Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#26 Le 04/09/2012, à 21:18

Pacifick_FR42

Re : Faille de Java....

Hors ligne

#27 Le 05/09/2012, à 05:39

Flo_

Re : Faille de Java....

Pour la nouvelle faille, l'exploit n'a pas été publié, même si la faille a déjà été exploitée.

Sinon, http://korben.info/les-donnees-personne … ature.html

Et bien d'après eux, durant la deuxième semaine de Mars de cette année, un agent du FBI s'est fait hacker son ordinateur portable DELL Vostro grâce à une faille dans Java (et oui...). Et les hackers ont récupéré pas mal de fichiers dont un certain NCFTA_iOS_devices_intel.csv contenant cette liste de 12 millions de codes ainsi que les infos personnelles des gens.

Et on ne peut pas forcément généraliser à tout le monde ce qui nous arrive.

Flo

Hors ligne

#28 Le 05/09/2012, à 11:13

U-topic

Re : Faille de Java....

Pacifick_FR42 a écrit :

Enfin là on rejoint ma réponse sur le sujet de GCC : l'escalade des privilège, même avec un compte lambda se fait donc oui, ça reste un peu chiant quand même... maintenant pour pondérer ma réponse je dirais que vu le nombre de 0 days qui doivent être cachés ya pas de quoi s'alarmer plus que ça et continuer gentiment à prendre des mesures de sécu et de monitorer son petit réseau...

Hors ligne

#29 Le 05/09/2012, à 11:24

Hoper

Re : Faille de Java....

Tout pareil. Mais ce qui différencie cette faille java de toutes les autres, et qui la rend un poil plus dangereuse, c'est justement qu'elle est largement diffusé, que l'exploit existe et qu'il à été largement industrialisé pour être utilisé avec les outils les plus "user friendly" etc.

Pour répondre à Pacifick_FR42 :

Le problème c'est qu'on entends régulièrement des trucs comme ça, super alarmiste "faille Linux" , "Attack Possible", etc...
J'en ai jamais vu une, ni sur ma machine, ni sur les quelques 400 machines que j'ai gérer (UNIX / Linux).

J'ai jamais dit que c'était HYPER courant et que des centaines de milliers de machines sous ubuntu sont déjà probablement infectées. Ce que j'ai dit, et que je maintien, c'est que techniquement oui, les failles sérieuses existes (java pour la dernière, mais il y en a eu beaucoup d'autre) et qu'il est assez facile de prendre le contrôle d'une machine (linux ou windows) avec ce genre de faille. Si je l’affirme, c'est parce que je sais très précisément comment une attaque de ce genre se passerait, parce que j'ai déjà expérimenté l'utilisation de ce genre de faille (sur mes machines dans 99% des cas, je précise).

Dans ce genre de cas, la seule chose qui "protège" encore un peu ubuntu DESKTOP, c'est  le fait qu'il soit moins utilisé et que ceux qui mettent en place des attaques "larges" destinées à prendre le contrôle d'un maximum de machine vont plutôt viser les machines sous windows.

Notez bien que je parle de machines desktop, pas serveurs. Ce type de faille (lié au navigateur) nécessite une action de la part de l'utilisateur (cliquer sur un lien).  On ne peut donc pas prendre le control de serveurs de cette façon, sinon c'est clair que linux ferait une meilleure cible que Windows.

Dernière modification par Hoper (Le 05/09/2012, à 11:29)


Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org

Hors ligne

#30 Le 05/09/2012, à 11:54

Pseudo supprimé

Re : Faille de Java....

Autant rester à java6 avec tomcat6/7 et pour tout le reste.

#31 Le 05/09/2012, à 12:08

JLK

Re : Faille de Java....

On voit l'inconvénient des langage multiplateformes non mis à jour fréquemment. Cette histoire me fait penser à un virus contaminant aussi bien GNU/Linux que Windows, qui utilisait un langage multiplateforme, il y a quelques années.

Juste une question : OpenJDK, le Java libre, est-il à l'abris de ce trou de sécurité ?

Dernière modification par JLK (Le 05/09/2012, à 12:10)

Hors ligne

#32 Le 05/09/2012, à 19:36

Vikin712

Re : Faille de Java....

Bonsoir.

JLK a écrit :

Juste une question : OpenJDK, le Java libre, est-il à l'abris de ce trou de sécurité ?

Oui c'est pour ça qu'il est indiqué Ubuntu 10.04. C'est la dernière version soutenue à embarquer via les dépôts Partner la version proprio de Java.

