BT

Oracle livre 51 correctifs de sécurité pour Java

par Dan Woods , traduit par Mathieu Pousse le 06 nov. 2013 |

La semaine dernière, Oracle a livré un patch de mise à jour critique qui incluait 127 nouvelles corrections pour l'écosystème des produits Oracle, et notamment Java SE. Il y avait 51 correctifs de problèmes critiques qui affectaient la JVM client et server.

Parmi les 51 corrections de sécurité, il y a 50 vulnérabilités qui sont exploitable à distance sans authentification. 10 d'entre elles avaient reçu une note de 10.0 dans le système de notation Common Vulnerability Scoring System (CVSS), ce qui est la valeur la plus élevée du risque de vulnérabilité défini par la notation. Ce sous-ensemble de vulnérabilités permet "une prise en main complète du système visé (jusqu’au système d'exploitation)", offrant ainsi aux attaquants la possibilité d’exécuter du code sur l'hôte dans un contexte avec les privilèges administrateur.

Beaucoup de ces vulnérabilités affectent directement les environnements d’exécution clients de Java, et notamment le plugin des navigateurs qui permet d’exécuter du code Java sur une machine cliente visitant un site web avec une application embarquée. En ce qui concerne le lot des corrections, 40 d'entre elles sont spécifiques à l’environnement client à travers les applets ou WebStart. Dans la release note, Oracle annonce que parmi les 10 failles avec la note de 10.0, 8 concernent les clients et les serveurs.

L'architecture du cœur de Java définit 4 couches d'abstraction distinctes pour l’exécution du code, ce qui permet à Java de répondre au paradigme "Write Once, Run Anywhere". La couche du dessus est la couche "Java Application", où le code de l'application est écrit et communique avec la couche "Java Runtime" qui contient le code du cœur de Java, les protocoles de sécurité pour l'application et les bibliothèques. Le runtime interagit quant à lui avec le "Native layer" qui est responsable de l’abstraction de l’exécution dans la couche de base, le système d'exploitation. Les vulnérabilités avec une notation CVSS élevée ont la capacité de viser le "Native Layer" et donc d'outrepasser les mesures de sécurité qui se trouvent dans la couche Runtime. Les exploitations qui profitent des vulnérabilités de la couche Native sont alors en capacité d’exécuter du code directement dans le système d'exploitation et d'hériter des privilèges associés à l'utilisateur qui exécute le service Java.

Plus tôt cette année, Oracle avait annoncé qu'à partir d'octobre 2013, les patchs correctifs et de mise à jour seraient délivrés avec les CPUs (Critical Patch Updates) de l'écosystème Oracle. Ces CPUs sont livrés chaque trimestre, ce qui offre à Java 4 opportunités pour améliorer la sécurité. Oracle s'est réservé la possibilité de livrer un correctif en urgence grâce au programme Security Alert. Le CPU de ce mois est la 8ème mise à jour de Java en 2013.

Bonjour étranger!

Vous devez créer un compte InfoQ ou cliquez sur pour déposer des commentaires. Mais il y a bien d'autres avantages à s'enregistrer.

Tirez le meilleur d'InfoQ

Donnez-nous votre avis

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet
Commentaires de la Communauté

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet

Html autorisé: a,b,br,blockquote,i,li,pre,u,ul,p

M'envoyer un email pour toute réponse à l'un de mes messages dans ce sujet

Discuter

Contenu Éducatif

Rien ne serait possible sans le soutien et la confiance de nos Sponsors Fondateurs:

AppDynamics   CloudBees   Microsoft   Zenika
Feedback Général
Bugs
Publicité
Éditorial
InfoQ.com et tous les contenus sont copyright © 2006-2014 C4Media Inc. InfoQ.com est hébergé chez Contegix, le meilleur ISP avec lequel nous ayons travaillé.
Politique de confidentialité
BT