Developpez.com

Le Club des Développeurs et IT Pro

Patch Tuesday : Microsoft prévoit 16 bulletins de sécurité

Dont cinq sont jugés critiques

Le 2014-11-08 22:51:17, par Stéphane le calme, Chroniqueur Actualités
Comme à l’accoutumée, le second mardi de tous les mois, Microsoft publiera une série de correctif durant son « Patch Tuesday ». Aussi, Microsoft a déjà communiqué son bulletin de sécurité : au total 16 patchs viendront combler des failles dans différentes versions du système d’exploitation maison de Redmond, Internet Explorer, Office, Exchange, .NET Framework, IIS (Internet Information Services), RDP (Remote Desktop Protocol), ADFS (Active Directory Federation Services) et Kernel Mode Driver (KMD). Il faut noter que Windows 10 est également concerné puisque Microsoft explique que la Technical Preview fait partie du lot.

Quatre des cinq bugs catégorisés comme étant critiques portent sur l’exécution de code à distance. Le dernier est décrit comme permettant à une personne non autorisée d’administrer une machine vulnérable. Les autres failles permettent d’outrepasser les niveaux de privilège.

Microsoft publiera également une nouvelle version de Windows Malicious Software Removal Tool sur Windows Update ainsi que d’autres mises à jour qui ne concerne pas directement la sécurité

Si nous nous référons aux différents correctifs qui ont été distribués par Microsoft au courant de l’année, il s’agit d’un nombre relativement important de patchs distribués comparé par exemple aux 9 correctifs du mois d’août ou aux 6 du mois de juillet.

Source : Microsoft
  Discussion forum
91 commentaires
  • benjani13
    Membre extrêmement actif
    Envoyé par Neckara
    D'ailleurs, tu parles de quoi ? Du libre ou de l'open source ? Faudrait savoir.
    Quel est le rapport avec le débat actuel ? Tu n'as aucun arguments donc tu recherches le HS où tu pourrais troller à ton aise ?
    C'est ce qu'on appelle communément un troll oui. Donc ne rentre pas dans son jeu et arrête de lui répondre c'est une perte de temps.
    le 09/11/2014 à 15:15
  • benjani13
    Membre extrêmement actif
    Ne répondez pas à GHetfield, c'est un troll de base.

    Envoyé par earhater
    je n'ai jamais compris l’intérêt de ce genre de news qui est exactement la même tous les mois à part le nombre de correctifs appliqués ... Je remercie quand même l'équipe de dvp.com pour les actualités.
    Toutes les news n’intéressent pas forcément tout le monde L'info intéressante surtout n'est pas le nombre de patch mais quels sont les produits touchés.

    Envoyé par coolspot
    Moi ce que je n'ai jamais compris c'est l'abolition de cette horeur qu'est le patch tuesday à notre époque ou tout va vite. Parce que la en gros ya des faille critique mais on va attendre 4 jours avant de les publier pour permettre au éventuel hacker de bien exploiter la faille pendant ces 3/4 jours.
    +1

    C'est peut être pour éviter de souler les utilisateurs avec des mise à jours quotidienne (je suis sur que beaucoup ralerait).
    le 09/11/2014 à 13:03
  • sevyc64
    Modérateur
    Des annuaires LDAP, c'est pas ce qui manque.

    Si tu cherche "Alternative Active directory" dans ton moteur de recherche tu vas avoir pas mal de résultats. En cherchant "LDAP Open source" aussi.
    A commencer par OpenLDAP qui est pas mal utilisé sur linux pour créer des contrôleur de domaine pour réseaux windows
    le 09/11/2014 à 18:26
  • Neckara
    Inactif
    Envoyé par GHetfield
    oui j'irai dire ça a mon banquier demain quand j'irai lui demander les plans de la banque et des info sur leur système de sécurité Et j'en profiterai pour lui demander le code Source de leur sute HomeBank car c'est plus secure de leur part de me le donner.
    C'est bien de troller sans même n'avoir qu'un soupçon de connaissances dans le domaine dans lequel tu débats .
    Prends les algorithmes de (dé)chiffrements, de hashage et dit moi combien d'entre eux ont un algorithme "secret".

    Ceux qui l'utilise pour des raisons bien objectives doivent mettre de tres gros moyen pour que cela soit secure et productif. Ce qui fait que ca devient tres/trop cher voir les recents echecs du libres.
    Trop cher pour qui?
    De quels échecs du libre nous parles-tu?

    En plus c'est quoi l'alternative libre d' ActiveDirectory ?? Imaginer un AD OpenSource. Qui voudrait que sont système de sécurité sois OpenSource ? AUtant mettre le systeme des distributeur de billets OpenSource. Plus personne ne ferai confiance au banque.
    Tu ne connais rien à la sécurité.
    Tu crois que c'est parce qu'un système est "secret" qu'il est sûr ? Que parce que le code est "secret" qu'on ne peut pas y accéder ?
    Que le fait de cacher ton code source permet de supprimer toutes les failles ?

    Envoyé par GHetfield
    Ou faire confiance a la communauté et après se retrouvéer avec un OpenSSL et Bash vulnerable depuis pres de 10 ans. Mais en 10 ans personne d'autre n'a trouvé cette faille je parie
    Parce que si ce n'était pas open source, certaines failles ne pourraient pas avoir plus de 10 ans d'âges et que personne n'aurait pu les découvrir et les garder pour soit ??
    Et ceci empêcherait aussi l'apparition de backdoors ?

    Bon, je ne suis pas non plus naïf, je sais parfaitement que tu adores troller pour le plaisir de troller .
    le 09/11/2014 à 12:47
  • Envoyé par GHetfield
    Sauf que dans le libre elle sont publique et il faut compter sur la communauté pour les rendres publiques quand elle en découvre.
    Ah parce que tu crois que les failles de Microsoft ne sont pas publiques ? Alors tiens regardes ici pour savoir en détails comment fonctionne la fameuse faille d'XP d'après le 8 avril :
    http://www.cve.mitre.org/cgi-bin/cve...=CVE-2014-1776

    Elle est sur le même site que celle d'Heartbleed :
    https://cve.mitre.org/cgi-bin/cvenam...=CVE-2014-0160
    le 09/11/2014 à 20:26
  • Neckara
    Inactif
    Pas toutes non. Dans le libre bien. il 'suffit' de les trouver ou d'avoir les moyen de les trouver en parcourant le code. Quand on a les moyen ca peus relativement facilement se faire.
    Déjà, on a pas besoin du code source pour trouver certaines failles.
    Et ne va pas croire qu'on s'amuse à parcourir du code source imbuvable dès qu'on veut trouver des failles, il y a des méthodes bien plus efficace que cela...
    Et comme je le répète depuis un certains temps, ce n'est pas parce que ton code source est "secret", qu'il est impossible d'y avoir accès.

    C'est marrant ça, la NSA connaît toutes les failles existantes dans le monde mais est incapable de récupérer le code source de Windows (ou autre).

    D'ailleurs si c'est si facile que cela, je t'invite à lire les sources du kernel Linux et de poster ici la première faille que tu y trouveras, ainsi tu pourras montrer à tous à quel point tu as raisons.

    Bonne lecture
    le 09/11/2014 à 21:09
  • Envoyé par GHetfield
    Un DC Samba virtualisé est une très mauvaise idee. Du point de vue Backup et D.R ca peut tres mal se passer. Et quand ca se passe mal dans l'AD c'est vite tres critique.
    En quoi c'est une mauvaise idée ? J'attends des arguments convaincants parce que là niveau argumentation ça vole pas haut

    Envoyé par GHetfield
    J'ai vu des références d'installation avec + de 200 000 postes (oui 5 zeros) sous AD en 2010 ou 2011.
    À raison de 25 € par CAL, on vise du 5 millions d'euros. Et ce pour un seul serveur DC, donc sans backup

    Envoyé par GHetfield
    Tu pense vraiment que la NSA partage les faille qu'ils trouvent dans les codes source ouvert ??
    Oui ça arrive :
    https://rhn.redhat.com/errata/RHSA-2013-0596.html

    Envoyé par GHetfield
    Donc si c'est ouvert c'est que c'est secure (ca c'est tois qui le dit).
    C'est pas du tout ce qu'on dit.
    Nous on dit :
    - si c'est ouvert, c'est plus sûr si on regarde la globalité de la vie d'un système.
    Et toi tu transformes ça en :
    - si c'est ouvert, c'est sécurisé.

    C'est pas de notre faute si tu comprends pas le français.
    le 09/11/2014 à 22:51
  • macslan
    Membre éclairé
    Envoyé par JayGr

    - Toi ça ne prend jamais de s...
    Je sais mais cette erreur est volontaire par rapport à son poste
    le 10/11/2014 à 16:02
  • Pas un cours non loin de là !
    Mais au moins un lien qui m'explique pourquoi "Samba ne fonctionne pas "en production" pour les environnements virtualisé" aurait été de bon aloi. Parce que comme j'utilise Samba en production depuis plusieurs années dans un environnement virtualisé, ça m'intéresse énormément et m'intrigue de ne jamais avoir entendu parler de ce mystérieux problème...
    le 10/11/2014 à 21:39
  • Envoyé par GHetfield
    Et un DC ca ne se virtualise pas n'importe comment. Mais t'es pas obliger de me croire. C'est pas parce-que t'as jamais eu de problèmes que tu suis les bonnes pratiques en production.
    Le lien que tu nous as indiqué ne dit pas qu'il ne faut pas virtualisé un DC, mais qu'il y a des fonctionnalités à ne pas utiliser.
    Ça se résume à :

    - un rollback de snapshot, un backup de système de fichiers et enfin un clone de VM. Ben déjà ces 3 actions reviennent au même finalement. Et ça parait évident que revenir sur une sauvegarde/snapshot antérieur d'une machine ça peut foutre la merde. C’est peut-être d'autant plus vrai pour un DC, mais c'est probablement vrai aussi pour d'autres types de serveur, genre DNS, DHCP, base de données, etc. Et puis ces 3 fonctionnalités ne sont pas l'exclusivité de la virtualisation. On peut très bien faire un snapshot sur une machine physique.

    - et enfin ne pas mettre un DC sur une machine trop occupée sinon le temps (NTP) risque d'être trop décalé et provoquer des problèmes. La marge de tolérance par défaut du DC est de 5 minutes, ce qui me parait déjà énorme !!! Le jour où j'ai un serveur qui est tellement occupé qu'il n'arrive plus à mettre son horloge à jour, ben je revoie mon archi réseau et j'achète de nouveaux serveurs !

    PS : une faille de sécurité dans l’implémentation SSL de Windows vient d'être découverte. Elle est présente dans Windows depuis 7 ans et demi. Presque aussi bien qu'OpenSSL
    le 12/11/2014 à 21:08
  Poster une réponse