[OSM-talk-fr] Pour info: Utilisateurs de JOSM - Mise à jour de sécurité urgente de Java (7.11)

Philippe Verdy verdy_p at wanadoo.fr
Mer 16 Jan 00:15:17 UTC 2013


OpenJDK et IcedTea sont bien affectés aussi (confirmé hier soir):
http://www.us-cert.gov/cas/techalerts/TA13-010A.html
mais pas le JDK et le JRE distribués par IBM.

Si Oracle dit que la version 6 n'est pas affectée, c'est parce qu'une
nouvelle méthode du JRE 7 ajoutant un flag booléen permissif n'y était pas
présente dans la version précédente, mais il y a d'autres chemins possibles
sans cette méthode (les autres JRE/JDK peuvent avoir aussi leur propre code
pour implémenter Reflexion et le classloader, cette méthode n'était pas
partie de l'API officielle mais fait partie de la "cuisine interne" du JRE
: tout dépend des autorisations d'appels des APIs qu'ils laissent passer ou
pas avec un certificat non signé ou auto-signé). C'est cette nouvelle
méthode qui a été utilisée lors de la première attaque "zero-day" détectée
dès les premiers jours de janvier.
-------------- section suivante --------------
Une pièce jointe HTML a été nettoyée...
URL: <http://lists.openstreetmap.org/pipermail/talk-fr/attachments/20130116/86c75429/attachment.htm>


Plus d'informations sur la liste de diffusion Talk-fr