vendredi 31 octobre 2014

Octobre : Vulnérabilités "Trick or Treat !"

"Heartbleed le 7 avril 2014, Shellshock le 24 septembre 2014, jamais deux sans trois" disais-je le mois dernier. Pour ceux d'entre nous qui pensaient que le mois d'octobre serait calme en comparaison du buzz #ShellShock et du Black April je ne peux que souhaiter que la fin d'année soit plus calme.

Une première semaine type


La première semaine du mois d'octobre 2014 me semble une semaine type exemplaire en matière de veille opérationnelle en vulnérabilités.

Les plans d'analyse et de remédiation #ShellShock s'enchainent tranquillement une semaine après la publication du 24 septembre sur la vulnérabilité #Bash (exemple: publication par Apple de l' "OS X bash Update 1.0" (HT6495) le 29 septembre et par Vmware du VMSA-2014-0010 le 30 septembre 2014) et l'analyse des nouvelles vulnérabilités commence sur les chapeaux de roue avec la publication le 30 septembre de correctifs pour Joomla (RFI/DOS pour les versions inférieures à 3.3.5, 3.2.6 and 2.5.26) et la sortie du CVE-2014-3634 sur Rsyslog ("DOS from untrusted sources") avec la publication par Debian des DSA-3040-1 et DLA-72-1.

Nous assistons ensuite au retour de correctifs pour OpenBSD le 1er octobre (CVE-2014-3616 pour nginx pour 5.5/5.6), à une nouvelle version de PHP 5.6.1 le 2 octobre et à deux bulletins Ubuntu USN-2367-1/OpenSSL (qui peut nous laisser présager de futurs bulletins sur le sujet par d'autres distributions) et USN-2368-1/OpenVPN (corrigeant le CVE-2013-2061 de mars 2013).

Une seconde semaine type (jamais deux sans toi ?)


La seconde semaine d'octobre continue sur la lancée précédente avec la publication des versions 4.0.15, 4.2.11, 4.4.6, et 4.5.6 de Bugzilla le 6 octobre (et du mini-buzz correspondant), la sortie d'une mise à jour majeure pour Chrome le 7 octobre avec "159 security fixes" (!), la publication du JSA10560 pour J-Web sur Junos et des correctifs Solaris 11.2/10/9 pour Bash le 7 octobre également, la publication du cisco-sa-20141008-asa par Cisco le 8 octobre, la nouvelle correction pour Rsyslog par Debian (DSA-3047-1) car la précédente correction DSA-3040-1 était incomplète (nouveau CVE-2014-3683) le 8 octobre (et son pendant chez Ubuntu - USN-2381-1 - corrigeant les deux CVE d'un seul coup le 9 octobre) et un nouveau bulletin Juniper JSA10655 (CVE-2014-6380) pour Junos le 10 octobre.

Et nous avons le droit à un week-end de repos bien mérité avant le doublé Microsoft / Oracle prévu le 14 octobre (la notification avancée par Microsoft le 9 octobre nous prévenant de 9 bulletins dont 3 critiques avec une RCE pour IE6 à IE/11 et Office 2007/2010).

14 octobre 2014 : Un déferlement de vulnérabilités : Trick or Treat!


Le 14 octobre voit arriver une déferlante à faire pâlir le Black April 2014 et ses Heartbleed et fin de support Windows XP : Patch Tuesday de Microsoft (3 bulletins critiques et 5 importants dont le MS14-056 qui "resolves 14 privately reported vulns in Internet Explorer"), Patch tuesday Adobe avec la sortie du bulletin APSB14-22 pour Flash Player (3 CVE) et la mise à jour pour Chrome correspondante et le (tant attendu) critical patch update trimestriel d'Oracle qui arrive avec "154 new security fixes" dont (entre autres) 31 correctifs pour les serveurs "Oracle Database", 15 correctifs pour les "Sun Systems", 24 correctifs pour Mysql et 25 correctifs pour Java. Ajoutons à cela la sortie de la version 33 de Firefox (qui corrige trois vulnérabilités élevées) et nous avons (à nouveau) en une semaine tous nos navigateurs critiquement vulnérables (il nous manque Safari je vous l'accorde mais laissez lui un peu de temps).

Nous sommes toujours le 14 octobre et la battle commence entre la vulnérabilité CVE-2014-4114 aka "Sandworm" dont la correction est disponible car reportée officiellement par un tiers à Microsoft - le plan média étant certainement prévu de manière coordonnée avec la publication du MS14-060 intégré au Patch tuesday du 14 octobre ... et ... et ... et la publication de la vulnérabilité CVE-2014-3566 "POODLE" par Google sur SSL.

