Mise à jour : Oracle-Sun sort un correctif
De sécurité en urgence pour patcher la faille de Java

Le , par Gordon Fowler, Expert éminent sénior
Mise à jour du 15/04/10
Oracle met à disposition une version correctrice du JRE/JDK : JDK 6 Update 20

Comme vient de le rapporter HowHigH, Oracle-Sun vient de patcher en urgence la vulnérabilité en sortant un correctif de sécurité
Les Release Notes
Téléchargez la dernière version du JRE/JDK 6

La vulnérabilité de Java déjà exploitée
Depuis des serveurs russes, Oracle reste sur sa position

La faille de Java récemment mise à jour par un ingénieur de Google (lire ci-avant) serait déjà exploitée.

Roger Thompson, chef chercheur chez AVG, a repéré des attaques depuis des serveurs russes utilisés par des sites qui ciblent le grand public (comme Songlyrics.com, qui propose les paroles de chansons de Lady Gaga, Rihanna, etc.).

En arrivant sur ce site, un iFrame malicieux camouflé dans une publicité redirige l'utilisateur (sans que celui-ci ne s'en aperçoive) vers un serveur hébergeant l'exploit.

Lors de sa visite, le payload (autrement dit la "charge active" de l'attaque : le code sensé se télécharger sur la machine) n'était pas activé. Roger Thompson suppose donc que toute cette attaque était un test grandeur nature.

"Le code impliqué [dans l'attaque] est très simple, ce qui le rend facile à reproduire, ce n'est donc pas surprenant que seulement cinq jours après [la découverte de la vulnérabilité de Java], nous détectons ce code dans une attaque qui utilise un serveur Russe" écrit-il sur son blog. Et d'appeler Sun a réagir au plus vite.

Malheureusement, Oracle-Sun a déjà indiqué qu'à ses yeux cette vulnérabilité n'était pas assez importante pour rompre son cycle de sortie de mises à jour de sécurité. La faille restera donc non-patchée jusqu'à juillet.

Pour mémoire, la vulnérabilité concerne Java Web Start, une fonctionnalité ajoutée depuis Java 6 qui permet aux développeurs de lancer plus facilement l'exécution de programmes depuis la machine de l'internaute. Une fonctionnalité à double tranchant (c'est en tout cas la présentation qu'en fait Thompson).

La crainte de beaucoup d'éditeurs de solution de sécurité est de voir arriver un nouveau "toolkits" sur les forums de hackers qui permette d'automatiser l'attaque sans que le pirate n'ait la moindre ligne de code à écrire.

Face aux accusations d'irresponsabilité qui se multiplient, Oracle reste silencieux (et sur sa position).

En attendant la réponse du nouveau propriétaire de Sun, les recommandations de Tavis Ormandy, l'ingénieur de Goggle qui a découvert la vulnérabilité de Java, restent bonnes à connaître (lire ci-avant).

Source : Le billet de Roger Thompson

Et vous ?

D'après vous, Oracle est-il "irresponsable" de ne pas sortir un patch en urgence, ou Roger Thompson et ses collègues donnent-ils dans le catastrophisme ?

MAJ de Gordon Fowler

Une faille de Java permettrait de prendre le contrôle d'une machine
Oracle minimise la vulnérabilité découverte par un ingénieur de Google

Un ingénieur de Google, Tavis Ormandy, vient de mettre à jour une faille de Java qui touche les versions Windows depuis la 6 update 10.

Après avoir contacté Oracle, Ormandy a reçu pour réponse que la société "ne considère pas cette vulnérabilité suffisamment importante pour rompre le cycle trimestriel de réalisation des patchs". Une appréciation avec laquelle "il n'est pas d'accord".

L'attaque que permet la faille est pourtant sérieuse puisqu'elle permet à un tiers de lancer un code malveillant et de prendre le contrôle de la machine.

En résumé, la vulnérabilité vient du fait que Java permet à un développeur d'installer une librairie alternative au lancement d'une JVM. Il suffit donc de créer une librairie "malveillante" et de l'appeler pour lancer un code à l'insu de l'utilisateur.

Selon Symantec, la faille toucherait également Linux - mais ne serait pas exploitable.

Plus d'informations sur la faille et sur les parades à adopter en attendant le patch d'Oracle dans le communiqué de Ormandy.

Source : Le communiqé de Tavis Ormandy et celle de Symantec

Lire aussi

Des vulnérabilités découvertes dans Java, déjà patchées par Oracle

Les rubriques (actus, forums, tutos) de Développez.com :
Java
Sécurité
Windows
Linux

Et vous ?

