Marianne ANSSI

CERTA

Centre d'Expertise Gouvernemental de
Réponse et de Traitement des Attaques informatiques
liseret droit
Contact

Contacter le CERTA

Contact us ( Drapeau anglais )

A propos du site

 
Recherche

Rechercher sur le site

 
Les documents du CERTA

Page d'accueil

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours

 
Les Flux RSS du CERTA

Flux RSS complet

RSS

Flux RSS des alertes

RSS

 
Informations utiles

Que faire en cas d'intrusion ?

Les mémentos du CERTA

Les systèmes obsolètes

 
CERTA-2006-ACT-043

Imprimer ce document

Version PDF

A propos du CERTA

L'ANSSI

Le CERTA

Les CERT

Le FIRST

L'EGC

Liens utiles

 
Archives du CERTA

Année 2012

Année 2011

Année 2010

Année 2009

Année 2008

Année 2007

Année 2006

Année 2005

Année 2004

Année 2003

Année 2002

Année 2001

Année 2000

 


S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

 République Française Paris, le 27 octobre 2006
No CERTA-2006-ACT-043

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2006-43

Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-043

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-043.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-043/

1 Activité en cours

Le CERTA a été informé de nombreuses tentatives d'attaques en « force brute » sur des serveurs FTP. Le principe est le même que pour SSH, il s'agit de tester de nombreuses combinaisons d'identifiants et de mots de passe, jusqu'à obtention d'un compte. La récupération d'un tel compte permet d'utiliser le serveur comme zone de stockage de fichiers (warez). Si la machine attaquée fait également office de serveur HTTP, il est possible pour les intrus d'utiliser le compte FTP pour mettre en place des sites de filoutage (phishing).

Recommandations :

Il est recommandé aux administrateurs de vérifier la robustesse des mots de passe utilisés sur leurs machines et de consulter les journaux afin de s'assurer qu'aucune connexion douteuse n'a été effectuée.

2 De nouvelles versions de navigateurs

2.1 Firefox 2.0

Le projet Mozilla a publié le 24 octobre 2006 la version 2 du Navigateur Internet Firefox version 2. Or, la dernière pré-version de Firefox 2 à savoir la « Release Candidate 3 » comportait probablement plusieurs vulnérabilités. En l'absence d'information sur les corrections apportées dans la version 2 définitive et dans la mesure où la branche 1.5 de Firefox est encore maintenue, le CERTA recommande de ne pas déployer pour le moment Firefox 2 en attendant de plus amples précisions.

2.2 Internet Explorer 7

Microsoft a sorti il y a quelques jours une version définitive d'Internet Explorer 7 (IE7). Celle-ci n'est pas encore disponible en français, mais plusieurs sites Web se sont faits écho de cette sortie.

Le CERTA recommande cependant de patienter encore, avant d'installer et d'utiliser ce logiciel. A ce jour, deux vulnérabilités non corrigées distinctes ont été identifiées dans ce dernier :

  • la première vulnérabilité concerne un ActiveX particulier nommé Msxml2.XMLHTTP . Une personne malveillante pourrait placer un script dans une page afin de créer un objet ActiveX Msxml2.XMLHTTP. Cela lui permettrait d'accéder à des pages qui ne sont pas autorisées, ou à récupérer des informations contextuelles sur l'utilisateur. Le CERTA s'est rendu compte que le code d'exploitation fonctionne aussi, bien que les ActiveX sous IE7 soient désactivés. En effet, l'option avancée « Enable native XMLHTTP Support » ne prend pas en compte ce choix.
  • la seconde vulnérabilité consiste à afficher une fenêtre surgissante (pop-up) avec une adresse dans la barre d'affichage qui n'est pas correcte. Cette vulnérabilité peut être facilement exploitée dans le cadre d'attaques par filoutage (phishing).

Après considération de ces deux vulnérabilités moins d'une semaine après la sortie d'IE7, il est préférable de patienter avant d'utiliser ce navigateur. De nouvelles versions (dont une en français) devraient apparaître dans les prochaines semaines.

Documentation :

3 Adobe Flash Player

Une vulnérabilité, non corrigée et confirmée par l'éditeur, est présente dans le visionneur Flash Player de Adobe. Cette vulnérabilité permettrait à l'attaquant de modifier à la volée l'entête des requêtes HTTP relative à l'objet Flash et ce à l'insu de l'utilisateur. En modifiant cet entête, il est possible, par exemple, d'engendrer des requêtes HTTP non-sollicitées. Seule la dernière version « Beta » (nommée beta_100406) dudit logiciel corrige le problème. En l'absence de version stable corrigée, le CERTA recommande de ne pas utiliser le visionneur Flash Player en l'état et d'attendre la mise à jour finale de l'éditeur.

4 Rappel des avis et mises à jour émis

Durant la période du 20 au 26 octobre 2006, le CERTA a émis les avis suivants :

  • CERTA-2006-AVI-457 : Multiples vulnérabilités sur les produits Oracle
  • CERTA-2006-AVI-458 : Vulnérabilité dans HP CIF Server
  • CERTA-2006-AVI-459 : Vulnérabilité dans la bibliothèque graphique Qt
  • CERTA-2006-AVI-460 : Vulnérabilité dans Kaspersky Anti-Virus
  • CERTA-2006-AVI-461 : Vulnérabilité dans HP Tru64 UNIX dtmail
  • CERTA-2006-AVI-462 : Multiples vulnérabilités dans Novell eDirectory
  • CERTA-2006-AVI-463 : Vulnérabilité dans certains produits Symantec
  • CERTA-2006-AVI-464 : Multiples vulnérabilités dans Drupal
  • CERTA-2006-AVI-465 : Multiples vulnérabilités dans PostgreSQL
  • CERTA-2006-AVI-466 : Vulnérabilités dans Winamp
  • CERTA-2006-AVI-467 : Multiples vulnérabilités dans les produits Blue Coat
  • CERTA-2006-AVI-468 : Vulnérabilité dans Cisco Security Agent

Pendant cette période, les avis suivants ont été mis à jour :

  • CERTA-2006-AVI-382-001 : Vulnérabilité dans Webmin et Usermin

    (ajout du bulletin Debian et de la référence CVE)

  • CERTA-2006-AVI-397-001 : Plusieurs vulnérabilités dans Xorg X11 et XFree86

    (ajout de la référence au bulletin de sécurité Avaya.)

  • CERTA-2006-AVI-430-001 : Vulnérabilités dans CA BrightStor Arcserve Backup

    (ajout de la référence au nouveau bulletin CA du 19 octobre 2006)

  • CERTA-2006-AVI-435-001 : Vulnérabilité dans Python

    (ajout de la référence au bulletin de sécurité Debian)

  • CERTA-2006-AVI-459-001 : Vulnérabilité dans la bibliothèque graphique Qt

    (ajout de la référence au bulletin de sécurité Ubuntu)

Gestion détaillée du document

27 octobre 2006
version initiale.


CERTA
2012-01-04

liserest gauche
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 24/05/2012