Comment comparer ces deux vulnérabilités ? L'une des deux éclipse-t-elle l'autre ? Pouvons-nous porter nos efforts en terme de priorisation de remédiation sur l'une d'entre elles ou devons nous scinder nos efforts à part égale ?

Il me semble rétrospectivement que POODLE a fait coulé plus d'encre que Sandworm et que le mois d'octobre sera dans le futur associé à POODLE (ceci n'est qu'un avis personnel, donnons-nous rendez-vous d'ici quelques mois si vous le voulez bien). Demeurons néanmoins attentifs un instant à Sandworm dont le plan média semble avoir été préparé de manière appropriée : une vulnérabilité est identifié par des chercheurs. Ceux-ci reportent cette vulnérabilité à l'éditeur qui prépare le correctif et le publie. Les chercheurs publient ensuite leur propre bulletin et nos sysops / adminsys perdent quelques jours de sommeil (grâce leurs soit rendue). Avançons quelque peu dans le temps, quelques jours plus tard commencent à circuler des informations semblant indiquer que le MS14-060 est incomplet et peut être contourné ... et Microsoft acquitte ces informations par la publication du Security Advisory 3010060 le 21 octobre (nouveau CVE-2014-6352) avec un Fixit (attendons le bulletin pour le mois prochain ?) ... Cela ne vous rappelle-t-il rien ? Je vous aide, le mot clé est "internet-o-vision" dans mon article du mois de septembre.

Arrive le 15 octobre (si vous ne dormez pas, les journées font effectivement plus de 24 heures mais ceci est un autre débat) et la semaine voit tous les éditeurs publier leurs analyses sur ce désormais fameux POODLE (qui est il ? d'où vient il ? quels sont ses réseaux d'influence ? a-t-il définitivement refusé de porter plainte contre ses parents pour ce sobriquet dont il a été affublé ?) dont le score de base CVSS s'élève autour de 4 à 5 (Moyen) mais les impacts potentiels en terme métier semblent estimés à important : Mise à jour du SA3009008 Microsoft ("to include a workaround for disabling the SSL 3.0 protocol in Windows"), BlueCoat SA83, Juniper JSA10656, VMWARE KB2092133, Cisco cisco-sa-20141015-poodle, etc...

Ne zappez pas, pour que ce 15 octobre soit "trick or treat", il en faut plus ... bulletin critique DRUPAL-SA-CORE-2014-005 ("SQL Injection by anonymous user"), bulletin important RHSA-2014-1620 pour java-1.7.0-openjdk, USN-2384-1 pour Mysql suite au CPU Oracle (rapide !) ... Et si POODLE ne vous suffisait pas, le bulletin OpenSSL secadv_20141015 inclut d'autres CVE (CVE-2014-3513, CVE-2014-3567, CVE-2014-3568).

Quelques heures de sommeil et le 16 octobre débute avec les bulletins pour OpenSSL : Debian DSA 3053-1, Ubuntu USN-2385-1, RedHat RHSA-2014:165 (bon courage si vous tracez la cohérence entre CVE et bulletins multiples) et le sympathique LibreSSL 2.1.1 qui désactive SSLv3 par défaut et qui précise "not vulnerable to 2 memory leak from OpenSSL".

Ne zappez pas, pour que cette semaine soit véritablement "trick or treat !", il nous faut entendre sonner le tocsin plusieurs fois ! Le 16 octobre c'est aussi : un bulletin JSA10652 "Junos RSVP DOS", une mise a jour PHP5 5.6.2/5.5.18/5.4.3, le bulletin USN-2386-1 pour OpenJDK 6, le RHSA-2014:1654-1 rsyslog RHEL6 pour rsyslog (après le RHSA-2014:1397-1 RHEL7 du 13 octobre pour notre DSA-3040-1 du 30 septembre sur le CVE-2014-3634), le RHSA-2014:1655-1 pour un DOS dans libxml2 (CVE-2014-3660) ... Et les mises a jour Apple OS X Server v2.2.5/3.2.2/4 et OS X Security Update 2014-005 (pour laquelle Apple confirme le 17 octobre avec le APPLE-SA-2014-10-16-2 que les corrections incluent le CVE-2014-3566 et le fix OS X bash Update 1.0) ...

A nouveau quelques heures de sommeil (ou de veille F5 F5 F5 comme le dit @Philoupas) mais heureusement tout le monde est fatigué (au moins de notre côté et le week-end est enfin là).

3ème semaine : et c'est parti pour une semaine de rab


Reprenons en fanfare le 20 octobre : bulletin Asterisk AST-2014-011 pour POODLE et bulletin Oracle Solaris 11.2 pour les CVE OpenSSL. Nouveaux bulletins catégorisés "Reliability" pour OpenBSD 5.4/5.5/5.6 auxquels s'ajoute un fix pour désactiver SSLv3. Sortie du DSA-3054-1 MySQL suite au CPU Oracle (enfin !).

Passons au 21 octobre avec le Microsoft SA3010060 sur la RCE OLE incomplète pour Sandworm et à 4 bulletins pour FreeBSD (dont un pour les vulnérabilités OpenSSL).

... Et au 22.10 avec le bulletin TYPO3-CORE-SA-2014-002, le bulletin USN-2388-1 pour OpenJDK 7 et un nouveau bulletin Vmware VMSA-2014-0011 pour vSphere Data Protection (CVE-2014-4624).

4ème semaine : est-ce que cela va s’arrêter ?


Une dernière semaine qui commence bien avec les CVE-2014-8484 et CVE-2014-8485 (et CVE-2014-8501 à CVE-2014-8504 ?) pour " strings / libbfd " qui ont inquiété les veilleurs le dimanche 26 octobre au soir (et des points de vue différents et très intéressants sur la réponse à apporter à ces vulnérabilités : comparez les mailing lists OSS-SEC et openbsd-tech à ce sujet) et le bulletin Debian DSA-3057-1 pour libxml2 (qui corrige le CVE-2014-3660 et 3 bugs).

Passons au 27 octobre avec un nouveau bulletin Oracle pour OpenSSL sur Solaris 10/11.2 et à un bulletin sur Node.js pour un contournement de filtre de validation entrainant une possibilité de XSS.

Puis au 28 octobre avec le bulletin Puppet pour POODLE et SSLv3.

Puis au 29 octobre avec le CVE-2014-4877 sur WGET (USN-2393-1 / RHSA-2014:1764 du 30 octobre et intéressante "disclosure timeline" par Rapid7), la modification du Microsoft SA3009008 pour annoncer la "deprecation of SSL 3.0" (message subliminal : cette information ne devrait pas être prise à la légère) et l'annonce par Drupal avec un bulletin spécial PSA-2014-003 que les attaques ciblant les sites Drupal ont débuté "within hours of SA-CORE-2014-005" (publié, je vous le rappelle, le 15 octobre en même temps que Sandworm et POODLE et qui devrait porter à notre attention que la priorisation des corrections sur un Système d'Information doit toujours être fonction du Métier et non des buzz médiatiques dont nous sommes submergés).

Puis au 30 octobre avec : les bulletin Ubuntu USN-2391-1 et RHSA-2014:1767-1 pour PHP5 sur les CVE publiés le 16 octobre (enfin ! mais nous attendons toujours la transition Debian de testing vers stable :( ), une mise à jour Chrome stable pour Chrome OS et une mise à jour sécurité GitLab 7.4.3 (CVE-2014-8540).

Et maintenant ?


Que vous dire de plus si ce n'est joyeuse All Hallows Eve !

Jess - @JessicaGallante

PS : Enormes merci à @helpacsoout, @philoupas, @helkhoury, X et X2 (qui se reconnaitront) pour vos messages. (inlove) à John, Marie et @AdBaz1 pour votre support pendant ce mois compliqué :)

PPS : @Nathplanteur : à ce soir ! (j'ai un habit de princesse pour toi aussi :D)

vendredi 10 octobre 2014

Il s'est enfui si vite

Il s'est enfui si vite, il était encore tôt
Le jour pointait à peine, il faisait encore nuit
Le silence pesait, il n'a pas fait un bruit
Sans daigner prévenir, sans me laisser un mot.

De guerre lasse je cherche, et cherche s'il me faut
Pourtant je le savais, mais sotte je le suis,
Et ces conseils d'amis? bien sur je les fuis
A nouveau l'appeler ... et qu'il me fasse défaut ?

Et maintenant que faire? Devrais-je lui promettre,
Attendre, patienter, lui dire que je suis prête ?
Notre couche était tiède, froissée de mille rèves
Nos souffles étaient si calmes, nos songes sans une ombre
Un repos mérité, la nuit semble si brève.
Nos souffles étaient si liés, et il fait encore sombre.

Jess - la vie est poésie

jeudi 2 octobre 2014

Je l'ai accompagnée

Le coeur paré de rêves, je l'ai accompagnée
Sa coiffe était baissée et sa démarche brève
Avec son port altier, sa robe couleur de sève
Elle s'avance, elle est Eve, de grâce auréolée.

Le coeur serré d'amour, je l'ai accompagnée
Sa jolie peau dorée, toute parée de velours
En cette longue journée, en ce tout premier jour
Après ces longs cris sourds, calmés par nos bonnes fées.

Le coeur lourd de sanglots, je l'ai accompagnée
Sans pouvoir m’arrêter, sans pouvoir dire un mot
Et cette envie d'hurler, de crier c'est trop tôt
Qui passera bientôt sur nos deux coeurs brisés.

Jess - La vie est poésie