Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-006

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-006.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-006/

1 Les mises à jour de la semaine

La semaine a été riche en publications de mises à jour par les éditeurs d'application, le CERTA revient sur certains éléments importants.

1.1 Alerte concernant l'environnement d'exécution Java

Cette semaine, Oracle a publié une alerte concernant une vulnérabilité, référencée CVE-2010-4476. Cette dernière permet à une personne distante malintentionnée de provoquer un déni de service du composant JRE (Java Runtime Environment) d'Oracle Java SE et Java for Business Products. Oracle attire l'attention sur l'exposition des applications Java et des serveurs web basés sur cette technologie. Le détail des produits concernés est le suivant :

Java SE, JDK et JRE 6 mise à jour 23 et versions antérieures pour Windows, Solaris et Linux ;
Java SE, JDK 5.0 mise à jour 27 et versions antérieures pour Solaris 9 ;
Java SE, SDK 1.4.2_29 et versions antérieures pour Solaris 8 ;
Java for Business, JDK et JRE 6 mise à jour 23 et versions antérieures pour Windows Solaris et Linux ;
Java for Business, JDK et JRE 5.0 mise à jour 27 et versions antérieures pour Windows Solaris et Linux ;
Java for Business, SDK et JRE 1.4.2_29 et versions antérieures pour Windows Solaris et Linux.

Le CERTA a publié l'avis CERTA-2011-AVI-079 pour cette vulnérabilité. Un correctif, non déployé par le système de mise à jour automatique, est disponible et doit être installé dans les plus brefs délais.

Documentation

Avis du CERTA CERTA-2011-AVI-079 :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-079

Page de téléchargement du correctif Oracle :

http://www.oracle.com/technetwork/java/javase/downloads/index.html#fpupdater

1.2 Mises à jour Microsoft du mois de février

Microsoft a publié cette semaine douze bulletins de sécurité. Parmi eux, deux bulletins corrigent des alertes CERTA (CERTA-2010-ALE-021 et CERTA-2011-ALE-001). Elles concernent une vulnérabilité dans Internet Explorer et une vulnérabilité dans le moteur de rendu graphique de Windows.

Au total, cinq bulletins corrigent des vulnérabilités permettant d'exécuter du code arbitraire à distance.

Incompatibilités rencontrées dans les mises à jour

Certaines de ces mises à jour nécessitent une attention particulière lors de leur déploiement.

En effet, afin de pouvoir installer le correctif publié dans le bulletin MS11-006 (avis CERTA-2011-AVI-061), il est impératif de supprimer au préalable les mesures de contournement provisoire.

D'autre part, un conflit est apparu entre VMware View Client et l'installation des mises à jour MS11-003 et/ou KB2467023 sur Windows 7. VMware a publié un article et proposé une mise à jour de View Client (version 4.5.0-353760) afin de corriger le problème.

Le CERTA recommande d'appliquer les mises à jour de sécurité dès que possible. Cependant, il est conseillé de procéder à une validation avant de les appliquer sur un système en production.

Documentation

Base de connaissances VMware KB1034262 du 08 février 2011 :
```
http://kb.vmware.com/kb/1034262
```

Bulletin de sécurité Microsoft MS11-003 du 08 février 2011 :

http://www.microsoft.com/france/technet/security/Bulletin/MS11-003.mspx

http://www.microsoft.com/technet/security/Bulletin/MS11-003.mspx

Document du CERTA CERTA-2011-AVI-058 du 09 février 2011 :
```
http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-058/index.html
```
Base de connaissances Microsoft KB2467023 du 08 février 2011 :
```
http://support.microsoft.com/kb/2467023
```

Bulletin de sécurité Microsoft MS11-006 du 08 février 2011 :

http://www.microsoft.com/france/technet/security/Bulletin/MS11-006.mspx

http://www.microsoft.com/technet/security/Bulletin/MS11-006.mspx

Document du CERTA CERTA-2011-AVI-061 du 10 février 2011 :
```
http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-061/index.html
```

1.3 Mises à jour Adobe

Cette semaine, Adobe a publié de nombreuses mises à jour concernant trois de ses produits, Adobe Shockwave, Adobe Acrobat et Adobe Flash. La plupart d'entre elles corrigeant des vulnérabilités qui permettent l'exécution de code arbitraire à distance au moyen de documents spécialement formés, le CERTA recommande vivement l'application des correctifs. Pour ce faire, il suffit de vous reporter aux avis du CERTA correspondants (cf. Documentation).

Toutefois, il est à noter que la mise à jour d'Adobe Reader 9.4.2, préconisée dans l'avis CERTA-2011-AVI-076, concernant les systèmes Unix ne sera disponible que pendant la semaine du 28 février 2011. Il est donc préférable d'utiliser sur ces systèmes d'autres lecteurs de fichiers PDF, non connus comme vulnérables, le temps que la mise à jour soit disponible auprès de l'éditeur.

