer la barre ask… <img data-src=" />

votre avatar

Autre problème inhérent à java et à ses différentes versions ce sont les serveurs tiers du genre Blackberry entreprise qui obligent à avoir tels ou tels versions en prod.


votre avatar



(…) mais certaines applications s’en servent encore. On citera d’ailleurs deux exemples populaires : l’excellent PS3 Media Server (transcodage vidéo et diffusion DLNA) et le jeu Minecraft.

… ainsi que Azureus/Vuze et JDownloader, dans un créneau un peu moins… pro <img data-src=" />

votre avatar







Inny a écrit :



Et leur mise à jour java essaie toujours d’installer la barre ask… <img data-src=" />









C’est bien ça incitera les gens à être toujours plus vigilant lors d’une installation quelconque sur leurs appareils quels qu’ils soient :)

Et bon si ils peuvent gagner quelques sous avec cela bah ça me pose pas de problème particulier …


votre avatar

Peut on en déduire que Java est passé largement devant Flash en termes d’insécurité ?

votre avatar







Youp3 a écrit :



Ouch ! L’erreur dans le titre :



Cela devrait être :





près est devenu un verbe quand ?


votre avatar



Sur la plupart des machines des utilisateurs « classiques », Java est pour rappel inutile.





j’avoue que Java pour un client sous Windows çà ne sert plus à rien. Perso je n’ai plus aucune machine avec un JRE d’installé depuis très longtemps.

votre avatar







hadoken a écrit :



j’avoue que Java pour un client sous Windows çà ne sert plus à rien. Perso je n’ai plus aucune machine avec un JRE d’installé depuis très longtemps.





si, pour Freenet <img data-src=" /> (ou Minecraft)


votre avatar







psn00ps a écrit :



si, pour Freenet <img data-src=" />





bah bien sur, il y a quelques application (l’article cite minecraft)… mais c’est tellement plus la mode comme solution cliente que c’est rare.


votre avatar







Choub a écrit :



Vous pourriez rajouter “plug-in” devant Java ? Ca commence à saouler de faire l’amalgame..







Non : la plupart des failles corrigées lors du dernier patch n’étaient pas présentes dans le code du plugin, mais dans d’autres APIs (awt, javaFX, etc. Voir ici :http://www.oracle.com/technetwork/topics/security/javacpuapr2013-1928497.html)



Le code du plugin était le point d’entrée de la faille.



Cela montre, comme le disent les chercheurs cités dans l’article, qu’Oracle a bien un grave problème d’assurance qualité (pas uniquement sur java d’ailleurs), et non un petit bout de code pourri lié au web start, comme beaucoup de devs de mon entourage ont tenté de me l’expliquer…



Par contre, on pourrait dire que l’implémentation d’Oracle est une catastrophe, pas java <img data-src=" />


votre avatar







psn00ps a écrit :



si, pour Freenet <img data-src=" /> (ou Minecraft)







…et pour le livetiming de f1


votre avatar



certaines applications s’en servent encore.





Il n’y a pas que les softs pour la maison…



C’est quelque peu réducteur par rapport aux entreprises qui utilisent Java, mais sans faire d’applets.



Et les communautés Apache, IBM, Eclipse, …


votre avatar







Tohrnoriac a écrit :



j’ai eu 2 mises a jours à la suite en début de semaine….

cette technologie (plus trop utilisée) est (a été) remplacée par quoi ?





les technos Ajax et html5 généralement.



En fait c’est plutôt que le Java client sur le web n’a jamais vraiment décollé.



Pour en avoir fait il y a quinze ans le principal pb que je rencontrais était que les programmes générés avec des objets de haut niveau (ceux qui permettent de coder vite) avaient des perfs minables et que donc l’intérêt du langage pour le web était très vite limité puisque la qualité de l’exécution dépendant de la puissance de la machine cliente il n’était jamais certain qu’un applet puisse s’exécuter correctement…

Dès qu’ajax est arrivé java client n’a plus intéressé grand monde sur le web je dirais.


votre avatar







Zorglob a écrit :



… ainsi que Azureus/Vuze et JDownloader, dans un créneau un peu moins… pro <img data-src=" />





L’installeur Oracle sinon utilise java <img data-src=" />





Winderly a écrit :



Peut on en déduire que Java est passé largement devant Flash en termes d’insécurité ?





