S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 31 août 2012
N° CERTA-2012-ACT-035
Affaire suivie par: CERT-FR
le 31 août 2012

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité CERTA-2012-ACT-035

Gestion du document

Référence CERTA-2012-ACT-035
Titre Bulletin d’actualité CERTA-2012-ACT-035
Date de la première version 31 août 2012
Date de la dernière version 31 août 2012
Source(s) Aucune
Pièce(s) jointe(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Vulnérabilités critiques dans Java corrigées par Oracle

Cette semaine, le CERTA a diffusé une alerte CERTA-2012-ALE-005 concernant une vulnérabilité dans Java. L’éditeur Oracle a depuis publié des correctifs pour les versions 1.6 et 1.7 de Java, couvrant notamment les vulnérabilités sur lesquelles portait notre alerte.

Ces derniers jours, des codes d’exploitation ont rapidement circulé sur l’Internet et sont actuellement utilisés par un nombre grandissant d’attaquants. Le CERTA recommande donc fortement d’installer les correctifs le plus rapidement possible (voir la section Documentation).

Cet événement doit être l’occasion de s’interroger sur l’intérêt d’avoir Java installé sur son poste, à l’instar de tout autre module tiers.

Dans les cas où Java n’est pas nécessaire, le désactiver complètement est un bon moyen de réduire la surface d’attaque du poste. Dans les cas où Java serait requis pour certains sites ou applications identifiés, une solution est de le désactiver dans le navigateur principal et de réserver un navigateur alternatif, où Java serait activé pour consulter ces sites.

Le CERTA rappelle qu’il est possible, suite à des mises à jour, d’avoir différentes versions de Java installées sur un même poste. Il convient de supprimer les versions qui ne sont pas utilisées.

Vous trouverez ci-dessous des sections décrivant plusieurs méthodes pour désactiver Java.

1.1 Instructions pour désactiver Java dans Windows

  1. Fermer tout navigateur Internet ;
  2. aller dans « Panneau de configuration », « Désinstaller un programme » ;
  3. trouver Java dans la liste, le sélectionner et cliquer sur « Désinstaller ».

1.2 Instructions pour désactiver Java dans Firefox

  1. Aller dans le menu « Outils » puis « Modules complémentaires » ;
  2. choisir l’onglet « Plugins » ;
  3. cliquer sur le bouton « Désactiver » pour les plugins en relation avec Java.

1.3 Instructions pour désactiver Java dans Internet Explorer

  1. Aller dans le menu « Outils » puis « Gérer les modules complémentaires » ;
  2. choisir « Barres d’outils et extensions» ;
  3. désactiver tous les plugins en relation avec Java.

1.4 Instructions pour désactiver Java dans Google Chrome

  1. Saisir « chrome://plugins/ » dans la barre d’adresse ;
  2. cliquer sur « Désactiver » pour le plugin Java.

1.5 Instructions pour désactiver Java dans Safari

  1. Aller dans « Préférences » puis « Sécurité » ;
  2. décocher Java.

1.6 Instructions pour désactiver Java dans Opera

  1. Saisir « opera:plugins » dans la barre d’adresse ;
  2. cliquer sur « Désactiver » pour les objets relatifs à Java dans la liste.

1.7 Documentation

2 Défense en profondeur des SI : un principe à ne pas oublier

Un site web d’une entité administrative créé pour informer les usagers n’a pu assurer son service pendant quelques jours. Le contenu utile est devenu inaccessible suite à une modification du site par des intrus.

Un compte FTP était autorisé à opérer des modifications sur le site. Il était utilisé par un seul adminsitrateur et le mot de passe était fort. Le mot de passe a été capté par un moyen non déterminé, mais pas par une attaque par dictionnaire ou par recherche exhaustive. L’absence de plusieurs lignes de défense indépendantes a dès lors permis à l’agresseur d’atteindre son but sans difficulté.

Dans le cas présent, le filtrage sur l’adresse IP des accès au serveur FTP aurait rendu la tâche plus complexe pour l’agresseur. Indépendamment, l’utilisation d’un protocole tel SFTP ou SSH à la place de FTP, ou un tunnel IPSec, aurait diminué la vulnérabilité du mot de passe à l’écoute.

Le CERTA rappelle que la protection d’un système d’information ne peut reposer sur une seule ligne de défense.

La remise en état du site concerné a bien sûr pris en compte ce principe.

Documentation


3 Rappel des avis émis

Dans la période du 24 août 2012 au 30 août 2012, le CERTA a émis les publications suivantes :

  • CERTA-2012-ALE-005 : Vulnérabilité dans Oracle Java
  • CERTA-2012-AVI-465 : Vulnérabilité dans le système SCADA RUGGEDCOM Rugged Operating System
  • CERTA-2012-AVI-466 : Vulnérabilité dans les produits EMC ApplicationXtender
  • CERTA-2012-AVI-467 : Multiples vulnérabilités dans les produits Mozilla
  • CERTA-2012-AVI-468 : Multiples vulnérabilités dans Symantec Messaging Gateway
  • CERTA-2012-AVI-469 : Vulnérabilité dans HP iNode Management Center
  • CERTA-2012-AVI-470 : Vulnérabilité dans HP Intelligent Management Center
  • CERTA-2012-AVI-471 : Vulnérabilité dans EMC Cloud Tiering Appliance
  • CERTA-2012-AVI-472 : Vulnérabilités dans IBM Infosphere Guardium

Durant la même période, les publications suivantes ont été mises à jour :

  • CERTA-2012-ALE-005-001 : Vulnérabilité dans Oracle Java (ajout de la solution ).

Rappel des avis émis

Dans la période du 20 au 26 août 2012, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 31 août 2012
    version initiale.