 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 4 septembre 2002
No CERTA-2002-ALE-007 |
Affaire suivie par :
CERTA
BULLETIN D'ALERTE DU CERTA
Objet : Cédérom Pages
Pro
Tableau 1: gestion du document
| Référence |
CERTA-2002-ALE-007 |
| Titre |
Cédérom Pages
Pro |
| Date de la première
version |
4 septembre 2002 |
| Date de la dernière
version |
- |
| Source(s) |
Alerte de sécurité
de la société Le Mamousse :
«Logiciel « les Pages Pro » sur
CDROM » |
| Pièce(s) jointe(s) |
Aucune |
| |
|
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Perte de confidentialité et
d'intégrité de tout fichier présent sur
la machine accueillant le cédérom ;
- prise de contrôle à distance de la machine
;
- déni de service.
Cédérom « les Pages Pro » version
novembre 2001 | 2002 distribué par les Pages Jaunes.
Par une URL habilement constituée, un individu mal
intentionné peut accéder à distance et
modifier n'importe quel fichier du poste de travail sur lequel
est démarrée l'application vulnérable.
« Les Pages Pro » est un logiciel distribué
par les Pages Jaunes (filiale du groupe France Telecom).
Ce logiciel permet d'accéder à la base
d'annuaire Pages Pro sur cédérom via un serveur
HTTP intégré à l'application.
La conjonction des trois points suivants :
- une vulnérabilité présente dans le
serveur HTTP permet d'accéder à tout fichier
d'un disque dur, même si celui-ci n'appartient pas
à l'arborescence du serveur HTTP (c'est une
vulnérabilité de type directory
traversal) ;
- l'interface de navigation HTTP du logiciel permet de
lancer certaines applications ;
- par défaut, l'accès au serveur HTTP n'est
pas restreint à la seule machine qui accueille le
cédérom (adresse 127.0.0.1).
permet à un individu distant mal intentionné, par
le biais d'une URL habilement constituée :
- d'accéder et de modifier n'importe quel
fichier,
- de lancer certains applicatifs.
Il peut en résulter une perte de
confidentialité, d'intégrité et la
possibilité d'effectuer un déni de service.
Une commande permet de déterminer si la version du
logiciel fournie sur le cédérom est
vulnérable ou non :
c:> netstat -an
Proto Adresse locale Adresse distant Etat
TCP 0.0.0.0:8100 0.0.0.0 Listening
"0.0.0.0:8100" indique que la vulnérabilité
est présente.
Afin d'interdire tout accès non local aux données
de l'ordinateur, il est recommandé lors de l'utilisation
du cédérom les Pages Pro de :
- débrancher (physiquement) le câble qui relie
le poste de travail accueillant le cédérom au
réseau ;
- ou interdire au niveau du firewall tout accès
entrant sur le port 8100/tcp (ce qui empêche toute
exploitation de cette vulnérabilité depuis
l'Internet, mais ne protège pas contre les attaques
depuis l'intranet).
La version du cédérom les Pages Pro de novembre
2002 corrige cette vulnérabilité.
Note d'information de la société les Pages Jaunes
:
- 4 septembre 2002
- version initiale.
CERTA
2012-01-04
|
|
)
