1. Vulnérabilité critique dans SPIP
Le CERTA a publié cette semaine un avis (CERTA-2011-AVI-018) concernant une faille critique découverte dans SPIP. Cette vulnérabilité affecte les versions 2.0.x et 2.1.x du logiciel et permet de détruire des fichiers du site, ainsi que sa base de données. Il est à noter que des utilisateurs de ce gestionnaire de contenu se sont plaints de la destruction de leurs sites, ce qui laisse supposer que cette faille est déjà exploitée par des personnes malveillantes.
2. Imprimantes et copieurs multifonctions : pensez à la sécurité
Leur richesse fonctionnelle repose sur une infrastructure matérielle qui fait de l'appareil un ordinateur à part entière. Qu'il soit d'impression ou de reprographie, ce dernier doit donc être pris en compte dans la politique de sécurité du système d'information (PSSI). Le Certa propose une série d'exemples et fournit les liens utiles à la documentation.
3. Une version officieuse de Windows SP1 disponible ?
Selon l'équipe russe de Microsoft travaillant sur les fonctionnalités de virtualisation, la version « Release to Manufacturing », celle qui sera gravée sur CDROM en usine pour commercialisation, est d'ores et déjà prête. Il ne s'agit en revanche pas encore de la version qui sera distribuée au public.
4. Avis émis du 14 au 20 janvier 2011
- CERTA-2011-AVI-013 : vulnérabilité dans sudo
- CERTA-2011-AVI-014 : vulnérabilité dans Blackberry Enterprise Server
- CERTA-2011-AVI-015 : vulnérabilités dans HP Openview Network Node Manager
- CERTA-2011-AVI-016 : multiples vulnérabilités dans Google Chrome
- CERTA-2011-AVI-017 : vulnérabilités dans SAP
- CERTA-2011-AVI-018 : vulnérabilité dans SPIP
- CERTA-2011-AVI-019 : vulnérabilité dans HP Loadrunner
CERTA-2011-AVI-020 : vulnérabilité dans IBM Websphere MQ - CERTA-2011-AVI-021 : vulnérabilités dans IBM Websphere Application Server
- CERTA-2011-AVI-022 : multiples vulnérabilités dans les produits Oracle
- CERTA-2011-AVI-023 : vulnérabilité dans Asterisk
- CERTA-2011-AVI-024 : vulnérabilité dans Citrix Provisionning Services
- CERTA-2011-AVI-025 : vulnérabilités dans Cisco ASA
- CERTA-2011-AVI-026 : vulnérabilités dans Cisco IOS
Lire également les Alertes de la semaine précédente
Le Certa
Rattaché à l’Agence nationale de la sécurité des systèmes d’information (Anssi), le Centre d’expertise gouvernemental de réponse et de traitement des attaques informatiques (Certa) est chargé d’aider les organismes de l’Administration à mettre en place des moyens de protection et à résoudre les incidents ou les agressions informatiques dont ils sont victimes. Il constitue le complément indispensable aux actions préventives déjà assurées par l’Anssi, qui se situent plus en amont dans la démarche de sécurisation des systèmes d’information.
Auteur : La rédaction de 01net. avec le Certa