Publicité
+ Répondre à la discussion Actualité déjà publiée
Page 1 sur 2 12 DernièreDernière
Affichage des résultats 1 à 20 sur 22
  1. #1
    Responsable Actualités

    Avatar de Hinault Romaric
    Homme Profil pro Hinault Romaric
    Consultant
    Inscrit en
    janvier 2007
    Messages
    3 860
    Détails du profil
    Informations personnelles :
    Nom : Homme Hinault Romaric
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2007
    Messages : 3 860
    Points : 56 441
    Points
    56 441

    Par défaut Java 7 : découverte d’une nouvelle faille de sécurité dans API Reflector

    Java 7 : découverte d’une nouvelle faille de sécurité dans API Reflector
    permettant d’exécuter du code arbitraire et réussir des attaques basiques de plus de 10 ans

    Après un moment de répit, Java revient au-devant de la scène pour ses failles de sécurité.

    La vulnérabilité concerne une fois de plus « l’API Reflector », intégrée dans Java et qui est source depuis plusieurs années des failles de sécurité critiques de la plateforme de développement.

    Elle a été découverte par le cabinet de sécurité polonais Security Exploration, qui a confirmé que le code d’exploit fonctionne sur Java 7 SE et toutes les versions antérieures.




    Selon Adam Gowdiak, PDG de l’entreprise, la faille peut permettre à des pirates de mettre en œuvre des attaques classiques connues depuis au moins 10 ans.

    Comme il est de coutume, la vulnérabilité permet de contourner la sécurité du Sanbox (bac à sable) Java et d’exécuter du code de façon arbitraire.

    Adam Gowdiak a une fois de plus critiqué la mise en œuvre de l’API Reflector, arguant que la fonction ne semble pas avoir été soumise à un examen de sécurité complet.

    Plus qu’à espérer qu’Oracle, qui s’est engagé à corriger et communiquer sur les failles de Java, réagira rapidement afin de protéger les utilisateurs des attaques des pirates.

    Oracle a été informé sur cette faille et le code d’exploit de celle-ci a été transmis à la firme par Security Explorations.

    Source : Full Disclosure


    Et vous ?

    Que pensez-vous de la récurrence des failles dans Java ? L’aspect sécurité a-t-il été sacrifié lors du développement de la plateforme ?
    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog Mes articles
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Membre éclairé
    C Embarqué / C++ Qt
    Inscrit en
    janvier 2010
    Messages
    171
    Détails du profil
    Informations professionnelles :
    Activité : C Embarqué / C++ Qt

    Informations forums :
    Inscription : janvier 2010
    Messages : 171
    Points : 380
    Points
    380

    Par défaut

    [troll]
    On sait pourquoi Oracle ne rend pas la JVM open-source maintenant : elle a été écrite à la rache (méthodologie de La RACHE).
    [/troll]

  3. #3
    Membre Expert
    Avatar de Voïvode
    Inscrit en
    mars 2007
    Messages
    288
    Détails du profil
    Informations forums :
    Inscription : mars 2007
    Messages : 288
    Points : 1 738
    Points
    1 738

    Par défaut

    Que pensez-vous de la récurrence des failles dans Java ? L’aspect sécurité a-t-il été sacrifié lors du développement de la plateforme ?
    Ce n'est pas l'entièreté de la plateforme Java qui pose problème, mais effectivement l'API Reflector (c'est très bien de l'avoir précisé).

    Quand on sait que l'introspection existe pour qu'un programme puisse connaitre et modifier sa propre exécution, on comprend vite que ce n'est pas à mettre entre toutes les mains.

    Ce sont les programmes Java qui exploitent cette API qui sont potentiellement dangereux. L'API doit être corrigée, mais il faudrait surtout songer à encadrer son utilisation car elle octroie beaucoup de puissance aux programmeurs parfois malveillants.

  4. #4
    Expert Confirmé Sénior
    Avatar de tchize_
    Homme Profil pro
    Responsable de service informatique
    Inscrit en
    avril 2007
    Messages
    21 503
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : Belgique

    Informations professionnelles :
    Activité : Responsable de service informatique
    Secteur : Service public

    Informations forums :
    Inscription : avril 2007
    Messages : 21 503
    Points : 38 211
    Points
    38 211

    Par défaut

    Il faudrait une bonne fois pour toute qu'oracle supprime, purement, cette api dans les plugins non signés, et c'est réglé!

    Mais voilà, ce n'est pas que cette api a été écrit à l'arrache, comme mentionné ici, mais que d'autres apis, genre swing, on été écrites à l'arrache et du coup reposent inutilement sur l'api reflection, ce qui rends une simple suppression impossible....
    Tchize (Чиз) faq java, cours java, javadoc. Pensez à et
    Laisse entrer le jour après une nuit sombre. Si tu es toujours là, tu n'es pas faite pour mourir.

  5. #5
    Membre confirmé Avatar de CapFlow
    Homme Profil pro
    Étudiant
    Inscrit en
    octobre 2011
    Messages
    73
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : octobre 2011
    Messages : 73
    Points : 219
    Points
    219

    Par défaut

    Citation Envoyé par Hinault Romaric Voir le message
    Que pensez-vous de la récurrence des failles dans Java ? L’aspect sécurité a-t-il été sacrifié lors du développement de la plateforme ?
    Ça m'étonnerai que beaucoup de personnes aient envie de se mettre au Java ...
    En langage puissant il y a aussi Python par exemple qui doit faire quasiment pareil que Java et qui peut aussi être utilisés dans de divers environnements (ex: avec Django pour le web).

    Pour mon cas personnel, si je devais choisir entre Java et Python pour reprendre l'exemple, ça ferait un gros point noir en plus pour Java.

  6. #6
    Expert Confirmé Sénior
    Avatar de tchize_
    Homme Profil pro
    Responsable de service informatique
    Inscrit en
    avril 2007
    Messages
    21 503
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : Belgique

    Informations professionnelles :
    Activité : Responsable de service informatique
    Secteur : Service public

    Informations forums :
    Inscription : avril 2007
    Messages : 21 503
    Points : 38 211
    Points
    38 211

    Par défaut

    Citation Envoyé par CapFlow Voir le message

    Pour mon cas personnel, si je devais choisir entre Java et Python pour reprendre l'exemple, ça ferait un gros point noir en plus pour Java.
    C'est sur que python n'a pas de faille de sécurité.... Il n'a pas de sécurité

    Encore une fois, ça concerne cette sal**** de plugin java qui, heureusement, est maintenant désactivé par défaut par oracle. Les applis serveur ou standalone ne sont pas concernées.
    Tchize (Чиз) faq java, cours java, javadoc. Pensez à et
    Laisse entrer le jour après une nuit sombre. Si tu es toujours là, tu n'es pas faite pour mourir.

  7. #7
    Membre éprouvé
    Inscrit en
    juin 2006
    Messages
    350
    Détails du profil
    Informations forums :
    Inscription : juin 2006
    Messages : 350
    Points : 402
    Points
    402

    Par défaut

    Il faudrait une bonne fois pour toute qu'oracle supprime, purement, cette api dans les plugins non signés, et c'est réglé!
    Ils n'ont pas annoncé que l'on ne pouvait plus exécuter les applications non signées dans le navigateur depuis une des dernières mise à jour ?

  8. #8
    Expert Confirmé
    Avatar de GLDavid
    Inscrit en
    janvier 2003
    Messages
    2 684
    Détails du profil
    Informations personnelles :
    Âge : 37

    Informations forums :
    Inscription : janvier 2003
    Messages : 2 684
    Points : 2 847
    Points
    2 847

    Par défaut

    Bonjour

    Plus de 10 ans que je fais du Java, je remarque que depuis que Oracle a racheté Sun, les failles et surtout les correctifs à l'emporte-pièce (beaucoup d'applis basés sur Java ne fonctionnent tout simplement plus) sont devenus monnaie courante.
    Je ne dis pas que du temps de Sun c'était merveilleux et bug-free. Non, je dis juste que Java est devenu un faire-valoir supplémentaire pour Oracle.

    Croyez-moi ce n'est pas du tout de gaité de coeur que je vois mon langage favori partir en déliquessence, mais force est de constater que même pour moi, je me tourne vers d'autres langages, .net au niveau pro (d'accord de manière forcé) et PHP, Ruby, Perl, Python et C à la maison.

    Ô James Gosling, sors nous une nouvelle magie !

    @++
    GLDavid
    Consultez la FAQ Perl ainsi que mes cours de Perl.
    N'oubliez pas les balises code ni le tag

    Je ne répond à aucune question technique par MP.

