Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2011-ACT-006

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 11 février 2011
No CERTA-2011-ACT-006

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2011-06


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-006

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-006.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-006/

1 Les mises à jour de la semaine

La semaine a été riche en publications de mises à jour par les éditeurs d'application, le CERTA revient sur certains éléments importants.

1.1 Alerte concernant l'environnement d'exécution Java

Cette semaine, Oracle a publié une alerte concernant une vulnérabilité, référencée CVE-2010-4476. Cette dernière permet à une personne distante malintentionnée de provoquer un déni de service du composant JRE (Java Runtime Environment) d'Oracle Java SE et Java for Business Products. Oracle attire l'attention sur l'exposition des applications Java et des serveurs web basés sur cette technologie. Le détail des produits concernés est le suivant :

  • Java SE, JDK et JRE 6 mise à jour 23 et versions antérieures pour Windows, Solaris et Linux ;
  • Java SE, JDK 5.0 mise à jour 27 et versions antérieures pour Solaris 9 ;
  • Java SE, SDK 1.4.2_29 et versions antérieures pour Solaris 8 ;
  • Java for Business, JDK et JRE 6 mise à jour 23 et versions antérieures pour Windows Solaris et Linux ;
  • Java for Business, JDK et JRE 5.0 mise à jour 27 et versions antérieures pour Windows Solaris et Linux ;
  • Java for Business, SDK et JRE 1.4.2_29 et versions antérieures pour Windows Solaris et Linux.

Le CERTA a publié l'avis CERTA-2011-AVI-079 pour cette vulnérabilité. Un correctif, non déployé par le système de mise à jour automatique, est disponible et doit être installé dans les plus brefs délais.

Documentation

1.2 Mises à jour Microsoft du mois de février

Microsoft a publié cette semaine douze bulletins de sécurité. Parmi eux, deux bulletins corrigent des alertes CERTA (CERTA-2010-ALE-021 et CERTA-2011-ALE-001). Elles concernent une vulnérabilité dans Internet Explorer et une vulnérabilité dans le moteur de rendu graphique de Windows.

Au total, cinq bulletins corrigent des vulnérabilités permettant d'exécuter du code arbitraire à distance.

Incompatibilités rencontrées dans les mises à jour

Certaines de ces mises à jour nécessitent une attention particulière lors de leur déploiement.

En effet, afin de pouvoir installer le correctif publié dans le bulletin MS11-006 (avis CERTA-2011-AVI-061), il est impératif de supprimer au préalable les mesures de contournement provisoire.

D'autre part, un conflit est apparu entre VMware View Client et l'installation des mises à jour MS11-003 et/ou KB2467023 sur Windows 7. VMware a publié un article et proposé une mise à jour de View Client (version 4.5.0-353760) afin de corriger le problème.

Le CERTA recommande d'appliquer les mises à jour de sécurité dès que possible. Cependant, il est conseillé de procéder à une validation avant de les appliquer sur un système en production.

Documentation

1.3 Mises à jour Adobe

Cette semaine, Adobe a publié de nombreuses mises à jour concernant trois de ses produits, Adobe Shockwave, Adobe Acrobat et Adobe Flash. La plupart d'entre elles corrigeant des vulnérabilités qui permettent l'exécution de code arbitraire à distance au moyen de documents spécialement formés, le CERTA recommande vivement l'application des correctifs. Pour ce faire, il suffit de vous reporter aux avis du CERTA correspondants (cf. Documentation).

Toutefois, il est à noter que la mise à jour d'Adobe Reader 9.4.2, préconisée dans l'avis CERTA-2011-AVI-076, concernant les systèmes Unix ne sera disponible que pendant la semaine du 28 février 2011. Il est donc préférable d'utiliser sur ces systèmes d'autres lecteurs de fichiers PDF, non connus comme vulnérables, le temps que la mise à jour soit disponible auprès de l'éditeur.

Documentation

2 Nouvelle version de Debian et mise à jour de clefs PGP

Cette semaine, le projet Debian a annoncé la publication de la nouvelle version de son système d'exploitation éponyme (Debian 6.0 « Squeeze »).

Par ailleurs, il a été également précisé que les clefs PGP utilisées dans la signature des fichiers de référence des miroirs de paquetages ont été mises à jour. Pour l'instant, seules les signatures des branches testing et unstable sont concernées ainsi que celles des miroirs des mises à jour de sécurité (security.debian.org) et les paquetages de back-portage (backports.debian.org).

Quant à la version stable actuelle (Squeeze) et à la version stable précédente (Lenny), leurs signatures seront mises à jour lors du passage à une nouvelle version mineure, 6.0.1 et 5.0.9 par exemple.

Recommandations :

Afin d'anticiper cette future mise à jours, il est possible de vérifier que le paquetage debian-archive-keyring est bien installé et à jour.


3 Rappel des avis émis

Dans la période du 04 au 10 février 2011, le CERTA a émis les avis suivants :

  • CERTA-2011-AVI-051 : Vulnérabilité dans HP OpenView Performance Insight
  • CERTA-2011-AVI-052 : Vulnérabilité dans les produits BlueCoat
  • CERTA-2011-AVI-053 : Multiples vulnérabilités dans Google Chrome
  • CERTA-2011-AVI-054 : Vulnérabilité dans les produits TANDBERG
  • CERTA-2011-AVI-055 : Vulnérabilité dans IBM Build Forge
  • CERTA-2011-AVI-056 : Vulnérabilités dans Apache Subversion
  • CERTA-2011-AVI-057 : Vulnérabilité dans Majordomo 2
  • CERTA-2011-AVI-058 : Vulnérabilités dans Internet Explorer
  • CERTA-2011-AVI-059 : Vulnérabilité dans Microsoft Internet Information Server (IIS)
  • CERTA-2011-AVI-060 : Vulnérabilité dans Active Directory
  • CERTA-2011-AVI-062 : Vulnérabilité dans le pilote Compact Font Format (CCF) OpenType
  • CERTA-2011-AVI-063 : Vulnérabilités dans Microsoft Visio
  • CERTA-2011-AVI-064 : Vulnérabilité dans les moteurs de JScript et VBScript
  • CERTA-2011-AVI-065 : Vulnérabilité dans le processus CSRSS de Windows
  • CERTA-2011-AVI-066 : Vulnérabilité dans le noyau Windows
  • CERTA-2011-AVI-067 : Vulnérabiltés dans les pilotes en mode noyau de Windows
  • CERTA-2011-AVI-068 : Vulnérabilité de Kerberos dans Microsoft Windows
  • CERTA-2011-AVI-069 : Vulnérabilité de LSASS dans Microsoft Windows
  • CERTA-2011-AVI-070 : Multiples vulnérabilités dans Google Chrome
  • CERTA-2011-AVI-071 : Multiples vulnérabilités dans WordPress
  • CERTA-2011-AVI-072 : Vulnérabilité dans MediaWiki
  • CERTA-2011-AVI-073 : Vulnérabilité dans OpenSSL
  • CERTA-2011-AVI-074 : Vulnérabilités dans Dokeos
  • CERTA-2011-AVI-076 : Multiples vulnérabilités dans Adobe Reader et Adobe Acrobat
  • CERTA-2011-AVI-077 : Multiples vulnérabilités dans Adobe Flash Player
  • CERTA-2011-AVI-078 : Vulnérabilités dans Kerberos
  • CERTA-2011-AVI-079 : Vulnérabilité dans Oracle Java
  • CERTA-2011-AVI-080 : Vulnérabilités dans ffmpeg
  • CERTA-2011-AVI-081 : Multiples vulnérabilités dans Apache Tomcat
  • CERTA-2011-AVI-082 : Vulnérabilité dans IBM Lotus Notes
  • CERTA-2011-AVI-083 : Multiples vulnérabilités dans Ruby on Rails
  • CERTA-2011-AVI-084 : Vulnérabilité dans RealPlayer

Durant la même période, les avis suivants ont été mis à jour :

  • CERTA-2010-AVI-550-002 : Vulnérabilités dans IBM HTTP Server et WebSphere (ajout de WebSphere 7x.)
  • CERTA-2011-AVI-061-001 : Vulnérabilité dans le moteur de rendu graphique de Windows (référence à l'alerte et précision sur la suppression des mesures de contournement provisoire)


Liste des tableaux

Gestion détaillée du document

11 février 2011
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-03-23