Oracle corrige les failles de ses produits… et de Java. Oracle vient de livrer son Critical Patch Update d’avril, comprenant la correction d’une foule de failles de sécurité critiques, présentes dans plusieurs de ses produits. Commençons par les offres les plus connues : Oracle Database : 5 failles, dont 2 exploitables à distance ;E-Business Suite : 7 failles, dont 6 exploitables à distance ;Fusion Middleware : 22 failles, dont 21 exploitables à distance ;MySQL : 31 failles, dont 4 exploitables à distance ;Oracle Linux & Virtualization : 4 failles, dont 3 exploitables à distance.
Poursuivons avec les autres produits d’Oracle : Terminons par Java, pour lequel 9 failles sont corrigées, toutes étant critiques et exploitables à distance. Autant dire que cette offre – largement installée sur les PC desktops – devra être mise à jour sans tarder. À cet effet, Java SE passe en mouture 8u91. Java SE 8u92 est aussi présenté, avec des fonctionnalités permettant de choisir de quitter la JVM lorsque la mémoire système vient à manquer. API Java : Oracle réclame à Google 9 milliards de dollars. Oracle veut obtenir 9,3 milliards de dollars de dommages et intérêts pour l’utilisation par Google de Java dans Android.
Propriétaire de Java depuis le rachat de Sun Microsystems, en 2010, Oracle accuse Google d’utiliser sans contrepartie financière des interfaces de programmation (API) Java dans son OS mobile. Oracle a déposé plainte en août 2010. Et la machine s’est emballée depuis. En mai 2012, Google a remporté une victoire. En mai 2014, une cour d’appel a donné raison à Oracle, cette fois-ci, estimant que la violation était avérée. C’est dans ce contexte, que les deux parties affrontent à nouveau leurs arguments. Dans un document qui alimente le dossier, un « expert » présenté par Oracle a estimé ce montant à 9,3 milliards de dollars. Lire aussi : Android/Java : Google en appelle à la Cour Suprême crédit photo © vchal / Shutterstock.com. Oracle corrige une faille critique dans Java SE 8. Oracle vient de livrer une nouvelle mouture de Java SE 8, l’update 77 (Java SE 8u77).
La firme recommande aux utilisateurs de basculer rapidement vers cette nouvelle version. Et pour cause, puisqu’elle corrige une faille de sécurité d’un niveau critique. Cette vulnérabilité est accessible à distance, sans authentification, et ce sous Windows, OS X, Linux et Solaris. Elle touche le greffon Java présent dans les navigateurs web (celui-là même qu’Oracle va enfin supprimer avec Java 9, voir « Oracle creuse la tombe du plug-in Java pour les navigateurs »). « Cette vulnérabilité n’est pas applicable aux déploiements Java, généralement dans des serveurs ou des applications desktop autonomes. Il est à noter que Java SE 8u73 et 8u74 ne sont pas les seuls à être touchés par cette vulnérabilité. L’environnement d’exécution intégré à Java SE 8u77 dispose d’une date de péremption, fixée au 19 avril 2016, soit lors de la sortie du prochain critical patch update d’Oracle.
À lire aussi : Java + Eclipse, couple star de la programmation. D’après l’indice Tiobe Software, Java est le langage de programmation le plus populaire sur la Toile, devant C, C++, C# et Python. PYPL (PopularitY of Programming Language) livre une copie assez différente sur novembre 2015. Il s’appuie sur Google Trends pour livrer son classement des langages de programmation les plus médiatiques. Java demeure le numéro un du secteur (24,4 % des requêtes). C’est toutefois Python (11,3 %) et PHP (10,9 %) qui occupent les seconde et troisième places du classement. Le trio C#, C++ et C suit dans le classement PYPL. Avec 29,52 % des requêtes, Eclipse reste l’environnement de développement le plus populaire de la Toile.
En troisième position se trouve Vim, éditeur de texte certes avancé, mais d’une autre époque face aux IDE modernes. Crédit photo : © Mike Kiev – Fotolia.com. Oracle corrige 154 failles dans Database, Fusion, Java... Oracle livre son Critical Patch Update trimestriel. La firme corrige pas moins de 154 failles de sécurité de nombre de ses produits. Sont concernés : Oracle Database, Java SE, MySQL, Oracle Fusion Middleware, Oracle Industry Applications (dont Oracle Communications Applications et Oracle Retail Applications), Hyperion, Oracle Enterprise Manager, E-Business Suite, Oracle Supply Chain Products Suite, PeopleSoft Enterprise, Siebel CRM, Sun Systems Products Suite, Pillar Axiom et Virtualization. Certaines vulnérabilités ont décroché le score maximal de 10.0. Cela signifie qu’elles sont exploitables à distance, sans authentification préalable et que leur utilisation compromettra entièrement le système. Java et MySQL « à l’honneur » Autre morceau de choix, Java SE, avec 25 vulnérabilités, dont 24 sont exploitables à distance sans authentification préalable et 7 décrochent la fameuse note de 10.
Notez qu’il nous a fallu mettre à jour manuellement Java SE. Poursuivons : À lire aussi : Faille Java : JBoss, Jenkins, Weblogic et Websphere en danger. Une société de sécurité, Foxglove Security (spécialisée dans les tests de pénétration), publie plusieurs codes (exploit) permettant de mettre à profit une faille critique dans une bibliothèque Java largement utilisée, issue des Apache Commons. Cette vulnérabilité, qui autorise l’exécution de code à distance, touche par ricochet de nombreux produits commerciaux, dont Weblogic, Websphere, JBoss, Jenkins ou OpenNMS. « La faille la plus sous-estimée de 2015, la moins relayée dans les médias a récemment attiré mon attention, écrit Stephen Breen, l’un des dirigeants de Foxglove Security dans un billet de blog.
Personne ne lui a donné un joli nom de baptême, il n’y a pas eu de communiqué de presse, ni de recours à Mandiant pour éteindre l’incendie. En fait, même si un prototype de code d’exploitation de cette faille a été dévoilé il y a plus de 9 mois, aucun des produits mentionnés n’a été patché, ni tous les autres qui sont également concernés d’ailleurs. A lire aussi : JetBrains intègre Kotlin dans son IDE Java IntelliJ IDEA. L’éditeur tchèque JetBrains livre l’édition 2016.1 de plusieurs de ses outils de développement. C’est bien évidemment le produit phare de la société, IntelliJ IDEA (Java) qui sera au cœur des attentions des développeurs. La mouture 2016.1 de cette offre propose le support du langage de programmation Kotlin, récemment passé en version 1.0. Voir à ce propos notre article « Le super Java Kotlin débarque en version 1.0 ». Le support de Java 8 est également en progrès, tout comme celui du framework Spring. De nouveaux outils sont intégrés dans l’IDE, tel un terminal pour accéder à la ligne de commande et Docker.
Autre produit phare de la firme, WebStorm 2016.1 (JavaScript) simplifie l’édition et la refactorisation du code JavaScript et TypeScript. Node.js et le framework Angular 2 sont également mieux pris en charge. PhpStorm 2016.1 (PHP) est l’autre solution JetBrains directement dédiée aux développeurs web. Le super Java Kotlin débarque en version 1.0. L’éditeur tchèque JetBrains présente aujourd’hui la première mouture stable du langage de programmation Open Source Kotlin. Présenté initialement mi 2011, Kotlin se voulait à l’époque « plus simple que Scala et plus évolué que Java ». Si Kotlin génère du code exécutable par une machine virtuelle Java et peut interagir avec du code Java, il ne s’en veut pas un remplaçant.
Sa syntaxe est proche, mais enrichie d’éléments fonctionnels permettant de rendre le code plus compact et de limiter l’apparition d’erreurs. Début 2014, Eugene Toporov, responsable marketing de JetBrains, nous confiait que la société utilisait déjà cette solution en interne pour certains de ses logiciels. « L’avantage que nous tirons de Kotlin est une base de code plus concise, réduite et lisible », résumait-il alors (l’intégralité de l’interview est accessible ici). Sa compatibilité à 100 % avec le code issu de Java, librairies incluses, permet à Kotlin de disposer d’entrée de jeu de multiples frameworks. Oracle met à jour ses JDK et JRE Java 8. Une nouvelle version de Java 8 est livrée aujourd’hui. L’environnement d’exécution Java 8u71 corrige huit failles de sécurité, dont sept pouvant être exploitées à distance sans authentification.
La mise à jour de l’application devra donc être réalisée sans tarder. Le JRE 8u71 est proposé par Oracle pour Windows, OS X, Linux et Solaris. La firme adopte une nouvelle politique de sécurité pour le JRE (Java Runtime Environment). Ce dernier expirera en effet lors de la sortie de la prochaine version corrigeant des failles de sécurité. Bref, le 19 avril 2016, lors du prochain ‘critical patch update’. Si aucune faille de sécurité ne venait à être corrigée le 19 avril (ou si l’ordinateur ne peut accéder aux serveurs de mise à jour d’Oracle), le JRE expirera le 19 mai.
Le JDK (Java Development Kit) est pour sa part proposé en deux versions. Il est probable cependant que ce modèle à deux JDK va se pérenniser et donnera lieu à plus d’évolutions fonctionnelles dans le futur. Oracle : 98 patchs de sécurité, arrêt du support gratuit de Java 7 - ZDNet. Les responsables informatiques ont du boulot. Outre un Patch Tuesday de Microsoft bien fourni, il faudra également s'atteler à mettre à jour les produits Oracle.
L'éditeur a en effet livré son bulletin trimestriel de sécurité qui contient pas moins de 98 patchs. MySQL est concerné en premier lieu avec 26 rustines, suivi de Fusion Middleware, Supply Chain Suite, PeopleSoft Enterprise, E-Business Suite, Database, Commerce Platform, Retail Industry Suite, Health Sciences Applications, JDEdwards EnterpriseOne, et Siebel CRM. Le module Java s'offre de son côté 14 correctifs de sécurité dont trois se hissent à 10 sur l'échelle Common Vulnerability Scoring System (CVSS), soit le niveau de gravité le plus élevé, permettant une exploitation à distance sans authentification. Oracle souligne également qu'il fournit ici la dernière mise à jour gratuite de Java 7. Mais Java reste un langage très utilisé et très populaire. Java SE sur le Raspberry Pi (dossier – partie 2) Poursuivons notre série consacrée au Raspberry Pi et le développement.
Le Raspberry Pi a droit à un traitement de faveur de la part d’Oracle. La firme propose en général des versions embarquées de Java pour les machines ARM. Java Micro Edition, Java Micro Edition Embedded et Java Standard Edition Embedded sont assez largement accessibles sur plate-forme ARM, mais pas le Java Standard Edition si commun au monde x86. Sauf sur Raspberry Pi. Oracle propose en effet une version du JDK adaptée aux machines Linux pourvues d’un processeur ARMv6 ou v7. Dans la pratique, ce sont toutefois les Raspberry Pi 1 et 2 qui sont directement visés par cette offre. On retrouve en effet mention du Raspberry Pi dans toute la documentation liée à cette solution. Version complète et standard de Java SE 8, cette mouture de Java propose tous les raffinements existants sur les machines traditionnelles, dont le support graphique et JavaFX. Pour le middleware c’est Red Hat Oracle aime le Raspberry Pi.
Oracle fête les 20 ans de Java… avec IBM. Oracle fête aujourd’hui un anniversaire un peu particulier : les 20 ans de Java. Rappelons que ce dernier est à la fois un langage de programmation et un environnement d’exécution multiplateforme. « Java s’est développé pour devenir aujourd’hui l’une des technologies les plus importantes et les plus incontournables de notre industrie.
