IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    janvier 2013
    Messages
    320
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Sénégal

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2013
    Messages : 320
    Points : 27 348
    Points
    27 348
    Billets dans le blog
    1
    Par défaut Une mise à jour de sécurité Java publiée par Oracle en 2013 se révèle inefficace
    Une mise à jour de sécurité Java publiée par Oracle en 2013 se révèle inefficace,
    La faille peut être de nouveau exploitée sous les dernières versions de Java

    Une mise à jour de sécurité Java publiée par Oracle en 2013 se révèle inefficace et la faille qui était censée être fixée peut de nouveau être exploitée selon les chercheurs de la firme de sécurité polonaise, Security Explorations. Une trentaine de mois s’est écoulée depuis la publication de la mise à jour par Oracle. Cependant, c’est aujourd’hui des milliers de serveurs et d’ordinateurs qui sont sous la menace d’une attaque en exploitant une faille vieille de plus de deux ans, avertissent les chercheurs. La faille en question avait été identifiée et sauvegardée sous le numéro CVE-2013-5838 dans la base de données recensant les vulnérabilités et failles de Java. La faille de sécurité avait été déclarée à l’époque comme étant très critique avec un score de 9,3 sur 10 suivant le système de notation des failles Common Vulnerability Scoring System, et pouvait être exploitée à distance sans authentification pour compromettre la confidentialité, l’intégrité et la disponibilité du système cible.

    Les chercheurs de la firme de sécurité Security Explorations avaient déclaré avoir implémenté un code illustrant l’impact de la mise à jour en question et l’avaient testé sous les environnements Java SE Update 97, Java SE 8 Update 74, et Java SE 9 Early Access Build 108. Sous les trois environnements, des failles de sécurité ont été mises en évidence. La mise à jour de sécurité peut être facilement contournée par une procédure décrite par la firme de sécurité. Oracle n’avait pas mesuré à sa juste valeur, la gravité de la vulnérabilité. En effet, Oracle affirmait que la faille pouvait être exploitée seulement via des applications Java Web Start et des applets Java. Or, il s’avère qu’elle peut l’être aussi sur des environnements serveur tels que Google App Engine pour Java, d’après Security Explorations.

    La société de sécurité polonaise a, conformément à sa nouvelle politique, averti le public de la découverte d’une faille dans la mise à jour de 2013, sans préavis adressé à Oracle. En effet, Adam Gowdiak, PDG de Security Explorations, affirme que sa société ne « tolérera plus les failles dans des mises à jour de sécurité » et va en alerter le public immédiatement après les avoir découvertes, si ces failles concernent des vulnérabilités qui ont déjà été notifiées à l’entreprise concernée.

    Source : seclists.org

    Et vous ?

    Que pensez-vous de cette faille découverte dans une mise à jour publiée par Oracle ?

    Voir aussi

    le forum langage Java

    la rubrique Général Java (Cours, Tutoriels, FAQ, etc.)

  2. #2
    Membre chevronné Avatar de Hellwing
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    avril 2008
    Messages
    537
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Bas Rhin (Alsace)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : avril 2008
    Messages : 537
    Points : 2 027
    Points
    2 027
    Par défaut
    En quoi consiste la faille exactement ?

  3. #3
    Expert éminent sénior
    Avatar de tchize_
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    avril 2007
    Messages
    25 481
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : Belgique

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2007
    Messages : 25 481
    Points : 48 810
    Points
    48 810
    Par défaut
    Ca consistait via l'api reflection à pouvoir substituer une classe à un autre d'un classloader différent lors d'un appel sans que les sécurités s'en rendent compte. Résultat, la jvm pense travailler sur une class non privilégié (MySecurityContext) mais travaille en fait sur SecurityContext, qui lui, est privilégié et ne peux pas s'accéder n'importe comment. Et aucun test en place ne détecte ça.

    Le code est amusant à essayer de suivre dans le PoC du lien

Discussions similaires

  1. Réponses: 4
    Dernier message: 19/08/2015, 18h07
  2. Adobe publie une mise à jour de sécurité pour Shockwave Player
    Par Francis Walter dans le forum Sécurité
    Réponses: 1
    Dernier message: 18/03/2014, 13h06
  3. Réponses: 2
    Dernier message: 15/04/2010, 10h56
  4. Réponses: 18
    Dernier message: 31/03/2010, 23h26
  5. [WD] Détecte une mise à jour par programmation
    Par hegros dans le forum WinDev
    Réponses: 11
    Dernier message: 26/03/2007, 16h29

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo