S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 06 avril 2012
N° CERTA-2012-ACT-014
Affaire suivie par: CERT-FR
le 06 avril 2012

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2012-14

Gestion du document

Référence CERTA-2012-ACT-014
Titre Bulletin d’actualité 2012-14
Date de la première version 06 avril 2012
Date de la dernière version 06 avril 2012
Source(s) Aucune
Pièce(s) jointe(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Compromission via phpMyFaq

Cette semaine, le CERTA a traité un cas de compromission via une faille de phpMyFaq. Cette vulnérabilité, dévoilée par l’éditeur le 25 octobre 2011, affecte les versions 2.6.18 (et antérieures) et 2.7.0 du logiciel. Son exploitation permet l’exécution de code arbitraire à distance.

Un outil permettant d’exploiter automatiquement cette faille est disponible sur l’Internet et est utilisé par des attaquants. La réussite d’une attaque se traduit par une écriture dans le fichier :

<chemin d’installation>/admin/editor/plugins/ajaxfilemanager/inc/data.php

Le CERTA recommande aux administrateurs de serveurs Web de vérifier dans les journaux les accès au fichier mentionné ci-dessus et de mettre à jour phpMyFaq. La dernière version du logiciel est la version 2.7.4.

Documentation :

2 Exploitation d’une vulnérabilité de Java sous Mac OS X

De nombreux utilisateurs de Mac OS X ont été récemment victimes de l’exploitation d’une vulnérabilité de Java (CVE-2012-0507). Cette vulnérabilité, rendue publique et corrigée par Oracle en février 2012, a été intégrée par Apple pour les versions 10.6.8 et 10.7.3 de son système d’exploitation le 3 avril 2012.

Ces infections nous rappellent qu’aucun système, y compris ceux embarqués dans les téléphones mobiles et les tablettes, n’est à l’abri d’un code malveillant.

Le CERTA recommande d’être vigilant à la mise-à-jour des systèmes et environnements d’exploitation.

Documentation :

3 Firefox bloque certaines versions de Java

Les dernières vulnérabilités liées à Java ont poussé Mozilla à revoir la politique de sécurité de Firefox. Les versions vulnérables de Java (version 6 mises à jour 30 et antérieures ainsi que la version 7 mises à jour 2 et antérieures) ont été ajoutées à la liste des applications bloquées par Firefox, afin d’améliorer la sécurité de leurs utilisateurs. La position de Mozilla est louable mais apporte également son lot de contraintes. En effet, certaines applications métier nécessitent une version vulnérable de Java pour fonctionner et ne sont donc plus accessibles via Firefox. Les développeurs de ce navigateur précisent que leur décision a été fortement influencée par le fait que les vulnérabilités affectant Java sont actuellement massivement exploitées.

D’une manière générale, le CERTA recommande de porter les applications métier qui le nécessitent, afin de les rendre compatibles avec les dernières versions de Java.

Documentation :

4 Rappel des avis émis

Dans la période du 30 mars au 05 avril 2012, le CERTA a émis les publications suivantes :

  • CERTA-2012-AVI-181 : Multiples vulnérabilités dans TYPO3
  • CERTA-2012-AVI-182 : Multiples vulnérabilités dans Chrome
  • CERTA-2012-AVI-183 : Vulnérabilité dans libpng
  • CERTA-2012-AVI-184 : Multiples vulnérabilités dans VMware
  • CERTA-2012-AVI-185 : Vulnérabilité corrigée dans CheckPoint
  • CERTA-2012-AVI-186 : Vulnérabilités dans HP Onboard Administrator
  • CERTA-2012-AVI-187 : Vulnérabilité dans IBM Cognos
  • CERTA-2012-AVI-188 : Vulnérabilité dans Joomla!
  • CERTA-2012-AVI-189 : Vulnérabilité dans HP-UX
  • CERTA-2012-AVI-190 : Vulnérabilités dans curl
  • CERTA-2012-AVI-191 : Vulnérabilité dans FreeRadius
  • CERTA-2012-AVI-192 : Vulnérabilité dans libtiff
  • CERTA-2012-AVI-193 : Vulnérabilités dans Cisco WebEx Player
  • CERTA-2012-AVI-194 : Vulnérabilité dans HP Business Availability Center

Rappel des avis émis

Dans la période du 26 mars au 01 avril 2012, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 06 avril 2012
    version initiale.