Nettoyage de printemps : Drupal, WordPress, Windows, Adobe

Microsoft annonce l’arrivée de sa grosse mise à jour pour Windows 10. Pendant ce temps, pensez aussi à mettre à jour vos outils numérique comme votre blog sous Drupal, WordPress, …

Avec le mois de mai, arrive en force de nombreuses mises à jour. Microsoft et ses outils, WordPress, Drupal et compagnie. Pensez-y, ce n’est pas un gadget. C’est même indispensable pour votre hygiène numérique. Microsoft, par exemple, corrige en ce mois de mai pas moins de 111 vulnérabilités, dont 16 vulnérabilités classées critiques. Pensez aussi à vos autres supports, sites, … Prenons l’exemple de Drupal. Ce CMS, à l’image de ses confrères SPIP, WordPress, … doit être veillé, surveillé comme le lait le feu. Eviter tout débordement provenant de pirates un peu trop « chaud ». Il en va de votre image, de votre entreprise, de vos clients … Je vais être très honnête, même si la prise en main peut être plus ou moins rapide, facile, simplifiée, il est fortement conseillé dans le cadre professionnel de passer par une agence drupal.

C’est sécurisant sur plusieurs point, dont celui des mises à jour du CMS, mais aussi des petits à côté, les « plugin » et autres « widget« . Le site de l’agence ITSS revient d’ailleurs sur des détails sécuritaires qu’il est bon de rappeler, comme la gestion des privilèges. Loin d’être négligeable. Trois types de rôles (Anonyme, Authentifie, Administrateur). Trois A qu’il faut contrôler, s’assurer qu’ils sont entre de bonnes mains. Penser que l’utilisateur authentifié pourra, par exemple, gérer les paramètres de contact se vérifie. Mêmes règles pour les modules Drupal.

Un module indispensable à mes yeux, le « Username Enumeration Prevention« . Il permet de bloquer la recherche et la découverte des utilisateurs d’un site Drupal. Bref, des modules indispensables et qui se doivent d’être approuvés par la communauté Drupal. Et soyons honnêtes, si vous n’êtes pas un minimum habitué à ce type de règles, l’enfer peut rapidement s’abattre sur votre site et votre souris. Je finirai sur l’aspect de l’hébergement. Des professionnels comme chez ITSS pourront vous aider dans dans le choix d’un hébergeur de qualité. Celui qui portera votre bébé numérique.

Correctifs pour Windows, Autodesk, SharePoint, Adobe …

Les derniers Patch Tuesday publiés par Microsoft sont particulièrement volumineux, celui de mai ne fait pas exception puisqu’il corrige 111 vulnérabilités dont 16 classées comme critiques. Ces 16 vulnérabilités critiques concernent SharePoint, les navigateurs, les moteurs de scripts, la plateforme Media Foundation, le composant Microsoft Graphics, la gestion des couleurs Microsoft (Microsoft Color Management) ainsi que l’extension Python pour Visual Studio Code. Adobe a publié des correctifs pour Acrobat/Reader et le kit SDK DNG.

Correctifs pour postes de travail

Les patches pour les navigateurs, le moteur de script, Media Foundation, Microsoft Graphics et Microsoft Color Management sont une priorité pour les équipements comme le poste de travail, en particulier tous les systèmes utilisés pour accéder à la messagerie ou à Internet depuis un navigateur. Sont également concernés les serveurs multi-utilisateurs faisant office de postes de travail distants.

Exécution de code à distance (RCE) dans SharePoint

Comme le mois précédent, Microsoft a publié des correctifs pour quatre vulnérabilités qui affectent SharePoint via des RCE (CVE-2020-1023, CVE-2020-1024, CVE-2020-1102 et CVE-2020-1069). Trois de ces quatre RCE nécessitent de télécharger une application malveillante pour exploiter les vulnérabilités tandis que la quatrième nécessite de télécharger une page malveillante. Ces correctifs doivent être déployés en priorité sur tous les serveurs SharePoint.

RCE dans l’extension Python de Visual Studio Code

Microsoft a également publié un correctif pour résoudre une vulnérabilité RCE dans l’extension Python de VS Code (CVE-2020-1192). Pour que cette vulnérabilité soit exploitée, l’utilisateur doit ouvrir un fichier malveillant qui accorde à l’attaquant les mêmes droits qu’à l’utilisateur légitime. Toutes les installations Visual Studio Code avec cette extension doivent être corrigées en priorité.

Bibliothèque Autodesk FBX

Fin avril, Microsoft a publié des mises à jour urgentes pour Office, 3D Viewer et Paint 3D, des applications qui utilisent la bibliothèque Autodesk FBX pour rendre du contenu 3D. Les vulnérabilités hébergées dans cette bibliothèque peuvent entraîner l’exécution de code à distance si un utilisateur ouvre un fichier malveillant.

Adobe

Adobe a publié des correctifs pour résoudre de nombreuses vulnérabilités dans Acrobat/Reader et dans le kit de développement logiciel (SDK) DNG. Les correctifs pour Acrobat/Reader sont de Priorité 2 tandis que les patches pour le SDK DNG sont de Priorité 3. Ces correctifs permettent de résoudre de nombreuses vulnérabilités critiques. Adobe a également diffusé des correctifs exceptionnels le 28 avril pour corriger des vulnérabilités critiques dans Bridge, Illustrator et Magento.

Les patchs destinés à Magento sont de Priorité 2 tandis que les autres sont de Priorité 3. Même si aucune des vulnérabilités rapportées par Adobe n’est a priori attaquée activement aujourd’hui, tous les correctifs doivent être déployés en priorité sur les systèmes où ces produits sont installés.

Au sujet de l'auteur
Auteur Extérieur.

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.