Cette vulnérabilité vous parait-elle critique ?
Et d'après vous, Oracle a-t-il raison de ne pas rompre son cycle de sortie de mises à jour de sécurité ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Gordon Fowler Gordon Fowler - Expert éminent sénior http://www.developpez.com
le 15/04/2010 à 12:37
La vulnérabilité de Java déjà exploitée
Depuis des serveurs russes, Oracle reste sur sa position

La faille de Java récemment mise à jour par un ingénieur de Google (lire ci-avant) serait déjà exploitée.

Roger Thompson, chef chercheur chez AVG, a repéré des attaques depuis des serveurs russes utilisés par des sites qui ciblent le grand public (comme Songlyrics.com, qui propose les paroles de chansons de Lady Gaga, Rihanna, etc.).

En arrivant sur ce site, un iFrame malicieux camouflé dans une publicité redirige l'utilisateur (sans que celui-ci ne s'en aperçoive) vers un serveur hébergeant l'exploit.

Lors de sa visite, le payload (autrement dit la "charge active" de l'attaque : le code sensé se télécharger sur la machine) n'était pas activé. Roger Thompson suppose donc que toute cette attaque était un test grandeur nature.

"Le code impliqué [dans l'attaque] est très simple, ce qui le rend facile à reproduire, ce n'est donc pas surprenant que seulement cinq jours après [la découverte de la vulnérabilité de Java], nous détectons ce code dans une attaque qui utilise un serveur Russe" écrit-il sur son blog. Et d'appeler Sun a réagir au plus vite.

Malheureusement, Oracle-Sun a déjà indiqué qu'à ses yeux cette vulnérabilité n'était pas assez importante pour rompre son cycle de sortie de mises à jour de sécurité. La faille restera donc non-patchée jusqu'à juillet.

Pour mémoire, la vulnérabilité concerne Java Web Start, une fonctionnalité ajoutée depuis Java 6 qui permet aux développeurs de lancer plus facilement l'exécution de programmes depuis la machine de l'internaute. Une fonctionnalité à double tranchant (c'est en tout cas la présentation qu'en fait Thompson).

La crainte de beaucoup d'éditeurs de solution de sécurité est de voir arriver un nouveau "toolkits" sur les forums de hackers qui permette d'automatiser l'attaque sans que le pirate n'ait la moindre ligne de code à écrire.

Face aux accusations d'irresponsabilité qui se multiplient, Oracle reste silencieux (et sur sa position).

En attendant la réponse du nouveau propriétaire de Sun, les recommandations de Tavis Ormandy, l'ingénieur de Goggle qui a découvert la vulnérabilité de Java, restent bonnes à connaître (lire ci-avant).

Source : Le billet de Roger Thompson

Et vous ?

D'après vous, Oracle est-il "irresponsable" de ne pas sortir un patch en urgence, ou Roger Thompson et ses collègues donnent-ils dans le catastrophisme ?
Avatar de HowHigH HowHigH - Membre à l'essai http://www.developpez.com
le 15/04/2010 à 12:59
L'update 20 est sortie ce matin (ou cette nuit) (http://java.sun.com/javase/downloads/index.jsp) pour régler ça.

C'est que c'était plus dangereux que ce qu'ils pensaient...
Avatar de pseudocode pseudocode - Rédacteur http://www.developpez.com
le 15/04/2010 à 13:36
Citation Envoyé par Gordon Fowler  Voir le message
D'après vous, Oracle est-il "irresponsable" de ne pas sortir un patch en urgence, ou Roger Thompson et ses collègues donnent-ils dans le catastrophisme ?

Oracle aurait au moins du expliquer comment se prémunir du problème. Bon, le patch étant sorti, c'est un moindre mal. Peut-mieux faire pour la prochaine fois.

Il faudrait aussi (et surtout) que les développeurs/utilisateurs arrêtent d'associer automatiquement un type MIME avec une application.

Il a déjà fallu se battre contre le mécanisme de l' "autorun.inf" de windows, c'est pas pour refaire pareil avec le browser web.
Avatar de jaimepaslesmodozélés jaimepaslesmodozélés - Membre du Club http://www.developpez.com
le 15/04/2010 à 21:12
C'est dingue ça :
-1- crieur publique : "oyez oyez jeunes utilisateurs des claviers qui font bip-bip-tzzz-bip (NCIS & co powa), dame JVM souffre d'un grand mal, ne vous en approchez pas". Discutable, mais bon admettons;
-2- Oracle : "soyez tout de douceur, dame JVM est maintenant soignée", et rapidement en plus ! Le bougre...
-3- crieur publique : "ouaaais mais bon voilà, nan, par principe on boude".

