Failles Java : Oracle s'engage à corriger et à communiquer

Le , par Hinault Romaric, Responsable .NET
L’écosystème Java a été bousculé ces derniers jours par une recrudescence des failles de sécurité pouvant entrainer l’exécution de code arbitraire par un pirate distant sur un ordinateur affecté.

Les experts en sécurité, y compris le département américain de la sécurité intérieure, ont préconisé à l’unanimité, la désactivation du plugin Java dans le navigateur, ou la suppression de l’application pour ceux qui ne l’utilisent pas.

La fréquence de découvertes des vulnérabilités dans la plateforme de développement a même poussé les chercheurs en sécurité à remettre en cause la qualité du code de Java et les capacités d’Oracle à corriger ces failles.




Adam Gowdiak, PDG de Security Exploration (firme ayant découvert plusieurs failles Java), estime, par exemple, qu’il y a « clairement quelque chose d’inquiétant dans la qualité du code de Java 7 SE », ceci étant la conséquence du manque d’un cycle de développement axé sur la sécurité. HB Moore, le créateur du kit de piratage Metasploit, pense, pour sa part, qu’il faudrait près de deux ans à Oracle pour corriger l’ensemble des failles de sécurité identifiées dans Java.

Quoi qu'il en soit, Oracle doit réagir et tenter de rassurer les utilisateurs de Java. C’est ce que vient de faire Milton Smith, responsable de la sécurité Java chez Oracle, lors d'une conférence téléphonique qui s'est tenue la semaine dernière avec les représentants des groupes d'utilisateurs du langage.

Oracle s’est engagé à corriger Java et à mieux communiquer sur le langage. « Le plan de sécurité de Java est très simple », a déclaré Smith. « Dans un premier temps, corriger Java, et ensuite mieux communiquer sur nos efforts pour soutenir le langage. L'un ne va pas sans l'autre. Aucun discours ou effort d'apaisement ne peut satisfaire personne. Nous devons corriger Java ».

Cette initiative passe par exemple par une communication plus étendue sur le langage. « Un de nos objectifs est de s’assurer qu’Oracle atteint tous les publics, aussi bien les utilisateurs, les professionnels IT que les ingénieurs », a déclaré Smith.

Le responsable de la sécurité Java chez Oracle n’a pas révélé comment Oracle compte intensifier la communication sur Java. Par ailleurs, il a déclaré qu’une piste serait la publication des mises à jour de sécurité directement aux représentants des groupes utilisateurs, qui pourraient ensuite relayer les informations aux membres.

Pour l’instant, Java 7u11, la dernière mise à jour de sécurité d’Oracle est encore vulnérable aux attaques. Le prochain correctif d’Oracle est toujours attendu.

Source : Conférence téléphonique de Milton Smith


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de Traroth2 Traroth2 - Membre chevronné https://www.developpez.com
le 28/01/2013 à 13:58
Citation Envoyé par Philippe Bastiani Voir le message
Pas sûr... Avaient-ils seulement besoin de cette certification ? IBM J9 continue sa vie sur WebSphere...
Cordialement,
Philippe
Au niveau de la fondation Apache, le problème a été tellement pris au sérieux que Harmony a été mis en sommeil...
Avatar de eclesia eclesia - Rédacteur https://www.developpez.com
le 28/01/2013 à 20:07
En parlant d'Harmony, j'avais lancé l'idée sur leur mailing-list (il y a un peu plus d'un an) qu'ils passent le projet dans le domaine public.

Plutot que de le voir mourir comme c'est le cas aujourd'hui, il aurait pu servir de 'terreau' pour d'autres projets voir des forks de Java/JSE, et maintenue par une communauté, ca aurait fait hérisser le poil a oracle.
Et on aurait surement un jolie fork de la JRE, comme c'est le cas avec Jenkins(ex-Hudson), MariaDB (ex-MySQL), LibreOffice (ex-OpenOffice), Illuminos (ex-OpenSolaris).

C'est assez clair quoi qu'on dise qu'oracle est loin ... loin ... tres loin derriere Sun quand il s'agit de véhiculer une image Open-Source. Et n'y arrivera jamais a mon avis.

Bref pour ceux que ca interessent d'avoir une librairie commune a la JVM, Android, GCJ, Parrot et de mettre fin a toutes ses betises de licenses. j'accumule (et je code) cette librairie : UN project

J'avous je n'aurais pas commencé ce projet si harmony était passé dans le domaine public, mais c'est pas le cas alors reste a tout refaire
Avatar de Uther Uther - Expert éminent https://www.developpez.com
le 28/01/2013 à 20:34
En même temps Harmony est sous licence Apache, donc il n'y a pas de problème légal pour n'importe qui pour le reprendre. Le vrai souci, c'est surtout de trouver une équipe assez nombreuse, compétente et motivée pour ça.
Avatar de eclesia eclesia - Rédacteur https://www.developpez.com
le 28/01/2013 à 22:54
Citation Envoyé par Uther Voir le message
En même temps Harmony est sous licence Apache, donc il n'y a pas de problème légal pour n'importe qui pour le reprendre. Le vrai souci, c'est surtout de trouver une équipe assez nombreuse, compétente et motivée pour ça.
C'est en pensant comme ca qu'on n'arrive a rien.

