pascals.blog : Patch Management

Bulletins de sécurité du 8 décembre 2009

pascals — Tue, 08 Dec 2009 18:17:28 GMT

Six nouveaux bulletins de sécurité ont été publiés aujourd’hui, dont 3 critiques et 3 importants.

Synthèse :

Détail des bulletins de ce mois :

Bulletin de sécurité Microsoft MS09-069 - Important : Une vulnérabilité dans le service LSASS (Local Security Authority Subsystem Service) pourrait permettre un déni de service (974392)
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft Windows. Cette vulnérabilité pourrait permettre un déni de service si un attaquant à distance authentifié envoyait un message ISAKMP spécialement conçu en communiquant via IPsec (Internet Protocol Security) au service LSASS (Local Security Authority Subsystem Service) sur un système affecté.
Bulletin de sécurité Microsoft MS09-070 - Important : Des vulnérabilités dans ADFS (Active Directory Federation Services) pourraient permettre l'exécution de code à distance (971726)
Cette mise à jour de sécurité corrige deux vulnérabilités signalées confidentiellement dans Microsoft Windows. La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance si un attaquant envoyait une requête HTTP spécialement conçue à un serveur Web avec ADFS activé. Pour exploiter l'une de ces vulnérabilités, un attaquant devrait être authentifié.
Bulletin de sécurité Microsoft MS09-071 - Critique : Des vulnérabilités dans le service d'authentification Internet pourraient permettre l'exécution de code à distance (974318)
Cette mise à jour de sécurité corrige deux vulnérabilités signalées confidentiellement dans Microsoft Windows. Ces vulnérabilités pourraient permettre l'exécution de code à distance si des messages reçus par le serveur du service d'authentification Internet sont copiés de façon incorrecte dans la mémoire lors du traitement des tentatives d'authentification PEAP. Un attaquant qui parviendrait à exploiter l'une de ces vulnérabilités pourrait prendre le contrôle intégral d'un système affecté. Les serveurs utilisant le service d'authentification Internet sont uniquement concernés lors de l'utilisation de l'authentification PEAP avec MS-CHAP v2.
Bulletin de sécurité Microsoft MS09-072 - Critique : Mise à jour de sécurité cumulative pour Internet Explorer (976325)
Cette mise à jour de sécurité corrige quatre vulnérabilités signalées confidentiellement et une vulnérabilité révélée publiquement dans Internet Explorer. Ces vulnérabilités pourraient permettre l'exécution de code à distance si un utilisateur affichait une page Web spécialement conçue à l'aide d'Internet Explorer. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur. Un contrôle ActiveX créé avec des en-têtes Microsoft ATL (Active Template Library) pourrait également permettre l'exécution de code à distance. Pour plus d'informations sur ce problème, consultez la sous-section « Forum aux questions concernant cette mise à jour de sécurité », dans cette section.
Bulletin de sécurité Microsoft MS09-073 - Important : Une vulnérabilité dans les convertisseurs de texte de WordPad et d'Office pourrait permettre l'exécution de code à distance (975539)
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans les convertisseurs de texte de Microsoft WordPad et Microsoft Office. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un fichier Word 97 spécialement conçu était ouvert dans WordPad ou dans Microsoft Office Word. Tout attaquant parvenant à exploiter cette vulnérabilité pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux disposant de privilèges d'administrateur.
Bulletin de sécurité Microsoft MS09-074 - Critique : Une vulnérabilité dans Microsoft Office Project pourrait permettre l'exécution de code à distance (967183)
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft Office Project. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un utilisateur ouvrait un fichier Project spécialement conçu. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Patchez-vous bien !

Bulletins de sécurité du 10 novembre 2009

pascals — Tue, 10 Nov 2009 18:28:39 GMT

Six nouveaux bulletins de sécurité ont été publiés aujourd’hui, dont 3 critiques et 3 importants.

Synthèse :

Détail des bulletins de ce mois :

Bulletin de sécurité Microsoft MS09-063 - Critique : Une vulnérabilité dans WSDAPI (API de services Web pour périphériques) pourrait permettre l'exécution de code à distance (973565)
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans WSDAPI (API de services Web pour périphériques) sur le système d'exploitation Windows. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un système Windows affecté recevait un paquet spécialement conçu. Seuls les attaquants sur le sous-réseau local pourraient exploiter cette vulnérabilité. Cette mise à jour de sécurité est de niveau « critique » pour toutes les éditions en cours de support de Windows Vista et Windows Server 2008. Pour plus d'informations, consultez la sous-section « Logiciels concernés et non concernés » plus loin dans ce Bulletin.
Bulletin de sécurité Microsoft MS09-064 - Critique : Une vulnérabilité sur le serveur d'enregistrement de licence pourrait permettre l'exécution de code à distance (974783)
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans Microsoft Windows 2000. Cette vulnérabilité pourrait permettre l'exécution de code à distance si un attaquant envoyait un message réseau spécialement conçu à un ordinateur exécutant le serveur d'enregistrement de licence. Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Les meilleures pratiques en matière de pare-feu, ainsi que les configurations par défaut des pare-feu, contribuent à protéger les réseaux contre les attaques lancées depuis l'extérieur de l'entreprise.
Bulletin de sécurité Microsoft MS09-065 - Critique : Des vulnérabilités dans les pilotes kernel-mode (mode noyau) Windows pourraient permettre l'exécution de code à distance (969947)
Cette mise à jour de sécurité corrige plusieurs vulnérabilités signalées confidentiellement dans le noyau Windows. La plus grave de ces vulnérabilités pourrait permettre l'exécution de code à distance si un utilisateur affichait une police Embedded OpenType (EOT) spécialement conçue. Dans le cas d'une attaque Web, l'attaquant doit héberger un site Web contenant des polices spécialement conçues destinées à exploiter cette vulnérabilité. En outre, les sites Web compromis et les sites Web qui acceptent ou hébergent des contenus provenant d'utilisateurs pourraient contenir un élément malveillant susceptible d'exploiter cette vulnérabilité. Un attaquant n'aurait aucun moyen d'obliger les utilisateurs à visiter un site Web malveillant. Il devrait y attirer l'utilisateur, généralement en l'incitant à cliquer sur un lien dans un message électronique ou un message instantané qui mène à son site.
Bulletin de sécurité Microsoft MS09-066 - Important : Une vulnérabilité dans Active Directory pourrait permettre un déni de service (973309)
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement dans le service d'annuaire Active Directory, Active Directory en mode application (ADAM) et Active Directory Lightweight Directory Service (AD LDS). Cette vulnérabilité pourrait permettre un déni de service si l'espace de pile était épuisé lors de l'exécution de certains types de requêtes LDAP ou LDAPS. Cette vulnérabilité n'affecte que les contrôleurs de domaine et les systèmes configurés pour exécuter ADAM ou AD LDS.
Bulletin de sécurité Microsoft MS09-067 - Important : Des vulnérabilités dans Microsoft Office Excel pourraient permettre l'exécution de code à distance (972652)
Cette mise à jour de sécurité corrige plusieurs vulnérabilités signalées confidentiellement dans Microsoft Office Excel. Ces vulnérabilités pourraient permettre l'exécution de code à distance lorsqu'un utilisateur ouvre un fichier Excel spécialement conçu. Tout attaquant parvenant à exploiter l'une de ces vulnérabilités pourrait obtenir les mêmes droits que l'utilisateur. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
Bulletin de sécurité Microsoft MS09-068 - Important : Une vulnérabilité dans Microsoft Office Word pourrait permettre l'exécution de code à distance (976307)
Cette mise à jour de sécurité corrige une vulnérabilité signalée confidentiellement qui pourrait permettre l'exécution de code à distance si un utilisateur ouvrait un fichier Word spécialement conçu. Tout attaquant qui parviendrait à exploiter cette vulnérabilité pourrait prendre le contrôle intégral du système affecté. Il pourrait alors installer des programmes, afficher, modifier ou supprimer des données ou créer de nouveaux comptes dotés de tous les privilèges. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

Par ailleurs les bulletins MS09-045 et MS09-051 ont été mis à jour.

Patchez-vous bien !

Préavis des bulletins de sécurité du 13 octobre

pascals — Thu, 08 Oct 2009 21:58:59 GMT

Grosse livraison pour ce mois d’octobre, puisque nous avons droit mardi prochain à 13 bulletins de sécurité, dont 8 critiques :

http://www.microsoft.com/technet/security/bulletin/ms09-oct.mspx

Les postes de travail et les serveurs, y compris les serveurs applicatifs, sont concernés, puisque les bulletins concernent Windows, IE, Office, Silverlight, SQL Server, les outils de développement et Forefront Client Security.

Bulletins de sécurité du 28 juillet

pascals — Wed, 29 Jul 2009 00:55:30 GMT

Un avis de sécurité et deux nouveaux bulletins de sécurité ont été publiés ce soir. Les versions françaises de ces bulletins seront publiés exceptionnellement plus tard (surveillez la synthèse de juillet en français les jours qui viennent) :

Synthèse et informations complémentaires :

Synthèse en anglais : synthèse de juillet mise à jour en 2.0 pour cette publication.
Annonce du MSRC, détaillant clairement la nature et les implications de ces vulnérabilités.
Article de Michael Howard détaillant la cause des vulnérabilités de MS09-035.
Article publié sur le blog du Blue Hat sur la découverte de ces vulnérabilités.

Reportez-vous en priorité à l’avis 973882 pour plus d’informations.

Préavis de bulletin de sécurité hors cycle du 28 juillet

pascals — Sat, 25 Jul 2009 16:09:32 GMT

Mardi 28 vers 19h seront publiés deux bulletins de sécurité hors cycle donc suffisamment urgents pour justifier un déploiement immédiat. Le préavis est publié en anglais :

http://www.microsoft.com/technet/security/Bulletin/ms09-jul-ans.mspx

Il y aura un bulletin critique pour Internet Explorer (y compris IE7 et IE8), et un modéré pour Visual Studio.

Voir également l’annonce du MSRC.

Etant en congés, je n’assurerai pas un suivi ni une analyse mardi soir… En attendant je mets à jour le calendrier des bulletins.

Patchez-vous bien !

Mise à jour : il s’agit de 2 bulletins, et ajouté l’annonce du MSRC.

Bulletins de sécurité du 14 juillet

pascals — Tue, 14 Jul 2009 22:43:22 GMT

6 nouveaux bulletins de sécurité Microsoft ont été publiés aujourd’hui, dont 3 critiques et 3 importants. Avant cela, un nouvel avis de sécurité a été publié, indépendamment de la publication des bulletins :

Avis de sécurité Microsoft (973472) : Une vulnérabilité dans Microsoft Office Web Components pourrait permettre l'exécution de code à distance

Synthèse :

Synthèse en français
Synthèse en anglais
Annonce du MSRC, avec une vidéo sur les risques et impacts des vulnérabilités publiées

Et voici les 6 bulletins de juillet :

Comme toujours, patchez-vous bien ! Même si on est un 14 juillet...

.NET Framework 3.5 SP1 : ce n’est pas fini

pascals — Wed, 24 Jun 2009 00:37:33 GMT

Pour ceux qui s’étonneront de trouver —encore— des mises à jour de .NET Framework 3.5 SP1 aujourd’hui dans leur serveur WSUS, voici un article qui explique tout :

Upcoming Updates for .NET Framework 3.5 Service Pack 1

Pour les curieux, voici mon rapport de synchronisation de ce soir (pdf) :

Que ferez-vous le 10 novembre 2009 à 19h ?

pascals — Tue, 16 Jun 2009 14:12:07 GMT

Que ferez-vous le 10 novembre 2009 à 19h ? Sans doute la même chose que le 9 juin dernier. Et peut-être la même chose que le 14 juillet prochain. Je sais, vous pensez sans doute plus aux vacances qui approchent qu’à votre planning du mois de novembre. Mais, que ce soit une veille de jour férié, un jour férié ou un jour normal, les bulletins de sécurité Microsoft sont toujours publiés le deuxième mardi du mois, à 10h heure de la côte Ouest des Etats-Unis, soit à 19h heure de Paris.

Il convient alors de planifier suffisamment tôt, voire sur l’année, l’activité des personnes qui auront à analyser ces bulletins et à préparer les tests et déploiements.

Pour vous aider dans cette tâche, nous mettons à votre disposition un calendrier partagé que vous pouvez inclure dans Outlook ou tout gestionnaire de calendrier qui sait importer un calendrier partagé au format ICS. J’ai personnellement testé ce calendrier dans Outlook 2007, Windows Live Calendar et Google Calendar.

Ce calendrier des bulletins contient des événements de deux heures (durée toute symbolique) :

le jeudi précédent le deuxième mardi de chaque mois à 19h heure française, pour la publication du préavis des bulletins de sécurité ;
le deuxième mardi de chaque mois à 19h heure française, pour la publication des bulletins.

Voici ces événements pour novembre prochain, vus dans Outlook 2007 après import du calendrier des bulletins :

Détail de l’événement du 10 novembre :

Voici deux adresses pour ce calendrier partagé :

Utilisez cette adresse pour consulter le calendrier en ligne. Vous constaterez qu’il contient les dates des bulletins pour environ un an.
Utilisez cette adresse pour inclure le calendrier dans le votre, par exemple dans Outlook (renommez le calendrier, par exemple “Bulletins Microsoft” après import dans Outlook).

Revoici l’adresse pour importer le calendrier, cette fois en clair pour faciliter le copier-coller :

webcal://cid-e40b4c35f78a7f62.calendar.live.com/calendar/Bulletins%20de%20Securite%20Microsoft/calendar.ics

Si nécessaire, voici la documentation d’Outlook concernant l’import et l’affichage de calendriers :

Patchez-vous bien, et à temps !

Mettre à jour un Server Core

pascals — Wed, 10 Jun 2009 00:47:06 GMT

Après avoir installé le SP2 sur un Windows Server 2008 en mode Server Core, voici l’installation des mises à jour de juin, toujours à l’aide du script WUA_SearchDownloadInstall.vbs.

Dans mon test le serveur n’est pas dans un domaine ni rattaché à un WSUS. Mais le script, puisqu’il s’appuie sur le client Windows Update, fonctionne de la même façon, que ce soit contre Windows Update ou WSUS :

Nous voyons dans la capture ci-dessus les actions du script (détection, téléchargement, confirmation, installation), puis la commande manuelle de redémarrage prête à être exécutée.

Remarquez au passage qu’un serveur en mode Server Core a besoin de peu de mises à jour par rapport à la livraison de juin.

Ce script est donc intéressant pour les serveurs sur lesquels vous préférez installer les mises à jour manuellement, à la demande, ou pour dépanner en cas d’urgence. On n’est pas ici dans l’automatisme, que WSUS ou SCCM savent gérer, et qui est toujours préférable.

Patchez-vous bien !

Bulletins de sécurité du 9 juin

pascals — Tue, 09 Jun 2009 20:44:41 GMT

Aujourd’hui ont été publiés 10 nouveaux bulletins de sécurité, dont 6 critiques, 1 réédition d’un bulletin critique du mois de mai, et 2 nouveaux avis de sécurité.

Synthèse en français – inclut les indices d’exploitabilité, les tableaux par logiciels concernés, les informations sur les outils de détection et de déploiement, etc.
Synthèse en anglais – idem.
Annonce du MSRC

Commençons par les avis de sécurité :

Le bulletin de sécurité du mois de mai a été réédité pour accompagner la sortie de mises à jours qui n’étaient pas disponibles lors de la publication originale du bulletin, ce qui concerne Office 2004 et 2008 pour Mac, le Convertisseur de formats de fichier Open XML pour Mac, et Microsoft Works 8.5 et 9 :

Bulletin de sécurité Microsoft MS09-017 - Critique : Des vulnérabilités dans Microsoft Office PowerPoint pourraient permettre l'exécution de code à distance (967340)

Enfin, les 10 nouveaux bulletins pour le mois de juin :

Bulletin de sécurité Microsoft MS09-018 - Critique : Des vulnérabilités dans Active Directory pourraient permettre l'exécution de code à distance (971055) - critique uniquement pour Windows 2000.
Bulletin de sécurité Microsoft MS09-019 - Critique : Mise à jour de sécurité cumulative pour Internet Explorer (969897) - critique pour toutes versions !
Bulletin de sécurité Microsoft MS09-020 - Important : Des vulnérabilités dans Internet Information Services (IIS) pourraient permettre une élévation de privilèges (970483) - uniquement IIS 5.0, 5.1 et 6.0 (Windows 2000, XP, 2003).
Bulletin de sécurité Microsoft MS09-021 - Critique : Des vulnérabilités dans Microsoft Office Excel pourraient permettre l'exécution de code à distance (969462) – critique uniquement pour Excel 2000.
Bulletin de sécurité Microsoft MS09-022 - Critique : Des vulnérabilités dans le spouleur d'impression Windows pourraient permettre l'exécution de code à distance (961501) – critique uniquement pour Windows 2000.
Bulletin de sécurité Microsoft MS09-023 - Modéré : Une vulnérabilité dans Windows Search pourrait permettre la divulgation d'informations (963093) – uniquement Windows Search 4.0 sur Windows XP et 2003.
Bulletin de sécurité Microsoft MS09-024 - Critique : Une vulnérabilité dans les convertisseurs Microsoft Works pourrait permettre l'exécution de code à distance (957632) – critique uniquement pour Word 2000.
Bulletin de sécurité Microsoft MS09-025 - Important : Des vulnérabilités dans le noyau Windows pourraient permettre une élévation de privilèges (968537) – tous Windows concernés.
Bulletin de sécurité Microsoft MS09-026 - Important : Une vulnérabilité dans RPC pourrait permettre une élévation des privilèges (970238) – tous Windows concernés.
Bulletin de sécurité Microsoft MS09-027 - Critique : Des vulnérabilités dans Microsoft Office Word pourraient permettre l'exécution de code à distance (969514) – critique uniquement pour Word 2000.

Comme prévu jeudi soir, il y a de l’exécution à distance critique, aussi bien sur les serveurs d’infrastructure (AD, spooler) que sur les postes de travail (Office, IE). Le reste est moins grave et montre encore, comme dans le cas de la vulnérabilité d’IIS, qu’une bonne conception à la base limite grandement les dégâts en cas de brèche.

Il semblerait que les serveurs applicatifs (bêtes noires des responsables sécurité face aux responsables de la prod) ne sont pas les plus exposés --en supposant, bien sûr, qu’ils ne servent pas également de contrôleurs de domaine ou de serveurs d’impression. Mettre à jour les DC, les serveurs d’impression et les postes de travail n’est a priori pas le plus compliqué si les bonnes procédures sont en place.

De plus, MS09-018 (AD) et MS09-022 (spooler) ne sont critiques que pour Windows 2000. Il est donc surtout urgent de mettre à jour les postes de travail, principalement pour IE. Et si vous avez encore du Windows 2000 et de l’Office 2000, il est sérieusement temps de penser à migrer.

Patchez-vous bien !

Installer le SP2 sur un serveur Windows Server 2008 en mode Server Core

pascals — Sun, 07 Jun 2009 18:11:46 GMT

Si vous cherchez à installer manuellement le SP2 sur un Server Core, voici un moyen très simple. J’utilise ici le script WUA_SearchDownloadInstall.vbs que l’on trouve ici :

http://msdn.microsoft.com/en-us/library/aa387102(VS.85).aspx

Que le système utilise Microsoft Update ou un serveur WSUS, ce script utilise le client Windows Update pour rechercher, télécharger et installer les mises à jour applicables, avec demande de confirmation pour l’installation.

Il est possible que l’assistant graphique d’installation du SP2 apparaisse derrière la fenêtre de la ligne de commande. Si rien ne se passe alors que le script affiche Installing Updates, Alt+Tab est votre ami.

Préavis des bulletins de sécurité du 9 juin

pascals — Fri, 05 Jun 2009 11:51:45 GMT

Après des mois d’avril et mai consacrés à d’autres priorités pour cause de solde de congés, c’est reparti pour un tour, au moins jusqu’aux congés d’été… Il va être grand temps d’aborder des sujets d’actualités comme Windows 7, avec par exemple BitLocker To Go et Windows Virtual PC. En attendant, c’est l’actualité des bulletins de sécurité qui nous occupe.

Hier soir ont été annoncés les bulletins de sécurité Microsoft qui seront publiés ce mardi 9 juin : 10 bulletins sont prévus, dont 6 exécutions de code à distance critiques ; Windows, IE et Office sont concernés. Juin sera donc un mois chargé pour les responsables sécurité et administrateurs (postes et serveurs.)

http://www.microsoft.com/technet/security/bulletin/ms09-jun.mspx

A mardi soir pour les bulletins définitifs.

Windows Vista SP2 et Windows Server 2008 SP2 sur Technet et MSDN

pascals — Mon, 04 May 2009 10:35:44 GMT

Après le SP2 d’Office 2007 (article précédent), voici les SP2 de Windows Vista et de Windows Server 2008. Pour rappel, il n’y a pas eu de SP1 de Windows Server 2008 car celui-ci est sorti directement en version SP1.

Windows Vista SP2 et Windows Server 2008 SP2 sont donc disponible depuis le 30/4 pour les abonnés Technet et MSDN, sous la forme d’un seul et unique fichier ISO regroupant les versions en, fr, de, ja et es, le tout pour les architectures x86, x64 et ia64. Ce qui pèse tout de même 1377 Mo.

La publication de ces SP2 nous rappelle que Windows Vista SP1 et Windows Server 2008 ne seront donc supportés que 24 mois encore, c’est à dire jusqu’à mi-2011 environ.

Un SP2 dispo, deux à venir

pascals — Thu, 30 Apr 2009 02:21:33 GMT

C'est la fête des SP2 cette semaine !

Commençons par Office 2007 SP2 :

Windows Vista et Windows Server 2008 ont aussi leur SP2 qui arrive bientôt. Voir la page Technet, incluant notamment les guides de déploiement.

Adobe Reader 9.1

pascals — Sat, 14 Mar 2009 12:42:19 GMT

Adobe a publié la version 9.1 d’Adobe Reader. Il s’agit de la mise à jour corrigeant la vulnérabilité dont il était question il y a quelques semaines, à installer en urgence.

Plus d’informations :

Pour obtenir les packages (exe et msi pour simplifier les déploiements) dans toutes les langues :

ftp://ftp.adobe.com/pub/adobe/reader/win/9.x/9.1/

Ou directement :