Webcast Oracle - Gestion des risques liés à l'obsolescence et la sécurité de Java

Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |

Gestion des risques liés à l’obsolescence et la sécurité de JavaLive Webcast8 janvier 2015

Pour l'audio, rejoindre la conférence téléphonique:

• Numéro de téléphone : 01.76.72.89.36

• Code conférence : 832 168 1 #• Mot de passe: 1234 #

Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 2

Laurent Gonzalez – Senior Sales Consultant Oracle Cloud, Platform-as-a-Service and [email protected] @LaurentLGO

Jean-Marc Hui Bon Hoa – Sales Consultant Java and [email protected] @jeanmarchbh


• Numéro de téléphone : 01.76.72.89.36• Code conférence : 832 168 1 #• Mot de passe: 1234 #

mailto:[email protected]

mailto:[email protected]


Safe Harbor StatementThe following is intended to outline our general product direction. It is intended for information purposes only, and may not be incorporated into any contract. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. The development, release, and timing of any features or functionality described for Oracle’s products remains at the sole discretion of Oracle.

3




Agenda

1. Introduction

2. Cycle de vie de Java SE et « End of Public Update »

3. Vulnérabilités, obsolescence et « Critical Patch Updates »

4. Positions et recommandations de l’ANSSI*

5. Support Java pour les Entreprises

4

*: Agence Nationale de la Sécurité des Systèmes d’Information




What about Java?• #1 Programming Language (Dec. 2015 TIOBE)• Oracle (Sun Microsystem) strong leadership and

commitment to OpenJDK• 97% of Enterprise Desktops Run Java• 9 Million Java Developers Worldwide• 125 million devices run Java (TVs, SmartCards, RPi)• Oracle has one of the most comprehensive offering

(JDK/JRE and plugin): Windows, Linux, OS X, Solaris

5




Where is Java used in IT?

Desktop Usage

6

Server or Industrial Usage

OS

JRE JRE

JNLP/WebstartApplication

OS

JDK

Browser

Applet

Weblogic*

J2EEApplication

JDK

Websphere/JBoss

J2EEApplication

JDK

Tomcat

J2EE-likeApplication

JDK

Java SEApplication

*: Java SE Advanced is included in all editions of Weblogic Server except Standard Edition


Sondage

7

Votre intérêt dans ce Webcast concerne plutôt?• Les postes de travails• Les serveurs


Java SE Lifecycle

OpenJDKSource Releases 6

6Oracle JDKBinary Releases u45Public Updates

7

7 u80

8 uXX

8 9

Public Updates

Public Updates

End of Public Update

Critical Patch Updates(Most Critical Security and Bug fixes)


(End of) Public Updates

http://www.oracle.com/technetwork/java/eol-135779.html

Java Platform, Standard Edition (Java SE) Major ReleasesMajor releases of the Java Platform, Standard Edition (Java SE), are identified as 5.0, 6, 7 and 8. As of the publishing of this article, the Java technology end of public updates policy has been clarified to confirm public availability of Java SE major releases for at least:

• Three years after the general availability date (GA) of a major release

• One year after the GA of a subsequent major release

• Six months after a subsequent major release has been established as the default Java Runtime Environment (JRE) for end-user desktops on java.com





The average organization has over 50 distinct versions of Java installed.

Oracle Confidential – Internal Only 10

7%

51%

42%1-5 years5-10 years10-15 years

93% Industry research shows

that over 93% of enterprises are running Java version 7 or older.

Market Overview

50

$588K Based on the Dunn & Bradstreet report the cost 1 hour of downtime at a Fortune 500 companies would be US$ 588K

Age of Java Versions in an enterprise


12

3


Sondage

12

Quelles sont les versions de Java que vous utilisez?• Java 8• Java 7• Java 1.6• Java 1.5• Java 1.4• Version plus ancienne

Copyright © 2014, Oracle and/or its affiliates. All rights reserved. |

Critical Patch Updates after End of Public Update (ex. 6u45+)

http://www.oracle.com/technetwork/topics/security/cpuoct2015-2367953.html#AppendixJAVA

Oracle Confidential – Internal/Restricted/Highly Restricted 13

CVE# Component Protocol Sub-component

Remote Exploit without Auth.?

