Les objets connectés marquent un tournant majeur dans notre relation vis-à-vis de notre conception du quotidien.
Actuellement, nos objets ont une finalité principale et généralement unique : un thermomètre sert à donner la température. En devenant connectés, la nature des objets change.
http://www.apssis.com/#/articles-adherents/4395696
Une gestion de version détaillée se trouve à la fin de ce document.
Une vulnérabilité a été découverte dans GNU bash. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.
La vulnérabilité CVE-2014-6271 consiste en une injection de commande suivant la définition d’une fonction dans une variable d’environnement. Dans certains cas, un processus peut hériter de variables d’environnement provenant d’une machine distante, ce qui rend cette vulnérabilité exploitable à distance. C’est notamment le cas de serveurs Web employant des scripts bash comme CGI-bin, de certains serveurs SSH et des clients DHCP.
Il est possible de vérifier si la version de bash est vulnérable avec la commande:
$ env VAR='() { 0; }; echo danger' bash -c "echo bonjour"
A l’heure actuelle, certains correctifs sont incomplets en raison d’une vulnérabilité résiduelle (CVE-2014-7169). Néanmoins le CERT-FR recommande d’appliquer les correctifs pour réduire la facilité d’exploitation. Les derniers correctifs des distributions Debian, Ubuntu et RedHat corrigent aussi CVE-2014-7169.
Dans le cadre spécifique de services Web vulnérables, le CERT-FR recommande de filtrer les en-têtes HTTP commençant par les quatre caractères '() {' par le biais du module Apache mod_security ou d’un pare-feu applicatif du même type.
http://www.debian.org/security/2014/dsa-3032
http://www.debian.org/security/2014/dsa-3035
http://www.ubuntu.com/usn/usn-2362-1/
http://www.ubuntu.com/usn/usn-2363-1/
http://www.ubuntu.com/usn/usn-2363-2/
http://www.ubuntu.com/usn/usn-2364-1/
https://access.redhat.com/articles/1200223
https://rhn.redhat.com/errata/RHSA-2014-1306.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6271
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6277
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6278
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7169
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7186
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7187
| Dernière version de ce document : | http://cert.ssi.gouv.fr/site/CERTFR-2014-ALE-006 |
CERT-FR
http://www.cert.ssi.gouv.fr/site/CERTFR-2014-ALE-006/CERTFR-2014-ALE-006.html
Une gestion de version détaillée se trouve à la fin de ce document.
Une vulnérabilité a été découverte dans la version 3 du protocole SSL permettant de sécuriser les connexions entre clients et serveurs. Elle permet à un attaquant de provoquer une atteinte à la confidentialité des données, par exemple de récupérer un cookie de session HTTPS.
L’exploitation de la vulnérabilité est basée sur la négociation protocolaire entre le client et le serveur. Le client force le serveur à utiliser SSLv3 qui est une ancienne version du protocole SSL/TLS. L’attaquant sera en mesure de déchiffrer une partie du trafic réseau vers des sites sécurisés et de récupérer des cookies de session HTTPS.
Il est possible de configurer les navigateurs afin de les empêcher d’utiliser cette version du protocole :
Pour les applications basées sur l’API Cryptographique de Windows (CAPI), il est possible de modifier la clé de registre suivante :
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\ Protocols\SSL 3.0\Client] "Enabled"=dword:00000000
https://www.openssl.org/~bodo/ssl-poodle.pdf
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566
| Dernière version de ce document : | http://cert.ssi.gouv.fr/site/CERTFR-2014-ALE-007 |
CERT-FR
http://www.cert.ssi.gouv.fr/site/CERTFR-2014-ALE-007/CERTFR-2014-ALE-007.html
Une gestion de version détaillée se trouve à la fin de ce document.
Drupal core, versions 7.x antérieures à 7.32
Une vulnérabilité a été découverte dans Drupal. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance sans authentification préalable.
Il est recommandé de mettre à jour les installations existantes de Drupal vers la version 7.32 qui corrige la vulnérabilité.
En cas d’impossibilité de migrer rapidement vers la dernière version, il est possible d’appliquer le correctif ci-dessous fourni par le projet Drupal :
https://www.drupal.org/files/issues/SA-CORE-2014-005-D7.patch
De plus, en cas de suspicion de compromission, il est fortement conseillé de changer les mots de passe des utilisateurs privilégiés.
https://www.drupal.org/SA-CORE-2014-005
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3704
| Dernière version de ce document : | http://cert.ssi.gouv.fr/site/CERTFR-2014-ALE-008 |
CERT-FR
http://www.cert.ssi.gouv.fr/site/CERTFR-2014-ALE-008/CERTFR-2014-ALE-008.html
Une gestion de version détaillée se trouve à la fin de ce document.
Une vulnérabilité a été découverte dans le composant qui permet l’établissement des sessions SSL/TLS sur la plateforme Microsoft Windows. Une attaque réussie permet à un attaquant de provoquer une exécution de code arbitraire à distance.
Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs (cf. section Documentation).
https://technet.microsoft.com/fr-fr/library/security/ms14-066.aspx
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6321
| Dernière version de ce document : | http://cert.ssi.gouv.fr/site/CERTFR-2014-ALE-010 |
CERT-FR
http://www.cert.ssi.gouv.fr/site/CERTFR-2014-ALE-010/CERTFR-2014-ALE-010.html