BREAKING NEWS

Nettoyage de printemps : Drupal, WordPress, Windows, Adobe

Posted On 12 Mai 2020
By :
Comment: 0

Microsoft annonce l’arrivée de sa grosse mise à jour pour Windows 10. Pendant ce temps, pensez aussi à mettre à jour vos outils numérique comme votre blog sous Drupal, WordPress, …

Avec le mois de mai, arrive en force de nombreuses mises à jour. Microsoft et ses outils, WordPress, Drupal et compagnie. Pensez-y, ce n’est pas un gadget. C’est même indispensable pour votre hygiène numérique. Microsoft, par exemple, corrige en ce mois de mai pas moins de 111 vulnérabilités, dont 16 vulnérabilités classées critiques. Pensez aussi à vos autres supports, sites, … Prenons l’exemple de Drupal. Ce CMS, à l’image de ses confrères SPIP, WordPress, … doit être veillé, surveillé comme le lait le feu. Eviter tout débordement provenant de pirates un peu trop « chaud ». Il en va de votre image, de votre entreprise, de vos clients … Je vais être très honnête, même si la prise en main peut être plus ou moins rapide, facile, simplifiée, il est fortement conseillé dans le cadre professionnel de passer par une agence drupal.

C’est sécurisant sur plusieurs point, dont celui des mises à jour du CMS, mais aussi des petits à côté, les « plugin » et autres « widget« . Le site de l’agence ITSS revient d’ailleurs sur des détails sécuritaires qu’il est bon de rappeler, comme la gestion des privilèges. Loin d’être négligeable. Trois types de rôles (Anonyme, Authentifie, Administrateur). Trois A qu’il faut contrôler, s’assurer qu’ils sont entre de bonnes mains. Penser que l’utilisateur authentifié pourra, par exemple, gérer les paramètres de contact se vérifie. Mêmes règles pour les modules Drupal.

Un module indispensable à mes yeux, le « Username Enumeration Prevention« . Il permet de bloquer la recherche et la découverte des utilisateurs d’un site Drupal. Bref, des modules indispensables et qui se doivent d’être approuvés par la communauté Drupal. Et soyons honnêtes, si vous n’êtes pas un minimum habitué à ce type de règles, l’enfer peut rapidement s’abattre sur votre site et votre souris. Je finirai sur l’aspect de l’hébergement. Des professionnels comme chez ITSS pourront vous aider dans dans le choix d’un hébergeur de qualité. Celui qui portera votre bébé numérique.

Correctifs pour Windows, Autodesk, SharePoint, Adobe …

Les derniers Patch Tuesday publiés par Microsoft sont particulièrement volumineux, celui de mai ne fait pas exception puisqu’il corrige 111 vulnérabilités dont 16 classées comme critiques. Ces 16 vulnérabilités critiques concernent SharePoint, les navigateurs, les moteurs de scripts, la plateforme Media Foundation, le composant Microsoft Graphics, la gestion des couleurs Microsoft (Microsoft Color Management) ainsi que l’extension Python pour Visual Studio Code. Adobe a publié des correctifs pour Acrobat/Reader et le kit SDK DNG.

Correctifs pour postes de travail

Les patches pour les navigateurs, le moteur de script, Media Foundation, Microsoft Graphics et Microsoft Color Management sont une priorité pour les équipements comme le poste de travail, en particulier tous les systèmes utilisés pour accéder à la messagerie ou à Internet depuis un navigateur. Sont également concernés les serveurs multi-utilisateurs faisant office de postes de travail distants.

Exécution de code à distance (RCE) dans SharePoint

Comme le mois précédent, Microsoft a publié des correctifs pour quatre vulnérabilités qui affectent SharePoint via des RCE (CVE-2020-1023, CVE-2020-1024, CVE-2020-1102 et CVE-2020-1069). Trois de ces quatre RCE nécessitent de télécharger une application malveillante pour exploiter les vulnérabilités tandis que la quatrième nécessite de télécharger une page malveillante. Ces correctifs doivent être déployés en priorité sur tous les serveurs SharePoint.

RCE dans l’extension Python de Visual Studio Code

Microsoft a également publié un correctif pour résoudre une vulnérabilité RCE dans l’extension Python de VS Code (CVE-2020-1192). Pour que cette vulnérabilité soit exploitée, l’utilisateur doit ouvrir un fichier malveillant qui accorde à l’attaquant les mêmes droits qu’à l’utilisateur légitime. Toutes les installations Visual Studio Code avec cette extension doivent être corrigées en priorité.

Bibliothèque Autodesk FBX

Fin avril, Microsoft a publié des mises à jour urgentes pour Office, 3D Viewer et Paint 3D, des applications qui utilisent la bibliothèque Autodesk FBX pour rendre du contenu 3D. Les vulnérabilités hébergées dans cette bibliothèque peuvent entraîner l’exécution de code à distance si un utilisateur ouvre un fichier malveillant.

Adobe

Adobe a publié des correctifs pour résoudre de nombreuses vulnérabilités dans Acrobat/Reader et dans le kit de développement logiciel (SDK) DNG. Les correctifs pour Acrobat/Reader sont de Priorité 2 tandis que les patches pour le SDK DNG sont de Priorité 3. Ces correctifs permettent de résoudre de nombreuses vulnérabilités critiques. Adobe a également diffusé des correctifs exceptionnels le 28 avril pour corriger des vulnérabilités critiques dans Bridge, Illustrator et Magento.

Les patchs destinés à Magento sont de Priorité 2 tandis que les autres sont de Priorité 3. Même si aucune des vulnérabilités rapportées par Adobe n’est a priori attaquée activement aujourd’hui, tous les correctifs doivent être déployés en priorité sur les systèmes où ces produits sont installés.

Au sujet de l'auteur
Auteur Extérieur.

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Partenaires

NinjaOne
IS Decisions Cyber university
ZATAZ Partenaire du Forum International de la Cybersécurité
Ambient IT Formation OSCP Tutos gratuits sécurité informatique Transmettre vos fichiers sécurisés à ZATAZ

Publicité

Partenaires de ZATAZ

Oteria Cyber School CyberSecuExpo 2024 Barracuda ! Abonnez-vous gratuitement aux actuaités de ZATAZ Soyez plus rapide que les pirates informatiques ! facebook twitter instagram twitch instagram youtube zataz

Publicités

Rechercher une info

Calendrier

avril 2024
L M M J V S D
1234567
891011121314
15161718192021
22232425262728
2930  

Les + commentés

Loi Fake News Patchs Tuesday chantage par mail

Retour du chantage par mail : je vous vois à poil !

209 Comments
Escroquerie - Plusieurs dizaines de lecteurs de ZATAZ m'ont alerté d'un étrange courriel reçu. Il contient le mot de passe des cibles et réclame de l'argent pour ne pas en divulguer plus. ZATAZ va vous expliquer le fond de l'arnaque.

Escroquerie : chantage par mail à l'encontre de milliers de Français

206 Comments
Chantage

Chantage par mail : NON vous n'avez pas été piraté

147 Comments

Publicités

Sur le Oueb

Revue de presse : ZATAZ Revue de presse
Réseaux sociaux : TW/FB/TK/Masto/LK
DSB : Data Security Breach
Page officielle Damien Bancal

Divers

Remonter un problème.
Mentions légales.
Certaines images viennent de Freepik.
Typo titre : adrien-coquet.com

Protocole d’alerte ZATAZ

Protocole ZATAZ (2023) : 80 876
Taux de correction (100 derniers cas) : 97 %
Alerter anonymement.
Page sécurisée Bluefiles pour transmettre à ZATAZ un fichier.

Service Veille ZATAZ

Espaces pirates sous surveillance: 217 201 Alertes envoyées au 01/11/2023 : 27 801 Fuites constatées en 2023 : + 17 milliards Service veille ZATAZ : veillezataz.com

L'école de cybersécurité Cyber Management School
Copyright 1996 - 2020 :: ZATAZ - Réalisation DB. - Le site OFFICIEL est ZATAZ.COM - Le reste ne serait que contrefaçon