Actu
CERT-XMCO : Avis d’expert, semaine du 3 au 9 mai 2010
mai 2010 par CERT-XMCO
– Date : 11 Mai 2010
– Gravité : Moyenne
– Description : Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :
* Avis d’expert :
Cette semaine, aucune nouvelle vulnérabilité critique n’a été publiée. Le CERT-XMCO retient cependant 3 évènements majeurs :
– La publication annoncée par Microsoft de deux bulletins de sécurité pour le 11 mai [1].
– La mise à jour du lecteur de PDF Foxit [2] pour corriger la vulnérabilité PDF "/Launch" fortement exploitée au cours des dernières semaines [3][4].
– La publication de méthodes d’exploitation de la vulnérabilité permettant de contourner l’authentification JBoss [5]. Il est fort possible que celle-ci soit prochainement exploitée pour contourner les interfaces d’administration JMX-console et WEB-console exposée sur internet. Le CERT-XMCO recommande donc aux administrateurs de vérifier la configuration de leurs serveurs JBoss afin d’imposer l’authentification pour les différents verbes HTTP (dont HEAD).
* Résumé des évènements majeurs :
Dans le cadre du "patch tuesday" du mois d’avril, Microsoft a corrigé trois vulnérabilités importantes sans avoir averti ses clients. D’après les recherches effectuées par CORE Security, les correctifs MS10-024 [6] et MS10-028 [7] cacheraient des modifications réalisées sur Visio et le service SMTP de Windows. Microsoft a aussi annoncé la correction d’une faille de sécurité au sein de Windows et d’une autre au sein de l’interpréteur Visual Basic dans le cadre du "patch tuesday" du 11 mai [1]. Ces vulnérabilités sont jugées critiques.
Par ailleurs, Microsoft annonce qu’il ne proposera pas (tout de suite) de correctif pour la vulnérabilité de "Cross Site Scripting" révélée récemment dans SharePoint [8]. Seule une solution de contournement a été publiée [9]. Enfin, le CERT-XMCO rappelle que Microsoft arrêtera le support de Windows 2000 et de Windows XP SP2 à partir du 13 juillet prochain [1].
Côté postes de travail, l’éditeur du lecteur de PDF Foxit a publié la version 3.3 de Foxit Reader [2]. Cette version offre un nouveau composant appelé "Secure Trust Manager". Celui-ci permet de gérer finement les actions autorisées. Par défaut, le support de la commande "/Launch" est désactivé pour protéger les utilisateurs contre une exploitation de la faille découverte par le chercheur Didier Stevens [10].
Deux ans après la première édition, le mois des bogues PHP est de retour sur le site php-security.org [11]. Chaque jour, différentes failles de sécurité et des preuves de concept sont présentées, celles-ci affectent l’interpréteur PHP mais également des applications reposant sur l’interpréteur. Des conseils sont également proposés pour aider les développeurs à développer de manière sécurisée
Le navigateur Opera a été mis à jour en version 10.53 après la révélation de l’existence d’une faille de sécurité critique d’après l’éditeur [12].
Enfin, il y a quelques semaines, une faille de sécurité liée à la configuration de JBoss (jmx et web consoles) avait été corrigée par Red Hat [5]. Cette dernière et toujours présente dans la configuration par défaut du serveur JBoss. En utilisant certains types de requêtes HTTP comme HEAD, il était possible de contourner le processus d’authentification utilisé par les applications. Des outils exploitant cette vulnérabilité ont été mis à jour [13] et pourraient être massivement utilisés sur Internet.
Le CERT-XMCO recommande de vérifier rapidement la configuration de son serveur (web.xml).
– Référence :
http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0552
[2] http://www.foxitsoftware.com/pdf/reader/whatsnew33.htm
http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0542
[3] http://cert.lexsi.com/weblog/index.php/2010/04/28/377--launch-malware
http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0523
[4] http://blogs.zdnet.com/security/?p=6196
http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0467
[5] http://www.securityfocus.com/bid/39710/info
http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0561
[6] http://www.coresecurity.com/content/CORE-2010-0424-windows-smtp-dns-query-id-bugs
http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0547
[7] http://www.coresecurity.com/content/ms-visio-dxf-buffer-overflow
http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0550
http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0552
[9] http://www.microsoft.com/technet/security/advisory/983438.mspx
[10] http://blog.didierstevens.com/2010/03/29/escape-from-pdf/
http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0387
[11] http://php-security.org/2010/05/01/welcome-to-the-month-of-php-security/index.html
http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0541
[12]
http://www.opera.com/docs/changelogs/windows/1053/
http://www.xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0543
[13]
http://blog.mindedsecurity.com/2010/04/good-bye-critical-jboss-0day.html
– Lien extranet XMCO Partners :
http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0571
