Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT-XMCO : Avis d’expert : semaine du 6 au 12 février

février 2012 par CERT-XMCO

 Date : 15 Fevrier 2012

 Gravité : Elevée

 Description : Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine :

* Avis d’expert :

À la suite de la publication d’un code d’exploitation [1] permettant de prendre le contrôle d’un système à distance via l’exploitation d’une faille au sein du Flash Player d’Adobe, le CERT-XMCO recommande l’installation du correctif APSB11-21 [2] ou ultérieure (APSB11-26 [3] et APSB11-28 [4]). Un pirate est en effet en mesure de prendre le contrôle d’un système à distance en incitant un internaute à visiter une page spécialement conçue.

* Résumé des évènements majeurs :

 Vulnérabilités : De nombreuses vulnérabilités ont été rendues publiques cette semaine. Parmi les logiciels concernés figurent : le firmware des routeurs DLink [5], le serveur de noms Bind [6], HP Business Availability Center (BAC) et Business Service Management (BSM) [7], IBM Cognos TM1 [8], MySQL [9], et enfin la librairie Apache APR [10].

La faille de sécurité affectant MySQL semble à première vue critique (Remote Code Execution pré authentification), mais le seul code d’exploitation actuellement existant est privé. Le CERT-XMCO recommande l’installation du correctif dès que celui-ci sera disponible, ainsi que la restriction de l’accès au serveur (firewall, interface réseau en écoute, etc.).

 Correctifs : Plusieurs correctifs ont été publiés. Ceux-ci concernent les frameworks Apache MyFaces [11] et Apache CXF [12], IBM SolidDB [13] et AIX [14], Solaris [15] (Pidgim et Flash), HP System Management Homepage [16] (SMH) et HP-UX [17], CA Total Defense Suite [18], Novell iPrint Client [19], Google Chrome [20], Horde Application Framework [21], IMP [22] et DIMP [23], Avaya Interaction Center [24], RealPlayer [25], JBoss [26], Skype [27] et enfin EMC Documentum xPlore [28].

Par ailleurs, Microsoft a annoncé la publication de 7 bulletins de sécurité le mardi 14 février dans le cadre de son "Patch Tuesday" [29] du mois de février.

 Exploit : Deux codes d’exploitation ont été divulgués cette semaine. Ceux-ci permettent de prendre le contrôle d’un système à distance via des vulnérabilités au sein d’Adobe Flash Player [1] (APSB11-21) et de Citrix Streamprocess [30].

 Conférence / Recherche : Google Chrome [31] va prochainement arrêter de vérifier la validité des certificats SSL auprès des listes de révocation publiées par les autorités de certification. Les avantages selon Google sont : pas de temps perdu pour l’internaute lorsque celui-ci visite un site web protégé par SSL, et pas de fuite d’information privée en alertant l’autorité de certification des sites visités par l’internaute. Inconvénients : aucun. En effet, selon le géant de la recherche, cette protection ne sert à rien, puisqu’elle est par nature contournable. Google propose donc de l’améliorer en embarquant les listes noires de certificats révoqués au sein même du navigateur, en les mettant à jour via un mécanisme de mises à jour transparent pour l’internaute.

Adobe [32] a publié une première version de son Flash Player pour Firefox intégrant de base un mécanisme de bac à sable. Cette nouvelle fonction de sécurité, très proche de celle présente au sein d’Adobe Reader, devrait assurer un niveau de protection plus élevé pour les internautes.

 Cybercriminalité / Attaques : Après Zeus, Citadel [33] pourrait être la prochaine évolution majeure dans le domaine des malwares. Ce toolkit reposerait sur le code source de Zeus, qui aurait été publié à la fin de l’année 2011 sur Internet. Cependant les développeurs auraient apporté autour de celui-ci une sorte de réseau social permettant aux utilisateurs de rapporter les problèmes rencontrés, et de voter pour les fonctionnalités à ajouter.

Google a mis en place un nouveau service sur son Android Market, appelé "Bouncer" [34]. Celui-ci sert à détecter les applications malveillantes automatiquement avant même que celles-ci ne soient publiées.

 Entreprise : La confiance est décidément difficile à maintenir entre chacun des acteurs constituant l’écosystème SSL. L’autorité de certification Trustwave [35] a en effet reconnu avoir émis un certificat SSL correspondant à une autorité de certification intermédiaire pour un de ces clients souhaitant inspecter le contenu des flux chiffrés de ses employés. Mozilla [36] envisage en conséquence de supprimer le certificat racine de l’autorité de certification du trousseau de ces logiciels, afin de protéger la vie privée des internautes.

D’après un échange de mails publiés sur Internet, Symantec [37] aurait été victime d’une tentative d’extorsion de la part des pirates ayant dérobé le code source de certains logiciels de l’éditeur. Le pirate a publié sur Internet le code source [38] après avoir réalisé que les forces de l’ordre étaient à pied d’oeuvre.

 Internationnal : En France, l’ANSSI a évalué la capacité du pays à réagir à un cyber-incident majeur en déroulant l’exercice PIRANET 2012 [39].

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter :
http://twitter.com/certxmco

 Référence :

[1]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0211

http://dev.metasploit.com/redmine/projects/framework/repository/revisions/e5ea2961f546f43947d03b19dd83911207ad6109/entry/modules/exploits/windows/browser/adobe_flash_sps.rb

[2]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-1336

https://www.adobe.com/support/security/bulletins/apsb11-21.html

[3]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-1593

https://www.adobe.com/support/security/bulletins/apsb11-26.html

[4]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2011-1959

http://www.adobe.com/support/security/bulletins/apsb11-28.html

[5]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0182

http://www.solutionary.com/index/SERT/Vuln-Disclosures/D-Link_DIR-601.php

[6]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0192

https://www.isc.org/software/bind/advisories/cve-2012-1033

[7]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0195

http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03127140

[8]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0199

http://www-01.ibm.com/support/docview.wss?uid=swg27023584

[9]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0201

https://lists.immunityinc.com/pipermail/canvas/2012-February/000011.html

[10]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0207

http://www.mail-archive.com/dev%40apr.apache.org/msg24439.html

[11]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0222

http://seclists.org/bugtraq/2012/Feb/51

[12]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0191

http://cxf.apache.org/cve-2012-0803.html

[13]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0221

http://www.ibm.com/support/docview.wss?uid=swg27021052

[14]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0183

http://aix.software.ibm.com/aix/efixes/security/large_send_advisory.asc

[15]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0193

http://blogs.oracle.com/sunsecurity/entry/multiple_vulnerabilities_in_adobe_flashplayer4

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0215

http://blogs.oracle.com/sunsecurity/entry/cve_2011_1091_denial_of

[16]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0208

http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03164351

[17]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0190

http://h20565.www2.hp.com/portal/site/hpsc/public/kb/docDisplay/?docId=emr_na-c03183543

[18]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0205

http://www.zerodayinitiative.com/advisories/ZDI-12-022/

http://www.zerodayinitiative.com/advisories/ZDI-12-023/

http://www.zerodayinitiative.com/advisories/ZDI-12-024/

[19]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0203

http://www.novell.com/support/viewContent.do?externalId=7008708

[20]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0202

http://googlechromereleases.blogspot.com/2012/02/stable-channel-update.html

[21]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0198

http://lists.horde.org/archives/announce/2012/000744.html

[22]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0198

http://lists.horde.org/archives/announce/2012/000745.html

[23]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0198

http://lists.horde.org/archives/announce/2012/000746.html

[24]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0194

https://support.avaya.com/css/P8/documents/100154707

[25]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0187

http://service.real.com/realplayer/security/02062012_player/en/

[26]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0186

https://access.redhat.com/kb/docs/DOC-30741

[27]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0185

http://blogs.skype.com/garage/2012/02/skype_for_windows_update.html

[28]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0184

http://archives.neohapsis.com/archives/bugtraq/2012-02/att-0020/ESA-2012-010.txt

[29]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0213

http://blogs.technet.com/b/msrc/archive/2012/02/09/ans-for-february-2012-and-some-notes-on-sdl.aspx

[30]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0212

http://dev.metasploit.com/redmine/projects/framework/repository/revisions/2bd330da337053510f14ca8118aa3435a8e974a2/entry/modules/exploits/windows/misc/citrix_streamprocess_data_msg.rb

[31]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0197

http://www.imperialviolet.org/2012/02/05/crlsets.html

[32]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0189

https://blogs.adobe.com/asset/2012/02/flash-player-sandboxing-is-coming-to-firefox.html

[33] https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0206

http://blog.seculert.com/2012/02/citadel-open-source-malware-project.html

[34]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0181

http://www.lemondeinformatique.fr/actualites/lire-google-renforce-la-securite-de-l-android-market-avec-bouncer-47662.html

[35]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0200

http://blog.spiderlabs.com/2012/02/clarifying-the-trustwave-ca-policy-update.html

[36]
https://bugzilla.mozilla.org/show_bug.cgi?id=724929

[37]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0196

http://news.cnet.com/8301-1009_3-57372308-83/hackers-wanted-$50000-to-keep-symantec-source-code-private/

[38]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0188

http://legionnairesawaken.sexyi.am/LegionNET/2012/02/07/symantecs-pcanywhere-leaked-source-code-antisec-anonymous/

[39]
https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0220

http://www.ssi.gouv.fr/fr/anssi/publications/communiques-de-presse/cyber-attaques-l-exercice-piranet-2012-met-l-etat-a-l-epreuve-d-une-crise.html

 Référence CVE :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=[REFERENCE-CVE]

 Lien extranet XMCO :

https://cert.xmco.fr/veille/client/index.xmco?nv=CXA-2012-0238


Voir les articles précédents

    

Voir les articles suivants