IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #21
    Rédacteur
    Avatar de pseudocode
    Homme Profil pro
    Architecte système
    Inscrit en
    décembre 2006
    Messages
    10 061
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 48
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Architecte système
    Secteur : Industrie

    Informations forums :
    Inscription : décembre 2006
    Messages : 10 061
    Points : 15 798
    Points
    15 798
    Par défaut
    Citation Envoyé par tchize_ Voir le message
    En ce qui me concerne, j'enlevait 100m² de plafonnage dans mon chez moi, et j'ai trouvé des vulnérabilité de ma maison, qui serait sensible aux attaque de moustique et de pluie
    T'as qu'a mettre le feu à un mur...
    ALGORITHME (n.m.): Méthode complexe de résolution d'un problème simple.

  2. #22
    Membre confirmé Avatar de gmotw
    Profil pro
    Inscrit en
    mars 2008
    Messages
    384
    Détails du profil
    Informations personnelles :
    Âge : 35
    Localisation : France

    Informations forums :
    Inscription : mars 2008
    Messages : 384
    Points : 517
    Points
    517
    Par défaut
    T'as qu'à ouvrir toutes les fenêtres?


    (ouvrir->open->linux->faille qui ne fonctionne pas sous linux->moi qui esquive les oeufs pourris )
    THIS!IS!NOT!MY!COW!

    CECI!N'EST!PAS!MA!VACHE!
    (mais je persiste à dire que c'est moins classe en français )

  3. #23
    Modérateur
    Avatar de wax78
    Homme Profil pro
    Chef programmeur
    Inscrit en
    août 2006
    Messages
    4 000
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : Belgique

    Informations professionnelles :
    Activité : Chef programmeur
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : août 2006
    Messages : 4 000
    Points : 7 822
    Points
    7 822
    Par défaut
    Citation Envoyé par Paul TOTH Voir le message
    rolala !!! c'est un joli troll ça moi je propose

    - format c:
    - débrancher le câble réseau
    Derniere fois que j'ai écris "Format C: /Q" pour rire sur developpez dans le forum j'ai eu droit a un blâme
    (Alors que l'operation est impossible à effectuer si le systeme tourne mais bon...)
    (Les "ça ne marche pas", même écrits sans faute(s), vous porteront discrédit ad vitam æternam et malheur pendant 7 ans)

    N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java

  4. #24
    Membre expérimenté

    Inscrit en
    décembre 2004
    Messages
    584
    Détails du profil
    Informations forums :
    Inscription : décembre 2004
    Messages : 584
    Points : 1 338
    Points
    1 338
    Par défaut
    Citation Envoyé par tittoto Voir le message
    POURTANT (et je suis peu surpris..), l'exploit fonctionne correctement à mon boulot (très grand groupe pourtant!)
    Erreur fatale: croire que des entreprises, fussent elles grandes, sont particulièrement sécurisées...

    Je connais un établissement financier qui, encore récemment, n'avait qu'IE6 comme navigateur...

    Bref, à mon sens, cela ne montre pas en soi la dangerosité de la faille, mais soulève des questions sur l'entreprise en question...
    Merci d'utiliser le bouton [Résolu] pour les sujets qui le sont.
    [pub]mon blog franco anglais, article du moment: Wicket: fournir des données JSON via Ajax[/pub]

  5. #25
    Futur Membre du Club
    Profil pro
    Inscrit en
    novembre 2005
    Messages
    8
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : novembre 2005
    Messages : 8
    Points : 6
    Points
    6
    Par défaut
    Citation Envoyé par Gordon Fowler Voir le message
    Salut,

    T'as une démo (présentée comme sans risque ) ici de comment ça marche :
    http://lock.cmpxchg8b.com/bb5eafbc6c.../testcase.html

    Bonjour, Chez le test est bloqué par mon anti virus

    ""----------------------------------------
    Virus: JS:Jaderun-A [Expl] (Engine B)
    Le programme a tenté d’ouvrir
    un fichier infecté.

    Fichier: testcase[1].htm
    Dossier: C:\Users\CLAUDE\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CYAO8B92
    ""----------------------------------------

  6. #26
    Membre du Club
    Profil pro
    Inscrit en
    novembre 2005
    Messages
    46
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : novembre 2005
    Messages : 46
    Points : 42
    Points
    42
    Par défaut
    Citation Envoyé par joseph_p Voir le message
    Erreur fatale: croire que des entreprises, fussent elles grandes, sont particulièrement sécurisées...

