17/06/2013 - ARESU
Transcription
17/06/2013 - ARESU
Avis sécurité du 17/06/2013 L’actualité CNRS Microsoft a publié ses mises à jour mensuelles pour le 11 juin. Il y a 1 avis critiques et 4 importants. L’avis critique corrige une vingtaine de failles dans Internet Explorer. Il faut les appliquer dès que possible. L’OWASP a publié la version 2013 de son top 10. Ce guide est un excellent résumé des bonnes pratiques à respecter pour éviter de se faire pirater son site Web. La traduction française est attendue pour bientôt. A1 Injection A2 Broken Authentication and Session Management (was formerly 2010-A3) A3 Cross-Site Scripting (XSS) (was formerly 2010-A2) A4 Insecure Direct Object References A5 Security Misconfiguration (was formerly 2010-A6) A6 Sensitive Data Exposure (2010-A7 Insecure Cryptographic Storage and 2010-A9 Insufficient Transport Layer Protection were merged to form 2013-A6) A7 Missing Function Level Access Control (renamed/broadened from 2010-A8 Failure to Restrict URL Access) A8 Cross-Site Request Forgery (CSRF) (was formerly 2010-A5) A9 Using Known Vulnerable Components (new but was part of 2010-A6 – Security Misconfiguration) A10 Unvalidated Redirects and Forwards La révélation de PRISM par la presse fait beaucoup de bruit. Ce n’est pas vraiment une surprise ni une nouveauté (cf. Echelon). Cela ne fait que confirmer les objections contre l’externalisation non maitrisée d’informations ou de traitements qui ont fait l’objets de différentes recommandations (cloud, services gratuits comme Gmail, Dropbox, Skype, etc.). La CNIL a créé un groupe de travail sur le sujet. La revue hebdomadaire de l’actualité est aussi disponible en ligne. CERTA CERTA-2013-ACT-024 Bulletin d'actualité numéro 24 de l'année 2013 (14 juin 2013) CERT Renater 14 juin 2013 STAT24 Bulletin d'actualité numéro 24 de l'année 2013 Les derniers avis CERTA CERTA-2013-AVI-357 Multiples vulnérabilités dans IBM Notes (14 juin 2013) CERTA-2013-AVI-356 Multiples vulnérabilités dans le noyau Linux d'Ubuntu (14 juin 2013) CERTA-2013-AVI-355 Multiples vulnérabilités dans le noyau Linux de Red Hat (12 juin 2013) CERTA-2013-AVI-354 Vulnérabilité dans Microsoft Office (12 juin 2013) CERTA-2013-AVI-353 Vulnérabilité dans le spouleur d'impression Microsoft Windows (12 juin 2013) CERTA-2013-AVI-352 Vulnérabilité dans le système TCP/IP de Microsoft Windows (12 juin 2013) CERTA-2013-AVI-351 Vulnérabilité dans le noyau Microsoft Windows (12 juin 2013) CERTA-2013-AVI-350 Multiples vulnérabilités dans Microsoft Internet Explorer (12 juin 2013) CERTA-2013-AVI-349 Vulnérabilité dans VMware vCenter Chargeback Manager (12 juin 2013) CERTA-2013-AVI-348 Vulnérabilité dans Adobe Flash Player (12 juin 2013) CERTA-2013-AVI-347 Multiples vulnérabilités dans Wireshark (11 juin 2013) CERT Renater 14 Jun 2013 VULN239 Parallels Plesk Panel: phppath/PHP vulnerability Systems running 14 Jun 2013 VULN238 (DRUPAL : SA-CONTRIB-2013-052 - Display Suite - Cross Site Scripting (XSS)) 14 Jun 2013 VULN237 Best Practical : Security vulnerability in RT::Extension::MobileUI 13 Jun 2013 VULN236 Cisco : Cisco Access Control Server Privilege Escalation Systems running Cisco Vulnerability Secure Access Control 13 Jun 2013 VULN235 IBM : IBM Notes vulnerabilities fixed 12 Jun 2013 VULN234 Microsoft : Important Vulnerability in Windows Print Systems running Spooler Components Could Allow Elevation of Privilege 12 Jun 2013 VULN233 Microsoft : Important Vulnerability in Kernel-Mode Driver Could Allow Denial of Service 12 Jun 2013 VULN232 Microsoft : Important Vulnerability in Windows Kernel Windows version XP, Could Allow Information Disclosure Server 2003, Vista, 7, 8, 12 Jun 2013 VULN231 Microsoft : Critical Cumulative Security Update for Internet Explorer 12 Jun 2013 VULN230 Systems running Microsoft : Important Vulnerability in Microsoft Office Microsoft Office version Could Allow Remote Code Execution 2003, 12 Jun 2013 VULN229 VMware : VMware vCenter Chargeback Manager Remote Code Execution Systems running 12 Jun 2013 VULN228 Adobe : Security updates available for Adobe Flash Player Systems running Adobe Flash Player versions 10 Jun 2013 VULN227 IBM : IBM Lotus Quickr for Domino ActiveX control buffer overflow vulnerability Systems running Lotus Quickr for Domino 10 Jun 2013 VULN226 Cisco : Cisco WebEx Meetings Server Information Disclosure Vulnerability Systems running Cisco WebEx Meetings Server . 10 Jun 2013 VULN225 phpmyadmin : XSS due to unescaped HTML output in Create View page Systems running phpmyadmin versions 4.0.x Systems running Windows running IBM Notes versions 9.0, 8.5.x, Windows version XP, Server 2003, Vista, 7, 8, Systems running