S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 19 avril 2013
N° CERTA-2013-ACT-016
Affaire suivie par: CERT-FR

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité CERTA-2013-ACT-016

Gestion du document

Référence CERTA-2013-ACT-016
Titre Bulletin d'actualité CERTA-2013-ACT-016
Date de la première version 19 avril 2013
Date de la dernière version 19 avril 2013
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Correctifs Oracle

Oracle a publié cette semaine des mises à jour corrigeant de nombreuses vulnérabilités dans certains de ses produits tels que Java, MySQL, Oracle Database, Solaris, GlassFish, etc.

Les vulnérabilités les plus critiques concernent les trois premiers produits sus-cités et permettent l'exécution de code arbitraire à distance ou la divulgation de données confidentielles par un attaquant.

A noter que des codes d'exploitation pour Java qui permettent d'exécuter du code arbitraire à distance (versions antérieures à 1.7.21) sont largement diffusés sur Internet.

De nombreuses solutions tiers utilisent des composants Oracle. Des mises à jour de ces solutions sont donc à prévoir.

Le CERTA recommande l'application de ces correctifs dès que possible.

Documentation

2 Rappel sur la fin de support de Oracle Java 6 et Microsoft Windows XP

2.1 Fin de support Oracle Java 6

Depuis février 2013, Oracle ne délivre plus de mise à jour et de correctif de sécurité gratuits pour Java SE version 6. Oracle a démarré en décembre 2012 un processus de mise à jour automatique vers Java 7 pour les versions Windows 32-bit. Toutefois, de nombreuses utilisations de Java version 6 sont encore fréquemment rencontrées.

Le CERTA incite donc les administrateurs et les développeurs Java version 6 qui ne l'auraient pas déjà fait à migrer au plus vite vers une version supportée de Java (version 7).

2.2 Fin de support Microsoft Windows XP

Microsoft a planifié l'arrêt du support de Microsoft Windows XP en avril 2014. A cette date, l'éditeur cessera d'assurer la publication de correctifs de sécurité pour Windows XP, y compris en cas de découverte d'une vulnérabilité critique.

De nombreux systèmes utilisant Microsoft Windows XP sont aujourd'hui encore en service dans les administrations et les entreprises.

Le CERTA attire l'attention sur la nécessité d'anticiper dès à présent une migration des systèmes fonctionnant sous Windows XP vers un système d'exploitation dont la pérennité des mises à jour de sécurité pourra être assurée après cette date.

2.3 Anticipation des obsolescences logicielles

D'une manière générale, le CERTA recommande la plus grande vigilance sur la date d'échéance des versions de produits utilisés, afin de pouvoir anticiper les migrations nécessaires pour continuer à disposer des produits tenus à jour par les editeurs.

Nous recommandons d'utiliser systématiquement la derniere version stable des produits et de veiller à la bonne mise à jour des correctifs de sécurité.

Documentation

3 Recommandations de sécurité relatives aux environnements d'exécution Java sur les postes de travail Microsoft Windows

Une note technique de recommandations sur la sécurisation de Java sur les postes Microsoft Windows a été publiée par l'ANSSI le 19 avril 2013.

La technologie Java est aujourd'hui très répandue et utilisée par de nombreuses applications. Ces applications se présentent souvent sous la forme d'appliquettes (applets) exécutées depuis des clients légers (navigateurs Web) mais peuvent aussi être des applications lourdes installées sur les postes utilisateurs.

Comme tout composant logiciel utilisé pour la navigation Web, les environnements d'exécution Java sont une cible privilégiée des attaquants et font régulièrement l'actualité pour leurs vulnérabilités.

Le CERTA recommande la lecture de cette note technique et l'application des recommandations qu'elle contient sur tous les postes de travail Microsoft Windows.

Documentation

4 Recommandations pour un usage sécurisé d'(Open)SSH

Une note technique de recommandations sur l'utilisation d'OpenSSH a été publiée par l'ANSSI le 10 avril 2013.

Le chiffrement et l'authentification que procurent OpenSSH font que ces outils sont couramment utilisés pour l'administration à distance, le transfert de fichiers, les redirections et encapsulations de flux sensibles sécurisés.

Il est toutefois essentiel de maîtriser la configuration d'OpenSSH, de durcir son installation et d'appliquer des règles d'hygiène strictes pour pouvoir profiter de la sécurité que peuvent apporter ces outils.

Le CERTA recommande aux intégrateurs et adminstrateurs sytèmes et réseaux la lecture et l'application des recommandations de cette note technique pour installer et administrer au mieux un parc avec le protocole SSH et son implémentation de référence : OpenSSH.

Documentation

Rappel des publications émises

Dans la période du 08 avril 2013 au 14 avril 2013, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 19 avril 2013
    version initiale.