Objet: Bulletin d’actualité 2012-15

1 Vulnérabilités et mises à jour

1.1 Mise à jour dans Samba

Le projet Samba a publié un correctif pour supprimer une vulnérabilité dont l’impact peut être grave.L’attaquant peut, sans être authentifié, exécuter à distance du code arbitraire avec les droits administrateur.

Les distributions Linux publient les mises à jour pour corriger cette vulnérabilité.

Le CERTA rappelle l’impérieuse nécessité d’appliquer les correctifs de sécurité dans les plus brefs délais et en conformité avec la PSSI. Le filtrage complémentaire du port 139 en périphérie du SI s’inscrit dans une démarche de défense en profondeur.

Documentation

• Avis du CERTA CERTA-2012-AVI-210 du 12 avril 2012 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-210
  

1.2 Mise à jour mensuelle Microsoft

L’éditeur Microsoft a émis le 10 avril 2012 six bulletins de sécurité pour des correctifs couvrant onze vulnérabilités :

• Internet Explorer présente quatre vulnérabilités en rapport avec la gestion des tentatives d’accès à des objets détruits et une cinquième liée à l’impression de pages HTML. Ces vulnérabilités permettent à l’attaquant d’exécuter du code arbitraire avec les droits de l’utilisateur concerné ;
• la vérification des programmes exécutables signés avec Authenticode présente une vulnérabilité qui permet à un attaquant modifier un programme sans provoquer de rejet lors de la vérification de signature ;
• le framework .NET présente une faiblesse exploitable pour exécuter du code arbitraire ;
• Forefront Unified Access Gateway présente deux vulnérabilités. L’une permet à un utilisateur non authentifié de se connecter à l’interface Web. L’autre permet de tromper un utilisateur légitime sur l’identité du serveur sur lequel il est effectivement connecté ;
• le composant MSCOMCTL.OCX permet l’exécution de code arbitraire avec les droits de l’utilisateur connecté au moyen d’une page Web spécialement construite. Ce composant est présent dans plusieurs versions de MS-Office, SQL Server, BizTalk Server, Commerce Server, Visual FoxPro et dans la bibliothèque d’exécution Visual Basic 6 ;
• le convertisseur de fichiers au format Works (extension .wps) contient un défaut qui permet l’exécution de code arbitraire avec les droits de l’utilisateur qui opère la conversion du fichier. Le composant vulnérable est présent dans MS Works 9, dans MS Works 6-9 File Converter et dans MS-Office 2007 SP2.

Le CERTA recommande d’appliquer les correctifs de l’éditeur dès que possible et selon la PSSI.

Documentation

• Avis du CERTA CERTA-2012-AVI-202 du 11 avril 2012 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-202
  

• Avis du CERTA CERTA-2012-AVI-203 du 11 avril 2012 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-203
  

• Avis du CERTA CERTA-2012-AVI-204 du 11 avril 2012 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-204
  

• Avis du CERTA CERTA-2012-AVI-205 du 11 avril 2012 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-205
  

• Avis du CERTA CERTA-2012-AVI-206 du 11 avril 2012 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-206
  

• Avis du CERTA CERTA-2012-AVI-207 du 11 avril 2012 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-207
  

1.3 Mise à jour Adobe

L’éditeur Adobe a émis un correctif pour les lecteurs de documents PDF Adobe Acrobat et Reader. Toutes les plateformes sont concernées. Plusieurs vulnérabilités, permettant l’exécution de code arbitraire, sont ainsi corrigées :

• une possibilité de contournement des restrictions d’accès dans l’installeur ;
• une corruption de la mémoire en utilisant du Javascript ;
• un débordement d’entier provoqué par l’utilisation d’une police de caractères True Type spécialement construite.

L’éditeur ne maintient plus les versions 9.4.x d’Adobe Reader sous Linux. Pour ce système d’exploitation, la version de référence est désormais la version 9.5.1.

Le CERTA constate que les courriels contenant des pièces jointes piégées au format PDF sont nombreux. Beaucoup utilisent des ressorts de l’ingéniérie sociale pour inciter les utilisateurs à ouvrir les pièces jointes. Il est donc impératif d’appliquer les correctifs dans les plus brefs délais, dans le respect de la PSSI.

Documentation

• Avis du CERTA CERTA-2012-AVI-208 du 11 avril 2012 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-208
  

1.4 Alerte sur RDP

Le CERTA n’a pas encore constaté d’exploitation de la vulnérabilité affectant le traitement du protocole RDP (Remote Desktop Protocol) sur Windows, corrigée dès le 13 mars 2012. De ce fait, l’alerte est levée sur le site Web du CERTA.

Toutefois, le CERTA rappelle que la menace est toujours potentiellement présente et que la prudence reste de mise. Il est donc impératif d’appliquer le correctif, si cela n’a pas encore été fait. Dans une optique de défense en profondeur, il convient également de bloquer les flux RDP en périphérie des SI chaque fois que ce protocole ne doit pas franchir de frontières entre SI, ou être utilisé entre le SI et un réseau externe.

Documentation

• Alerte du CERTA CERTA-2012-ALE-002 du 14 mars 2012 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2012-ALE-002
  

• Avis du CERTA CERTA-2012-AVI-138 du 14 mars 2012:

  http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-138
  

2 Rappel des avis émis

Dans la période du 06 au 12 avril 2012, le CERTA a émis les publications suivantes :

• CERTA-2012-AVI-195 : Vulnérabilité dans F5 FirePass
• CERTA-2012-AVI-196 : Vulnérabilité dans Juniper IVE
• CERTA-2012-AVI-197 : Multiples vulnérabilités dans Google Chrome
• CERTA-2012-AVI-198 : Vulnérabilités dans MySQL
• CERTA-2012-AVI-199 : Multiples vulnérabilités dans RealNetworks Helix
• CERTA-2012-AVI-200 : Vulnérabilité dans Ghostscript
• CERTA-2012-AVI-201 : Vulnérabilité dans phpMyAdmin
• CERTA-2012-AVI-202 : Vulnérabilités dans Internet Explorer
• CERTA-2012-AVI-203 : Vulnérabilité dans l’Authenticode Windows
• CERTA-2012-AVI-204 : Vulnérabilité dans le Framework NET
• CERTA-2012-AVI-205 : Vulnérabilités dans Forefront Unified Access Gateway
• CERTA-2012-AVI-206 : Vulnérabilité dans Windows Common Controls
• CERTA-2012-AVI-207 : Vulnérabilité dans Microsoft Office
• CERTA-2012-AVI-208 : Vulnérabilités dans Adobe Acrobat et Reader
• CERTA-2012-AVI-209 : Présence d’un virus dans certains commutateurs HP
• CERTA-2012-AVI-210 : Vulnérabilité dans Samba
• CERTA-2012-AVI-211 : Vulnérabilités dans RPM

Durant la même période, les publications suivantes ont été mises à jour :

• CERTA-2012-AVI-085-001 : Multiples vulnérabilités dans Oracle Java (ajout du correctif Apple)
• CERTA-2012-AVI-210-001 : Vulnérabilité dans Samba (ajout des références aux bulletins Mandriva et RedHat)

Rappel des avis émis

Dans la période du 02 au 08 avril 2012, le CERT-FR a émis les publications suivantes :

• CERTA-2012-AVI-182 : Multiples vulnérabilités dans Chrome
• CERTA-2012-AVI-183 : Vulnérabilité dans libpng
• CERTA-2012-AVI-184 : Multiples vulnérabilités dans VMware
• CERTA-2012-AVI-185 : Vulnérabilité corrigée dans CheckPoint
• CERTA-2012-AVI-186 : Vulnérabilités dans HP Onboard Administrator
• CERTA-2012-AVI-187 : Vulnérabilité dans IBM Cognos
• CERTA-2012-AVI-188 : Vulnérabilité dans Joomla!
• CERTA-2012-AVI-189 : Vulnérabilité dans HP-UX
• CERTA-2012-AVI-190 : Vulnérabilités dans curl
• CERTA-2012-AVI-191 : Vulnérabilité dans FreeRADIUS
• CERTA-2012-AVI-192 : Vulnérabilité dans libtiff
• CERTA-2012-AVI-193 : Vulnérabilités dans Cisco WebEx Player
• CERTA-2012-AVI-194 : Vulnérabilité dans HP Business Availability Center
• CERTA-2012-AVI-195 : Vulnérabilité dans F5 FirePass
• CERTA-2012-AVI-196 : Vulnérabilité dans Juniper IVE