NR Technologies

24/02/2017

Oracle compte livrer Java EE 8 en juillet 2017
Un peu plutôt que prévu et le même mois que le JDK 9
Le 24 février 2017, par Michael Guilloux, Chroniqueur Actualités
La première proposition pour Java EE 8 a été faite en 2014, mais comme ce fut le cas avec le JDK 9, Oracle a reconnu ne pas être en mesure de tenir sa promesse initiale de livraison de Java EE 8. Oracle avait prévu de sortir la nouvelle version de Java EE avant la JavaOne 2016, en septembre dernier. Mais un an après la première proposition pour Java EE 8, la firme de Redwood City a fait savoir que cette date ne pourrait pas être respectée et qu’elle sera donc repoussée à la première moitié de 2017.

Dans un contexte marqué par des critiques à propos de la négligence d’Oracle à l’égard de sa plateforme, à la JavaOne en septembre dernier, la société a de nouveau repoussé la sortie de Java EE 8 à la fin de l’année 2017. Essayant de justifier ce nouveau report, Anil Gaur, le vice-président du groupe chargé de Java EE et WebLogic Server, a expliqué qu’Oracle souhaitait voir un bon lot de nouvelles fonctionnalités dans Java EE 8, et que les ajouter nécessitait plus de temps. La date exacte n’avait toutefois pas été fixée.

Dans un récent message relatif au calendrier de Java EE 8, Linda DeMichiel, la responsable de la spécification Java EE chez Oracle, a annoncé que cette version de la plateforme Java Enterprise Edition devrait être livrée en juillet prochain, soit un peu plutôt que prévu. Avant cela, la Public Review est attendue en avril ou en mai, et le draft final en juin 2017. Oracle précise toutefois qu’il s’agit d’un objectif que la société s’est fixé, mais qui est toutefois réalisable étant donné qu’elle a déjà bien avancé sur de nombreuses Java Specification Requests (JSR). « Ce sont les dates que nous ciblons pour nos spécifications, y compris la plateforme. Un certain nombre de JSR sont plus avancées et devraient être terminées bien avant ces dates », a écrit DeMichiel.

En ce qui concerne les fonctionnalités attendues pour Java EE 8, il faut rappeler qu'après un sondage mené auprès de la communauté, Oracle estime qu'il est important de livrer les technologies REST et HTTP/2 qui seront probablement les principales améliorations. L’éditeur de bases de données affirme d'ailleurs que « la plus grande partie du travail relatif à l'intégration de ces technologies dans Java Entreprise Edition 8 est déjà terminée ».

Parmi les autres technologies qui doivent être livrées avec Java EE 8, on compte aussi la version 2.0 de CDI (Context and Dependency Injection), une spécification destinée à standardiser l'injection de dépendances et de contextes au sein de la plateforme Java EE. Ayant connu des progrès significatifs, les spécifications Bean Validation 2.0 et JSF (JavaServer Faces) 2.3 seront également de la partie.

On sait aussi que les JSR pour l’API Management 2.0 et JMS (Java Message Service) 2.1 seront supprimées. Oracle a également transféré le développement de la spécification MVC à la communauté Java afin qu'elle évolue en tant que composant autonome de Java EE ; des décisions qui s'expliquent par le classement de ces technologies à l'issue de l'enquête.

Source : Java.net

Et vous ?

Qu’en pensez-vous ?
Êtes-vous optimistes au sujet de la sortie de Java EE 8 en juillet prochain ?

22/08/2016

Des chercheurs chinois misent sur la physique quantique pour créer un réseau de communication mondial inviolable. C’est l’occasion de faire un zoom sur cette technologie de sécurité pas comme les autres.   

30/07/2016

Comme au mois de juillet de l’année dernière, l’Institute of Electrical and Electronics Engineers (IEEE) vient de publier son rapport annuel sur les meilleurs langages de programmation pour l’année 2016, le troisième rapport annuel de l’IEEE après ceux de 2014 et 2015. Pour information, l’IEEE est c...

26/07/2016

Après six années de bataille juridique, Google et Oracle sont encore loin de mettre fin à leur différend qui pourrait avoir un impact sérieux sur l’activité des développeurs et des entreprises de haute technologie.À titre de rappel, à l’origine de ce conflit, Oracle a accusé Google d’avoir utilisé d...

31/12/2015

09/12/2015

CryptoWall, un virus inquiétant
Le code malveillant CryptoWall a de quoi inquiéter les autorités et leurs équipes de sécurité informatique.

Pour les meilleurs experts en sécurité de la planète, le ransomware CryptoWall est devenu un véritable casse-tête. Depuis son apparition en novembre 2013, la propagation de ce code malveillant semble incontrôlable. Le système mis en place par les hackers est construit sur un réseau de serveurs proxy très difficile à neutraliser.

La conférence dédiée aux botnets - BotConf'15 – a été l'occasion de lever le voile sur CryptoWall 4.0 et son fonctionnement. Après avoir crypté les fichiers d'un ordinateur, le malware exige le paiement d'une rançon à l'utilisateur, pour qu'il puisse espérer récupérer ses données. Pour réaliser cela, l'infrastructure mise en place impressionne les experts. Les cascades de serveurs proxy utilisés et de « Tor Hidden Services » rendent les pirates quasiment impossibles à tracer, notamment parce qu'ils passent par la prise de contrôle de serveurs Internet tout à fait légitimes. Dans ces conditions, difficile de faire tomber le réseau CryptoWall.

Les équipes de sécurité informatique s'en remettent à des enquêtes plus classiques pour intercepter les discussions entre pirates. Les derniers éléments permettent de remonter sur les traces de CryptoWall en Russie, en Ukraine et au Kazakhstan, mais sans garantie de pouvoir intervenir prochainement. Le ransomware CryptoWall a encore de beaux jours devant lui.

src: CCM

09/12/2015

Microsoft démantèle le botnet Dorkbot
En collaboration avec le FBI, Microsoft annonce avoir fait tomber les infrastructures du célèbre botnet Dorkbot.

D'après le blog officiel du Microsoft Malware Protection Center (en anglais), les experts en sécurité informatique du géant américain peuvent se réjouir : l'un des botnets les plus importants et les plus actifs à l'heure actuelle a été démantelé. Présent dans 190 pays sur plus d'un million de machines, Dorkbot est spécialisé dans le vol et la revente d'identifiants servant sur Netflix, Gmail, Facebook, PayPal et d'autres grands services Internet.

Jusqu'à maintenant, Dorkbot contaminait près de 100 000 ordinateurs chaque mois, une progression qui inquiétait les éditeurs de solutions de sécurité informatique. Avec l'aide du centre de protection contre les logiciels malveillants de Microsoft, les équipes du FBI et d'Europol viennent d'y mettre un terme, en portant une attaque concertée contre les infrastructures du botnet.

Malgré ce démantèlement récent, Dorkbot pourrait néanmoins renaître rapidement de ses cendres...

src: CCM

02/12/2015

La fondation Node.js, par la voix d’un de ses responsables notamment Rod Vagg, vient d’annoncer la découverte de deux failles critiques sur son célèbre framework de développement d’applications web.
Ces deux failles dénommées CVE-2015-8027 et CVE-2015-6764 présentent respectivement des scores CVSS de 7,5 et 4,4. La première faille est d’un niveau de sévérité plus élevé que la seconde.
Selon Rod Vagg, la faille CVE-2015-8027 pourrait être exploitée par des personnes mal intentionnées grâce à des attaques par déni de service. Rod précise que les versions de Node.js affectées par cette vulnérabilité sont :
les versions 0.12.x ;
les versions 4.x, incluant LTS Argon ;
et les versions 5.x.
Les détails relatifs à cette première vulnérabilité ne seront pas divulgués avant le 2 décembre prochain, date à laquelle les mises à jour de sécurité seront disponibles en téléchargement.
La faille CVE-2015-6764 quant à elle est considérée comme moins grave avec un score CVSS de 4,4. Selon Rod Vagg, cette vulnérabilité est liée au moteur JavaScript de Google V8 et affecte les versions de Node.js suivantes :
les versions 4.x, incluant LTS Argon ;
et les versions 5.x.
Face à ces deux vulnérabilités, la fondation Node.js affirme que des correctifs sont en préparation et devraient être disponibles le 2 décembre prochain.
Source : blog node.js

