Java : découverte de deux nouvelles failles dans le correctif d'Oracle
La qualité du code inquiétante pour Security Explorations

Les rubriques (actu, forums, tutos) de Développez
Réseaux sociaux

 Discussion forum

Retrouvez le dossier complet de la rédaction
24/04 - Java 7 : découverte d'une faille de sécurité dans l'API Reflector, permettant de contourner la sécurité Sandbox de la plateforme
27/03 - 94 % d'utilisateurs de Java seraient exposés à des exploits, 75 % exécuteraient un JRE vieux, indique un rapport de Websense
19/03 - Lexsi démystifie les failles du plugin Java et sort un guide qui explique comment contrôler la machine d'un utilisateur à distance
05/03 - Java : Oracle publie des correctifs d'urgence pour colmater les failles de sécurité critiques de la plateforme
04/03 - Java : les correctifs sortent, les failles suivent, "le langage est un désordre qui n'est pas sécurisé" pour AlienVault Labs
05/02 - Oracle sort Java 7u13, un correctif d'urgence pour 50 failles de sécurité, dont 26 critiques
29/01 - Failles Java : Oracle s'engage à corriger et à communiquer
15/01 - Oracle sort un correctif d'urgence pour la faille Java, les experts en sécurité sceptiques, maintiennent la désactivation du plugin
11/01 - Faille de sécurité critique dans Java 7 activement exploitée, pouvant être utilisée pour installer des malwares
Sur le même sujet
18/01/2013 - L'écosystème Java de nouveau touché par une faille, la vulnérabilité dans le Framework Spring permet d'exécuter du code à distance
16/01/2013 - Accenture recrute des experts Java/J2EE à Paris, Nantes et Toulouse
Le 21/01/2013, par Hinault Romaric, Responsable Actualités
Une semaine à peine après la sortie du correctif de sécurité d’urgence Java 7u11, les experts en sécurité découvrent de nouvelles failles dans la plateforme de développement.



Le cabinet de sécurité Polonais Security Explorations vient de publier un nouveau bulletin de sécurité sur deux nouvelles vulnérabilités dans Java 7u11, pouvant être exploitées pour contourner la sécurité du sandbox pour exécuter du code arbitraire sur les postes affectés.

Pour l’instant, cette vulnérabilité ne serait pas encore activement exploitée. Security Explorations a déclaré qu’il n’avait découvert aucun exploit reposant sur cette faille. Mais, pour combien de temps ?

Les détails sur le problème ainsi qu’une preuve de réalisation ont été transmis à Oracle. Security Explorations s’est abstenu de les divulguer publiquement afin de limiter les risques.



Face à la recrudescence des failles dans Java, le PDG de Security Explorations, Adam Gowdiak, estime qu’il y a « clairement quelque chose d’inquiétant dans la qualité du code de Java 7 SE », avant d’ajouter que c’est certainement la conséquence du manque d’un cycle de développement axé sur la sécurité (Secure Development Lifecycle).

HB Moore, le créateur du kit de piratage Metasploit, pense, pour sa part, qu’il faudrait près de deux ans à Oracle pour corriger l’ensemble des failles de sécurité identifiées dans Java.

Néanmoins, les risques de ces failles peuvent être atténués par Java 7u11, qui introduit une nouveauté permettant de générer un message d’avertissement avant d’exécuter un Applet non signé.

Le cabinet de sécurité Trend Micro note cependant la circulation des fausses versions de cette mise à jour qui permettent d’installer des backdoor sur le poste des utilisateurs. Il est donc conseillé de télécharger cette mise à jour sur le site d’Oracle.

Les experts en sécurité suggèrent de toujours maintenir le plugin Java bloqué, ou de complètement désinstaller la plateforme pour les personnes qui ne l’utilisent pas.

Source : Full Disclosure, Trend Micro


 Poster une réponse

Avatar de Philippe Bastiani Philippe Bastiani
Membre émérite
le 21/01/2013 19:54
Moi ce que je note c'est le regain d'intéret pour Java
- des cabinets de sécurité,
- des pirates et hackers.
malgré le manque d'intéret des applets dans le monde des développeurs !
Est-ce le fait que derrière Java, il y ait Oracle ? Enfin, bon... sans vouloir défendre Oracle, je ne pense pas que les versions antérieures de Java étaient mieux sécurisées ! Il faut donc espérer, que ces découvertes à répétition sensibilisent Oracle sur le process à mettre en place...

Franchement, vous en rencontrez souvant des sites nécessitant l'extension Java des navigateurs Internet? A si... les impots !
Perso, je me sens bien plus concerné par les failles de ces navigateurs ou celles de nos OS...

a+
Philippe
Avatar de LSMetag LSMetag
Membre régulier
le 21/01/2013 22:06
J'ai l'impression que j'ai fait une bonne opération en délaissant Java pour .NET.

A ce rythme, Java risque de devenir minoritaire. Déja dans plusieurs boîtes de consulting, Java passe derrière .NET et PHP !

Depuis qu'Oracle a repris les rênes, je trouve justement que Java va mal.
J'ai l'impression qu'ils ont mis les sous, mais pas le savoir faire qui va avec.
Enfin c'est souvent le cas chez les grosses boîtes, qui s'intéressent plus à l'argent qu'à la qualité.
Ca pose des questions quand à la qualité général de code d'Oracle.

C'est dangereux à la fois pour les clients mais également pour le marché, qui risque de délaisser Java et mettre pleins de gens au chômage (sans compter les écoles qui devront changer leur programmes/enseignants). Les développeurs .NET y gagneront par contre (migrations massives d'applications d'entreprises).
Avatar de tchize_ tchize_
Expert Confirmé Sénior
le 21/01/2013 22:14
C'est clair que ça ne donne pas une image géniale. A une époque, on pouvait installer java sans installer le plugin :/

Maintenant par rapport à .NEt, je ne veux pas être méchant, mais aucun plugin pour .net dans les navigateurs que je sache et en ce qui concerne silverlight .... Je ne connait pas grand monde qui l'installe
Avatar de LSMetag LSMetag
Membre régulier
le 21/01/2013 22:25
Silverlight était bien, mais il ne faisait pas le poids face à l'implantation de Flash, ou à la gratuité et standardisation du HTML5.

Mais sinon tu as aussi les applis XBAP qui peuvent aussi se lancer dans un navigateur.
Avatar de Philippe Bastiani Philippe Bastiani
Membre émérite
le 21/01/2013 22:54
Citation:
Envoyé par LSMetag Voir le message
J'ai l'impression que j'ai fait une bonne opération en délaissant Java pour .NET.
Quel est le rapport avec dotnet ? Il y a beaucoup, d'amalgame dans les news depuis 6 mois, mais ici on parle d'un plugin pour navigateur et non pas de Java ! Java ne se réduit pas à ce plugin fort heureusement... Qui plus est: un plugin inutile pour 99.99% des utilisateurs de l'Internet... Après celà fait tâche c'est clair Mais je ne vois pas, dans ces annonces de failles, ce qui pourrait remettre en cause les fondements de JavaSE et JavaEE. Pourtant, il doit bien y en avoir de bien bonnes...

Comme dit plus haut, moi c'est tous les mois, le nombre de patches dotnet, windows, IE, office de sécurité qui s'installent sur mon poste que je suis de près sans les voir diminuer... et , pourtant Microsoft à fait des nets progrès sur le sujet tant en communication qu'en réactivité !

A+
Avatar de arkhamon arkhamon
Membre émérite
le 22/01/2013 9:15
Citation:
Envoyé par Philippe Bastiani Voir le message
Quel est le rapport avec dotnet ? Il y a beaucoup, d'amalgame dans les news depuis 6 mois, mais ici on parle d'un plugin pour navigateur et non pas de Java ! Java ne se réduit pas à ce plugin fort heureusement... Qui plus est: un plugin inutile pour 99.99% des utilisateurs de l'Internet... Après celà fait tâche c'est clair Mais je ne vois pas, dans ces annonces de failles, ce qui pourrait remettre en cause les fondements de JavaSE et JavaEE. Pourtant, il doit bien y en avoir de bien bonnes...

Comme dit plus haut, moi c'est tous les mois, le nombre de patches dotnet, windows, IE, office de sécurité qui s'installent sur mon poste que je suis de près sans les voir diminuer... et , pourtant Microsoft à fait des nets progrès sur le sujet tant en communication qu'en réactivité !

A+
D'accord avec toi sur ce point.
Et en plus de ce que je lis, il y a un oubli assez important : "JE délaisse Java pour .Net"... Sauf que .Net est spécifique Windows alors que Java est multi plateforme, i.e. partout où un motuer Java est implémenté. Ca donne un gros avantage à Java (même si c'est pas mon système préféré).
Avatar de skypers skypers
Invité de passage
le 22/01/2013 9:39
Ahah c’est tellement génial de voir le nombre de failles découvertes s’accroître et de voir les « pro-Java » chercher des excuses bidons pour continuer à prôner ce « langage » comme une révolution multiplateforme, ou une connerie dans le genre.

Au moins, bien que ce langage soit pourri de A à Z, il me fait bien rire
Avatar de arkhamon arkhamon
Membre émérite
le 22/01/2013 9:44
Citation:
Envoyé par skypers Voir le message
Ahah c’est tellement génial de voir le nombre de failles découvertes s’accroître et de voir les « pro-Java » chercher des excuses bidons pour continuer à prôner ce « langage » comme une révolution multiplateforme, ou une connerie dans le genre.

Au moins, bien que ce langage soit pourri de A à Z, il me fait bien rire
Houla attention, je suis pas "pro-java" du tout, j'en suis même l'opposé...
PAr contre là où je suis moins catégorique, c'est dans un amalgame qui est fait entre le langage Java (qui a ses avantages et ses inconvénients) et l'interpréteur qui permet l'exécution d'un code Java (ou p-code me diront les puristes).
C'est cet amalgamme qui me gène un peu. Ca serait un peu comme si on critiquait C# parce que .Net est pourri. Bon d'accord, Java est très intimement lié avec Java SE et tout le tremblement...
Avatar de Lutarez Lutarez
Membre chevronné
le 22/01/2013 9:52
Citation:
Envoyé par arkhamon Voir le message
Sauf que .Net est spécifique Windows alors que Java est multi plateforme, i.e. partout où un motuer Java est implémenté. Ca donne un gros avantage à Java (même si c'est pas mon système préféré).
Pour continuer dans le hors-sujet, après je file : ne pas oubliez Mono ! L'air de rien, il continue à faire son chemin et fait tourner certaines applications assez populaires dans leurs domaines...y compris sur internet, sur Android, sur iOS, sur WP, etc. De plus, l'ouverture de certaines technologies par MS a permis d’accélérer certains aspects intéressants (notamment en ce qui concerne ASP.Net).

Bref, il y a encore un manque de maturité, c'est certain, mais d'ici quelques années je pense que cet avantage de Java sera rattrapé sans problème.
Avatar de fr1man fr1man
Modérateur
le 22/01/2013 10:02
Ah, revoilà skypers, le troll en chef !
A part ça, ça t'arrive d'etre constructif de temps en temps ?
Avatar de Grimly_old Grimly_old
Membre éclairé
le 22/01/2013 10:36
/popcorn

C'est marrant de voir de plus en plus de sujets sur des failles Java alors que les seules applications java que je sais être utilisé quotidiennement sont les serveurs web (Glassfish, Tomcat, Netty...) en entreprise et Minecraft (c'est bien la seule raison pour laquelle mes frères ont java sur leur PC). Quand bien même Minecraft existe sous forme d'applet, aucun des deux n'est soumis à ce genre de failles.

Tout est sujet à faire peur les managers et promouvoir un changement de technologie pour au final aucun apport et un coût bien plus important parce qu'il faut former les développeurs.

Même une application utilisant le bien critiqué trio Apache/PHP/MySQL peux être sécurisé ! Si des développeurs savent le faire alors qu'on les laisse faire au lieu de leur forcer à utiliser des technos dont ils peuvent ignorer certaines failles éventuelles.
Avatar de hn2k5 hn2k5
Membre habitué
le 22/01/2013 10:59
Java minoritaire, il faut pas trop s'enflammer tout de même.
Quasiment tous les smartphones, hormis les produits Apple je crois, tournent avec Java.
Moi, je suis pas prêt d'arrêter d'en faire du Java. Car vu l'inertie de la bestiole pour qui je sous traite, délaisser Java prendrait des millénaires...
Que ce soit du côté de la maintenance de l'existant (sur le parc d'avion monumental) ou des futures applications, Java a de beaux jours devant lui.
Côté portabilité, ça reste aussi une des solutions les plus flexibles quand on doit générer des livrables sur plusieurs plateformes.
Le coup de la bidouille à la compilation pour chaque cible avec du C/C++ par ex., c'est bien joli mais niveau industrialisation, quand vous devez générer votre usine à gaz pour X cibles sur X plateformes, avec X configurations particulières pour X compagnies aériennes, je peux vous dire qu'on est bien content de lancer son script ant sans se soucier de la taille des types primitifs ou des options du compilo à activer sur tel ou tel système...
Il faut aussi prendre en compte les réalités du métier. Y a pas que l'amour du code dans la vie.
:-)

Cordialement.
Avatar de bruneltouopi bruneltouopi
Membre habitué
le 22/01/2013 12:34
Citation:
HB Moore, le créateur du kit de piratage Metasploit, pense, pour sa part, qu’il faudrait près de deux ans à Oracle pour corriger l’ensemble des failles de sécurité identifiées dans Java.
Il faudrait d'abord axer le developpement sur le coté sécurité de java.Et depuis que Oracle a acheté SUN on dirait qu'il y'a plus vraiment une politique accrue sur java.
On parle de java 8 pour palier à certaines failles de sécurité mais déjà java 7 ça explosera entre les mains.
Malgré cela java demeures un des langages les plus utilisés surtout avec les Os mobiles tels que Android.
Avatar de olivier.pitton olivier.pitton
Membre éprouvé
le 22/01/2013 13:42
Lorsque l'on parle de failles, le vrai problème est l'impact qu'elles peuvent avoir, donc la popularité de l'outil défaillant. Des failles de sécurité, y en a dans tous les logiciels, pas que dans Java.

Par exemple, Twitter avait son front-end réalisé avec RoR (source)

Citation:
Last week, we launched a replacement for our Ruby-on-Rails front-end: a Java server we call Blender.
.

Or on a récemment entendu parler de failles dans RoR (source). Vu l'utilisation de Twitter, la faille dans RoR aurait été réellement dramatique.

PS : En passant de RoR à Java, Twitter a multiplié ses performances par un facteur 3. Mais c'est un autre sujet !
Avatar de Deadpool Deadpool
Membre Expert
le 22/01/2013 14:06
Citation:
Envoyé par bruneltouopi Voir le message
Il faudrait d'abord axer le developpement sur le coté sécurité de java.Et depuis que Oracle a acheté SUN on dirait qu'il y'a plus vraiment une politique accrue sur java.
On parle de java 8 pour palier à certaines failles de sécurité mais déjà java 7 ça explosera entre les mains.
Malgré cela java demeures un des langages les plus utilisés surtout avec les Os mobiles tels que Android.
Android ne s'appuie pas sur la jvm d'Oracle.

Citation:
Envoyé par skypers Voir le message
Ahah c’est tellement génial de voir le nombre de failles découvertes s’accroître et de voir les « pro-Java » chercher des excuses bidons pour continuer à prôner ce « langage » comme une révolution multiplateforme, ou une connerie dans le genre.

Au moins, bien que ce langage soit pourri de A à Z, il me fait bien rire
Il ne faut pas confondre le langage et la plateforme.

Là en l'occurrence, c'est la plateforme qui a des failles.
Avatar de LSMetag LSMetag
Membre régulier
le 22/01/2013 22:40
Bon, j'ai l'impression d'avoir lancé un pavé dans la mare. Je vais m'expliquer.

Je suis d'accord que les failles détectées touchent seulement le plugin web. Mais je me dis quand même que ça fait beaucoup, et que ça remet en cause tout ce que fait Oracle, donc tout ce qu'il a fait sur Java, voire même sur Oracle.

Je n'ai jamais dit que je n'aimais pas Java ou J2EE. J'ai bossé dessus, j'ai apprécié (sauf les premières versions de J2EE), même si j'ai trouvé quelques limitations face à .NET et C#.
C'est vrai que j'aime beaucoup .NET. C'est vrai que .NET n'est pas "de base" portable. Mais voila, quand on est pas un fan de linux ou mac, on est pas tellement gêné de ne pas développer pour 15% des utilisateurs (qui pour la plupart ne sont pas des utilisateurs lambda et ont un Windows à côté).
Mais je rappelle quand même qu'il y a Mono (avec la bénédiction de Microsoft) qui est devenu relativement mature. Donc l'argument "non portable" est obsolète aujourd'hui.
Avatar de tchize_ tchize_
Expert Confirmé Sénior
le 23/01/2013 0:07
Mono a des limitations nottament un sacré retard (enfin la dernière fois que j'ai regardé) par rapport à la version microsoft, et une licence pas claire (encore une fois, la dernière fois que j'y ai jeté un oeil).

Je partage grandement ton avis sur les applis desktop, surtout quand elles deviennent complexe. Le problème de la portabilité n'est pas vraiment un problème quand tu developpe des applications desktop. Comme tu le dis, une minorité d'utilisateurs, et ça ne vaut pas le coup. Y a pas mal d'app à succès sur mac os x écrites en objective C, pourtant c'est pas non plus une majorité du marché, chacun sa cible, chacun son choix et il vaut mieux se centrer sur un truc intégré à l'OS que d'être général et disons le, mal intégré. Et il y a pas mal de trucs, comme QT qui s'intègrent mieux et assurent une portabilité pour les applis desktop.

Le problème est tout autre quand tu développe des applications d'entreprise. On ne parle plus de 10 ou 15% d'utilisateurs là. Même si les desktop sont souvent du windows, les serveurs sont plus souvent dans la famille linux / unix.

Et si tu vends des applis serveur, la portabilité de java, ça deviens un bel atout Au même titre que la portabilité de python ou php par exemple. Quand t'es face à une grappe de machine avec au choix du HP-UX (beurk), du redhat ou d'autres distros sur des serveurs virtuels, le .Net n'est plus une option.

Pour ce qui est de skypers, je n'ai qu'une seul chose à dire
http://www.youtube.com/watch?v=1orMXD_Ijbs
Avatar de Uther Uther
Expert Confirmé Sénior
le 23/01/2013 8:46
Citation:
Envoyé par Lutarez Voir le message
Pour continuer dans le hors-sujet, après je file : ne pas oubliez Mono ! L'air de rien, il continue à faire son chemin et fait tourner certaines applications assez populaires dans leurs domaines...
Mono comme Wine sont des projets colossaux réalisé très sérieusement mais qui ne pourront jamais être considérés sérieusement car ils sont condamnés a courir derrière Microsoft qui reste seul maitre de ses API et continue de les faire évoluer.
Avatar de tchize_ tchize_
Expert Confirmé Sénior
le 23/01/2013 11:11
Citation:
Envoyé par Uther Voir le message
Mono comme Wine sont des projets colossaux réalisé très sérieusement mais qui ne pourront jamais être considérés sérieusement car ils sont condamnés a courir derrière Microsoft qui reste seul maitre de ses API et continue de les faire évoluer.
De la même manière que Apache Harmony court derrière Oracle?
Avatar de Uther Uther
Expert Confirmé Sénior
le 23/01/2013 13:01
En théorie ça n'aurait pas du être une obligation étant donné que l'évolution de Java est gérée par les JCP et ne dépend plus entièrement de la volonté de Sun.

Mais en pratique, c'est en effet le cas vu que Oracle garde une bonne partie du leadership sur Java et garde le contrôle du fameux TCK qui a tué Harmony.
Avatar de LSMetag LSMetag
Membre régulier
le 23/01/2013 20:49
Je suis quasiment entièrement d'accord avec toi tchize_.

C'est sûr que quand on développe pour une cible plus réduite comme un SI d'une entreprise, si celui-ci est entièrement linux ou mac, la portabilité devient très importante, et .NET (via Mono) devient alors le dernier choix. J'avoue que je refuserais toujours ce genre de projet.

Après pour Mono, de ce que j'en ai vu récemment, il fait tout ce dont j'ai besoin. Du C# 5.0, avec Linq, ADO, Entity Framework, WCF, ASP.NET et Windows Forms.
Après ce qui peut me manquer, c'est WPF. Il n'y a que Silverlight qui est géré.
Après évidemment, tout dépend de la qualité d'implémentation de ces technos, qui peut être potentiellement handicapante pour les gros projets.

Comme dit plus haut, ce n'est qu'un portage de .NET, qui sera toujours en retard sur l'original, et ne bénéficiant pas forcément du même savoir faire.

La licence peut faire débat en effet, mais quand on vise du Microsoft, c'est dûr de penser que c'est "libre" ^^. Pour les entreprises qui utilisent Linux plus pour ses fonctionnalités que par philosophie du libre, je pense que ce n'est pas forcément LE problème.
Avatar de tchize_ tchize_
Expert Confirmé Sénior
le 23/01/2013 23:07
Citation:
Envoyé par LSMetag Voir le message
La licence peut faire débat en effet, mais quand on vise du Microsoft, c'est dûr de penser que c'est "libre" ^^. Pour les entreprises qui utilisent Linux plus pour ses fonctionnalités que par philosophie du libre, je pense que ce n'est pas forcément LE problème.
Non, mais si tu développe une application en mono ou c# compatible mono, que 20 à 30% de tes clients vont le faire tourner sur du mono, tu doit inévitablement t'assurer que tu n'aura pas des emmerdes de licence dans 2 ans. Sinon tu pourrais perdre 20 à 30% de tes clients d'un coup. Ca fait mal au portefeuille et aux HR ce genre de choses.

C'est pas une question de liberté, c'est une question de t'assurer que tout ce que tu investit aujourd'hui en temps de dev, tu l'aura pas dans le cul dans 2 ans à cause d'une licence qui était pas très claire.

Sans compter le plaisir avec lequel te regardent les client quand tu leur dit qu'il va falloir installer l'armada mono sur leur serveur Au moins, java, tout peux s'installer un 30 secondes dans un espace utilisateur

La seule expérience que j'ai eu en mono, j'avais acheté un bouquin sur le C#, il y a trois ans voir plus, et je me souviens déjà que je ne suis pas arrivé à la fin du premier chapitre, la moitié des notations n'étaient pas disponibles dans mono. Mais bon, ça date. Mono 2 etait seulement dispo en beta
Avatar de tchize_ tchize_
Expert Confirmé Sénior
le 23/01/2013 23:19
Citation:
Envoyé par Uther Voir le message
Mais en pratique, c'est en effet le cas vu que Oracle garde une bonne partie du leadership sur Java et garde le contrôle du fameux TCK qui a tué Harmony.
Mouais , c'est surtout le retrait de IBM de Harmony pour travailler sur OpenJDK qui a tué le projet. Après le départ d'IBM, le code n'a presque plus bougé
Avatar de Uther Uther
Expert Confirmé Sénior
le 24/01/2013 0:17
Le retrait d'IBM étant principalement la conséquence du fait que Harmony ne puisse obtenir la certification.
Avatar de bernard59139 bernard59139
Membre émérite
le 24/01/2013 19:12
Je suis un simple utilisateur du web.
Et le seul malware que j'ai chopé, c'est à cause de Java.sa description.
Et pourtant, toutes les maj étaient activées Java & windows...
Avatar de Philippe Bastiani Philippe Bastiani
Membre émérite
le 24/01/2013 19:25
Citation:
Envoyé par Uther Voir le message
Le retrait d'IBM étant principalement la conséquence du fait que Harmony ne puisse obtenir la certification.
Pas sûr... Avaient-ils seulement besoin de cette certification ? IBM J9 continue sa vie sur WebSphere...
Cordialement,
Philippe
Avatar de Uther Uther
Expert Confirmé Sénior
le 24/01/2013 21:42
Justement J9 a été certifié, pas Harmony.
Avatar de tchize_ tchize_
Expert Confirmé Sénior
le 25/01/2013 13:37
Citation:
Envoyé par Philippe Bastiani Voir le message
Pas sûr... Avaient-ils seulement besoin de cette certification ?
En gros, pas de certification, pas le droit d'arborer la trademark java, aucune chance d'être pris au sérieux.
Avatar de Hinault Romaric Hinault Romaric
Responsable Actualités
le 28/01/2013 12:59
Failles Java : Oracle s’engage à corriger Java
et à intensifier la communication autour du langage

L’écosystème Java a été bousculé ces derniers jours par une recrudescence des failles de sécurité pouvant entrainer l’exécution de code arbitraire par un pirate distant sur un ordinateur affecté.

Les experts en sécurité, y compris le département américain de la sécurité intérieure, ont préconisé à l’unanimité, la désactivation du plugin Java dans le navigateur, ou la suppression de l’application pour ceux qui ne l’utilisent pas.

La fréquence de découvertes des vulnérabilités dans la plateforme de développement a même poussé les chercheurs en sécurité à remettre en cause la qualité du code de Java et les capacités d’Oracle à corriger ces failles.



Adam Gowdiak, PDG de Security Exploration (firme ayant découvert plusieurs failles Java), estime, par exemple, qu’il y a « clairement quelque chose d’inquiétant dans la qualité du code de Java 7 SE », ceci étant la conséquence du manque d’un cycle de développement axé sur la sécurité. HB Moore, le créateur du kit de piratage Metasploit, pense, pour sa part, qu’il faudrait près de deux ans à Oracle pour corriger l’ensemble des failles de sécurité identifiées dans Java.

Quoi qu'il en soit, Oracle doit réagir et tenter de rassurer les utilisateurs de Java. C’est ce que vient de faire Milton Smith, responsable de la sécurité Java chez Oracle, lors d'une conférence téléphonique qui s'est tenue la semaine dernière avec les représentants des groupes d'utilisateurs du langage.

Oracle s’est engagé à corriger Java et à mieux communiquer sur le langage. « Le plan de sécurité de Java est très simple », a déclaré Smith. « Dans un premier temps, corriger Java, et ensuite mieux communiquer sur nos efforts pour soutenir le langage. L'un ne va pas sans l'autre. Aucun discours ou effort d'apaisement ne peut satisfaire personne. Nous devons corriger Java ».

Cette initiative passe par exemple par une communication plus étendue sur le langage. « Un de nos objectifs est de s’assurer qu’Oracle atteint tous les publics, aussi bien les utilisateurs, les professionnels IT que les ingénieurs », a déclaré Smith.

Le responsable de la sécurité Java chez Oracle n’a pas révélé comment Oracle compte intensifier la communication sur Java. Par ailleurs, il a déclaré qu’une piste serait la publication des mises à jour de sécurité directement aux représentants des groupes utilisateurs, qui pourraient ensuite relayer les informations aux membres.

Pour l’instant, Java 7u11, la dernière mise à jour de sécurité d’Oracle est encore vulnérable aux attaques. Le prochain correctif d’Oracle est toujours attendu.

Source : Conférence téléphonique de Milton Smith
Avatar de Traroth2 Traroth2
Expert Confirmé
le 28/01/2013 13:58
Citation:
Envoyé par Philippe Bastiani Voir le message
Pas sûr... Avaient-ils seulement besoin de cette certification ? IBM J9 continue sa vie sur WebSphere...
Cordialement,
Philippe
Au niveau de la fondation Apache, le problème a été tellement pris au sérieux que Harmony a été mis en sommeil...
Avatar de eclesia eclesia
Rédacteur
le 28/01/2013 20:07
En parlant d'Harmony, j'avais lancé l'idée sur leur mailing-list (il y a un peu plus d'un an) qu'ils passent le projet dans le domaine public.

Plutot que de le voir mourir comme c'est le cas aujourd'hui, il aurait pu servir de 'terreau' pour d'autres projets voir des forks de Java/JSE, et maintenue par une communauté, ca aurait fait hérisser le poil a oracle.
Et on aurait surement un jolie fork de la JRE, comme c'est le cas avec Jenkins(ex-Hudson), MariaDB (ex-MySQL), LibreOffice (ex-OpenOffice), Illuminos (ex-OpenSolaris).

C'est assez clair quoi qu'on dise qu'oracle est loin ... loin ... tres loin derriere Sun quand il s'agit de véhiculer une image Open-Source. Et n'y arrivera jamais a mon avis.

Bref pour ceux que ca interessent d'avoir une librairie commune a la JVM, Android, GCJ, Parrot et de mettre fin a toutes ses betises de licenses. j'accumule (et je code) cette librairie : UN project

J'avous je n'aurais pas commencé ce projet si harmony était passé dans le domaine public, mais c'est pas le cas alors reste a tout refaire
 Poster une réponse  Retrouvez la suite de la discussion

 
 
Developpez.com

Nous contacter

Participez

Informations légales

 
Services

Forum d'entraide

Blogs

Hébergement

 
Partenaires

Hébergement Web