Bulletin d'actualité 2010-50

1 Mise à jour des produits Microsoft

Comme tous les mois, Microsoft a publié cette semaine une liste de correctifs de certains de ses produits, couvrant de nombreuses versions de Windows. Parmi les 17 avis émis par Microsoft, dix traitent de vulnérabilités permettant l'exécution de code arbitraire à distance.

On pourra également noter que le bulletin de sécurité MS10-090 (voir l'avis CERTA-2010-AVI-593) corrige la vulnérabilité décrite dans l'alerte CERTA-2010-ALE-019 du 03 novembre 2010.

Compte tenu de la criticité des failles corrigées, il est impératif d'appliquer l'ensemble des correctifs de manière diligente.

Documentation

Avis CERTA-2010-AVI-593 :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-593

Alerte CERTA-2010-ALE-019 :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ALE-019

2 Dépôt d'une porte dérobée dans phpMyFAQ

Les développeurs du projet phpMyFAQ ont annoncé sur leur site Web (http://www.phpmyfaq.de) que le serveur principal du projet avait été compromis. Cette attaque a eu pour conséquence le dépôt de versions contenant une porte dérobée. Les versions affectées par cette modification sont phpMyFAQ 2.6.11 et 2.6.12. L'attaquant a également changé les fichiers de condensats cryptographiques (hash) MD5 afin de dissimuler la modification des sources.

La porte dérobée a été ajoutée dans le fichier inc/Faq.php et encodée en base64. Ce code envoie tout d'abord un courriel vers une adresse définie puis ajoute une entrée dans la table faqconfig utilisée par phpMyFAQ. Cette entrée est ensuite utilisée comme porte dérobée en permettant d'inclure du code PHP arbitraire.

Les sources contenant cette porte dérobée ont été disponibles en téléchargement du 04 au 15 décembre 2010. Le CERTA recommande, par précaution, à tous les administrateurs ayant déployé phpMyFAQ de vérifier les condensats cryptographiques (hash MD5) des sources sur la page de l'éditeur.

Documentation

Avis CERTA-2010-AVI-616 :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-616

Bulletin de sécurité phpMyFAQ annonçant la compromission du serveur :
```
http://www.phpmyfaq.de/advisory_2010-12-15.php
```
Fichiers de signature MD5 des sources de phpMyFAQ 2.6.11 et 2.6.12 :
```
http://www.phpmyfaq.de/download_old.php
```

Rappel des publications émises

Dans la période du 06 décembre 2010 au 12 décembre 2010, le CERT-FR a émis les publications suivantes :

CERTA-2010-AVI-577 : Vulnérabilité dans CUPS
CERTA-2010-AVI-578 : Multiples vulnérabilités dans Google Chrome
CERTA-2010-AVI-579 : Vulnérabilités dans AWStats
CERTA-2010-AVI-580 : Vulnérabilité dans le module Safe de Perl
CERTA-2010-AVI-581 : Multiples vulnérabilités dans QuickTime
CERTA-2010-AVI-582 : Vulnérabilités dans WordPress
CERTA-2010-AVI-583 : Multiples vulnérabilités dans VMware ESX
CERTA-2010-AVI-584 : Vulnérabilité dans Citrix Web Interface
CERTA-2010-AVI-585 : Vulnérabilités dans les produits Mozilla

Dans la période du 06 décembre 2010 au 12 décembre 2010, le CERT-FR a mis à jour les publications suivantes :

CERTA-2010-AVI-576 : Vulnérabilités dans ClamAV

Référence	CERTA-2010-ACT-050
Titre	Bulletin d'actualité 2010-50
Date de la première version	17 décembre 2010
Date de la dernière version	17 décembre 2010
Source(s)

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité 2010-50

Gestion du document

1 Mise à jour des produits Microsoft

Documentation

2 Dépôt d'une porte dérobée dans phpMyFAQ

Documentation

Rappel des publications émises

Gestion détaillée du document