background preloader

Veille technologique Java

Facebook Twitter

Oracle corrige les failles de ses produits… et de Java. Oracle vient de livrer son Critical Patch Update d’avril, comprenant la correction d’une foule de failles de sécurité critiques, présentes dans plusieurs de ses produits.

Oracle corrige les failles de ses produits… et de Java

Commençons par les offres les plus connues : Oracle Database : 5 failles, dont 2 exploitables à distance ;E-Business Suite : 7 failles, dont 6 exploitables à distance ;Fusion Middleware : 22 failles, dont 21 exploitables à distance ;MySQL : 31 failles, dont 4 exploitables à distance ;Oracle Linux & Virtualization : 4 failles, dont 3 exploitables à distance. Poursuivons avec les autres produits d’Oracle : Terminons par Java, pour lequel 9 failles sont corrigées, toutes étant critiques et exploitables à distance.

Autant dire que cette offre – largement installée sur les PC desktops – devra être mise à jour sans tarder. API Java : Oracle réclame à Google 9 milliards de dollars. Oracle veut obtenir 9,3 milliards de dollars de dommages et intérêts pour l’utilisation par Google de Java dans Android.

API Java : Oracle réclame à Google 9 milliards de dollars

Propriétaire de Java depuis le rachat de Sun Microsystems, en 2010, Oracle accuse Google d’utiliser sans contrepartie financière des interfaces de programmation (API) Java dans son OS mobile. Oracle a déposé plainte en août 2010. Et la machine s’est emballée depuis. En mai 2012, Google a remporté une victoire. Un tribunal de San Francisco ayant rejeté l’accusation de violation de brevets, mais retenu l’argument de Google selon lequel les API Java n’étaient ni propriétaires, ni protégées (Sun avait publié le code source du logiciel en 2006, et Google a développé sa propre version de Java). En mai 2014, une cour d’appel a donné raison à Oracle, cette fois-ci, estimant que la violation était avérée. C’est dans ce contexte, que les deux parties affrontent à nouveau leurs arguments. Lire aussi : Oracle corrige une faille critique dans Java SE 8. Oracle vient de livrer une nouvelle mouture de Java SE 8, l’update 77 (Java SE 8u77).

Oracle corrige une faille critique dans Java SE 8

La firme recommande aux utilisateurs de basculer rapidement vers cette nouvelle version. Et pour cause, puisqu’elle corrige une faille de sécurité d’un niveau critique. Cette vulnérabilité est accessible à distance, sans authentification, et ce sous Windows, OS X, Linux et Solaris. Elle touche le greffon Java présent dans les navigateurs web (celui-là même qu’Oracle va enfin supprimer avec Java 9, voir « Oracle creuse la tombe du plug-in Java pour les navigateurs »). « Cette vulnérabilité n’est pas applicable aux déploiements Java, généralement dans des serveurs ou des applications desktop autonomes. Il est à noter que Java SE 8u73 et 8u74 ne sont pas les seuls à être touchés par cette vulnérabilité. L’environnement d’exécution intégré à Java SE 8u77 dispose d’une date de péremption, fixée au 19 avril 2016, soit lors de la sortie du prochain critical patch update d’Oracle. Java + Eclipse, couple star de la programmation.

D’après l’indice Tiobe Software, Java est le langage de programmation le plus populaire sur la Toile, devant C, C++, C# et Python.

Java + Eclipse, couple star de la programmation

PYPL (PopularitY of Programming Language) livre une copie assez différente sur novembre 2015. Il s’appuie sur Google Trends pour livrer son classement des langages de programmation les plus médiatiques. Java demeure le numéro un du secteur (24,4 % des requêtes). C’est toutefois Python (11,3 %) et PHP (10,9 %) qui occupent les seconde et troisième places du classement.

Les offres dédiées au web sont donc bien présentes, même si nous notons une chute de PHP. Le trio C#, C++ et C suit dans le classement PYPL. Oracle corrige 154 failles dans Database, Fusion, Java... Oracle livre son Critical Patch Update trimestriel.

Oracle corrige 154 failles dans Database, Fusion, Java...

Faille Java : JBoss, Jenkins, Weblogic et Websphere en danger. Une société de sécurité, Foxglove Security (spécialisée dans les tests de pénétration), publie plusieurs codes (exploit) permettant de mettre à profit une faille critique dans une bibliothèque Java largement utilisée, issue des Apache Commons.

Faille Java : JBoss, Jenkins, Weblogic et Websphere en danger

Cette vulnérabilité, qui autorise l’exécution de code à distance, touche par ricochet de nombreux produits commerciaux, dont Weblogic, Websphere, JBoss, Jenkins ou OpenNMS. « La faille la plus sous-estimée de 2015, la moins relayée dans les médias a récemment attiré mon attention, écrit Stephen Breen, l’un des dirigeants de Foxglove Security dans un billet de blog. Personne ne lui a donné un joli nom de baptême, il n’y a pas eu de communiqué de presse, ni de recours à Mandiant pour éteindre l’incendie. En fait, même si un prototype de code d’exploitation de cette faille a été dévoilé il y a plus de 9 mois, aucun des produits mentionnés n’a été patché, ni tous les autres qui sont également concernés d’ailleurs.

A lire aussi : JetBrains intègre Kotlin dans son IDE Java IntelliJ IDEA. L’éditeur tchèque JetBrains livre l’édition 2016.1 de plusieurs de ses outils de développement.

JetBrains intègre Kotlin dans son IDE Java IntelliJ IDEA

C’est bien évidemment le produit phare de la société, IntelliJ IDEA (Java) qui sera au cœur des attentions des développeurs. La mouture 2016.1 de cette offre propose le support du langage de programmation Kotlin, récemment passé en version 1.0. Voir à ce propos notre article « Le super Java Kotlin débarque en version 1.0 ». Le support de Java 8 est également en progrès, tout comme celui du framework Spring.

De nouveaux outils sont intégrés dans l’IDE, tel un terminal pour accéder à la ligne de commande et Docker. Autre produit phare de la firme, WebStorm 2016.1 (JavaScript) simplifie l’édition et la refactorisation du code JavaScript et TypeScript. PhpStorm 2016.1 (PHP) est l’autre solution JetBrains directement dédiée aux développeurs web. Le super Java Kotlin débarque en version 1.0. L’éditeur tchèque JetBrains présente aujourd’hui la première mouture stable du langage de programmation Open Source Kotlin.

Le super Java Kotlin débarque en version 1.0

Présenté initialement mi 2011, Kotlin se voulait à l’époque « plus simple que Scala et plus évolué que Java ». Si Kotlin génère du code exécutable par une machine virtuelle Java et peut interagir avec du code Java, il ne s’en veut pas un remplaçant. Sa syntaxe est proche, mais enrichie d’éléments fonctionnels permettant de rendre le code plus compact et de limiter l’apparition d’erreurs. Début 2014, Eugene Toporov, responsable marketing de JetBrains, nous confiait que la société utilisait déjà cette solution en interne pour certains de ses logiciels. « L’avantage que nous tirons de Kotlin est une base de code plus concise, réduite et lisible », résumait-il alors (l’intégralité de l’interview est accessible ici). Oracle met à jour ses JDK et JRE Java 8. Une nouvelle version de Java 8 est livrée aujourd’hui.

Oracle met à jour ses JDK et JRE Java 8

L’environnement d’exécution Java 8u71 corrige huit failles de sécurité, dont sept pouvant être exploitées à distance sans authentification. La mise à jour de l’application devra donc être réalisée sans tarder. Le JRE 8u71 est proposé par Oracle pour Windows, OS X, Linux et Solaris. La firme adopte une nouvelle politique de sécurité pour le JRE (Java Runtime Environment). Oracle : 98 patchs de sécurité, arrêt du support gratuit de Java 7 - ZDNet. Les responsables informatiques ont du boulot.

Oracle : 98 patchs de sécurité, arrêt du support gratuit de Java 7 - ZDNet

Java SE sur le Raspberry Pi (dossier – partie 2) Poursuivons notre série consacrée au Raspberry Pi et le développement. Le Raspberry Pi a droit à un traitement de faveur de la part d’Oracle. La firme propose en général des versions embarquées de Java pour les machines ARM. Java Micro Edition, Java Micro Edition Embedded et Java Standard Edition Embedded sont assez largement accessibles sur plate-forme ARM, mais pas le Java Standard Edition si commun au monde x86.

Sauf sur Raspberry Pi. Oracle propose en effet une version du JDK adaptée aux machines Linux pourvues d’un processeur ARMv6 ou v7. Oracle fête les 20 ans de Java… avec IBM. Oracle fête aujourd’hui un anniversaire un peu particulier : les 20 ans de Java. Rappelons que ce dernier est à la fois un langage de programmation et un environnement d’exécution multiplateforme. « Java s’est développé pour devenir aujourd’hui l’une des technologies les plus importantes et les plus incontournables de notre industrie. Ceux qui ont choisi Java ont été maintes fois récompensés par l’amélioration constante de ses performances, de son évolutivité, de sa fiabilité, de sa compatibilité et de ses fonctionnalités, » explique Georges Saab, vice-président du développement au sein du Java Platform Group chez Oracle. La simplicité d’emploi du langage (vu parfois – dans le bon sens du terme – comme un Visual Basic pour les pros) et l’appui de grands acteurs de l’industrie ont permis une montée en puissance très rapide de cette offre au sein des entreprises.

Si Java s’est rapidement imposé dans les applications métiers, son succès a été plus limité dans le monde desktop classique. Sécurité : Oracle publie les derniers correctifs publics de Java 7. Aussi réglé que le Patch Tuesday de Microsoft, le Critical Patch Update d’Oracle vient de tomber. L’édition d’avril 2015 recense 98 correctifs de sécurité. Dans le détail, MySQL est l’offre la plus corrigée (26 patchs), suivie de Fusion Middleware (17), Supply Chain Suite (7), PeopleSoft Enterprise (6), E-Business Suite (4) , Database (4), Commerce Platform (2), Retail Industry Suite (2), Health Sciences Applications (1), JDEdwards EnterpriseOne (1), Siebel CRM (1).

Certaines des failles corrigées étaient exploitables à distance sans authentification. On notera que Java comprend 14 correctifs de sécurité. Ils comblent notamment 3 failles disposant d’un score de 10 sur l’échelle du Common Vulnerability Scoring System (CVSS). Première grosse mise à jour pour Java 8. La vague Java 8 a été officialisée en mars dernier. Voir à ce propos notre précédent article « Oracle Java SE 8 fait son entrée, sur les serveurs et dans l’embarqué ».

Java 8 fait (enfin) son entrée sur www.java.com. C’est un petit événement qui touche aujourd’hui la communauté Java. Les visiteurs du site www.java.com se verront maintenant proposer la version 8 de l’environnement d’exécution Java. Plus précisément, le JRE 8 Update 25. Le JRE est proposé sur le site www.java.com pour Windows (32 bits et 64 bits), OS X (64 bits), Linux (x86 32 bits et 64 bits) et Solaris (x86 64 bits et Sparc 64 bits). Java : langage informatique orienté objet, actualités. Java : actualités avec JDN. Partager cet article Partager Tweet. Java : Toute l'Actualité du monde informatique sur Java. Le 09 Février 2016 Logiciels Failles Java : pourquoi il faut supprimer les installeurs obsolétes Les anciennes versions du programme d'installation de Java étaient vulnérables à une attaque dite d'implantation de code binaire dans le dossier « Tél... Le 29 Janvier 2016 Logiciel Oracle a prévu de tuer son plug-in Java dans JDK 9 Dans un an environ, le plug-in Java pour navigateur, cible favorite des pirates pour mener des attaques basées sur le Web, sera mis à la retraite.

Ora... Club francophone des développeurs Java : actualités, forums avec sondages et débats, cours, faq, blogs, critiques de livres. Java (@java)