lundi 30 juin 2014

Nuits de Juin

Les yeux fermés, l'oreille aux rumeurs entrouvertes, on ne dort qu'à demi d'un sommeil transparent.

5 Juin 2014 - Nouveaux CVE OpenSSL


Annonces concomitantes par OpenSSL de nouveaux CVE le 5 juin 2014 [1] et par OpenBSD [2] des fixes correspondants, prélude à une publication par Google de BoringSSL qui sera communiquée le 20 juin 2014 [3]. A dire vrai, je ne sais (pas encore) qu'en penser... Votre avis ?

10 juin 2014 - un véritable Patch Tuesday


Prenez place, nous sommes le 10 juin et nous assistons à la fois à la publication du Patch Tuesday Microsoft, à une mise à jour pour Adobe Flash (bien synchronisée à nouveau), à une mise à jour pour Mozilla Thunderbird, à un VMSA VMWARE mais également à une déferlante (?) sur tous les navigateurs : Internet Explorer 6/7/8/9/10/11 avec le MS14-035, Firefox avec 5 MFSA critiques et Chrome avec 4 security fixes.

Cet évènement est intéressant à double titre. D'une part car la synchronisation des publications sur la même (courte) période permet aux opérationnels d'enclencher leurs procédures organisationnelles et techniques de recette et mise à jour et d'autre part car la publication simultanée de bulletins sur toutes les technologies participant d'une même fonction replace la notion de priorisation des solutions de contournement au coeur du problème. Pour le 10 juin, que préférez-vous : recetter Firefox ou Chrome en priorité pour remplacement temporaire de Internet Explorer ou rusher l'application du bulletin Microsoft pour Internet Explorer en désactivant Firefox/Chrome ?

Mon avis personnel est qu'il n'y a pas de bonne ou mauvaise réponse à cette question pour autant que la sécurité du SI réponde adéquatement aux besoins des Métiers.

Quelques jours après le Patch Tuesday


Avec un patch Tuesday général comme celui du 10 juin, il convient de correctement poursuivre le suivi des publications ultérieures afin de (re)prioriser les plans de patch management en cours d'application. A titre d'exemple, sont publiés le 12 juin 2014 une série de bulletins pour Asterisk ou pour le framework Zend, divers correctifs pour Solaris 8/9/10/11 les 17 et 23 juin, des mises à jour de sécurité pour Chef Server le 26 juin...

Ce suivi, ce mode projet sur la gestion des vulnérabilités du SI me semble un impératif : la sécurité du SI est bien un travail à temps plein pour reprendre la citation de @helpacsoout (merci pour la relecture :p).

Juin 2014 c'est aussi Debian Squeeze LTS


Force est de constater que la création de la branche LTS pour Squeeze semble plus compliquée à mettre en oeuvre que pour la branche oldstable [4]. Ce projet semble néanmoins sur la bonne voie et serait une très bonne rampe de lancement pour enfin doter la distribution Debian d'une série LTS.

Et le mois de Juin c'est finalement


Et le mois de Juin c'est finalement une annonce de Microsoft fin juin qui indique la suspension de publication par email des notifications annonçant les bulletins de sécurité et avertissements de sécurité [5]. Cela peut bien entendu sembler anecdotique mais cela traduit bien le caractère fondamentalement vivant des mécanismes technologiques que nous employons pour assurer une veille pérenne en matière de sécurité du Système d'Information : rechercher et qualifier les sources ouvertes ou semi-publiques et les exploiter nécessite un investissement humain et ne peut totalement reposer sur une automatisation.

Et Maintenant

 

Et maintenant, avec le décalage horaire, n'oubliez pas d'aller consulter les Security Advisories Apple du 30 juin au soir :)

Jess - @JessicaGallante

PS : A nouveau merci à @helpacsoout et à @philoupas et à ma @nathplanteur à moi :)

Sources :

[1] : https://www.openssl.org/news/secadv_20140605.txt
[2] : http://ftp.openbsd.org/pub/OpenBSD/patches/5.5/common/008_openssl.patch.sig
[3] : https://www.imperialviolet.org/2014/06/20/boringssl.html
[4] : https://lists.debian.org/debian-lts/2014/06/maillist.html
[5] : http://seclists.org/microsoft/2014/q2/26