Avis d’expert : semaine du 3 mai au 9 mai 2010

Avis d’expert : semaine du 3 mai au 9 mai 2010

Cette semaine, aucune nouvelle vulnérabilité critique n’a été publiée. Le CERT-XMCO retient cependant 3 évènements majeurs :
– La publication annoncée par Microsoft de deux bulletins de sécurité pour le 11 mai.
– La mise à jour du lecteur de PDF Foxit pour corriger la vulnérabilité PDF « /Launch » fortement exploitée au cours des dernières semaines.
– La publication de méthodes d’exploitation de la vulnérabilité permettant de contourner l’authentification JBoss. Il est fort possible que celle-ci soit prochainement exploitée pour contourner les interfaces d’administration JMX-console et WEB-console exposée sur internet. Le CERT-XMCO recommande donc aux administrateurs de vérifier la configuration de leurs serveurs JBoss afin d’imposer l’authentification pour les différents verbes HTTP (dont HEAD).

* Résumé des évènements majeurs :
Dans le cadre du « patch tuesday » du mois d’avril, Microsoft a corrigé trois vulnérabilités importantes sans avoir averti ses clients. D’après les recherches effectuées par CORE Security, les correctifs MS10-024 et MS10-028 cacheraient des modifications réalisées sur Visio et le service SMTP de Windows. Microsoft a aussi annoncé la correction d’une faille de sécurité au sein de Windows et d’une autre au sein de l’interpréteur Visual Basic dans le cadre du « patch tuesday » du 11 mai. Ces vulnérabilités sont jugées critiques.

Par ailleurs, Microsoft annonce qu’il ne proposera pas (tout de suite) de correctif pour la vulnérabilité de « Cross Site Scripting » révélée récemment dans SharePoint. Seule une solution de contournement a été publiée. Enfin, le CERT-XMCO rappelle que Microsoft arrêtera le support de Windows 2000 et de Windows XP SP2 à partir du 13 juillet prochain.

Côté postes de travail, l’éditeur du lecteur de PDF Foxit a publié la version 3.3 de Foxit Reader. Cette version offre un nouveau composant appelé « Secure Trust Manager« . Celui-ci permet de gérer finement les actions autorisées. Par défaut, le support de la commande « /Launch » est désactivé pour protéger les utilisateurs contre une exploitation de la faille découverte par le chercheur Didier Stevens.

Deux ans après la première édition, le mois des bogues PHP est de retour sur le site php-security.org. Chaque jour, différentes failles de sécurité et des preuves de concept sont présentées, celles-ci affectent l’interpréteur PHP mais également des applications reposant sur l’interpréteur. Des conseils sont également proposés pour aider les développeurs à développer de manière sécurisée

Le navigateur Opera a été mis à jour en version 10.53 après la révélation de l’existence d’une faille de sécurité critique d’après l’éditeur.

Enfin, il y a quelques semaines, une faille de sécurité liée à la configuration de JBoss (jmx et web consoles) avait été corrigée par Red Hat. Cette dernière et toujours présente dans la configuration par défaut du serveur JBoss. En utilisant certains types de requêtes HTTP comme HEAD, il était possible de contourner le processus d’authentification utilisé par les applications. Des outils exploitant cette vulnérabilité ont été mis à jour et pourraient être massivement utilisés sur Internet. Le CERT-XMCO recommande de vérifier rapidement la configuration de son serveur (web.xml).


Cert-XMCO