Marianne ANSSI

CERTA

Centre d'Expertise Gouvernemental de
Réponse et de Traitement des Attaques informatiques
liseret droit
Contact

Contacter le CERTA

Contact us ( Drapeau anglais )

A propos du site

 
Recherche

Rechercher sur le site

 
Les documents du CERTA

Page d'accueil

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours

 
Les Flux RSS du CERTA

Flux RSS complet

RSS

Flux RSS des alertes

RSS

 
Informations utiles

Que faire en cas d'intrusion ?

Les mémentos du CERTA

Les systèmes obsolètes

 
CERTA-2006-ACT-015

Imprimer ce document

Version PDF

A propos du CERTA

L'ANSSI

Le CERTA

Les CERT

Le FIRST

L'EGC

Liens utiles

 
Archives du CERTA

Année 2012

Année 2011

Année 2010

Année 2009

Année 2008

Année 2007

Année 2006

Année 2005

Année 2004

Année 2003

Année 2002

Année 2001

Année 2000

 


S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

 République Française Paris, le 14 avril 2006
No CERTA-2006-ACT-015

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2006-15

Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-015

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-015.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-015/

1 Attaques sur Horde Application Framework 3

Le CERTA a été informé d'attaques visant une vulnérabilité du service Help Viewer de Horde Application Framework 3. Ces attaques ont commencé au début du mois d'avril et ont augmenté depuis la publication sur l'Internet d'outils permettant l'exploitation automatique de la vulnérabilité. Horde Application Framework est utilisé par de nombreuses applications, notamment par le webmail IMP.

La vulnérabilité ne concerne que les versions 3 de Horde Application Framework. Elle permet d'exécuter des commandes directement sur le serveur par le biais d'adresses réticulaires URL habilement constituées. La tentative d'exploitation de cette vulnérabilité laisse des traces flagrantes dans les journaux de connexions.

Recommandations :

Le CERTA suggère d'appliquer le correctif pour Horde Application Framework 3 conformément à la politique de sécurité. La mise en place d'un filtrage en sortie permet, dans certains cas, de réduire la portée des attaques, notamment pour empêcher les intrus de télécharger leurs propres outils sur les serveurs compromis. Si vous constatez des tentatives d'attaque sur cet applicatif, veuillez le signaler auprès du CERTA.

2 Mise à jour d'Internet Explorer et ActiveX

Microsoft a publié le 11 avril 2006 un ensemble de mises à jour, dont le bulletin MS06-013 qui concerne le navigateur Internet Explorer. Ce dernier corrige plusieurs vulnérabilités décrites dans l'avis CERTA-2006-AVI-150. Hormis ces corrections, il s'avère que l'installation de la mise à jour modifie le comportement d'Internet Explorer lors de la visite de pages Web utilisant des contrôles ActiveX.

Un contrôle ActiveX fournit un ensemble de méthodes, ou fonctions, pour manipuler les composants COM (pour Component Object Model) utilisés par plusieurs applications de Microsoft Windows.

La mise à jour MS06-013 empêche l'exécution de deux contrôles ActiveX dans Internet Explorer, par défaut activés dans les versions courantes du logiciel. Ceci est possible en définissant leur bit d'arrêt (ou kill bit) respectif dans le registre de Microsoft Windows. Dans le détail, il s'agit des contrôles référencés :

  • IDXTRedirect : 42B07B28-2280-4937-B035-0293FB812781
  • IDA3Statics : 542FB453-5003-11CF-92A2-00AA00B8A733

Cette initiative de Microsoft est transitoire, avant une mise à jour plus en profondeur d'Internet Explorer prévue en juin 2006.

Il est important de noter ici que ce changement peut engendrer des problèmes pour toute application ou page Web recourant d'une certaine manière à ces contrôles ActiveX. Certains de ces problèmes sont mentionnés par Microsoft, tels :

  • dans les systèmes 64 bits, les paramètres par défaut des favoris et les paramètres avancés d'Internet Explorer sont réinitialisés ;
  • il existe certaines incompatibilités avec la barre d'outils Google ;
  • les administrateurs ne peuvent plus utiliser le commutateur /integrate pour mettre à jour les fichiers d'origine de l'installation de Windows ;
  • la mise à jour est incompatible avec le logiciel de gestion Siebel dans sa version 7 actuelle.

Des techniques pour corriger les pages Web (afin qu'elles fonctionnent correctement dans les navigateurs mis à jour) sont détaillées sur le site Web de MSDN.

Enfin, il est important de noter que Microsoft fournit un correctif rétroactif, dans le cas où cette dernière engendrerait trop de problèmes. Ce correctif rétroactif est à appliquer une fois que la mise à jour est installée et que la machine a redémarrée.

Références :

3 Rappel des avis et mises à jour émis

Durant la période du 07 au 13 avril 2006, le CERTA a émis les avis suivants :

  • CERTA-2006-AVI-140 : Multiples vulnérabilités dans ClamAV
  • CERTA-2006-AVI-141 : Vulnérabilités dans Dokeos
  • CERTA-2006-AVI-142 : Vulnérabilité dans phpMyAdmin
  • CERTA-2006-AVI-143 : Vulnérabilités dans Claroline
  • CERTA-2006-AVI-144 : Vulnérabilités dans phpBB
  • CERTA-2006-AVI-145 : Vulnérabilités sur CACTI
  • CERTA-2006-AVI-146 : Vulnérabilité dans Mailman
  • CERTA-2006-AVI-147 : Vulnérabilité sur les commutateurs 11500 CISCO
  • CERTA-2006-AVI-148 : Vulnérabilité dans l'explorateur de Microsoft Windows
  • CERTA-2006-AVI-149 : Vulnérabilité dans Microsoft Outlook Express
  • CERTA-2006-AVI-150 : Multiples vulnérabilités dans Microsoft Internet Explorer
  • CERTA-2006-AVI-151 : Vulnérabilité sur la fonction Microsoft Data Access Components (MDAC)
  • CERTA-2006-AVI-152 : Vulnérabilité dans Microsoft FrontPage
  • CERTA-2006-AVI-153 : Vulnérabilité dans Horde Application Framework 3
  • CERTA-2006-AVI-154 : Vulnérabilité de LDAP2 sous Sun Solaris

Pendant cette même période, les mises à jour suivantes ont été publiées :

  • CERTA-2006-AVI-129-001 : Vulnérabilité dans Samba

    (ajout de la référence au bulletin de sécurité FreeBSD)

  • CERTA-2006-AVI-140-001 : Multiples vulnérabilités dans ClamAV

    (ajout des références aux bulletins de sécurité Mandriva, Gentoo et FreeBSD)

  • CERTA-2006-AVI-139-001 : Vulnérabilité d'OpenVPN

    (ajout de la référence au bulletin de sécurité Mandriva)

  • CERTA-2006-AVI-142-001 : Vulnérabilité dans phpMyAdmin

    (ajout de la référence au bulletin de sécurité FreeBSD)

  • CERTA-2006-AVI-144-001 : Vulnérabilités dans phpBB

    (mise à jour de la section Risque, modification de la section Documentation et ajout des références CVE)

Gestion détaillée du document

14 avril 2006
version initiale.


CERTA
2012-01-04

liserest gauche
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 24/05/2012