IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent sénior
    Avatar de Katleen Erna
    Profil pro
    Inscrit en
    juillet 2009
    Messages
    1 547
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : juillet 2009
    Messages : 1 547
    Points : 75 793
    Points
    75 793
    Par défaut Correction de vulnérabilités critiques dans le JRE/JDK. Migrer vers le JDK 6 ou souscrire un support étendu ?
    Des vulnérabiltés découvertes dans Java, déjà patchées par Oracle

    Le CERTA (Centre d'Expertise Gouvernemental de
    Réponse et de Traitement des Attaques informatiques) vient d'émettre un avis de sécurité révelant la présence de vulnérabilités dans la machine virtuelle Oracle Java (appelée ainsi depuis le récent rachat de Sun Microsystems par Oracle).

    D'après le document officiel de l'alerte, les vulnérabilités sont :

    - Une erreur dans le code de la classe HeadspaceSoundbank peut provoquer un débordement de mémoire par le biais d'un fichier Soundbank spécialement conçu ;
    - Une erreur dans le traitement des images peut provoquer un débordement de mémoire par le biais d'une applet Java spécialement conçue ;
    - Plusieurs autres vulnérabilités non précisées sont présentes dans les composants Oracle Java.

    Ces failles pourraient permettre l'exécution à distance d'un code malveillant ou bien ouvrir une porte à une attaque par déni de service. Les données confidentielles ne sont donc plus protégées de manière optimale.

    Les JVM impactées sont:
    - Java SE, JDK/JRE 6 Update 18 et antérieures pour Windows, Solaris, et Linux ;
    - Java SE, JDK 5.0 Update 23 et antérieures pour Solaris ;
    - Java SE, SDK 1.4.2_25 et antérieures pour Solaris ;
    - Java for Business, JDK/JRE 6 Update 18 et antérieures pour Windows, Solaris, et Linux ;
    - Java for Business, JDK/JRE 5.0 Update 23 et antérieures pour Windows, Solaris, et Linux ;
    - Java for Business, SDK/JRE 1.4.2_25 et antérieures pour Windows, Solaris, et Linux.

    Ces informations ont été confirmées par Oracle qui propose des mises à jour de sécurité à cette adresse.

    Source : L'alerte du CERTA

  2. #2
    Membre du Club
    Profil pro
    Inscrit en
    décembre 2009
    Messages
    39
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2009
    Messages : 39
    Points : 50
    Points
    50
    Par défaut
    Bonsoir,

    étrange de publier une alerte de sécurité sur une version déjà patchée depuis quelques jours (j'ai fais la mise à jour fin mars, et l'alerte date du 1er avril, c'est dire)
    En gros les mecs du Certa ont fait un bête copier/coller du rapport d'Oracle. Enfin bon, c'est le Certa hein.

    Quand au nom de la machine virtuelle java, c'était et c'est toujours la Java HotSpot (version de Sun, à ne pas confondre avec celle d'Oracle : JRockit). Le "Oracle Java" est juste un nom... issu de l'imagination des gars du Certa ^^.

    Ce que je retiendrais de cette news est surtout la nécessité, pour le grand public, de se débarrasser de la JVM 1.5 (Java 5) pour passer à la 1.6 (Java 6), les mises à jour de la 1.5 étant seulement dispo via le programme Java For Business.
    Rhalala, si seulement ça pouvait vraiment arriver...

  3. #3
    Expert éminent
    Avatar de _skip
    Homme Profil pro
    Développeur d'applications
    Inscrit en
    novembre 2005
    Messages
    2 898
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur d'applications
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : novembre 2005
    Messages : 2 898
    Points : 7 469
    Points
    7 469
    Par défaut
    J'aimerai déjà que nos clients arrêtent avec les 1.4, ce serait déjà bien.

  4. #4
    Membre à l'essai
    Profil pro
    Inscrit en
    juin 2007
    Messages
    19
    Détails du profil
    Informations personnelles :
    Âge : 39
    Localisation : France

    Informations forums :
    Inscription : juin 2007
    Messages : 19
    Points : 22
    Points
    22
    Par défaut
    Citation Envoyé par jaimepaslesmodozélés Voir le message
    Bonsoir,

    étrange de publier une alerte de sécurité sur une version déjà patchée depuis quelques jours (j'ai fais la mise à jour fin mars, et l'alerte date du 1er avril, c'est dire)
    En gros les mecs du Certa ont fait un bête copier/coller du rapport d'Oracle. Enfin bon, c'est le Certa hein.
    Normal, le CERTA publie les failles qu'il détecte ainsi que les failles que les éditeurs publie, la mission du CERTA n'est pas tant de détecté les failles de sécu que de les lister, les référencer, indiquer les solutions et les faire appliquer aux systèmes informatique du ministère de la défense

    Grosso modo, les avis CERTA c'est la pile des tâches de sécu à traiter par les chef de projet du MINDEF.