Ceux qui ont choisi Java ont été maintes fois récompensés par l’amélioration constante de ses performances, de son évolutivité, de sa fiabilité, de sa compatibilité et de ses fonctionnalités, » explique Georges Saab, vice-président du développement au sein du Java Platform Group chez Oracle. La simplicité d’emploi du langage (vu parfois – dans le bon sens du terme – comme un Visual Basic pour les pros) et l’appui de grands acteurs de l’industrie ont permis une montée en puissance très rapide de cette offre au sein des entreprises. Si Java s’est rapidement imposé dans les applications métiers, son succès a été plus limité dans le monde desktop classique. Sécurité : Oracle publie les derniers correctifs publics de Java 7. Aussi réglé que le Patch Tuesday de Microsoft, le Critical Patch Update d’Oracle vient de tomber. L’édition d’avril 2015 recense 98 correctifs de sécurité. Dans le détail, MySQL est l’offre la plus corrigée (26 patchs), suivie de Fusion Middleware (17), Supply Chain Suite (7), PeopleSoft Enterprise (6), E-Business Suite (4) , Database (4), Commerce Platform (2), Retail Industry Suite (2), Health Sciences Applications (1), JDEdwards EnterpriseOne (1), Siebel CRM (1).
Certaines des failles corrigées étaient exploitables à distance sans authentification. On notera que Java comprend 14 correctifs de sécurité. Ils comblent notamment 3 failles disposant d’un score de 10 sur l’échelle du Common Vulnerability Scoring System (CVSS). Cela signifie que leur exploitation peut s’effectuer à distance sans authentification avec la capacité de modifier la sécurité et l’intégrité des systèmes.
Avec cette mise à jour de sécurité, il s’agit du dernier update gratuit pour Java 7. A lire aussi : Première grosse mise à jour pour Java 8. La vague Java 8 a été officialisée en mars dernier. Voir à ce propos notre précédent article « Oracle Java SE 8 fait son entrée, sur les serveurs et dans l’embarqué ». Une version complétée par la sortie de Java ME 8 en mai (voir « Avec Java ME 8, Oracle cible l’Internet des objets »). Oracle opère aujourd’hui la première mise à jour de Java 8, avec la sortie du JDK 8u20 (Java Development Kit 8 Update 20).
Première nouveauté, l’intégration de Java Advanced Management Console 1.0, qui permet de contrôler finement les instances de Java. Un outil qui pourra être utilisé par les administrateurs système, qui seront alors en mesure de centraliser la gestion des versions et des mises à jour de Java, mais également par les éditeurs de logiciels proposant des solutions s’appuyant sur Java. Autre nouveauté, la fourniture de packages d’installation MSI pour le JRE (Java Runtime Environment), et ce en versions Windows 32 bits et 64 bits. Java 8 fait (enfin) son entrée sur www.java.com. C’est un petit événement qui touche aujourd’hui la communauté Java. Les visiteurs du site www.java.com se verront maintenant proposer la version 8 de l’environnement d’exécution Java. Plus précisément, le JRE 8 Update 25. Le JRE est proposé sur le site www.java.com pour Windows (32 bits et 64 bits), OS X (64 bits), Linux (x86 32 bits et 64 bits) et Solaris (x86 64 bits et Sparc 64 bits).
Avec cette annonce, Oracle lance officiellement la transition vers Java 8. Rappelons en effet que ce sont les utilisateurs finaux de solutions Java qui se rendent en général sur le site www.java.com. La firme signale par ailleurs que Java 7 ne sera plus mis à jour après avril 2015. La durée de vie de Java 8, et de ses successeurs, se veut plus réduite. Les entreprises et les éditeurs pourront toutefois opter pour une offre commerciale de support, leur permettant de porter la durée de vie de Java 8 à 11 ans, soit jusqu’en mars 2025. Sur le même thème Crédit photo : © Nikolai Sorokin – Fotolia.com. Java : langage informatique orienté objet, actualités | Silicon.fr. Java : actualités avec JDN. Java : Toute l'Actualité du monde informatique sur Java. Club francophone des développeurs Java : actualités, forums avec sondages et débats, cours, faq, blogs, critiques de livres.
Java (@java) | Twitter.