S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 10 novembre 2006 No CERTA-2006-ACT-045

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2006-45

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-045.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-045/

1 Activité en cours

1.1 Défiguration

Le CERTA a traité cette semaine un cas de défiguration dans lequel les attaquants ont une nouvelle fois utilisé une faille par injection de code. Le ou les intrus ont trouvé le site par le biais d'une recherche ciblée sur un moteur de recherche. Ils ont ensuite testé le contrôle, par le site, du contenu des variables passées en paramètre. L'une, au moins, de ces variables n'était pas protégée. Ce paramètre ne devrait contenir être qu'un entier, hors dans les journaux du serveur web nous avons constaté que derrière l'entier les attaquants ont pu ajouter du code SQL qui a été interprété par le serveur. Plus concrétement, la valeur du paramètre attendue était "ID=1", mais a été remplacée par "ID=1 update TABLE set CHAMPS=***MESSAGE***;".

Ils ont pu, alors, insérer leur message dans la base de données du site web.

Afin d'éviter cette attaques il aurait suffit de contrôler que la valeur passée au paramètre ID était un entier compris dans des bornes raisonnables.

Recommandations :

Cette compromission rappelle une nouvelle fois l'importance de vérifier la valeur, le contenu et la cohérence des paramètres avant leur traitement.

1.2 Des responsabilités

Le CERTA rappelle, suite à un incident ayant été traité cette semaine, que des responsabilités particulières s'imposent quand un site Internet offre des services en ligne. De manière générale, il est important de garder à l'esprit certains articles de loi, afin d'administrer le site en conséquence. Parmi eux :

• Art. 226-17 du Code Pénal :

• Art 34 de la loi n^78-17 du 6 janvier 1978 (informatique et libertés), modifiée par la loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel du 6 août 2004 :

2 Bulletins de sécurité et Firefox 2.0

Le projet Mozilla a annoncé publiquement le 24 octobre 2006 la version 2 du Navigateur Internet Firefox version 2.

En l'absence d'information sur les corrections apportées dans la version 2 définitive et dans la mesure où la branche 1.5 de Firefox est encore maintenue, le CERTA avait recommandé d'attendre un peu avant de déployer la version 2.

Cette semaine, Mozilla a publié trois avis de sécurité qui ont conduit à l'apparition de la version 1.5.0.8. Les avis font également mention de la version 2.0, et des corrections qui y ont été apportées.

La version 2.0 de Firefox est donc maintenue, et peut a fortiori être utilisée, en remplacement de la version 1.5.0.8. Cette dernière reste cependant toujours valable et actualisée.

Documentation :

• Avis du CERTA CERTA-2006-AVI-482 du 09 novembre 2006 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2006-AVI-482/
  

3 Vulnérabilités de Windows

Le CERTA a fait mention dans le bulletin d'actualité CERTA-2006-ACT-043 de l'existence d'une vulnérabilité qui serait exploitable via le navigateur Internet Explorer 7.

Il est apparu que cette vulnérabilité n'est pas directement liée à cette nouvelle version du navigateur de Microsoft, mais réside dans la gestion des redirections mhtml. Celles-ci sont effectuées au moyen de la librairie inetcomm.dll, un composant du client de messagerie Outlook.

La vulnérabilité devrait être corrigée prochainement. Dans l'attente du correctif, le CERTA rappelle quelques bonnes pratiques à appliquer :

• le client de messagerie doit être configuré pour ne recevoir que des courriels au format texte ;
• le client de messagerie doit être configuré pour envoyer par défaut des courriels au format texte ;
• Les activeX et le Javascript doivent être désactivés par défaut au cours de l'utilisation d'Internet Explorer. Leur activation doit être ponctuelle et maîtrisée.

Documentation :

• Note d'information du CERTA CERTA-2006-INF-002, « Mesures de prévention relatives à la messagerie » :

  http://www.certa.ssi.gouv.fr/site/CERTA-2000-INF-002/
  

4 Recommandations concernant les supports de stockage USB

Les périphériques USB (pour Universal Serial Bus) occupent actuellement une place prépondérante dans l'univers de l'appareillage informatique. Ils peuvent être de tout type, comme par exemple un support de données amovible (clé USB, lecteur de musique au format MP3, etc).

De part leur facilité d'installation, ces périphériques s'échangent très facilement d'une machine à une autre. Cependant, cette opération présente des risques, aussi bien pour le périphérique que pour l'ordinateur d'accueil.

Du fait de la simplicité et de la furtivité des attaques basées sur ces échanges, il est important de prendre des mesures préventives. Il n'est bien sûr pas question de remettre en cause l'utilité de l'USB, notamment les différents périphériques de stockage, mais certaines considérations doivent être prises avant leur utilisation, que ce soit pour l'utilisateur ou l'administrateur.

Le CERTA a publié cette semaine la note d'information CERTA-2006-INF-006, présentant les risques et des recommandations à ce sujet.

Documentation :

• Note d'information du CERTA CERTA-2006-INF-006, « Risques associés aux clés USB » :

  http://www.certa.ssi.gouv.fr/site/CERTA-2006-INF-006/
  

5 Rappel des avis et mises à jour émis

Durant la période du 03 au 09 novembre 2006, le CERTA a émis les avis suivants :

• CERTA-2006-AVI-470 : Vulnérabilité sur le produit CSA de CISCO
• CERTA-2006-AVI-471 : Vulnérabilité OpenSSL sur les produits Nortel
• CERTA-2006-AVI-472 : Plusieurs vulnérabilités dans les produits Sophos
• CERTA-2006-AVI-473 : Vulnérabilité dans IBM Informix Dynamic Server (IDS)
• CERTA-2006-AVI-474 : Vulnérabilité dans Novell eDirectory
• CERTA-2006-AVI-475 : Multiples vulnérabilités dans HP System Management Homepage
• CERTA-2006-AVI-476 : Multiples vulnérabilités dans HP-UX VirtualVault et HP-UX Webproxy
• CERTA-2006-AVI-477 : Vulnérabilités dans SAP
• CERTA-2006-AVI-478 : Vulnérabilité du noyau Linux avec IPv6
• CERTA-2006-AVI-479 : Vulnérabilité dans Microsoft Visual Studio
• CERTA-2006-AVI-480 : Vulnérabilité des drivers NVidia
• CERTA-2006-AVI-481 : Vulnérabilité dans PHP
• CERTA-2006-AVI-482 : Vulnérabilités des produits Mozilla
• CERTA-2006-AVI-483 : Vulnérabilité dans FreeBSD
• CERTA-2006-AVI-484 : Multiples vulnérabilités de Cisco Secure Desktop
• CERTA-2006-AVI-485 : Vulnérabilité dans le module pam_ldap
• CERTA-2006-AVI-486 : Vulnérabilité sur OpenSSH
• CERTA-2006-AVI-487 : Multiples vulnérabilités dans Lotus Domino pour Linux
• CERTA-2006-AVI-488 : Vulnaribilités dans la bibliothèque imlib2

Pendant cette période, les avis suivants ont été mis à jour :

• CERTA-2006-AVI-454-002 : Vulnérabilités dans Clam Antivirus

  (ajout des bulletins de sécurité Gentoo, Debian, Suse et Mandriva)

• CERTA-2006-AVI-465-001 : Multiples vulnérabilités dans PostgreSQL

  (ajout du bulletin de sécurité de Mandriva)

Gestion détaillée du document

10 novembre 2006

version initiale.