dimanche 30 novembre 2014

Novembre : l'hiver vient

Novembre, nous avons tout intérêt à colmater nos fenêtres pour face au froid et aux vagues d'assaillants qui nécessitent de notre part une véritable garde de jour ... et de nuit. Et à dire vrai, il semble que toutes les technologies qui nous permettent de tenir le Mur présentent un caractère fragile en cette fin d'année. Qu'en pensez-vous ? Serait-ce l'hiver qui vient ?

Une première semaine apéritive


Le premier novembre 2014, FreeBSD fête ses 21 ans, OpenBSD publie sa version 5.6 (retirant officiellement sa 5.4) et NetBSD publie un fix pour tnftp (CVE-2014-8517) intéressant à analyser : Sévérité NVD High (CVSS/7.5), no-dsa_minor_issue pour Debian, impact modéré (CVSS/6.8) pour RedHat, OpenBSD non impacté, Mac OS X ? Et vous, comment vous assurez-vous qu'une vulnérabilité publiée par un tiers dans votre distribution de production est corrigée ou non impactante ?

Et en première semaine, c'est donc la fête aux *BSD : 3 bulletins (ftp, mount, openssl) pour NetBSD le 3 novembre, 3 bulletins (sshd, setlogin, ftp) pour FreeBSD le 4 novembre et un commit OpenBSD le 4 novembre qui fixe le CVE-2014-3710 pour File (précédente version datée du 28.10.09 ?) ... Fixé par Ubuntu avec par un bulletin USN pour PHP5, par Debian par des bulletins PHP5 et File, par RedHat par des bulletins PHP. Et vous, comment vérifiez-vous qu'une vulnérabilité est corrigée quand elle est simplement référencée par des commit de source ?

En première semaine, est aussi publié le 4 novembre le DSA-3064-1 pour PHP5 qui corrige les CVE mentionnés par PHP dans ses mises à jour 5.4/5.5/5.6 du 16 octobre et qui précise "it has been decided to follow the stable 5.4.x releases for the Wheezy PHP packages". Transition annoncée diront certains d'un mode stable "intégration des correctifs de sécurité" à un mode rolling "application des mises à jour mineures") ? Mais nous avons aussi la publication pour Solaris 10/11/11.1 de nombreux correctifs le 4 novembre (correctifs OpenSSL du 15 octobre dont POODLE) et le 7 novembre (Bash, Gzip, Samba, X.Org, Zip, ...).

Et la première semaine c'est aussi la notification avancée de Microsoft le 6 novembre pour le patch tuesday de Novembre : 5 bulletins critiques et 9 importants qui corrigeront entre autre des "remote code execution" dans Internet Explorer et Office - patch tuesday prévu le jour férié du 11 novembre.

Une seconde semaine compliquée pour Microsoft ... mais pas que


Le 11 novembre voit arriver un patch tuesday teinté de rouge pour Microsoft avec 14 mises à jour dont 4 critiques et 8 importantes dont les critiques MS14-065 qui "resolves 17 privately reported vulns in Internet Explorer 6/7/8/9/10/11" et MS14-066 qui "resolves a privately reported vulnerability in Schannel that could allow remote code execution" (l'année 2014 pouvant donc prétendre au statut bingo pour toutes les implémentations TLS ?). Ce patch tuesday permet aussi de clôturer, avec le MS14-064, le security advisory SA3010060 du 21 octobre (Windows OLE) mais inclut deux bulletins MS14-068 / MS14-075 annoncés avec le message "Release date to be determined".

Adobe publie aussi ses correctifs pour Flash Player le 11 novembre avec la correction de 18 CVE (mise à jour Chrome pour Flash dans la foulée) et nous pouvons aussi voir arriver quelques vulnérabilités intéressantes comme celles référencées par le bulletin "node.js/dns-sync" ou des bulletins dont la qualification est compliquée avec le DSA-3071-1 NSS du 11 novembre (High MFSA avec CVSS à 10 du 22.07 à comparer avec le DSA-3033-1 d'un Critical MFSA avec CVSS à 7.5 corrigé en moins de deux jours) ... et nous pouvons même apprendre que toutes les technologies ciblées (iPhone5S, GalaxyS5, Nexus5, FirePhone) lors de la troisième "HP ZDI Mobile Pwn2Own competition" pendant la conférence PacSec sont exploitables ... et exploitées.

Heureusement que ce 11 novembre était férié :) Et vous, comment gérez-vous la qualification et application en urgence lors des jours non travaillés ?

Sans oublier notre publication mensuelle par PHP de mises à jour 5.5/5.6 le 13 novembre.

3ème semaine rouge écarlate pour Microsoft


La 3ème semaine commence sur les chapeaux de roue avec la publication le 17 novembre du SA-2014-11-17-2 de Apple pour OS X Yosemite et de nouveaux bulletins reliability OpenBSD entre le 17 et le 18 novembre puis la sortie le 18 novembre d'une nouvelle version de Chrome qui fixe 42 problèmes de sécurité (avec la suppression du "SSLv3 fallback") et la publication le même jour de l'un des deux bulletins manquants du patch tuesday de Novembre : le bulletin critique MS14-068 Kerberos (CVE-2014-6324) pour 2003/2008/2012 qui est publié le 18 novembre en hors cycle par Microsoft avec l'intéressante note : "The only way a domain compromise can be remediated with a high certainty is a complete rebuild of the domain". Et vous, comment gérez-vous la sortie d'un bulletin critique hors cycle lorsque votre processus d'application des correctifs est en cours ?

Et pour ceux d'entre nous qui attendaient les bulletins Debian pour PHP, le DSA-3074-1 du 18 novembre qui fixe le seul CVE-2014-3710 mentionné dans la publication PHP du 13 novembre confirme à nouveau ce qui était annoncé en début de mois "As announced in DSA-3064-1 it has been decided to follow the stable 5.4.x releases for the Wheezy php5 packages".

Le 19 novembre se voit publié le bulletin drupal-sa-core-2014-006 qualifié comme "moderately critical" et l'annonce d'une vulnérabilité "OS X sandbox escape" par le Google Project Zero (qui applique sa politique "90-day disclosure deadline"), le 20 novembre commence avec la publication de 7 bulletins pour Asterisk, la sortie de multiples bulletins pour Solaris 11.2/11.1/10/9/8 et l'annonce d'une mise à jour critique pour Wordpress.

Et pour conclure cette 3ème semaine, @lcamtuf poste sur twitter le 23 novembre la mention choc "Quick quiz: would you run 'less' on an untrusted file?" puis s'explique sur OSS-SEC...

4ème semaine


Notre dernière semaine de novembre se calme (!) avec la publication d'un bulletin pour Docker le 24 novembre, la sortie d'un nouveau bulletin pour Flash Player le 25 novembre, la demande de CVE sur OSS-SEC pour cpio suite au fil de discussion sur lesspipe du 23 novembre et comme nous n'avions pas encore de bulletins Java, Debian publie ses bulletins DSA-3077-1 openjdk-6 et DSA-3080-1 openjdk-7 les 26 et 29 novembre (mises à jour suite au Critical Patch Update de Oracle du 14 octobre). Notons aussi l'information d'un chercheur Google mentionant une "sandbox escape" sur Adobe Reader stable le 27 novembre.

Et maintenant ?


Et comme un échange badin d'anecdotes sur le sujet de la veille opérationnelle pour clôturer ce mois de novembre :

  • nous avons le 2 novembre l'annonce de sortie d'une nouvelle version MantisBT 1.2.18 "for release in the next few days" car "the patch did not fully address the original problem" (injection SQL corrigée dans la 1.2.16 du 08.02.14). Toujours pas de publication au 30 novembre 2014. Annonce à mettre en relief avec le VMSA-2014-0008 du 9 septembre 2014 pour lequel la mention "Patch Pending" est toujours d'actualité pour Vcenter/ESXi 5.0/5.1 au 30 novembre. Et vous, comment gérez-vous le suivi de ces avertissements sur le moyen terme ?
  • nous avons le 10 novembre, l'alerte TA14-310A du US-CERT sur la prochaine fin de support pour Windows Server 2003. Et vous, où en êtes vous de votre plan de migration ?
  • et que penser de la nouvelle politique PHP5 pour Debian stable ? Nous avons eu 7 DSA (2 mars, 1er juin, 16 juin, 8 juillet, 21 août, 4 novembre, 18 novembre) pour 12 mises à jour de version 5.4. Est-ce pour vous comparable avec la politique de mise à jour pour openjdk-6/openjdk-7 (24 avril et 5 mai pour le CPU Oracle du 15 avril, 17 juillet et 23 juillet pour le CPU Oracle du 15 juillet, 26/29 novembre pour le CPU Oracle du 14 octobre). Qu'en pensez-vous ?

Jess - @JessicaGallante

PS : Merci @helpacsoout, @philoupas, John et à ma @Nathplanteur.

PPS : Quelle déception pour l'absence de MFSA autour du 25 novembre. J'avais la réponse mais sans doute pas la bonne question ...

vendredi 7 novembre 2014

Je suis un peu perdue

Je suis un peu perdue, il fait très sombre aussi
Il y a bien trop d'aigues, et aussi trop de basses
Pourquoi fait-il si froid? Pourquoi donc tous ces cris?
A quoi cela rime-t-il? Pourquoi suis-je donc si lasse.

Nous sommes arrivés tard, le temps était pluvieux
Nos rires étaient joyeux, nos pieds s'impatientaient
La musique sans fausse note et les fruits délicieux
Et là j'ai vacillé puis me suis absentée.

Et ces lumières criardes, qu'elles cessent de clignoter
Et toutes ces ombres autour, qu'elles s'arrêtent de tourner
Pourquoi suis-je allongée? Je n'en puis plus pitié.
Je dois ouvrir les yeux, je dois me réveiller.

Jess - La vie est poésie