vendredi 30 mai 2014

Voici le mois de mai

Après le désormais fameux "Black April", voici le mois de mai où les fleurs volent au vent...

1er mai 2014 - Microsoft MS14-021 hors cycle et Fix OpenBSD pour SSL


Corrigeant le SA 2963983 publié le 26 avril, le MS14-021 publié par Microsoft le 1er mai a présenté la particularité de couvrir Windows XP après la fin de support standard de Windows XP. Geste particulièrement appréciable et apprécié de tous ceux avec qui j'ai pu échanger sur le sujet.

N'oublions pas un nouveau fix OpenBSD pour SSL publié à la même date qui devrait permettre aux DSI et RSSI de maintenir un niveau d'attention élevé sur l'application des correctifs en mode hors cycle.

8 mai 2014 - Notification avancée pour Adobe


Après avoir synchronisé (constatation personnelle sur les mois précédents) la publication de ses correctifs sur ceux de Microsoft, Adobe passe à la vitesse supérieure en fournissant une notification avancée des bulletins à sortir. Cette démarche me semble particulièrement adaptée à l'industrialisation des processus de cycle de patch management.

13 mai 2014 - Patch tuesday !


Comme attendu, le patch tuesday du 13 mai 2014 amène avec lui son lot de bulletins Microsoft et la correction de nombreux CVE pour Adobe Flash et Adobe Reader (certains ayant été reportés lors du Pwn2Own de mars 2014).

Le mois de mai c'est aussi


Des mises à jour OS X Mavericks le 15 mai, l'arrivée de repositories officiels Mysql pour Debian et Ubuntu le 20 mai, une série de fix pour les produits Cisco NX-OS-Based et une nouvelle version de Safari pour OS X le 21 mai, de nombreux patchs pour Solaris 8/9/10/11.1 le 22 mai et une (très) "mauvaise bonne idée" le 26 mai de transformer des Windows XP en "Windows Embedded POSReady 2009" pour (ne pas) bénéficier des correctifs jusqu'à 2019.

27 mai 2014 - Squeeze LTS !


Comme annoncé il y a quelques semaines, une prise en charge à long terme pour Debian Squeeze (6.0) est désormais officielle avec une date de clôture fixée au 6 février 2016. Ceci est une bonne nouvelle pour tous les sysops ayant décidé de suivre cette option avant de migrer vers Wheezy.

29 mai - Apothéose Truecrypt pour l'Ascension mais pas que


Le 29 mai sonne la fin du logiciel Truecrypt (ou pas, seul l'avenir nous le dira) et nous permet par la même occasion de formaliser une nouvelle facette particulière du processus de Patch Management : la décommision "hors cycle" d'un produit/logiciel déployé comme conclusion de l'analyse de risques afférente au traitement de la veille sur le niveau de vulnérabilité du Système d'Information. Sujet intéressant à traiter comme cas d'école dans le cas présent au vu de la fiabilité dudit logiciel (ANSSI-CSPN-2013/09 certifié en version 7.1a le 24/10/2013).

Mais le 29 mai c'est aussi (ne l'éclipsons pas avec ce "buzz" TrueCrypt) la sortie de la version 7u60 de Oracle Java ou la publication d'un bulletin vmware corrigeant une "guest privilege escalation" (sur Windows 8.1).

Et maintenant ?


Et maintenant, je profite d'un très bon article [1] "CISOs taking a leap of faith" publié sur www.csoonline.com le 28 mai 2014 par George V. Hulme et que je me permet de citer :

"Those who have been in security for a decade or more have usually built security programs from scratch. They’ve helped organizations recover from breaches. They’ve mentored new professionals. They’ve seen what works well and what doesn’t. And now they are ready to try new things."

... Oui, je pense que nous sommes tous volontaires pour tester de nouvelles approches dans un mouvement d'amélioration progressive et continue en brisant les silos et en instaurant le dialogue, c'est ce qui caractérise notre métier et c'est ce qui finalement fait la différence.

Jess - @JessicaGallante

PS : Merci @helpacsoout et @philoupas et bien entendu 1000 merci à ma jolie @nathplanteur à moi.

Sources :

[1] : http://www.csoonline.com/article/2212383/security-leadership/cisos-taking-a-leap-of-faith.html