Documentation

Avis du CERTA CERTA-2011-AVI-075 :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-075/index.html

Avis du CERTA CERTA-2011-AVI-076 :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-076/index.html

Avis du CERTA CERTA-2011-AVI-077 :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-077/index.html

Bulletin de sécurité Adobe APSB11-03 du 8 février 2011 :
```
http://www.adobe.com/support/security/bulletins/apsb11-03.html
```

2 Nouvelle version de Debian et mise à jour de clefs PGP

Cette semaine, le projet Debian a annoncé la publication de la nouvelle version de son système d'exploitation éponyme (Debian 6.0 « Squeeze »).

Par ailleurs, il a été également précisé que les clefs PGP utilisées dans la signature des fichiers de référence des miroirs de paquetages ont été mises à jour. Pour l'instant, seules les signatures des branches testing et unstable sont concernées ainsi que celles des miroirs des mises à jour de sécurité (security.debian.org) et les paquetages de back-portage (backports.debian.org).

Quant à la version stable actuelle (Squeeze) et à la version stable précédente (Lenny), leurs signatures seront mises à jour lors du passage à une nouvelle version mineure, 6.0.1 et 5.0.9 par exemple.

Recommandations :

Afin d'anticiper cette future mise à jours, il est possible de vérifier que le paquetage debian-archive-keyring est bien installé et à jour.

3 Rappel des avis émis

Dans la période du 04 au 10 février 2011, le CERTA a émis les avis suivants :

CERTA-2011-AVI-051 : Vulnérabilité dans HP OpenView Performance Insight
CERTA-2011-AVI-052 : Vulnérabilité dans les produits BlueCoat
CERTA-2011-AVI-053 : Multiples vulnérabilités dans Google Chrome
CERTA-2011-AVI-054 : Vulnérabilité dans les produits TANDBERG
CERTA-2011-AVI-055 : Vulnérabilité dans IBM Build Forge
CERTA-2011-AVI-056 : Vulnérabilités dans Apache Subversion
CERTA-2011-AVI-057 : Vulnérabilité dans Majordomo 2
CERTA-2011-AVI-058 : Vulnérabilités dans Internet Explorer
CERTA-2011-AVI-059 : Vulnérabilité dans Microsoft Internet Information Server (IIS)
CERTA-2011-AVI-060 : Vulnérabilité dans Active Directory
CERTA-2011-AVI-062 : Vulnérabilité dans le pilote Compact Font Format (CCF) OpenType
CERTA-2011-AVI-063 : Vulnérabilités dans Microsoft Visio
CERTA-2011-AVI-064 : Vulnérabilité dans les moteurs de JScript et VBScript
CERTA-2011-AVI-065 : Vulnérabilité dans le processus CSRSS de Windows
CERTA-2011-AVI-066 : Vulnérabilité dans le noyau Windows
CERTA-2011-AVI-067 : Vulnérabiltés dans les pilotes en mode noyau de Windows
CERTA-2011-AVI-068 : Vulnérabilité de Kerberos dans Microsoft Windows
CERTA-2011-AVI-069 : Vulnérabilité de LSASS dans Microsoft Windows
CERTA-2011-AVI-070 : Multiples vulnérabilités dans Google Chrome
CERTA-2011-AVI-071 : Multiples vulnérabilités dans WordPress
CERTA-2011-AVI-072 : Vulnérabilité dans MediaWiki
CERTA-2011-AVI-073 : Vulnérabilité dans OpenSSL
CERTA-2011-AVI-074 : Vulnérabilités dans Dokeos
CERTA-2011-AVI-076 : Multiples vulnérabilités dans Adobe Reader et Adobe Acrobat
CERTA-2011-AVI-077 : Multiples vulnérabilités dans Adobe Flash Player
CERTA-2011-AVI-078 : Vulnérabilités dans Kerberos
CERTA-2011-AVI-079 : Vulnérabilité dans Oracle Java
CERTA-2011-AVI-080 : Vulnérabilités dans ffmpeg
CERTA-2011-AVI-081 : Multiples vulnérabilités dans Apache Tomcat
CERTA-2011-AVI-082 : Vulnérabilité dans IBM Lotus Notes
CERTA-2011-AVI-083 : Multiples vulnérabilités dans Ruby on Rails
CERTA-2011-AVI-084 : Vulnérabilité dans RealPlayer

Durant la même période, les avis suivants ont été mis à jour :

CERTA-2010-AVI-550-002 : Vulnérabilités dans IBM HTTP Server et WebSphere (ajout de WebSphere 7x.)
CERTA-2011-AVI-061-001 : Vulnérabilité dans le moteur de rendu graphique de Windows (référence à l'alerte et précision sur la suppression des mesures de contournement provisoire)

Gestion détaillée du document

11 février 2011: version initiale.

CERTA
2012-01-04

Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information

webmestre

Dernière mise à jour : le 25/05/2012

Centre d'Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques

3 Rappel des avis émis

Centre d'Expertise Gouvernemental de
Réponse et de Traitement des Attaques informatiques