vendredi 2 janvier 2015

Décembre : Cinq semaines

Cinq semaines pour décorer nos demeures et nos tables de parures festives et de mets délicats, pour préparer l'accueil de nos proches et partager avec eux les mémoires de nos anciens, les souvenirs de l'année écoulée et les rires joyeux des enfants qui s’émerveillent.

Première semaine : pensons aux préparatifs


Notre première semaine de décembre commence avec la froideur de l'hiver et les premiers préparatifs pour Noël. Le mois de Novembre a été brumeux pour Microsoft, qu'en sera-t-il de ce mois-ci. Commençons donc notre revue mensuelle par la sortie de MFSA pour Firefox & Thunderbird le 2 décembre 2014 et la publication d'une mise à jour OpenVPN le 2 décembre également pour une vulnérabilité datée de 2005. Le jour suivant - 3 décembre - voit la publication d'une mise à jour pour Safari par Apple et la sortie du DSA 3085-1 pour Wordpress qui correspond au bulletin du 20 novembre.

Les pré-notifications pour Microsoft et Adobe du 4 décembre nous informent sur une sortie d'au moins 3 bulletins critiques pour Microsoft et d'un bulletin critique pour Adobe Reader/Acrobat pour la semaine suivante alors sortent le même jour un bulletin VMSA pour vSphere (et la mise à jour "silencieuse" (?) du bulletin VMSA 2014-0008 de septembre 2014 qui fournit désormais les correctifs adéquats pour vCenter/ESXi en version 5.1) et l'information d'un 0day dans Internet Explorer (CVE-2014-8967) par ZDI (qui applique sa politique "120-day disclosure deadline").

Pour cloturer cette première semaine, notons le débat autour de l'ASLR sous Linux sur OSS-SEC (#Offset2lib et sur le fait que Grsecurity n'est pas affecté et que ce type de problème a été fixé par PaX il y a 13 ans), la publication de reliability fixes pour OpenBSD le 5 décembre et la médiatisation des premiers PoC pour MS14-068 Kerberos du Patch Tuesday de Novembre.

Seconde semaine : il est temps de s'y mettre


La second semaine de décembre débute avec l'angoisse du temps qui passe et un joli prélude au patch tuesday avec la publication entre le 8 et le 9 décembre de plusieurs bulletins pour les principaux résolveurs DNS (Bind 9.9, Bind 9.10, Unbound et PowerDNS) pour des vulnérabilités de type Déni de service identifiées par l'ANSSI.

Le 9 décembre voit se déployer l'ombre d'une longue semaine avec un patch tuesday Microsoft incluant 7 mises à jour dont 3 critiques et 4 importantes dont le critique MS14-080 qui "resolves 14 privately reported vulns in Internet Explorer 6/7/8/9/10/11" - Notons que ce patch tuesday inclut également le bulletin important MS14-075 Exchange qui nous manquait lors du patch tuesday de novembre - et un patch tuesday Adobe qui corrige 6 CVE en priorité 1 pour Adobe Flash Player et 20 CVE en priorité 1 pour Adobe Reader/Acrobat.

Ne passons pas à côté le 9 décembre de la mise à jour (habituelle) pour Chrome sur Flash, d'un bulletin VMSA supplémentaire de VMWARE pour vCAC, d'un RHSA important pour RPM (CVE-2013-6435, ch-apt-cun son tour), d'une mise à jour de LibreSSL en version 2.1.2 suite (semble-t-il) à la communication de vulnérabilités par les Google #CCProjectZeroMembers, d'une nouvelle publication de reliability fixes par OpenBSD (dont unbound pour le déni de service ANSSI) et d'une jolie vidéo de démonstration d'exécution de code en dépit d'un chiffrement BitLocker [1] pour tous ceux d'entre vous qui ont laissé "tomber" le defunt (?) #Truecrypt cette année.

Vous vouliez sortir tôt pour faire vos achats de noël ? Attendez un peu. Le 10 décembre continue avec des bulletins pour FreeBSD (dont BIND pour le déni de service ANSSI), à nouveau un VMSA (mais pour AirWatch), un bulletin Asterisk pour un déni de service, une dernière mise à jour pour Joomla en version 2.5.28 avec une fin de vie de la branche 2.5 au 31 décembre 2014 et une mise à jour pour ceux d'entre nous qui TYPO3.

Allé, là on va pouvoir y aller. Le 11 décembre voit une mise à jour fixant 3 CVE dans Docker, une jolie (oO) injection SQL en aveugle sur GLPI et à nouveau un APPLE-SA pour Safari alors que le 12 décembre voit sortir les RHSA pour BIND sur le déni de service ANSSI.

Troisième semaine : Plus qu'une semaine ...


Pour notre dernière semaine avant Noël, il serait dommage de passer à côté de bulletins multiples pour Oracle Solaris le 16 décembre accompagnés de bulletins pour l'orchestrateur PuppetLabs le même jour, d'un bulletin FreeBSD pour Unbound (déni de service ANSSI) le 17 décembre, de deux dénis de service fixés dans le parser ELF de file(1) annoncé sur OSS-SEC et d'une mise à jour pour l'orchestrateur Chef le même jour également.

Faisons une pause temporelle sur le 18 décembre avec une vulnérabilité GIT/Mercurial (CVE-2014-9390, <no-dsa> Minor issue pour Debian, corrigée par Apple dans Xcode le même jour), une mise à jour de PHP pour ses versions 5.4/5.5/5.6 mais surtout un avertissement de sécurité pour NTP avec de multiples CVE (corrigés par exemple par Debian et RedHat le 20 décembre alors que Openntpd est annoncé comme non vulnérable).


Quatrième semaine : Dans deux jours c'est noël


Si vous comptiez sur les deux derniers jours avant Noël pour faire vos achats de dernière minute et bien c'est (au quai de la) rapée. Tombent à analyser le 22 décembre un avertissement du CERT "oCERT" sur UnZIP, les bulletins Ubuntu/Apple/Cisco pour NTP et un DSA pour cpio (CVE-2014-9112 qui devrait vous rappeler quelque chose) alors que l23 décembre continue avec les bulletins FreeBSD/F5 pour NTP et un bulletin "tellement rafraichissant" pour BlueCoat (SA86 POODLE / CVE-2014-8730) qui indique "At this time, no products are known to be vulnerable"

Et Internet étant ce qu'il est, le jour du Noël signe une trêve bienvenue pour l'analyse et un travail de fourmi pour application des correctifs pour les administrateurs qui sans être au soleil ne sont pas pour autant concerné par le gel.

Cinquième semaine : et maintenant le nouvel an ...


Signant la fin de celle-ci ou le début d'une nouvelle année riche de problèmes^Wsolutions en tout genre, les derniers jours de décembre se voient accompagnés de requêtes de CVE bien particulières sur OSS-SEC : Double Free dans PHP le 29 décembre 2014 avec le CVE-2014-9425 présentant la particularité "been here since 2002", demande de CVE dans GnuPG2/GPG2 le 29 décembre, demande de CVE dans emacs (oO) le 31 décembre 2014 ...


Et maintenant ?


Et, comme il est d'usage, je vous souhaite à tous une excellente année 2015 :)

Jess - @JessicaGallante

PS : Merci @helpacsoout, @philoupas, @AdBaz1.

PPS : Merci à toi Nath pour m'avoir laissé panser doucement un nouveau noël.


[1] : http://cryptoservices.github.io/fde/2014/12/08/code-execution-in-spite-of-bitlocker.html

Aucun commentaire:

Enregistrer un commentaire

Votre avis ?