S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 27 avril 2012
N° CERTA-2012-ACT-017
Affaire suivie par: CERT-FR
le 27 avril 2012

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2012-17

Gestion du document

Référence CERTA-2012-ACT-017
Titre Bulletin d’actualité 2012-17
Date de la première version 27 avril 2012
Date de la dernière version 27 avril 2012
Source(s) Aucune
Pièce(s) jointe(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Vulnérabilité critique dans Oracle TNS

Le 17 avril 2012, Oracle a diffusé une suite de correctifs de sécurité concernant ses produits (voir avis CERTA-2012-AVI-220). Parmi les vulnérabilités évoquées par Oracle, une d’entre elles semble ne pas avoir été corrigée, contrairement à ce qui était suggéré par l’avis de sécurité. Le découvreur mentionné par Oracle de cette faille prétend que l’éditeur n’a en réalité pas appliqué le correctif aux versions existantes de ses produits, mais qu’il serait intégré dans de futures versions. Par ailleurs, les détails concernant cette vulnérabilité, considérée comme critique, ont été publiés.

Le prochain correctif cumulatif d’Oracle est prévu pour le 17 juillet 2012.

Le CERTA n’a, pour le moment, pas connaissance d’attaques portant sur cette vulnérabilité, ni de l’existence d’outils permettant une exploitation automatique. Dans l’attente de clarification de la part de l’éditeur, il peut être judicieux de filtrer le port 1521/tcp sur les pare-feux.

Documentation :

2 Logiciels dérivés

Certains programmes populaires, comme par exemple le navigateur Mozilla Firefox, font parfois l’objet de dérivés (aussi appelés forks). L’objectif de ces derniers est d’améliorer les performances dans des configurations bien particulières, ou encore d’ajouter des fonctionnalités. Leur utilisation pose toutefois des problèmes de sécurité. En effet :

  • les dérivés partagent une bonne partie du code avec le produit d’origine, ce qui signifie qu’ils héritent généralement des vulnérabilités. Ainsi, une faille affectant Mozilla Firefox est susceptible de concerner tous ses développements parallèles ;
  • le produit dérivé peut également faire l’objet de vulnérabilités qui lui sont propres, liées au code qui n’est pas partagé ;
  • la publication des correctifs de sécurité d’un dérivé se fait généralement en différé par rapport au produit d’origine, parfois plusieurs mois après.

À titre d’exemple, la vulnérabilité ayant la référence CVE-2011-3658 a été corrigée en décembre 2011 pour Mozilla Firefox. Pale Moon, un des nombreux dérivés de Mozilla Firefox, n’a adapté le correctif qu’en avril 2012. Ce retard peut entraîner des risques de sécurité pour l’utilisateur final.

Le CERTA recommande d’évaluer l’impact en termes de sécurité, avant d’opter pour l’utilisation d’un dérivé plutôt que son produit d’origine.

3 Rappel des avis émis

Dans la période du 20 au 26 avril 2012, le CERTA a émis les publications suivantes :

  • CERTA-2012-AVI-223 : Vulnérabilités dans Xoops
  • CERTA-2012-AVI-224 : Vulnérabilité dans OpenSSL
  • CERTA-2012-AVI-225 : Multiples vulnératilités dans HP-UX
  • CERTA-2012-AVI-226 : Vulnérabilité dans IBM Rational ClearQuest
  • CERTA-2012-AVI-227 : Vulnérabilités dans SPIP
  • CERTA-2012-AVI-228 : Multiples vulnérabilités dans WordPress
  • CERTA-2012-AVI-229 : Multiples vulnérabilités dans Asterisk
  • CERTA-2012-AVI-230 : Vulnérabilités dans WebCalendar
  • CERTA-2012-AVI-231 : Vulnérabilité dans IBM Tivoli Directory Server
  • CERTA-2012-AVI-232 : Vulnérabilité dans HP-UX
  • CERTA-2012-AVI-233 : Vulnérabilités dans IBM Rational AppScan et Policy Tester
  • CERTA-2012-AVI-234 : Multiples vulnérabilités dans Mozilla
  • CERTA-2012-AVI-235 : Multiples vulnérabilités dans Firefox Mobile

Rappel des avis émis

Dans la période du 16 au 22 avril 2012, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :

Gestion détaillée du document

    le 27 avril 2012
    version initiale.