La Maîtrise de Java au sein du SI

Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |
La Maîtrise de Java au sein des SI
Java SE Advanced & Java SE Advanced Desktop
Christophe Pruvost - Solution Architect
Digital Platform
Juin, 2016

Safe Harbor Statement
The following is intended to outline our general product direction. It is intended for
information purposes only, and may not be incorporated into any contract. It is not a
commitment to deliver any material, code, or functionality, and should not be relied
upon in making purchasing decisions. The development, release, and timing of any
features or functionality described for Oracle’s products remains at the sole
discretion of Oracle.
2

Agenda
• Introduction
• Rappel sur Java EoPU (End of Public Updates)
• Les Fonctionnalités Java SE Advanced
– Java SE Support
– Java Mission Control & Fligth Recorder
– Microsoft JRE Installer
– Advanced Management Console
• ANSSI (Agence Nationale de la Sécurité Informatique)
• Conclusions

Introduction
Les problèmes de nos clients
• Savoir gérer les bugs et les failles de sécurité de Java.
• Maîtriser les installations de Java et les Updates fréquents.
• Savoir inventorier les versions de Java installées.
• Avoir connaissance des versions de Java exécutées.
• Savoir définir des règles d’exécution de Java au niveau des navigateurs web.
• Savoir analyser une JVM (Java Virtual Machine ) afin de repérer ses
disfonctionnements.
La réponse à ces problèmes est simple :
• Pour les Postes de Travail : Oracle Java Advanced Desktop
• Pour les Serveurs : Oracle Java Advanced

Introduction
Rappel des différents types de déploiement de Java
Desktop Usage
5
Server Usage
OS
JRE JRE
JNLP/Webstart
Application
OS
JRE
Browser
Applet
Weblogic*
J2EE
Application
JRE
Websphere/JBoss
J2EE
Application
JRE
Tomcat
J2EE-like
Application
JRE
Java SE
Application

The average
organization has over
50 distinct versions of
Java installed.
Oracle Confidential – Internal Only 6
7%
51%
42%
1-5 years
5-10 years
10-15 years
93%
Industry research shows
that over 93% of
enterprises are running
Java version 6 or older.
Introduction
L’existant Java au sein des systèmes d’information
50
$588K
Based on the Dunn
& Bradstreet
report the cost 1
hour of downtime
at a Fortune 500
companies would
be US$ 588K
Age of Java Versions in an enterprise

Rappel sur Java EoPU (End of Public Update)
Cycle de vie de Java
GA Date
Notification of
End of Public
Updates
End of Public
Updates
Java SE 1.4.2 Feb 2002 Dec 2006 Oct 2008
Java SE 5 May 2004 Apr 2008 Oct 2009
Java SE 6 Dec 2006 Feb 2011 Feb 2013
Java SE 7 July 2011 March 2014 April 2015
Java SE 8 March 2014 TBD March 2017*
For details see, http://www.oracle.com/technetwork/java/eol-135779.html
* Or later. Exact date TBD.
Après EoPU, les patchs de sécurité et de corrections
de Bugs ne sont plus publics !

Les fonctionnalités Java SE Advanced
Vue générale
Features
Java SE Advanced
Desktop
Java SE
Advanced
Access to My Oracle Support* ✔ ✔
24x7, 27 language support* ✔ ✔
Fast fix turnarounds* ✔ ✔
Access to updates and security patches for
older Java versions *
✔ ✔
Java Usage Tracker ✔ ✔
Advanced Management Console ✔ ✔
MSI Installer ✔ ✔
Java Mission Control & Flight Recorder
(desktop only)
✔ ✔
Java Mission Control & Flight Recorder
(server/desktop)
✔
Deterministic GC
*Support benefits available with licensed products with maintenance & support annually renewed.

Greater security & lowered risk
9
• Oracle Lifetime Support for Java SE
• Direct access to updates/patches on My
Oracle Support (MOS)
• Rigorous and on-going regression testing
and fixes for versions of Java SE that have
reached End-of-Public-Update (EoPU)
• Quick turnaround to critical issues with
access to intermediate revisions
• Security updates and bug fixes on EoPU and
current releases
•24x7 support, in 27
languages
•Immediate support for
mission-critical
applications
•Controlled JRE updates
Oracle Java SE Support

Copyright © 2014 Oracle and/or its affiliates. All rights reserved. | 10
Oracle helps you mitigate
security and stability risk
with regards to your most-
valueable business apps

Secure Updates for older Java versions
11
(http://en.wikipedia.org/wiki/Java_version_history)
(http://www.oracle.com/technetwork/java/eol-135779.html)

12
3

Critical Patch Updates after End of Public Update
(ex. 6u45+)
http://www.oracle.com/technetwork/topics/security/cpuoct2015-2367953.html#AppendixJAVA
Oracle Confidential – Internal/Restricted/Highly Restricted 13
CVE# Component Protocol
Sub-
component
Remote
Exploit
without
Auth.?
CVSS VERSION 2.0 RISK (see Risk Matrix Definitions)
Supported
Versions
Affected
Notes
Base Score
Access
Vector
Access
Complexity
Authen-
tication
Confiden-
tiality
Integrity
Avail-
ability
CVE-2015-
4835
Java SE, Java
SE Embedded
Multiple CORBA Yes 10.0 Network Low None Complete Complete Complete
Java SE
6u101, Java
SE 7u85, Java
SE 8u60, Java
SE Embedded
8u51
See Note 1
CVE-2015-
4881
Java SE, Java
SE Embedded
Multiple CORBA Yes 10.0 Network Low None Complete Complete Complete
Java SE
6u101, Java
SE 7u85, Java
SE 8u60, Java
SE Embedded
8u51
See Note 1
CVE-2015-
4843
Java SE, Java
SE Embedded
Multiple Libraries Yes 10.0 Network Low None Complete Complete Complete
Java SE
6u101, Java
SE 7u85, Java
SE 8u60, Java
SE Embedded
8u51
See Note 1
CVE-2015-
4883
Java SE, Java
SE Embedded
Multiple RMI Yes 10.0 Network Low None Complete Complete Complete
Java SE
6u101, Java
SE 7u85, Java
SE 8u60, Java
SE Embedded
8u51
See Note 1
Example (to date): Security vulnerabiliy
that has been fixed for Java 6 and Java 7.
Note the maximum risk evaluation of 10
and the low complexity of exploit.

Profiling, Monitoring and Tracking the Java Platform
Zero-overhead monitoring and management of Java
14
• Java Mission Control & Flight Recorder
– Real-time profiling and diagnostics without
performance overheads
– “Time-machine” for back-in-time root cause
analysis and profiling
– Intuitive, user-friendly tooling for monitoring,
diagnosing and tuning a Java environment

Java Usage Tracker
• Gain insight into Java installations and
deployments across locations
• Stay on top of security updates with an
efficient tracking system
• Enable usage tracking by simply turning on a
configuration parameter
• Log to a local file or remote UDP port
Java Usage Tracker Information
•Java and JVM versions
•Java application name
•Host name and IP address
•Date and time
•JVM arguments
•Class path
•Java vendor
•JRE location on system
•Type of application
•OS name and version

Advanced Management Console
Oracle DB / MySQL
Architecture Overview

Detailed Architecture
1. Data are stored in MySQL or Oracle DB*
2-3. AMC Server runs on top of Weblogic 12c*
4. On Windows desktops, Agents run as service
5. On Linux/OS X, usage is tracked via Java
Usage Tracker
6. Administration and Reporting are available
via HTML browser
*: MySQL Community Edition is free. WebLogic license included but restricted to
AMC usage. Oracle DB License is not included

Liste des versions de Java installées

Graphiques versions
de Java

Deployment Rule Set (DRS) = Règles d’exécution de Java dans les navigateurs
Secure Deployment of Java In the Browser (Applet)
• Control Java execution across the whole enterprise
– Allow/Restrict applications
– Allow/Restrict version of Java SE per application
• Control security warnings
– No warnings for trusted applications
• Control JRE updates securely
– Securely allow multiple JREs on the system
– Complete control on when older JREs are allowed
21