    Je connais un établissement financier qui, encore récemment, n'avait qu'IE6 comme navigateur...

    Bref, à mon sens, cela ne montre pas en soi la dangerosité de la faille, mais soulève des questions sur l'entreprise en question...
    Je ne voulais pas sous entendre qu'un grand groupe est forcement plus sécurisé qu'un autre, loin de là et j'ai quelques exemples sous la main :-/.. je voulais seulement préciser que ces failles peuvent être exploitées dans un milieu pro et que le danger est bien plus important que chez un simple particulier.

  7. #27
    Membre expérimenté

    Inscrit en
    décembre 2004
    Messages
    584
    Détails du profil
    Informations forums :
    Inscription : décembre 2004
    Messages : 584
    Points : 1 338
    Points
    1 338
    Par défaut
    Citation Envoyé par tittoto Voir le message
    Je ne voulais pas sous entendre qu'un grand groupe est forcement plus sécurisé qu'un autre, loin de là et j'ai quelques exemples sous la main :-/.. je voulais seulement préciser que ces failles peuvent être exploitées dans un milieu pro et que le danger est bien plus important que chez un simple particulier.
    ok, désolé pour le procès d'intention

    sur le fond, je crains que l'on aurait peur si qq'un faisait une étude du nombre de risques connus mais non pris en compte dans les entreprises...
    Merci d'utiliser le bouton [Résolu] pour les sujets qui le sont.
    [pub]mon blog franco anglais, article du moment: Wicket: fournir des données JSON via Ajax[/pub]

  8. #28
    Membre expérimenté

    Inscrit en
    décembre 2004
    Messages
    584
    Détails du profil
    Informations forums :
    Inscription : décembre 2004
    Messages : 584
    Points : 1 338
    Points
    1 338
    Par défaut
    On en parle aussi ailleurs désormais : Java code-execution vuln exploited in drive-by attack.

    En gros, pour The Register, Oracle ne se bougerait pas assez vite.
    Merci d'utiliser le bouton [Résolu] pour les sujets qui le sont.
    [pub]mon blog franco anglais, article du moment: Wicket: fournir des données JSON via Ajax[/pub]

  9. #29
    Expert éminent sénior
    Avatar de tchize_
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    avril 2007
    Messages
    25 481
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : Belgique

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2007
    Messages : 25 481
    Points : 48 810
    Points
    48 810

  10. #30
    Modérateur
    Avatar de OButterlin
    Homme Profil pro
    Inscrit en
    novembre 2006
    Messages
    7 180
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : novembre 2006
    Messages : 7 180
    Points : 9 301
    Points
    9 301
    Billets dans le blog
    1
    Par défaut
    C'est vrai que l'article a tendance à donner une solution un peu radicale pour les navigateurs autres que IE.
    Pour Firefox, pour ceux qui l'ont, le plugin NoScript permet de bloquer les éléments douteux (les jar en particulier).
    N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java

  11. #31
    Expert éminent sénior

    Inscrit en
    juillet 2009
    Messages
    3 407
    Détails du profil
    Informations forums :
    Inscription : juillet 2009
    Messages : 3 407
    Points : 148 469
    Points
    148 469
    Par défaut
    La vulnérabilité de Java déjà exploitée
    Depuis des serveurs russes, Oracle reste sur sa position


    La faille de Java récemment mise à jour par un ingénieur de Google (lire ci-avant) serait déjà exploitée.

    Roger Thompson, chef chercheur chez AVG, a repéré des attaques depuis des serveurs russes utilisés par des sites qui ciblent le grand public (comme Songlyrics.com, qui propose les paroles de chansons de Lady Gaga, Rihanna, etc.).

    En arrivant sur ce site, un iFrame malicieux camouflé dans une publicité redirige l'utilisateur (sans que celui-ci ne s'en aperçoive) vers un serveur hébergeant l'exploit.

    Lors de sa visite, le payload (autrement dit la "charge active" de l'attaque : le code sensé se télécharger sur la machine) n'était pas activé. Roger Thompson suppose donc que toute cette attaque était un test grandeur nature.

    "Le code impliqué [dans l'attaque] est très simple, ce qui le rend facile à reproduire, ce n'est donc pas surprenant que seulement cinq jours après [la découverte de la vulnérabilité de Java], nous détectons ce code dans une attaque qui utilise un serveur Russe" écrit-il sur son blog. Et d'appeler Sun a réagir au plus vite.