02/12/2015

La famille Raspberry Pi s’est récemment agrandie avec un nouveau modèle au prix officiel de 5 $. Cela pourrait bien évidemment accroître le nombre d’utilisateurs à rejoindre les millions de personnes qui ont déjà utilisé le matériel depuis 2012, comme le revendique Eben Upton, fondateur de Raspberry Pi.

Si le nano-ordinateur enrôle de plus en plus d’utilisateurs dans le monde entier, c’est le moment de commencer à anticiper les éventuels problèmes de sécurité avant qu’il ne devienne une cible pour les attaquants.

Une faille de sécurité a été signalée dans Raspbian, le système d'exploitation libre et gratuit fondé sur GNU/Linux/Debian et optimisé pour fonctionner sur un Raspberry Pi. La faille entraîne la génération de clés d’hôte SSH prévisibles. Les clés SSH peuvent en effet être devinées par un attaquant s’il connaît l’état dans lequel le Raspberry Pi se trouvait lors de son premier démarrage : souris connectée, câble réseau branché ou autres périphériques USB connectés, etc. Plus de détails sur la faille sont fournis sur le site de Raspberry Pi.
En portant votre jugement sur cette faille de sécurité, il ne faut surtout pas omettre les nombreux cas d’utilisations possibles de ce matériel qui a pourtant un prix bon marché.

Un Raspberry Pi peut en effet être utilisé comme un serveur, que ça soit pour héberger des sites web, stocker des données ou héberger un service qui doit être accessible depuis n’importe quel emplacement. Il peut également faire office de média center, offrant ainsi un système informatique venant se greffer à une télévision. Ce système pourra permettre de compléter les services basiques de la télévision, avec une interface plus conviviale, un accès internet, la possibilité de stocker et de lire de la musique, des images, des vidéos, etc. Le Raspberry Pi peut encore être utilisé dans la domotique, pour gérer différents équipements d’une maison, ou tout simplement comme un ordinateur. Dans le dernier cas, il cible en particulier les utilisateurs n’ayant pas besoin de puissance de calcul exceptionnelle.

Pour les utilisateurs avertis, Raspberry Pi peut aussi être exploité dans le cadre des projets basés sur des systèmes embarqués. Cette variété d’utilisations possibles de Raspberry Pi peut donc augmenter l’ampleur de la gravité d’une faille de sécurité.

Dans une discussion dédiée à la vulnérabilité sur le site de Raspberry Pi, un patch a été publié avant d’être aussitôt retiré par un modérateur. Ce dernier a exprimé un doute en ce qui concerne la fiabilité du patch. Il estime qu’une analyse est nécessaire avant de dire si le correctif est sûr ou non. Dans un autre message posté hier, l’un des contributeurs de Raspberry Pi explique que le problème n’est pas lié à Raspbian/Raspberry Pi, mais affecte toutes les distributions Linux. Il précise encore que le problème est connu par la communauté Linux et qu’il existe des mitigations. Toutefois, ces mitigations ne sont pas possibles avec Raspbian. « Chaque utilisateur doit donc évaluer la menace en fonction du cas d'utilisation de son Raspberry Pi », a-t-il ajouté. Aux utilisateurs avertis qui exigent plus de sécurité et de confidentialité, il est suggéré d’activer le RNG du matériel et de régénérer les clés SSH.

Source : Raspberry Pi

02/12/2015

La famille Raspberry Pi s’est récemment agrandie avec un nouveau modèle au prix officiel de 5 $. Cela pourrait bien évidemment accroître le nombre d’utilisateurs à rejoindre les millions de personnes qui ont déjà utilisé le matériel depuis 2012, comme le revendique Eben Upton, fondateur de Raspberry…