Des produits à prendre en compte ?
Date : 11 Juillet 2005
Dans la dernière partie de cette rubrique (au chapitre " Failles n'ayant pas fait l'objet d'avis "), nous listons tous les mois des produits pour lesquels des failles de sécurité ont été publiées, mais qui n'ont pas donné lieu à des avis (failles classées "sans suite"), pour des raisons qui sont liées soit au produit, soit aux circonstances de mise en oeuvre de la faille recensée. Cette partie se termine par une incitation au lecteur à contacter le Cert-IST, si le classement "sans suite" donne lieu à contestation.
Nous consacrons ce mois-ci ce petit article à 2 produits tout à fait susceptibles d'être ajoutés à la liste des produits surveillés en routine, de façon à vous rappeler que vous avez toujours la possibilité de nous demander de prendre en compte de nouveaux composants, en fonction de l'évolution de votre environnement.
Faille sur GPG :
GPG est un implémentation de PGP diffusée sous licence GNU ; une vulnérabilité de type "format string" a été discutée fin mai/début juin et a donné lieu à des correctifs publiés par "toutes" les distributions de Linux :
- RedHat : http://www.redhat.com/support/errata/RHSA-2001-073.html
- Debian : http://www.debian.org/security/2001/dsa-061
- Mandrake : http://www.linux-mandrake.com/en/updates/2001/MDKSA-2001-053.php3?dis=8.0
- Caldera : http://www.caldera.com/support/security/advisories/CSSA-2001-020.1.txt
- SuSE : http://www.suse.de/de/support/security/2001_020_gpg_txt.txt
Faille sur Tomcat :
Les utilisateurs de Tomcat -l'outil permettant de gérer les applets Java sur serveur (les JSP)- "sont informés" qu'une vulnérabilité qui permet de lire du script Java (qui peut inclure des mots de passe) est corrigée à partir de la version Tomcat 4.0 beta 3.
Comment faire inclure ces produits dans la liste des produits surveillés ?
En envoyant un message au Cert-IST en utilisant l'une des 2 adresses ("privée" : certist@cert-ist.com, ou publique cert@cert-ist.com ).