    Malheureusement, Oracle-Sun a déjà indiqué qu'à ses yeux cette vulnérabilité n'était pas assez importante pour rompre son cycle de sortie de mises à jour de sécurité. La faille restera donc non-patchée jusqu'à juillet.

    Pour mémoire, la vulnérabilité concerne Java Web Start, une fonctionnalité ajoutée depuis Java 6 qui permet aux développeurs de lancer plus facilement l'exécution de programmes depuis la machine de l'internaute. Une fonctionnalité à double tranchant (c'est en tout cas la présentation qu'en fait Thompson).

    La crainte de beaucoup d'éditeurs de solution de sécurité est de voir arriver un nouveau "toolkits" sur les forums de hackers qui permette d'automatiser l'attaque sans que le pirate n'ait la moindre ligne de code à écrire.

    Face aux accusations d'irresponsabilité qui se multiplient, Oracle reste silencieux (et sur sa position).

    En attendant la réponse du nouveau propriétaire de Sun, les recommandations de Tavis Ormandy, l'ingénieur de Goggle qui a découvert la vulnérabilité de Java, restent bonnes à connaître (lire ci-avant).


    Source : Le billet de Roger Thompson

    Et vous ?

    D'après vous, Oracle est-il "irresponsable" de ne pas sortir un patch en urgence, ou Roger Thompson et ses collègues donnent-ils dans le catastrophisme ?

  12. #32
    Membre à l'essai
    Profil pro
    Développeur Java
    Inscrit en
    septembre 2006
    Messages
    11
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations professionnelles :
    Activité : Développeur Java

    Informations forums :
    Inscription : septembre 2006
    Messages : 11
    Points : 14
    Points
    14
    Par défaut
    L'update 20 est sortie ce matin (ou cette nuit) (http://java.sun.com/javase/downloads/index.jsp) pour régler ça.

    C'est que c'était plus dangereux que ce qu'ils pensaient...

  13. #33
    Rédacteur
    Avatar de pseudocode
    Homme Profil pro
    Architecte système
    Inscrit en
    décembre 2006
    Messages
    10 061
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 48
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Architecte système
    Secteur : Industrie

    Informations forums :
    Inscription : décembre 2006
    Messages : 10 061
    Points : 15 798
    Points
    15 798
    Par défaut
    Citation Envoyé par Gordon Fowler Voir le message
    D'après vous, Oracle est-il "irresponsable" de ne pas sortir un patch en urgence, ou Roger Thompson et ses collègues donnent-ils dans le catastrophisme ?
    Oracle aurait au moins du expliquer comment se prémunir du problème. Bon, le patch étant sorti, c'est un moindre mal. Peut-mieux faire pour la prochaine fois.

    Il faudrait aussi (et surtout) que les développeurs/utilisateurs arrêtent d'associer automatiquement un type MIME avec une application.

    Il a déjà fallu se battre contre le mécanisme de l' "autorun.inf" de windows, c'est pas pour refaire pareil avec le browser web.
    ALGORITHME (n.m.): Méthode complexe de résolution d'un problème simple.

  14. #34
    Membre du Club
    Profil pro
    Inscrit en
    décembre 2009
    Messages
    39
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2009
    Messages : 39
    Points : 50
    Points
    50
    Par défaut
    C'est dingue ça :
    -1- crieur publique : "oyez oyez jeunes utilisateurs des claviers qui font bip-bip-tzzz-bip (NCIS & co powa), dame JVM souffre d'un grand mal, ne vous en approchez pas". Discutable, mais bon admettons;
    -2- Oracle : "soyez tout de douceur, dame JVM est maintenant soignée", et rapidement en plus ! Le bougre...
    -3- crieur publique : "ouaaais mais bon voilà, nan, par principe on boude".

    Ri - di - cule. Non mais vraiment.

  15. #35
    Membre expérimenté

    Inscrit en
    décembre 2004
    Messages
    584
    Détails du profil
    Informations forums :
    Inscription : décembre 2004
    Messages : 584
    Points : 1 338
    Points
    1 338
    Par défaut
    En effet, patch délivré mais sur ce coup là dvp est à la peine... Plus d'info là du coup :
    Oracle releases emergency security patch for Java

    Au moins ils auront réagi à la pression médiatique, ce qui n'est pas forcément le cas de tout le monde...

    EDIT : de façon générale, ce serait nettement plus sympa, constructif et professionnel d'avoir un état des lieux de la sécurité qui évolue avec le temps. Genre niveau de dangerosité par plate forme/technologie. Ca ne veut pas dire que les news comme celle là n'ont pas leur place, vu qu'elles servent à alerter sur des dangers nouveaux, mais il me semble qu'il y a de nombreux dangers flottant toujours de ci de là sans qu'on en soit bien conscients. J'pense par exemple à une époque où les routeurs cisco n'étaient jamais/très peu patchés. Et, justement, je ne sais pas bien si cette époque est révolue.

    RE edit : j'viens de voir que la news sur le patch sortie était également là, pointant sur ce sujet qui par contre a gardé son titre évoquant des exploitations de la faille dans la nature... lol

    Ah la la, l'actualité ça va trop vite pour moi

    ++
    Merci d'utiliser le bouton [Résolu] pour les sujets qui le sont.
    [pub]mon blog franco anglais, article du moment: Wicket: fournir des données JSON via Ajax[/pub]

  16. #36
    Expert éminent
    Avatar de _skip
    Homme Profil pro
    Développeur d'applications
    Inscrit en
    novembre 2005
    Messages
    2 898
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur d'applications
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : novembre 2005
    Messages : 2 898
    Points : 7 469
    Points
    7 469
    Par défaut
    Citation Envoyé par Gordon Fowler Voir le message
    Roger Thompson, chef chercheur chez AVG, a repéré des attaques depuis des serveurs russes utilisés par des sites qui ciblent le grand public (comme Songlyrics.com, qui propose les paroles de chansons de Lady Gaga, Rihanna, etc.).
    Je cours pas un grand risque.

    Citation Envoyé par Gordon Fowler Voir le message
    Malheureusement, Oracle-Sun a déjà indiqué qu'à ses yeux cette vulnérabilité n'était pas assez importante pour rompre son cycle de sortie de mises à jour de sécurité. La faille restera donc non-patchée jusqu'à juillet.
    Moralité, ne cherchez pas les paroles de...

    Non sérieusement, c'est effectivement assez grave vu comme ça, mais il faut admettre qu'une mise à jour de java n'est certainement pas une mince affaire pour oracle. Avec un tel parc de machine et le nombre d'applications qui en dépendent, je suppose que les cycles de validation doivent être très longs et complexes, du moins suffisamment pour ne pas pouvoir faire des mini-patch à tout va.

  17. #37
    Nouveau membre du Club
    Développeur informatique
    Inscrit en
    janvier 2009
    Messages
    51
    Détails du profil
    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : janvier 2009
    Messages : 51
    Points : 36
    Points
    36
    Par défaut Oracle met à disposition une version correctrice du JRE/JDK : JDK 6 Update 20
    Après avoir contacté Oracle, Ormandy a reçu pour réponse que la société "ne considère pas cette vulnérabilité suffisamment importante..........


    Ah oui, c'est ça. Apres avoir nier ou minimiser l'attaque ils se sont données la peine de mettre une version correctrice du JRE/JDK. je trouve ça pas trop professionnel de la part de ORACLE-SUN.

  18. #38
    Membre du Club
    Profil pro
    Inscrit en
    décembre 2009
    Messages
    39
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2009
    Messages : 39
    Points : 50
    Points
    50
    Par défaut
    He ben.... je récapitule une fois de plus :
    - Oracle ne considère pas cette faille comme sérieuse. Certains sont d'accord, d'autres non. Comme d'hab quoi.
    - Les critiques enflammées fusent ici et là. Justifiées ? Discutable ET discuté
    - Oracle prend la peine de rompre le cycle établit des releases Java pour sortir un patch rapidement, à mon avis (et ce n'est qu'un avis) simplement pour une question d'image.
    - Le post juste au-dessus trouve que ça n'est pas professionnel. Dans ce cas quelle procédure aurait été professionnelle ? Réagir sans réfléchir le jour-même de la soit-disante ultra-super-grosse faille de sécurité, sortir un super-patch salvateur en 24h chrono sans même prendre le temps de faire tous les tests nécessaire, ceci pouvant mettre en péril la stabilité et la sécurité des JVM mises à jour ? Non mais sérieux quoi, un peu de bonne foi, l'attitude anti-Oracle primaire ça va un moment.

    La JVM n'est pas un petit logiciel CodeBlocks de 200ko conçu et maintenu par Toto et Machin, les deux gars au devblog 2.0 ultra réactif, c'est un truc un peu plus conséquent, avec énormément de clients. Un patch fait à la hâte peut avoir des effets de bord dramatiques (imaginez-vous les serveurs d'applications qui se crashent les uns après les autres ? Pouf paf patatra). Le récent patch d'Oracle étant déjà une véritable prouesse.
    Oracle a montré en peu de temps qu'il faisait mieux que Sun, et c'est très bien. C'est la fin d'une époque, c'est triste, mais c'est comme ça, et ça me va très bien.

    D'ailleurs, d'après vous, combien de sociétés mettent à jour les JVM de leurs serveurs d'applis le jour même de la sortie d'un patch ? Ben voilà. Chez nous on vient de passer à la 1.5

  19. #39
    Membre confirmé
    Profil pro
    Inscrit en
    décembre 2003
    Messages
    476
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2003
    Messages : 476
    Points : 607
    Points
    607
    Par défaut
    Citation Envoyé par jaimepaslesmodozélés Voir le message
    - Le post juste au-dessus trouve que ça n'est pas professionnel. Dans ce cas quelle procédure aurait été professionnelle ? Réagir sans réfléchir le jour-même de la soit-disante ultra-super-grosse faille de sécurité, sortir un super-patch salvateur en 24h chrono sans même prendre le temps de faire tous les tests nécessaire, ceci pouvant mettre en péril la stabilité et la sécurité des JVM mises à jour ? Non mais sérieux quoi, un peu de bonne foi, l'attitude anti-Oracle primaire ça va un moment.
    Tu viens d'affirmer avec ironie que réagir sans réfléchir n'était pas professionnel.
    Tu ne le réalises apparemment pas, mais c'est ce que Oracle a fait :
    1. En affirmant sans étude et arguments pertinents que la faille était peu importante.
    2. Qu'en conséquence, ils ne feront pas un patch avant plusieurs mois.
    3. En sortant dans la précipitation, environ 48h après leur annonce précédente, un patch pour répondre aux 1ères constatations de l'exploitation de la faille.

    Si ca c'est réagir avec réflexion, je n'ose imaginer ce que cela aurait été si ils avaient réfléchi...
    Citation Envoyé par jaimepaslesmodozélés Voir le message
    Dans ce cas quelle procédure aurait été professionnelle ?
    - Avoir de la réserve/mesure dans leurs propos au lieu d'être aussi catégorique (surtout si c'est pour agir ensuite en contradiction avec ce qu'ils ont dit affirmé).
    - Analyser avant de conclure hâtivement.
    - Conclure avec des arguments.
    - Ne pas changer d'avis comme de chemises.
    Ils flottent tous en bas

  20. #40
    Membre éclairé Avatar de JoeChip
    Profil pro
    Inscrit en
    septembre 2008
    Messages
    536
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : septembre 2008
    Messages : 536
    Points : 795
    Points
    795
    Par défaut
    Oracle est une grosse boîte ; les techniciens et les communicants ne sont pas les mêmes personnes... Il n'y a personne qui s'appelle "Oracle"... Pourtant vous en parlez comme d'une personne... Il peut y avoir une équipe technique qui s'occupe tout de suite du problème, sans pour autant que tout le staff d'Oracle soit au courant, d'autant que les structures ne doivent pas être encore tout à fait fusionnées... Beaucoup de bruit pour rien, quoi : déjà avec le build 19 et anti-virus débrayé, la pseudo "faille grave" ne marchait plus, du moins sur mon système... Ok, un peu de parano fait partie de la sécurité, mais pas la panique au moindre bruit...
    Sans danger si utilisé conformément au mode d'emploi.

    (anciennement BenWillard, enfin moins anciennement que ... enfin bon c'est une longue histoire... Un genre de voyage dans le temps...)

Discussions similaires

  1. Réponses: 10
    Dernier message: 28/10/2010, 11h47
  2. Réponses: 90
    Dernier message: 09/10/2010, 14h54
  3. Réponses: 4
    Dernier message: 12/04/2010, 19h05
  4. Réponses: 61
    Dernier message: 27/11/2009, 13h15
  5. Réponses: 0
    Dernier message: 26/08/2009, 09h26

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo