Webcast Oracle - Gestion des risques liés à l'obsolescence et la sécurité de Java

Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
Gestion des risques liés à
l’obsolescence et la sécurité de Java
Live Webcast
8 janvier 2015
Pour l'audio, rejoindre la conférence
téléphonique:
• Numéro de téléphone :
01.76.72.89.36
• Code conférence : 832 168 1 #
• Mot de passe: 1234 #

Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 2
Laurent Gonzalez – Senior Sales Consultant
Oracle Cloud, Platform-as-a-Service and IoT
laurent.gonzalez@oracle.com
@LaurentLGO
Jean-Marc Hui Bon Hoa – Sales Consultant
Java and IoT
jean-marc.huibonhoa@oracle.com
@jeanmarchbh
téléphonique:
01.76.72.89.36

Safe Harbor Statement
The following is intended to outline our general product direction. It is intended for
information purposes only, and may not be incorporated into any contract. It is not a
commitment to deliver any material, code, or functionality, and should not be relied
upon in making purchasing decisions. The development, release, and timing of any
features or functionality described for Oracle’s products remains at the sole
discretion of Oracle.
3
téléphonique:
01.76.72.89.36

Agenda
1. Introduction
2. Cycle de vie de Java SE et « End of Public Update »
3. Vulnérabilités, obsolescence et « Critical Patch Updates »
4. Positions et recommandations de l’ANSSI*
5. Support Java pour les Entreprises
4
*: Agence Nationale de la Sécurité des Systèmes d’Information
téléphonique:
01.76.72.89.36

What about Java?
• #1 Programming Language (Dec. 2015 TIOBE)
• Oracle (Sun Microsystem) strong leadership and
commitment to OpenJDK
• 97% of Enterprise Desktops Run Java
• 9 Million Java Developers Worldwide
• 125 million devices run Java (TVs, SmartCards, RPi)
• Oracle has one of the most comprehensive offering
(JDK/JRE and plugin): Windows, Linux, OS X, Solaris
5
téléphonique:
01.76.72.89.36

Where is Java used in IT?
Desktop Usage
6
Server or Industrial Usage
OS
JRE JRE
JNLP/Webstart
Application
OS
JDK
Browser
Applet
Weblogic*
J2EE
Application
JDK
Websphere/JBoss
J2EE
Application
JDK
Tomcat
J2EE-like
Application
JDK
Java SE
Application
*: Java SE Advanced is included in all editions of Weblogic Server except Standard Edition

Sondage
7
 Votre intérêt dans ce Webcast concerne plutôt?
• Les postes de travails
• Les serveurs

Java SE Lifecycle
OpenJDK
Source Releases 6
6Oracle JDK
Binary Releases
u45Public Updates
7
7 u80
8 uXX
8 9
Public Updates
Public Updates
End of Public Update
Critical Patch Updates
(Most Critical Security and Bug fixes)

(End of) Public Updates
9
http://www.oracle.com/technetwork/java/eol-135779.html
Java Platform, Standard Edition (Java
SE) Major Releases
Major releases of the Java Platform,
Standard Edition (Java SE), are identified
as 5.0, 6, 7 and 8. As of the publishing of
this article, the Java technology end of
public updates policy has been clarified to
confirm public availability of Java SE
major releases for at least:
• Three years after the general
availability date (GA) of a major
release
• One year after the GA of a
subsequent major release
• Six months after a subsequent major
release has been established as the
default Java Runtime Environment
(JRE) for end-user desktops on
java.com

The average organization
has over 50 distinct
versions of Java installed.
Oracle Confidential – Internal Only 10
7%
51%
42%
1-5 years
5-10 years
10-15 years
93%
Industry research shows
that over 93% of
enterprises are running
Java version 7 or older.
Market Overview
50
$588K
Based on the Dunn
& Bradstreet
report the cost 1
hour of downtime
at a Fortune 500
companies would
be US$ 588K
Age of Java Versions in an enterprise

12
3

Sondage
12
 Quelles sont les versions de Java que vous utilisez?
• Java 8
• Java 7
• Java 1.6
• Java 1.5
• Java 1.4
• Version plus ancienne

