Marianne ANSSI

CERTA

Centre d'Expertise Gouvernemental de
Réponse et de Traitement des Attaques informatiques
liseret droit
Contact

Contacter le CERTA

Contact us ( Drapeau anglais )

A propos du site

 
Recherche

Rechercher sur le site

 
Les documents du CERTA

Page d'accueil

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours

 
Les Flux RSS du CERTA

Flux RSS complet

RSS

Flux RSS des alertes

RSS

 
Informations utiles

Que faire en cas d'intrusion ?

Les mémentos du CERTA

Les systèmes obsolètes

 
CERTA-2008-ACT-025

Imprimer ce document

Version PDF

A propos du CERTA

L'ANSSI

Le CERTA

Les CERT

Le FIRST

L'EGC

Liens utiles

 
Archives du CERTA

Année 2012

Année 2011

Année 2010

Année 2009

Année 2008

Année 2007

Année 2006

Année 2005

Année 2004

Année 2003

Année 2002

Année 2001

Année 2000

 


S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

 République Française Paris, le 20 juin 2008
No CERTA-2008-ACT-025

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2008-25

Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2008-ACT-025

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2008-ACT-025.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2008-ACT-025/

1 Firefox 3.0

La nouvelle version du navigateur Firefox est sortie depuis quelques jours.

1.1 Quoi de neuf ?

Trois axes classiques d'évolution sont remarquables, l'ergonomie, les performances et la sécurité.

1.1.1 Fonctionnalité et ergonomie

Comme toute nouvelle mouture d'un logiciel, celle-ci amène son lot de nouvelles fonctionnalités qui simplifient son utilisation et améliorent le rendu graphique. Elles ne doivent cependant pas être utilisées au détriment de la sécurité. Par exemple, il y a une fonctionnalité déjà présente, très «pratique», et qu'il faut pourtant éviter d'utiliser : la sauvegarde des mots de passe.

Parmis les nouvelles fonctionnalités, on trouve :

  • la possibilité de reprendre un téléchargement interrompu ;
  • la possibilité de zoomer, plus uniquement en grossissant le texte, mais toute la page ;
  • la possibilité d'utiliser des lecteurs multimédia externes pour lire les podcast (Attention, dans ce cas les vulnérabilités des logiciels tiers sont exploitables au travers du navigateur) ;
  • la barre d'adresse «intelligente» permet de saisir une URL ou un titre de page, et elle présente toutes les pages déjà connues. (Cela nécessite que l'historique de navigation soit conservé, ce qui peut être contraire à la politique de sécurité).

1.1.2 Performances

Un des axes de développement annoncé était l'optimisation de l'utilisation de la mémoire vive et l'amélioration des performances. Mozilla annonce une vitesse d'utilisation deux fois plus rapide avec gmail par exemple. A l'usage, la différence n'est pas flagrante, le temps de réponse étant surtout conditionné par le débit de la connexion, la charge l'utilisation globale de la machine ainsi que celle du serveur.

1.1.3 Sécurité

Plusieurs fonctionnalités d'assistance à l'utilisateur pour lutter contre les fraudes en ligne et la propagation de codes malveillants ont été ajoutées. Encore une fois, il faudra vérifier que ces nouvelles possibilités n'entrainent pas de nouvelles fragilités.
  • auparavant il y avait le «cadenas» qui indiquait si un site était chiffré. Maintenant l'icône à côté de l'adresse (la favicon) change de couleur en fonction des informations disponibles sur le site, et permet d'accéder simplement, en cas de chiffrement, aux détails du certificat utilisé ;
  • la détection de site de phishing a changé de signalisation, il ne s'agit plus d'un pop-up mais d'une page complète ;
  • la même technique de black list est appliquée aux pages connues comme contenant du code malveillant ;
  • la collaboration avec les antivirus et le contrôle parental de Windows VISTA a été amélioré.

1.2 Ce qui ne change pas

Firefox est une application et doit donc être utilisé avec les précautions d'usage. A savoir :
  • ne pas déployer directement une nouvelle version sans en tester les impacts ;
  • attendre «un peu» peut permettre à la communauté d'utilisateurs de relever des problèmes potentiels ;
  • comme toute application, elle peut contenir des vulnérabilités et doit être maintenue à jour.

Une vulnérabilité aurait d'ailleurs été déjà signalée. Elle serait considérée comme critique, mais aucune information n'est pour l'instant disponible et elle affecterait aussi les versions précédentes de Firefox.

1.3 Documentation

2 Actualités Microsoft

2.1 Problèmes concernant le déploiement de mises à jour

Le 13 juin 2008, Microsoft a annoncé sur le bloc-notes du MSRC (Microsoft Security Response Center) un problème concernant le déploiement des mises à jour sorties le 10 juin 2008. Un avis de sécurité (KB954474) a également été publié. Le problème concerne l'impossibilité de déploiement de ces mises à jour sur des clients System Management Server 2003 en utilisant des serveurs System Center Configuration Manager 2007. Une mise à jour a été publiée par Microsoft le 17 juin 2008.

2.2 Mise à jour de MS08-030

Le 19 juin 2008, Microsoft a annoncé la mise à jour du correctif MS08-030. Pour rappel, ce bulletin concerne une vulnérabilité dans la mise en \oeuvre de la pile Bluetooth par Windows permettant l'exécution de code arbitraire à distance par une personne malintentionnée. Selon Microsoft, le correctif publié pour les systèmes Windows XP SP2 et Windows XP SP3 ne corrigeait pas le problème dans son intégralité. De nouvelles mises à jour ont donc été publiées. Les systèmes Windows XP en 64 bits ne sont pas concernés.

