Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Une mise à jour de sécurité Java publiée par Oracle en 2013 se révèle inefficace
La faille peut être exploitée sous les dernières versions de Java

Le , par Victor Vincent

22PARTAGES

4  0 
Une mise à jour de sécurité Java publiée par Oracle en 2013 se révèle inefficace et la faille qui était censée être fixée peut de nouveau être exploitée selon les chercheurs de la firme de sécurité polonaise, Security Explorations. Une trentaine de mois s’est écoulée depuis la publication de la mise à jour par Oracle. Cependant, c’est aujourd’hui des milliers de serveurs et d’ordinateurs qui sont sous la menace d’une attaque en exploitant une faille vieille de plus de deux ans, avertissent les chercheurs. La faille en question avait été identifiée et sauvegardée sous le numéro CVE-2013-5838 dans la base de données recensant les vulnérabilités et failles de Java. La faille de sécurité avait été déclarée à l’époque comme étant très critique avec un score de 9,3 sur 10 suivant le système de notation des failles Common Vulnerability Scoring System, et pouvait être exploitée à distance sans authentification pour compromettre la confidentialité, l’intégrité et la disponibilité du système cible.

Les chercheurs de la firme de sécurité Security Explorations avaient déclaré avoir implémenté un code illustrant l’impact de la mise à jour en question et l’avaient testé sous les environnements Java SE Update 97, Java SE 8 Update 74, et Java SE 9 Early Access Build 108. Sous les trois environnements, des failles de sécurité ont été mises en évidence. La mise à jour de sécurité peut être facilement contournée par une procédure décrite par la firme de sécurité. Oracle n’avait pas mesuré à sa juste valeur, la gravité de la vulnérabilité. En effet, Oracle affirmait que la faille pouvait être exploitée seulement via des applications Java Web Start et des applets Java. Or, il s’avère qu’elle peut l’être aussi sur des environnements serveur tels que Google App Engine pour Java, d’après Security Explorations.

La société de sécurité polonaise a, conformément à sa nouvelle politique, averti le public de la découverte d’une faille dans la mise à jour de 2013, sans préavis adressé à Oracle. En effet, Adam Gowdiak, PDG de Security Explorations, affirme que sa société ne « tolérera plus les failles dans des mises à jour de sécurité » et va en alerter le public immédiatement après les avoir découvertes, si ces failles concernent des vulnérabilités qui ont déjà été notifiées à l’entreprise concernée.

Source : seclists.org

Et vous ?

Que pensez-vous de cette faille découverte dans une mise à jour publiée par Oracle ?

Voir aussi

le forum langage Java

la rubrique Général Java (Cours, Tutoriels, FAQ, etc.)

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Hellwing
Membre chevronné https://www.developpez.com
Le 21/03/2016 à 9:06
En quoi consiste la faille exactement ?
0  0 
Avatar de tchize_
Expert éminent sénior https://www.developpez.com
Le 21/03/2016 à 11:01
Ca consistait via l'api reflection à pouvoir substituer une classe à un autre d'un classloader différent lors d'un appel sans que les sécurités s'en rendent compte. Résultat, la jvm pense travailler sur une class non privilégié (MySecurityContext) mais travaille en fait sur SecurityContext, qui lui, est privilégié et ne peux pas s'accéder n'importe comment. Et aucun test en place ne détecte ça.

Le code est amusant à essayer de suivre dans le PoC du lien
0  0