Ri - di - cule. Non mais vraiment.
Avatar de joseph_p joseph_p - Membre expérimenté http://www.developpez.com
le 15/04/2010 à 22:46
En effet, patch délivré mais sur ce coup là dvp est à la peine... Plus d'info là du coup :
Oracle releases emergency security patch for Java

Au moins ils auront réagi à la pression médiatique, ce qui n'est pas forcément le cas de tout le monde...

EDIT : de façon générale, ce serait nettement plus sympa, constructif et professionnel d'avoir un état des lieux de la sécurité qui évolue avec le temps. Genre niveau de dangerosité par plate forme/technologie. Ca ne veut pas dire que les news comme celle là n'ont pas leur place, vu qu'elles servent à alerter sur des dangers nouveaux, mais il me semble qu'il y a de nombreux dangers flottant toujours de ci de là sans qu'on en soit bien conscients. J'pense par exemple à une époque où les routeurs cisco n'étaient jamais/très peu patchés. Et, justement, je ne sais pas bien si cette époque est révolue.

RE edit : j'viens de voir que la news sur le patch sortie était également là, pointant sur ce sujet qui par contre a gardé son titre évoquant des exploitations de la faille dans la nature... lol

Ah la la, l'actualité ça va trop vite pour moi

++
Avatar de _skip _skip - Expert éminent http://www.developpez.com
le 16/04/2010 à 12:06
Citation Envoyé par Gordon Fowler  Voir le message
Roger Thompson, chef chercheur chez AVG, a repéré des attaques depuis des serveurs russes utilisés par des sites qui ciblent le grand public (comme Songlyrics.com, qui propose les paroles de chansons de Lady Gaga, Rihanna, etc.).

Je cours pas un grand risque.

Citation Envoyé par Gordon Fowler  Voir le message
Malheureusement, Oracle-Sun a déjà indiqué qu'à ses yeux cette vulnérabilité n'était pas assez importante pour rompre son cycle de sortie de mises à jour de sécurité. La faille restera donc non-patchée jusqu'à juillet.

Moralité, ne cherchez pas les paroles de...

Non sérieusement, c'est effectivement assez grave vu comme ça, mais il faut admettre qu'une mise à jour de java n'est certainement pas une mince affaire pour oracle. Avec un tel parc de machine et le nombre d'applications qui en dépendent, je suppose que les cycles de validation doivent être très longs et complexes, du moins suffisamment pour ne pas pouvoir faire des mini-patch à tout va.
Avatar de styvsun styvsun - Nouveau membre du Club http://www.developpez.com
le 16/04/2010 à 18:39
Après avoir contacté Oracle, Ormandy a reçu pour réponse que la société "ne considère pas cette vulnérabilité suffisamment importante..........

Ah oui, c'est ça. Apres avoir nier ou minimiser l'attaque ils se sont données la peine de mettre une version correctrice du JRE/JDK. je trouve ça pas trop professionnel de la part de ORACLE-SUN.
Avatar de jaimepaslesmodozélés jaimepaslesmodozélés - Membre du Club http://www.developpez.com
le 17/04/2010 à 15:19
He ben.... je récapitule une fois de plus :
- Oracle ne considère pas cette faille comme sérieuse. Certains sont d'accord, d'autres non. Comme d'hab quoi.
- Les critiques enflammées fusent ici et là. Justifiées ? Discutable ET discuté
- Oracle prend la peine de rompre le cycle établit des releases Java pour sortir un patch rapidement, à mon avis (et ce n'est qu'un avis) simplement pour une question d'image.
- Le post juste au-dessus trouve que ça n'est pas professionnel. Dans ce cas quelle procédure aurait été professionnelle ? Réagir sans réfléchir le jour-même de la soit-disante ultra-super-grosse faille de sécurité, sortir un super-patch salvateur en 24h chrono sans même prendre le temps de faire tous les tests nécessaire, ceci pouvant mettre en péril la stabilité et la sécurité des JVM mises à jour ? Non mais sérieux quoi, un peu de bonne foi, l'attitude anti-Oracle primaire ça va un moment.

La JVM n'est pas un petit logiciel CodeBlocks de 200ko conçu et maintenu par Toto et Machin, les deux gars au devblog 2.0 ultra réactif, c'est un truc un peu plus conséquent, avec énormément de clients. Un patch fait à la hâte peut avoir des effets de bord dramatiques (imaginez-vous les serveurs d'applications qui se crashent les uns après les autres ? Pouf paf patatra). Le récent patch d'Oracle étant déjà une véritable prouesse.
Oracle a montré en peu de temps qu'il faisait mieux que Sun, et c'est très bien. C'est la fin d'une époque, c'est triste, mais c'est comme ça, et ça me va très bien.

D'ailleurs, d'après vous, combien de sociétés mettent à jour les JVM de leurs serveurs d'applis le jour même de la sortie d'un patch ? Ben voilà. Chez nous on vient de passer à la 1.5
Avatar de thebloodyman thebloodyman - Membre confirmé http://www.developpez.com
le 18/04/2010 à 2:23
Citation Envoyé par jaimepaslesmodozélés  Voir le message
- Le post juste au-dessus trouve que ça n'est pas professionnel. Dans ce cas quelle procédure aurait été professionnelle ? Réagir sans réfléchir le jour-même de la soit-disante ultra-super-grosse faille de sécurité, sortir un super-patch salvateur en 24h chrono sans même prendre le temps de faire tous les tests nécessaire, ceci pouvant mettre en péril la stabilité et la sécurité des JVM mises à jour ? Non mais sérieux quoi, un peu de bonne foi, l'attitude anti-Oracle primaire ça va un moment.

Tu viens d'affirmer avec ironie que réagir sans réfléchir n'était pas professionnel.
Tu ne le réalises apparemment pas, mais c'est ce que Oracle a fait :
1. En affirmant sans étude et arguments pertinents que la faille était peu importante.
2. Qu'en conséquence, ils ne feront pas un patch avant plusieurs mois.
3. En sortant dans la précipitation, environ 48h après leur annonce précédente, un patch pour répondre aux 1ères constatations de l'exploitation de la faille.

Si ca c'est réagir avec réflexion, je n'ose imaginer ce que cela aurait été si ils avaient réfléchi...
Citation Envoyé par jaimepaslesmodozélés  Voir le message
Dans ce cas quelle procédure aurait été professionnelle ?

- Avoir de la réserve/mesure dans leurs propos au lieu d'être aussi catégorique (surtout si c'est pour agir ensuite en contradiction avec ce qu'ils ont dit affirmé).
- Analyser avant de conclure hâtivement.
- Conclure avec des arguments.
- Ne pas changer d'avis comme de chemises.
Avatar de JoeChip JoeChip - Membre éclairé http://www.developpez.com
le 18/04/2010 à 9:45
Oracle est une grosse boîte ; les techniciens et les communicants ne sont pas les mêmes personnes... Il n'y a personne qui s'appelle "Oracle"... Pourtant vous en parlez comme d'une personne... Il peut y avoir une équipe technique qui s'occupe tout de suite du problème, sans pour autant que tout le staff d'Oracle soit au courant, d'autant que les structures ne doivent pas être encore tout à fait fusionnées... Beaucoup de bruit pour rien, quoi : déjà avec le build 19 et anti-virus débrayé, la pseudo "faille grave" ne marchait plus, du moins sur mon système... Ok, un peu de parano fait partie de la sécurité, mais pas la panique au moindre bruit...
Avatar de kimz kimz - Membre habitué http://www.developpez.com
le 18/04/2010 à 12:16
Citation Envoyé par tchize_  Voir le message
En ce qui me concerne, j'enlevait 100m² de plafonnage dans mon chez moi, et j'ai trouvé des vulnérabilité de ma maison, qui serait sensible aux attaque de moustique et de pluie

tu peux essayer le vinaigre contre les moustiques
Citation Envoyé par joseph_p  Voir le message
Je connais un établissement financier qui, encore récemment, n'avait qu'IE6 comme navigateur...

Rien que ça ? j'en connais un pour qui IE6 est encore la norme svp ! qui dit mieux (pire) ?
Offres d'emploi IT
Analyste SI-métier (poste également ouvert aux stagiaires, alternants et VIE du groupe)-(H/F)
Société Générale - Ile de France - Val-de-Marne
Chef de projet SI confirmé (H/F)
Société Générale - Ile de France - Val-de-Fontenay
Architecte de données (H/F)
Société Générale - Ile de France - Ile de France

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil