14/01/2013 - ARESU
Transcription
14/01/2013 - ARESU
Avis sécurité du 14/01/2013 L’actualité CNRS Microsoft a publié mardi 8 janvier 2013 des correctifs de sécurité. Il y en a 2 critiques et 5 importants. Il convient d’appliquer très rapidement les mises à jour. La faille d’Internet Explorer faisant l’objet de l’alerte du CERTA n’a pas été corrigée, Microsoft a annoncé la publication d’un correctif hors cycle normal de diffusion, le 14/01/2013. Il est particulièrement important d’appliquer ce correctif dès qu’il sera disponible. Une faille 0day de Java est actuellement largement exploitée. Elle a fait l’objet d’une alerte du CERTA. En attendant un correctif, il est conseillé de désactiver Java dans le navigateur (l’opération est décrite dans le dernier bulletin du CERTA). Pour les sites nécessitant Java on peut utiliser un autre navigateur, réservé à cet usage. Le 21 décembre 2013 ont été publiées note du DGDR aux délégués régionaux sur la sécurisation des ordinateurs note du président aux directeurs d’unité sur la sécurisation des ordinateurs Nous avons rédigé différents documents d’accompagnement, ils sont tous disponibles sur la page recommandations du site web SSI. Ils sont amenés à évoluer : VADE-MECUM Protection contre le vol de matériel (mise à jour du 10 janvier 2013) FAQ organisation déploiement (mise à jour du 10 janvier 2012) Manuel de mise en œuvre et utilisation du chiffrement des ordinateurs (mise à jour du 28 juin 2012) FAQ technique (mise à jour du 10 janvier 2012) La revue hebdomadaire de l’actualité est aussi disponible en ligne. CERTA CERTA-2013-ACT-002 Bulletin d'actualité numéro 02 de l'année 2013 (11 janvier 2013) CERT Renater STAT02 Bulletin d’actualité n° 02 de l’année 2013 (11 janvier 2013) Les derniers avis CERTA CERTA-2013-AVI-024 Vulnérabilités dans Ruby on Rails (11 janvier 2013) CERTA-2013-AVI-023 Multiples vulnérabilités dans Google Chrome (11 janvier 2013) CERTA-2013-AVI-022 Multiples vulnérabilités dans les produits Mozilla (10 janvier 2013) CERTA-2013-AVI-021 Vulnérabilité dans le système SCADA RuggedCom (10 janvier 2013) CERTA-2013-AVI-020 Vulnérabilité dans Cisco Unified IP Phone (10 janvier 2013) CERTA-2013-AVI-019 janvier 2013) Vulnérabilité dans Cisco Prime LAN Management Solution (10 CERTA-2013-AVI-018 janvier 2013) Vulnérabilité dans le système SCADA Siemens ProcessSuite (10 CERTA-2013-AVI-017 janvier 2013) Multiples vulnérabilités dans Sybase Adaptive Server Entreprise (09 CERTA-2013-AVI-016 Multiples vulnérabilités dans HP OpenVMS (09 janvier 2013) CERTA-2013-AVI-015 2013) Multiples vulnérabilités dans Adobe Reader et Acrobat (09 janvier CERTA-2013-AVI-014 Vulnérabilité dans Adobe Flash Player (09 janvier 2013) CERTA-2013-AVI-013 2013) Multiples vulnérabilités dans Microsoft .NET Framework (09 janvier CERTA-2013-AVI-012 Vulnérabilité dans Microsoft Windows (09 janvier 2013) CERTA-2013-AVI-011 janvier 2013) Multiples vulnérabilités dans Microsoft XML Core Services (09 CERTA-2013-AVI-010 janvier 2013) Vulnérabilité dans les pilotes en mode noyau de Windows (09 CERTA-2013-AVI-009 Vulnérabilité dans Microsoft .NET Framework (09 janvier 2013) CERTA-2013-AVI-008 Multiples vulnérabilités dans System Center Operations Manager de Microsoft (09 janvier 2013) CERTA-2013-AVI-007 Vulnérabilité dans les composants du spouleur d'impression Windows (09 janvier 2013) CERTA-2013-AVI-006 Vulnérabilité dans ProFTPD (08 janvier 2013) CERTA-2013-AVI-005 Vulnérabilité dans EMC NetWorker (08 janvier 2013) CERTA-2013-AVI-004 