Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2010-ACT-041

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 15 octobre 2010
No CERTA-2010-ACT-041

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2010-41


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-041

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-041.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-041/

1 Une semaine riche en correctifs

1.1 Mise à jour des produits Microsoft...

Dans son cycle mensuel, Microsoft a publié une longue liste de correctifs répartis dans pas moins de 16 mises à jour différentes. Quatre d'entre elles sont considérées comme critiques par Microsoft (MS10-071, MS10-075, MS10-076, MS10-077, cf. Documentation) et corrigent des vulnérabilités qui peuvent conduire à une exécution de code arbitraire à distance par une personne malintentionnée.

L'ensemble des mises à jour concerne Windows, Internet Explorer, MS .NET Framework en passant par la suite bureautique MS Office et Media Player. Les mises à jour non critiques (mais désignées comme importantes pour la plupart par Microsoft) ne sont pas pour autant à ignorer et doivent également faire l'objet d'une attention particulière.

L'application dans les plus brefs délais de l'ensemble de ces correctifs est impérative.

Documentation

1.2 ... et des produits Oracle

Cette semaine, nous retiendrons également deux avis de sécurité importants concernant les produits Oracle. Ceux-ci ciblent des vulnérabilités critiques permettant une exécution de code arbitraire à distance par une personne malintentionnée.

Le premier avis concerne Java SE et Java for Business (CERTA-2010-AVI-500).

Le second avis concerne plusieurs produits Oracle dont Oracle Database, Oracle Application Server, Oracle E-Business Suite ou encore Oracle VM. La liste complète est à consulter sur l'avis CERTA-2010-AVI-499.

Les correctifs publiés sont à appliquer impérativement pour les produits concernés.

Documentation

2 La CNIL publie un guide de la sécurité des données personnelles

La CNIL vient de publier sur son site un guide pour la sécurité des données personnelles. Après un rappel des contraintes légales qui s'appliquent aux SI, le document présente une série de fiches de conseil par domaine technique et administratif (sécurité des locaux, sécurisation des terminaux mobiles, authentification des utilisateurs, sous-traitance, ...).

Chaque fiche présente les précautions élémentaires à mettre en œuvre, les bonnes pratiques à suivre ainsi que des solutions à éviter. Elles sont également accompagnées de documents « type » (charte informatique, clause de confidentialité en cas de sous-traitance, ...).

Rédigé dans l'état de l'art de la technique et du droit, dépassant souvent le cadre du traitement des données personnelles, il s'agit en pratique d'un document très intéressant aussi bien pour les responsables de grands systèmes d'information que pour les administrateurs de PME.

Le CERTA rappelle qu'il est important de se poser la question de la déclaration de tout fichier de données à caractères personnelles auprès de la CNIL et que des mesures de protection doivent être mise en place afin d'en assurer leur confidentialité.

Documentation


3 Rappel des avis émis

Dans la période du 01 au 07 octobre 2010, le CERTA a émis les avis suivants :

  • CERTA-2010-AVI-477 : Multiples vulnérabilités dans phpCAS
  • CERTA-2010-AVI-478 : Vulnérabilité dans RSA Authentication Client
  • CERTA-2010-AVI-480 : Vulnérabilités dans IBM WebSphere
  • CERTA-2010-AVI-481 : Vulnérabilités dans Internet Explorer
  • CERTA-2010-AVI-482 : Multiples vulnérabilités dans SafeHTML
  • CERTA-2010-AVI-483 : Vulnérabilités dans les pilotes en mode noyau de Windows
  • CERTA-2010-AVI-484 : Vulnérabilité dans Microsoft Foundation CLasses
  • CERTA-2010-AVI-485 : Vulnérabilité dans le service de partage réseau de Media Player
  • CERTA-2010-AVI-486 : Vulnérabilité dans le moteur de polices Embedded OpenType de Windows
  • CERTA-2010-AVI-487 : Vulnérabilité dans Microsoft NET
  • CERTA-2010-AVI-488 : Vulnérabilités dans le pilote de format OpenType Font
  • CERTA-2010-AVI-489 : Vulnérabilités dans Microsoft Office Word
  • CERTA-2010-AVI-490 : Vulnérabilités dans Microsoft Office Excel
  • CERTA-2010-AVI-491 : Vulnérabilité dans Windows Explorer Common Control Library
  • CERTA-2010-AVI-492 : Vulnérabilité dans Windows Media Player
  • CERTA-2010-AVI-493 : Vulnérabilité dans l'interpréteur Windows et WordPad
  • CERTA-2010-AVI-494 : Vulnérabilité dans Windows
  • CERTA-2010-AVI-495 : Vulnérabilité dans Microsoft Windows Secure Channel
  • CERTA-2010-AVI-496 : Vulnérabilité dans le partage de cluster de disques sous Windows Server
  • CERTA-2010-AVI-497 : Vulnérabilité dans Wireshark
  • CERTA-2010-AVI-498 : Multiples vulnérabilités dans Opera
  • CERTA-2010-AVI-499 : Multiples vulnérabilités dans les produits Oracle
  • CERTA-2010-AVI-500 : Multiples vulnérabilités dans Oracle Java

Durant la même période, les avis suivants ont été mis à jour :

  • CERTA-2010-AVI-479-001 : Vulnérabilités dans Xpdf (ajout des références aux bulletins de sécurité Red Hat)


Liste des tableaux

Gestion détaillée du document

15 octobre 2010
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-05-24