  9. #9
    Expert Confirmé Sénior
    Avatar de tchize_
    Homme Profil pro
    Responsable de service informatique
    Inscrit en
    avril 2007
    Messages
    21 503
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : Belgique

    Informations professionnelles :
    Activité : Responsable de service informatique
    Secteur : Service public

    Informations forums :
    Inscription : avril 2007
    Messages : 21 503
    Points : 38 211
    Points
    38 211

    Par défaut

    Citation Envoyé par Elendhil Voir le message
    Ils n'ont pas annoncé que l'on ne pouvait plus exécuter les applications non signées dans le navigateur depuis une des dernières mise à jour ?
    Non, si ma mémoire est bonne, c'est juste que tu as d'office la popup "Ho, y a une applet java là? t'es sur que tu veux que je l'exécute? Elle est pas signée."
    Rappelons d'ailleurs que la signature ne garantis rien. LA seule sécurité de la signature c'est que tu est plus ou moins sur de l'éditeur et que la jvm te demande l'autorisation avant de lancer une applet signée car elle aura des droits étendus.


    Forcer tout le monde à signer serait encore pire, l'utilisateur n'aurait aucun moyen de faire la différence entre l'applet signée par tartempion qui affiche du texte coloré dans le browser, et l'applet signée par mme michu qui accède au disque dur
    Tchize (Чиз) faq java, cours java, javadoc. Pensez à et
    Laisse entrer le jour après une nuit sombre. Si tu es toujours là, tu n'es pas faite pour mourir.

  10. #10
    Membre éprouvé
    Inscrit en
    juin 2006
    Messages
    350
    Détails du profil
    Informations forums :
    Inscription : juin 2006
    Messages : 350
    Points : 402
    Points
    402

    Par défaut

    Ah d'accord , merci , j'avais mal compris.

  11. #11
    Membre éprouvé
    Inscrit en
    juin 2006
    Messages
    350
    Détails du profil
    Informations forums :
    Inscription : juin 2006
    Messages : 350
    Points : 402
    Points
    402

    Par défaut

    De nouveaux niveaux de sécurité et d'avertissements pour les applets Java ont été introduits dès Java 7 Update 10 et Java 7 Update 21 respectivement, note Ramani. « Dans un futur proche, par défaut, Java n'autorisera plus l'exécution de code non signé ou auto-signé » explique-t-elle. La plupart des exploits Java étant livrés sous forme d'applets Java non signés, cette décision stratégique prend tout son sens.
    J'ai retrouvé le passage de la news sur developpez.net qui parlait de ça , en fait c'est dans leur feuille de route mais ça n'a pas été mis en place pour le moment.

  12. #12
    Expert Confirmé Sénior
    Avatar de tchize_
    Homme Profil pro
    Responsable de service informatique
    Inscrit en
    avril 2007
    Messages
    21 503
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : Belgique

    Informations professionnelles :
    Activité : Responsable de service informatique
    Secteur : Service public

    Informations forums :
    Inscription : avril 2007
    Messages : 21 503
    Points : 38 211
    Points
    38 211

    Par défaut

    C'est sur, la signature du code, ca va arrêter les malware. Ca coute 50€ un certificat de signature. Quand tu vois ce que tu ramasse avec ça, t'inquiète, ils vont investir
    Tchize (Чиз) faq java, cours java, javadoc. Pensez à et
    Laisse entrer le jour après une nuit sombre. Si tu es toujours là, tu n'es pas faite pour mourir.

  13. #13
    Membre éprouvé
    Homme Profil pro
    Développeur Java
    Inscrit en
    février 2006
    Messages
    303
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40

    Informations professionnelles :
    Activité : Développeur Java
    Secteur : Enseignement

    Informations forums :
    Inscription : février 2006
    Messages : 303
    Points : 422
    Points
    422

    Par défaut

    Personnellement je pense que les appli web n'ont plus rien à faire avec des applets java, flash ou autre, il vaudrait mieux se concentrer sur html 5 avec jscript et css, vu ce qu'on peut faire avec. Java reste côté serveur avec les Jsf

    Ensuite c'est au niveau du système et du serveur d'appli que les choses doivent être sécurisées.

    Je me demande ce qu'on pourrait découvrir si on s'acharnait autant à découvrir les failles de .Net ...

  14. #14
    Expert Confirmé Sénior
    Avatar de tchize_
    Homme Profil pro
    Responsable de service informatique
    Inscrit en
    avril 2007
    Messages
    21 503
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : Belgique

    Informations professionnelles :
    Activité : Responsable de service informatique
    Secteur : Service public

    Informations forums :
    Inscription : avril 2007
    Messages : 21 503
    Points : 38 211
    Points
    38 211

    Par défaut

    Il y a certaines choses que tu ne sais pas faire avec html5. Par exemple, essaie de lire une carte d'identité électronique avec juste du html5 pour remplir un formulaire web
    Tchize (Чиз) faq java, cours java, javadoc. Pensez à et
    Laisse entrer le jour après une nuit sombre. Si tu es toujours là, tu n'es pas faite pour mourir.