C’est plus complexe que ça, l’important n’est pas le nombre de failles mais leur exploitation réelle. Suffit qu’un produit réputé sur ait une faille qui soit massivement utilisable et c’est fini.


votre avatar







monsieurben a écrit :



Non : la plupart des failles corrigées lors du dernier patch n’étaient pas présentes dans le code du plugin, mais dans d’autres APIs (awt, javaFX, etc. Voir ici :http://www.oracle.com/technetwork/topics/security/javacpuapr2013-1928497.html)



Le code du plugin était le point d’entrée de la faille.



Cela montre, comme le disent les chercheurs cités dans l’article, qu’Oracle a bien un grave problème d’assurance qualité (pas uniquement sur java d’ailleurs), et non un petit bout de code pourri lié au web start, comme beaucoup de devs de mon entourage ont tenté de me l’expliquer…



Par contre, on pourrait dire que l’implémentation d’Oracle est une catastrophe, pas java <img data-src=" />





Mais tu as oublié que si le code défaillant se trouve dans d’autres APIs, l’exploitation n’est possible qu’à partir des Web Starts ou applets (cf Note 1):



Applies to client deployment of Java only. This vulnerability can be exploited only through untrusted Java Web Start applications and untrusted Java applets. (Untrusted Java Web Start applications and untrusted applets run in the Java sandbox with limited privileges.)


votre avatar

Il y a aussi libreoffice qui a besoin du plug-in java mais le code nécessitant java est réécrit dans un langue à chaque version donc libreoffice devrait pouvoir se passer de java dans quelques temps

votre avatar







Inny a écrit :



Et leur mise à jour java essaie toujours d’installer la barre ask… <img data-src=" />







C’est clair, Oracle se met au niveau du shareware ! Ca fait trop la boite de malheureux qui peine à vendre des licences.


votre avatar







Groumfy a écrit :



C’est clair, Oracle se met au niveau du shareware ! Ca fait trop la boite de malheureux qui peine à vendre des licences.





On ne paye rien à Oracle pour jouer à Minecraft, ni pour n’importe quelle appli utulisant du java.

Une barre publicitaire qu’on peut refuser en un clic c’est l’Eldorado. (et elle se laisse désinstaller <img data-src=" />)

PEBKAC à ceux qui installent sans regarder. <img data-src=" /> <img data-src=" />


votre avatar







maxxyme a écrit :



C’est drôle comme tout le monde semble oublier qu’avant Oracle, c’était surtout Sun Microsystems qui était en charge de Java… et donc du fameux plug-in.

Certes c’est facile de “taper” sur le propriétaire actuel, mais je trouve que ça montre bien que la qualité a longtemps manqué sur ce périmètre-là. <img data-src=" />







Surement.

Mais bon, quand je vois VirtualBox qui était correct sous Sun et les premières versions de “Oracle VirtualBox” , buggées jusqu’a à moelle (j’ai failli perdre des VM a cause de rollback de snapshots foireux..



On se demande si le problème n’est pas : Oracle casse tout ce qu’il touche.



Maintenant, le java bashing, très peu pour moi.

Je taperais bien sur Flash par contre, meme gratuitement <img data-src=" />


votre avatar



(…) mais certaines applications s’en servent encore. On citera d’ailleurs deux exemples populaires : l’excellent PS3 Media Server (transcodage vidéo et diffusion DLNA) et le jeu Minecraft.











Zorglob a écrit :



… ainsi que Azureus/Vuze et JDownloader, dans un créneau un peu moins… pro <img data-src=" />





Euuuuh… Tu peux me dire dans quelle boîte tu travaille que j’envoie mon CV ? <img data-src=" /> Ça doit être sympa comme ambiance si vous bossez sur Minecraft en matant des films. <img data-src=" />


votre avatar







Choub a écrit :



Mais tu as oublié que si le code défaillant se trouve dans d’autres APIs, l’exploitation n’est possible qu’à partir des Web Starts ou applets (cf Note 1):





Désolé, c’est ce que je voulais dire dans “le point d’entrée était le plugin java”.

Mais en soit ça ne change rien au problème : la présence de ces failles montre que le code a une dette technique importante en termes de sécurité, pas uniquement la partie applets.



Après, Oracle est une société qui a largement les moyens financiers et humains pour régler ce problème. Seulement, ils ne communiquent actuellement aucunement dans ce sens (à part ce bulletin); c’est dommage car du coup ça continue à nuire à l’image du langage, y compris pour les autres implémentations…


votre avatar







Anna Lefeuk a écrit :



Oracle est le pendant de Microsoft dans le coté Obscur mais pour les PROs.

Ils ont bien salopé MySql avec leur nouvelle politique commerciale. Le positif est qu’il existe désormais d”autres alternatives crédibles coté BDD Libres





en l’occurrence MariaDB… <img data-src=" />

ou bien PostgreSQL

ou encore toutes les nouvelles bases No SQL


votre avatar







maxxyme a écrit :



en l’occurrence MariaDB… <img data-src=" />

ou bien PostgreSQL

ou encore toutes les nouvelles bases No SQL







Oui mais les clients, dans certains secteurs restent frileux et peuvent trouver certaines distrib trop exotiques (pour le moment). Après payer une license c’est toujours super sympa <img data-src=" />


votre avatar

Les “chercheurs responsables” dont parle l’article sont des universitaires? Des employés d’entreprise de sécurité?

votre avatar







Lochnar a écrit :



Les “chercheurs responsables” dont parle l’article sont des universitaires? Des employés d’entreprise de sécurité?







Ca dépend des cas, mais il parlait plutôt d’une attitude : des failles sont trouvées puis révélées confidentiellement à Oracle.


votre avatar

Vous pourriez rajouter “plug-in” devant Java ? Ca commence à saouler de faire l’amalgame..

votre avatar

j’ai eu 2 mises a jours à la suite en début de semaine….

cette technologie (plus trop utilisée) est (a été) remplacée par quoi ?

votre avatar







Choub a écrit :



Vous pourriez rajouter “plug-in” devant Java ? Ca commence à saouler de faire l’amalgame..







+1 : j’y ai le droit avec Android …


votre avatar

Chez nous on mets le paquet pour virer l’applet Java qu’on utilise dans un de nos produits (streaming de données). On va passer sur WebSocket avec un fallback sur Ajax.



C’est devenu trop pénible Java, ça nous coûte un bras de valider sans cesse toutes les versions de plugins. On en est arrivé à un point où on doit supporter plus d’une dizaine de versions de JRE (les clients n’installent pas forcément toutes les MAJ), bref c’est l’horreur…

Entre ça et le nombre de browser (IE 8, 9, 10, Chrome, FF), le QA pleure sa mère…

votre avatar

pour les afficonados du lynchage:



http://java-0day.com/

votre avatar

Pour les amateurs de bashing :

Dites vous qu’au moins Oracle communique, lui.



Les autres sont peut être plus troués mais sans communication.

D’autre part ça montre que ce produit n’est pas laissé à l’abandon.

votre avatar



des chercheurs responsables qui font essentiellement le travail d’assurance qualité d’Oracle, de manière régulière et gratuitement



Oracle est pour le moment trop occupé à faire des procès à la con à Google concernant Java… <img data-src=" /> ‘peuvent pas être sur plusieurs fronts en même temps ! <img data-src=" />



Sinon, l’activation des applets Java m’est indispensable pour gérer à distance un matériel réseau (BlueCoat pour ne pas le citer). Tout ça sur un PC connecté au Net qui est donc vulnérable aux quatre vents… Bravo Oracle ! <img data-src=" />

votre avatar







psn00ps a écrit :



Pour les amateurs de bashing :

Dites vous qu’au moins Oracle communique, lui.



Les autres sont peut être plus troués mais sans communication.

D’autre part ça montre que ce produit n’est pas laissé à l’abandon.







Quels autres ? La seule boîte à ne pas vraiment communiquer est Apple. Tous les autres ont des bulletins tout aussi clairs.


votre avatar

Ouch ! L’erreur dans le titre :



Java : la situation n’est pas près de s’améliorer



Cela devrait être :



Java : la situation n’est pas prête de s’améliorer

votre avatar

[hs]







Youp3 a écrit :



Ouch ! L’erreur dans le titre :



Cela devrait être : Java : la situation n’est pas prête de s’améliorer







C’est soit :



La situation n’est pas près de changer



ou



La situation n’est pas prête à changer (mais du coup ça ne colle pas des masses).



http://grammaire.reverso.net/2_1_77_pres_pret.shtml



[/hs]



Oracle : bulletin géant de sécurité et troubles autour de Java

  • Une majorité de failles exploitables à distance  

Fermer