Objet: Bulletin d’actualité 2012-029

1 Renforcement de la politique de validation des certificats Microsoft

Microsoft a annoncé récemment qu’une mise à jour renforçant la validation des certificats allait être proposée et déployée par Windows Update au mois d’août. Celle-ci ajoutera une vérification lors de la validation de la chaîne de certificats. Si un des certificats RSA utilise une clé de moins de 1024 bits, il sera considéré comme non valide et une erreur sera renvoyée à l’utilisateur.

L’ensemble des mécanismes utilisant des certificats est impacté : de l’authentification des serveurs à la signature de composants ActiveX ou les mécanismes de messagerie sécurisée S/MIME.

Cette modification du comportement par défaut devrait permettre une diminution significative du nombre de certificats utilisant une taille de clé trop faible. En effet, la partie « mécanismes cryptographiques » du référentiel général de sécurité (RGS) mentionne que la taille minimale du module RSA est de 2048 bits pour une utilisation de devant pas dépasser 2020 (et 4096 au delà de 2020).

Enfin, les autorités de certification racines doivent, dans tous les cas, utiliser des clés RSA de 2048 bits minimum, comme spécifié dans le Microsoft Root Certificate Program.

Documentation

• RSA keys under 1024 bits are blocked

  http://blogs.technet.com/b/pki/archive/2012/06/12/rsa-keys-under-1024-bits-are-blocked.aspx
  

• Microsoft Root Certificate Program

  http://technet.microsoft.com/en-us/library/cc751157.aspx
  

• Mécanismes cryptographiques : Règles et recommandations concernant le choix et le dimensionnement des mécanismes cryptographiques

  http://www.ssi.gouv.fr/IMG/pdf/RGS_B_1.pdf
  

2 Retour sur la vulnérabilité XML Core

La semaine dernière, Microsoft a publié un correctif concernant XML Core Services. Ce dernier ne concerne que les versions 3.0, 4.0 et 6.0 pour toutes les versions maintenues de Microsoft Windows. Cette vulnérabilité est activement exploitée et plusieurs preuves de faisabilités sont disponibles sur l’Internet.

La correction de la version 5.0 qui concerne Microsoft Office 2003 et 2007 sera publiée dans un prochain bulletin Microsoft. C’est pourquoi le CERTA a maintenu son alerte CERTA-2012-ALE-003.

Le CERTA recommande de mettre à jour les versions 3.0, 4.0 et 6.0 avec la mise à jour publiée par Microsoft et, pour la version 5.0 :

• appliquer le contournement bloquant le vecteur d’attaque (Fix it 50908) ;
• déployer Enhanced Mitigation Experience Toolkit (EMET) ;
• configurer Internet Explorer de manière à obtenir un avertissement avant d’exécuter Active Scripting ou désactiver Active Scripting dans les zones de sécurité Internet et Intranet Local.

Documentation

• Bulletin de sécurité Microsoft MS12-043 du 10 juillet 2012 :

  http://technet.microsoft.com/fr-fr/security/bulletin/MS12-043
  

  http://technet.microsoft.com/en-us/security/bulletin/MS12-043
  

• Base de connaissance Microsoft KB2722479 du 10 juillet 2012 :

  http://support.microsoft.com/kb/2722479
  

• Base de connaissance Microsoft KB269238 :

  http://support.microsoft.com/kb/269238
  

• Article de bloc-notes de Microsoft du 10 juillet 2012 :

  http://blog.technet.com/b/srd/archive/2012/07/10/msxml-5-steps-to-stay-protected.aspx
  

• Alerte CERTA CERTA-2012-ALE-003 du 14 juin 2012 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2012-ALE-003
  

• Alerte CERTA CERTA-2012-AVI-375 du 11 juillet 2012 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-375
  

3 Microsoft met en garde les utilisateurs de gadgets

Microsoft a diffusé récemment un correctif consistant à désactiver les gadgets de Windows. Les gadgets sont souvent vus comme des applications simples et ayant un impact limité sur le système par les utilisateurs. En réalité, ceux-ci utilisent du code JavaScript sans bénéficier des contraintes de sécurités appliquées dans un environnement tel que Internet Explorer. Les accès au système offerts à ces gadgets sont nombreux et, de ce fait, ils peuvent être une cible de choix pour les attaquants. L’éditeur propose, notamment dans le cadre d’une utilisation professionnelle, de désactiver cette technologie en publiant une solution simple à déployer (FixIt, Stratégie).

Documentation

• Avis de sécurité Microsoft (2719662) du 10 juillet 2012 :

  http://technet.microsoft.com/fr-fr/security/advisory/2719662
  

• Article 2719662 de la base de connaissances Microsoft :

  http://support.microsoft.com/kb/2719662
  

4 Correctifs Oracle

Oracle a publié cette semaine une mise à jour corrigeant soixante-dix sept vulnérabilités dans de nombreux produits Oracle. Certaines vulnérabilités peuvent être exploités à distance et permettent notament l’exécution de code arbitraire.

Le CERTA recommande l’application de ces mises à jour dès que possible

Documentation

• Avis CERTA-2012-AVI-393 du 18 juillet 2012 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-393/index.html
  

5 Publications de l’ANSSI

L’ANSSI a publié cette semaine une note technique présentant les recommandations de sécurité relatives à un système GNU/Linux. Cette note présente différentes bonnes pratiques permettant de sécuriser un système GNU/Linux.

Ces recommandations sont particulièrement utiles pour assurer un durcissement du système. Le CERTA recommande la lecture et l’étude de cette note afin de déterminer la faisabilité et l’impact sur les SI correspondants.

L’ANSSI a également publié cette semaine une méthodologie et un outil d’audit des permissions d’un Active Directory. Celui-ci doit être utilisé dans un cadre légal, maîtrisé et conforme à la PSSI applicable. Il est publié sous licence de logiciel libre CeCILLv2 sur la forge publique GitHub.

Documentation

• Recommandations de sécurité relatives à un système GNU/Linux :

  http://www.ssi.gouv.fr/fr/bonnes-pratiques/recommandations-et-guides/securite-du-poste-de-travail-et-des-serveurs/systeme-d-exploitation-linux/recommandations-de-securite-relatives-a-un-systeme-gnu-linux.html
  

• Méthodologie et outils d’audit des permissions d’un Active Directory :

  http://www.ssi.gouv.fr/fr/menu/actualites/methodologie-et-outils-d-audit-des-permissions-d-un-active-directory.html
  

Rappel des avis émis

Dans la période du 02 au 08 juillet 2012, le CERT-FR a émis les publications suivantes :

• CERTA-2012-AVI-360 : Multiples vulnérabilités dans IBM Support Assistant
• CERTA-2012-AVI-361 : Multiples vulnérabilités dans WordPress
• CERTA-2012-AVI-362 : Vulnérabilité dans Network Node Manager i
• CERTA-2012-AVI-363 : Vulnérabilité dans Novell GroupWise
• CERTA-2012-AVI-364 : Vulnérabilité dans HP-UX
• CERTA-2012-AVI-365 : Vulnérabilité dans Avaya IP Office Customer Call Reporter
• CERTA-2012-AVI-366 : Vulnérabilité dans SPIP
• CERTA-2012-AVI-367 : Vulnérabilité dans TYPO3
• CERTA-2012-AVI-368 : Vulnérabilité dans RSA Access Manager
• CERTA-2012-AVI-369 : Vulnérabilité dans HP ProtectTools Enterprise

Durant la même période, les publications suivantes ont été mises à jour :

• CERTA-2012-AVI-344-001 : Vulnérabilités dans Joomla!