1 Les mises à jour de la semaine
La semaine a été riche en publications de mises à jour par les éditeurs d'application, le CERTA revient sur certains éléments importants.
1.1 Alerte concernant l'environnement d'exécution Java
Cette semaine, Oracle a publié une alerte concernant une vulnérabilité, référencée CVE-2010-4476. Cette dernière permet à une personne distante malintentionnée de provoquer un déni de service du composant JRE (Java Runtime Environment) d'Oracle Java SE et Java for Business Products. Oracle attire l'attention sur l'exposition des applications Java et des serveurs web basés sur cette technologie. Le détail des produits concernés est le suivant :
- Java SE, JDK et JRE 6 mise à jour 23 et versions antérieures pour Windows, Solaris et Linux ;
- Java SE, JDK 5.0 mise à jour 27 et versions antérieures pour Solaris 9 ;
- Java SE, SDK 1.4.2_29 et versions antérieures pour Solaris 8 ;
- Java for Business, JDK et JRE 6 mise à jour 23 et versions antérieures pour Windows Solaris et Linux ;
- Java for Business, JDK et JRE 5.0 mise à jour 27 et versions antérieures pour Windows Solaris et Linux ;
- Java for Business, SDK et JRE 1.4.2_29 et versions antérieures pour Windows Solaris et Linux.
Le CERTA a publié l'avis CERTA-2011-AVI-079 pour cette vulnérabilité. Un correctif, non déployé par le système de mise à jour automatique, est disponible et doit être installé dans les plus brefs délais.
Documentation
- Avis du CERTA CERTA-2011-AVI-079 :
http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-079
- Page de téléchargement du correctif Oracle :
http://www.oracle.com/technetwork/java/javase/downloads/index.html#fpupdater
1.2 Mises à jour Microsoft du mois de février
Microsoft a publié cette semaine douze bulletins de sécurité. Parmi eux, deux bulletins corrigent des alertes CERTA (CERTA-2010-ALE-021 et CERTA-2011-ALE-001). Elles concernent une vulnérabilité dans Internet Explorer et une vulnérabilité dans le moteur de rendu graphique de Windows.
Au total, cinq bulletins corrigent des vulnérabilités permettant d'exécuter du code arbitraire à distance.
Incompatibilités rencontrées dans les mises à jour
Certaines de ces mises à jour nécessitent une attention particulière lors de leur déploiement.
En effet, afin de pouvoir installer le correctif publié dans le bulletin MS11-006 (avis CERTA-2011-AVI-061), il est impératif de supprimer au préalable les mesures de contournement provisoire.
D'autre part, un conflit est apparu entre VMware View Client et l'installation des mises à jour MS11-003 et/ou KB2467023 sur Windows 7. VMware a publié un article et proposé une mise à jour de View Client (version 4.5.0-353760) afin de corriger le problème.
Le CERTA recommande d'appliquer les mises à jour de sécurité dès que possible. Cependant, il est conseillé de procéder à une validation avant de les appliquer sur un système en production.
Documentation
- Base de connaissances VMware KB1034262 du 08 février 2011 :
http://kb.vmware.com/kb/1034262
- Bulletin de sécurité Microsoft MS11-003 du 08 février 2011 :
http://www.microsoft.com/france/technet/security/Bulletin/MS11-003.mspx
http://www.microsoft.com/technet/security/Bulletin/MS11-003.mspx
- Document du CERTA CERTA-2011-AVI-058 du 09 février 2011 :
http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-058/index.html
- Base de connaissances Microsoft KB2467023 du 08 février 2011 :
http://support.microsoft.com/kb/2467023
- Bulletin de sécurité Microsoft MS11-006 du 08 février 2011 :
http://www.microsoft.com/france/technet/security/Bulletin/MS11-006.mspx
http://www.microsoft.com/technet/security/Bulletin/MS11-006.mspx
- Document du CERTA CERTA-2011-AVI-061 du 10 février 2011 :
http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-061/index.html
1.3 Mises à jour Adobe
Cette semaine, Adobe a publié de nombreuses mises à jour concernant trois de ses produits, Adobe Shockwave, Adobe Acrobat et Adobe Flash. La plupart d'entre elles corrigeant des vulnérabilités qui permettent l'exécution de code arbitraire à distance au moyen de documents spécialement formés, le CERTA recommande vivement l'application des correctifs. Pour ce faire, il suffit de vous reporter aux avis du CERTA correspondants (cf. Documentation).
Toutefois, il est à noter que la mise à jour d'Adobe Reader 9.4.2, préconisée dans l'avis CERTA-2011-AVI-076, concernant les systèmes Unix ne sera disponible que pendant la semaine du 28 février 2011. Il est donc préférable d'utiliser sur ces systèmes d'autres lecteurs de fichiers PDF, non connus comme vulnérables, le temps que la mise à jour soit disponible auprès de l'éditeur.
Documentation
- Avis du CERTA CERTA-2011-AVI-075 :
http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-075/index.html
- Avis du CERTA CERTA-2011-AVI-076 :
http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-076/index.html
- Avis du CERTA CERTA-2011-AVI-077 :
http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-077/index.html
- Bulletin de sécurité Adobe APSB11-03 du 8 février 2011 :
http://www.adobe.com/support/security/bulletins/apsb11-03.html
2 Nouvelle version de Debian et mise à jour de clefs PGP
Cette semaine, le projet Debian a annoncé la publication de la nouvelle version de son système d'exploitation éponyme (Debian 6.0 « Squeeze »).
Par ailleurs, il a été également précisé que les clefs PGP utilisées dans la signature des fichiers de référence des miroirs de paquetages ont été mises à jour. Pour l'instant, seules les signatures des branches testing et unstable sont concernées ainsi que celles des miroirs des mises à jour de sécurité (security.debian.org) et les paquetages de back-portage (backports.debian.org).
Quant à la version stable actuelle (Squeeze) et à la version stable précédente (Lenny), leurs signatures seront mises à jour lors du passage à une nouvelle version mineure, 6.0.1 et 5.0.9 par exemple.
