Partir en Juillet ?

Est-ce que le mois de juillet vous a semblé calme ? Nous avions pourtant un combo trimestriel annoncé avec le Patch Tuesday Microsoft du 8 juillet suivi de près par le quaterly Oracle du 15 juillet : retour illustré sur la veille opérationnelle que vous avez menée avant de partir en congés.

Une première semaine calme (?)

La première semaine semblait calme mais c'étant sans compter l'ouverture du CVE-2014-4699 sur la vulnérabilité "ptrace/sysret" du noyau Linux avec une timeline serrée : CVE le 30 juin pour un commit le 3 juillet, annonce publique "née un 4 juillet" sur OSS-SEC suivie d'un avertissement de @grsecurity le 6 juillet ("Expect exploits against upstream within the next month") et d'une publication des correctifs dans les heures et jours suivants (5/6 juillet pour Ubuntu et Debian par exemple).

Et effectement les poc/exploits ont été publiés en moins d'un mois. Vous étiez prévenus pourrait-on nous dire.

8 juillet 2014 - Patch Tuesday Microsoft et Adobe Flash Player

Microsoft et Adobe publient leur "patch tuesday" le 8 juillet et fixent tous deux des vulnérabilités critiques (dont un bulletin critique pour Internet Explorer 6/7/8/9/10/11 qui fixe "one publicly disclosed vulnerability and twenty-four privately reported vulnerabilities in Internet Explorer"). Notons la mise à jour de Google Chrome le même jour pour une simple mise à jour du composant Flash.

15 juillet 2014 - Avalanche confirmée avec le CPUJUL Oracle

La publication du bulletin trimestriel Oracle le 15 juillet inclut "113 new fixes across hundreds of Oracle products" dont notre bien aimé Java qui est mis à jour en versions 8u11 et 7u65, Mysql qui voit 10 CVE fixés (avec un CVSS maximum à 6.5) pour les branches 5.5.37/5.6.17, Solaris 11.1/10/9/8 qui incluent leur lot de correctifs et Oracle DB 12.1.0.1 qui fixe deux CVE avec une notation CVSS étrange laissée pour analyse à la curiosité des lecteurs : CVE-2013-3751 (cvss=9) et CVE-2013-3774 (cvss=7,6).

Et ne passons pas à côté d'une nouvelle version de Apache en version 2.4.10 entre les 14 et 15 juillet, d'une mise à jour de Puppet Enterprise pour OpenSSL le 15 juillet, de la mise à jour de Google Chrome stable qui inclut "26 security fixes" (comme ça pas de jaloux) le 16 juillet et d'un bulletin DSA sur OpenJDK-6 le 17 juillet.

Notons également que la mise à jour Mysql 5-5 pour Ubuntu (USN-2291-1) publiée le 17 juillet est suivie le 22 juillet par la mise à jour Debian (DSA 2985-1).

4ème semaine - Ne perdons pas le rythme

Vous auriez été déçu de ne pas avoir de correctif pour Firefox en juillet suite aux correctifs pour Internet Explorer et pour Chrome. Vous auriez eu raison, Mozilla publie une mise à jour Firefox 31 le 22 juillet (3 bulletins MFSA importants) et une mise à jour Thunderbird 31 (3 bulletins MFSA importants également) (à nouveau pas de jaloux ce mois-ci).

Pour vous qui aimez OpenJDK, Debian ne nous oublie pas et publie un DSA sur OpenJDK-7 le 23 juillet 2014 (moins de 10 jours après le bulletin sur OpenJDK-6) et pour vous qui êtes afficionados de Tomcat, notez la publication le 30 juillet du bulletin USN-2302-1 tomcat7 intégrant la correction de CVE en version 7.0.53 initialement publiée le 30 mars 2014 (4 petits mois).

Vous souhaitiez une mise à jour mensuelle "à la patch tuesday" pour PHP, vous êtes servis avec la publication de PHP 5.4.31/5.5.15 le 24 juillet 2014 (précédente publication le 26 juin 2014).

Vous attendiez les bulletins propres aux distributions pour la version 2.4.10 Apache des 14/15 juillet ? Ubuntu publie ses correctifs le 23 juillet (USN-2299-1) et Debian le 24 juillet (DSA-2989-1).

Et ne passons pas à côté du CVE-2014-0475 sur la GLIBC publié sur OSS-SEC le 10 juillet et de la remarque de @taviso que je me permet de citer ici ("This seems like a pretty minor flaw that I wouldn't normally bother mentioning, but as I'm tacking it onto a more serious bug and we're all discussing the LC_ALL thing anyway I don't mind so much") et qui fait l'objet d'une demande de CVE le 29 juillet (cherchez "[CVE Request] glibc iconv_open buffer overflow" pour ceux qui sont intéressés par le message subliminal).

Et ma Debian-LTS ?

Je ne sais pourquoi mais j'éprouve une affection particulière pour ce projet (disclaimer: je ne suis donc pas 100% objective sur le sujet).

Constatons donc que le CVE-2014-4699 fixé le 6 juillet pour Debian stable a été fixé sur Squeeze-lts le 12 juillet et que la mise à jour Debian Stable DSA 2974-1 pour PHP5 du 8 juillet a été fixée sur Squeeze LTS le 24 juillet. C'est plutôt bien non ?

Je constate néanmoins qu'il est assez pénible pour le moment de suivre la publication des correctifs de sécurité sur Debian LTS si on se réfère au security-tracker Debian, j'espère personnellement que ceci sera amélioré pendant les prochains mois.

Et SSL ?

Parlons un peu de SSL avec la première "OpenSSL Project Roadmap" publiée le 30 juin 2014 et mise à jour le 16 juillet 2014 et la première publication de LibreSSL portable "for Linux, Solaris, Mac OSX, and FreeBSD" le 11 juillet 2014. Et comme nous connaissions pour Flash et Java, voici désormais un nouveau site à bookmarker : http://dayswithoutansslexploit.com

Et maintenant ?

Et maintenant, finissons donc ce mois de juillet illustré sous plusieurs angles différents :

• Une très jolie nouvelle fonctionnalité chez Microsoft de fin juillet avec myBulletin qui nous permet *gratuitement* de configurer une liste personalisée de bulletins de sécurité par technologie (plutôt que par bulletin) : Merci !
• Une impressionnante timeline concernant la publication du bulletin MS14-035 de juin 2014 sur Internet Explorer 6/7/8/9/10/11 avec une vulnérabilité identifiée par @vupen en février 2011, reportée par leurs soins à Microsoft en mars 2014 pendant le Pwn2Own 2014 et fixée par Microsoft lors du patch tuesday de juin 2014.
• Et une mise à jour de Tor le 30 juillet 2014 et l'analyse détaillée correspondante.

Alors, vous trouvez que ce mois de juillet a été calme ? Attendez août :)

Jess - @JessicaGallante

PS : Merci @helpacsoout et @philoupas et à ma @nathplanteur qui se dore au soleil.