Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 30/08/2012, à 14:09

Pacifick_FR42

Faille de Java....

http://www.clubic.com/antivirus-securit … racle.html
Quelqu'un aurait des infos là-dessus, ils parlent de Ubuntu 10.04, 12.04 est concerné ?

Hors ligne

#2 Le 30/08/2012, à 20:08

Haleth

Re : Faille de Java....

Supprimer java est une bonne idée, depuis toujours.
C'est pas parcque l'actualité en parle maintenant qu'il faut oublier que java est une daube, depuis toujours


Ubuntu is an ancien African word which means "I can't configure Debian"

Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.

Hors ligne

#3 Le 30/08/2012, à 20:09

Pacifick_FR42

Re : Faille de Java....

Oui, sauf que beaucoup de site l'utilise...

Hors ligne

#4 Le 31/08/2012, à 12:48

grandtoubab

Re : Faille de Java....

Salut,
il faut passer à la version java 7 07 qui corrige la faille de sécurité
http://java.com/en/download/manual.jsp#lin
http://forum.ubuntu-fr.org/viewtopic.ph … #p10579761


Linux tout seul sur HP Pavilion DV7 et Acer Aspire T650, Canon MG3650 en wifi
Debian 11 Bullseye Gnome/Xorg, Gnome/Wayland avec SDDM
https://bidouilledebian.wordpress.com/
ON M'A VU DANS LE VERCORS, SAUTER A L'ELASTIQUE..... J'AI DANS LES BOTTES DES MONTAGNES DE QUESTIONS....

Hors ligne

#5 Le 01/09/2012, à 09:12

Pacifick_FR42

Re : Faille de Java....

Merci, sinon, il existe un PPA avec une autre procédure de mise à jour
http://www.webupd8.org/2012/01/install- … u-via.html

Hors ligne

#6 Le 01/09/2012, à 09:43

redo_fr

Re : Faille de Java....

Pacifick_FR42 a écrit :

Oui, sauf que beaucoup de site(s) l'utilise(nt)...

Faux. Cette technologie est en passe de disparaître (du moins du "web", dans les entreprises, malheureusement...)
Désactive ton plugin "Java" et navigue un peu, tu verras que les sites "java" sont très peu nombreux.

Le plugin java n'est aujourd'hui plus nécessaire pour naviguer sur Internet.


Il n'y a pas de mauvais outils, il n'y a que de mauvais ouvriers
- papy -
Personnellement, je crois que faire des procès est un signe que les affaires vont mal. Je ne dis pas que Microsoft va mal, ce n'est qu'un signe, pas un indicateur...
- Linus Torvalds -

Hors ligne

#7 Le 01/09/2012, à 09:52

Pacifick_FR42

Re : Faille de Java....

J'utilise régulièrement iggogle, et c'est en java...

Hors ligne

#8 Le 01/09/2012, à 15:03

redo_fr

Re : Faille de Java....

iGoogle tu veux dire? Cest du javascript (qui n'a rien à voir avec java, malgré son nom). Il fonctionne parfaitement chez moi sans java :-)


Il n'y a pas de mauvais outils, il n'y a que de mauvais ouvriers
- papy -
Personnellement, je crois que faire des procès est un signe que les affaires vont mal. Je ne dis pas que Microsoft va mal, ce n'est qu'un signe, pas un indicateur...
- Linus Torvalds -

Hors ligne

#9 Le 01/09/2012, à 16:54

Pacifick_FR42

Re : Faille de Java....

Ben, non... si je désactive java avec firefox, je ne charge aucun module de igoogle (qui de toute façon ne va plus tarder à ne plus exister)

Hors ligne

#10 Le 01/09/2012, à 17:23

U-topic

Re : Faille de Java....

grandtoubab a écrit :

Salut,
il faut passer à la version java 7 07 qui corrige la faille de sécurité
http://java.com/en/download/manual.jsp#lin
http://forum.ubuntu-fr.org/viewtopic.ph … #p10579761

Le patch ne corrige pas l'intégralité de la faille...
Désactiver Java ou utiliser des extensions type no script (qui permet d'activer java que lorsque c'est vraiment nécessaire..) reste la meilleure idée pour se prémunir des 0day...

Hors ligne

#11 Le 01/09/2012, à 19:41

hypsen

Re : Faille de Java....

Plus inquiétant encore que pour les ordinateurs de particuliers, le nombre de serveurs pros (avec potentiellement des données nous concernant dessus) qui utilisent java ne se compte même plus.

Dernière modification par hypsen (Le 01/09/2012, à 19:42)

Hors ligne

#12 Le 01/09/2012, à 19:42

Pacifick_FR42

Re : Faille de Java....

Quels sont les risques exactement ?

Hors ligne

#13 Le 01/09/2012, à 19:46

Haleth

Re : Faille de Java....

Execution de code sur la machine cible
Tout les risques, donc, pour l'utilisateur connecté


Ubuntu is an ancien African word which means "I can't configure Debian"

Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.

Hors ligne

#14 Le 01/09/2012, à 19:51

Pacifick_FR42

Re : Faille de Java....

hummm..... pas très précis et plutôt "alarmiste" (comme d'hab) ce serait bien d'avoir plus d'info là dessus...
(Je parle sous GNU/Linux, pas sous w$)

Dernière modification par Pacifick_FR42 (Le 01/09/2012, à 19:51)

Hors ligne

#15 Le 01/09/2012, à 19:53

Haleth

Re : Faille de Java....

Pacifick_FR42 a écrit :

hummm..... pas très précis et plutôt "alarmiste" (comme d'hab) ce serait bien d'avoir plus d'info là dessus...
(Je parle sous GNU/Linux, pas sous w$)

Rien à voir avec l'OS, c'est java
Plus précisement, tu peux exécuter un programme sur la cible.
Par programme, ca peut donc être un shell qui va envoyé toute les données sur un serveur externe, un keylogger, une modification de jesaispasquoi sur ton PC ..
A priori, y'a pas de notions de root dans l'histoire

Difficile de faire plus précis. On peut tout faire avec cette faille


Ubuntu is an ancien African word which means "I can't configure Debian"

Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.

Hors ligne

#16 Le 01/09/2012, à 19:55

Flo_

Re : Faille de Java....

La faille permet de prendre le contrôle d'un pc à distance, à partir de là, on peut tout faire...

Quand on sait que certaines administrations ou entreprises ne font jamais les maj, on imagine vite la tête du prochain Flame.

Flo

Dernière modification par Flo_ (Le 01/09/2012, à 19:56)

Hors ligne

#17 Le 01/09/2012, à 19:58

Pacifick_FR42

Re : Faille de Java....

Heu... flame fonctionne sous w$, et prendre le controle d'une machine sans être root.... j'y crois pas.

Hors ligne

#18 Le 01/09/2012, à 19:59

Flo_

Re : Faille de Java....

bah là c'est encore mieux puisque la faille est multi os (write once, run everywhere ^^)

Flo

Hors ligne

#19 Le 01/09/2012, à 20:01

Pacifick_FR42

Re : Faille de Java....

Tu peux être plus précis ? c'est... quant même grave ce que tu avances, c'est pas que j'ai des doutes, mais...

Hors ligne

#20 Le 01/09/2012, à 20:06

Haleth

Re : Faille de Java....

Ben ouais c'est grave

Je quote:

http://www.01net.com/editorial/571657/une-faille-non-repertoriee-de-java-menace-tous-les-ordinateurs/ a écrit :

Il vient de découvrir une faille de sécurité dans la toute dernière version de Java (Java 7 Update 6, aussi appelée Java 1.7) qui permet à un « hacker malveillant » de se connecter à une machine distante.

http://www.journaldugeek.com/2012/08/30/une-faille-java-importante/ a écrit :

En effet, cette faille autoriserait l’installation d’un code arbitraire avec l’aide d’un Applet Java intégré dans une page Web par exemple.

Quand on dit que java c'est dla merde, c'est pour plusieurs raisons..
Outre les défaults intrinseques du langage, y'a le fait qu'oracle mettent 4 mois pour corriger une faille de cette importance
Autant de bonne raison pour éradiquer java de l'univers.


Ubuntu is an ancien African word which means "I can't configure Debian"

Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.

Hors ligne

#21 Le 02/09/2012, à 12:06

U-topic

Re : Faille de Java....

Hum pour le root de l'ordi il faut coupler la faille avec un exploit, ya pas de raison qu'un navigateur lancé avec les droits user file les droits root à un applet Java just for fun >_<

Hors ligne

#22 Le 02/09/2012, à 12:07

Pacifick_FR42

Re : Faille de Java....

c'est un peu ce que je me disais...

Hors ligne

#23 Le 02/09/2012, à 12:38

Flo_

Re : Faille de Java....

L'exploit qui allait avec a été publié il me semble : http://blog.fireeye.com/research/2012/0 … r-yet.html

Flo

Hors ligne

#24 Le 03/09/2012, à 16:47

Haleth

Re : Faille de Java....


Ubuntu is an ancien African word which means "I can't configure Debian"

Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.

Hors ligne

#25 Le 04/09/2012, à 21:03

Hoper

Re : Faille de Java....

c'est un peu ce que je me disais...

Ca reste GRAVE.

Parce qu'avec un outil comme metasploit, n'importe qui se lance un shell sur ta machine en quelques minutes et sans y connaître grand chose. Alors ok il est pas root, mais il à un shell sur ton PC et avec TON compte. Donc accès direct à l'ensemble de tes fichiers qu'il peut télécharger, supprimer, modifier etc.

Accessoirement, puisque il à un shell avec ton compte, ca ne semble pas hyper difficile de "piéger" le compte pour récupérer le mot de passe quand toi tu lancera un shell. (Premiers scripts rigolo qu'on faisaient en premier année d'IUT... enfin de mon temps big_smile )


Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org

Hors ligne