Etude sécurité logicielle 2009 -...

Etude sécurité logicielle 2009 Analyse factuelle des vulnérabilités de logiciels systèmes d’exploitation et bases de données sur 2009 Août 2010

Etude vulnérabilités sécurité 2009

© 2009 Microsoft Corporation. Tous droits réservés.

Les informations contenues dans le présent document représentent le point de vue actuel de Microsoft Corporation sur

les questions traitées à la date de sa publication. Microsoft s’adapte aux conditions fluctuantes du marché et cette

opinion ne doit pas être interprétée comme un engagement de la part de Microsoft. En outre, Microsoft ne garantit pas

l'exactitude des informations fournies après la date de la publication.

Ce livre blanc est fourni à titre informatif uniquement. MICROSOFT N’ACCORDE AUCUNE GARANTIE, EXPRESSE OU

TACITE, PAR LE BIAIS DE CE DOCUMENT.

L’utilisateur est tenu d’observer la réglementation relative aux droits d’auteur applicable dans son pays. Sans limitation

des droits de copyright, aucune partie de ce document ne peut être reproduite, stockée ou introduite dans un système

de récupération ou transmise sous quelque forme, par quelque moyen (électronique, mécanique, photocopie,

enregistrement ou autre) ou à quelque fin que ce soit sans la permission expresse et écrite de Microsoft.

Les produits mentionnés dans ce document peuvent faire l'objet de brevets, de dépôts de brevets, de marques, de

droits d'auteur ou d'autres droits de propriété intellectuelle et industrielle de Microsoft. Sauf stipulation expresse

contraire d'un contrat de licence, émanant de Microsoft, la fourniture de ce document ne vous confère aucune licence

sur ces brevets, marques, droits d'auteur ou autres droits de propriété intellectuelle et industrielle visés.


Microsoft, Bing, Hotmail, Microsoft Dynamics, MSN et Windows Live sont des marques déposées ou des marques de

Microsoft Corporation aux États-Unis et/ou dans d'autres pays. Les noms d'entreprises et de produits mentionnés dans

le présent document peuvent être des marques de leurs propriétaires respectifs.

Microsoft Corporation • One Microsoft Way • Redmond, WA 98052-6399 • États-Unis



Table des matières

1. Introduction ............................................................................................................................................. 3

2. Périmètre et méthodologie ..................................................................................................................... 4

2.1 Choix des solutions étudiées ................................................................................. 4

2.2 Périmètre temps .................................................................................................. 5

2.3 Périmètre de recherche ........................................................................................ 5

3. Démarche de travail ................................................................................................................................. 6

3.1 Phase 1 : Collecte ................................................................................................ 6

3.2 Phase 2 : Analyse des données ............................................................................. 6

4. Résultats .................................................................................................................................................. 7

4.1 Nombre de vulnérabilités pour les systèmes d’exploitation ...................................... 7

4.2 Nombre de vulnérabilités pour les bases de données .............................................. 8

5. Comparatif de la criticité des vulnérabilités .......................................................................................... 10

5.1 Comparatif criticité pour les systèmes d’exploitation ............................................. 10

5.2 Comparative criticité pour les bases de données .................................................. 12

6. Les « Days-Of-Risk » ............................................................................................................................... 14

6.1 « Days-Of-Risk » pour les systèmes d’exploitation ................................................ 14

6.2 « Days-Of-Risk » pour les bases de données ....................................................... 16

Annexe A : Liste des vulnérabilités prises en compte ................................................................................ 18

Systèmes d’exploitation ........................................................................................... 18

Bases de données ................................................................................................... 29



1. Introduction

Le présent document a été rédigé dans le cadre d’une analyse des vulnérabilités sécurité de logiciels sur 2009 réalisée à la demande de Microsoft. Il accompagne les données détaillées, graphiques et tableaux de résultats afin de donner les explications et éléments de contexte nécessaires.

Le contexte de l’étude est le suivant :

• Elle a été réalisée au cours du premier trimestre 2010

• Elle couvre pour 2009 les vulnérabilités sécurité, leur criticité et la rapidité de correction de plusieurs logiciels du marché (le périmètre précis sera détaillé dans le chapitre suivant)

• L’étude a été menée par une équipe indépendante de Microsoft

L’étude a pour objectif de proposer à partir de données publiques et reconnues, une analyse exhaustive et objective concernant les vulnérabilités de systèmes d’exploitation et de logiciels de bases de données. Elle vise en particulier à fournir un comparatif factuel entre différentes solutions et générations de logiciels disponibles sur le marché.

Ce document présente la méthodologie mise en œuvre, une synthèse des résultats factuels issus de l’étude et la référence des vulnérabilités étudiées. Il est complété par une base de données contenant le descriptif détaillé de toutes les vulnérabilités.



2. Périmètre et méthodologie

Deux grandes familles de logiciels ont été analysées dans le cadre de cette étude :

• Les systèmes d’exploitation • Les logiciels de gestion de bases de données

2.1 Choix des solutions étudiées

Le choix des catégories systèmes d’exploitation et bases de données a été imposé par Microsoft.

Au regard de ce choix, il a été pris en compte les versions de type « Workstation » et « Professionnel » pour les systèmes d’exploitation, dans leur niveau de mise à jour le plus avancé en termes de « service pack » pour chaque version (ex : Windows XP SP3). Seul « Windows Vista » a été considéré dans sa version « SP1 ». En effet, le « SP2 » ayant été mis à disposition qu’à compter de mai 2009, le relevé de faille 2009 n’aurait porté que sur 7 mois, perdant ainsi toute sa pertinence.

Le choix des solutions concurrentes s’est porté sur celles dont la date de commercialisation et/ou de mise à disposition du public était sensiblement similaire à la solution Microsoft comparée. Ainsi, l’étude portant sur MS-SQL Server 2008 (disponible septembre 2008) a été effectuée comparativement avec MySQL 5.1.30 GA (disponible en octobre 2008), Oracle 11g Release 1 (disponible en septembre 2008) et IBM DB2 9.5.0.2 (disponible en août 2008).

Pour chacune des solutions retenues, il a été considéré son installation par défaut, sans ajout de package / module supplémentaire et ayant des fonctionnalités similaires. Les suites logicielles OpenOffice et MS Office n’ont pas été prises en considération. Ainsi, les solutions étudiées ont été les suivantes:

Microsoft

Windows

Ubuntu

Red Hat Suse Mac

Windows XP SP3 Ubuntu Desktop 8.04

RHEL 5 Update 2 Suse LE Desktop 10 SP2

Mac 0S 10.5.2 Leopard

Windows Vista SP1

Ubuntu Desktop 8.04


Mac 0S 10.5.3 Leopard

Windows 7 Ubuntu Desktop 9.10


Mac 0S 10.6.2 Snow Leopard

Tableau 1: Solutions étudiées - systèmes d'exploitation

Solutions Microsoft Solutions Oracle Solutions IBM Solutions Sun

MS SQL Server 2005 SP2

Oracle 9i release 2 DB2 9.5

MySQL 5.0.38

MS SQL Server 2008

Oracle 11g release 1 DB2 9.5.GA (v. 9.5.0.2)

MySQL 5.1.30 GA

Tableau 2 : Solutions étudiées – bases de données



2.2 Périmètre temps

Pour l’ensemble des logiciels et Systèmes d’Exploitation étudiés, seules les vulnérabilités publiées entre le 1er janvier 2009 et le 31 décembre 2009 ont été prises en compte. La date de référence est la date de publication du CVE, telle qu’indiquée sur le site de la National Vulnerability Database.

2.3 Périmètre de recherche

La recherche des vulnérabilités a été effectuée sur des bases de vulnérabilités externes, libres de droits et reconnues du marché. Plus précisément, la base suivante CVE (Common Vulnerabilities and Exposure) a été retenue comme référence pour cette étude :

• http://cve.mitre.org/

Les informations recueillies ont été complétées par les autres sites et listes de diffusion spécialisées suivantes :

• http://www.certa.ssi.gouv.fr/ ; • http://nvd.nist.gov/ ; • http://www.securityfocus.com/ ; • http://secunia.com/advisories/ ; • http://www.us-cert.gov/. • http://seclists.org/fulldisclosure/ ; • http://seclists.org/bugtraq/.

Puis, l’étude a été approfondie par des recherches sur les sites des différents éditeurs impliqués afin d’obtenir des compléments d’information et de confirmer les données préalablement obtenues :

• http://www.microsoft.com/en/us/default.aspx ; • http://www.oracle.com/technology/deploy/security/alerts.htm • https://www.redhat.com/security/data/cve/cve-2009.html • http://www.novell.com/linux/security/advisories.html • http://www.debian.org/security/2009/ • http://www.ubuntu.com/usn/



3. Démarche de travail

La méthodologie de travail repose sur deux phases : tout d’abord, la collecte d’information exhaustive sur le périmètre, puis l’analyse et l’exploitation des données afin d’obtenir les données statistiques.

3.1 Phase 1 : Collecte

La première phase a consisté à énumérer l’ensemble des vulnérabilités publiées pour chaque solution étudiée en tenant compte du périmètre défini (cf. paragraphe précédent). Pour chacune des vulnérabilités relevées, les éléments suivants ont été renseignés :

• Son index CVE ; • Sa description ; • La solution du périmètre impactée et sa version précise (ex : Microsoft Windows Vista SP1) ; • Le niveau de criticité estimé : CVSS (Common Vulnerability Scoring System) ; • La date de publication de la vulnérabilité ; • La date de correction de la vulnérabilité, si elle existe, soit la mise à disposition publique d’un

correctif par le vendeur du système d’exploitation (Microsoft, Red Hat, Novell, etc) ou de la base de données ;

3.2 Phase 2 : Analyse des données

Cette seconde phase a consisté à comptabiliser le nombre total de vulnérabilités ou plus exactement, le nombre d’entrées dans la base CVE (une vulnérabilité comptabilisée pour un numéro de CVE existant) relatives au périmètre étudié dans les conditions définies ci-avant. Ces vulnérabilités ont été classées selon leur niveau CVSS de criticité (forte, moyenne ou faible).

Dans un deuxième temps, en tenant compte de la date de publication et de correction de chaque vulnérabilité, le paramètre « days-of-risk » a été calculé. Il permet de connaître le nombre de jours de latence entre la parution et la correction de la vulnérabilité.

__A_____


4. Résultats

Les représentations graphiques suivantes fournissent le pendant l’année 2009, pour chaque système d’exploitation et base de données étudié(e).

4.1 Nombre de vulnérabilités pour les systèmes d’exploitation

Les tableaux ci-dessous fournides systèmes d’exploitation étudié selon les critères définis précédemment. La liste exhaustive desvulnérabilités prise en compte est fournie en Annexe A.1.

� Windows XP SP3 / Ubuntu Desktop 8.04 / RHEL 5 Update 2 / S

� Windows Vista SP1 / Ubuntu Desktop 8.04 / RHEL 5 U



Les représentations graphiques suivantes fournissent le nombre total de vulnérabilités relevées, l’année 2009, pour chaque système d’exploitation et base de données étudié(e).

Nombre de vulnérabilités pour les systèmes d’exploitation

dessous fournissent le nombre de vulnérabilités comptabilisées en 2009 pour chacun systèmes d’exploitation étudié selon les critères définis précédemment. La liste exhaustive des

vulnérabilités prise en compte est fournie en Annexe A.1.

Windows XP SP3 / Ubuntu Desktop 8.04 / RHEL 5 Update 2 / Suse LED 10 SP2 / Mac OS 10.5.2 :

indows Vista SP1 / Ubuntu Desktop 8.04 / RHEL 5 Update 2 / Suse LED 10 SP2 / Mac

ulnérabilités relevées, l’année 2009, pour chaque système d’exploitation et base de données étudié(e).

Nombre de vulnérabilités pour les systèmes d’exploitation

comptabilisées en 2009 pour chacun systèmes d’exploitation étudié selon les critères définis précédemment. La liste exhaustive des

LED 10 SP2 / Mac OS 10.5.2 :

pdate 2 / Suse LED 10 SP2 / MacOS 10.5.3:


� Windows 7 / Ubuntu Desktop 9.10 / RHEL 5 Update 4 / Suse LED 10 SP3 / Mac OS

10.6.2 :

16

Sur le nombre de vulnérabilités relevées,Windows 7) présentent moins de failles que leurs solutions concurrentes respectives.

4.2 Nombre de vulnérabilités pour les bases de données

Les tableaux ci-dessous fournibases de données étudiée selon les critères définis précédemment. La liste exhaustive des vulnérabilités prise en compte est fournie en Annexe A.2.

� MS-SQL 2005 SP2 / Oracle 9i release 2 / DB2 9.5 / MySQL 5.0.38 :



Windows 7 / Ubuntu Desktop 9.10 / RHEL 5 Update 4 / Suse LED 10 SP3 / Mac OS

Sur le nombre de vulnérabilités relevées, les OS Microsoft (Windows XP SP3, Windows Vista SP1 et Windows 7) présentent moins de failles que leurs solutions concurrentes respectives.

Nombre de vulnérabilités pour les bases de données

dessous fournissent le nombre de vulnérabilités comptabilisées pour chacune des données étudiée selon les critères définis précédemment. La liste exhaustive des

compte est fournie en Annexe A.2.

SQL 2005 SP2 / Oracle 9i release 2 / DB2 9.5 / MySQL 5.0.38 :

Windows 7 / Ubuntu Desktop 9.10 / RHEL 5 Update 4 / Suse LED 10 SP3 / Mac OS

ws XP SP3, Windows Vista SP1 et Windows 7) présentent moins de failles que leurs solutions concurrentes respectives.

tés comptabilisées pour chacune des données étudiée selon les critères définis précédemment. La liste exhaustive des


� MS-SQL 2008 / Oracle 11g release 1 / DB2 9.5 GA / MySQL 5.1.30

Pour les deux versions de MSinstallation par défaut. On notera que MySQL présente aussi un nombre faible de vulnérabilités.



SQL 2008 / Oracle 11g release 1 / DB2 9.5 GA / MySQL 5.1.30 :

Pour les deux versions de MS-SQL étudiées, aucune vulnérabilité n’a été publiée dans leur par défaut. On notera que MySQL présente aussi un nombre faible de vulnérabilités.

SQL étudiées, aucune vulnérabilité n’a été publiée dans leur par défaut. On notera que MySQL présente aussi un nombre faible de vulnérabilités.


5. Comparatif de la criticité des vulnérabilités

Ce comparatif est basé sur le nombre de vulnérabilités et leur criticité. Pour rappel, la note de criticité utilisée est la note CVSS.

5.1 Comparatif criticité pour les systèmes d’exploitation

Les tableaux ci-dessous fournisystèmes d’exploitation étudiés, et classées par niveau de criticité. La liste exhaustive des vulnérabilités prise en compte est fournie en Annexe A.1.

� Windows XP SP3 / Ubuntu Desktop 8.04 / RHEL 5 Update 2 / Suse LED 10 SP2 / Mac OS



Comparatif de la criticité des vulnérabilités

Ce comparatif est basé sur le nombre de vulnérabilités et leur criticité. Pour rappel, la note de utilisée est la note CVSS.