"I am always doing things I can't do, that's how I get to do them."
Pablo Picasso
Avatar de tchize_ tchize_ - Expert éminent sénior https://www.developpez.com
le 29/01/2013 à 15:41
Citation Envoyé par eclesia Voir le message
En parlant d'Harmony, j'avais lancé l'idée sur leur mailing-list (il y a un peu plus d'un an) qu'ils passent le projet dans le domaine public.
Pour quiconque a déjà travaillé sur un gros projet impliquant de nombreux commiters, ceci est relève presque de l'impossibilité. Pour changer la license, il faut aller voir toutes les personnes qui on contribués, tous les bout de codes qu'ellest ont importé et voir si il sont compatibles avec la nouvelles licence ou demande si l'auteur est d'accord. Il suffit d'une ligne qui bloque et c'est terminé.
Avatar de Uther Uther - Expert éminent https://www.developpez.com
le 29/01/2013 à 16:54
Citation Envoyé par tchize_ Voir le message
Pour quiconque a déjà travaillé sur un gros projet impliquant de nombreux commiters, ceci est relève presque de l'impossibilité. Pour changer la license, il faut aller voir toutes les personnes qui on contribués, tous les bout de codes qu'ellest ont importé et voir si il sont compatibles avec la nouvelles licence ou demande si l'auteur est d'accord. Il suffit d'une ligne qui bloque et c'est terminé.
Ça dépend de comment est géré la propriété intellectuelle du code. Je ne sais pas si c'est le cas de Harmony, mais sur pas mal de projets open-source, la fondation/société qui manage le projet demande à ce que la propriété du code lui soit co-attribué, justement pour permettre de changer de licence.
Enfin si c'est juste quelques lignes de code, on peut les remplacer, mais c'est sur que la difficulté est de déterminer qui a fait quoi.
Avatar de eclesia eclesia - Rédacteur https://www.developpez.com
le 29/01/2013 à 19:09
Citation Envoyé par tchize_ Voir le message
Pour quiconque a déjà travaillé sur un gros projet impliquant de nombreux commiters, ceci est relève presque de l'impossibilité. Pour changer la license, il faut aller voir toutes les personnes qui on contribués, tous les bout de codes qu'ellest ont importé et voir si il sont compatibles avec la nouvelles licence ou demande si l'auteur est d'accord. Il suffit d'une ligne qui bloque et c'est terminé.
Meme sur les gros projets, il n'y a en general qu'une poignée de developpeurs continue et une large majorité de contributeur ponctuel.

Un exemple plus flagrant de changement de license serait OpenSolaris.
Avatar de Uther Uther - Expert éminent https://www.developpez.com
le 29/01/2013 à 19:21
Heu j'ai loupé quelquechose?

Il me semble bien que OpenSoloris a toujours été sous CDDL. Il a été forké en OpenIndianna lors de son abandon par Sun mais la licence n'a pas changé, c'est toujours du CDDL.
Avatar de tchize_ tchize_ - Expert éminent sénior https://www.developpez.com
le 30/01/2013 à 9:54
Citation Envoyé par eclesia Voir le message
une large majorité de contributeur ponctuel.
Que, si tu a mal géré, tu ne peux pas retrouver pour avoir leur accord.

Le problème, selon moi, c'est qu'il faut du temps et des ressources pour savoir si on ne fait pas une bétise ene changeant la license. Même avec la réattribution de code, reste le problème des codes tiers récupérés car "compatibles avec la license". C'est courant sur des projet open source d'aller récupérer une librairie à gauche ou à droite.

Il est vrai que la fondation apache st rigoureuse à ce sujet et tout contributeur doit signer des documents, ce qui doit probablement leur faciliter le travail. Mais il faudra quand même des ressources pour l'opération et, je ne suis pas convaincu qu'il leur en restait il y a un an
Avatar de bouye bouye - Rédacteur/Modérateur https://www.developpez.com
le 03/02/2013 à 0:35
Apparemment, selon ce site neo-zélandais (dont mon boss m'a fait parvenir l’adresse en urgence hier), Apple aurait pris des mesures draconiennes, à savoir bloquer l'exécution de la JVM 6 (la leur) et 7 (celle d'Oracle) via une maj sournoise des Mac connectés au net. Contrairement au blocage précédent qui ne concernait que les navigateur, ici il s'agit également de bloquer l’exécution d'applications.

Ce qui a semble-t-il provoqué des problèmes chez l'agence de presse The Associated Press. L'article est sensé être une copie de leur communiqué de presse et on peut désormais la trouver telle qu'elle un peu partout sur le net y compris Yahoo News, etc., cependant je ne la trouve pas sur leur site web.

Et je n'ai pas mon Mac Book Pro sous la main pour tester (il est resté au boulot ><.
Contacter le responsable de la rubrique Accueil