Vidéo: Java Connect to Oracle database Made Easy (Novembre 2024)
À la lumière des récentes vulnérabilités découvertes dans Java et des préoccupations persistantes quant à la sécurité globale de la technologie, Oracle a promis - encore une fois - que cela résoudrait les problèmes.
Oracle a déjà apporté quelques modifications à Java et travaille sur de nouvelles initiatives pour améliorer la sécurité, a écrit Nandini Ramani, responsable du développement Java chez Oracle, dans un article publié vendredi. Après une série d'attaques Web très médiatisées ciblant des employés de divers secteurs, Orace s'est engagé à résoudre les problèmes sous-jacents dans l'environnement multiplate-forme.
Deux des modifications décrites dans l'article de Ramani, notamment les mises à jour du modèle de sécurité de l'applet et le comportement par défaut du plug-in Java, sont déjà actives. D'autres modifications, telles que la manière dont les applications Java traitent les certificats révoqués, l'application de stratégies de sécurité locales pour créer des règles personnalisées et la restriction des bibliothèques disponibles pour les applications côté serveur, sont en cours de développement. Ramani n'a pas indiqué quand ces mises à jour seraient disponibles.
Qu'en est-il du bac à sable?
"Globalement, c’est une bonne chose pour Java, mais ces modifications ne résolvent pas le problème sous-jacent au sandbox Java lui-même", a déclaré HD Moore, directeur de la recherche à Rapid7 et créateur du cadre de test de pénétration Metasploit, dans un communiqué. email à SecurityWatch.
Le sandbox Java est une zone protégée dans laquelle les applications sont exécutées, distincte du système sous-jacent. Le bac à sable est censé intercepter les exécutables malveillants avant qu'ils ne puissent prendre en charge la machine ou détourner des processus en cours d'exécution. Cependant, des attaquants ont réussi à exploiter plusieurs vulnérabilités afin de contourner le sandbox Java.
«Jusqu'à ce qu'Oracle mette en place un sandbox au niveau processus, tel que celui utilisé par Adobe Reader et Google Chrome, une applet malveillante avec une signature valide peut toujours exploiter les failles de sécurité de JRE pour fuir le sandbox et compromettre le système», a déclaré Moore.
Les changements jusqu'à présent
Oracle a récemment mis à jour le modèle de sécurité afin que les utilisateurs puissent exécuter des applets signés sans octroyer de privilèges supplémentaires et empêcher l'exécution des applets non signés. Cela signifie que le simple fait de signer un applet ne donne plus automatiquement au programme la possibilité de sortir du bac à sable.
"C'est une bonne chose pour la sécurité", a déclaré Moore.
Une autre bonne chose est le fait que les paramètres de sécurité par défaut du plug-in empêchent désormais l'exécution des applets non signés ou autosignés. Cette modification permet désormais d’inscrire dans la liste blanche des sites Web spécifiques et de gérer de manière centralisée les stratégies de sécurité Java dans l’entreprise, a ajouté M. Moore.
Et bientôt
Actuellement, Java prend en charge les listes de révocation de certificats (CRL) et OCSP (Online Certificate Status Protocol) pour vérifier si un certificat signé est toujours valide. Toutefois, comme la vérification n’est pas effectuée par défaut, même si un certificat avait été révoqué, les attaquants pourraient continuer à utiliser cette mauvaise certification. Oracle prévoit une mise à jour qui permettrait la vérification par défaut.
La future stratégie de sécurité locale donne aux administrateurs un contrôle supplémentaire sur les paramètres de stratégie, en permettant par exemple aux administrateurs système de définir les ordinateurs sur lesquels exécuter les applets Java et ceux qui ne le peuvent pas.
Même si tous les essais récents de Java ont affecté les applets exécutées dans le navigateur Web, Oracle explore également des moyens de garantir la sécurité des applications côté serveur, a déclaré Ramani. Un changement consisterait à supprimer certaines bibliothèques qui ne sont pas nécessaires côté serveur pour réduire la surface d'attaque.
Nouvelle planification pour les mises à jour
Oracle va également mettre à jour Java un peu plus fréquemment. Pour le moment, Java est mis à jour trois fois par an, selon un calendrier de mise à jour distinct de celui de tous les autres produits Oracle. La mise à jour trimestrielle des correctifs critiques débutera, y compris les correctifs Java, en octobre, a déclaré Ramani. Oracle continuera à publier des mises à jour d'urgence "hors bande", si nécessaire.
Considérant que le processeur est déjà un travail fastidieux pour les administrateurs, l'ajout de Java au mixage en fait une mise à jour encore plus gigantesque. En revanche, cela signifie que les administrateurs n'ont pas à se souvenir du calendrier de mise à jour distinct de Java.
