Sécuriser - Les systèmes et logiciels obsolètes
Ce document provient du site internet du Centre d'Expertise
gouvernemental de Réponse et de Traitement des Attaques informatiques
(CERTA) - http://www.certa.ssi.gouv.fr/
Paris, le 18 novembre 2014 No CERTA-2005-INF-003-016 |
S . G . D . S . N
Agence nationale de la sécurité des systèmes d'information
Paris, le 18 novembre 2014 No CERTA-2005-INF-003-016
Affaire suivie par : CERTA
Objet : Les systèmes et logiciels obsolètes
Gestion du document
Une gestion de version détaillée se trouve à la fin de ce document.
Cette liste n'a pas vocation à être exhaustive, le périmètre couvert repose sur les logiciels et produits les plus fréquemment rencontrés par l'ANSSI dans le cadre de ses prestations.
1 - Systèmes d'exploitation obsolètes
Systèmes d'exploitation libres
Systèmes GNU/Linux
1 -.0.0.1 CentOS
Seules les version 5, 6 et 7 sont maintenues.
1 -.0.0.2 Debian
Seules les versions 6 (Squeeze) et 7 (Wheezy) sont maintenues. Des mises à jour de sécurié de la version 6 seront publiées jusqu'en février 2016.
1 -.0.0.3 Fedora
Seules les versions 19 et 20 sont maintenues. Le support de la version 19 prendra fin en décembre 2014.
1 -.0.0.4 Mandriva
Les versions Desktop, Corporate et Enterprise Server de Mandriva ne sont plus maintenues. La version Business Server 1 est maintenue jusqu'en février 2018.
1 -.0.0.5 Oracle Linux
Les échéances liées au support d'Oracle Linux sont les suivantes :
- la version 7 est supportée jusqu'en juillet 2024 ;
- la version 6 est supportée jusqu'en mars 2021 ;
- la version 5 est supportée jusqu'en mars 2017 ;
- les versions antérieures ne sont plus maintenues.
1 -.0.0.6 RedHat Entreprise Linux
Toutes les versions RedHat Enterprise Linux antérieures à la version 4 ne sont plus maintenues. La version 4 n'est maintenue qu'en mode ELS (Extended Lifecycle Support), et ce jusqu'au 31 mars 2017. Les échéances liées au support des versions EUS (Extended Update Support, ou support étendu des versions mineures) sont les suivantes :
- la version EUS 5.9 sera maintenue jusqu'au 31 mars 2015 ;
- la version EUS 6.4 sera maintenue jusqu'au 28 février 2015 ;
- la version EUS 6.5 sera maintenue jusqu'au 30 novembre 2015 ;
- les versions EUS antérieures ne sont plus maintenues.
1 -.0.0.7 SUSE/Novell
La version 11 de SUSE Linux Enterprise Server (SLES) est maintenue jusqu'au 31 mars 2022. La version 10 de SLES n'est maintenue qu'en support étendu. Les versions antérieures ne sont plus maintenues.
La version 12.3 d'openSUSE sera maintenue jusqu'au 4 janvier 2015. Les versions antérieures ne sont plus maintenues.
1 -.0.0.8 Ubuntu
Les échéances liées au support d'Ubuntu sont les suivantes :
- Lucid Lynx version Server (10.04 Long Term Support) sera supportée jusqu'en avril 2015 ;
- Precise Pangolin (12.04 Long Term Support) sera supportée jusqu'en avril 2017 ;
- Trusty Tahr (14.04 Long Term Support) sera supportée jusqu'en avril 2019 ;
- Quantal Quetzal (12.10) n'est plus maintenue ;
- Raring Ringtail (13.04) n'est plus maintenue ;
- Saucy Salamander (13.10) n'est plus maintenue ;
- les versions antérieures ne sont plus maintenues.
Systèmes BSD
1 -.0.0.9 FreeBSD
Les échéances liées au support de FreeBSD sont les suivantes :
- la version 8.4 est supportée jusqu'au 30 juin 2015 ;
- la version 9.1 est supportée jusqu'au 31 décembre 2014 ;
- la version 9.2 est supportée jusqu'au 31 décembre 2014 ;
- la version 9.3 est supportée jusqu'au 31 décembre 2016 ;
- la version 10.0 est supportée jusqu'au 31 janvier 2015 ;
- les versions antérieures ne sont plus maintenues.