  5. #5
    Expert confirmé
    Avatar de Lyche
    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    janvier 2007
    Messages
    2 523
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : janvier 2007
    Messages : 2 523
    Points : 5 870
    Points
    5 870
    Billets dans le blog
    4
    Par défaut
    Citation Envoyé par _skip Voir le message
    J'aimerai déjà que nos clients arrêtent avec les 1.4, ce serait déjà bien.
    Même principe qu'avec IE6.. beaucoup d'applications sont développées sous 1.4 ce qui rend réticentes les entreprises à passer le cap :/
    Rejoignez la communauté du chat et partagez vos connaissances ou vos questions avec nous

    Mon Tutoriel pour apprendre les Agregations
    Consultez mon Blog SQL destiné aux débutants

    Pensez à FAQ SQL Server Ainsi qu'aux Cours et Tuto SQL Server

  6. #6
    Membre chevronné
    Profil pro
    Inscrit en
    mars 2005
    Messages
    1 683
    Détails du profil
    Informations personnelles :
    Âge : 36
    Localisation : France

    Informations forums :
    Inscription : mars 2005
    Messages : 1 683
    Points : 2 171
    Points
    2 171
    Par défaut
    Citation Envoyé par _skip Voir le message
    J'aimerai déjà que nos clients arrêtent avec les 1.4, ce serait déjà bien.
    +1
    dam's

  7. #7
    Expert éminent
    Avatar de _skip
    Homme Profil pro
    Développeur d'applications
    Inscrit en
    novembre 2005
    Messages
    2 898
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur d'applications
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : novembre 2005
    Messages : 2 898
    Points : 7 469
    Points
    7 469
    Par défaut
    Ben oui le problème c'est que ce sont des grosses usines à gaz qui ont été validées dans un environnement 1.4 et un serveur d'application donné, que personne n'ose toucher.

    Ils attendront d'être assis, le dos au mur pour retoucher à ces infrastructures car il est impossible de savoir si ça fonctionnerait à 100% après une migration vers un couple serveur-JVM plus récent. Ca demanderait tout un cycle de validation onéreux en temps, ça pourrait créer des situations dont personne ne veut assumer la responsabilité, résultat c'est comme ça depuis 10 ans, et peut être encore identique dans 10.

  8. #8
    Membre du Club
    Profil pro
    Inscrit en
    avril 2010
    Messages
    54
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : avril 2010
    Messages : 54
    Points : 67
    Points
    67
    Par défaut
    Citation Envoyé par _skip Voir le message
    et peut être encore identique dans 10.
    8 ans je te prie


    Java 1.4 pour buisness est supporté jusque Avril 2018, après, fini les update, si on change de règles pour le passage heure d'été heure d'hiver chez le moindre de leur client, ils l'auront dans le baba . Ceci dit, sun a promis 15 ans de support sur les versions java via leur programme buisness, il est donc assez logique que ces "usine à gaz" puissent ce reposer sur ce délai, y a pas d'urgence pour eux d'en changer.

  9. #9
    Expert éminent
    Avatar de _skip
    Homme Profil pro
    Développeur d'applications
    Inscrit en
    novembre 2005
    Messages
    2 898
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur d'applications
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : novembre 2005
    Messages : 2 898
    Points : 7 469
    Points
    7 469
    Par défaut
    Bien vu.
    Mais je suis même pas sûr que les entreprises dont je parle ait souscrit un plan de support car j'en vois tourner dans une toute vieille release de 1.4 .

  10. #10
    Membre du Club
    Profil pro
    Inscrit en
    décembre 2009
    Messages
    39
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2009
    Messages : 39
    Points : 50
    Points
    50
    Par défaut
    Ajoutons que nombre de failles sont exploitables via des applis desktop ou en tant que plugin d'un navigateur, et non dans le cadre d'un serveur d'application type Websphere & co où les opérations sont quand même largement plus contrôlées et maîtrisées .
    Rien que pour ça une install 1.4 reste viable (même si avec cette mentalité on passe à côté de gains importants en terme de performances).

