Marianne ANSSI

CERTA

Centre d'Expertise Gouvernemental de
Réponse et de Traitement des Attaques informatiques
liseret droit
Contact

Contacter le CERTA

Contact us ( Drapeau anglais )

A propos du site

 
Recherche

Rechercher sur le site

 
Les documents du CERTA

Page d'accueil

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours

 
Les Flux RSS du CERTA

Flux RSS complet

RSS

Flux RSS des alertes

RSS

 
Informations utiles

Que faire en cas d'intrusion ?

Les mémentos du CERTA

Les systèmes obsolètes

 
CERTA-2006-ACT-037

Imprimer ce document

Version PDF

A propos du CERTA

L'ANSSI

Le CERTA

Les CERT

Le FIRST

L'EGC

Liens utiles

 
Archives du CERTA

Année 2012

Année 2011

Année 2010

Année 2009

Année 2008

Année 2007

Année 2006

Année 2005

Année 2004

Année 2003

Année 2002

Année 2001

Année 2000

 


S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

 République Française Paris, le 15 septembre 2006
No CERTA-2006-ACT-037

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2006-37

Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-037

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-037.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-037/

1 Activité en cours

1.1 Données insérées dans une base de données

Le CERTA a traité cette semaine un incident concernant une base de données. Celle-ci est accessible par le biais d'un formulaire d'une page web. les utilisateurs, en enregistrant différentes informations, remplissent à distance des champs de la base.

De manière générale, plusieurs services peuvent s'appuyer sur une même base de données. Ils interrogent celle-ci par différentes requêtes qui leur sont propres. Il est donc important de vérifier, avant toute nouvelle entrée dans une base de données :

  • la syntaxe des données introduites : il s'agit ici de vérifier le format des variables, ainsi que leur longueur, et leur contenu (interdiction de caractères spéciaux) ;
  • la sémantique des données introduites : il s'agit de vérifier ici que les données introduites gardent un sens. Dans le cas de dates de naissance par exemple, il faut donc limiter la valeur du champ 'jour' (1 à 31), du 'mois' (1 à 12), voire de l'année (supérieure à 1890). Une seconde illustration concerne les codes postaux associés aux noms de ville.
Ce contrôle doit se faire côté serveur avant l'insertion des nouvelles données dans la base. Celle-ci doit être aussi construite de manière à anticiper de mauvaises entrées ou des entrées incohérentes (rôle des clés primaires et droits sur les tables).

1.2 Configuration de Webdav

Dans le cadre d'un traitement d'incident, le CERTA recommande d'être vigilant dans l'usage de Webdav.

Webdav est une extension du protocole HTTP permettant la mise à jour de contenu HTML sur un serveur web sans utiliser d'autres services (ftp, sftp, samba) que le serveur web. Il convient de prendre garde à l'utilisation qui peut être faite d'un tel protocole. En effet l'utilisation de Webdav revient à autoriser la méthode PUT sur le serveur web. Celle-ci permet la dépose de fichiers sur un serveur web, parfois sans autorisation préalable. Un serveur web offrant des fonctionnalités webdav mal configurées permet à un éventuel attaquant de modifier un site web. De manière générale, il est fortement déconseillé d'utiliser webdav sur un serveur de production. Il est préférable de réserver cette technologie à un serveur interne de test ou de développement.

1.3 Publication concernant IPv6

Le CERTA a publié cette semaine une note d'information concernant les enjeux liés à la sécurité lors d'un déploiement vers IPv6. Cette note reprend quelques principes associés à ce nouveau protocole, et en explique différents risques. Elle présente aussi un ensemble de recommandations à considérer, que le déploiement soit envisagé ou pas.

La note est accessible à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-INF-004/index.html

2 Mises à jour Microsoft du mois de septembre 2006

2.1 Récapitulatif

Microsoft a publié mardi 12 septembre 2006 trois nouveaux bulletins de sécurité, concernant :

  1. une vulnérabilité du protocole de diffusion (PGM) sur les systèmes d'exploitation Windows XP. Ce protocole n'est pas activé par défaut. (CERTA-2006-AVI-387)
  2. une vulnérabilité du service d'indexage concernant la majorité des systèmes d'exploitation Windows. Cependant cette vulnérabilité n'est exploitable que sous certaines conditions, avec l'utilisation sur le même système d'un serveur Web IIS. (CERTA-2006-AVI-388)
  3. une vulnérabilité jugée critique dans Microsoft Publisher. Une personne malveillante pourrait construire un fichier exploitant celle-ci, afin d'exécuter du code arbitraire sur le système où le document est ouvert. (CERTA-2006-AVI-389)

2.2 Correctifs de mises à jour

En complément des trois bulletins précédents, Microsoft a réédité deux bulletins :

  • MS06-040 : il s'agit d'un correctif lié au service Serveur. Le précédent correctif pouvait entraîner certains dysfonctionnements des systèmes d'exploitation Windows Server 2003 SP1 et Windows XP Professionnel Edition x64.
  • MS06-042 : il s'agit d'une deuxième mise à jour du bulletin (la première datant du 24 août 2006) lié à Internet Explorer. La précédente version introduirait une nouvelle vulnérabilité dans les navigateurs Internet Explorer 6 (version SP 1) et Internet Explorer 5.01 SP 4.

Le CERTA recommande, dans la mesure du possible, d'appliquer de nouveau les correctifs fournis par les précédents bulletins MS06-040 et MS06-042.

2.3 Problèmes liés à ActiveX

Une nouvelle vulnérabilité ciblant un contrôleur ActiveX (DirectAnimation Path) est actuellement exploitée, mais n'est pas corrigée par les bulletins Microsoft de septembre (http://www.microsoft.com/technet/security/advisory/925444.mspx). Ce contrôleur se trouve dans le module nommé Daxctle.ocx. Cette vulnérabilité non corrigée liée à ActiveX s'ajoute à celles dévoilées en juillet (cf. les bulletins d'actualité du CERTA du mois de juillet 2006).

Le CERTA recommande donc vivement de vérifier que les options ActiveX sont désactivées par défaut dans le navigateur Internet Explorer. Elles ne doivent être utilisées que ponctuellement, au cours de la visite de pages web de confiance.

Pour désactiver ActiveX sous Internet Explorer :

  • Ouvrir Internet Explorer
  • Cliquer sur le menu «Outils»
  • Choisir «Options Internet»
  • Afficher l'onglet «Sécurité»
  • Cliquer sur «Personnaliser le niveau»
  • Sélectionner Désactiver pour les lignes suivantes :
    • 'Contrôles ActiveX et Plugins'
    • 'Contrôles ActiveX reconnus sûrs pour l'écriture de scripts'
    • 'Contrôles d'initialisation et de script ActiveXnon marqués comme sécurisés'
    • 'Exécuter les contrôles ActiveX et les plugins'
    • 'Télécharger les contrôles ActiveX' (signés et non signés)

3 Pourriels

3.1 Remarques concernant les pourriels

Des abonnés du CERTA ont signalé une recrudescence d'un pourriel à caractère antisémite très largement distribué. Ces courriers électroniques avaient déjà étaient diffusés par le passé. Les messages contiennent une diatribe de plus de 60 pages. L'objet du message est «Trop c'est trop...».

Il est rappelé de ne jamais répondre aux messages non sollicités et de s'appuyer sur la note d'information du CERTA sur le Spam (http://www.certa.ssi.gouv.fr/site/CERTA-2005-INF-004/index.html). Vous trouverez aussi sur le site Signal-spam (http://www.signal-spam.fr) des informations et des moyens de lutter contre le spam.

3.2 Protection des machines personnelles

Le CERTA a été informé dans le cadre de la coopération internationale entre CSIRTs d'un nombre conséquent de machines compromises par un cheval de Troie connu (Haxdoor). Ce cheval de Troie est muni d'une fonctionnalité de capture des frappes clavier (keylogger). Ainsi de nombreux internautes se connectant sur des sites (institutionnels, marchands, bancaires, etc) laissent fuir à leur insu les informations confidentielles saisies sur les pages web. Cette fuite a lieu que la connexion soit sécurisée ou pas.

D'une façon générale, le CERTA rappelle les bonnes pratiques suivantes en matière de protection de son ordinateur personnel :

  • l'Internet est une rue : il faut rester vigilant lorsque l'on s'y déplace;
  • être vigilant lors de l'ouverture des pièces jointes aux messages électroniques. Ces pièces jointes sont traditionnellement un moyen facile pour compromettre un ordinateur;
  • mettre à jour régulièrement ses logiciels (système d'exploitation, navigateur Internet, messagerie, anti virus, etc.) : les codes malveillants profitent souvent des logiciels non corrigés pour se propager;
  • utiliser un pare-feux pour filtrer ce qui entre et sort de votre ordinateur;
  • ne jamais répondre aux messages non sollicités (spam);
  • ne jamais ouvrir des messages dont l'origine est inconnue ou l'objet douteux.

Pour comprendre les termes techniques de la sécurité des systèmes d'information, nous vous invitons à consulter le document suivant :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-INF-002/index.html

Pour de plus amples informations sur la façon de se protéger contre les codes malveillants, nous vous recommandons de lire le mémento du CERTA à ce sujet, disponible à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2005-INF-002/index.html

3.3 Signalement au CERTA de courriers électroniques anormaux

Dans le cas où vous souhaiteriez demander l'avis technique du CERTA concernant des courriers électroniques reçus, il est important de lui envoyer l'ensemble des informations disponibles. Cela inclut l'en-tête du message dans son intégralité, celle-ci contenant des indications de l'origine (adresses IPs). Attention, quand vous utilisez Transférer sous Outlook, l'intégralité du message d'origine n'est pas transmise, et en particulier l'en-tête.

Concernant Outlook (versions 2000 et XP), une en-tête complète peut se récupèrer de la façon suivante :

  1. Sélectionner le message
  2. Cliquer sur le menu «Affichage»
  3. Choisir «Options»
  4. Copier-coller l'en-tête complète qui s'affiche dans la fenêtre

Concernant Mozilla Thunderbird :

  1. Sélectionner le message
  2. cliquer sur le menu «Affichage»
  3. Choisir «Source du message»
  4. Copier-coller le texte qui s'affiche dans une nouvelle fenêtre

4 Rappel des avis et mises à jour émis

Durant la période du 08 au 14 septembre 2006, le CERTA a émis les avis suivants :

  • CERTA-2006-AVI-386 : Vulnérabilité des IOS Cisco
  • CERTA-2006-AVI-387 : Vulnérabilité du protocole PGM dans Microsoft Windows
  • CERTA-2006-AVI-388 : Vulnérabilité dans le service d'indexage de Microsoft Windows
  • CERTA-2006-AVI-389 : Vulnérabilité dans Microsoft Publisher
  • CERTA-2006-AVI-390 : Multiples vulnérabilités dans Apple QuickTime
  • CERTA-2006-AVI-391 : Multiples vulnérabilités dans les produits Mozilla
  • CERTA-2006-AVI-392 : Vulnérabilités dans Avast!
  • CERTA-2006-AVI-393 : Multiples vulnérabilités dans CISCO IOS
  • CERTA-2006-AVI-394 : Multiples vulnérabilités de l'antivirus Symantec
  • CERTA-2006-AVI-395 : Vulnérabilité du logiciel Ipswitch IMail server
  • CERTA-2006-AVI-396 : Vulnérabilité dans HP-UX
  • CERTA-2006-AVI-397 : Plusieurs vulnérabilités dans Xorg X11 et XFree86
  • CERTA-2006-AVI-398 : Vulnérabilité dans Adobe Flash Player

Pendant cette même période, les mises à jour suivantes ont été publiées :

  • CERTA-2006-AVI-300-001 : Vulnérabilité dans Gnu GCC

    (ajout de la référence au bulletin de sécurité Debian)

  • CERTA-2006-AVI-315-003 : Vulnérabilité dans Apache httpd

    (ajout de la référence à la mise à jour Debian )

  • CERTA-2006-AVI-338-001 : Vulnérabilité dans le Service Serveur de Microsoft Windows

    (ajout de la mise à jour du bulletin MS06-040 par Microsoft)

  • CERTA-2006-AVI-340-002 : Multiples vulnérabilités dans Internet Explorer

    (modification liée à la mise à jour du bulletin MS06-042)

  • CERTA-2006-AVI-361-001 : Vulnérabilité dans ImageMagick

    (ajout des références CVE et des bulletins de sécurité de RedHat, Mandriva, Debian, Ubuntu, SuSE1.)

  • CERTA-2006-AVI-373-001 : Multiples vulnérabilités dans Wireshark (Ethereal)

    (ajout de la référence à la mise à jour Debian)

  • CERTA-2006-AVI-377-001 : Vulnérabilité dans XOrg X11 et des bibliothèques associées

    (ajout de la référence à la mise à jour Ubuntu)

  • CERTA-2006-AVI-384-002 : Vulnérabilité dans OpenSSL

    (ajout de la référence aux bulletins de sécurité Debian et OpenBSD)

  • CERTA-2006-AVI-385-002 : Vulnérabilités de BIND

    (ajout des bulletins de sécurité Debian, OpenBSD et Mandriva)

Gestion détaillée du document

15 septembre 2006
version initiale.


CERTA
2012-01-04

liserest gauche
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 24/05/2012