CVSS VERSION 2.0 RISK (see Risk Matrix Definitions)Supported Versions Affected

NotesBase Score Access Vector

Access Complexity

Authen-tication

Confiden-tiality Integrity Avail-

ability

CVE-2015-4835

Java SE, Java SE Embedded Multiple CORBA Yes 10.0 Network Low None Complete Complete Complete

Java SE 6u101, Java

SE 7u85, Java SE 8u60, Java SE Embedded

8u51

See Note 1

CVE-2015-4881

Java SE, Java SE Embedded Multiple CORBA Yes 10.0 Network Low None Complete Complete Complete

Java SE 6u101, Java


8u51

See Note 1

CVE-2015-4843

Java SE, Java SE Embedded Multiple Libraries Yes 10.0 Network Low None Complete Complete Complete

Java SE 6u101, Java


8u51

See Note 1

CVE-2015-4883

Java SE, Java SE Embedded Multiple RMI Yes 10.0 Network Low None Complete Complete Complete

Java SE 6u101, Java


8u51

See Note 1

Example (to date): Security vulnerabiliy that has been fixed for Java 6 and Java 7.

Note the maximum risk evaluation of 10 and the low complexity of exploit.



http://www.oracle.com/technetwork/topics/security/advisorymatrixglossary-101807.html


Recommandations de sécurité relatives aux environnements d’exécution Java sur les postes de travail Microsoft Windows

Oracle Confidential – Internal/Restricted/Highly Restricted

« La technologie Java est aujourd’hui très répandue et utilisée par de nombreuses applications.Celles-ci se présentent souvent sous la forme d’appliquettes exécutées depuis des clients légers (navigateurs Web) mais peuvent aussi être des applications lourdes installées sur les postes utilisateurs.

L’exécution de ces applications nécessite l’installation préalable des environnements d’exécution Java (appelés JRE, acronyme de Java Runtime Environment) sur les postes utilisateurs. Il est par conséquent fréquent de voir ces JRE déployés dans les environnements professionnels.

Comme tout composant logiciel utilisé pour la navigation Web, ces environnements d’exécution Java sont une cible privilégiée des attaquants, ils font régulièrement l’actualité informatique de par les vulnérabilités fréquentes qui les touchent. Les recommandations du présent document s’appliquent à l’utilisation de Java en environnement Windows. La problématique est similaire sur les systèmes alternatifs mais la démarche de sécurisation est potentiellement différente. »

http://www.ssi.gouv.fr/guide/recommandations-de-securite-relatives-aux-environnements-dexecution-java-sur-les-postes-de-travail-microsoft-windows)

http://www.ssi.gouv.fr/guide/recommandations-de-securite-relatives-aux-environnements-dexecution-java-sur-les-postes-de-travail-microsoft-windows

http://www.ssi.gouv.fr/guide/recommandations-de-securite-relatives-aux-environnements-dexecution-java-sur-les-postes-de-travail-microsoft-windows


Les risques liés à l’obsolescence des JREs


« Les JRE sont l’objet de nombreuses vulnérabilités qui, prises en compte tardivement, sont largement exploitées avant leur recensement et leur correction (codes d’exploitation dits « zero-day »). En outre, leur mise à jour n’est pas nécessairement automatique. Il n’est alors pas rare que des versions vulnérables du JRE soient à l’origine de la compromission d’un poste utilisateur et, éventuellement par rebond, d’un système d’information complet.

Par ailleurs, force est de constater que certaines applications sont compatibles uniquement avec une version bien précise de l’environnement d’exécution Java qui, dans la majorité des cas, est ancienne et vulnérable. Cette situation impose alors la cohabitation de plusieurs versions du JRE sur un même poste utilisateur et augmente potentiellement le nombre de vulnérabilités non corrigées.

La sécurité des JRE est donc un problème de taille pour le maintien en conditions de sécurité qui fait courir des risques importants sur l’ensemble du système d’information. Il est donc primordial que les risques soient correctement identifiés et bien appréhendés. S’ajoute à cela la faible efficacité des antivirus pour lutter contre ces risques. »


Les risques liés à l’obsolescence des JREs (suite)


« À titre d’exemple, un code d’exploitation utilisant la vulnérabilité Java du 27 août 2012 n’était identifié et bloqué que par moins de la moitié des logiciels antivirus du marché lors de sa parution.

Les multiples avis de sécurité et bulletins d’actualité relatifs aux vulnérabilités Java peuvent être consultés sur le site du CERT-FR:

CERTA-2013-AVI-256 ; CERTA-2013-AVI-163 ; CERTA-2013-AVI-142 ; CERTA-2013-AVI-092 ; CERTA-2013-ACT-003 ;CERTA-2013-AVI-092 ; CERTA-2012-AVI-576 ; CERTA-2012-ACT-035 ; CERTA-2012-AVI-331 ;CERTA-2012-AVI-085 ; etc.

et plus particulièrement les alertes critiques de sécurité du 27 août 2012 et du 10 janvier 2013 relatives à des vulnérabilités Java qui ont été massivement exploitées. »

http://www.cert.ssi.gouv.fr

http://www.cert.ssi.gouv.fr/

http://www.cert.ssi.gouv.fr/


Risques liés à la cohabitation de plusieurs versions de Java


« Il est possible pour une appliquette de demander à s’exécuter sur une version particulière du JRE.Une appliquette malveillante peut par exemple choisir de s’exécuter sur une version 1.5 vulnérablemalgré la présence d’une version 1.6 à jour. Elle n’aura bien entendu d’effets que si la version 1.5est présente. Depuis le JRE 1.6_10, ce mécanisme de sélection a été modifié afin de faire intervenirune boite de dialogue d’avertissement, demandant à l’utilisateur d’autoriser ou non l’exécution del’appliquette sur une version antérieure du JRE.

Il reste néanmoins probable que l’utilisateur accepte l’exécution d’une JRE vulnérable sans mesurer l’impact de ce choix »

• Cette problématique est désormais gérée par l’implémentation des Deployment Rulesets• Fonctionnalité disponible gratuitement, nécessitant l’installation d’un JRE public 7u40+• A ce jour, si vous n’utilisez pas les Deployment Ruleset, Oracle vous recommande de les

implémenter ASAP. Une étude est nécessaire, ainsi qu’un recensement manuel de l’utilisation des versions et applications Java. Il faut également mettre à jour les procédures de déploiement de Java sur les postes de travail.


Inventaire et recommandations


« La phase d’inventaire est indispensable pour bien appréhender la problématique de sécurisation et aborder de manière optimale les différents cas de figure qui se présentent.

o R1: Référencer les applications Java, lourdes et légères, ainsi que leurs utilisateurs légitimes.

o R2: Référencer l’ensemble des postes de travail sur lesquels des JRE sont installés en précisant pour chacun la version.

o R3: Repérer les postes utilisateurs sur lesquels des JRE ou des modules complémentaires Java sont inutilement présents. »


Inventaire et recommandations


« Pour réduire la surface d’attaque, il est primordial de limiter l’installation du JRE au périmètre des postes utilisateur requérant impérativement cet environnement. Les anomalies recensées lors de la phase d’inventaire précédente devront faire l’objet de traitements particuliers. Trois cas de figure peuvent alors se présenter.

o Inventaire des installation et de l’utilisation des applications Java et JREs

o Interdiction des JRE inutiles

o Configuration centralisée »


Obligations pour les Opérateurs d’Importance Vitale (OIV)Traiter la menace et les risques• Former leurs responsables et leurs directeurs de

la sécurité tant au niveau central qu’au niveau local.

• Après une analyse de risques, établir un plan de sécurité opérateur prenant en compte les attendus de la directive nationale de sécurité au titre de laquelle ils ont été désignés opérateurs d’importance vitale.

• Identifier leurs points d’importance vitale qui feront l’objet d’un plan particulier de protection (PPP) à leur charge et d’un plan de protection externe (PPE) à la charge du préfet de département.



La politique du « Business As Usual »


Case study: Espionage campaign against the UK energy sector

“ Attackers used a technique known as a ‘watering hole’ attack to distribute malware into businesses working in the UK energy sector. The attackers added scripts to legitimate websites frequented by energy sector staff. Many of the websites were managed by the same web design company.Visitors’ browsers were automatically and surreptitiously redirected to download malware from an attacker-owned server.