1 -.0.0.10 NetBSD
Toutes les versions antérieures à la version 5.0 ne sont plus maintenues par le projet NetBSD. Les dernières branches stables sont NetBSD 6.x et NetBSD 5.x.
1 -.0.0.11 OpenBSD
Le projet OpenBSD ne maintient que les deux dernières versions stables de son système d'exploitation. Les versions actuellement maintenues sont les versions 5.5 et 5.6.
Systèmes d'exploitation propriétaires
Apple Mac OS
Les versions antérieures à la version Apple OS X 10.7 (Lion) ne sont plus maintenues.
HP-UX
Toutes les versions antérieures à la version 11iv1 ne sont plus maintenues. Concernant les machines reposant sur un processeur Itanium, les versions antérieures à la version 11i v1.6 ne sont plus maintenues.
IBM AIX
L'éditeur IBM ne publie plus d'avis de sécurité pour les produits suivants :
- IBM AIX, branche 5.1.x ;
- IBM AIX, branche 5.2.x ;
- IBM AIX, branche 5.3.x ;
- IBM AIX, branche 6.1 : versions antérieures au TL7 (le support du TL7 a pris fin en octobre 2014) ;
- IBM AIX, branche 7.1 : versions antérieures au TL1 (le support du TL1 a pris fin en octobre 2014) ;
Microsoft Windows
L'éditeur Microsoft ne publie plus d'avis ni de correctifs de sécurité pour les produits suivants :
- Windows 3.x, 95, 98 et 98 SE, Millenium, NT, 2000 et XP ;
- Windows 2003 R2 Service Pack 1 et antérieurs ;
- Windows 2003 (non R2) ;
- Windows Vista service pack 1 et antérieurs ;
- Windows 2008 service pack 1 et antérieurs ;
- Windows 2008 R2 RTM ;
- Windows 7 RTM.
Oracle Sun Solaris
Les versions antérieures à la version 10 de Solaris ne sont plus maintenues. Le support étendu de la version 9 de Solaris a pris fin le 30 octobre 2014.
SGI Irix
SGI Irix ne fait plus l'objet de support de la part de l'éditeur.
Tru64
Tru64 ne fait plus l'objet de support de la part de l'éditeur.
2 - Applications obsolètes
Suites bureautiques et de publication / visualisation
Microsoft Office Mac
Le produit Office 2011 est supporté jusqu'au 12 janvier 2016, les versions antérieures ne sont plus maintenues.
Microsoft Office Windows
Les versions suivantes de Microsoft Office ne sont plus maintenues :
- Office 2000, tous Services Packs ;
- Office 2001, tous Services Packs ;
- Office 2003, tous Service Packs ;
- Office 2004, tous Service Packs ;
- Office 2007 Service Pack 2 et antérieurs ;
- Office 2010 Service Pack 1 et sans Service Pack.
Les échéances relatives au support de Microsoft Office sont les suivantes :
- Office 2007 est supporté jusqu'au 10 octobre 2017 (le Service Pack actuellement maintenu est le SP3) ;
- Office 2010 est supporté jusqu'au 13 janvier 2020 (le Service Pack actuellement maintenu est le SP2) ;
- Office 2013 est supporté jusqu'au 11 avril 2023 (le Service actuellement maintenu est le SP1, le support de la version sans Service Pack prendra fin le 14 mars 2015).
Microsoft Sharepoint
Microsoft ne fournit plus de correctifs de sécurité pour les versions suivantes de Sharepoint :
- Sharepoint Server 2001, Portal Server 2003 et Server 2007 ;
- Sharepoint Server 2010 service pack 1 et antérieurs ;
- Sharepoint Server 2013 RTM.
Microsoft Visio
La date de fin de support d'une version de Visio est identique à celle de la suite Office associée (cf. section précédente).
OpenOffice
Seule la branche 4 d'OpenOffice est maintenue.
LibreOffice
Les échéances liées au support sont les suivantes :
- la branche 4.2 est supportée jusqu'au 19 novembre 2014 ;
- la branche 4.3 est supportée jusqu'au 27 mai 2015 ;
- la branche 4.4 est supportée jusqu'au 18 novembre 2015 ;
- les versions antérieures ne sont plus maintenues.
Adobe Reader
Les branches suivantes sont maintenues :
- la branche 10 est supportée jusqu'au 18 novembre 2015 ;
- la branche 11 est supportée jusqu'au 15 octobre 2017.
Les branches antérieures ne sont plus maintenues.
Navigateurs
Mozilla Firefox
Hors branches de support étendu (Extended Support Release, ou ESR), les versions antérieures à la dernière version (33 à la date de parution de cette note) ne sont plus maintenues.
Pour les branches de support étendu :
- la branche 31 ESR est supportée jusqu'au 4 aout 2015 ;
- le support de la branche 24 ESR a pris fin le 14 octobre 2014 ;
- les branches antérieures ne sont plus maintenues.
Microsoft Internet Explorer
Le support d'Internet Explorer est lié au support du système d'exploitation associé :
- le support d'Internet Explorer 6 a pris fin avec celui de Windows XP, le 8 avril 2014 ;
- le support d'Internet Explorer 7 et 8 prendra fin le 12 janvier 2016 ;
- Internet Explorer 9 sera supporté sur Windows Vista SP2 et sur Windows Server 2008 R2, respectivement jusqu'au 11 avril 2017 et jusqu'au 13 janvier 2020 ;
- Internet explorer 10 sera supporté sur Windows 2012 jusqu'au 10 janvier 2023 ;
- les versions antérieures ne sont plus supportées.
À partir du 12 janvier 2016, seule la dernière version d'Internet Explorer disponible pour un système donné sera supportée.
Opera
Au jour de cette note, les branches supportées sont la branche 24 pour Windows et Mac, et la branche 12.16 pour Linux.
Safari
Le support de Safari est lié au support du système d'exploitation associé. Les versions livrées avec les systèmes Mac OS X antérieurs à 10.7 (Lion) ne sont plus supportées.
Aucune version de Safari pour Microsoft Windows n'est plus supportée.
Google Chrome
Seule la dernière version de Chrome (38.0.2125.119 à la date de parution de cette note) est maintenue par Google. Les versions antérieures ne sont plus maintenues.
Clients de messagerie
Mozilla Thunderbird
Les branches ESR et release ont été combinées depuis septembre 2013. Le échéances liées au support sont les suivantes :
- la branche 31 ESR est supportée jusqu'au 4 aout 2015 ;
- le support de la branche 24 ESR a pris fin le 14 octobre 2014 ;
- les branches antérieures ne sont plus maintenues.
Microsoft Outlook Express
Microsoft Outlook Express n'est plus maintenu par Microsoft.
Microsoft Office Outlook
La date de fin de support d'une version d'Outlook est identique à celle de la suite Office associée (cf. section 2 -).
Multimedia
Microsoft Windows Media Player
Le support de Windows Media Player est lié au support du système d'exploitation associé. Seules les versions 11 (Windows 7) et 12 (Windows 8 et 8.1) sont supportées.
RealPlayer
Seules les versions suivantes du produit RealPlayer sont maintenues :
- 17 pour Windows ;
- 12 pour Mac OS.
VLC media player
Seules les branches 2.0 et 2.1 sont maintenues.
Adobe Flash Player
Depuis le 13 mai 2014, la branche 13 remplace la branche 11.7 pour le support étendu. La dernière version (14 à la date de parution de cette note) est également supportée par l'éditeur. Pour la plateforme Linux, seule la dernière version (11.2) bénéficie des correctifs de sécurité de la part de l'éditeur.
Les versions antérieures ne sont plus maintenues.
Serveurs web, serveurs d'applications et frameworks Web
Microsoft Internet Information Server (IIS)
La version 5 du serveur IIS et antérieures ne sont plus maintenues.
Apache
Les branches 2.0, 1.3 et antérieures du serveur HTTP ne sont plus maintenue.
Tomcat
Les branches 6.0 et 7.0 de Tomcat sont maintenues. Les branches 5.5 et antérieures ne sont plus maintenues.
JBoss
Les échéances liées au support de Jboss Enterprise Application Platform (EAP) sont les suivantes :
- le support standard de JBoss EAP 5.X se termine en novembre 2016, le support étendu prend fin en novembre 2019 ;
- le support standard de JBoss EAP 6.X se termine en juin 2019, le support étendu prend fin en juin 2022 ;
- le support standard de JBoss EAP 4.3 est terminé, le support étendu prend fin en novembre 2016 ;
- le support standard de JBoss EAP 5.2 est terminé, le support étendu prend fin en juin 2015.
Les versions communautaires (Jboss Alpha) ne font l'objet d'aucune publication de correctifs de sécurité.
Serveurs de messagerie
Microsoft Exchange Server
L'éditeur Microsoft ne publie plus d'avis ni de correctifs de sécurité pour les produits suivants :
- Exchange Server 4.0, 5.0, 5.5, 2000 et 2003 ;
- Exchange Server 2007 service pack 2 et antérieurs ;
- Exchange Server 2010 service pack 2 et antérieurs ;
- Exchange Server 2013 RTM.
Postfix
Les versions de Postfix antérieures à la version 2.8 ne sont plus maintenues.
Systèmes de gestion du contenu
SPIP
Seules les branches 2.0, 2.1 et 3.0 sont maintenues.
WordPress
Seule la dernière branche (4.0 à la date de parution de cette note) est maintenue.
Drupal
Seules les branches 6 et 7 sont actuellement maintenues.
Typo3
Les échéances liées au support de Typo3 sont les suivantes :
- la branche 6.2 LTS est maintenue jusqu'en mars 2017 ;
- la branche 4.5 TLS est maintenue jusqu'en mars 2015 ;
- le support des branches 4.7 et 6.1 a pris fin en octobre 2014 ;
- les branches antérieures ne sont plus maintenues.
Joomla
Les échéances liées au support de Joomla sont les suivantes :
- la branche 2.5 est supportée jusqu'au 31 décembre 2014 ;
- la branche 3 est supportée jusqu'au 31 décembre 2016 ;
- les autres branches ne sont plus maintenues.
Gestionnaires de base de données
MS-SQL
Les versions suivantes du gestionnaire de base de données Microsoft ne sont plus maintenues :
- SQL Server 4.2 tous Services Packs ;
- SQL Server 6.5 tous Services Packs;
- SQL Server 7.0 tous Services Packs ;
- SQL Server 2000 tous Services Packs ;
- SQL Server 2005 tous Services Packs ;
- SQL Server 2008 Service Pack 2 et antérieures ;
- SQL Server 2008 R2 Service Pack 1 et antérieures.
Les versions Microsoft SQL Server 2008 Service Pack 3 et Microsoft SQL Server 2008 R2 Service Pack 2 ne seront plus supportées à partir du 13 octobre 2015.
Oracle MySQL
Le support des versions d'Oracle MySQL (5.0, 5.1, 5.5 et 5.6) dépend des systèmes d'exploitation (La correspondance est détaillée dans ce lien : http://www.mysql.com/support/supportedplatforms/database.html).
Oracle Database
Les versions antérieures à la version Oracle Database 11.2 ne sont plus maintenues par le support standard. Les versions antérieures à la version Oracle Database 11.1 ne sont plus maintenues par le support étendu.
PostgreSQL
Seules les branches 9.0, 9.1, 9.2 et 9.3 sont maintenues. La branche 9.0 est supportée jusqu'en septembre 2015. Les versions antérieures ne sont plus maintenues.
3 - Environnements de développement et d'exécution
Microsoft Visual Studio
Le support est terminé pour Visual Studio 2003 et toutes les versions antérieures des outils de développements de Microsoft.
Oracle Java
Les échéances liées au support public d'Oracle Java sont les suivantes :
- la branche 8 sera supportée au minimum jusqu'en mars 2017;
- la branche 7 sera supportée au minimum jusqu'en avril 2015 ;
- la branche 6 n'est plus maintenue depuis février 2013 ;
- les branches antérieures ne sont plus maintenues.
Les échéances liées au support étendu sont les suivantes :
- la branche 8 sera supportée jusqu'en mars 2025 ;
- la branche 7 sera supportée jusqu'en juillet 2022 ;
- la branche 6 sera supportée jusqu'en décembre 2018 ;
- la branche 5 sera supportée jusqu'en mai 2015.
PHP
La communauté PHP ne publie des avis de sécurité que pour les branches stables. Les échéances liées au support de PHP sont les suivantes :
- la branche 5.6 sera supportée jusqu'au 28 septembre 2017 ;
- la branche 5.5 sera supportée jusqu'au 20 juin 2016 ;
- la branche 5.4 sera supportée jusqu'au 14 september 2015 ;
- les branches antérieures ne sont plus maintenues.
Ruby
Le support pour la branche 1.9.3 prendra fin en février 2015. Les branches antérieures ne sont plus maintenues.
Python
La branche 2.7 de python sera supportée jusqu'en 2020. La branche 2.6 étant la version par défaut de la distribution RHEL 6, elle bénéficiera de la publication des mises à jour des sources par cette distribution. Les branches antérieures ne sont plus maintenues.
4 - Références
Systèmes d'exploitation
- Cycle de vie des systèmes Apple :
http://en.wikipedia.org/wiki/Timeline_of_Apple_Inc._products - Cycle de vie des systèmes CentOS :
http://wiki.centos.org/fr/FAQ/General#head-27ae5f25fd67d6afe03f66ae6d62f81a9ad2a62c - Cycle de vie des produits Fedora :
http://fedoraproject.org/wiki/End_of_life - Cycle de vie du système FreeBSD :
http://www.freebsd.org/security - Cycle de vie des produits HP :
http://www.hp.com/softwarereleases/releases-media2/Product_Lifecycle/Product_Lifecycle.html
http://209.240.136.95/Hardware/Hewlett-Packard/PDFs/HP-UX_11i_v3-Support-Extension.pdf
http://www8.hp.com/h20195/v2/GetDocument.aspx?docname=4AA4-7673ENW - Cycle de vie des produits IBM :
http://www-01.ibm.com/software/support/lifecycle/
http://www-01.ibm.com/software/support/aix/lifecycle/index.html#FN_EOS - Cycle de vie du système Mandriva :
http://www.mandriva.com/fr/support/lifecycle/ - Cycle de vie du système RedHat :
https://access.redhat.com/support/policy/updates/errata/
https://access.redhat.com/security/updates/eol/ - Cycle de vie du système OpenBSD :
http://www.openbsd.org/faq/faq5.html#Flavors - Cycle de vie OpenSUSE :
http://en.opensuse.org/Lifetime - Dernière version en fin de vie d'OpenOffice :
http://www.openoffice.org/development/releases/eol.html - Politique de support Oracle Linux :
http://www.oracle.com/us/support/library/elsp-lifetime-069338.pdf - Politique de versions d'Ubuntu :
https://wiki.ubuntu.com/Releases
http://en.wikipedia.org/wiki/Ubuntu_(operating_system) - Cycle de vie des systèmes Microsoft :
http://support.microsoft.com/lifecycle/
http://support.microsoft.com/gp/lifeselectindex - Politique de support Novell :
http://support.novell.com/lifecycle/
Applications
- Gestion des versions de Adobe :
http://www.adobe.com/support/programs/policies/supported.html
https://www.adobe.com/support/products/enterprise/eol/eol_matrix.html - Cycle de vie des produits Apache :
https://www.apachehaus.com/index.php?option=com_content&view=article&id=119&Itemid=104 - Cycle de vie de la suite JBoss :
https://access.redhat.com/support/policy/updates/jboss_notes - Liste des différentes versions de Chrome :
http://en.wikipedia.org/wiki/Google_Chrome
googlechromereleases.blogspot.com - Cycle de vie des versions de Joomla :
http://docs.joomla.org/Joomla!_CMS_versions - Référence LibreOffice :
https://wiki.documentfoundation.org/ReleasePlan - Support de l'application Mozilla Firefox :
https://www.mozilla.org/en-US/firefox/organizations/faq/
https://wiki.mozilla.org/Enterprise/Firefox/ExtendedSupport%3AProposal
http://en.wikipedia.org/wiki/History_of_Firefox#Extended_Support_Release - Support de l'application Opera :
http://www.opera.com/docs/history/ - Support de l'application Mozilla Thunderbird :
https://www.mozilla.org/en-US/thunderbird/all.html
https://wiki.mozilla.org/Thunderbird/Support
http://en.wikipedia.org/wiki/History_of_Mozilla_Thunderbird - Cycle de vie des produits Mysql :
http://dev.mysql.com/doc/mysql/fr/index.html
http://www.mysql.com/support/supportedplatforms/database.html
http://www.mysql.com/support/eol-notice.html - Dernière version en fin de vie d'OpenOffice :
http://www.openoffice.org/development/releases/eol.html - Politique de support de la société Oracle :
http://www.oracle.com/us/support/policies/index.html
http://www.oracle.com/fr/support/lifetime-support/index.html
http://www.oracle.com/us/support/library/lifetime-support-technology-069183.pdf - Branches plus supportées par PHP :
http://php.net/eol.php - Gestion des versions de PostgreSQL :
http://www.postgresql.org/support/versioning/ - Cycle de vie de TYPO3 :
http://typo3.org/news/article/typo3-cms-agenda-more-long-term-support/
http://typo3.org/fileadmin/t3org/documents/TYPO3_Release_Agenda_LTS.pdf
http://typo3.org/roadmap/ - Liste des versions de Wordpress :
http://codex.wordpress.org/WordPress_Versions
Environnements de développement et d'exécution
- Branches de PHP obsolètes :
http://php.net/eol.php - Versions de Java obsolètes :
http://www.oracle.com/technetwork/java/eol-135779.html - Versions de Ruby obsolètes :
https://www.ruby-lang.org/en/news/2014/07/01/eol-for-1-8-7-and-1-9-2/
https://www.ruby-lang.org/en/news/2014/01/10/ruby-1-9-3-will-end-on-2015/
Gestion détaillée du document
- 13 juillet 2005
- version initiale ;
- 18 novembre 2005
- mises à jour OpenBSD et FreeBSD ;
- 18 mai 2006
- mises à jour des versions pour les systèmes BSD et Linux et ajout du système Mandriva ;
- 07 septembre 2006
- mises à jour des versions pour les systèmes BSD et ajout de la référence pour le système AIX ;
- 10 octobre 2006
- ajout de Microsoft Windows XP Service Pack 1 dans la liste des Windows obsolètes ;
- 23 novembre 2006
- mises à jour des versions pour : Mandriva, SUSE, OpenBSD, NetBSD ; corrections du lien Mandriva.
- 11 mai 2007
- mises à jour des versions pour : Windows, Debian, Mandriva, SUSE, RedHat, Fedora, FreeBSD, OpenBSD.
- 19 octobre 2007
- Ajout des sections sur php et Microsoft Office.
- 26 juin 2009
- Mise à jour des versions des divers systèmes GNU/Linux, *BSD et Microsoft.
- 16 juillet 2010
- Mise à jour des versions des divers systèmes GNU/Linux, *BSD et Microsoft.
- 17 mars 2011
- Mise à jour des versions des divers systèmes GNU/Linux, *BSD, Solaris et Microsoft.
- 21 mai 2012
- Actualisation et mise à jour des versions de tous les systèmes et de logiciels.
- 13 novembre 2012
- Actualisation et mise à jour des versions de tous les systèmes et de logiciels.
- 04 décembre 2013
- Actualisation et mise à jour des versions de tous les systèmes et de logiciels.
- 18 novembre 2014
- Actualisation et mise à jour des versions de tous les systèmes et de logiciels.
Dernière version de ce document : | http://www.certa.ssi.gouv.fr/site/CERTA-2005-INF-003 |
CERTA
2014-11-18