Marianne ANSSI

CERTA

Centre d'Expertise Gouvernemental de
Réponse et de Traitement des Attaques informatiques
liseret droit
Contact

Contacter le CERTA

Contact us ( Drapeau anglais )

A propos du site

 
Recherche

Rechercher sur le site

 
Les documents du CERTA

Page d'accueil

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours

 
Les Flux RSS du CERTA

Flux RSS complet

RSS

Flux RSS des alertes

RSS

 
Informations utiles

Que faire en cas d'intrusion ?

Les mémentos du CERTA

Les systèmes obsolètes

 
CERTA-2007-ACT-003

Imprimer ce document

Version PDF

A propos du CERTA

L'ANSSI

Le CERTA

Les CERT

Le FIRST

L'EGC

Liens utiles

 
Archives du CERTA

Année 2012

Année 2011

Année 2010

Année 2009

Année 2008

Année 2007

Année 2006

Année 2005

Année 2004

Année 2003

Année 2002

Année 2001

Année 2000

 


S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

 République Française Paris, le 19 janvier 2007
No CERTA-2007-ACT-003

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2007-03

Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-003

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-003.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-003/

1 Activité en cours

1.1 Les inclusions de pages PHP

Cette semaine, le CERTA a, une nouvelle fois, traité des incidents de défigurations de sites Web vulnérables à des attaques dites de PHP Include.

Dans certains cas, ces compromissions sont allées jusqu'à la mise en ligne de sites de filoutage (phishing). Le CERTA recommande de contrôler l'intégrité de toutes les variables (passées en paramètre dans l'adresse réticulaire ou non) avant de les utiliser et dans la mesure du possible de ne pas se servir de la fonctionnalité Include dans les pages web PHP. L'utilisation de cette fonctionnalité du langage PHP peut, en effet, s'avérer dangereuse.

Les exemples ci-dessous indiquent de bonnes pratiques en matière de vérifications de données. Ces exemples ne doivent en aucun cas être appliqués tels quels mais peuvent faire partie d'une réflexion globale en matière de contrôle des variables et des entrées :

  • La plupart des intrusions utilisent des failles PHP Include se servant de scripts téléchargés depuis un site Internet. Une bonne pratique consiste à limiter la directive Include aux variables ne contenant pas les mots clef HTTP et FTP et WWW : 
     <? if (
        $page && !strncmp($page,"http",4) && 
        !strncmp($page,"ftp",3) && 
        !strncmp($page,"www",3) && stat($page)
        ) 
   INCLUDE($page); else ... ?>
    Cette technique ne protège pas des scripts malveillants déjà présents sur le serveur.
  • Il est beaucoup plus sûr de limiter les pages pouvant être passées en paramètre à celles autorisées et présentes sur le serveur Web (liste blanche) : 
     
<? $tab_pages=Array("mapage1.php","mapage2.php","mapage3.php");
    if (in_array($page,$tab_pages)) { include $page;} ?>

Les exemples de code fournis, le sont à titre d'information uniquement et ne peuvent en aucun cas remplacer un audit de sécurité. Le CERTA recommande également d'interdire, au niveau du pare-feu, les téléchargements à partir du serveur lui-même.

Documentation

  • Alerte du CERTA du 09 septembre 2003 sur l'exploitation massive de la vulnérabilité « PHP Include » : ancrehttp://www.certa.ssi.gouv.fr/site/CERTA-2003-ALE-003http://www.certa.ssi.gouv.fr/site/CERTA-2003-ALE-003
  • Note d'information du CERTA du 19 décembre 2005 sur les bonnes pratiques concernant l'hébergement mutualisé : 
    http://www.certa.ssi.gouv.fr/site/CERTA-2005-INF-005
  • 'Secure Programming for Linux and Unix HOWTO - Creating Secure Software', D. Wheeler : 
    http://www.dwheeler.com/secure-programs/

1.2 Rejetés par Google

L'utilisation régulière des grands moteurs de recherche, en l'occurrence Google, peut parfois présenter quelques effets de bord. Cela est dû à la mise en place de quelques mécanismes de protection par Google contre des codes considérés comme malveillants (virus, spyware, etc.).

Sur des critères définis par lui-même, le moteur de recherche Google peut limiter l'accès aux formulaires de recherche en imposant à l'utilisateur de recopier un cryptogramme visuel. Ce dernier est inclus dans une page prévenant l'utilisateur d'une éventuelle compromission de son système par un virus ou un spyware. Cela permet à Google de s'assurer que la recherche provient bien d'un humain, et non d'un outil automatique malveillant.

Cette mesure du moteur de recherche Google présente des conséquences indésirables dans le cas d'une connexion Internet partagée avec une seule adresse IP publique. Une utilisation non standard du moteur de recherche Google depuis l'un des postes du réseau conduit tous les autres postes du réseau partageant la même adresse IP publique à la même sanction, à savoir un accès avec cryptogramme au formulaire de recherche.

Les incidents de ce type, déjà traités par le CERTA, ont permis de mettre en évidence deux éléments importants :

  • ne pas paniquer à l'affichage d'un tel message de la part du moteur de recherche Google et avertir sans délai son service informatique ;
  • analyser le trafic réseau dès que possible afin de faciliter l'identification d'un éventuel système compromis.

D'une manière générale, le moteur de recherche Google ne constitue pas la seule solution en matière de recherche sur l'Internet.

2 Les logiciels gratuits pseudo-miracles

2.1 Cas général

Certains logiciels, gratuits ou non, apparaissent subitement dans les médias, car offrant une fonctionnalité peu courante, voire inexistante jusqu'alors. Il peut s'agir par exemple de navigateurs.

Parmi les cas les plus récents, les « avantages » mis en avant sont les suivants :

  • anonymat de la navigation ;
  • nettoyage des traces laissées par la navigation sur la machine ;
  • remplissage « magique » des formulaires ;
  • suppression de publicités envahissantes ;
  • personnalisation poussée de l'apparence du navigateur ;
  • etc.

Ces outils s'appuient souvent sur un produit existant, comme par exemple Internet Explorer ou Firefox. Ils sont donc non seulement vulnérables aux mêmes classes d'attaques, mais ils ouvrent aussi d'autres opportunités d'attaques, à la mesure des fonctionnalités offertes si généreusement.

2.2 Que faire ?

Les outils mentionnés ci-dessus ont tous un point en commun : ils offrent de manière alléchante une ou plusieurs fonctionnalités. Il est donc prudent de :

  • s'enquérir sur la bonne facture de l'outil auprès de spécialistes en sécurité ;
  • tester que les fonctionnalités annoncées sont bien celles installées, et elles seules, qu'il n'y a ni cheval de Troie ni publiciel ;
  • valider que les outils restent conformes à la politique de sécurité.

3 « Month of Apple Bug » (troisième semaine)

Voici pour cette semaine les vulnérabilités sur les produits Apple publiées par le projet « Month of Apple Bug », et non corrigées à la date de parution de ce bulletin. Depuis vendredi dernier, on notera les publications suivantes :

  • Une vulnérabilité dans la mise en \oeuvre du protocole AppleTalk dans MacOS X permettant de provoquer un déni de service ou d'exécuter du code arbitraire à distance ;
  • une vulnérabilité dans le positionnement des droits d'accès à certains fichiers du répertoire /Applications avec le bit suid positionné permettant une élévation de privilèges ;
  • une vulnérabilité dans le service slpd (Service Location Protocol Daemon) permet à un utilisateur distant de provoquer un déni de service ou d'exécuter du code arbitraire.

4 Problème GIF et Java

Le CERTA a publié cette semaine l'avis CERTA-2007-AVI-033, concernant une vulnérabilité dans la machine virtuelle Java de Sun. Elle ne manipulerait pas correctement certaines images au format GIF (pour Graphics Interchange Format). Ce format est très répandu, et une attaque peut se produire via une page Web contenant du code Java mettant en \oeuvre l'affichage d'un GIF spécialement construit.

Il est donc recommandé de :

  • vérifier que le support de Java est désactivé par défaut au niveau du navigateur, tout comme cela doit être fait pour Javascript ;
  • vérifier que vous disposez bien de la dernière version de la machine virtuelle Java.

5 Rappel des avis émis

Durant la période du 12 au 18 janvier 2007, le CERTA a émis les avis suivants :

  • CERTA-2007-AVI-026 : Multiples vulnérabilités dans VMware
  • CERTA-2007-AVI-027 : Vulnérabilité dans Cisco IOS
  • CERTA-2007-AVI-028 : Vulnérabilité dans Cisco Unified Contact Center
  • CERTA-2007-AVI-029 : Vulnérabilités dans Computer Associates BrightStor ARCserve Backup
  • CERTA-2007-AVI-030 : Vulnérabilité d'ordinateurs portables Acer
  • CERTA-2007-AVI-031 : Vulnérabilités dans HP OpenView Network Node Manager
  • CERTA-2007-AVI-032 : Multiples vulnérabilités dans les produits Oracle
  • CERTA-2007-AVI-033 : Vulnérabilité dans la machine virtuelle Java de Sun
  • CERTA-2007-AVI-034 : Vulnérabilité de Wordpress
  • CERTA-2007-AVI-035 : Vulnérabilités de Squid 26
  • CERTA-2007-AVI-036 : Vulnérabilité de HP JetDirectn
  • CERTA-2007-AVI-037 : Vulnérabilité de Xpdf et ses dérivés

Pendant la même période, l'avis suivant a été mis à jour :

  • CERTA-2007-AVI-025-001 : Multiples vulnérabilités de Xorg

    (Systèmes affectés et référence Suse.)

Gestion détaillée du document

19 janvier 2007
version initiale.


CERTA
2012-01-04

liserest gauche
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 25/05/2012