Faille de Java....

Pacifick_FR42 · Le 30/08/2012, à 15:09

http://www.clubic.com/antivirus-securit … racle.html
Quelqu'un aurait des infos là-dessus, ils parlent de Ubuntu 10.04, 12.04 est concerné ?

Haleth · Le 30/08/2012, à 21:08

Supprimer java est une bonne idée, depuis toujours.
C'est pas parcque l'actualité en parle maintenant qu'il faut oublier que java est une daube, depuis toujours

Pacifick_FR42 · Le 30/08/2012, à 21:09

Oui, sauf que beaucoup de site l'utilise...

grandtoubab · Le 31/08/2012, à 13:48

Salut,
il faut passer à la version java 7 07 qui corrige la faille de sécurité
http://java.com/en/download/manual.jsp#lin
http://forum.ubuntu-fr.org/viewtopic.ph … #p10579761

Pacifick_FR42 · Le 01/09/2012, à 10:12

Merci, sinon, il existe un PPA avec une autre procédure de mise à jour
http://www.webupd8.org/2012/01/install- … u-via.html

redo_fr · Le 01/09/2012, à 10:43

Pacifick_FR42 a écrit :

Oui, sauf que beaucoup de site(s) l'utilise(nt)...

Faux. Cette technologie est en passe de disparaître (du moins du "web", dans les entreprises, malheureusement...)
Désactive ton plugin "Java" et navigue un peu, tu verras que les sites "java" sont très peu nombreux.

Le plugin java n'est aujourd'hui plus nécessaire pour naviguer sur Internet.

Pacifick_FR42 · Le 01/09/2012, à 10:52

J'utilise régulièrement iggogle, et c'est en java...

redo_fr · Le 01/09/2012, à 16:03

iGoogle tu veux dire? Cest du javascript (qui n'a rien à voir avec java, malgré son nom). Il fonctionne parfaitement chez moi sans java :-)

Pacifick_FR42 · Le 01/09/2012, à 17:54

Ben, non... si je désactive java avec firefox, je ne charge aucun module de igoogle (qui de toute façon ne va plus tarder à ne plus exister)

U-topic · Le 01/09/2012, à 18:23

grandtoubab a écrit :

Salut,
il faut passer à la version java 7 07 qui corrige la faille de sécurité
http://java.com/en/download/manual.jsp#lin
http://forum.ubuntu-fr.org/viewtopic.ph … #p10579761

Le patch ne corrige pas l'intégralité de la faille...
Désactiver Java ou utiliser des extensions type no script (qui permet d'activer java que lorsque c'est vraiment nécessaire..) reste la meilleure idée pour se prémunir des 0day...

hypsen · Le 01/09/2012, à 20:41

Plus inquiétant encore que pour les ordinateurs de particuliers, le nombre de serveurs pros (avec potentiellement des données nous concernant dessus) qui utilisent java ne se compte même plus.

Dernière modification par hypsen (Le 01/09/2012, à 20:42)

Pacifick_FR42 · Le 01/09/2012, à 20:42

Quels sont les risques exactement ?

Haleth · Le 01/09/2012, à 20:46

Execution de code sur la machine cible
Tout les risques, donc, pour l'utilisateur connecté

Pacifick_FR42 · Le 01/09/2012, à 20:51

hummm..... pas très précis et plutôt "alarmiste" (comme d'hab) ce serait bien d'avoir plus d'info là dessus...
(Je parle sous GNU/Linux, pas sous w$)

Dernière modification par Pacifick_FR42 (Le 01/09/2012, à 20:51)

Haleth · Le 01/09/2012, à 20:53

Pacifick_FR42 a écrit :

hummm..... pas très précis et plutôt "alarmiste" (comme d'hab) ce serait bien d'avoir plus d'info là dessus...
(Je parle sous GNU/Linux, pas sous w$)

Rien à voir avec l'OS, c'est java
Plus précisement, tu peux exécuter un programme sur la cible.
Par programme, ca peut donc être un shell qui va envoyé toute les données sur un serveur externe, un keylogger, une modification de jesaispasquoi sur ton PC ..
A priori, y'a pas de notions de root dans l'histoire

Difficile de faire plus précis. On peut tout faire avec cette faille

Flo_ · Le 01/09/2012, à 20:55

La faille permet de prendre le contrôle d'un pc à distance, à partir de là, on peut tout faire...

Quand on sait que certaines administrations ou entreprises ne font jamais les maj, on imagine vite la tête du prochain Flame.

Flo

Dernière modification par Flo_ (Le 01/09/2012, à 20:56)

Pacifick_FR42 · Le 01/09/2012, à 20:58

Heu... flame fonctionne sous w$, et prendre le controle d'une machine sans être root.... j'y crois pas.

