#1 Le 30/08/2012, à 14:09
- Pacifick_FR42
Faille de Java....
http://www.clubic.com/antivirus-securit … racle.html
Quelqu'un aurait des infos là-dessus, ils parlent de Ubuntu 10.04, 12.04 est concerné ?
Hors ligne
#2 Le 30/08/2012, à 20:08
- Haleth
Re : Faille de Java....
Supprimer java est une bonne idée, depuis toujours.
C'est pas parcque l'actualité en parle maintenant qu'il faut oublier que java est une daube, depuis toujours
Ubuntu is an ancien African word which means "I can't configure Debian"
Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.
Hors ligne
#3 Le 30/08/2012, à 20:09
- Pacifick_FR42
Re : Faille de Java....
Oui, sauf que beaucoup de site l'utilise...
Hors ligne
#4 Le 31/08/2012, à 12:48
- grandtoubab
Re : Faille de Java....
Salut,
il faut passer à la version java 7 07 qui corrige la faille de sécurité
http://java.com/en/download/manual.jsp#lin
http://forum.ubuntu-fr.org/viewtopic.ph … #p10579761
Linux tout seul sur HP Pavilion DV7 et Acer Aspire T650, Canon MG3650 en wifi
Debian 11 Bullseye Gnome/Xorg, Gnome/Wayland avec SDDM
https://bidouilledebian.wordpress.com/
ON M'A VU DANS LE VERCORS, SAUTER A L'ELASTIQUE..... J'AI DANS LES BOTTES DES MONTAGNES DE QUESTIONS....
Hors ligne
#5 Le 01/09/2012, à 09:12
- Pacifick_FR42
Re : Faille de Java....
Merci, sinon, il existe un PPA avec une autre procédure de mise à jour
http://www.webupd8.org/2012/01/install- … u-via.html
Hors ligne
#6 Le 01/09/2012, à 09:43
- redo_fr
Re : Faille de Java....
Oui, sauf que beaucoup de site(s) l'utilise(nt)...
Faux. Cette technologie est en passe de disparaître (du moins du "web", dans les entreprises, malheureusement...)
Désactive ton plugin "Java" et navigue un peu, tu verras que les sites "java" sont très peu nombreux.
Le plugin java n'est aujourd'hui plus nécessaire pour naviguer sur Internet.
Il n'y a pas de mauvais outils, il n'y a que de mauvais ouvriers
- papy -
Personnellement, je crois que faire des procès est un signe que les affaires vont mal. Je ne dis pas que Microsoft va mal, ce n'est qu'un signe, pas un indicateur...
- Linus Torvalds -
Hors ligne
#7 Le 01/09/2012, à 09:52
- Pacifick_FR42
Re : Faille de Java....
J'utilise régulièrement iggogle, et c'est en java...
Hors ligne
#8 Le 01/09/2012, à 15:03
- redo_fr
Re : Faille de Java....
iGoogle tu veux dire? Cest du javascript (qui n'a rien à voir avec java, malgré son nom). Il fonctionne parfaitement chez moi sans java :-)
Il n'y a pas de mauvais outils, il n'y a que de mauvais ouvriers
- papy -
Personnellement, je crois que faire des procès est un signe que les affaires vont mal. Je ne dis pas que Microsoft va mal, ce n'est qu'un signe, pas un indicateur...
- Linus Torvalds -
Hors ligne
#9 Le 01/09/2012, à 16:54
- Pacifick_FR42
Re : Faille de Java....
Ben, non... si je désactive java avec firefox, je ne charge aucun module de igoogle (qui de toute façon ne va plus tarder à ne plus exister)
Hors ligne
#10 Le 01/09/2012, à 17:23
- U-topic
Re : Faille de Java....
Salut,
il faut passer à la version java 7 07 qui corrige la faille de sécurité
http://java.com/en/download/manual.jsp#lin
http://forum.ubuntu-fr.org/viewtopic.ph … #p10579761
Le patch ne corrige pas l'intégralité de la faille...
Désactiver Java ou utiliser des extensions type no script (qui permet d'activer java que lorsque c'est vraiment nécessaire..) reste la meilleure idée pour se prémunir des 0day...
Hors ligne
#11 Le 01/09/2012, à 19:41
- hypsen
Re : Faille de Java....
Plus inquiétant encore que pour les ordinateurs de particuliers, le nombre de serveurs pros (avec potentiellement des données nous concernant dessus) qui utilisent java ne se compte même plus.
Dernière modification par hypsen (Le 01/09/2012, à 19:42)
Hors ligne
#12 Le 01/09/2012, à 19:42
- Pacifick_FR42
Re : Faille de Java....
Quels sont les risques exactement ?
Hors ligne
#13 Le 01/09/2012, à 19:46
- Haleth
Re : Faille de Java....
Execution de code sur la machine cible
Tout les risques, donc, pour l'utilisateur connecté
Ubuntu is an ancien African word which means "I can't configure Debian"
Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.
Hors ligne
#14 Le 01/09/2012, à 19:51
- Pacifick_FR42
Re : Faille de Java....
hummm..... pas très précis et plutôt "alarmiste" (comme d'hab) ce serait bien d'avoir plus d'info là dessus...
(Je parle sous GNU/Linux, pas sous w$)
Dernière modification par Pacifick_FR42 (Le 01/09/2012, à 19:51)
Hors ligne
#15 Le 01/09/2012, à 19:53
- Haleth
Re : Faille de Java....
hummm..... pas très précis et plutôt "alarmiste" (comme d'hab) ce serait bien d'avoir plus d'info là dessus...
(Je parle sous GNU/Linux, pas sous w$)
Rien à voir avec l'OS, c'est java
Plus précisement, tu peux exécuter un programme sur la cible.
Par programme, ca peut donc être un shell qui va envoyé toute les données sur un serveur externe, un keylogger, une modification de jesaispasquoi sur ton PC ..
A priori, y'a pas de notions de root dans l'histoire
Difficile de faire plus précis. On peut tout faire avec cette faille
Ubuntu is an ancien African word which means "I can't configure Debian"
Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.
Hors ligne
#16 Le 01/09/2012, à 19:55
- Flo_
Re : Faille de Java....
La faille permet de prendre le contrôle d'un pc à distance, à partir de là, on peut tout faire...
Quand on sait que certaines administrations ou entreprises ne font jamais les maj, on imagine vite la tête du prochain Flame.
Flo
Dernière modification par Flo_ (Le 01/09/2012, à 19:56)
Hors ligne
#17 Le 01/09/2012, à 19:58
- Pacifick_FR42
Re : Faille de Java....
Heu... flame fonctionne sous w$, et prendre le controle d'une machine sans être root.... j'y crois pas.
Hors ligne
#18 Le 01/09/2012, à 19:59
- Flo_
Re : Faille de Java....
bah là c'est encore mieux puisque la faille est multi os (write once, run everywhere ^^)
Flo
Hors ligne
#19 Le 01/09/2012, à 20:01
- Pacifick_FR42
Re : Faille de Java....
Tu peux être plus précis ? c'est... quant même grave ce que tu avances, c'est pas que j'ai des doutes, mais...
Hors ligne
#20 Le 01/09/2012, à 20:06
- Haleth
Re : Faille de Java....
Ben ouais c'est grave
Je quote:
Il vient de découvrir une faille de sécurité dans la toute dernière version de Java (Java 7 Update 6, aussi appelée Java 1.7) qui permet à un « hacker malveillant » de se connecter à une machine distante.
En effet, cette faille autoriserait l’installation d’un code arbitraire avec l’aide d’un Applet Java intégré dans une page Web par exemple.
Quand on dit que java c'est dla merde, c'est pour plusieurs raisons..
Outre les défaults intrinseques du langage, y'a le fait qu'oracle mettent 4 mois pour corriger une faille de cette importance
Autant de bonne raison pour éradiquer java de l'univers.
Ubuntu is an ancien African word which means "I can't configure Debian"
Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.
Hors ligne
#21 Le 02/09/2012, à 12:06
- U-topic
Re : Faille de Java....
Hum pour le root de l'ordi il faut coupler la faille avec un exploit, ya pas de raison qu'un navigateur lancé avec les droits user file les droits root à un applet Java just for fun >_<
Hors ligne
#22 Le 02/09/2012, à 12:07
- Pacifick_FR42
Re : Faille de Java....
c'est un peu ce que je me disais...
Hors ligne
#23 Le 02/09/2012, à 12:38
- Flo_
Re : Faille de Java....
L'exploit qui allait avec a été publié il me semble : http://blog.fireeye.com/research/2012/0 … r-yet.html
Flo
Hors ligne
#24 Le 03/09/2012, à 16:47
- Haleth
Re : Faille de Java....
http://www.cnetfrance.fr/news/deux-nouv … 775667.htm
Pwd, once again..
Ubuntu is an ancien African word which means "I can't configure Debian"
Because accessor & mutator are against encapsulation (one of OOP principles), good OOP-programmers do not use them. Obviously, procedural-devs do not. In fact, only ugly-devs are still using them.
Hors ligne
#25 Le 04/09/2012, à 21:03
- Hoper
Re : Faille de Java....
c'est un peu ce que je me disais...
Ca reste GRAVE.
Parce qu'avec un outil comme metasploit, n'importe qui se lance un shell sur ta machine en quelques minutes et sans y connaître grand chose. Alors ok il est pas root, mais il à un shell sur ton PC et avec TON compte. Donc accès direct à l'ensemble de tes fichiers qu'il peut télécharger, supprimer, modifier etc.
Accessoirement, puisque il à un shell avec ton compte, ca ne semble pas hyper difficile de "piéger" le compte pour récupérer le mot de passe quand toi tu lancera un shell. (Premiers scripts rigolo qu'on faisaient en premier année d'IUT... enfin de mon temps )
Mes tutos et coups de gueule :
http://hoper.dnsalias.net/atdc/
Mastodon: @hoper@framapiaf.org
Hors ligne