Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-031

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-031.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-031/

1 Activité en cours

1.1 Injection de code indirecte

Le CERTA a traité plusieurs incidents relatifs à l'injection de code indirecte (ou cross site scripting) sur certains sites de l'administration. Conformément à la terminologie d'usage au CERTA, le cross site scripting est une activité malveillante qui consiste à injecter des données arbitraires dans le code de pages HTML. Un utilisateur malveillant peut faire afficher à un site web vulnérable un contenu agressif ; ce contenu peut rediriger l'utilisateur vers d'autres sites, ou transmettre des informations (jetons de sessions, aussi appelés cookies, etc) ou des droits.

On remarque que les données arbitraires sont souvent écrites en javascript, en html ou en vbscript. La personne malveillante introduit ainsi du code dans le serveur vulnérable qui héberge le site. Ce serveur est rarement affecté par ce code (porteur sain). Les visiteurs du site, potentiellement victimes, consultent la page contenant le code injecté. L'exécution du code ne se fait pas au niveau du serveur, mais par le client de navigation de l'utilisateur. La notation XSS a été introduite pour remplacer CSS, acronyme déjà utilisé pour signifier Cascading Style Sheet.

Les risques engendrés par cette vulnérabilité sont liés au langage de script utilisé pour réaliser l'attaque par « Cross Site Scripting ». Si, par exemple, le langage javascript est utilisé, il est alors possible :

d'afficher une fenêtre demandant à l'utilisateur de rentrer son login et son mot de passe puis de valider, après quoi le résultat sera alors envoyé par mél à l'attaquant ;
de récupérer les cookies de la machine victime ;
d'exécuter des commandes système...

Les risques liés à cette vulnérabilité sont donc nombreux : déni de service de la machine victime, utilisation de la machine victime à des fins malveillantes, récupération de données personnelles, vol d'identification de connexion.

Pour se protéger, les utilisateurs doivent, dans la mesure du possible, suivre les recommandations, souvent énoncées par le CERTA :

éviter de cliquer de façon inconsidérée sur les différents liens insérés dans les messages électroniques ;
naviguer sur des sites de confiance : cela signifie, dans ce contexte, sur des sites sur lesquels il n'y aurait pas, a priori, de liens malveillants ;
désactiver le javascript sur leur navigateur.

Pour limiter les risques, les concepteurs ou administrateurs de sites web doivent impérativement prévoir un contrôle sur le contenu des différents champs d'un formulaire, ou, de manière plus générale, sur toute donnée que le site est susceptible de récupérer suite à la navigation d'un utilisateur. Ces contrôles peuvent par exemple porter sur la longueur du contenu, sur la présence d'une redirection, sur la présence de caractères spéciaux (comme '>' et '<'), etc ; sans oublier pour autant l'application des correctifs.

Références:

Terminologie d'usage au CERTA :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-INF-002/index.html

Vulnérabilité de type « Cross Site Scripting » :
```
http://www.certa.ssi.gouv.fr/site/CERTA-2002-INF-001/
```

2 Récapitulatif des différentes mises à jour Mozilla

Le CERTA a mentionné des produits Mozilla dans plusieurs documents ces dernières semaines. Parmi ceux-ci, il faut noter :

CERTA-2006-AVI-227 : cet avis a été mis à jour, suite aux modifications apportées par certaines distributions Linux pour corriger les vulnérabilités détaillées dans le bulletin de sécurité Mozilla du 01 juin 2006. Ce dernier nécessite le changement de version des produits Firefox et Thunderbird qui évoluent en 1.5.0.4.
CERTA-2006-AVI-312 : cet avis du CERTA fait suite au bulletin de sécurité Mozilla du 27 juillet 2006, et implique le changement de version des produits Firefox et Thunderbird en 1.5.0.5. Plusieurs vulnérabilités (14 références citées) sont corrigées, celles-ci permettant à un utilisateur malveillant de provoquer un déni de service, de réaliser une attaque de type cross site scripting ou d'exécuter du code arbitraire à distance. Une majorité de ces vulnérabilités sont issues du module Javascript.

