1 Mise à jour des produits Microsoft
Comme tous les mois, Microsoft a publié cette semaine une liste de correctifs de certains de ses produits, couvrant de nombreuses versions de Windows. Parmi les 17 avis émis par Microsoft, dix traitent de vulnérabilités permettant l’exécution de code arbitraire à distance.On pourra également noter que le bulletin de sécurité MS10-090 (voir l’avis CERTA-2010-AVI-593) corrige la vulnérabilité décrite dans l’alerte CERTA-2010-ALE-019 du 03 novembre 2010.
Compte tenu de la criticité des failles corrigées, il est impératif d’appliquer l’ensemble des correctifs de manière diligente.
Documentation
- Avis CERTA-2010-AVI-593 :
http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-593
- Alerte CERTA-2010-ALE-019 :
http://www.certa.ssi.gouv.fr/site/CERTA-2010-ALE-019
2 Dépôt d’une porte dérobée dans phpMyFAQ
Les développeurs du projet phpMyFAQ ont annoncé sur leur site Web (http://www.phpmyfaq.de) que le serveur principal du projet avait été compromis. Cette attaque a eu pour conséquence le dépôt de versions contenant une porte dérobée. Les versions affectées par cette modification sont phpMyFAQ 2.6.11 et 2.6.12. L’attaquant a également changé les fichiers de condensats cryptographiques (hash) MD5 afin de dissimuler la modification des sources.La porte dérobée a été ajoutée dans le fichier inc/Faq.php et encodée en base64. Ce code envoie tout d’abord un courriel vers une adresse définie puis ajoute une entrée dans la table faqconfig utilisée par phpMyFAQ. Cette entrée est ensuite utilisée comme porte dérobée en permettant d’inclure du code PHP arbitraire.
Les sources contenant cette porte dérobée ont été disponibles en téléchargement du 04 au 15 décembre 2010. Le CERTA recommande, par précaution, à tous les administrateurs ayant déployé phpMyFAQ de vérifier les condensats cryptographiques (hash MD5) des sources sur la page de l’éditeur.
Documentation
- Avis CERTA-2010-AVI-616 :
http://www.certa.ssi.gouv.fr/site/CERTA-2010-AVI-616
- Bulletin de sécurité phpMyFAQ annonçant la compromission du serveur :
http://www.phpmyfaq.de/advisory_2010-12-15.php
- Fichiers de signature MD5 des sources de phpMyFAQ 2.6.11 et 2.6.12 :
http://www.phpmyfaq.de/download_old.php
Rappel des avis émis
Dans la période du 06 au 12 décembre 2010, le CERT-FR a émis les publications suivantes :
- CERTA-2010-AVI-577 : Vulnérabilité dans CUPS
- CERTA-2010-AVI-578 : Multiples vulnérabilités dans Google Chrome
- CERTA-2010-AVI-579 : Vulnérabilités dans AWStats
- CERTA-2010-AVI-580 : Vulnérabilité dans le module Safe de Perl
- CERTA-2010-AVI-581 : Multiples vulnérabilités dans QuickTime
- CERTA-2010-AVI-582 : Vulnérabilités dans WordPress
- CERTA-2010-AVI-583 : Multiples vulnérabilités dans VMware ESX
- CERTA-2010-AVI-584 : Vulnérabilité dans Citrix Web Interface
- CERTA-2010-AVI-585-001 : Vulnérabilités dans les produits Mozilla
Durant la même période, les publications suivantes ont été mises à jour :
- CERTA-2010-AVI-576-001 : Vulnérabilités dans ClamAV