CERT-XMCO : Avis d’expert : semaine du 6 au 12 février
février 2012 par CERT-XMCO
– Date : 15 Fevrier 2012
– Gravité : Elevée
– Description : Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :
* Avis d’expert :
À la suite de la publication d’un code d’exploitation [1] permettant de prendre le contrôle d’un système à distance via l’exploitation d’une faille au sein du Flash Player d’Adobe, le CERT-XMCO recommande l’installation du correctif APSB11-21 [2] ou ultérieure (APSB11-26 [3] et APSB11-28 [4]). Un pirate est en effet en mesure de prendre le contrôle d’un système à distance en incitant un internaute à visiter une page spécialement conçue.
* Résumé des évènements majeurs :
– Vulnérabilités : De nombreuses vulnérabilités ont été rendues publiques cette semaine. Parmi les logiciels concernés figurent : le firmware des routeurs DLink [5], le serveur de noms Bind [6], HP Business Availability Center (BAC) et Business Service Management (BSM) [7], IBM Cognos TM1 [8], MySQL [9], et enfin la librairie Apache APR [10].
La faille de sécurité affectant MySQL semble à première vue critique (Remote Code Execution pré authentification), mais le seul code d’exploitation actuellement existant est privé. Le CERT-XMCO recommande l’installation du correctif dès que celui-ci sera disponible, ainsi que la restriction de l’accès au serveur (firewall, interface réseau en écoute, etc.).
– Correctifs : Plusieurs correctifs ont été publiés. Ceux-ci concernent les frameworks Apache MyFaces [11] et Apache CXF [12], IBM SolidDB [13] et AIX [14], Solaris [15] (Pidgim et Flash), HP System Management Homepage [16] (SMH) et HP-UX [17], CA Total Defense Suite [18], Novell iPrint Client [19], Google Chrome [20], Horde Application Framework [21], IMP [22] et DIMP [23], Avaya Interaction Center [24], RealPlayer [25], JBoss [26], Skype [27] et enfin EMC Documentum xPlore [28].
Par ailleurs, Microsoft a annoncé la publication de 7 bulletins de sécurité le mardi 14 février dans le cadre de son "Patch Tuesday" [29] du mois de février.
– Exploit : Deux codes d’exploitation ont été divulgués cette semaine. Ceux-ci permettent de prendre le contrôle d’un système à distance via des vulnérabilités au sein d’Adobe Flash Player [1] (APSB11-21) et de Citrix Streamprocess [30].
– Conférence / Recherche : Google Chrome [31] va prochainement arrêter de vérifier la validité des certificats SSL auprès des listes de révocation publiées par les autorités de certification. Les avantages selon Google sont : pas de temps perdu pour l’internaute lorsque celui-ci visite un site web protégé par SSL, et pas de fuite d’information privée en alertant l’autorité de certification des sites visités par l’internaute. Inconvénients : aucun. En effet, selon le géant de la recherche, cette protection ne sert à rien, puisqu’elle est par nature contournable. Google propose donc de l’améliorer en embarquant les listes noires de certificats révoqués au sein même du navigateur, en les mettant à jour via un mécanisme de mises à jour transparent pour l’internaute.
Adobe [32] a publié une première version de son Flash Player pour Firefox intégrant de base un mécanisme de bac à sable. Cette nouvelle fonction de sécurité, très proche de celle présente au sein d’Adobe Reader, devrait assurer un niveau de protection plus élevé pour les internautes.
– Cybercriminalité / Attaques : Après Zeus, Citadel [33] pourrait être la prochaine évolution majeure dans le domaine des malwares. Ce toolkit reposerait sur le code source de Zeus, qui aurait été publié à la fin de l’année 2011 sur Internet. Cependant les développeurs auraient apporté autour de celui-ci une sorte de réseau social permettant aux utilisateurs de rapporter les problèmes rencontrés, et de voter pour les fonctionnalités à ajouter.
Google a mis en place un nouveau service sur son Android Market, appelé "Bouncer" [34]. Celui-ci sert à détecter les applications malveillantes automatiquement avant même que celles-ci ne soient publiées.
– Entreprise : La confiance est décidément difficile à maintenir entre chacun des acteurs constituant l’écosystème SSL. L’autorité de certification Trustwave [35] a en effet reconnu avoir émis un certificat SSL correspondant à une autorité de certification intermédiaire pour un de ces clients souhaitant inspecter le contenu des flux chiffrés de ses employés. Mozilla [36] envisage en conséquence de supprimer le certificat racine de l’autorité de certification du trousseau de ces logiciels, afin de protéger la vie privée des internautes.
D’après un échange de mails publiés sur Internet, Symantec [37] aurait été victime d’une tentative d’extorsion de la part des pirates ayant dérobé le code source de certains logiciels de l’éditeur. Le pirate a publié sur Internet le code source [38] après avoir réalisé que les forces de l’ordre étaient à pied d’oeuvre.
– Internationnal : En France, l’ANSSI a évalué la capacité du pays à réagir à un cyber-incident majeur en déroulant l’exercice PIRANET 2012 [39].
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco
– Référence :
[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0211
[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-1336
https://www.adobe.com/support/security/bulletins/apsb11-21.html
[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-1593
https://www.adobe.com/support/security/bulletins/apsb11-26.html
[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-1959
http://www.adobe.com/support/security/bulletins/apsb11-28.html
[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0182
http://www.solutionary.com/index/SERT/Vuln-Disclosures/D-Link_DIR-601.php
[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0192
https://www.isc.org/software/bind/advisories/cve-2012-1033
[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0195
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03127140
[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0199
http://www-01.ibm.com/support/docview.wss?uid=swg27023584
[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0201
https://lists.immunityinc.com/pipermail/canvas/2012-February/000011.html
[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0207
http://www.mail-archive.com/dev%40apr.apache.org/msg24439.html
[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0222
http://seclists.org/bugtraq/2012/Feb/51
[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0191
http://cxf.apache.org/cve-2012-0803.html
[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0221
http://www.ibm.com/support/docview.wss?uid=swg27021052
[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0183
http://aix.software.ibm.com/aix/efixes/security/large_send_advisory.asc
[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0193
http://blogs.oracle.com/sunsecurity/entry/multiple_vulnerabilities_in_adobe_flashplayer4
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0215
http://blogs.oracle.com/sunsecurity/entry/cve_2011_1091_denial_of
[16]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0208
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03164351
[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0190
http://h20565.www2.hp.com/portal/site/hpsc/public/kb/docDisplay/?docId=emr_na-c03183543
[18]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0205
http://www.zerodayinitiative.com/advisories/ZDI-12-022/
http://www.zerodayinitiative.com/advisories/ZDI-12-023/
http://www.zerodayinitiative.com/advisories/ZDI-12-024/
[19]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0203
http://www.novell.com/support/viewContent.do?externalId=7008708
[20]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0202
http://googlechromereleases.blogspot.com/2012/02/stable-channel-update.html
[21]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0198
http://lists.horde.org/archives/announce/2012/000744.html
[22]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0198
http://lists.horde.org/archives/announce/2012/000745.html
[23]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0198
http://lists.horde.org/archives/announce/2012/000746.html
[24]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0194
https://support.avaya.com/css/P8/documents/100154707
[25]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0187
http://service.real.com/realplayer/security/02062012_player/en/
[26]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0186
https://access.redhat.com/kb/docs/DOC-30741
[27]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0185
http://blogs.skype.com/garage/2012/02/skype_for_windows_update.html
[28]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0184
http://archives.neohapsis.com/archives/bugtraq/2012-02/att-0020/ESA-2012-010.txt
[29]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0213
http://blogs.technet.com/b/msrc/archive/2012/02/09/ans-for-february-2012-and-some-notes-on-sdl.aspx
[30]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0212
[31]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0197
http://www.imperialviolet.org/2012/02/05/crlsets.html
[32]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0189
https://blogs.adobe.com/asset/2012/02/flash-player-sandboxing-is-coming-to-firefox.html
[33] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0206
http://blog.seculert.com/2012/02/citadel-open-source-malware-project.html
[34]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0181
[35]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0200
http://blog.spiderlabs.com/2012/02/clarifying-the-trustwave-ca-policy-update.html
[36]
https://bugzilla.mozilla.org/show_bug.cgi?id=724929
[37]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0196
[38]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0188
[39]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0220
– Référence CVE :
http://cve.mitre.org/cgi-bin/cvename.cgi?name=[REFERENCE-CVE]
– Lien extranet XMCO :
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0238