Le deuxième mardi du mois, cela vous dit quelque chose ? Le patch tuesday ? Ou le black tuesday ? Hier soir, entre les vraies machines et les machines virtuelles, c'était opération mise à jour sur les machines de la maison. A coup de wuauclt /detectnow sur les XP et 2003, et de Windows Update sur les Vista, histoire de contrôler que tout se passe bien.

Si tout est simple comme AutoUpdate dans l'environnement domestique, les choses sont plus sensibles en entreprise. Comme vu précédemment, la gestion des mises à jour de sécurité nécessite une bonne connaissance de son parc et des procédures bien rodées.

La synthèse des bulletins de sécurité est un bon point de départ. Nous avons donc 3 bulletins critiques et 4 importants, ce qui suppose une application très rapide d'au plus 3 mises à jour.

Premier bulletin critique : MS07-064 - Des vulnérabilités dans DirectX pourraient permettre l'exécution de code à distance (941568)

Ce bulletin concerne Windows 2000 SP4, Windows XP, Windows Server 2003 et Windows Vista. Mais à la lecture du bulletin, on voit que l'exploitation de la vulnérabilité suppose qu'un utilisateur ouvre un fichier média. A priori, il n'est pas courant qu'un administrateur ait ce genre d'activité sur un serveur. Donc la priorité sera donnée aux postes de travail et aux serveurs Terminal Server.

Conclusion : patcher les postes de travail au plus vite (24 heures).

Deuxième bulletin critique : MS07-068 - Une vulnérabilité dans le format de fichier Windows Media pourrait permettre l'exécution de code à distance (941569 et 944275)

Ce bulletin concerne le traitement des fichiers ASF, a priori aussi une fonctionnalité des postes de travail plutôt que des serveurs. Même traitement que le bulletin précédent.

Conclusion : patcher les postes de travail au plus vite (24 heures).

Troisième bulletin critique : MS07-069 - Mise à jour de sécurité cumulative pour Internet Explorer (942615)

Ce bulletin est critique pour les postes de travail (Windows 2000 SP4, Windows XP SP2 et Windows Vista) et modéré pour les serveurs Windows Server 2003. Inutile de creuser pendant des heures la nature de la vulnérabilité en ce qui concerne Internet Explorer, l'application la plus exposée de Windows. La décision est la plus facile à prendre.

Conclusion : patcher les postes de travail au plus vite (24 heures).

Voici donc les décisions que l'on peut prendre en quelques minutes ce mercredi matin : trois mises à jour à appliquer au plus vite sur tous les postes de travail. Une solution technique telle que WSUS 3.0 simplifiera l'opération de test et de déploiement. En effet si Internet Explorer est largement utilisé pour des applications Intranet, un pilote sera peut-être nécessaire, mais devra être réalisé dans la journée.

Pour le reste (serveurs, autres bulletins), le processus d'analyse peut être lancé en parallèle, sachant que les mises à jour correspondantes seront sûrement à appliquer dans la semaine.

Ce petit exercice illustre concrètement les différents aspects de la gestion des mises à jour :

  • Est-ce que les procédures sont prêtes et en phase avec l'exploitation et le support ?
  • Est-ce que les informations sur le parc sont disponibles et à jour ?
  • Est-ce que les bonnes personnes sont disponibles (mardi soir ou mercredi matin au plus tard) pour faire le tri et fixer les premières priorités ?
  • Est-ce que la décision peut être prise ce matin pour une application dans la journée ?
  • Est-ce que l'on est prêt à lancer un pilote dans la matinée ?
  • Est-ce que les outils sont prêts pour déployer dans l'après-midi ?

Bon courrage, patchez-vous bien !