2.3 Documentation

3 Utilisation détournée des formulaires HTTP

Les formulaires sont la méthode la plus courante dont dispose un utilisateur et son navigateur pour envoyer des informations à un serveur HTTP. Or, dans la norme définissant le protocole HTTP, il n'est pas obligatoire que les données renvoyées suite à l'utilisation d'un formulaire aient pour destination le même serveur qui proposait le-dit formulaire.

Mieux encore, il n'est pas obligatoire que le serveur qui reçoit les données soit un serveur HTTP. On peut très bien les envoyer vers un port quelconque en écoute sur un serveur quelconque.

Si ces données de réponse à un formulaire sont envoyées vers un autre serveur que celui d'origine avec des réponses judicieusement construites, il est possible de réaliser sur ce serveur cible des attaques de type injection de code indirecte (cross-site scripting). Il conviendra, bien entendu, que l'attaquant maîtrise le serveur d'origine et qu'il incite un utilisateur à le visiter comme dans un cas de cross-site scripting classique.

La bonne nouvelle est que la plupart des serveurs récents ne se laissent pas abuser et demandent à ce que la réponse de formulaire soit précédée d'une requête sur la page contenant le formulaire concerné.

Cependant, dans la mesure où un port alternatif (autre que 80/tcp) peut être utilisé, il est possible avec cette méthode d'envoyer des informations vers un serveur comme un serveur SMTP ou POP qui ne fait pas ce genre de vérification. Il conviendra, là encore, pour l'attaquant de prévoir un formulaire capable de produire une réponse compréhensible par un autre serveur dans un autre protocole.

4 Sortie de la version 2.4.1 d'OpenOffice.org en français

Une vulnérabilité critique affectant les versions 2.0 à 2.4 d'OpenOffice.org a récemment été rendue publique. Cette faille a fait l'objet de l'avis CERTA-2008-AVI-300 le 10 juin 2008 et a été corrigée dans la version 2.4.1. Cependant, cette version n'a pas immédiatement été publiée dans toutes les langues, en particulier en français. C'est désormais chose faite, la version française d'OpenOffice.org 2.4.1 est disponible en téléchargement.

Documentation :

5 Wine en version 1.0

Après une quinzaine d'années de développement, Wine la célèbre réimplémentation de l'API Windows fonctionnant sous les systèmes Unix est sorti dans sa version 1.0. Cette application permet de faire fonctionner des applications à l'origine dédié au système d'exploitation de Microsoft sous un environnement Linux, BSD, Mac OS X ou Solaris pour leurs versions x86.

Cette première version stable de ce logiciel est disponible depuis le 17 juin 2008. Toutes les applications Windows ne fonctionnent pas encore parfaitement.

Le CERTA profite de cette annonce pour rappeler qu'il est important de maintenir à jour l'ensemble des applicatifs. Même si cette nouvelle version ne fait pas état de correctif de sécurité, elle corrige un certain nombre d'erreurs qui provoquaient des dysfonctionnements de l'application.

De plus, le fait de croiser différentes plates-formes permet de rendre inopérant certains codes malveillants et certaines attaques. Enfin l'hétérogénéité d'un système d'information permet, lors de l'apparition de codes malveillants particulièrement virulents ou de vulnérabilités critiques de limiter l'impact de ces derniers. Néanmoins, le CERTA tient à insister sur le fait que Wine n'est pas un émulateur (Wine Is Not an Emulator) ni une machine virtuelle, mais un réimplémentation de l'API Win32. Par conséquent, les appels systèmes sont bel et bien transmis au système lors de l'exécution d'un code.


6 Rappel des avis émis

Dans la période du 13 au 19 juin 2008, le CERTA a émis les avis suivants :

  • CERTA-2008-AVI-311 : Vulnérabilités dans TYPO3
  • CERTA-2008-AVI-312 : Vulnérabilité dans les produits Citect
  • CERTA-2008-AVI-313 : Vulnérabilité dans les produits Xerox Copier/Printer
  • CERTA-2008-AVI-314 : Multiples vulnérabilités dans FreeType
  • CERTA-2008-AVI-315 : Vulnérabilité dans Sun StarOffice et StarSuite
  • CERTA-2008-AVI-316 : Vulnérabilité dans Sun Solaris
  • CERTA-2008-AVI-317 : Multiples vulnérabilités dans XOrg
  • CERTA-2008-AVI-318 : Vulnérabilité du noyau Sun Solaris
  • CERTA-2008-AVI-319 : Vulnérabilité de Xerox Work Centre web server
  • CERTA-2008-AVI-320 : Vulnérabilités dans le navigateur Opera
  • CERTA-2008-AVI-321 : Vulnérabilité de Xerox Work Centre web services
  • CERTA-2008-AVI-322 : Vulnérabilité dans rdesktop
  • CERTA-2008-AVI-323 : Vulnérabilités dans Horde
  • CERTA-2008-AVI-324 : Vulnérabilité dans Sun Solaris
  • CERTA-2008-AVI-325 : Vulnérabilité dans CA ARCserve Backup

Gestion détaillée du document

20 juin 2008
version initiale.


CERTA
2012-01-04

liserest gauche
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 25/05/2012