Comparatif criticité pour les systèmes d’exploitation

dessous fournissent le nombre de vulnérabilités comptabilisées pour chacun des d’exploitation étudiés, et classées par niveau de criticité. La liste exhaustive des

mpte est fournie en Annexe A.1.

tu Desktop 8.04 / RHEL 5 Update 2 / Suse LED 10 SP2 / Mac OS

Ce comparatif est basé sur le nombre de vulnérabilités et leur criticité. Pour rappel, la note de

t le nombre de vulnérabilités comptabilisées pour chacun des d’exploitation étudiés, et classées par niveau de criticité. La liste exhaustive des

tu Desktop 8.04 / RHEL 5 Update 2 / Suse LED 10 SP2 / Mac OS 10.5.2


� Windows Vista SP1 / Ubuntu Desktop 8.04 / RHEL 5 Update 2 / Suse LED 10 SP2 / Mac OS

� Windows 7 / Ubuntu Desktop 9.10 / RHEL 5 Update 4 / Suse LED 10 SP3 / Mac OS 10.6.2 :



Windows Vista SP1 / Ubuntu Desktop 8.04 / RHEL 5 Update 2 / Suse LED 10 SP2 / Mac OS

Windows 7 / Ubuntu Desktop 9.10 / RHEL 5 Update 4 / Suse LED 10 SP3 / Mac OS 10.6.2 :

Windows Vista SP1 / Ubuntu Desktop 8.04 / RHEL 5 Update 2 / Suse LED 10 SP2 / Mac OS 10.5.3:



La majeure partie des vulnérabilités publiées sur Windows XP SP3, Vista SP1 et Windows 7 ont un fort niveau de criticité. Toutefois leur nombre est globalement inférieur à la moyenne des autres systèmes d’exploitation, pour le même niveau de criticité.

5.2 Comparatif criticité pour les bases de données

Les tableaux ci-dessous fournibases de données étudiées, et classées par niveau de criticité. La liste exhaustive des vulnérabilités prise en compte est fournie en Annexe A.2.




La majeure partie des vulnérabilités publiées sur Windows XP SP3, Vista SP1 et Windows 7 ont un niveau de criticité. Toutefois leur nombre est globalement inférieur à la moyenne des autres

d’exploitation, pour le même niveau de criticité.

criticité pour les bases de données

dessous fournissent le nombre de vulnérabilités comptabilisées pour chacune des données étudiées, et classées par niveau de criticité. La liste exhaustive des vulnérabilités

compte est fournie en Annexe A.2.


La majeure partie des vulnérabilités publiées sur Windows XP SP3, Vista SP1 et Windows 7 ont un niveau de criticité. Toutefois leur nombre est globalement inférieur à la moyenne des autres

t le nombre de vulnérabilités comptabilisées pour chacune des données étudiées, et classées par niveau de criticité. La liste exhaustive des vulnérabilités


� MS-SQL 2008 / Oracle 11g release 1 / DB2 9.5 GA / MySQL 5.1.30 :

Aucune vulnérabilité n’a été publiée sur MS SQL 2005 SP2 et MS SQL défaut.




Aucune vulnérabilité n’a été publiée sur MS SQL 2005 SP2 et MS SQL 2008 dans leur installation par

2008 dans leur installation par


6. Les « Days-Of-Risk

Les « Days of Risk » représentent le nombre de jours écoulés entvulnérabilité et la date de parution du correctif.

6.1 « Days-Of-Risk » pour les systèmes

Les tableaux ci-dessous fournisystèmes d’exploitation étudiés, et classées par délais de parution du correctif. La liste exhaustive des vulnérabilités prise en compte est fourn

� Windows XP SP3 / Ubuntu Desktop 8.04 / RHEL 5 Update 2 / Suse LED 10 SP2 / Mac OS



Risk »

Les « Days of Risk » représentent le nombre de jours écoulés entre la date de publication de la vulnérabilité et la date de parution du correctif.

» pour les systèmes d’exploitation

dessous fournissent le nombre de vulnérabilités comptabilisées pour chacun des d’exploitation étudiés, et classées par délais de parution du correctif. La liste exhaustive

vulnérabilités prise en compte est fournie en Annexe A.1.

Windows XP SP3 / Ubuntu Desktop 8.04 / RHEL 5 Update 2 / Suse LED 10 SP2 / Mac OS

re la date de publication de la

t le nombre de vulnérabilités comptabilisées pour chacun des d’exploitation étudiés, et classées par délais de parution du correctif. La liste exhaustive

Windows XP SP3 / Ubuntu Desktop 8.04 / RHEL 5 Update 2 / Suse LED 10 SP2 / Mac OS 10.5.2 :


� Windows Vista SP1 / Ubuntu Desktop 8.04 / RHEL 5 Update 2 / Suse LED 10 SP2 / Mac OS

� Windows 7 / Ubuntu Desktop 9.10 / RHEL 5 Update 4 / Suse LED 10 SP3 / Mac OS 10.6.2 :

Il apparait que les « days-of

sont globalement nuls. Sauf exceptions, les correctifs sont publiés en même

vulnérabilités sur ces systèmes. On constate également une proportion importante de

vulnérabilités non corrigées sur les



Windows Vista SP1 / Ubuntu Desktop 8.04 / RHEL 5 Update 2 / Suse LED 10 SP2 / Mac OS


of-risk » des systèmes Windows XP SP3, Vista SP1 et Windows 7

globalement nuls. Sauf exceptions, les correctifs sont publiés en même

ces systèmes. On constate également une proportion importante de

vulnérabilités non corrigées sur les systèmes Mac OS 10.5.2, 10.5.3 et 10.6.2.

Windows Vista SP1 / Ubuntu Desktop 8.04 / RHEL 5 Update 2 / Suse LED 10 SP2 / Mac OS 10.5.3 :


risk » des systèmes Windows XP SP3, Vista SP1 et Windows 7

globalement nuls. Sauf exceptions, les correctifs sont publiés en même temps que les

ces systèmes. On constate également une proportion importante de

systèmes Mac OS 10.5.2, 10.5.3 et 10.6.2.


6.2 « Days-Of-Risk » pour les bases de données

Les tableaux ci-dessous fournissbases de données étudiées, et classées par délais de parution du correctif. La liste exhaustive des vulnérabilités prise en compte est fournie en Annexe A.2.

Pour les solutions MS-SQL 2005 SP2 organismes publics en 2009. Par conséquent, la valeur attribuée au

Pour les solutions Oracle, les vulnérabilités sont publiées le jour de la publication du correctif associé(lors des mises à jour trimestrielles « Critical Patch Update »). Par conséquent, la valeur attribuée auDay of Risk est : 0.




» pour les bases de données

dessous fournissent le nombre de vulnérabilités comptabilisées pour chacun des données étudiées, et classées par délais de parution du correctif. La liste exhaustive des

prise en compte est fournie en Annexe A.2.

SQL 2005 SP2 et MS-SQL 2008, aucune vulnérabilité n’a été remonté par lesorganismes publics en 2009. Par conséquent, la valeur attribuée au Day of Risk est :

Pour les solutions Oracle, les vulnérabilités sont publiées le jour de la publication du correctif associé(lors des mises à jour trimestrielles « Critical Patch Update »). Par conséquent, la valeur attribuée au


le nombre de vulnérabilités comptabilisées pour chacun des données étudiées, et classées par délais de parution du correctif. La liste exhaustive des

SQL 2008, aucune vulnérabilité n’a été remonté par les est : 0.

Pour les solutions Oracle, les vulnérabilités sont publiées le jour de la publication du correctif associé (lors des mises à jour trimestrielles « Critical Patch Update »). Par conséquent, la valeur attribuée au


� MS-SQL 2008 / Oracle 11g release 1 / DB2 9.5 GA /

Aucune vulnérabilité n’a été publiée sur MS SQL 2005 SP2 et MS SQL 2008 dans défaut.




Aucune vulnérabilité n’a été publiée sur MS SQL 2005 SP2 et MS SQL 2008 dans

Aucune vulnérabilité n’a été publiée sur MS SQL 2005 SP2 et MS SQL 2008 dans leur installation par



Annexe A : Liste des vulnérabilités prises en compte

Pour chaque solution étudiée, la liste exhaustive des vulnérabilités considérées est fournie. Il s’agit de toutes les vulnérabilités référencées par un CVE et dont la vulnérabilité concerne le système d’exploitation / la base de données elle-même ou un composant installé par défaut.

Systèmes d’exploitation

Windows XP SP3

81 vulnérabilités ont été publiées dans le périmètre pour une installation par défaut :

CVE-2008-0015 CVE-2008-0020 CVE-2008-4834 CVE-2009-0078 CVE-2009-0079 CVE-2009-0081 CVE-2009-0082 CVE-2009-0083 CVE-2009-0085 CVE-2009-0086 CVE-2009-0089 CVE-2009-0090 CVE-2009-0091 CVE-2009-0229 CVE-2009-0230 CVE-2009-0231 CVE-2009-0232 CVE-2009-0550 CVE-2009-0551 CVE-2009-0552 CVE-2009-0553 CVE-2009-0554 CVE-2009-0555 CVE-2009-1123 CVE-2009-1124 CVE-2009-1125 CVE-2009-1126





Windows Vista SP1


CVE-2009-0078 CVE-2009-0080 CVE-2009-0081 CVE-2009-0082 CVE-2009-0083 CVE-2009-0085 CVE-2009-0086 CVE-2009-0089 CVE-2009-0090 CVE-2009-0091 CVE-2009-0229 CVE-2009-0230 CVE-2009-0231 CVE-2009-0232 CVE-2009-0550 CVE-2009-0551 CVE-2009-0553 CVE-2009-0554 CVE-2009-0555 CVE-2009-1123 CVE-2009-1124 CVE-2009-1125 CVE-2009-1127

CVE-2009-1132 CVE-2009-1133 CVE-2009-1544 CVE-2009-1545 CVE-2009-1546 CVE-2009-1547 CVE-2009-1917 CVE-2009-1918 CVE-2009-1919 CVE-2009-1920 CVE-2009-1922 CVE-2009-1925 CVE-2009-1926 CVE-2009-1929 CVE-2009-1930 CVE-2009-2497 CVE-2009-2498 CVE-2009-2499 CVE-2009-2500 CVE-2009-2501 CVE-2009-2502 CVE-2009-2503 CVE-2009-2504

CVE-2009-2510 CVE-2009-2511 CVE-2009-2512 CVE-2009-2513 CVE-2009-2514 CVE-2009-2515 CVE-2009-2516 CVE-2009-2518 CVE-2009-2524 CVE-2009-2525 CVE-2009-2526 CVE-2009-2529 CVE-2009-2530 CVE-2009-2531 CVE-2009-2532 CVE-2009-3103 CVE-2009-3126 CVE-2009-3671 CVE-2009-3672 CVE-2009-3673 CVE-2009-3674 CVE-2009-3677

Windows 7


CVE-2009-0090 CVE-2009-0091 CVE-2009-1547 CVE-2009-2497 CVE-2009-2510 CVE-2009-2511


CVE-2009-3673 CVE-2009-3674 CVE-2009-3676 CVE-2009-4074



Ubuntu 8.04


CVE-2008-2383 CVE-2008-4307 CVE-2008-4316 CVE-2008-5077 CVE-2008-5907 CVE-2008-6107 CVE-2008-6679 CVE-2009-0025 CVE-2009-0028 CVE-2009-0031 CVE-2009-0034 CVE-2009-0037 CVE-2009-0040 CVE-2009-0146 CVE-2009-0147 CVE-2009-0153 CVE-2009-0159 CVE-2009-0163 CVE-2009-0166 CVE-2009-0186 CVE-2009-0196 CVE-2009-0217 CVE-2009-0269 CVE-2009-0322 CVE-2009-0352 CVE-2009-0353 CVE-2009-0354 CVE-2009-0358 CVE-2009-0365 CVE-2009-0386 CVE-2009-0387 CVE-2009-0397 CVE-2009-0583 CVE-2009-0584 CVE-2009-0590 CVE-2009-0652 CVE-2009-0675 CVE-2009-0676 CVE-2009-0688 CVE-2009-0689 CVE-2009-0745 CVE-2009-0746 CVE-2009-0747 CVE-2009-0748 CVE-2009-0755 CVE-2009-0771 CVE-2009-0772 CVE-2009-0773







CVE-2009-3380 CVE-2009-3381 CVE-2009-3382 CVE-2009-3383 CVE-2009-3490 CVE-2009-3546 CVE-2009-3547 CVE-2009-3560 CVE-2009-3605 CVE-2009-3612 CVE-2009-3613 CVE-2009-3620 CVE-2009-3621 CVE-2009-3627 CVE-2009-3720 CVE-2009-3725 CVE-2009-3726 CVE-2009-3889 CVE-2009-3939 CVE-2009-3981 CVE-2009-4005 CVE-2009-4020 CVE-2009-4021 CVE-2009-4022 CVE-2009-4138 CVE-2009-4308

Ubuntu 9.10


CVE-2009-0689 CVE-2009-0692 CVE-2009-1298 CVE-2009-1376 CVE-2009-1570 CVE-2009-2625 CVE-2009-2820 CVE-2009-2910 CVE-2009-3080 CVE-2009-3085 CVE-2009-3274 CVE-2009-3370 CVE-2009-3371 CVE-2009-3372 CVE-2009-3373 CVE-2009-3374 CVE-2009-3375 CVE-2009-3376 CVE-2009-3377 CVE-2009-3379 CVE-2009-3380

CVE-2009-3381 CVE-2009-3382 CVE-2009-3383 CVE-2009-3388 CVE-2009-3389 CVE-2009-3546 CVE-2009-3547 CVE-2009-3560 CVE-2009-3603 CVE-2009-3604 CVE-2009-3607 CVE-2009-3608 CVE-2009-3609 CVE-2009-3612 CVE-2009-3620 CVE-2009-3621 CVE-2009-3623 CVE-2009-3624 CVE-2009-3627 CVE-2009-3720 CVE-2009-3725

CVE-2009-3888 CVE-2009-3889 CVE-2009-3909 CVE-2009-3939 CVE-2009-3979 CVE-2009-3980 CVE-2009-3982 CVE-2009-3983 CVE-2009-3984 CVE-2009-3985 CVE-2009-3986 CVE-2009-4005 CVE-2009-4020 CVE-2009-4022 CVE-2009-4026 CVE-2009-4027 CVE-2009-4128 CVE-2009-4131 CVE-2009-4138 CVE-2009-4308



Red Hat Enterprise Linux 5 Update 2


CVE-2007-6725 CVE-2008-2383 CVE-2008-4307 CVE-2008-4316 CVE-2008-5077 CVE-2008-5515 CVE-2008-6679 CVE-2008-7224 CVE-2009-0021 CVE-2009-0025 CVE-2009-0028 CVE-2009-0031 CVE-2009-0033 CVE-2009-0034 CVE-2009-0037 CVE-2009-0040 CVE-2009-0115 CVE-2009-0146 CVE-2009-0147 CVE-2009-0159 CVE-2009-0163 CVE-2009-0166 CVE-2009-0195 CVE-2009-0196 CVE-2009-0269



CVE-2009-1181 CVE-2009-1182 CVE-2009-1183 CVE-2009-1185 CVE-2009-1187 CVE-2009-1188 CVE-2009-1192 CVE-2009-1194 CVE-2009-1252 CVE-2009-1302 CVE-2009-1303 CVE-2009-1304 CVE-2009-1305 CVE-2009-1306 CVE-2009-1307 CVE-2009-1308 CVE-2009-1309 CVE-2009-1310 CVE-2009-1311 CVE-2009-1312 CVE-2009-1313 CVE-2009-1336 CVE-2009-1337 CVE-2009-1364 CVE-2009-1377 CVE-2009-1378 CVE-2009-1379 CVE-2009-1385 CVE-2009-1388 CVE-2009-1389 CVE-2009-1392 CVE-2009-1439





CVE-2009-1574 CVE-2009-1632 CVE-2009-1633 CVE-2009-1758 CVE-2009-1832 CVE-2009-1833 CVE-2009-1834 CVE-2009-1835 CVE-2009-1836 CVE-2009-1837 CVE-2009-1838 CVE-2009-1839 CVE-2009-1840 CVE-2009-1841 CVE-2009-1895



Red Hat Enterprise Linux 5 Update 4


CVE-2008-4307 CVE-2008-5515 CVE-2008-7224 CVE-2009-0028 CVE-2009-0031 CVE-2009-0033 CVE-2009-0269 CVE-2009-0322 CVE-2009-0580 CVE-2009-0675 CVE-2009-0676 CVE-2009-0745 CVE-2009-0746 CVE-2009-0747 CVE-2009-0748 CVE-2009-0778 CVE-2009-0783 CVE-2009-0787 CVE-2009-0834 CVE-2009-1072 CVE-2009-1192 CVE-2009-1336 CVE-2009-1337 CVE-2009-1385 CVE-2009-1388 CVE-2009-1389 CVE-2009-1439 CVE-2009-1633 CVE-2009-1758 CVE-2009-1895 CVE-2009-2406 CVE-2009-2407 CVE-2009-2473 CVE-2009-2474





SUSE Linux Enterprise Desktop 10 SP2


CVE-2008-2383 CVE-2008-5077 CVE-2008-5824 CVE-2008-5907 CVE-2008-6123 CVE-2008-6679 CVE-2009-0021 CVE-2009-0025 CVE-2009-0028 CVE-2009-0037 CVE-2009-0040 CVE-2009-0065 CVE-2009-0115 CVE-2009-0146 CVE-2009-0147 CVE-2009-0153 CVE-2009-0159 CVE-2009-0163 CVE-2009-0165 CVE-2009-0166 CVE-2009-0179 CVE-2009-0186 CVE-2009-0193 CVE-2009-0196 CVE-2009-0198 CVE-2009-0352 CVE-2009-0353 CVE-2009-0365 CVE-2009-0368 CVE-2009-0509 CVE-2009-0510 CVE-2009-0511 CVE-2009-0512 CVE-2009-0519 CVE-2009-0520 CVE-2009-0521 CVE-2009-0578 CVE-2009-0581 CVE-2009-0582 CVE-2009-0583 CVE-2009-0584 CVE-2009-0585 CVE-2009-0590 CVE-2009-0652 CVE-2009-0658 CVE-2009-0675 CVE-2009-0676 CVE-2009-0688 CVE-2009-0689 CVE-2009-0692 CVE-2009-0696 CVE-2009-0698 CVE-2009-0723 CVE-2009-0733 CVE-2009-0755





CVE-2009-2994 CVE-2009-2996 CVE-2009-2997 CVE-2009-2998 CVE-2009-3002 CVE-2009-3069 CVE-2009-3070 CVE-2009-3071 CVE-2009-3072 CVE-2009-3073 CVE-2009-3075 CVE-2009-3076 CVE-2009-3077 CVE-2009-3078 CVE-2009-3079 CVE-2009-3080 CVE-2009-3238 CVE-2009-3274 CVE-2009-3370 CVE-2009-3371 CVE-2009-3372 CVE-2009-3373 CVE-2009-3374 CVE-2009-3375



SUSE Linux Enterprise Desktop 10 SP3


CVE-2009-0689 CVE-2009-0758 CVE-2009-1192 CVE-2009-2408 CVE-2009-2473 CVE-2009-2564 CVE-2009-2813 CVE-2009-2903 CVE-2009-2906 CVE-2009-2909 CVE-2009-2910 CVE-2009-2948 CVE-2009-2979 CVE-2009-2980 CVE-2009-2981 CVE-2009-2982 CVE-2009-2983 CVE-2009-2985 CVE-2009-2986 CVE-2009-2988 CVE-2009-2990 CVE-2009-2991 CVE-2009-2992 CVE-2009-2993 CVE-2009-2994 CVE-2009-2996 CVE-2009-2997 CVE-2009-2998

CVE-2009-3069 CVE-2009-3070



CVE-2009-3603 CVE-2009-3604 CVE-2009-3605 CVE-2009-3606 CVE-2009-3608 CVE-2009-3609 CVE-2009-3612 CVE-2009-3620 CVE-2009-3621 CVE-2009-3627 CVE-2009-3720 CVE-2009-3726 CVE-2009-3794 CVE-2009-3796 CVE-2009-3797 CVE-2009-3798 CVE-2009-3799 CVE-2009-3800 CVE-2009-3939 CVE-2009-3951

CVE-2009-3979 CVE-2009-3980 CVE-2009-3982 CVE-2009-3983 CVE-2009-3984 CVE-2009-3985 CVE-2009-3986 CVE-2009-4005 CVE-2009-4021



CVE-2009-3071 CVE-2009-3072

CVE-2009-3555 CVE-2009-3560

CVE-2009-4324



Max OS X 10.5.2 et 10.5.3 (Leopard)

La liste est identique pour les deux versions.


CVE-2008-1517 CVE-2008-5077 CVE-2009-0010 CVE-2009-0021 CVE-2009-0023 CVE-2009-0025 CVE-2009-0049 CVE-2009-0050 CVE-2009-0125 CVE-2009-0126 CVE-2009-0129 CVE-2009-0144 CVE-2009-0145 CVE-2009-0146 CVE-2009-0147 CVE-2009-0148 CVE-2009-0149 CVE-2009-0150 CVE-2009-0152 CVE-2009-0153 CVE-2009-0154 CVE-2009-0155 CVE-2009-0156 CVE-2009-0157 CVE-2009-0158 CVE-2009-0159 CVE-2009-0160 CVE-2009-0161 CVE-2009-0162 CVE-2009-0165 CVE-2009-0166 CVE-2009-0195 CVE-2009-0265 CVE-2009-0642 CVE-2009-0689 CVE-2009-0799 CVE-2009-0800 CVE-2009-0844 CVE-2009-0845 CVE-2009-0846 CVE-2009-0847 CVE-2009-0942 CVE-2009-0943

CVE-2009-0944 CVE-2009-0945 CVE-2009-0946 CVE-2009-0949 CVE-2009-1179 CVE-2009-1180 CVE-2009-1181 CVE-2009-1182 CVE-2009-1183 CVE-2009-1187 CVE-2009-1188 CVE-2009-1574 CVE-2009-1717 CVE-2009-1890 CVE-2009-1891 CVE-2009-1955 CVE-2009-1956 CVE-2009-2285 CVE-2009-2404 CVE-2009-2408 CVE-2009-2409 CVE-2009-2411 CVE-2009-2412 CVE-2009-2414 CVE-2009-2416 CVE-2009-2666 CVE-2009-2808 CVE-2009-2818 CVE-2009-2819 CVE-2009-2820 CVE-2009-2823 CVE-2009-2824 CVE-2009-2825 CVE-2009-2826 CVE-2009-2827 CVE-2009-2828 CVE-2009-2829 CVE-2009-2830 CVE-2009-2831 CVE-2009-2832 CVE-2009-2833 CVE-2009-2834 CVE-2009-2835

CVE-2009-2836 CVE-2009-2837 CVE-2009-2838 CVE-2009-2839 CVE-2009-2840 CVE-2009-3111 CVE-2009-3291 CVE-2009-3292 CVE-2009-3293 CVE-2009-3294 CVE-2009-3490 CVE-2009-3553 CVE-2009-3555 CVE-2009-3728 CVE-2009-3729 CVE-2009-3794 CVE-2009-3796 CVE-2009-3797 CVE-2009-3798 CVE-2009-3799 CVE-2009-3800 CVE-2009-3864 CVE-2009-3865 CVE-2009-3866 CVE-2009-3867 CVE-2009-3868 CVE-2009-3869 CVE-2009-3871 CVE-2009-3872 CVE-2009-3873 CVE-2009-3874 CVE-2009-3875 CVE-2009-3876 CVE-2009-3877 CVE-2009-3879 CVE-2009-3880 CVE-2009-3881 CVE-2009-3882 CVE-2009-3883 CVE-2009-3884 CVE-2009-3885 CVE-2009-3886

Mac OS 10.6.2 (Snow Leopard)


CVE-2009-0689 CVE-2009-2409 CVE-2009-2843 CVE-2009-3553 CVE-2009-3555 CVE-2009-3728 CVE-2009-3729





CVE-2009-3794 CVE-2009-3796 CVE-2009-3797 CVE-2009-3798 CVE-2009-3799

CVE-2009-3871 CVE-2009-3872 CVE-2009-3873 CVE-2009-3874 CVE-2009-3875

CVE-2009-3884 CVE-2009-3885 CVE-2009-3886



Bases de données

MS SQL 2005 SP2

Aucune vulnérabilité n’a été publiée dans le périmètre pour une installation par défaut.

MS SQL 2008

Aucune vulnérabilité n’a été publiée dans le périmètre pour une installation par défaut.

Oracle 9i





Oracle 11g


CVE-2008-5437 CVE-2009-0972 CVE-2009-0975 CVE-2009-0976 CVE-2009-0977 CVE-2009-0978 CVE-2009-0980 CVE-2009-0981 CVE-2009-0984 CVE-2009-0985

CVE-2009-0986 CVE-2009-0988 CVE-2009-0991 CVE-2009-0997 CVE-2009-1019 CVE-2009-1020 CVE-2009-1963 CVE-2009-1966 CVE-2009-1967 CVE-2009-1969

CVE-2009-1970 CVE-2009-1971 CVE-2009-1972 CVE-2009-1973 CVE-2009-1995 CVE-2009-1997 CVE-2009-2000 CVE-2009-2001

IBM DB2 9.5 et 9.5GA

La liste est identique pour les deux versions prises en compte.





MySQL 5.0.38


CVE-2009-2446 CVE-2009-4019 CVE-2009-4484



MySQL 5.1.30


CVE-2009-0819 CVE-2009-4484

Etude sécurité logicielle 2009 -...

Documents

Transcript of Etude sécurité logicielle 2009 -...