Voici donc la rentrée et bientôt les congés
pour certains d'entre nous qui avons constaté,
en vigies estivales malgré le mauvais temps,
que ce mois passé d'août n'avait rien à envier
à ce mois de juillet pour sa sécurité
avec des patchs banals qui reviennent souvent.
pour certains d'entre nous qui avons constaté,
en vigies estivales malgré le mauvais temps,
que ce mois passé d'août n'avait rien à envier
à ce mois de juillet pour sa sécurité
avec des patchs banals qui reviennent souvent.
Une première semaine calme
Nous pensions (espérions) avoir le temps de souffler un peu après la dernière semaine de juillet ... mais non. Le 4 août sort la version 7u67 de Java (rappelez vous que la mise à jour précédente date du 15 juillet pour le CPUJUL Oracle), le 6 août est publié un nouveau bulletin de sécurité pour OpenSSL (9 CVE), le 7 août se voit accompagné d'un fix Java pour Puppet Entreprise suite au CPUJUL Oracle et pour ceux d'entre vous qui travaillent dans notre petit monde du web, nous assistons à une publication jointe et coordonnée entre Drupal et Wordpress le 6 août (merci à eux de la part des sysops avec qui je travaille pour cette initiative ^^) qui se trouve être corrigée le même jour (7 août) par Ubuntu et Debian par exemple.
12 août 2014 - Patch Tuesday Microsoft, Adobe Flash Player et Adobe Reader
(Comparons donc avec juillet) Microsoft et Adobe publient leur "patch tuesday" le 12 août. Microsoft fixe des vulnérabilités critiques (dont un bulletin critique pour Internet Explorer 6/7/8/9/10/11 qui fixe "one publicly disclosed and twenty-five privately reported vulnerabilities in Internet Explorer") : avantage Août (25 vs 24). Adobe fixe quand à lui des vulnérabilités critiques pour Adobe Flash Player (7 CVE) et Adobe Reader sous Windows (avec un exploit reporté "in the wild") : avantage Août à nouveau (Adobe Reader). Notons finalement que Google Chrome est mis à jour le 12 août également pour le composant Flash mais intègre aussi 12 correctifs de sécurité : avantage août encore une fois (12 correctifs).
Nous n'avons pas de patch trimestriel Oracle ce mois-ci (heureusement) mais la semaine Patch Tuesday n'est pas terminée avec un bulletin OpenJDK6 pour Ubuntu le 12 août, une mise à jour pour Safari 6.1.6 / 7.0.6 le 13 aout, une mise à jour PHP en 5.3.29 (pour correspondre aux publications 5.4.31/5.5.15 du 24 juillet) le 14 août.
3ème semaine - Ne perdons pas le rythme
Pour ceux qui l'attendent, Ubuntu publie enfin son bulletin OpenJDK7 le 19 août (qui correspond au bulletin Debian DSA-2987 du 23 juillet) et fait une mise à jour de correction de régression le 25 aout, Oracle publie des bulletins pour Solaris 11.2 le 19 aout et Debian publie un bulletin PHP5.4 le 21 aout alors que PHP publie ses versions 5.5.16 et et 5.4.32 le même jour.
4ème semaine - la rentrée s'approche
Mise à jour de Chrome le 26 aout (deuxième en moins d'un mois !) avec pas moins de 50 correctifs de sécurité, re-publication du MS14-045 le 27.08 (pour correction d'instabilités sur ce bulletin initialement publié lors du patch tuesday du 12.08) un bulletin Squid3 (SQUID-2014_2 : déni de service) publié le 28 (USN le 27.08 ?, DSA le 28.08, pas de RHSA au 31.08 ?) et publication de PHP 5.6.0 le 28 août qui nous permet d'assister à une mise à jour de toutes (?) les versions de PHP (5.3, 5.4, 5.5, 5.6) en août.
Et ne passons surtout pas à côté de mon message subliminal de juillet suite à la demande sur OSS-SEC de CVE le 29 juillet (cherchez "[CVE Request] glibc iconv_open buffer overflow" pour ceux qui sont intéressés par le message subliminal) avec la publication en réponse de l'exploit correspondant (cherchez "CVE-2014-5119 glibc __gconv_translit_find() exploit") le 25 août par la "Project Zero team at Google". A noter la publication rapide des correctifs : DSA-3012-1 le 27 août, USN-2328-1 le 28 août, RHSA-2014-1110 le 29 août.
Et ma Debian-LTS ?
Et bien ma debian-lts a eu la chance de voir publiée le 6 aout la version openssl 0.9.8o-4squeeze17 suite au bulletin de sécurité OpenSSL du même jour (intégration le lendemain pour Debian stable et Ubuntu :p).
Et maintenant ?
Et maintenant, je souhaiterais conclure ce mois d'aout avec deux cas illustrant ce besoin de veille opérationnelle (on me dit souvent : "mais tout est déployé automatiquement" auquel je répond : "comment vous-en assurez-vous ? par quel contrôle ? quels sont vos garde-fous ?") :
- La réponse le 7 aout de l'orchestrateur Chef (getchef.com) au bulletin OpenSSL du 6 aout qui précise : "Chef Software has reviewed the following security advisory and does not believe that this represents a critical security risk to our users" et qui est bien plus appréciable que l'absence (volontaire ou non) de réponse par certains éditeurs en absence de bulletin.
- La différence entre Debian et Ubuntu par exemple pour Samba avec le CVE-2014-3560 ayant fait l'objet du bulletin USN-2305-1 le 1er aout et d'une saisie de bug (#756759 le 3 aout) car déjà fixé et qui témoigne bien de la difficulté de pister les vulnérabilités au sein des Systèmes d'Information pour des composants qui, paradoxalement, pourraient sembler proches de prime abord.
Jess - @JessicaGallante
PS : Toujours un grand merci @helpacsoout et @philoupas ! et spéciale dédicace à ma @nathplanteur :)
Aucun commentaire:
Enregistrer un commentaire
Votre avis ?