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |
Critical Patch Updates after End of Public Update
(ex. 6u45+)
http://www.oracle.com/technetwork/topics/security/cpuoct2015-2367953.html#AppendixJAVA
Oracle Confidential – Internal/Restricted/Highly Restricted13
CVE# Component Protocol
Sub-
component
Remote
Exploit
without
Auth.?
CVSS VERSION 2.0 RISK (see Risk Matrix Definitions)
Supported
Versions
Affected
Notes
Base Score
Access
Vector
Access
Complexity
Authen-
tication
Confiden-
tiality
Integrity
Avail-
ability
CVE-2015-
4835
Java SE, Java
SE Embedded
Multiple CORBA Yes 10.0 Network Low None Complete Complete Complete
Java SE
6u101, Java
SE 7u85, Java
SE 8u60, Java
SE Embedded
8u51
See Note 1
CVE-2015-
4881
Java SE, Java
SE Embedded
Multiple CORBA Yes 10.0 Network Low None Complete Complete Complete
Java SE
6u101, Java
SE 7u85, Java
SE 8u60, Java
SE Embedded
8u51
See Note 1
CVE-2015-
4843
Java SE, Java
SE Embedded
Multiple Libraries Yes 10.0 Network Low None Complete Complete Complete
Java SE
6u101, Java
SE 7u85, Java
SE 8u60, Java
SE Embedded
8u51
See Note 1
CVE-2015-
4883
Java SE, Java
SE Embedded
Multiple RMI Yes 10.0 Network Low None Complete Complete Complete
Java SE
6u101, Java
SE 7u85, Java
SE 8u60, Java
SE Embedded
8u51
See Note 1
Example (to date): Security vulnerabiliy
that has been fixed for Java 6 and Java 7.
Note the maximum risk evaluation of 10
and the low complexity of exploit.

Recommandations de sécurité relatives aux environnements d’exécution
Java sur les postes de travail Microsoft Windows
Oracle Confidential – Internal/Restricted/Highly Restricted
« La technologie Java est aujourd’hui très répandue et utilisée par de nombreuses applications.
Celles-ci se présentent souvent sous la forme d’appliquettes exécutées depuis des clients légers (navigateurs
Web) mais peuvent aussi être des applications lourdes installées sur les postes utilisateurs.
L’exécution de ces applications nécessite l’installation préalable des environnements d’exécution Java
(appelés JRE, acronyme de Java Runtime Environment) sur les postes utilisateurs.
Il est par conséquent fréquent de voir ces JRE déployés dans les environnements professionnels.
Comme tout composant logiciel utilisé pour la navigation Web, ces environnements d’exécution Java sont
une cible privilégiée des attaquants, ils font régulièrement l’actualité informatique de par les vulnérabilités
fréquentes qui les touchent. Les recommandations du présent document s’appliquent à l’utilisation de
Java en environnement Windows.
La problématique est similaire sur les systèmes alternatifs mais la démarche de sécurisation est
potentiellement différente. »
http://www.ssi.gouv.fr/guide/recommandations-de-securite-relatives-aux-environnements-dexecution-java-sur-les-postes-
de-travail-microsoft-windows)

Les risques liés à l’obsolescence des JREs
« Les JRE sont l’objet de nombreuses vulnérabilités qui, prises en compte tardivement, sont largement
exploitées avant leur recensement et leur correction (codes d’exploitation dits « zero-day »).
En outre, leur mise à jour n’est pas nécessairement automatique. Il n’est alors pas rare que des versions
vulnérables du JRE soient à l’origine de la compromission d’un poste utilisateur et, éventuellement par
rebond, d’un système d’information complet.
Par ailleurs, force est de constater que certaines applications sont compatibles uniquement avec une
version bien précise de l’environnement d’exécution Java qui, dans la majorité des cas, est ancienne et
vulnérable. Cette situation impose alors la cohabitation de plusieurs versions du JRE sur un même poste
utilisateur et augmente potentiellement le nombre de vulnérabilités non corrigées.
La sécurité des JRE est donc un problème de taille pour le maintien en conditions de sécurité qui fait courir
des risques importants sur l’ensemble du système d’information. Il est donc primordial que les risques
soient correctement identifiés et bien appréhendés. S’ajoute à cela la faible efficacité des antivirus pour
lutter contre ces risques. »

Les risques liés à l’obsolescence des JREs (suite)
« À titre d’exemple, un code d’exploitation utilisant la vulnérabilité Java du 27 août 2012 n’était identifié
et bloqué que par moins de la moitié des logiciels antivirus du marché lors de sa parution.
Les multiples avis de sécurité et bulletins d’actualité relatifs aux vulnérabilités Java peuvent être
consultés sur le site du CERT-FR:
CERTA-2013-AVI-256 ; CERTA-2013-AVI-163 ;
CERTA-2013-AVI-142 ; CERTA-2013-AVI-092 ;
CERTA-2013-ACT-003 ;CERTA-2013-AVI-092 ;
CERTA-2012-AVI-576 ; CERTA-2012-ACT-035 ;
CERTA-2012-AVI-331 ;CERTA-2012-AVI-085 ; etc.
et plus particulièrement les alertes critiques de sécurité du 27 août 2012 et du 10 janvier 2013 relatives
à des vulnérabilités Java qui ont été massivement exploitées. »
http://www.cert.ssi.gouv.fr

Risques liés à la cohabitation de plusieurs versions de Java
« Il est possible pour une appliquette de demander à s’exécuter sur une version particulière du JRE.
Une appliquette malveillante peut par exemple choisir de s’exécuter sur une version 1.5
vulnérable
malgré la présence d’une version 1.6 à jour. Elle n’aura bien entendu d’effets que si la version 1.5
est présente. Depuis le JRE 1.6_10, ce mécanisme de sélection a été modifié afin de faire intervenir
une boite de dialogue d’avertissement, demandant à l’utilisateur d’autoriser ou non l’exécution de
l’appliquette sur une version antérieure du JRE.
Il reste néanmoins probable que l’utilisateur accepte l’exécution d’une JRE vulnérable sans
mesurer l’impact de ce choix »
• Cette problématique est désormais gérée par l’implémentation des Deployment Rulesets
• Fonctionnalité disponible gratuitement, nécessitant l’installation d’un JRE public 7u40+
• A ce jour, si vous n’utilisez pas les Deployment Ruleset, Oracle vous recommande de les
implémenter ASAP. Une étude est nécessaire, ainsi qu’un recensement manuel de l’utilisation
des versions et applications Java. Il faut également mettre à jour les procédures de déploiement
de Java sur les postes de travail.

Inventaire et recommandations
« La phase d’inventaire est indispensable pour bien appréhender la problématique de sécurisation et
aborder de manière optimale les différents cas de figure qui se présentent.
o R1: Référencer les applications Java, lourdes et légères, ainsi que leurs utilisateurs légitimes.
o R2: Référencer l’ensemble des postes de travail sur lesquels des JRE sont installés en précisant
pour chacun la version.
o R3: Repérer les postes utilisateurs sur lesquels des JRE ou des modules complémentaires Java
sont inutilement présents. »

Inventaire et recommandations
« Pour réduire la surface d’attaque, il est primordial de limiter l’installation du JRE au périmètre des postes
utilisateur requérant impérativement cet environnement. Les anomalies recensées lors de la phase
d’inventaire précédente devront faire l’objet de traitements particuliers. Trois cas de figure peuvent alors se
présenter.
o Inventaire des installation et de l’utilisation des applications Java et JREs
o Interdiction des JRE inutiles
o Configuration centralisée »

Obligations pour les Opérateurs d’Importance Vitale (OIV)
Traiter la menace et les risques
• Former leurs responsables et leurs
directeurs de la sécurité tant au niveau
central qu’au niveau local.
• Après une analyse de risques, établir un
plan de sécurité opérateur prenant en
compte les attendus de la directive
nationale de sécurité au titre de laquelle ils
ont été désignés opérateurs d’importance
vitale.
• Identifier leurs points d’importance vitale
qui feront l’objet d’un plan particulier de
protection (PPP) à leur charge et d’un plan
de protection externe (PPE) à la charge du
préfet de département.

La politique du « Business As Usual »
Case study: Espionage campaign against the UK energy sector
“ Attackers used a technique known as a ‘watering hole’ attack to distribute malware into
businesses working in the UK energy sector.
The attackers added scripts to legitimate websites frequented by energy sector staff.
Many of the websites were managed by the same web design company.
Visitors’ browsers were automatically and surreptitiously redirected to download malware
from an attacker-owned server.
The malware targeted known and patchable vulnerabilities in Java, older internet browsers,
and all but the most recent versions of Microsoft Windows.
The malware harvested visitors’ credentials and computer system information, and sent this
information back to the controllers via attacker-owned domains.”
Source: 2015 CERT-UK report "Common Cyber Attacks: Reducing The Impact”
(http://bit.ly/1M2sqkz)

Border Control-like Questionnaire (all your answers
should be « YES »)
• Do you know how much/which Java apps you are running?
• Are all your workstations up-to-date with regards to security
patching?
• How do you prevent undesirable applications to be executed?
• Do you know which JREs are used?
• How do you make sure your application is running the required Java
runtime?
• Spending significant effort when deploying JREs on a regular basis
across your IT organization?
• Running server business-critical applications on Java?
• Am I compliant with regulations and government best practices?
22

Java SE Advanced
Enterprise Support for Java SE
• Java SE Support for Security and
Bug Fixes
• MSI installers
• Advanced Management Console
– Track JRE installations and usage
– Manage & Deploy Deployment
Rulesets
• Mission Control and Flight
Recorder
23
Features

Oracle Java SE Support
Greater security & lowered risk
24
• Oracle Lifetime Support for Java SE
• Direct access to updates/patches on
My Oracle Support (MOS)
• 24x7 support, in 27 languages
• Rigorous and on-going regression testing
and fixes for versions of Java SE that have reached End of Public
Update (EoPU)
• Quick turnaround to critical issues with
access to intermediate revisions
• Security updates and bug fixes on EoPU and current releases

Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 25
Sustaining (illimited)

Microsoft Windows Installer (MSI) Enterprise JRE Installer
• Automated, customized, and consistent installation of the JRE across managed
systems.
– Silent installations / upgrades
• Available for both Windows 32 and 64 bit systems
– Makes it possible to leverage common set of features
– Rollback / Repair / Replace
Simple & Supported Customizations

Advanced Management Console
Java Tracking & Management
• Track which Java version(s) are on which systems
– Collect usage tracking for Java applications.
– Track which application is launched with which Java version
– Scan desktop systems for all installed JRE versions
– Produce reports by security exposure
• Manage version compatibility/security through Deployment Rule Sets
– Define Rules and Rule Sets and visualize their impact on the Applications in use
– Distribute the DRS files to the managed desktop systems
• Configure Java Enterprise Installers (MSI)
– Customize MSI installers
– Store MSI installers and their configuration in AMC database.

Architecture Overview
Oracle DB / MySQL

Detailed Architecture
1. Data are stored in MySQL or Oracle DB*
2-3. AMC Server runs on top of Weblogic 12c*
4. On Windows desktops, Agents run as service
5. On Linux/OS X, usage is tracked via Java
Usage Tracker
6. Administration and Reporting are available
via HTML browser
*: MySQL Community Edition is free. WebLogic license included but restricted to
AMC usage. Oracle DB License is not included

30

Know what is installed and which App uses which version
of Java
31

Easy Reporting
32

Deployment Rule Set
Secure Deployment of Java In the Browser
• Control Java execution across the whole enterprise
– Allow/Restrict applications
– Allow/Restrict version of Java SE per application
• Control security warnings
– No warnings for trusted applications
• Control JRE updates securely
– Securely allow multiple JREs on the system
– Complete control on when older JREs are allowed
33

Deployment Rule Set (included in JRE 7u40+)
Java SE
(Latest)
Java SE
6u40
Java SE
7u20
DRS
MyCRM – 6u40
CandyGame – Block
OracleForms – 7u20
Everything else – Run
CandyGame BLOCKED
Block undesired applications
to be executed

Deployment Rule Set
Java SE
(Latest)
Java SE
6u40
Java SE
7u20
DRS
MyCRM – 6u40
CandyGame – Block
Banking applet

Deployment Rule Set
Java SE
(Latest)
Java SE
6u40
Java SE
7u20
DRS
MyCRM – 6u40
CandyGame – Block
OracleForms
Ok
Force execution of an app
with a specific JRE

Sondage
37
 Utilisez-vous déjà les Deployment Rulsets?
• Oui
• J’y songe
• Non

Simply Pick from Detected Apps to Generate Rules
38

Define Block, Force, Secure, Latest Execution Rules
39

Profiling, Monitoring and Tracking the Java Platform
Zero-overhead monitoring and management of Java
40
• Java Mission Control & Flight
Recorder
– Real-time profiling and
diagnostics without
performance overheads
– “Time-machine” for back-in-
time root cause analysis and
profiling
– Intuitive, user-friendly tooling
for monitoring, diagnosing and
tuning a Java environment

En conclusion
• Les Deployement Ruleset permettent:
– Aux applications de conserver la compatibilité avec les versions obsolètes de Java
– D’éliminer les pop-ups et de mieux contrôler les versions de Java qui présentes et utilisées
• L’offre commerciale Java SE Advanced d’Oracle permet de:
– Accéder aux patches de sécurité couvrant les vulnérabilités découvertes après la fin de mise à
jour publique  Réduction des risques de vols de données, prises de contrôle à distance, et
d’interruptions de service
– Automatiser le recensement de l’usage (et pas seulement l’installation) des JREs et des
applications Java  Optimisation des efforts d’étude, d’implémentation et de maintien de la
politique sécurité Java
– Visualiser immédiatement les détails des postes et applications utilisant Java  Détection
rapide de l’utilisation de versions de Java non-autorisée. Suivi d’indicateurs Java au niveau de
la gouvernance (baisse des risques liés à la sécurité et réduction des versions obsolètes de
Java)
– Profiler et Monitorer les applications Java  Réduction du temps d’indisponibilité des
applications critiques et optimisation des performances
Oracle Confidential – Internal/Restricted/Highly Restricted 41

Getting Further with
42
https://blogs.oracle.com/java/entry/java_s_new_console_tool
https://www.youtube.com/watch?v=ZALX0zS7cpI
https://blogs.oracle.com/thejavatutorials/entry/advance
d_management_console_2_1

Appendix
Key Features of Java SE 8
44

Java SE Support
Support levels
45
Oracle helps you mitigate
security and stability risk
with regards to your most-
valueable business apps

Java SE Roadmap
Oracle Confidential – Internal/Restricted/Highly Restricted 46
JDK 8
• Lambda
• JSR 310: New Date and Time
API
• Nashorn: JavaScript
Interoperability
• JavaFX Enhancements
8u40
• Performance Improvements
• Density and Resource Management
• Multi-Language Support Improvements
• Accessibility Enhancements
• Continued Java SE Advanced Features
JDK 9
• Modularity – Jigsaw
• HTTP 2.0
• Cloud optimized JVM
• Continued Java SE Advanced
Features
• Ahead of Time Compilation
8u20
• G1 Performance Improvement
• JVM Performance Improvements
• Java Mission Control 5.4
• Advanced Management Console
1.0
• MSI Enterprise JRE Installer
8u60
• Bug Fixes
• Continued Java SE Advanced
Features
20162014 2015 2017
46

Java SE 8
At a glance
47
Key Features Benefit
Lambda expressions Easier to distribute processing of collections over multiple threads -Better
application performance with simpler code for enhanced productivity
Streams More functional programming style - Functional style programming comes to
Java - simplification and flexibility
Annotations on types Better compile time error checking - Speeds up application development process
Date and Time API Simplified API - improves developer productivity
Compact Profiles Reduced JRE size - Expands the possibilities of Java for limited footprint
environments
Nashorn JavaScript engine Better JavaScript performance - A new script engine with better performance for
Javascript users
Performance and Garbage
Collection improvements in JDK 8
Several new features and performance improvements you can take advantage of
instantly without rewriting any code in your applications.
* Not linked to any initiative

What is keeping you awake at night?
48
I need my users to
have Java SE 6
installed.
I’m responsible for
anything that
happens with our
IT.
It will cost me too
much to migrate to
Java SE 8 now.
My end users are
running old,
insecure,
versions of
Java.
My most important
systems are
running without
support.
We have an audit
next week.

Java SE Support
Support levels
49

Webcast Oracle - Gestion des risques liés à l'obsolescence et la sécurité de Java

Recommandé

Recommandé

Contenu connexe

Similaire à Webcast Oracle - Gestion des risques liés à l'obsolescence et la sécurité de Java

Similaire à Webcast Oracle - Gestion des risques liés à l'obsolescence et la sécurité de Java (20)

Webcast Oracle - Gestion des risques liés à l'obsolescence et la sécurité de Java

Notes de l'éditeur