Pacifick_FR42 a écrit :

Ben, non... si je désactive java avec firefox, je ne charge aucun module de igoogle (qui de toute façon ne va plus tarder à ne plus exister)

Comme te l'as dit redo_fr ne confond pas javascript avec Java. wink

Pacifick_FR42 a écrit :

http://www.clubic.com/antivirus-securit … racle.html
Quelqu'un aurait des infos là-dessus, ils parlent de Ubuntu 10.04, 12.04 est concerné ?

Si tu installes la version proprio sur la 12.04, 12.10 tu risques les mêmes emmerdes que sur la 10.04.

Dernière modification par Vikin712 (Le 05/09/2012, à 19:44)

#33 Le 05/09/2012, à 23:52

Pacifick_FR42

Re : Faille de Java....

Donc dans quels cas cette faille est dangereuse ?
Avec mon navigateur ?
Avec mes appli Java ?
Avec une install de Java (pour faire tourner les applis) ?
-
J'aimerais bien voire une démo pour comprendre le truc (si possible en Français wink )

Hors ligne

#34 Le 06/09/2012, à 00:23

Vikin712

Re : Faille de Java....

Pacifick_FR42 a écrit :

Donc dans quels cas cette faille est dangereuse ?

Plus celle citée puisque Oracle a réparé la faille. Il faut avoir mis à jour bien sûr mais il reste des failles sur la version proprio d'Oracle.

Pacifick_FR42 a écrit :

Avec mon navigateur ?

Rien à voir.  Le javascript n'est pas Java.

Pacifick_FR42 a écrit :

Avec mes appli Java ?

Si les appli sont libres et connues peu de chance qu'elles contiennent un exploit.

Pacifick_FR42 a écrit :

Avec une install de Java (pour faire tourner les applis) ?

J'ai pas compris

Pacifick_FR42 a écrit :

J'aimerais bien voire une démo pour comprendre le truc (si possible en Français wink )

Ça c'est à toi de tester sur un pc en réseau ou autre.

#35 Le 06/09/2012, à 02:34

Pacifick_FR42

Re : Faille de Java....

... si ça ne concerne ni mes appli, ni mon navigateur, ça concerne quoi exactement ?

Hors ligne

#36 Le 06/09/2012, à 02:57

Vikin712

Re : Faille de Java....

Cela ne concerne pas spécialement tes applications, mais imagine que je créé une application en java genre DirectX pour Tux  ou un site nécessitant java (je parle pas de javascript mais de Java) je pourrais exploiter cette faille.

En gros c'est comme un virus qui exploite les failles de Windows mais là ça utilise Java.
T'as pas Java d'Oracle sur ton pc tu risques rien. La news de Clubic copier/coller du blog de Korben a été mal tournée dans les deux cas. Si tu utilises la version libre de java tu risques rien.
Désactiver le javascript  du navigateur ne sert à rien puisque cela n'a rien à voir.

Dernière modification par Vikin712 (Le 06/09/2012, à 02:58)

#37 Le 06/09/2012, à 04:02

ar barzh paour

Re : Faille de Java....

une (deux) (trois) question(s)  bête(s)
1-comment savoir si j'utilise java?
2- si oui comment "désactiver java" ?
3- et comment "réactiver java" si "besoin"


PC          : B760M DS3H DDR4,  12th Gen Intel(R) Core(TM) i3-12100, RAM DDR4 8GiB -2400 Ubuntu 20.04, 22.04, 24.04 (en test )
Portable1 : ThinkPad P50 I7-6820HQ, 16G0 Ram Ubuntu 22.04 Ubuntu 24.04 , W10-PRO( en voyage )
Portable2 : T5750  @ 2.00GHz RAM 1GiB DDR2 667 Mhz Ubuntu 20.04 ( batterie HS )
stourm a ran war bep tachenn (Angela Duval) ( Je combats sur tous les fronts )

Hors ligne

#38 Le 06/09/2012, à 08:06

Haleth

Re : Faille de Java....

Lister les trucs en rapport avec java:

#Avec un l, un petit L:
dpkg -l | grep -i jre

Suppression du paquet java oracle:

aptitude purge sun-java-jre-6

Réinstallation en cas de besoin:

aptitude install sun-java-jre-6

Dernière modification par Haleth (Le 06/09/2012, à 08:49)


Ubuntu is an ancien African word which means "I can't configure Debian"

Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.

Hors ligne

#39 Le 06/09/2012, à 08:47

Pacifick_FR42

Re : Faille de Java....

Merci smile
Enfin,un peu de concret... ! wink

dpkg -l | grep -i jre
ii  gcj-4.6-jre-lib                                4.6.3-1ubuntu2                                Java runtime library for use with gcj (jar files)
ii  icedtea-7-jre-cacao                            7~u3-2.1.1~pre1-1ubuntu3                      Alternative JVM for OpenJDK, using Cacao
ii  icedtea-7-jre-jamvm                            7~u3-2.1.1~pre1-1ubuntu3                      Alternative JVM for OpenJDK, using JamVM
ii  openjdk-7-jre                                  7~u3-2.1.1~pre1-1ubuntu3                      OpenJDK Java runtime, using Hotspot JIT
ii  openjdk-7-jre-headless                         7~u3-2.1.1~pre1-1ubuntu3                      OpenJDK Java runtime, using Hotspot JIT (headless)
ii  openjdk-7-jre-lib                              7~u3-2.1.1~pre1-1ubuntu3                      OpenJDK Java runtime (architecture independent libraries)

Donc, là, je n'utilise pas le Java de Oracle ? c'est bien ça ?

Hors ligne

#40 Le 06/09/2012, à 08:50

Haleth

Re : Faille de Java....

Voila

Tien, a propos, le java d'oracle n'est plus dans les dépots ? C'était sun-java-jre jadis, il a peut-être changé de nom ?


Ubuntu is an ancien African word which means "I can't configure Debian"

Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.

Hors ligne

#41 Le 06/09/2012, à 09:01

Pacifick_FR42

Re : Faille de Java....

Merci Halet, j'avais donc raison de ne pas trop m'inquiéter, mais je suis très contant de cette discussion, car cet aspect de la sécurité lié à Java (j'avais toujours des doutes) me semble beaucoup moins obscure !
Petite question :
- Comment être "sûre" que les versions "open" soient sécurisé ?

Hors ligne

#42 Le 06/09/2012, à 09:04

Hoper

Re : Faille de Java....

Non, la version java propriétaire n'est plus dans les dépôts, justement à cause de tous ces problèmes de sécurité, et de la bêtise d'Oracle, qui refuse le principe des déports et des mises à jour automatique. Il faut que l'utilisateur accepte les nouvelles licences etc.
Du coup :

http://www.developpez.com/actu/40138/Ja … ar-Oracle/

- Comment être "sûre" que les versions "open" soient sécurisé ?

Facile. Puisque ce sont des versions libres, il suffit que tu consulte le code. Si tu n'a pas les compétances pour le faire, paye la personne de ton choix, une en qui tu as confiance et qui à les compétences, pour réaliser un audit du code. De cette façon tu sera sur. C'est une des nombreuses possibilités offertes par le monde du libre, et qui n'existe pas dans le monde des logiciels propriétaires.

Dernière modification par Hoper (Le 06/09/2012, à 09:06)


Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org

Hors ligne

#43 Le 06/09/2012, à 09:10

Hoper

Re : Faille de Java....

J'aimerais bien voire une démo pour comprendre le truc (si possible en Français wink )

En français tu rêve un peu. Mais si tu veux t'amuser, j'avais mis un lien vers des présentations très complète des fonctionnalités de metasploit ici : http://hoper.dnsalias.net/tdc/index.php?q=metasploit

Le lien en question :
http://fr.slideshare.net/georgiaweidman … nner-class

Dernière modification par Hoper (Le 06/09/2012, à 09:37)


Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org

Hors ligne

#44 Le 06/09/2012, à 09:30

Pacifick_FR42

Re : Faille de Java....

Merci bien ! smile

Hors ligne

#45 Le 06/09/2012, à 16:29

Flo_

Re : Faille de Java....

La faille concerne bien les navigateurs en utilisant des applets java (pas javascript).
Pour savoir, si java est activé dans le navigateur, il faut regarder les plugins activés.

Flo

Hors ligne

#46 Le 06/09/2012, à 16:41

ar barzh paour

Re : Faille de Java....

@ Haleth post 58
merci

xxx@xxx-desktop:~$ dpkg -l | grep -i jre
xxx@xxx-desktop:~$ 

là apparemment je suis tranquile

et de plus ça ne m'a pas beaucoup dérangé jusqu'à présent !!!!!!!

Dernière modification par ar barzh paour (Le 06/09/2012, à 16:42)


PC          : B760M DS3H DDR4,  12th Gen Intel(R) Core(TM) i3-12100, RAM DDR4 8GiB -2400 Ubuntu 20.04, 22.04, 24.04 (en test )
Portable1 : ThinkPad P50 I7-6820HQ, 16G0 Ram Ubuntu 22.04 Ubuntu 24.04 , W10-PRO( en voyage )
Portable2 : T5750  @ 2.00GHz RAM 1GiB DDR2 667 Mhz Ubuntu 20.04 ( batterie HS )
stourm a ran war bep tachenn (Angela Duval) ( Je combats sur tous les fronts )

Hors ligne

#47 Le 06/09/2012, à 19:04

Pacifick_FR42

Re : Faille de Java....

Flo_ a écrit :

La faille concerne bien les navigateurs en utilisant des applets java (pas javascript).
Pour savoir, si java est activé dans le navigateur, il faut regarder les plugins activés.

Flo

Ben justement non, si ton java (plugin y compris) ne vient pas d'oracle... (je crois) wink

Hors ligne

#48 Le 06/09/2012, à 19:10

grandtoubab

Re : Faille de Java....

Pacifick_FR42 a écrit :

Merci smile
Enfin,un peu de concret... ! wink

dpkg -l | grep -i jre
ii  gcj-4.6-jre-lib                                4.6.3-1ubuntu2                                Java runtime library for use with gcj (jar files)
ii  icedtea-7-jre-cacao                            7~u3-2.1.1~pre1-1ubuntu3                      Alternative JVM for OpenJDK, using Cacao
ii  icedtea-7-jre-jamvm                            7~u3-2.1.1~pre1-1ubuntu3                      Alternative JVM for OpenJDK, using JamVM
ii  openjdk-7-jre                                  7~u3-2.1.1~pre1-1ubuntu3                      OpenJDK Java runtime, using Hotspot JIT
ii  openjdk-7-jre-headless                         7~u3-2.1.1~pre1-1ubuntu3                      OpenJDK Java runtime, using Hotspot JIT (headless)
ii  openjdk-7-jre-lib                              7~u3-2.1.1~pre1-1ubuntu3                      OpenJDK Java runtime (architecture independent libraries)

Donc, là, je n'utilise pas le Java de Oracle ? c'est bien ça ?


Pas certain du tout, si tu l'as installé en utilisant une archive il n'est pas listé dans les paquets
pour savoir il faut passer la commande java -version
exemple

@ubuntu-desktop:~$ java -version
java version "1.7.0_07"
Java(TM) SE Runtime Environment (build 1.7.0_07-b10)
Java HotSpot(TM) Client VM (build 23.3-b01, mixed mode)

le plus sûr étant

sudo find / -name java

Dernière modification par grandtoubab (Le 06/09/2012, à 19:22)


Linux tout seul sur HP Pavilion DV7 et Acer Aspire T650, Canon MG3650 en wifi
Debian 11 Bullseye Gnome/Xorg, Gnome/Wayland avec SDDM
https://bidouilledebian.wordpress.com/
ON M'A VU DANS LE VERCORS, SAUTER A L'ELASTIQUE..... J'AI DANS LES BOTTES DES MONTAGNES DE QUESTIONS....

Hors ligne

#49 Le 06/09/2012, à 19:26

piolet

Re : Faille de Java....

bonsoir

c'est pas plutôt
update-alternatives --display mozilla-javaplugin.so


lenovo T430 RAM 8Go Xubuntu 22.04 LTS

Hors ligne

#50 Le 06/09/2012, à 19:43

Pacifick_FR42

Re : Faille de Java....

@grandtoubab :

paul@paul-pcexpert ~/Documents $  java -version
java version "1.7.0_07"
Java(TM) SE Runtime Environment (build 1.7.0_07-b10)
Java HotSpot(TM) 64-Bit Server VM (build 23.3-b01, mixed mode)
paul@paul-pcexpert ~/Documents $ sudo find / -name java
[sudo] password for paul: 
/etc/bash_completion.d/java
/etc/alternatives/java
/etc/java
/etc/ssl/certs/java
/etc/apparmor.d/abstractions/ubuntu-browsers.d/java
/home/paul/.djl/jeux/xonotic/Xonotic/misc/tools/NexuizDemoRecorder/main/src/main/java
/home/paul/.djl/jeux/xonotic/Xonotic/misc/tools/NexuizDemoRecorder/plugins/virtualdub/src/main/java
/home/paul/.djl/jeux/xonotic/Xonotic/misc/tools/NexuizDemoRecorder/plugins/sample/src/main/java
/usr/share/java
/usr/bin/java
/usr/lib/jvm/java-7-oracle/bin/java
/usr/lib/jvm/java-7-oracle/jre/bin/java
/usr/lib/jvm/java-7-openjdk-amd64/bin/java
/usr/lib/jvm/java-7-openjdk-amd64/jre/bin/java
/usr/lib/ure/share/java
/usr/lib/virtualbox/sdk/bindings/xpcom/java
/media/Pacifick/HOME_DATA/PCeXpert/Application/opera-10.00-4214.gcc4-bundled-qt4.i386/usr/share/opera/java
/var/lib/dpkg/alternatives/java

Qu'en penses tu ?

Hors ligne