The malware targeted known and patchable vulnerabilities in Java, older internet browsers, and all but the most recent versions of Microsoft Windows. The malware harvested visitors’ credentials and computer system information, and sent this information back to the controllers via attacker-owned domains.”

Source: 2015 CERT-UK report "Common Cyber Attacks: Reducing The Impact” (http://bit.ly/1M2sqkz)


Border Control-like Questionnaire (all your answers should be « YES »)

• Do you know how much/which Java apps you are running?• Are all your workstations up-to-date with regards to security patching?• How do you prevent undesirable applications to be executed?• Do you know which JREs are used?• How do you make sure your application is running the required Java

runtime?• Spending significant effort when deploying JREs on a regular basis

across your IT organization?• Running server business-critical applications on Java?• Am I compliant with regulations and government best practices?

22


Java SE AdvancedEnterprise Support for Java SE

• Java SE Support for Security and Bug Fixes

• MSI installers• Advanced Management Console

– Track JRE installations and usage– Manage & Deploy Deployment

Rulesets

• Mission Control and Flight Recorder

23

Features


Oracle Java SE SupportGreater security & lowered risk

24

Oracle Lifetime Support for Java SEDirect access to updates/patches onMy Oracle Support (MOS)24x7 support, in 27 languagesRigorous and on-going regression testing and fixes for versions of Java SE that have reached End of Public Update (EoPU)Quick turnaround to critical issues with access to intermediate revisionsSecurity updates and bug fixes on EoPU and current releases


Sustaining (illimited)


Microsoft Windows Installer (MSI) Enterprise JRE Installer

• Automated, customized, and consistent installation of the JRE across managed systems.– Silent installations / upgrades

• Available for both Windows 32 and 64 bit systems– Makes it possible to leverage common set of features– Rollback / Repair / Replace

Simple & Supported Customizations


Advanced Management ConsoleJava Tracking & Management

• Track which Java version(s) are on which systems– Collect usage tracking for Java applications.– Track which application is launched with which Java version– Scan desktop systems for all installed JRE versions– Produce reports by security exposure

• Manage version compatibility/security through Deployment Rule Sets– Define Rules and Rule Sets and visualize their impact on the Applications in use– Distribute the DRS files to the managed desktop systems

• Configure Java Enterprise Installers (MSI)– Customize MSI installers– Store MSI installers and their configuration in AMC database.


Advanced Management ConsoleArchitecture Overview

Oracle DB / MySQL


Advanced Management ConsoleDetailed Architecture

1. Data are stored in MySQL or Oracle DB*

2-3. AMC Server runs on top of Weblogic 12c*

4. On Windows desktops, Agents run as service

5. On Linux/OS X, usage is tracked via Java Usage Tracker

6. Administration and Reporting are available via HTML browser

*: MySQL Community Edition is free. WebLogic license included but restricted to AMC usage. Oracle DB License is not included


Advanced Management Console

30


Know what is installed and which App uses which version of Java

31


Easy Reporting

32


Deployment Rule SetSecure Deployment of Java In the Browser

Control Java execution across the whole enterpriseAllow/Restrict applicationsAllow/Restrict version of Java SE per applicationControl security warningsNo warnings for trusted applicationsControl JRE updates securelySecurely allow multiple JREs on the systemComplete control on when older JREs are allowed

33


Deployment Rule Set (included in JRE 7u40+)

Java SE(Latest)

Java SE6u40

Java SE7u20

DRSMyCRM – 6u40

CandyGame – BlockOracleForms – 7u20

Everything else – Run

CandyGame BLOCKED

Block undesired applications to be executed


Deployment Rule Set

Java SE(Latest)

Java SE6u40

Java SE7u20

DRSMyCRM – 6u40



Banking applet


Deployment Rule Set

Java SE(Latest)

Java SE6u40

Java SE7u20

DRSMyCRM – 6u40



OracleForms

Ok

Force execution of an app with a specific JRE


Sondage

37

Utilisez-vous déjà les Deployment Rulsets?• Oui• J’y songe• Non


Simply Pick from Detected Apps to Generate Rules

38


Define Block, Force, Secure, Latest Execution Rules

39


Profiling, Monitoring and Tracking the Java PlatformZero-overhead monitoring and management of Java

40

Java Mission Control & Flight RecorderReal-time profiling and diagnostics without performance overheads“Time-machine” for back-in-time root cause analysis and profilingIntuitive, user-friendly tooling for monitoring, diagnosing and tuning a Java environment

Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Oracle Confidential – Internal/Restricted/Highly Restricted

41

En conclusion• Les Deployement Ruleset permettent:

– Aux applications de conserver la compatibilité avec les versions obsolètes de Java– D’éliminer les pop-ups et de mieux contrôler les versions de Java qui présentes et utilisées

• L’offre commerciale Java SE Advanced d’Oracle permet de:– Accéder aux patches de sécurité couvrant les vulnérabilités découvertes après la fin de mise à

jour publique Réduction des risques de vols de données, prises de contrôle à distance, et d’interruptions de service

– Automatiser le recensement de l’usage (et pas seulement l’installation) des JREs et des applications Java Optimisation des efforts d’étude, d’implémentation et de maintien de la politique sécurité Java

– Visualiser immédiatement les détails des postes et applications utilisant Java Détection rapide de l’utilisation de versions de Java non-autorisée. Suivi d’indicateurs Java au niveau de la gouvernance (baisse des risques liés à la sécurité et réduction des versions obsolètes de Java)

– Profiler et Monitorer les applications Java Réduction du temps d’indisponibilité des applications critiques et optimisation des performances


Getting Further withAdvanced Management Console

42

https://blogs.oracle.com/java/entry/java_s_new_console_tool

https://www.youtube.com/watch?v=ZALX0zS7cpI

https://blogs.oracle.com/thejavatutorials/entry/advanced_management_console_2_1

https://blogs.oracle.com/java/entry/java_s_new_console_tool

https://www.youtube.com/watch?v=ZALX0zS7cpI




AppendixKey Features of Java SE 8

44


Java SE SupportSupport levels

45

Oracle helps you mitigate security and stability risk

with regards to your most-valueable business apps

Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | Oracle Confidential – Internal/Restricted/Highly Restricted

46

Java SE RoadmapJDK 8• Lambda• JSR 310: New Date and Time

API• Nashorn: JavaScript

Interoperability• JavaFX Enhancements

8u40• Performance Improvements• Density and Resource Management• Multi-Language Support Improvements• Accessibility Enhancements• Continued Java SE Advanced Features

JDK 9• Modularity – Jigsaw• HTTP 2.0• Cloud optimized JVM• Continued Java SE Advanced

Features• Ahead of Time Compilation

8u20• G1 Performance Improvement• JVM Performance Improvements• Java Mission Control 5.4• Advanced Management Console

1.0• MSI Enterprise JRE Installer

8u60• Bug Fixes• Continued Java SE Advanced

Features

20162014 2015 2017

46


Java SE 8At a glance

47

Key Features BenefitLambda expressions Easier to distribute processing of collections over multiple threads -Better

application performance with simpler code for enhanced productivity

Streams More functional programming style - Functional style programming comes to Java - simplification and flexibility

Annotations on types Better compile time error checking - Speeds up application development process

Date and Time API Simplified API - improves developer productivity

Compact Profiles Reduced JRE size - Expands the possibilities of Java for limited footprint environments

Nashorn JavaScript engine Better JavaScript performance - A new script engine with better performance for Javascript users

Performance and Garbage Collection improvements in JDK 8

Several new features and performance improvements you can take advantage of instantly without rewriting any code in your applications.

* Not linked to any initiative


What is keeping you awake at night?

48

I need my users to have Java SE 6

installed.

I’m responsible for anything that

happens with our IT.

It will cost me too much to migrate to

Java SE 8 now.

My end users are running old,

insecure, versions of

Java.

My most important systems are

running without support.

We have an audit next week.


Java SE SupportSupport levels

49

Software

Webcast Oracle - Gestion des risques liés à l'obsolescence et la sécurité de Java