Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2013-ACT-016

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 19 avril 2013
No CERTA-2013-ACT-016

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité CERTA-2013-ACT-016


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2013-ACT-016

1 Correctifs Oracle

Oracle a publié cette semaine des mises à jour corrigeant de nombreuses vulnérabilités dans certains de ses produits tels que Java, MySQL, Oracle Database, Solaris, GlassFish, etc.

Les vulnérabilités les plus critiques concernent les trois premiers produits sus-cités et permettent l'exécution de code arbitraire à distance ou la divulgation de données confidentielles par un attaquant.

A noter que des codes d'exploitation pour Java qui permettent d'exécuter du code arbitraire à distance (versions antérieures à 1.7.21) sont largement diffusés sur Internet.

De nombreuses solutions tiers utilisent des composants Oracle. Des mises à jour de ces solutions sont donc à prévoir.

Le CERTA recommande l'application de ces correctifs dès que possible.

Documentation

2 Rappel sur la fin de support de Oracle Java 6 et Microsoft Windows XP

2.1 Fin de support Oracle Java 6

Depuis février 2013, Oracle ne délivre plus de mise à jour et de correctif de sécurité gratuits pour Java SE version 6. Oracle a démarré en décembre 2012 un processus de mise à jour automatique vers Java 7 pour les versions Windows 32-bit. Toutefois, de nombreuses utilisations de Java version 6 sont encore fréquemment rencontrées.

Le CERTA incite donc les administrateurs et les développeurs Java version 6 qui ne l'auraient pas déjà fait à migrer au plus vite vers une version supportée de Java (version 7).

2.2 Fin de support Microsoft Windows XP

Microsoft a planifié l'arrêt du support de Microsoft Windows XP en avril 2014. A cette date, l'éditeur cessera d'assurer la publication de correctifs de sécurité pour Windows XP, y compris en cas de découverte d'une vulnérabilité critique.

De nombreux systèmes utilisant Microsoft Windows XP sont aujourd'hui encore en service dans les administrations et les entreprises.

Le CERTA attire l'attention sur la nécessité d'anticiper dès à présent une migration des systèmes fonctionnant sous Windows XP vers un système d'exploitation dont la pérennité des mises à jour de sécurité pourra être assurée après cette date.

2.3 Anticipation des obsolescences logicielles

D'une manière générale, le CERTA recommande la plus grande vigilance sur la date d'échéance des versions de produits utilisés, afin de pouvoir anticiper les migrations nécessaires pour continuer à disposer des produits tenus à jour par les editeurs.

Nous recommandons d'utiliser systématiquement la derniere version stable des produits et de veiller à la bonne mise à jour des correctifs de sécurité.

Documentation

3 Recommandations de sécurité relatives aux environnements d'exécution Java sur les postes de travail Microsoft Windows

Une note technique de recommandations sur la sécurisation de Java sur les postes Microsoft Windows a été publiée par l'ANSSI le 19 avril 2013.

La technologie Java est aujourd'hui très répandue et utilisée par de nombreuses applications. Ces applications se présentent souvent sous la forme d'appliquettes (applets) exécutées depuis des clients légers (navigateurs Web) mais peuvent aussi être des applications lourdes installées sur les postes utilisateurs.

Comme tout composant logiciel utilisé pour la navigation Web, les environnements d'exécution Java sont une cible privilégiée des attaquants et font régulièrement l'actualité pour leurs vulnérabilités.

Le CERTA recommande la lecture de cette note technique et l'application des recommandations qu'elle contient sur tous les postes de travail Microsoft Windows.

Documentation

4 Recommandations pour un usage sécurisé d'(Open)SSH

Une note technique de recommandations sur l'utilisation d'OpenSSH a été publiée par l'ANSSI le 10 avril 2013.

Le chiffrement et l'authentification que procurent OpenSSH font que ces outils sont couramment utilisés pour l'administration à distance, le transfert de fichiers, les redirections et encapsulations de flux sensibles sécurisés.

Il est toutefois essentiel de maîtriser la configuration d'OpenSSH, de durcir son installation et d'appliquer des règles d'hygiène strictes pour pouvoir profiter de la sécurité que peuvent apporter ces outils.

Le CERTA recommande aux intégrateurs et adminstrateurs sytèmes et réseaux la lecture et l'application des recommandations de cette note technique pour installer et administrer au mieux un parc avec le protocole SSH et son implémentation de référence : OpenSSH.

Documentation


5 Rappel des avis émis

Dans la période du 12 au 18 avril 2013, le CERTA a émis les publications suivantes :

  • CERTA-2013-AVI-244 : Multiples vulnérabilités dans les systèmes SCADA Schneider
  • CERTA-2013-AVI-245 : Vulnérabilité dans Xen qemu-nbd
  • CERTA-2013-AVI-246 : Multiples vulnérabilités dans Oracle Database Server
  • CERTA-2013-AVI-247 : Multiples vulnérabilités dans Oracle Fusion Middleware
  • CERTA-2013-AVI-248 : Multiples vulnérabilités dans Oracle Applications
  • CERTA-2013-AVI-249 : Multiples vulnérabilités dans Oracle Industry Applications
  • CERTA-2013-AVI-250 : Multiples vulnérabilités dans Oracle Financial Services Software
  • CERTA-2013-AVI-251 : Multiples vulnérabilités dans Oracle Primavera Products Suite
  • CERTA-2013-AVI-252 : Multiples vulnérabilités dans Oracle Solaris
  • CERTA-2013-AVI-253 : Multiples vulnérabilités dans Oracle MySQL
  • CERTA-2013-AVI-254 : Multiples vulnérabilités dans Oracle GlassFish Server
  • CERTA-2013-AVI-255 : Vulnérabilité dans Oracle Support Tools
  • CERTA-2013-AVI-256 : Multiples vulnérabilités dans Oracle Java
  • CERTA-2013-AVI-257 : Multiples vulnérabilités dans Apple OS X
  • CERTA-2013-AVI-258 : Vulnérabilité dans Apple Safari
  • CERTA-2013-AVI-259 : Multiples vulnérabilités dans le noyau Linux de Red Hat
  • CERTA-2013-AVI-260 : Vulnérabilité dans Cisco NAC Manager
  • CERTA-2013-AVI-261 : Vulnérabilité dans Cisco TelePresence Infrastructure

Gestion détaillée du document

19 avril 2013
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-03-22