<html>
  <head>

    <meta http-equiv="content-type" content="text/html; charset=utf-8">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    Bonjour,<br>
    <br>
    <span style="font-family:"Arial",sans-serif">Je vous fais
      parvenir cette alerte pour signaler la découverte d'une
      vulnérabilité sévère qui touche les systèmes Linux. <br>
      <br>
      -Véronique<br>
    </span><br>
    <p class="western" style="margin-bottom: 0cm; font-weight: normal"
      align="CENTER"><font face="Arial, sans-serif"><font
          style="font-size: 11pt" size="2"><b> </b><br>
          <i>Cette vulnérabilité sévère détectée dans la bibliothèque C
            de GNU/Linux donne le contrôle aux attaquants sans
            nécessiter d’identifiants système. - Patchs disponibles dès
            aujourd’hui - </i></font></font> </p>
    <p class="western" style="margin-bottom: 0cm" align="JUSTIFY"
      lang="en-US"> <font color="#000000"><font face="Arial,
          sans-serif"><font style="font-size: 11pt" size="2"><span
              lang="fr-FR"><span style="font-style: normal"><b><br>
                  Le 27 janvier 2015 –– </b></span></span></font></font></font><font
        color="#0000ff"><font face="Arial, sans-serif"><font
            style="font-size: 11pt" size="2"><span lang="fr-FR"><span
                style="font-style: normal"><u><span style="font-weight:
                    normal">Qualys, Inc.</span></u></span></span></font></font></font><font
        color="#000000"><font face="Arial, sans-serif"><font
            style="font-size: 11pt" size="2"><span lang="en-US"><span
                style="font-style: normal"><span style="text-decoration:
                  none"><span style="font-weight: normal"> (NASDAQ : </span></span></span></span></font></font></font><font
        color="#000000"><font face="Arial, sans-serif"><font
            style="font-size: 11pt" size="2"><span lang="fr-FR"><span
                style="font-style: normal"><span style="text-decoration:
                  none"><span style="font-weight: normal">QLYS), le
                    principal fournisseur de solutions de sécurité et de
                    conformité dans le Cloud, annonce que son équipe
                    chargée de la recherche en sécurité a découvert dans
                    la bibliothèque C de GNU/Linux (glibc) une
                    vulnérabilité critique qui permet aux pirates de
                    prendre le contrôle à distance de tout un système,
                    en se passant totalement des identifiants système.</span></span></span></span></font></font></font><font
        color="#000000"><font face="Arial, sans-serif"><font
            style="font-size: 11pt" size="2"><span lang="en-US"><span
                style="font-style: normal"><span style="text-decoration:
                  none"><span style="font-weight: normal"> </span></span></span></span></font></font></font><font
        color="#000000"><font face="Arial, sans-serif"><font
            style="font-size: 11pt" size="2"><span lang="fr-FR"><span
                style="font-style: normal"><span style="text-decoration:
                  none"><span style="font-weight: normal">Qualys a
                    travaillé de manière étroite et coordonnée avec les
                    fournisseurs de distributions Linux pour proposer un
                    patch pour toutes les distributions de systèmes
                    Linux touchés. Ce patch est disponible dès
                    aujourd’hui auprès des fournisseurs correspondants.
                  </span></span></span></span></font></font></font> </p>
    <p class="western" style="margin-bottom: 0cm" align="JUSTIFY"
      lang="en-US"> <font color="#000000"><font face="Arial,
          sans-serif"><font style="font-size: 11pt" size="2"><span
              lang="fr-FR"><span style="font-style: normal"><span
                  style="text-decoration: none"><span
                    style="font-weight: normal">Baptisée GHOST
                    (CVE-2015-0235) parce qu’elle peut être déclenchée
                    par les fonctions </span></span></span></span></font></font></font><font
        color="#0000ff"><font face="Arial, sans-serif"><font
            style="font-size: 11pt" size="2"><span lang="fr-FR"><span
                style="font-style: normal"><u><span style="font-weight:
                    normal">gethostbyname et gethostbyaddr</span></u></span></span></font></font></font><font
        color="#000000"><font face="Arial, sans-serif"><font
            style="font-size: 11pt" size="2"><span lang="en-US"><span
                style="font-style: normal"><span style="text-decoration:
                  none"><span style="font-weight: normal">, cette
                    vulnérabilité touche de nombreux systèmes sous Linux
                    à partir de la version glibc-2.2 publiée le
                    10 novembre 2000. Les chercheurs de Qualys ont par
                    ailleurs détecté plusieurs facteurs qui atténuent
                    l’impact de cette vulnérabilité, parmi lesquels un
                    correctif publié le 21 mai 2013 entre les versions
                    glibc-2.17 et glibc-2.18. </span></span></span></span></font></font></font><font
        color="#000000"><font face="Arial, sans-serif"><font
            style="font-size: 11pt" size="2"><span lang="fr-FR"><span
                style="font-style: normal"><span style="text-decoration:
                  none"><span style="font-weight: normal">Malheureusement,
ce

                    correctif n’ayant pas été classé comme bulletin de
                    sécurité, la plupart des distributions stables et
                    bénéficiant d’un support à long terme ont été
                    exposées, dont Debian 7 (« Wheezy »), Red Hat
                    Enterprise Linux 6 & 7, CentOS 6 & 7 et
                    Ubuntu 12.04.</span></span></span></span></font></font></font></p>
    <p class="western" style="margin-bottom: 0cm" align="JUSTIFY"
      lang="en-US"> <font color="#000000"><font face="Arial,
          sans-serif"><font style="font-size: 11pt" size="2"><span
              lang="fr-FR"><span style="font-style: normal"><span
                  style="text-decoration: none"><span
                    style="font-weight: normal">Les clients Qualys
                    peuvent détecter GHOST à l’aide de la signature
                    QID 123191 fournie par le service Cloud </span></span></span></span></font></font></font><font
        color="#0000ff"><font face="Arial, sans-serif"><font
            style="font-size: 11pt" size="2"><span lang="fr-FR"><span
                style="font-style: normal"><u><span style="font-weight:
                    normal">Qualys Vulnerability Management</span></u></span></span></font></font></font><font
        color="#000000"><font face="Arial, sans-serif"><font
            style="font-size: 11pt" size="2"><span lang="en-US"><span
                style="font-style: normal"><span style="text-decoration:
                  none"><span style="font-weight: normal"> (VM).
                    Lorsqu’ils lanceront le prochain cycle de scan, ils
                    obtiendront des rapports détaillés sur l’exposition
                    de leur entreprise à cette vulnérabilité sévère. Ils
                    pourront ainsi estimer son impact sur leur activité
                    et suivre efficacement la vitesse de résolution du
                    problème.</span></span></span></span></font></font></font></p>
    <p class="western" style="margin-bottom: 0cm" align="JUSTIFY"
      lang="en-US"> <font color="#000000"><font face="Arial,
          sans-serif"><font style="font-size: 11pt" size="2"><span
              lang="fr-FR"><span style="font-style: normal"><span
                  style="text-decoration: none"><span
                    style="font-weight: normal">« GHOST expose à un
                    risque d’exécution de code à distance qui rend
                    l’exploitation d’une machine par un pirate
                    terriblement enfantine.</span></span></span></span></font></font></font><font
        color="#000000"><font face="Arial, sans-serif"><font
            style="font-size: 11pt" size="2"><span lang="en-US"><span
                style="font-style: normal"><span style="text-decoration:
                  none"><span style="font-weight: normal"> </span></span></span></span></font></font></font><font
        color="#000000"><font face="Arial, sans-serif"><font
            style="font-size: 11pt" size="2"><span lang="fr-FR"><span
                style="font-style: normal"><span style="text-decoration:
                  none"><span style="font-weight: normal">Il suffit par
                    exemple qu’un pirate envoie un mail sur un système
                    sous Linux pour obtenir automatiquement un accès
                    complet à cette machine », explique Wolfgang Kandek,
                    Directeur technique de Qualys, Inc. « Compte tenu du
                    nombre de systèmes basés sur glibc, nous considérons
                    qu’il s’agit d’une vulnérabilité sévère qui doit
                    être corrigée immédiatement.</span></span></span></span></font></font></font><font
        color="#000000"><font face="Arial, sans-serif"><font
            style="font-size: 11pt" size="2"><span lang="en-US"><span
                style="font-style: normal"><span style="text-decoration:
                  none"><span style="font-weight: normal"> </span></span></span></span></font></font></font><font
        color="#000000"><font face="Arial, sans-serif"><font
            style="font-size: 11pt" size="2"><span lang="fr-FR"><span
                style="font-style: normal"><span style="text-decoration:
                  none"><span style="font-weight: normal">La meilleure
                    marche à suivre pour atténuer le risque est
                    d’appliquer un patch fourni par votre fournisseur de
                    distributions Linux. » </span></span></span></span></font></font></font>
    </p>
  </body>
</html>