Avis sé curité du 03/09/2012 - ARESU
Transcription
Avis sé curité du 03/09/2012 - ARESU
Avis sécurité du 03/09/2012 L’actualité CNRS L’actualité de la semaine est incontestablement la faille Java. Un historique des faits : Le 2 avril 2012 Security Explorations une société polonaise publie un communiqué indiquant qu’elle a découvert une vingtaine de vulnérabilités dans la dernière version de Java et fournit à Oracle les éléments avec des preuves de concept. Les correctifs publiés en juillet par Oracle ne corrigent pas ces vulnérabilités. Le 26 août 2012 des informations commencent à se diffuser sur Internet comme quoi une vulnérabilité « 0-day » de Java 1.7 serait largement exploitée. Peu après des exploits sont publiés ainsi que les détails de la faille. La situation est alors extrêmement grave car n’importe quel pirate a les moyens de prendre le contrôle d’un poste de travail totalement à l’insu de l’utilisateur. De plus la faille fonctionne sous tous les navigateurs et systèmes d’exploitation. Le 30 août Oracle publie un correctif hors cycle normal (les prochains correctifs étaient prévus pour octobre). Quelques heures après, le PDG de Security Explorations indique que le correctif d’Oracle ne corrige pas toutes les vulnérabilités. Cependant il n’y a actuellement aucun exploit connu pour ces dernières vulnérabilités, l’application des correctifs réduit donc considérablement les risques. Il est donc extrêmement important d’effectuer la mise à jour de Java vers les versions 1.6.35 ou 1.7.7. Attention généralement lors de la mise à jour une case est cochée par défaut pour l’installation de la barre d’outil « Ask ». Il faut la décocher. Désormais la revue hebdomadaire de l’actualité est en ligne. CERTA CERTA-2012-ACT-035 Bulletin d'actualité numéro 035 de l'année 2012 (31 août 2012) CERT Renater Les derniers avis CERTA CERTA-2012-ALE-005 Vulnérabilité dans Oracle Java (Corrigée le 31 août 2012) CERTA-2012-AVI-478 Vulnérabilités dans Asterisk (31 août 2012) CERTA-2012-AVI-477 2012) Vulnérabilité dans le système SCADA GarrettCom Magnum (31 août CERTA-2012-AVI-476 Multiples vulnérabilités dans Google Chrome (31 août 2012) CERTA-2012-AVI-475 2012) Vulnérabilité dans IBM WebSphere Application Server (31 août CERTA-2012-AVI-474 Tester (31 août 2012) Multiples vulnérabilités dans IBM AppScan Enterprise and Policy CERTA-2012-AVI-473 Vulnérabilité dans Oracle Java (31 août 2012) CERTA-2012-AVI-472 Vulnérabilités dans IBM Infosphere Guardium (30 août 2012) CERTA-2012-AVI-471 Vulnérabilité dans EMC Cloud Tiering Appliance (30 août 2012) CERTA-2012-AVI-470 2012) Vulnérabilité dans HP Intelligent Management Center (30 août CERTA-2012-AVI-469 Vulnérabilité dans HP iNode Management Center (30 août 2012) CERTA-2012-AVI-468 2012) Multiples vulnérabilités dans Symantec Messaging Gateway (29 août CERTA-2012-AVI-467 Multiples vulnérabilités dans les produits Mozilla (29 août 2012) CERTA-2012-AVI-466 2012) Vulnérabilité dans les produits EMC ApplicationXtender (28 août CERTA-2012-AVI-465 Vulnérabilité dans le système SCADA RUGGEDCOM Rugged Operating System (28 août 2012) CERT Renater CERT-Renater : 2012/ALER001 Vulnérabilité exploité sur Java Runtime Environment (JRE)