S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 03 mars 2006
No CERTA-2006-ACT-009 |
Affaire suivie par :
CERTA
Objet : Bulletin d'actualité
2006-09
Une gestion de version détaillée se trouve
à la fin de ce document.
Le bulletin d'actualité est disponible dans son
intégralité et au format PDF à l'adresse
suivante :
http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-009.pdf
Un extrait du bulletin, ne reprenant que les articles de la
semaine, se trouve en HTML à l'adresse suivante :
http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-009/
Le CERTA a récemment traité un cas de
compromission par exploitation d'un mot de passe faible pour le
compte root. Ce type d'incidents est fréquent,
mais il peut être limité en suivant les conseils
ci-dessous :
- Il est possible de désactiver les connexions avec
le compte root dans la configuration du serveur SSH.
Toute connexion se fait dès lors avec un compte sans
privilège. L'administration de la machine reste
possible après utilisation de la commande su
ou sudo (nous recommandons dans ce cas de ne pas
mettre de commandes sans mot de passe dans le fichier de
configuration de sudo).
- Les mots de passe utilisés doivent être
forts. Il existe de nombreux outils gratuits disponibles sur
l'Internet permettant de tester la robustesse des mots de
passe. Par ailleurs, la lecture de la note d'information
CERTA-2005-INF-001 est recommandée.
- La surveillance régulière des journaux des
serveurs met généralement en évidence ce
type d'attaques. En particulier, les administrateurs peuvent
suivre de près les connexions SSH réussies (par
exemple avec la commande grep -i accepted
/var/log/secure).
Les noms de domaine se réservent auprès des
registres (registrar) pour une durée
déterminée (souvent un an). À l'issue de
cette période de bail, les propriétaires des noms
de domaine doivent effectuer un renouvellement. Si cette action
n'est pas effectuée, le nom retournera dans le domaine
public, et pourra ainsi être réservé par
d'autres personnes.
Il arrive que les propriétaires de noms de domaine ne
les renouvellent pas par oubli ou les abandonnent
volontairement. Ce phénomène peut poser quelques
problèmes avec les référencements des
sites web. En effet, certains placés dans des domaines
tombés en désuétude peuvent être
référencés par d'autres sites où
dans divers documents. Le problème survient lorsque ces
domaines sont rachetés par la suite par des personnes
mal intentionnées. Celles-ci peuvent dès lors
installer des serveurs web hébergeant du code
malveillant ou du contenu pouvant porter atteinte à
l'image d'une organisation. Il est ainsi possible de voir des
sites gouvernementaux référençant des
sites à caractère pornographique.
L'abandon d'un nom de domaine doit faire l'objet d'une
information au grand public et aux webmestres afin que les
liens vers ces anciens domaines soient modifiés ou
supprimés.
Durant la période du 24 février au 02 mars
2006, le CERTA a émis les avis suivants :
- CERTA-2006-AVI-090 : Vulnérabilité de
phplib
- CERTA-2006-AVI-091 : Vulnérabilité de
Mambo
- CERTA-2006-AVI-092 : Vulnérabilité de GNU
tar
- CERTA-2006-AVI-093 : Vulnérabilité dans
Winamp
- CERTA-2006-AVI-094 : Vulnérabilité de
unzip
- CERTA-2006-AVI-095 : Multiples
vulnérabilités dans Squirrelmail
- CERTA-2006-AVI-096 : Mises à jour de
sécurité Mac OS X
Pendant cette même période, les mises à
jour suivantes ont été publiées :
-
CERTA-2005-AVI-221-003 : Vulnérabilité de
gedit
(ajout de la référence au bulletin de
sécurité FreeBSD)
-
CERTA-2006-AVI-067-001 : Vulnérabilité sur
OpenSSH
(ajout de la référence au site Internet
OpenSSH et des références aux bulletins de
sécurité OpenBSD, SUSE et Ubuntu)
-
CERTA-2006-AVI-067-002 : Vulnérabilité sur
OpenSSH
(ajout de la référence au bulletin de
sécurité Gentoo)
-
CERTA-2005-AVI-195-004 : Vulnérabilité de
libtiff
(ajout de la référence au bulletin de
sécurité Mandriva)
-
CERTA-2006-AVI-049-001 : Vulnérabilité de
ImageMagick
(ajout de la référence au bulletin de
sécurité RedHat)
-
CERTA-2006-AVI-050-001 : Vulnérabilité du
package nfs-server
(changement du titre et ajout de la
référence au bulletin de
sécurité Debian DSA-975)
-
CERTA-2006-AVI-083-001 : Vulnérabilité du
logiciel ImageMagick
(ajout de la référence au bulletin de
sécurité RedHat)
-
CERTA-2006-AVI-086-001 : Vulnérabilité de
GnuPG
(ajout de la référence au bulletin de
sécurité SUSE)
-
CERTA-2005-AVI-487-005 : Vulnérabilité de
Ethereal
(ajout de la référence au bulletin de
sécurité SUSE)
-
CERTA-2005-AVI-490-004 : Vulnérabilité sur le
module mod_imap d'Apache
(ajout de la référence au bulletin de
sécurité SUSE)
-
CERTA-2006-AVI-013-001 : Vulnérabilité du
module mod_ssl dans Apache 2
(ajout de la référence au bulletin de
sécurité SUSE)
-
CERTA-2005-AVI-486-004 : Vulnérabilité de
Perl
(ajout de la référence au bulletin de
sécurité Solaris)
-
CERTA-2006-AVI-086-002 : Vulnérabilité de
GnuPG
(ajout de la référence au bulletin de
sécurité SUSE SUSE-SA:2006:013)
-
CERTA-2006-AVI-092-001 : Vulnérabilité de GNU
tar
(ajout des références aux bulletins de
sécurité Mandriva, Ubuntu et RedHat)
- 03 mars 2006
- version initiale.
CERTA
2012-01-04
|
)
