Marianne ANSSI

CERTA

Centre d'Expertise Gouvernemental de
Réponse et de Traitement des Attaques informatiques
liseret droit
Contact

Contacter le CERTA

Contact us ( Drapeau anglais )

A propos du site

 
Recherche

Rechercher sur le site

 
Les documents du CERTA

Page d'accueil

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours

 
Les Flux RSS du CERTA

Flux RSS complet

RSS

Flux RSS des alertes

RSS

 
Informations utiles

Que faire en cas d'intrusion ?

Les mémentos du CERTA

Les systèmes obsolètes

 
CERTA-2006-ACT-028

Imprimer ce document

Version PDF

A propos du CERTA

L'ANSSI

Le CERTA

Les CERT

Le FIRST

L'EGC

Liens utiles

 
Archives du CERTA

Année 2012

Année 2011

Année 2010

Année 2009

Année 2008

Année 2007

Année 2006

Année 2005

Année 2004

Année 2003

Année 2002

Année 2001

Année 2000

 


S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

 République Française Paris, le 13 juillet 2006
No CERTA-2006-ACT-028

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2006-28

Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-028

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-028.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-028/

1 Problèmes liés à extCalendar

Plusieurs défigurations ont été relevées cette semaine, certaines impliquant des sites institutionnels ou académiques. Le traitement de ces incidents, en collaboration avec le CERT Renater, a permis d'identifier dans les journaux la cause de celles-ci. Il s'agit d'une vulnérabilité affectant le produit extCalendar. Ce composant permet de faire apparaître un calendrier. Il s'interface avec les produits Mambo et Joomla!, très souvent utilisés pour développer des sites Internet. L'attaque permet d'acquérir les droits du serveur web et de modifier toute page du serveur. La prise de contrôle de la machine est possible et a été constatée dans les incidents traités. La vulnérabilité n'étant pas corrigée, le CERTA a émis une alerte (CERTA-2006-ALE-008) en indiquant un contournement provisoire. Le CERTA appelle l'attention des responsables sécurité et des administrateurs sur les risques d'attaques via cette vulnérabilité compte tenu du déploiement massif de ce composant. Il est par ailleurs vivement conseillé de n'installer que les modules applicatifs nécessaires au bon fonctionnement du site.

2 Site Web et redirection d'URL

Le traitement d'un incident cette semaine conduit le CERTA a rappelé quelques principes concernant les redirections d'URL (ou adresses réticulaires).

Au niveau applicatif :

Quand une adresse appelle un script qui permet d'insérer un objet référencé sous forme d'une seconde adresse, il est important de vérifier le format de celle-ci. Par exemple, considérons l'adresse de la forme :

http://www.A.B/index.php?AfficheObjet insert=http://adresse_Objet.C.D/etc..

Il est important de vérifier que le domaine C.D est bien celui de la redirection voulue. Dans le cas contraire, le site peut fonctionner comme un outil de redirection vers d'autres sites. Rien n'empêche alors une personne malveillante d'envoyer un courriel contenant la nouvelle adresse, pour rediriger le lecteur vers un site compromis via le site légitime.

Au niveau du pare-feu :

Le serveur Web n'a souvent aucune raison d'initier des connexions HTTP ou FTP vers des machines extérieures, ou alors il s'agit de sites clairement identifiés. Ces connexions doivent donc être correctement bloquées au niveau du pare-feu séparant le site web du monde extérieur. Cette opération protège également du problème de redirection mentionné ci-dessus.

3 Recommandations pour l'été

Le CERTA souhaite aux lecteurs du bulletin d'actualité d'excellentes vacances d'été. Nous rappelons à cet égard qu'il est important d'identifier au sein de l'administration des systèmes d'information une personne suppléante qui pourra s'occuper des problèmes de sécurité pendant l'été.

4 Rappel des avis et mises à jour émis

Durant la période du 07 au 12 juillet 2006, le CERTA a émis les avis suivants :

  • CERTA-2006-AVI-275 : Vulnérabilité dans phpMyAdmin
  • CERTA-2006-AVI-276 : Multiples vulnérabilités dans ATutor
  • CERTA-2006-AVI-277 : Vulnérabilité d'OpenOffice.org et StarOffice
  • CERTA-2006-AVI-278 : Vulnérabilités dans WebEx
  • CERTA-2006-AVI-279 : Vulnérabilité de Shadow
  • CERTA-2006-AVI-280 : Vulnérabilité de Qbik WiNGate
  • CERTA-2006-AVI-281 : Vulnérabilité de Microsoft .NET Framework
  • CERTA-2006-AVI-282 : Vulnérabilité de Microsoft IIS utilisant ASP
  • CERTA-2006-AVI-283 : Multiples vulnérabilités du service Serveur de Microsoft Windows
  • CERTA-2006-AVI-284 : Vulnérabilités de certains filtres de Microsoft Office
  • CERTA-2006-AVI-285 : Multiples vulnérabilités dans Microsoft Excel
  • CERTA-2006-AVI-286 : Plusieurs vulnérabilités dans les logiciels Microsoft
  • CERTA-2006-AVI-287 : Vulnérabilité du client DHCP de Microsoft Windows
  • CERTA-2006-AVI-288 : Vulnérabilité d'Adobe Acrobat
  • CERTA-2006-AVI-289 : Vulnérabilité IPv6 dans JunOS de Juniper

Gestion détaillée du document

13 juillet 2006
version initiale.


CERTA
2012-01-04

liserest gauche
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 24/05/2012