Icaunux - Le Forum

Forum de l'Association ICAUNUX

Vous n'êtes pas identifié(e).

Annonce

Les Inscriptions au forum sont temporairement désactivées en attendant de trouver une solution efficace contre les inscriptions fictives très nombreuses ces derniers temps. Si vous souhaitez vous inscrire sur le forum, merci d'envoyer une demande par mail à l'adresse contact@icaunux.org. Désolé de cette gène occasionnée.

#1 03-04-2016 12:46:43

wanica
Membre
Inscription : 13-11-2008
Messages : 2 070

Plugin Java = faille, une de plus !

Pour certains sites rétifs à l' emploi d 'opend jdk, le java libre, on est obligé d' utiliser le java d'Oracle...
Multi plateformes, multi navigateurs, il est présent sur win osx et nux  ( si installé manuellement pour ce dernier).
Jcc nous alerte sur le bug majeur ( faille de sécurité) suivant:
developpezLe 24 mars 2016, par Olivier Famien, Chroniqueur Actualités
Ce chroniqueur actu est il spécialiste ?Pas sûr ! Il effectue un raccourci tapageur et médiatique, je cite le titre: "[size=2]Une faille de Java SE permet d'accéder à distance à Windows, Solaris, Linux, et OS X sans authentification" [/size]

Pour que cette faille soit exploitée avec succès, ajoute l’éditeur, « un utilisateur non averti exécutant une version [de Java SE] dans un nPour certains sites rétifs à l' emploi d 'opend jdk, la java libre, on est obligé d' utiliser le java d'Oracle...
Multi plateformes, multi navigateurs, il est présent sur win osx et nux  ( si installé manuellement pour ce dernier).

Les versions du plug-in affectées par cette faille sont Java SE 7 Update 97, Java SE 8 Update 73 et Java SE Update 74 pour les systèmes d’exploitation Windows, Solaris, Linux, et Mac OS X.

La faille a été référencée sous le code CVE-2016-0636 et vu sa sévérité, il lui a été assigné le score de 9.3 selon le système d’évaluation des vulnérabilités CVSS (Common Vulnerability Scoring System).

Mais le site d' Oracle précise
:
This Security Alert contains 1 new security fix for Oracle Java SE.  This vulnerability is remotely exploitable without authentication, i.e., may be exploited over a network without the need for a username and password.  The English text form of this Risk Matrix can be found here.
The CVSS scores below assume that a user running a Java applet or Java Web Start application has administrator privileges (typical on Windows).

When the user does not run with administrator privileges (typical on Solaris and Linux), the corresponding CVSS impact scores for Confidentiality, Integrity, and Availability are "Partial" instead of "Complete", lowering the CVSS Base Score. For example, a Base Score of 10.0 becomes 7.5.
Quand l' utilisateur n' a pas le statut admin ( root), le niveau de gravité de l' alerte est partiel au lieu de complet. Il baisse donc de 25 % !


    This vulnerability applies to Java deployments, typically in clients running sandboxed Java Web Start applications or sandboxed Java applets, that load and run untrusted code (e.g., code that comes from the internet) and rely on the Java sandbox for security.
    This vulnerability does not apply to Java deployments, typically in servers, that load and run only trusted code (e.g., code installed by an administrator).Cette vulnérabilité ne concerne pas les serveurs, qui chargent et exécutent du code de confiance = code installé par un administrateur ( donc manuellement et intentionnellement).Soluce:
        Oracle Security Alert for CVE-2016-0636 My Oracle Support Note 2118304.1.
        Developers can download the latest release from java
        Windows users running Java SE with a browser can download the latest release from java or use automatic updates to get the latest release.
    java conseille donc la dernière version.derniere version

Recommended Version 8 Update 77

Pour win, si vous avez configuré la mise à jour automatique de java, effectuez là quand le message d' alerte clignote dans la barre des tâches.
update

What is Java Auto Update? How does automatic update work?
Java Update is a feature that keeps your Windows computer up-to-date with the latest Java releases. When you have auto update enabled, your system periodically checks for new versions of Java. When a new version is found we ask your permission to upgrade your Java installation. You can schedule how often to check for updates, or check manually at any time.
Donc

    On the Java Control panel Update tab, click Advanced
    The Automatic Update Advanced Settings dialog appears.
    Change the frequency and the date and time for the Java Update.
    Click OK. Java Update scheduler will check for newer Java updates and notify you at the scheduled frequency.

En français
    Panneau de ctrl java, muse à jour, avancé Demandez immédiat ou tous les jours !avigateur devra visiter une page web infectée qui exploite cette vulnérabilité ». Et si un tel cas de figure se produisait, cette personne exposerait « la disponibilité, l’intégrité et la confidentialité de son système ».

Les versions du plug-in affectées par cette faille sont Java SE 7 Update 97, Java SE 8 Update 73 et Java SE Update 74 pour les systèmes d’exploitation Windows, Solaris, Linux, et Mac OS X.

La faille a été référencée sous le code CVE-2016-0636 et vu sa sévérité, il lui a été assigné le score de 9.3 selon le système d’évaluation des vulnérabilités CVSS (Common Vulnerability Scoring System).
Mais le site d' Oracle précise:
This Security Alert contains 1 new security fix for Oracle Java SE.  This vulnerability is remotely exploitable without authentication, i.e., may be exploited over a network without the need for a username and password.  The English text form of this Risk Matrix can be found here.
The CVSS scores below assume that a user running a Java applet or Java Web Start application has administrator privileges (typical on Windows).

When the user does not run with administrator privileges (typical on Solaris and Linux), the corresponding CVSS impact scores for Confidentiality, Integrity, and Availability are "Partial" instead of "Complete", lowering the CVSS Base Score. For example, a Base Score of 10.0 becomes 7.5.
Quand l' utilisateur n' a pas le statut admin ( root), le niveau de gravité de l' alerte est partiel au lieu de complet. Il baisse donc de 25 % !


  1. This vulnerability applies to Java deployments, typically in clients running sandboxed Java Web Start applications or sandboxed Java applets, that load and run untrusted code (e.g., code that comes from the internet) and rely on the Java sandbox for security.
    This vulnerability does not apply to Java deployments, typically in servers, that load and run only trusted code (e.g., code installed by an administrator).Cette vulnérabilité ne concerne pas les serveurs, qui chargent et exécutent du code de confiance = code installé par un administrateur ( donc manuellement et intentionnellement).Soluce:

    java conseille donc la dernière version.linux

Recommended Version 8 Update 77

Pour win, si vous avez configuré la mise à jour automatique de java, effectuez là quand le message d' alerte clignote dans la barre des tâches.
aide java update
What is Java Auto Update? How does automatic update work?
Java Update is a feature that keeps your Windows computer up-to-date with the latest Java releases. When you have auto update enabled, your system periodically checks for new versions of Java. When a new version is found we ask your permission to upgrade your Java installation. You can schedule how often to check for updates, or check manually at any time.
Donc

  1. On the Java Control panel Update tab, click Advanced
    The Automatic Update Advanced Settings dialog appears.

  2. Change the frequency and the date and time for the Java Update.

  3. Click OK. Java Update scheduler will check for newer Java updates and notify you at the scheduled frequency.
    Panneau de ctrl java, muse à jour, avancé Demandez immédiat ou tous les jours !

Hors ligne

Pied de page des forums