1 Les mises à jour de la semaine

La semaine a été riche en publications de mises à jour par les éditeurs d’application, le CERTA revient sur certains éléments importants.

1.1 Alerte concernant l’environnement d’exécution Java

Cette semaine, Oracle a publié une alerte concernant une vulnérabilité, référencée CVE-2010-4476. Cette dernière permet à une personne distante malintentionnée de provoquer un déni de service du composant JRE (Java Runtime Environment) d’Oracle Java SE et Java for Business Products. Oracle attire l’attention sur l’exposition des applications Java et des serveurs web basés sur cette technologie. Le détail des produits concernés est le suivant :

  • Java SE, JDK et JRE 6 mise à jour 23 et versions antérieures pour Windows, Solaris et Linux ;
  • Java SE, JDK 5.0 mise à jour 27 et versions antérieures pour Solaris 9 ;
  • Java SE, SDK 1.4.2_29 et versions antérieures pour Solaris 8 ;
  • Java for Business, JDK et JRE 6 mise à jour 23 et versions antérieures pour Windows Solaris et Linux ;
  • Java for Business, JDK et JRE 5.0 mise à jour 27 et versions antérieures pour Windows Solaris et Linux ;
  • Java for Business, SDK et JRE 1.4.2_29 et versions antérieures pour Windows Solaris et Linux.

Le CERTA a publié l’avis CERTA-2011-AVI-079 pour cette vulnérabilité. Un correctif, non déployé par le système de mise à jour automatique, est disponible et doit être installé dans les plus brefs délais.

Documentation

1.2 Mises à jour Microsoft du mois de février

Microsoft a publié cette semaine douze bulletins de sécurité. Parmi eux, deux bulletins corrigent des alertes CERTA (CERTA-2010-ALE-021 et CERTA-2011-ALE-001). Elles concernent une vulnérabilité dans Internet Explorer et une vulnérabilité dans le moteur de rendu graphique de Windows.

Au total, cinq bulletins corrigent des vulnérabilités permettant d’exécuter du code arbitraire à distance.

Incompatibilités rencontrées dans les mises à jour

Certaines de ces mises à jour nécessitent une attention particulière lors de leur déploiement.

En effet, afin de pouvoir installer le correctif publié dans le bulletin MS11-006 (avis CERTA-2011-AVI-061), il est impératif de supprimer au préalable les mesures de contournement provisoire.

D’autre part, un conflit est apparu entre VMware View Client et l’installation des mises à jour MS11-003 et/ou KB2467023 sur Windows 7. VMware a publié un article et proposé une mise à jour de View Client (version 4.5.0-353760) afin de corriger le problème.

Le CERTA recommande d’appliquer les mises à jour de sécurité dès que possible. Cependant, il est conseillé de procéder à une validation avant de les appliquer sur un système en production.

Documentation

1.3 Mises à jour Adobe

Cette semaine, Adobe a publié de nombreuses mises à jour concernant trois de ses produits, Adobe Shockwave, Adobe Acrobat et Adobe Flash. La plupart d’entre elles corrigeant des vulnérabilités qui permettent l’exécution de code arbitraire à distance au moyen de documents spécialement formés, le CERTA recommande vivement l’application des correctifs. Pour ce faire, il suffit de vous reporter aux avis du CERTA correspondants (cf. Documentation).

Toutefois, il est à noter que la mise à jour d’Adobe Reader 9.4.2, préconisée dans l’avis CERTA-2011-AVI-076, concernant les systèmes Unix ne sera disponible que pendant la semaine du 28 février 2011. Il est donc préférable d’utiliser sur ces systèmes d’autres lecteurs de fichiers PDF, non connus comme vulnérables, le temps que la mise à jour soit disponible auprès de l’éditeur.

Documentation

2 Nouvelle version de Debian et mise à jour de clefs PGP

Cette semaine, le projet Debian a annoncé la publication de la nouvelle version de son système d’exploitation éponyme (Debian 6.0 « Squeeze »).

Par ailleurs, il a été également précisé que les clefs PGP utilisées dans la signature des fichiers de référence des miroirs de paquetages ont été mises à jour. Pour l’instant, seules les signatures des branches testing et unstable sont concernées ainsi que celles des miroirs des mises à jour de sécurité (security.debian.org) et les paquetages de back-portage (backports.debian.org).

Quant à la version stable actuelle (Squeeze) et à la version stable précédente (Lenny), leurs signatures seront mises à jour lors du passage à une nouvelle version mineure, 6.0.1 et 5.0.9 par exemple.

Recommandations :

Afin d’anticiper cette future mise à jours, il est possible de vérifier que le paquetage debian-archive-keyring est bien installé et à jour.

Rappel des avis émis

Dans la période du 31 au 06 février 2011, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :