Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2012-ACT-029

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 20 juillet 2012
No CERTA-2012-ACT-029

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2012-029


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2012-ACT-029

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2012-ACT-029.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2012-ACT-029/

1 Renforcement de la politique de validation des certificats Microsoft

Microsoft a annoncé récemment qu'une mise à jour renforçant la validation des certificats allait être proposée et déployée par Windows Update au mois d'août. Celle-ci ajoutera une vérification lors de la validation de la chaîne de certificats. Si un des certificats RSA utilise une clé de moins de 1024 bits, il sera considéré comme non valide et une erreur sera renvoyée à l'utilisateur.

L'ensemble des mécanismes utilisant des certificats est impacté : de l'authentification des serveurs à la signature de composants ActiveX ou les mécanismes de messagerie sécurisée S/MIME.

Cette modification du comportement par défaut devrait permettre une diminution significative du nombre de certificats utilisant une taille de clé trop faible. En effet, la partie « mécanismes cryptographiques » du référentiel général de sécurité (RGS) mentionne que la taille minimale du module RSA est de 2048 bits pour une utilisation de devant pas dépasser 2020 (et 4096 au delà de 2020).

Enfin, les autorités de certification racines doivent, dans tous les cas, utiliser des clés RSA de 2048 bits minimum, comme spécifié dans le Microsoft Root Certificate Program.

Documentation

2 Retour sur la vulnérabilité XML Core

La semaine dernière, Microsoft a publié un correctif concernant XML Core Services. Ce dernier ne concerne que les versions 3.0, 4.0 et 6.0 pour toutes les versions maintenues de Microsoft Windows. Cette vulnérabilité est activement exploitée et plusieurs preuves de faisabilités sont disponibles sur l'Internet.

La correction de la version 5.0 qui concerne Microsoft Office 2003 et 2007 sera publiée dans un prochain bulletin Microsoft. C'est pourquoi le CERTA a maintenu son alerte CERTA-2012-ALE-003.

Le CERTA recommande de mettre à jour les versions 3.0, 4.0 et 6.0 avec la mise à jour publiée par Microsoft et, pour la version 5.0 :

  • appliquer le contournement bloquant le vecteur d'attaque (Fix it 50908) ;
  • déployer Enhanced Mitigation Experience Toolkit (EMET) ;
  • configurer Internet Explorer de manière à obtenir un avertissement avant d'exécuter Active Scripting ou désactiver Active Scripting dans les zones de sécurité Internet et Intranet Local.

Documentation

3 Microsoft met en garde les utilisateurs de gadgets

Microsoft a diffusé récemment un correctif consistant à désactiver les gadgets de Windows. Les gadgets sont souvent vus comme des applications simples et ayant un impact limité sur le système par les utilisateurs. En réalité, ceux-ci utilisent du code JavaScript sans bénéficier des contraintes de sécurités appliquées dans un environnement tel que Internet Explorer. Les accès au système offerts à ces gadgets sont nombreux et, de ce fait, ils peuvent être une cible de choix pour les attaquants. L'éditeur propose, notamment dans le cadre d'une utilisation professionnelle, de désactiver cette technologie en publiant une solution simple à déployer (FixIt, Stratégie).

Documentation

4 Correctifs Oracle

Oracle a publié cette semaine une mise à jour corrigeant soixante-dix sept vulnérabilités dans de nombreux produits Oracle. Certaines vulnérabilités peuvent être exploités à distance et permettent notament l'exécution de code arbitraire.

Le CERTA recommande l'application de ces mises à jour dès que possible

Documentation

5 Publications de l'ANSSI

L'ANSSI a publié cette semaine une note technique présentant les recommandations de sécurité relatives à un système GNU/Linux. Cette note présente différentes bonnes pratiques permettant de sécuriser un système GNU/Linux.

Ces recommandations sont particulièrement utiles pour assurer un durcissement du système. Le CERTA recommande la lecture et l'étude de cette note afin de déterminer la faisabilité et l'impact sur les SI correspondants.

L'ANSSI a également publié cette semaine une méthodologie et un outil d'audit des permissions d'un Active Directory. Celui-ci doit être utilisé dans un cadre légal, maîtrisé et conforme à la PSSI applicable. Il est publié sous licence de logiciel libre CeCILLv2 sur la forge publique GitHub.

Documentation


6 Rappel des avis émis

Dans la période du 13 juillet 2012 au 19 juillet 2012, le CERTA a émis les publications suivantes :

  • CERTA-2012-AVI-386 : Vulnérabilité dans Libpng
  • CERTA-2012-AVI-387 : Multiples vulnérabilités dans VMware ESXi
  • CERTA-2012-AVI-388 : Vulnérabilité dans GLPI
  • CERTA-2012-AVI-389 : Vulnérabilité dans divers produits EMC
  • CERTA-2012-AVI-390 : Vulnérabilité dans HP AssetManager
  • CERTA-2012-AVI-391 : Vulnérabilités dans IBM WebSphere
  • CERTA-2012-AVI-392 : Vulnérabilité dans libexif
  • CERTA-2012-AVI-393 : Multiples vulnérabilités dans les produits Oracle
  • CERTA-2012-AVI-394 : Multiples vulnérabilités dans Mozilla Firefox et Thunderbird
  • CERTA-2012-AVI-395 : Vulnérabiltés dans HP Network Node Manager i

Durant la même période, les publications suivantes ont été mises à jour :

  • CERTA-2012-ALE-003-002 : Vulnérabilité dans Microsoft XML Core Services (mise à jour de l'alerte concernant XML Core 50)
  • CERTA-2012-AVI-305-001 : Vulnérabilité dans BIND (ajout de AIX Bind)

Gestion détaillée du document

13 juillet 2012
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-04-26