Flo_ · Le 01/09/2012, à 20:59

bah là c'est encore mieux puisque la faille est multi os (write once, run everywhere ^^)

Flo

Pacifick_FR42 · Le 01/09/2012, à 21:01

Tu peux être plus précis ? c'est... quant même grave ce que tu avances, c'est pas que j'ai des doutes, mais...

Haleth · Le 01/09/2012, à 21:06

Ben ouais c'est grave

Je quote:

http://www.01net.com/editorial/571657/une-faille-non-repertoriee-de-java-menace-tous-les-ordinateurs/ a écrit :

Il vient de découvrir une faille de sécurité dans la toute dernière version de Java (Java 7 Update 6, aussi appelée Java 1.7) qui permet à un « hacker malveillant » de se connecter à une machine distante.

http://www.journaldugeek.com/2012/08/30/une-faille-java-importante/ a écrit :

En effet, cette faille autoriserait l’installation d’un code arbitraire avec l’aide d’un Applet Java intégré dans une page Web par exemple.

Quand on dit que java c'est dla merde, c'est pour plusieurs raisons..
Outre les défaults intrinseques du langage, y'a le fait qu'oracle mettent 4 mois pour corriger une faille de cette importance
Autant de bonne raison pour éradiquer java de l'univers.

U-topic · Le 02/09/2012, à 13:06

Hum pour le root de l'ordi il faut coupler la faille avec un exploit, ya pas de raison qu'un navigateur lancé avec les droits user file les droits root à un applet Java just for fun >_<

Pacifick_FR42 · Le 02/09/2012, à 13:07

c'est un peu ce que je me disais...

Flo_ · Le 02/09/2012, à 13:38

L'exploit qui allait avec a été publié il me semble : http://blog.fireeye.com/research/2012/0 … r-yet.html

Flo

Haleth · Le 03/09/2012, à 17:47

http://www.cnetfrance.fr/news/deux-nouv … 775667.htm
Pwd, once again..

Hoper · Le 04/09/2012, à 22:03

c'est un peu ce que je me disais...

Ca reste GRAVE.

Parce qu'avec un outil comme metasploit, n'importe qui se lance un shell sur ta machine en quelques minutes et sans y connaître grand chose. Alors ok il est pas root, mais il à un shell sur ton PC et avec TON compte. Donc accès direct à l'ensemble de tes fichiers qu'il peut télécharger, supprimer, modifier etc.

Accessoirement, puisque il à un shell avec ton compte, ca ne semble pas hyper difficile de "piéger" le compte pour récupérer le mot de passe quand toi tu lancera un shell. (Premiers scripts rigolo qu'on faisaient en premier année d'IUT... enfin de mon temps )

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 30/08/2012, à 15:09

Faille de Java....

#2 Le 30/08/2012, à 21:08

Re : Faille de Java....

#3 Le 30/08/2012, à 21:09

Re : Faille de Java....

#4 Le 31/08/2012, à 13:48

Re : Faille de Java....

#5 Le 01/09/2012, à 10:12

Re : Faille de Java....

#6 Le 01/09/2012, à 10:43

Re : Faille de Java....

#7 Le 01/09/2012, à 10:52

Re : Faille de Java....

#8 Le 01/09/2012, à 16:03

Re : Faille de Java....

#9 Le 01/09/2012, à 17:54

Re : Faille de Java....

#10 Le 01/09/2012, à 18:23

Re : Faille de Java....

#11 Le 01/09/2012, à 20:41

Re : Faille de Java....

#12 Le 01/09/2012, à 20:42

Re : Faille de Java....

#13 Le 01/09/2012, à 20:46

Re : Faille de Java....

#14 Le 01/09/2012, à 20:51

Re : Faille de Java....

#15 Le 01/09/2012, à 20:53

Re : Faille de Java....

#16 Le 01/09/2012, à 20:55

Re : Faille de Java....

#17 Le 01/09/2012, à 20:58

Re : Faille de Java....

#18 Le 01/09/2012, à 20:59

Re : Faille de Java....

#19 Le 01/09/2012, à 21:01

Re : Faille de Java....

#20 Le 01/09/2012, à 21:06

Re : Faille de Java....

#21 Le 02/09/2012, à 13:06

Re : Faille de Java....

#22 Le 02/09/2012, à 13:07

Re : Faille de Java....

#23 Le 02/09/2012, à 13:38

Re : Faille de Java....

#24 Le 03/09/2012, à 17:47

Re : Faille de Java....

#25 Le 04/09/2012, à 22:03

Re : Faille de Java....

Pied de page des forums