S . G . D . S . N Agence nationale de la sécurité des systèmes d'information Le directeur

Paris, le 25 septembre 2009 No CERTA-2009-ACT-039

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2009-39

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-039.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-039/

1 Négligences entrainant la divulgation de données sensibles sur l'Internet

1.1 Les faits

Cette semaine, le CERTA a traité un incident particulièrement intéressant comme cas d'école. Plusieurs personnes ont reçu un message électronique de la part de prétendus « pirates bienveillants ». Celui-ci était composé d'un avertissement et contenait en clair le nom, le prénom et l'adresse postale du destinataire, ainsi qu'un mot de passe. Après vérification, ce mot de passe était bien valide.

Après analyses et recherches du CERTA, il est apparu que ces données avaient été récupérées par le biais d'une sauvegarde de base de données d'un site de e-commerce. Ces sauvegardes avaient été indexées par les moteurs de recherche (en particulier Google) et étaient ainsi disponible à tous, en clair, sur l'Internet. Les personnes touchées avaient pour certaines utilisé leur adresse professionnelle comme adresse de contact client, ainsi que le même mot de passe que celui utilisé pour des applications en interne.

1.2 Enseignements : les négligences

La première négligence revient à l'administrateur de ces sites de e-commerce. En effet, même si sa volonté d'effectuer des sauvegardes est louable, les informations sensibles de ce type auraient dû être confinées dans un espace privé. De plus, les mots de passe n'auraient jamais dû être accessibles en clair. Il y a pour cela plusieurs moyens, à commencer par le stockage d'un condensat du mot de passe, et une comparaison systématique de condensat à condensat. Cette pratique est d'ailleurs implémentée dans les gestionnaires de bases de données classiques.

Les clients, victimes de cette négligence, ne sont pas exempts de tout reproche. En premier lieu, les adresses professionnelles sont censées être, par définition, réservées à un usage professionnel. Encore faut-il que cette assertion soit inscrite dans la politique de sécurité de l'entité, et que cette politique soit appliquée.

Par contre, le fait de changer régulièrement de mot de passe et d'utiliser des mots de passe différents suivant les usages relève des bonnes pratiques que chacun se devrait d'appliquer.

2 Vulnérabilité du noyau Linux exploitée

Cette semaine, le CERTA a été alerté par un de ses homologues que la vulnérabilité de type pointeur NULL présente dans certains noyaux Linux (jusqu'au 2.6.30.4) était exploitée sur l'Internet. Cette vulnérabilité est détaillée dans l'avis CERTA-2009-AVI-337.

Elle permet à un individu malintentionné d'élever ses privilèges, après avoir obtenu un accès distant à la machine. Un scénario assez classique consiste à ce que l'attaquant compromette d'abord un compte non-privilégié par le biais d'une attaque par dictionnaire sur un serveur ssh par exemple, puis utilise cette faille pour obtenir les droits d'administration (root).

Or, il semblerait que cette vulnérabilité soit suffisamment fiable pour être utilisée à cette fin. Elle n'est pas sans rappeler la vulnérabilité affectant l'appel système ptrace il y a quelques années. Elle n'affecte pas un pilote spécifique, mais une fonction de base du noyau. De plus, les vulnérabilités de type pointeur NULL peuvent, sous certaines conditions, être exploitées malgré la présence de SELinux.

Cette faille a été corrigée par plusieurs éditeurs et dans les dernières versions du noyau. Dans la mesure où cette vulnérabilité est exploitée, il conviendra de bien vérifier l'application des correctifs associés.

3 Multiples mises à jour des produits Cisco

Cette semaine, pas moins de onze mises à jour ont été publiées par Cisco. Ces mises à jour concernent Cisco IOS (neuf vulnérabilités) et Cisco Unified Communication Manager (deux vulnérabilités). La plupart des vulnérabilités corrigées peuvent être exploitées afin de réaliser un déni de service à distance sur les équipements Cisco.

Documentation

• Avis du CERTA numéros CERTA-2009-AVI-402 et CERTA-2009-AVI-403 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2009-AVI-402/
  

  http://www.certa.ssi.gouv.fr/site/CERTA-2009-AVI-403/
  

• Récapitulatif des mises à jour Cisco :

  http://www.cisco.com/en/US/products/products_security_advisories_listing.html
  

• Bloc-notes de sécurité Cisco :

  http://blogs.cisco.com/security
  

4 Rappel des avis émis

Dans la période du 18 au 25 septembre 2009, le CERTA a émis les avis suivants :

• CERTA-2009-AVI-388 : Multiples vulnérabilités dans Wireshark
• CERTA-2009-AVI-389 : Multiples vulnérabilités dans VMware
• CERTA-2009-AVI-390 : Multiples vulnérabilités dans IBM Websphere MQ
• CERTA-2009-AVI-391 : Multiples vulnérabilités dans Bugzilla
• CERTA-2009-AVI-392 : Vulnérabilité de OpenSSL sous Debian
• CERTA-2009-AVI-393 : Multiples vulnérabilités dans Drupal
• CERTA-2009-AVI-394 : Multiples vulnérabilités dans Wireshark
• CERTA-2009-AVI-395 : Multiples vulnérabilités dans PHP
• CERTA-2009-AVI-396 : Vulnérabilité dans Symantec Altiris
• CERTA-2009-AVI-397 : Vulnérabilité dans VLC media player
• CERTA-2009-AVI-398 : Multiples vulnérabilités dans IBM WebSphere
• CERTA-2009-AVI-399 : Multiples vulnérabilités de StarOffice et StarSuite
• CERTA-2009-AVI-400 : Vulnérabilités de Firewall Builder
• CERTA-2009-AVI-401 : Mutiples vulnérabilités du navigateur Google Chrome
• CERTA-2009-AVI-402 : Multiples vulnérabilités dans Cisco IOS
• CERTA-2009-AVI-403 : Multiples vulnérabilités de Cisco Unified Communication Manager

Gestion détaillée du document

25 septembre 2009

version initiale.