  11. #11
    Membre du Club
    Profil pro
    Inscrit en
    avril 2010
    Messages
    54
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : avril 2010
    Messages : 54
    Points : 67
    Points
    67
    Par défaut
    Il n'y a pas que des mises à jour de sécurité dans les vieilles versions. Il y a aussi les mise à jour de tout ce qui concerne les Locale, les Timezone et les Calendrier. Il se passe pas une année sans qu'un pays dans le monde quelque part décide de changer le moment où il switche entre l'heure d'été et l'heure d'hiver. Ce qui peut poser des problèmes dans des grosses appli qui gèrent des centres de distribution de courrier, par exemple. Ces mises à jour sont donc importantes à ce titre. Il y a aussi le risqe, si le serveur agé de 10 ans tombe en panne, qu'il faille le remplacer par un serveur plus récent pour lequel on ne trouve plus de jvm 1.4 sans devoir la payer à sun (oracle) :p

    Bien sur c'est à gérer au cas par cas et il est difficile de jeter la pierre à une société juste parce qu'elle préfère conserver des bases fiable plutot que d'investir dans un systémèe théoriquement meilleur mais pas encore testé

  12. #12
    Membre habitué

    Profil pro
    Inscrit en
    janvier 2007
    Messages
    125
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : janvier 2007
    Messages : 125
    Points : 167
    Points
    167
    Par défaut conservateurs
    Je ne sais vraiment pas comment développer du code en java 1.4 qui ne tournera pas en 1.6, je devrais fort me creuser la cervelle pour trouver. Après, si on ne peut pas valider une mise à jour de la jvm, faut se poser la question de savoir si on peut faire confiance au vieux code qu'on ne peut plus valider.

    Avec toutes les mises à jour qu'il y a eu depuis, il y a fort à parier qu'il y a un tas de problèmes connus avec le code qui tourne en 1.4. Une mise à jour vers une version récente, c'est échanger des problèmes connus contre des risques. Si on ne peut pas se le permettre, on n'a vraiment pas de garanties sur ce qui continue à tourner sans mise à jour.

  13. #13
    Membre du Club
    Profil pro
    Inscrit en
    avril 2010
    Messages
    54
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : avril 2010
    Messages : 54
    Points : 67
    Points
    67
    Par défaut
    tout dépend si on a des problèmes connus avec l'application en cours


    Et passer de java 1.4 à java 6 n'est pas aussi immédiat que ça. Même si sun garde la compatibilité, y a tout une série de choses qui on changé de comportement et il est tout a fait possible d'avoir un code qui donne les résultats voulu en 1.4 mais pas en 6, suffit que le code se base sur un des nombreux effets de bord d'une classe qui ont été corrigés

  14. #14
    Expert éminent
    Avatar de _skip
    Homme Profil pro
    Développeur d'applications
    Inscrit en
    novembre 2005
    Messages
    2 898
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur d'applications
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : novembre 2005
    Messages : 2 898
    Points : 7 469
    Points
    7 469
    Par défaut
    Même si ce n'est pas la réponse à tout, ça souligne encore l'importance d'une bonne batterie de tests unitaires...

  15. #15
    Membre du Club
    Profil pro
    Inscrit en
    décembre 2009
    Messages
    39
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2009
    Messages : 39
    Points : 50
    Points
    50
    Par défaut
    +1 pour les tests unitaires. A condition d'en avoir :p

    @ymajoros : pour faire du code version N qui ne passe pas en version N+1 (ou plus), il suffit de regarder la bonne vieille Javadoc, les incompatibilités y sont soigneusement consignées (exemple de Java6 : http://java.sun.com/javase/6/webnote...atibility.html)
    Après oui, ce n'est pas tout le monde qui va tomber dessus.

  16. #16
    Membre régulier Avatar de jkakim
    Profil pro
    Développeur informatique
    Inscrit en
    mars 2009
    Messages
    94
    Détails du profil
    Informations personnelles :
    Localisation : Congo-Kinshasa

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : mars 2009
    Messages : 94
    Points : 120
    Points
    120
    Par défaut
    Vous étés plutôt fanatique que ouvert... jusqu'à détourner la discussion !
    Essor me dit : "Un clavier AZERTY booste le code mais ce n'est pour mettre des accents."

    http://code.code/

  17. #17
    Membre du Club
    Profil pro
    Inscrit en
    décembre 2009
    Messages
    39
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2009
    Messages : 39
    Points : 50
    Points
    50
    Par défaut
    @CastorJoyeux
    pour le coup des timezones à mettre à jour, l'utilitaire de mise à jour desdits timezones est toujours dispo et mis à jour, et fonctionne avec les JVM 1.4+

Discussions similaires

  1. Réponses: 8
    Dernier message: 01/09/2011, 11h39
  2. Vulnérabilité critique dans le moteur d'accélération 3D WebGL
    Par Hinault Romaric dans le forum Internet
    Réponses: 0
    Dernier message: 11/05/2011, 16h29
  3. Réponses: 0
    Dernier message: 31/01/2011, 12h34
  4. Réponses: 4
    Dernier message: 05/01/2011, 20h35
  5. Réponses: 5
    Dernier message: 07/04/2010, 10h46

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo