Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Des vulnérabilités découvertes dans Java
Déjà patchées par Oracle

Le , par Katleen Erna

0PARTAGES

0  0 
Des vulnérabiltés découvertes dans Java, déjà patchées par Oracle

Le CERTA (Centre d'Expertise Gouvernemental de
Réponse et de Traitement des Attaques informatiques) vient d'émettre un avis de sécurité révelant la présence de vulnérabilités dans la machine virtuelle Oracle Java (appelée ainsi depuis le récent rachat de Sun Microsystems par Oracle).

D'après le document officiel de l'alerte, les vulnérabilités sont :

- Une erreur dans le code de la classe HeadspaceSoundbank peut provoquer un débordement de mémoire par le biais d'un fichier Soundbank spécialement conçu ;
- Une erreur dans le traitement des images peut provoquer un débordement de mémoire par le biais d'une applet Java spécialement conçue ;
- Plusieurs autres vulnérabilités non précisées sont présentes dans les composants Oracle Java.

Ces failles pourraient permettre l'exécution à distance d'un code malveillant ou bien ouvrir une porte à une attaque par déni de service. Les données confidentielles ne sont donc plus protégées de manière optimale.

Les JVM impactées sont:
- Java SE, JDK/JRE 6 Update 18 et antérieures pour Windows, Solaris, et Linux ;
- Java SE, JDK 5.0 Update 23 et antérieures pour Solaris ;
- Java SE, SDK 1.4.2_25 et antérieures pour Solaris ;
- Java for Business, JDK/JRE 6 Update 18 et antérieures pour Windows, Solaris, et Linux ;
- Java for Business, JDK/JRE 5.0 Update 23 et antérieures pour Windows, Solaris, et Linux ;
- Java for Business, SDK/JRE 1.4.2_25 et antérieures pour Windows, Solaris, et Linux.

Ces informations ont été confirmées par Oracle qui propose des mises à jour de sécurité à cette adresse.

Source : L'alerte du CERTA

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de jaimepaslesmodozélés
Membre du Club https://www.developpez.com
Le 06/04/2010 à 22:25
Bonsoir,

étrange de publier une alerte de sécurité sur une version déjà patchée depuis quelques jours (j'ai fais la mise à jour fin mars, et l'alerte date du 1er avril, c'est dire)
En gros les mecs du Certa ont fait un bête copier/coller du rapport d'Oracle. Enfin bon, c'est le Certa hein.

Quand au nom de la machine virtuelle java, c'était et c'est toujours la Java HotSpot (version de Sun, à ne pas confondre avec celle d'Oracle : JRockit). Le "Oracle Java" est juste un nom... issu de l'imagination des gars du Certa ^^.

Ce que je retiendrais de cette news est surtout la nécessité, pour le grand public, de se débarrasser de la JVM 1.5 (Java 5) pour passer à la 1.6 (Java 6), les mises à jour de la 1.5 étant seulement dispo via le programme Java For Business.
Rhalala, si seulement ça pouvait vraiment arriver...
0  0 
Avatar de _skip
Expert éminent https://www.developpez.com
Le 07/04/2010 à 8:16
J'aimerai déjà que nos clients arrêtent avec les 1.4, ce serait déjà bien.
0  0 
Avatar de Uncle Dave
Membre à l'essai https://www.developpez.com
Le 07/04/2010 à 9:45
Citation Envoyé par jaimepaslesmodozélés Voir le message
Bonsoir,

étrange de publier une alerte de sécurité sur une version déjà patchée depuis quelques jours (j'ai fais la mise à jour fin mars, et l'alerte date du 1er avril, c'est dire)
En gros les mecs du Certa ont fait un bête copier/coller du rapport d'Oracle. Enfin bon, c'est le Certa hein.

Normal, le CERTA publie les failles qu'il détecte ainsi que les failles que les éditeurs publie, la mission du CERTA n'est pas tant de détecté les failles de sécu que de les lister, les référencer, indiquer les solutions et les faire appliquer aux systèmes informatique du ministère de la défense

Grosso modo, les avis CERTA c'est la pile des tâches de sécu à traiter par les chef de projet du MINDEF.
0  0 
Avatar de Lyche
Expert confirmé https://www.developpez.com
Le 07/04/2010 à 9:46
Citation Envoyé par _skip Voir le message
J'aimerai déjà que nos clients arrêtent avec les 1.4, ce serait déjà bien.
Même principe qu'avec IE6.. beaucoup d'applications sont développées sous 1.4 ce qui rend réticentes les entreprises à passer le cap :/
0  0 
Avatar de dams78
Membre chevronné https://www.developpez.com
Le 07/04/2010 à 9:46
Citation Envoyé par _skip Voir le message
J'aimerai déjà que nos clients arrêtent avec les 1.4, ce serait déjà bien.
+1
0  0 
Avatar de _skip
Expert éminent https://www.developpez.com
Le 07/04/2010 à 10:25
Ben oui le problème c'est que ce sont des grosses usines à gaz qui ont été validées dans un environnement 1.4 et un serveur d'application donné, que personne n'ose toucher.

Ils attendront d'être assis, le dos au mur pour retoucher à ces infrastructures car il est impossible de savoir si ça fonctionnerait à 100% après une migration vers un couple serveur-JVM plus récent. Ca demanderait tout un cycle de validation onéreux en temps, ça pourrait créer des situations dont personne ne veut assumer la responsabilité, résultat c'est comme ça depuis 10 ans, et peut être encore identique dans 10.
0  0 
Avatar de CastorJoyeux
Membre du Club https://www.developpez.com
Le 07/04/2010 à 11:25
Citation Envoyé par _skip Voir le message
et peut être encore identique dans 10.
8 ans je te prie

Java 1.4 pour buisness est supporté jusque Avril 2018, après, fini les update, si on change de règles pour le passage heure d'été heure d'hiver chez le moindre de leur client, ils l'auront dans le baba . Ceci dit, sun a promis 15 ans de support sur les versions java via leur programme buisness, il est donc assez logique que ces "usine à gaz" puissent ce reposer sur ce délai, y a pas d'urgence pour eux d'en changer.
0  0 
Avatar de _skip
Expert éminent https://www.developpez.com
Le 07/04/2010 à 12:31
Bien vu.
Mais je suis même pas sûr que les entreprises dont je parle ait souscrit un plan de support car j'en vois tourner dans une toute vieille release de 1.4 .
0  0 
Avatar de jaimepaslesmodozélés
Membre du Club https://www.developpez.com
Le 07/04/2010 à 23:44
Ajoutons que nombre de failles sont exploitables via des applis desktop ou en tant que plugin d'un navigateur, et non dans le cadre d'un serveur d'application type Websphere & co où les opérations sont quand même largement plus contrôlées et maîtrisées .
Rien que pour ça une install 1.4 reste viable (même si avec cette mentalité on passe à côté de gains importants en terme de performances).
0  0 
Avatar de CastorJoyeux
Membre du Club https://www.developpez.com
Le 08/04/2010 à 10:23
Il n'y a pas que des mises à jour de sécurité dans les vieilles versions. Il y a aussi les mise à jour de tout ce qui concerne les Locale, les Timezone et les Calendrier. Il se passe pas une année sans qu'un pays dans le monde quelque part décide de changer le moment où il switche entre l'heure d'été et l'heure d'hiver. Ce qui peut poser des problèmes dans des grosses appli qui gèrent des centres de distribution de courrier, par exemple. Ces mises à jour sont donc importantes à ce titre. Il y a aussi le risqe, si le serveur agé de 10 ans tombe en panne, qu'il faille le remplacer par un serveur plus récent pour lequel on ne trouve plus de jvm 1.4 sans devoir la payer à sun (oracle) :p

Bien sur c'est à gérer au cas par cas et il est difficile de jeter la pierre à une société juste parce qu'elle préfère conserver des bases fiable plutot que d'investir dans un systémèe théoriquement meilleur mais pas encore testé
0  0