Marianne ANSSI

CERTA

Centre d'Expertise Gouvernemental de
Réponse et de Traitement des Attaques informatiques
liseret droit
Contact

Contacter le CERTA

Contact us ( Drapeau anglais )

A propos du site

 
Recherche

Rechercher sur le site

 
Les documents du CERTA

Page d'accueil

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours

 
Les Flux RSS du CERTA

Flux RSS complet

RSS

Flux RSS des alertes

RSS

 
Informations utiles

Que faire en cas d'intrusion ?

Les mémentos du CERTA

Les systèmes obsolètes

 
CERTA-2006-ACT-039

Imprimer ce document

Version PDF

A propos du CERTA

L'ANSSI

Le CERTA

Les CERT

Le FIRST

L'EGC

Liens utiles

 
Archives du CERTA

Année 2012

Année 2011

Année 2010

Année 2009

Année 2008

Année 2007

Année 2006

Année 2005

Année 2004

Année 2003

Année 2002

Année 2001

Année 2000

 


S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

 République Française Paris, le 29 septembre 2006
No CERTA-2006-ACT-039

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2006-39

Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-039

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-039.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-039/

1 Bulletins de sécurité Microsoft

1.1 Vulnérabilité VML de la librairie VGX.DLL

Microsoft a publié de manière exceptionnelle un correctif décrit dans le bulletin MS06-055, mardi 26 septembre 2006. L'application de ce dernier corrige une vulnérabilité affectant la bibliothèque vgx.dll (CVE-2006-4868). Cette bibliothèque est utilisée pour prendre en compte le format VML (pour Vector Markup Language).

Un vecteur d'attaque consiste à construire et à publier des pages HTML qui exploitent la faille par l'intermédiaire d'Internet Explorer. Cependant, toute application faisant appel à cette bibliothèque peut être considérée comme vulnérable (messagerie électronique Outlook, visionneuse d'images, etc.).

Plusieurs codes malveillants circulent déjà dans l'Internet, les noms attribués variant selon les marques des produits de sécurité :

  • HTML/Levem.C (Microsoft)
  • Trojan.Vimalov (Symantec)
  • Exploit.HTML.VML.a (F-Secure, Kaspersky)
  • Exploit-VMLFill (McAfee)
  • Troj/Dloadr-ANO, Troj/Goldun (Sophos)
  • JS/Veemyfull!exploit (CA)

Le CERTA recommande vivement d'appliquer le correctif associé au bulletin MS06-055, et a publié l'avis CERTA-2006-AVI-410 le 27 septembre 2006 à ce sujet.

1.2 Mise à jour du bulletin MS06-049

Microsoft a mis à jour le 26 septembre 2006 le correctif correspondant au bulletin de sécurité MS06-049. Le bulletin initial corrigeait une vulnérabilité dans le noyau Windows. Celle-ci permettrait à un utilisateur local au système vulnérable d'élever ses privilèges et d'en prendre le contrôle.

L'application du correctif initial peut entraîner certaines erreurs pour les systèmes utilisant de la compression de fichiers NTFS. Les fichiers compressés dont la taille excède 4ko peuvent être corrompus au cours de leur manipulation. Il est donc recommandé aux utilisateurs de Windows 2000 SP4 employant la compression de fichiers NTFS d'appliquer la mise à jour du correctif.

2 Vulnérabilité non corrigée dans Microsoft Office Powerpoint

Une vulnérabilité concernant Microsoft Office a été publiée, ainsi qu'un code pour l'exploiter. Elle impliquerait les différentes versions de l'application Powerpoint.

Un utilisateur malveillant peut construire un document au format Powerpoint de façon particulière. Ce dernier permettrait d'exécuter du code arbitraire dans tout système vulnérable sur lequel le document serait ouvert.

Il est fortement recommandé de n'accepter que les documents provenant de sources de confiance.

Un contournement consiste aussi à convertir ses propres documents Powerpoint en .pdf (pour Portable Document Format et de n'accepter que les transparents sous ce même format. Ceux-ci peuvent être lu par plusieurs lecteurs et visualiser en mode diaporama.

3 OpenSSH

Le CERTA a publié l'avis de sécurité CERTA-2006-AVI-411 au sujet d'une vulnérabilité dans OpenSSH concernant la possibilité de réaliser un déni de service via un paquet SSH spécialement construit. Il convient de noter que cette vulnérabilité ne concerne que la version 1 du protocole SSH. Cette version de protocole était déjà considérée comme non sûre. Il est important de vérifier que vos serveurs SSH ne concervent pas le support de cette version. Ils devront être impérativement configurer pour ne supporter que la version 2 du prototole. Pour s'en assurer, il suffit de vérifier que la directive Protocol est fixée uniquement à 2 dans le fichier sshd_config.

Documentation :

4 Rappel des avis et mises à jour émis

Durant la période du 15 au 21 septembre 2006, le CERTA a émis les avis suivants :

  • CERTA-2006-AVI-406 : Vulnérabilités d'Apple AirPort
  • CERTA-2006-AVI-407 : Vulnérabilités dans HP-UX
  • CERTA-2006-AVI-408 : Vulnérabilités dans HP-UX
  • CERTA-2006-AVI-409 : Vulnérabilités dans CA
  • CERTA-2006-AVI-410 : Vulnérabilité du système Microsoft Windows
  • CERTA-2006-AVI-411 : Vulnérabilité dans OpenSSH
  • CERTA-2006-AVI-412 : Vulnérabilité dans GnuTLS
  • CERTA-2006-AVI-413 : Multiples vulnérabilités dans gzip

Pendant cette même période, l'alerte suivante a été mise à jour :

  • CERTA-2006-AVI-222-001 : Vulnérabilités de cURL

    (ajout des références aux bulletins de sécurité SuSE, Ubuntu et Mandriva)

  • CERTA-2006-AVI-301-002 : Multiples vulnérabilités dans Ethereal/Wireshark

    (ajout des références aux bulletins de sécurité Avaya, SuSE et Red Hat)

  • CERTA-2006-AVI-332-001 : Multiples vulnérabilités dans PHP

    (ajout des références aux bulletins de sécurité Red Hat et Mandriva)

  • CERTA-2006-AVI-347-001 : Vulnérabilité du noyau de Windows 2000

    (ajout de la référence CVE et de la nouvelle mise à jour du bulletin MS06-049)

  • CERTA-2006-AVI-351-003 : Vulnérabilité de SquirrelMail

    (ajout des bulletins de sécurité SuSE et Red Hat)

  • CERTA-2006-AVI-361-002 : Vulnérabilité dans ImageMagick

    (ajout de la référence au bulletin de sécurité de Gentoo)

  • CERTA-2006-AVI-391-002 : Multiples vulnérabilités dans les produits Mozilla

    (ajout des références aux bulletins de sécurité Ubuntu, Red Hat)

  • CERTA-2006-AVI-411-001 : Vulnérabilité dans OpenSSH

    (ajout de la section Contournement provisoire)

Gestion détaillée du document

29 septembre 2006
version initiale.


CERTA
2012-01-04

liserest gauche
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 24/05/2012