Vulnérabilité dans RPM Package Manager (07 janvier 2013) CERT Renater 11 Jan 2013 VULN026 DRUPAL : Search API - Cross Site ScriptingSystems running 11 Jan 2013 VULN025 phpCAS : phpCAS 1.3.2 fixes one security issueSystems running 11 Jan 2013 VULN024 TYPO3 : TYPO3-EXT-SA-2013-001 Several vulnerabilities in third party extensionsSystems running 11 Jan 2013 VULN023 IBM : IBM Tivoli Directory Integrator can be affected by a vulnerability in IBM Java Runtime EnvironmentSystems running 11 Jan 2013 VULN022 Google Chrome : Chrome 24.0.1312.52 fixes multiple security vulnerabilitiesSystems running 11 Jan 2013 VULN021 Red Hat : Critical Ruby on Rails security updateSystems running Red Hat OpenShift Enterprise. 11 Jan 2013 VULN020 Shibboleth : Shibboleth Service Provider Security Advisory [10 January 2013]Systems running Shibboleth SP version 2.5.x prior 11 Jan 2013 VULN019.1 US-CERT : Oracle Java 7 Security Manager Bypass VulnerabilitySystems running Oracle Java version 7, 11 Jan 2013 VULN019 US-CERT : Oracle Java 7 Security Manager Bypass VulnerabilitySystems running Oracle Java version 7, 10 Jan 2013 VULN018 Mozilla : Multiple vulnerabilities fixed in Firefox, Thunderbird, SeaMonkeySystems running 10 Jan 2013 VULN017 EMC : EMC NetWorker Buffer Overflow vulnerabilitySystems running EMC NetWorker 7.5.x, 7.6.x, 8.0.x. 10 Jan 2013 VULN016 US-CERT : Dell OpenManage Server Administrator version 7.1.0.1 DOM-based XSS vulnerabilitySystems running 10 Jan 2013 VULN015 Red Hat : Important jbossweb security updateSystems running 10 Jan 2013 VULN014 Ruby On Rails : Rails 3.2.11, 3.1.10, 3.0.19, and 2.3.15 fix 2 critical security vulnerabilitiesSystems running Rails versions prior to 3.2.11, 10 Jan 2013 VULN013 Cisco : Cisco Unified IP Phone Local Kernel System Call Input Validation,VulnerabilityCisco Unified IP Phone 7900 Series software. 10 Jan 2013 VULN012 Cisco : Cisco Prime LAN Management Solution Command Execution VulnerabilityLinux running 10 Jan 2013 VULN011.1 Adobe : Security updates for AdobeFlash PlayerSystems running Adobe Flash Player 9 Jan 2013 VULN011 Adobe : Security updates for AdobeFlash PlayerSystems running Adobe Flash Player 9 Jan 2013 VULN010 Adobe : Security updates for Adobe Reader and AcrobatSystems running Adobe Flash Player 9 Jan 2013 VULN009 Microsoft : Important Vulnerability in Open Data Protocol Could Allow Denial of ServiceSystems running 9 Jan 2013 VULN008 Microsoft : Important Vulnerability in Microsoft Windows Could Allow Security Feature BypassWindows version Vista, 7, 8, Server 2008, 9 Jan 2013 VULN007 Microsoft : Important Vulnerability in Windows Kernel-Mode Driver Could Allow Elevation of PrivilegeWindows version Vista, 7, 8, Server 2008, 9 Jan 2013 VULN006 Microsoft : Important Vulnerabilities in .NET Framework Could Allow Elevation of PrivilegeSystems running 9 Jan 2013 VULN005 Microsoft : Important Vulnerabilities in System Center Operations Manager Could Allow Elevation of ,PrivilegeSystems running 9 Jan 2013 VULN004 Microsoft : Critical Vulnerabilities in Microsoft XML Core Services Could Allow Remote Code ExecutionWindows version XP, Server 2003, Vista, 7, 8, 9 Jan 2013 VULN003 Microsoft : Critical Vulnerability in Windows Print Spooler Components Could Allow Remote Code ExecutionWindows 7, Windows Server 2008 8 Jan 2013 VULN002 Asterisk : DoS fixed in AsteriskSystems running Asterisk Open Source versions 7 Jan 2013 VULN001 Adobe : Security Advisory for ColdFusionSystems running ColdFusion versions 10, 9.0.2,