Oracle a publié un immense bulletin de sécurité corrigeant pas moins de 128 failles. Il s’agit pour l’éditeur du CPU (Critical Patch Update) d’avril et d’arroser l’ensemble des produits touchés par des failles de sécurité. C’est notamment le cas de Java qui, à lui seul, concerne 42 des correctifs.
Une majorité de failles exploitables à distance
Le dernier bulletin correctif d’Oracle ne passe pas inaperçu : 128 brèches de sécurité réparties sur plusieurs produits de la firme. On retrouve ainsi Fusion Middleware, touché par 29 failles dont 22 sont exploitables à distance. Business Suite est concerné par 6 failles, toutes exploitables à distance, tandis que MySQL est touché par 25 failles, dont une seule exploitable à distance, mais sans requérir d’authentification.
Voici la liste des autres produits touchés par des failles :
- Database Server : 4 failles, toutes exploitables à distance sans authentification
- Supply Chain Products Suite : 3 failles, dont une exploitable à distance sans authentification
- PeopleSoft Products : 11 failles, dont 6 exploitables à distance sans authentification
- Siebel CRM : 8 failles, dont une exploitable à distance sans authentification
- Industry Applications : 3 failles
- Financial Services Software : 18 failles, dont une exploitable à distance sans authentification
- Primavera Products Suite : 2 failles, dont une exploitable à distance sans authentification
- Support Tools : 1 faille
Le souci principal n’est en fait pas tant le nombre de failles corrigées que le pourcentage d’entre elles exploitable à distance, surtout sans aucune authentification.
Java : la situation n'est pas prête de s'améliorer
Le festival continue évidemment avec Java. La technologie est régulièrement sous les feux des projecteurs depuis plusieurs mois à cause d’un problème inhérent à la qualité de son code. Ce ne sont ainsi pas moins de 42 brèches qui sont corrigées et il est recommandé aux utilisateurs de mettre leur version à jour aussi rapidement que possible. L’écrasante majorité de ces failles sont considérées comme critiques et sont exploitables à distance, là encore sans authentification préalable.
Ross Barrett, responsable de l’ingénierie chez le spécialiste de la sécurité Rapid7, a au sujet de Java un avis pessimiste. Il met en garde : « Les administrateurs et utilisateurs doivent réaliser que le bon sens en ce qui concerne la sécurité et les précautions autour du plug-in Java ne va pas changer avec ce patch, le suivant ou celui d’après. En tant que plug-in web, Java a de nombreux problèmes non résolus, dont la plupart sont révélés à Oracle par des chercheurs responsables qui font essentiellement le travail d’assurance qualité d’Oracle, de manière régulière et gratuitement ».
Son point de vue est évident : si des chercheurs sont capables de trouver autant de failles critiques et dangereuses, des pirates motivés par l’appât du gain en feront de même, sinon davantage. De fait, Java doit être considéré comme vulnérable encore pendant un temps, durant lequel Oracle continuera ses travaux. Un avis partagé par Wade Williamson, analyste chez Palo Alto Networks : « Pour beaucoup d’entreprises, les récompenses de Java ont considérablement diminué avec les années, alors que les risques ont augmenté exponentiellement. Alors de nombreuses entreprises vont devoir examiner longuement et attentivement Java pour savoir si le jeu en vaut la chandelle ».
Désactiver Java dans le navigateur
Sur la plupart des machines des utilisateurs « classiques », Java est pour rappel inutile. Les sites l’utilisant sont rarissimes, mais certaines applications s’en servent encore. On citera d’ailleurs deux exemples populaires : l’excellent PS3 Media Server (transcodage vidéo et diffusion DLNA) et le jeu Minecraft. Dans un cas comme dans l’autre, cela n’empêche pas de désactiver la présence de Java au sein du navigateur, car c’est bien ce dernier qui se retrouve être le vecteur d’attaque le plus fréquent, via des pages web spécialement conçues.
Pour rappel, le panneau de configuration java contient une option pour activer ou désactiver le plug-in web du navigateur. L’option se trouve dans l’onglet Sécurité :
Commentaires (44)
#1
Les “chercheurs responsables” dont parle l’article sont des universitaires? Des employés d’entreprise de sécurité?
#2
#3
Vous pourriez rajouter “plug-in” devant Java ? Ca commence à saouler de faire l’amalgame..
#4
j’ai eu 2 mises a jours à la suite en début de semaine….
cette technologie (plus trop utilisée) est (a été) remplacée par quoi ?
#5
#6
Chez nous on mets le paquet pour virer l’applet Java qu’on utilise dans un de nos produits (streaming de données). On va passer sur WebSocket avec un fallback sur Ajax.
C’est devenu trop pénible Java, ça nous coûte un bras de valider sans cesse toutes les versions de plugins. On en est arrivé à un point où on doit supporter plus d’une dizaine de versions de JRE (les clients n’installent pas forcément toutes les MAJ), bref c’est l’horreur…
Entre ça et le nombre de browser (IE 8, 9, 10, Chrome, FF), le QA pleure sa mère…
#7
pour les afficonados du lynchage:
http://java-0day.com/
#8
Pour les amateurs de bashing :
Dites vous qu’au moins Oracle communique, lui.
Les autres sont peut être plus troués mais sans communication.
D’autre part ça montre que ce produit n’est pas laissé à l’abandon.
#9
des chercheurs responsables qui font essentiellement le travail d’assurance qualité d’Oracle, de manière régulière et gratuitement
Oracle est pour le moment trop occupé à faire des procès à la con à Google concernant Java…
Sinon, l’activation des applets Java m’est indispensable pour gérer à distance un matériel réseau (BlueCoat pour ne pas le citer). Tout ça sur un PC connecté au Net qui est donc vulnérable aux quatre vents… Bravo Oracle !
#10
#11
Ouch ! L’erreur dans le titre :
Java : la situation n’est pas près de s’améliorer
Cela devrait être :
Java : la situation n’est pas prête de s’améliorer
#12
[hs]
#13
#14
#15
C’est drôle comme tout le monde semble oublier qu’avant Oracle, c’était surtout Sun Microsystems qui était en charge de Java… et donc du fameux plug-in.
" />
Certes c’est facile de “taper” sur le propriétaire actuel, mais je trouve que ça montre bien que la qualité a longtemps manqué sur ce périmètre-là.
#16
#17
A noter tout de même que plus de la moitié de ces 42 failles affectent aussi les versions 6 et antérieures (c’est-à-dire celles du temps de Sun).
#18
#19
#20
#21
en fait, oracle aurait pu corriger plus de bugs, mais ça n’aurait plus le même sens.
" />
#22
Et leur mise à jour java essaie toujours d’installer la barre ask…
" />
#23
Autre problème inhérent à java et à ses différentes versions ce sont les serveurs tiers du genre Blackberry entreprise qui obligent à avoir tels ou tels versions en prod.
#24
(…) mais certaines applications s’en servent encore. On citera d’ailleurs deux exemples populaires : l’excellent PS3 Media Server (transcodage vidéo et diffusion DLNA) et le jeu Minecraft.
… ainsi que Azureus/Vuze et JDownloader, dans un créneau un peu moins… pro
#25
#26
Peut on en déduire que Java est passé largement devant Flash en termes d’insécurité ?
#27
#28
Sur la plupart des machines des utilisateurs « classiques », Java est pour rappel inutile.
j’avoue que Java pour un client sous Windows çà ne sert plus à rien. Perso je n’ai plus aucune machine avec un JRE d’installé depuis très longtemps.
#29
#30
#31
#32
#33
certaines applications s’en servent encore.
Il n’y a pas que les softs pour la maison…
C’est quelque peu réducteur par rapport aux entreprises qui utilisent Java, mais sans faire d’applets.
Et les communautés Apache, IBM, Eclipse, …
#34
#35
#36
#37
Il y a aussi libreoffice qui a besoin du plug-in java mais le code nécessitant java est réécrit dans un langue à chaque version donc libreoffice devrait pouvoir se passer de java dans quelques temps
#38
#39
#40
#41
(…) mais certaines applications s’en servent encore. On citera d’ailleurs deux exemples populaires : l’excellent PS3 Media Server (transcodage vidéo et diffusion DLNA) et le jeu Minecraft.
#42
#43
#44