Le 02 août 2006, Mozilla a mis à disposition sur son site une nouvelle version de Firefox et Thunderbird : 1.5.0.6. Cette version n'est pas une mise à jour de sécurité, mais corrige un problème de compatibilité avec des fichiers Windows Media.

3 Serveur Web et modules associés

Le CERTA a publié cette semaine un avis concernant une vulnérabilité présente dans un module d'Apache httpd (CERTA-2006-AVI-315). Elle concerne une erreur dans le module Rewrite (mod_rewrite) généralement inclus dans Apache, mais pas systématiquement chargé par défaut. Ce module permet la ré-écriture à la volée d'URLs et s'utilise parfois pour les besoins internes du serveur httpd dans certaines distributions GNU/Linux. Il est donc recommandé d'effectuer les mises à jour.

De manière générale, il est important de passer en revue les différents modules activés dans la configuration d'Apache httpd et, le cas échéant, de les désactiver s' ils ne sont d'aucune utilité. Le plus souvent, ceux-ci sont visibles dans le fichier httpd.conf. Les modules utilisés se manifestent par une ligne débutant par LoadModule et AddModule. Ceux commentés ont été inclus pendant la compilation mais ne sont pas chargés par défaut. Toute modification de ce fichier ne prend effet qu'après arrêt et redémarrage du service Apache httpd.

4 Rappel des avis et mises à jour émis

Durant la période du 28 juillet au 03 août 2006, le CERTA a émis les avis suivants :

CERTA-2006-AVI-315 : Vulnérabilité dans Apache httpd
CERTA-2006-AVI-316 : Multiples vulnérabilités des pilotes Microsoft pour Intel Centrino PRO/Wireless
CERTA-2006-AVI-317 : Multiples vulnérabilités dans Mac OS X
CERTA-2006-AVI-318 : Vulnérabilité dans les produits McAfee
CERTA-2006-AVI-319 : Vulnérabilité dans la librairie libgd
CERTA-2006-AVI-320 : Vulnérabilités Symantec
CERTA-2006-AVI-321 : Vulnérabilité dans la bibliothèque libwmf
CERTA-2006-AVI-322 : Multiples vulnérabilités dans Ruby
CERTA-2006-AVI-323 : Vulnérabilité dans PowerArchiver
CERTA-2006-AVI-324 : Vulnérabilité dans Dokeos
CERTA-2006-AVI-325 : Vulnérabilité dans la pile IP de Sun Solaris
CERTA-2006-AVI-326 : Vulnérabilité dans TCP de Sun Solaris

Pendant cette même période, les mises à jour suivantes ont été publiées :

CERTA-2005-AVI-190-003 : Vulnérabilité de divers outils gérant le format ELF
(ajout de la référence au bulletin de sécurité SGI)
CERTA-2006-AVI-067-005 : Vulnérabilité sur OpenSSH
(ajout de la référence au bulletin de sécurité SGI)
CERTA-2006-AVI-229-002 : Vulnérabilité dans SquirrelMail
(ajout de la référence au bulletin de sécurité SGI)
CERTA-2006-AVI-294-002 : Vulnérabilité dans Samba
(ajout des références aux bulletins de sécurité Gentoo, RedHat, Suse, Debian et SGI)
CERTA-2006-AVI-301-001 : Multiples vulnérabilités dans Ethereal/ Wireshark
(ajout des références aux bulletins de sécurité Debian, Gentoo et Mandriva)
CERTA-2006-AVI-312-001 : Multiples vulnérabilités dans les produits Mozilla
(ajout des références aux bulletins de sécurité Redhat, Ubuntu et SGI)

Gestion détaillée du document

04 août 2006: version initiale.

CERTA
2012-01-04

Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information

webmestre

Dernière mise à jour : le 24/05/2012

Centre d'Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques