background preloader

Une faille dans Java et Python fragilise les firewalls

Une faille dans Java et Python fragilise les firewalls
Deux chercheurs ont découvert une faiblesse de sécurité dans Java et Python. Le premier, Alexander Klink, a trouvé une faille dans la façon dont Java gère les liens FTP. Plus exactement, il ne vérifie par la syntaxe des noms d’utilisateurs dans le protocole FTP. Dans un blog, il précise que le bug est probablement ancien. Dans le détail, il indique « RFC 959 spécifie qu’un nom d’utilisateur peut se composer d’une séquence comprenant n’importe lequel des 128 caractères ASCII sauf <CR> (retour chariot) et <LF> (saut à la ligne). Devinez ce que les spécialistes de JRE ont oublié ? Un autre chercheur, Timothy Morgan de Blindspot Security, rajoute sa touche en découvrant que ce bug dans Java et aussi présent dans certaines librairies Python (urllib et urllib2). Pour l’exploit sur Java, les utilisateurs doivent avoir installés Java en local, même si les applest Java sont désactivées dans le navigateur, avertit le chercheur. A lire aussi : Wikipédia : Java plus consulté que Steve Jobs ou Google

http://www.silicon.fr/une-faille-dans-java-et-python-fragilise-les-firewalls-169169.html

Related:  marc91

600 000 serveurs Web Microsoft IIS 6.0 menacés par un exploit zero day Un code d’exploitation d’une faille de IIS 6.0 a été publié online – sur GitHub -, rendant les attaques à grande échelle contre cette version du serveur Web de Microsoft extrêmement probables. Le problème ? La vulnérabilité en question réside dans une mouture ancienne d’Internet Information Services, qui n’est plus supportée par Redmond même si elle est toujours largement déployée. Conclusion : Microsoft ne va pas patcher cette faille, puisque le support étendu pour cette version du serveur Web s’est arrêté en juillet 2015.

Écosystème Java : découvrez les résultats de l'enquête « State of Java » 2017, réalisée par Baeldung Comme à ses habitudes, Baeldung vient de publier les résultats de son enquête intitulée « State of Java » pour l'édition 2017. Il convient de préciser que Baeldung effectue chaque année cette enquête en interrogeant de nombreux développeurs, cela afin d'avoir une meilleure lecture de l'écosystème Java. Dans le cadre de cette enquête « State of Java » en 2017, Baeldung soutient avoir interrogé 4439 développeurs qui ont bien voulu répondre à ses questions, soit presque le double de l'édition 2016 ou le nombre de développeurs interrogés se chiffrait à 2250. Les résultats de l'enquête sont présentés ci-dessous. Adoption de JavaBaeldung a tenu à rappeler que les résultats de l'enquête de 2016 montraient que Java 7 a été adopté à 29,5 % alors que Java 8 était adopté à 64,3 %.

Cisco : Des failles critiques dans des routeurs VPN par Victor Miget, le 21 juin 2016 15:09 L’équipementier Cisco a alerté ses utilisateurs à propos d’une vulnérabilité de ses routeurs VPN sans fil à destination des PME. Une situation délicate pour les clients, pourtant les corrections ne devraient pas arriver avant le 3ème trimestre... Les failles concernent plusieurs produits, le routeur RV215W Wireless-N VPN et sa version multifonction RV130W. Mais aussi le Firewall RV110W Wireless-N VPN. Un premier risque jugé critique permet à un attaquant d'exécuter un code arbitraire sur les machines avec les droits administrateurs.

Oracle transfère le développement de la spécification MVC 1.0 à la communauté Java afin qu'elle évolue en tant que composant autonome de Java EE De septembre à octobre 2016, Oracle a conduit un sondage afin d’avoir un retour de la part de la communauté Java pour les futures améliorations de Java EE 8. Après dépouillement des résultats de vote pour les 21 technologies proposées, Management 2.0, JMS 2.1 et MVC 1.0 ont été classés respectivement 18e, 19e et 21e dans le classement. Pour Oracle, ces résultats confirment le retrait des JSR (Java Specification Requests) pour Management 2.0 (JSR 373) et JMS 2.1 (JSR 368) de Java EE que la firme avait déjà entamé.

Cisco aurait développé un nouvel OS réseau Cisco aurait développé un nouvel OS réseau destiné aux… routeurs et switches vieillissants. Baptisé Lindt, l’OS n’en resterait pas moins réservé exclusivement aux seuls produits de l’équipementier américain, rapporte The Information. Le nouveau système fonctionnerait par ailleurs sur les composants d’entrée de gamme. Oracle compte livrer Java EE 8 en juillet 2017, un peu plus tôt que prévu et le même mois que le JDK 9 La première proposition pour Java EE 8 a été faite en 2014, mais comme ce fut le cas avec le JDK 9, Oracle a reconnu ne pas être en mesure de tenir sa promesse initiale de livraison de Java EE 8. Oracle avait prévu de sortir la nouvelle version de Java EE avant la JavaOne 2016, en septembre dernier. Mais un an après la première proposition pour Java EE 8, la firme de Redwood City a fait savoir que cette date ne pourrait pas être respectée et qu’elle sera donc repoussée à la première moitié de 2017. Dans un contexte marqué par des critiques à propos de la négligence d’Oracle à l’égard de sa plateforme, à la JavaOne en septembre dernier, la société a de nouveau repoussé la sortie de Java EE 8 à la fin de l’année 2017. Essayant de justifier ce nouveau report, Anil Gaur, le vice-président du groupe chargé de Java EE et WebLogic Server, a expliqué qu’Oracle souhaitait voir un bon lot de nouvelles fonctionnalités dans Java EE 8, et que les ajouter nécessitait plus de temps.

iOS 9 contourné par des hackers passant par le MDM le 01/04/2016, par Lucian Constantin / IDG News Service (adapté par Didier Barathon), Sécurité, 443 mots Selon une étude signée CheckPoint, des hackers contournent les restrictions pour le déploiement d'applications d'entreprise introduites dans iOS 9. Ils peuvent abuser du protocole de gestion des périphériques mobiles iOS pour offrir des logiciels malveillants. Le JDK 9 entre dans la deuxième phase de correction de bogues, dernière étape avant la sortie de la première release candidate prévue pour le 22 juin Maintes fois retardé par le projet Jigsaw, le JDK 9 se dirige maintenant tout droit vers une version stable. En janvier, Mark Reinhold d’Oracle a annoncé que les fonctionnalités ont été gelées ; ce qui signifie qu’à ce stade, seules les petites améliorations à faible risque qui ajoutent de petites fonctionnalités manquantes ou qui améliorent l'utilisabilité sont susceptibles d’être approuvées, en particulier lorsque les commentaires des développeurs le justifient. Le gel des fonctionnalités annonçait également le début de la première phase des tests pour le JDK 9 (Rampdown Phase 1). Deux mois après, l’architecte en chef du JDK chez Oracle, Mark Reinhold, revient pour annoncer que la deuxième phase de test (Rampdown Phase 2) a démarré, conformément au calendrier établi.

Travailler avec des serveur FTP sécurisés (SSL/TLS). FTP over SSL. Authentification en usant de certificats PEM/ASN1 ou PKCS12 Cela est peut être nouveau pour vous, mais le travail via protocole ftp (RFC959) n’est pas sûr. Pour l’authentification au serveur, un nom et un mot de passe sont utilisés qui sont passés au serveur par les commandes USER et PASS en format ouvert. En utilisant un sniffer, un intrus peut capturer ces données et donc avoir accès au serveur. La modification des commandes et données durant leur transfert entre serveur et client est aussi possible. Pour offrir de la sécurité au protocole ftp, un protocole ftp sécurisé a été développé – aussi nommé FTP over SSL (RFC2228).

JDK 9 atteint le milestone Feature Extension Complete, les JEP sont désormais implémentés et intégrés dans le master forest La sortie initiale de JDK 9 avait été annoncée pour le 22 septembre 2016. Mais Mark Reinhold, architecte en chef du JDK chez Oracle, a demandé un délai supplémentaire de six mois pour la finalisation de Jigsaw, un projet dont l’objectif est de concevoir et de mettre en œuvre un système de modules standards pour Java SE. Après validation de sa proposition, la date de sortie de Java 9 a donc été repoussée au 23 mars 2017, avec donc un décalage dans le reste du calendrier. « Nous avons fait beaucoup de progrès sur le projet Jigsaw, l’élément clé de cette version, au cours des huit derniers mois. [...]

Related: