S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

Paris, le 19 février 2010
N^o CERTA-2010-ACT-007

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2010-07

Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-007

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-007.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-007/

1 Correctif Microsoft MS10-015

1.1 Résumé

Plusieurs utilisateurs ont remonté des dysfonctionnements suite à l'application du correctif Microsoft MS10-015.

1.2 Détails

Ces dysfonctionnements incluaient notamment des redémarrages inopinés de la machine.

Après analyse de Microsoft, il s'avère que le problème n'est pas lié au correctif MS10-015 mais à la présence d'un rootkit de la famille Alureon. Ce rootkit modifie le système d'exploitation et ces modifications rentrent en conflit avec le correctif MS10-015 provoquant un redémarrage de la machine.

La diffusion par Windows Update de cette mise à jour est pour le moment toujours suspendue. Cependant le correctif reste disponible via une synchronisation WSUS et en téléchargement manuel via le site Microsoft.

1.3 Recommandations

Si vous rencontrez le problème de redémarrage de la machine suite à l'application du correctif MS10-015, il existe une forte probabilité pour que la machine soit infectée. Le CERTA conseille donc dans ce cas d'impliquer le responsable de la sécurité du système d'information qui déterminera le plan d'action approprié.

1.4 Documentation

Blog du MSRC du 17 février 2010 :

http://blogs.technet.com/msrc/archive/2010/02/17/update-restart-issues-after-installing-ms10-015-and-the-alureon-rootkit.aspx

2 Mise à jour d'Adobe Reader

Cette semaine, le CERTA a émis l'avis CERTA-2010-AVI-081 concernant les produits Adobe Reader et Adobe Acrobat. Deux vulnérabilités ont, en effet, été corrigées. L'une d'entre elles, non spécifiée par l'éditeur, permet l'exécution de code arbitraire à distance. Il est donc impératif de mettre à jour les lecteurs PDF dès que possible.

Il convient de faire attention en réalisant cette opération. En effet, seule la mise à jour pour la version 9.3.0 est téléchargeable, et non sa version complète. Ainsi, lorsqu'un utilisateur télécharge « la dernière version » sur le site de l'éditeur, il s'agit en fait de la version 9.3.0, qu'il faudra ensuite mettre à jour à la version 9.3.1.

3 OpenOffice.org 2, chronique d'une mort annoncée

Cette semaine, le CERTA a relaté la mise à disposition de la version 3.2 de la suite bureautique OpenOffice.org. Cette version remédie à plusieurs vulnérabilités qui touchent la branche 3 du logiciel, mais également la branche 2. Or la communauté de développeurs de la suite bureautique a annoncé la fin du support de la branche 2 dans un communiqué du 22 décembre 2009. OpenOffice.org 2 doit être considérée comme obsolète et la migration à la version 3, disponible depuis plus d'un an, envisagée.

Pour les nostalgiques, des éditeurs de distributions GNU/Linux peuvent avoir choisi de maintenir des paquetages pour OpenOffice.org 2. Des sociétés peuvent également proposer un support payant pour cette branche. Ces solutions ne représentent que des sursis et ne doivent pas faire perdre de vue les migrations inévitables à plus ou moins long terme.

3.1 Documentation

Avis du CERTA CERTA-2010-AVI-080 du 15 février 2010, Multiples vulnérabilités dans OpenOffice.org :
```
http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-080/
```
Information sur les versions OpenOffice.org en fin de vie :
```
http://development.openoffice.org/releases/eol.html
```

4 Des modules additionnels malveillants pour Firefox

Le 4 février 2010, la fondation Mozilla a alerté les utilisateurs que deux modules additionnels (plugins) étaient malveillants et visaient les versions de Firefox sur Windows. Une mise à jour du 09 février précise qu'un seul des deux modules était malveillant et qu'il aurait potentiellement affecté 700 utilisateurs.

Bien que la fondation Mozilla pratique un contrôle automatique des modules, qui n'est pas infaillible, ces plugins sont des logiciels tiers qui doivent être considérés comme n'importe quel autre programme. Il faut ainsi se poser la question des cycles de mise à jour, de l'intérêt d'installer un tel module, ainsi que du sérieux du développement ...

Documentation

Annonce de sécurité AMO (addons.mozilla.org) du 04 février 2010 concernant deux modules additionnels malveillants :
```
http://blog.mozilla.com/addons/2010/02/04/please-read-security-issue-on-amo/
```
Bulletin du 09 février 2010 de mise à jour de l'annonce de sécurité précédente :
```
http://blog.mozilla.com/addons/2010/02/09/update-on-the-amo-security-issue/
```

5 Rappel des avis émis

Dans la période du 12 au 18 février 2010, le CERTA a émis les avis suivants :

CERTA-2010-AVI-078 : Multiples vulnérabilités dans Adobe Flash Player et Adobe Air
CERTA-2010-AVI-079 : Vulnérabilité dans Squid
CERTA-2010-AVI-080 : Multiples vulnérabilités dans OpenOfficeorg
CERTA-2010-AVI-081 : Multiples vulnérabilités dans Adobe Reader et Adobe Acrobat
CERTA-2010-AVI-082 : Vulnérabilités dans Mozilla Firefox
CERTA-2010-AVI-083 : Multiples Vulnérabilités dans HP Proliant Support Pack
CERTA-2010-AVI-084 : Vulnérabilité dans Cisco Firewall Services Module
CERTA-2010-AVI-085 : Vulnérabilités de Cisco ASA
CERTA-2010-AVI-086 : Multiples vulnérabilités dans Cisco Security Agent

Durant la même période, les avis suivants ont été mis à jour :

CERTA-2010-AVI-023-001 : Multiples vulnérabilités dans Realplayer et Helix Player (correction du lien vers la mise à jour de sécurité)

Gestion détaillée du document

19 février 2010: version initiale.

CERTA
2012-01-04