Vulnérabilité

Microsoft sort aujourd’hui le Patch Tuesday du mois de Décembre, qui est bien entendu le dernier de l’année 2013. Il intègre 11 bulletins dont 5 classés critiques par Microsoft. Les 5 bulletins critiques sont destinés à corriger des failles permettant d’exécuter du code à distance sur une machine Windows et affectent les principaux OS clients Microsoft : du bon vieux Windows XP à Windows 8.1 en passant par Windows 7 et Windows 8. On ajoutera à cette liste Office 2013, Lync 2010 et Exchange. Les 6 autres bulletins de ce patch sont classés comme important et concernent 5 failles d’élévation des privilèges et une dernière faille d’exécution de code à distance. Les mêmes versions de Windows sont touchées, avec en plus Windows Server. Internet Explorer subira également une mise à jour permettant de corriger la vulnérabilité découverte par les chercheurs en sécurité de McAfee, le mois dernier. Ce dernier patch de l’année apportera donc un bon nombre de correctifs touchant

Depuis ce début décembre, les paquets OpenJPEG, Ruby et Chromium ont reçus une mise à jour permettant de corriger des failles de sécurité. Voici plus d’informations : – OpenJPEG : Ce logiciel permet d’encoder et de décoder des images au format JPEG 2000, il contient une vulnérabilité pouvant mener à un déni de service grâce à une surconsommation de mémoire, voir même à l’exécution de code et de récupération d’information. Référence CVE : CVE-2013-1447, CVE-2013-6045, CVE-2013-6052, CVE-2013-6054. La version 1.3 corrige ces vulnérabilités. – Ruby 1.8 : L’interpréteur de langage Ruby contient plusieurs vulnérabilités ayant pour référence CVE : CVE-2013-1821, CVE-2013-4073, CVE-2013-4164. L’une d’entre elle permet un déni de service sur la machine en consommant toute la mémoire de l’hôte, d’après Ben Murphy. D’autre part, William Snow Orvis a découvert que dans la vérification du nom d’hôte dans le client SSL de Ruby, il est possible qu’un attaquant effectue une attaque de type man in the middle afin d’usurper un

D-Link a publié des correctifs pour ses routeurs, afin de rattraper des erreurs de développement qui permettait à un attaquant de changer à distance les paramètres de certains modèles de routeurs via l’interface web. Craig Heffner, un chercheur en sécurité affirme que l’on peut accéder à l’interface web de certains routeurs D-Link en paramétrant notre navigateur pour qu’il envoie la chaîne « xmlset_roodkcableoj28840ybtide » pour le user agent. Cette chaîne de caractères fait penser à une back door intentionnellement insérée dans le firmware. Pourquoi ? Simplement car si vous lisez cette chaîne à l’envers, vous obtenez : « edit by 04882 joel backdoor ». Étant donné que l’exploitation de cette faille passe par l’utilisation du chaîne particulière pour le user agent, la gestion à distance doit être activée sur le routeur (fonctionnalité désactivée par défaut). Craig Heffner indique également que le problème a pu être découvert il y a longtemps par quelqu’un d’autre… Il a trouvé cette chaîne particulière pour le user agent sur

Icedove, la version de Mozilla Thunderbird pour Debian, contenait plusieurs failles de sécurité qui sont désormais corrigées. Elles permettaient d’exécuter du code arbitraire en exploitant des erreurs d’implémentation ainsi que des erreurs au niveau mémoire. La version pour Debian Squeeze n’est plus supportée, vous n’aurez donc pas les mises à jour de sécurité si vous êtes sous cette version de Debian. Cependant, les failles de sécurité corrigées affectent seulement les installations d’Icedove où le scripting et les mails HTML sont actifs. Concernant la version stable en cours, Debian Wheezy, le problème est corrigé dans la version 17.0.10-1~deb7u1. Pour Debian Sid, toujours en cours de développement, vous devez utiliser la version 17.0.10-1. Les références CVE correspondantes sont : CVE-2013-5590, CVE-2013-5595, CVE-2013-5597, CVE-2013-5599, CVE-2013-5600, CVE-2013-5601, CVE-2013-5602, et CVE-2013-5604. Source : Debian Security

Deux références CVE concernant des vulnérabilités dans Samba ont été publiées. Premièrement, la référence CVE-2013-4475 correspond à une vulnérabilité découverte par Hemanth Thummala, et, indique que lors de l’ouverture d’un flux de données les ACL Windows présentent ne sont pas utilisées pour contrôler l’accès. Toutes les versions à partir de la 3.2.0 sont concernées. Description : CVE-2013-4475 La seconde ayant la référence CVE-2013-4476, indique qu’à cause de mauvaises permissions sur les dossiers et fichiers, un attaquant local peut obtenir la clé privée qui est utilisée pour le chiffrement SSL/TLS avec LDAPs et le trafic réseau en HTTPS. Cette clé peut contenir des informations confidentielles comme des mots de passe. Les versions de Samba 4.0.0 – 4.0.10, et 4.1.0 sont concernées. Description : CVE-2013-4476 Je vous invite à consulter les liens cités ci-dessus pour obtenir plus détails. Source : Samba Security

Le navigateur installé par défaut sous Debian, nommé Iceweasel, contient plusieurs vulnérabilités au niveau de la mémoire et des erreurs d’implémentation. Le fait de les exploiter pourrait mener à l’exécution de code arbitraire sur la machine piratée. Pour Debian Wheezy, la version corrigée est 17.0.10esr-1~deb7u1, pour Debian Sid elle n’est pas encore sortie alors que pour Debian Squeeze elle ne sortira plus car les mises à jour de sécurité pour Iceweasel ne sont plus disponible sur cette version. Références CVE : CVE-2013-5590, CVE-2013-5595, CVE-2013-5597, CVE-2013-5599, CVE-2013-5600, CVE-2013-5601, CVE-2013-5602, CVE-2013-5604. Source : Debian Security

Plusieurs modules contiennent des vulnérabilités, comme le « dissector IEEE 802.15.4 », « dissector NBAP », « dissector SIP » et le « dissector TCP ». L’exploitation de ces vulnérabilités peut mener à un déni de service sur la machine cible. Quatre références CVE correspondent à ces vulnérabilités : CVE-2013-6336, CVE-2013-6337, CVE-2013-6338, CVE-2013-6340. Il est recommandé de mettre à jour votre application Wireshark vers la version suivante (selon votre version de Debian) : Debian Squeeze : Problèmes corrigés dans la version 1.2.11-6+squeeze13. Debian Wheezy : Problèmes corrigés dans la version 1.8.2-5wheezy7. Debian Sid : Problèmes corrigés dans la version 1.10.3-1. Vous trouverez plus d’informations sur les versions de Wireshark concernées en visitant le lien source. Source : Wireshark Security

Roundcube, la solution Webmail basée sur Ajax pour les serveurs de messagerie IMAP, est vulnérable ! En effet, l’application ne nettoie pas correctement le paramètre nommé « _session » dans « /steps/utils/save_pref.inc » lors d’une sauvegarde des préférences. De ce fait, cette vulnérabilité peut être exploitée pour écraser les réglages de configuration et ainsi : – Accéder aléatoirement à des fichiers – Manipuler des requêtes SQL (injection SQL) – Exécuter du code Pour vous protéger, vous devez mettre à jour Roundcube vers la version 0.8.7 ou 0.9.5. Référence CVE : CVE-2013-6172 Source : Roundcube.net