Deployment Rule Set
Java SE
(Latest)
Java SE
6u40
Java SE
7u20
DRS
MyCRM – 6u40
CandyGame – Block
OracleForms – 7u20
Everything else – Run
CandyGame BLOCKED
Block undesired applications
to be executed

Deployment Rule Set
Java SE
(Latest)
Java SE
6u40
Java SE
7u20
DRS
MyCRM – 6u40
CandyGame – Block
Banking applet

Deployment Rule Set
Java SE
(Latest)
Java SE
6u40
Java SE
7u20
DRS
MyCRM – 6u40
CandyGame – Block
OracleForms
Ok
Force execution of an app
with a specific JRE

Deployment Rule Set
Java SE
(Latest)
Java SE
6u40
Java SE
7u20
DRS
MyCRM – 6u40
CandyGame – Block
MyCRM
Ok

Tracking d’exécution
des Applets

Regroupement des règles par groupe « métier » d’utilisateurs.
Ceci permet de déployer un groupe de règles sur un groupe de Desktops

Getting Further with
28
https://blogs.oracle.com/java/entry/java_s_new_console_tool
https://www.youtube.com/watch?v=5OLGAsMWWsI

Microsoft Windows Installer (MSI) Enterprise JRE Installer
• Only available as part of Java SE Advanced or Java SE Suite
• Automated, customized, and consistent installation of the JRE across managed
systems.
– Silent installations / upgrades
• Available for both Windows 32 and 64 bit systems
– Makes it possible to leverage common set of features
– Rollback / Repair / Replace
Simple & supported customizations.

Recommandations de sécurité relatives aux environnements
d’exécution Java sur les postes de travail Microsoft Windows
Oracle Confidential – Internal/Restricted/Highly Restricted
« La technologie Java est aujourd’hui très répandue et utilisée par de nombreuses applications.
Celles-ci se présentent souvent sous la forme d’appliquettes exécutées depuis des clients légers (navigateurs
Web) mais peuvent aussi être des applications lourdes installées sur les postes utilisateurs.
L’exécution de ces applications nécessite l’installation préalable des environnements d’exécution Java
(appelés JRE, acronyme de Java Runtime Environment) sur les postes utilisateurs.
Il est par conséquent fréquent de voir ces JRE déployés dans les environnements professionnels.
Comme tout composant logiciel utilisé pour la navigation Web, ces environnements d’exécution Java sont
une cible privilégiée des attaquants, ils font régulièrement l’actualité informatique de par les vulnérabilités
fréquentes qui les touchent. Les recommandations du présent document s’appliquent à l’utilisation de
Java en environnement Windows.
La problématique est similaire sur les systèmes alternatifs mais la démarche de sécurisation est
potentiellement différente. »
http://www.ssi.gouv.fr/guide/recommandations-de-securite-relatives-aux-environnements-dexecution-java-sur-les-postes-
de-travail-microsoft-windows)

Les risques liés à l’obsolescence des JREs
« Les JRE sont l’objet de nombreuses vulnérabilités qui, prises en compte tardivement, sont largement
exploitées avant leur recensement et leur correction (codes d’exploitation dits « zero-day »).
En outre, leur mise à jour n’est pas nécessairement automatique. Il n’est alors pas rare que des versions
vulnérables du JRE soient à l’origine de la compromission d’un poste utilisateur et, éventuellement par
rebond, d’un système d’information complet.
Par ailleurs, force est de constater que certaines applications sont compatibles uniquement avec une
version bien précise de l’environnement d’exécution Java qui, dans la majorité des cas, est ancienne et
vulnérable. Cette situation impose alors la cohabitation de plusieurs versions du JRE sur un même poste
utilisateur et augmente potentiellement le nombre de vulnérabilités non corrigées.
La sécurité des JRE est donc un problème de taille pour le maintien en conditions de sécurité qui fait courir
des risques importants sur l’ensemble du système d’information. Il est donc primordial que les risques
soient correctement identifiés et bien appréhendés. S’ajoute à cela la faible efficacité des antivirus pour
lutter contre ces risques. »

Les risques liés à l’obsolescence des JREs (suite)
« À titre d’exemple, un code d’exploitation utilisant la vulnérabilité Java du 27 août 2012 n’était identifié
et bloqué que par moins de la moitié des logiciels antivirus du marché lors de sa parution.
Les multiples avis de sécurité et bulletins d’actualité relatifs aux vulnérabilités Java peuvent être
consultés sur le site du CERT-FR:
CERTA-2013-AVI-256 ; CERTA-2013-AVI-163 ;
CERTA-2013-AVI-142 ; CERTA-2013-AVI-092 ;
CERTA-2013-ACT-003 ;CERTA-2013-AVI-092 ;
CERTA-2012-AVI-576 ; CERTA-2012-ACT-035 ;
CERTA-2012-AVI-331 ;CERTA-2012-AVI-085 ; etc.
et plus particulièrement les alertes critiques de sécurité du 27 août 2012 et du 10 janvier 2013 relatives
à des vulnérabilités Java qui ont été massivement exploitées. »
http://www.cert.ssi.gouv.fr

Risques liés à la cohabitation de plusieurs versions de Java
« Il est possible pour une appliquette de demander à s’exécuter sur une version particulière du JRE.
Une appliquette malveillante peut par exemple choisir de s’exécuter sur une version 1.5
vulnérable
malgré la présence d’une version 1.6 à jour. Elle n’aura bien entendu d’effets que si la version 1.5
est présente. Depuis le JRE 1.6_10, ce mécanisme de sélection a été modifié afin de faire intervenir
une boite de dialogue d’avertissement, demandant à l’utilisateur d’autoriser ou non l’exécution de
l’appliquette sur une version antérieure du JRE.
Il reste néanmoins probable que l’utilisateur accepte l’exécution d’une JRE vulnérable sans
mesurer l’impact de ce choix »
• Cette problématique est désormais gérée par l’implémentation des Deployment Rulesets
• Fonctionnalité disponible gratuitement, nécessitant l’installation d’un JRE public 7u40+
• A ce jour, si vous n’utilisez pas les Deployment Ruleset, Oracle vous recommande de les
implémenter ASAP. Une étude est nécessaire, ainsi qu’un recensement manuel de l’utilisation
des versions et applications Java. Il faut également mettre à jour les procédures de déploiement
de Java sur les postes de travail.

Inventaire et recommandations
« La phase d’inventaire est indispensable pour bien appréhender la problématique de sécurisation et
aborder de manière optimale les différents cas de figure qui se présentent.
o R1: Référencer les applications Java, lourdes et légères, ainsi que leurs utilisateurs légitimes.
o R2: Référencer l’ensemble des postes de travail sur lesquels des JRE sont installés en précisant
pour chacun la version.
o R3: Repérer les postes utilisateurs sur lesquels des JRE ou des modules complémentaires Java
sont inutilement présents. »

Inventaire et recommandations
« Pour réduire la surface d’attaque, il est primordial de limiter l’installation du JRE au périmètre des postes
utilisateur requérant impérativement cet environnement. Les anomalies recensées lors de la phase
d’inventaire précédente devront faire l’objet de traitements particuliers. Trois cas de figure peuvent alors se
présenter.
o Inventaire des installation et de l’utilisation des applications Java et JREs
o Interdiction des JRE inutiles
o Configuration centralisée »

Conclusions
Avec Java Advanced & Java Advanced Desktop
1. Vous maîtrisez parfaitement les corrections de bugs et de faille de
sécurité de Java (via le Support Oracle même après EoPU).
2. Vous savez où sont installées les versions de Java et quelles versions sont
les plus exécutées au sein de votre SI.
3. Vous maîtrisez l’installation de Java et donc la manière dont Java va
évoluer lors des patchs à venir.
4. Vous définissez vos propres règles d’exécution de Java au sein des
navigateurs web.
5. Vous savez identifier la cause d’un disfonctionnement instantanément
grâce à une analyse continue et automatique des JVMs.
Rmq : Java Advanced est inclus dans la licence WebLogic Enterprise Edition.

La Maîtrise de Java au sein du SI

Recommandé

Recommandé

Contenu connexe

Similaire à La Maîtrise de Java au sein du SI

Similaire à La Maîtrise de Java au sein du SI (20)

La Maîtrise de Java au sein du SI