  15. #15
    Membre éprouvé
    Homme Profil pro
    Développeur Java
    Inscrit en
    février 2006
    Messages
    303
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40

    Informations professionnelles :
    Activité : Développeur Java
    Secteur : Enseignement

    Informations forums :
    Inscription : février 2006
    Messages : 303
    Points : 422
    Points
    422

    Par défaut

    J'avoue ne pas m'y connaître en cartes d'identités...

  16. #16
    Expert Confirmé Sénior
    Avatar de tchize_
    Homme Profil pro
    Responsable de service informatique
    Inscrit en
    avril 2007
    Messages
    21 503
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : Belgique

    Informations professionnelles :
    Activité : Responsable de service informatique
    Secteur : Service public

    Informations forums :
    Inscription : avril 2007
    Messages : 21 503
    Points : 38 211
    Points
    38 211

    Par défaut

    Ce que je veux dire, c'est que les applications internes à une pages web, ca garde son intérêt si tu as besoin d'accéder au matériel de l'utilisateur.
    Tchize (Чиз) faq java, cours java, javadoc. Pensez à et
    Laisse entrer le jour après une nuit sombre. Si tu es toujours là, tu n'es pas faite pour mourir.

  17. #17
    Membre éprouvé
    Homme Profil pro
    Développeur Java
    Inscrit en
    février 2006
    Messages
    303
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40

    Informations professionnelles :
    Activité : Développeur Java
    Secteur : Enseignement

    Informations forums :
    Inscription : février 2006
    Messages : 303
    Points : 422
    Points
    422

    Par défaut

    Oui, tu as raison. accès webcam...
    Cela dit je maintiens qu'il faudrait limiter les applets au maximum, moins de risque de failles.

  18. #18
    Invité de passage
    Homme Profil pro Hora
    Chercheur en informatique
    Inscrit en
    juillet 2013
    Messages
    3
    Détails du profil
    Informations personnelles :
    Nom : Homme Hora
    Localisation : Togo

    Informations professionnelles :
    Activité : Chercheur en informatique
    Secteur : Enseignement

    Informations forums :
    Inscription : juillet 2013
    Messages : 3
    Points : 4
    Points
    4

    Par défaut Les Applets (signés) sont incontournables

    Citation Envoyé par tchize_ Voir le message
    Il y a certaines choses que tu ne sais pas faire avec html5. Par exemple, essaie de lire une carte d'identité électronique avec juste du html5 pour remplir un formulaire web
    Ouais, t'as raison Tchize. J'ai eu à développer un module d'authentification par données biométriques (empreintes digitales précisément) couplé avec un lecteur de carte magnétique; et le tout doit fonctionner en mode web. Franchement il y a pas 36 solutions; il n'y a que les applets signés pour faire ça!

    Nous espérons vivement que Oracle trouvera bien une meilleure solution à cette faille; mais pour l'instant on fait avec; et puis ça ne remet en cause en rien la sécurité de toute la plateforme Java.

  19. #19
    Membre du Club
    Inscrit en
    juin 2010
    Messages
    40
    Détails du profil
    Informations forums :
    Inscription : juin 2010
    Messages : 40
    Points : 64
    Points
    64

    Par défaut

    Bonjour,

    Pardonnez mon ignorance, mais lorsqu’il est dit que l'API est intégrée dans Java, on fait référence à la JVM ?

    Du coup, dès qu'une machine est équipée de Java, elle est vulnérable ? Ou alors seulement lorsqu'un programme utilise cette API ?

    J’entends de plus en plus de failles mises à jour du coté de Java, cela donne une mauvaise image de ce langage, mais avant de le me mettre au placard pour cause d'insécurités, j'aimerai savoir si ces failles sont évitables par nous (développeur).

    Merci d'avance.

    P.S: Si vous avez de la lecture, ou des explications assez simples pour un débutant, je suis aussi preneur.

  20. #20
    Expert Confirmé Sénior
    Avatar de adiGuba
    Homme Profil pro
    Développeur Java/Web
    Inscrit en
    avril 2002
    Messages
    13 284
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Java/Web
    Secteur : Transports

    Informations forums :
    Inscription : avril 2002
    Messages : 13 284
    Points : 21 477
    Points
    21 477

    Par défaut

    @Kurogane : ces failles concernent uniquement la "sandbox" pour les applets.

    Par défaut les applets tournent avec un SecurityManager qui les empêchent de faire n'importe quoi (comme lire un fichier sur le disque par exemple).


    On entend moins de "faille de sécurité" pour les autres langages, car ils n'y a pas ce principe de sandbox...


    a++

Liens sociaux

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •