Vulnérabilité

Cette bibliothèque appelée également PyCrypto correspondante au Python Cryptography Toolkit, fournit les outils de bases nécessaire à la création d’une solution de cryptographie. Sous Debian, elle est intégrée sous le nom python-crypto. Son générateur de nombres pseudo-aléatoires est vulnérable. En effet, dans certains cas la graine (salt) aléatoire du générateur ne se réinitialise pas lorsque plusieurs processus sont issus du même parent. En conséquence, des sorties identiques pour tous les processus pourraient être générées et donc causer la fuite de valeurs sensibles comme les clés de chiffrement. Il est recommandé de mettre à jour les paquets python-crypto. Debian Squeeze : Corrigé dans la version 2.1.0-2+squeeze2. Debian Wheezy : Corrigé dans la version 2.6-4+deb7u3. Debian Jessie : Corrigé dans la version 2.6.1-2. Debian Sid : Corrigé dans la version 2.6.1-1.

Oracle, par l’intermédiaire d’un bulletin sur son site, annonce la sortie d’un patch critique afin de corriger plusieurs vulnérabilités de sécurité. Ce patch corrige 127 trous de sécurité dont 51 correspondant à Java. De nombreux produits et composants Oracles sont concernés comme Oracle Database (11g Release 1 version 11.1.0.7, 11g Release 2 versions 11.2.0.2 et 11.2.0.3 et 12c Release 1 version 12.1.0.1), Oracle MySQL Server (version 5.1, 5.5 et 5.6) ou encore Oracle MySQL Enterprise Monitor (version 2.3) Retrouvez plus de détails sur le site d’Oracle (voir source) Source : Oracle.com

Windows 8.1 n’est pas encore sortie en version finale mais une faille a déjà été trouvée par James Forshaw, un spécialiste en sécurité de chez Context Information Security. Grâce à cette trouvaille, il a empoché la somme promise par Microsoft à savoir 100 000 dollars. Ce n’est pas son premier coup puisqu’il a déjà reçu une récompense après avoir découvert un autre problème au sein d’Internet Explorer 11. Microsoft peut se ravir des trouvailles de James Forshaw puisque cela va lui permettre de boucher quelques trous de sécurité de son système Windows 8.1. Source : Technet

Icedtea-web, un plug-in pour navigateur web basé sur OpenJDK et IcedTea pour exécuter des applets Java, contient une vulnérabilité. Arthur Gerkis a découvert que si un utilisateur a été piégé dans l’ouverture d’un site web malveillant, un attaquant pourrait forcer ce plug-in à planter ou éventuellement exécuter du code arbitraire en tant qu’utilisateur invoquant le programme. Référence CVE : CVE-2012-4540 Debian Wheezy : Problème corrigé dans la version 1.4-3~deb7u2. Debian Sid : Problème corrigé dans la version 1.4-3.1. Il est nécessaire de mettre à jour vos paquets pour vous protéger de cette vulnérabilité si vous utilisez ce plug-in.

Plusieurs vulnérabilités pouvant mener à une exécution de code arbitraire à distance, à un déni de service, à une atteinte à la confidentialité des données, ou encore permettant de contourner la politique de sécurité ont été découvertes. Ceci a mené à 17 bulletins de sécurité de la part de la fondation Mozilla. Parmi eux, 7 sont considérés comme critiques, 4 comme hauts et 6 comme modérés. Ces vulnérabilités peuvent concerner plusieurs logiciels Mozilla comme Firefox, Thunderbird ou encore Seamonkey. Afin d’être protégé, optez pour les versions suivantes : Firefox 24, Thunderbird 24 et Seamonkey 2.21. Retrouvez un descriptif de chacun des bulletins sur cette page : Mozilla Security (en)