Marianne ANSSI

CERTA

Centre d'Expertise Gouvernemental de
Réponse et de Traitement des Attaques informatiques
liseret droit
Contact

Contacter le CERTA

A propos du site

 
Recherche

Rechercher sur le site

 
Les documents du CERTA

Page d'accueil

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours

 
Les Flux RSS du CERTA

Flux RSS complet

RSS

Flux RSS des alertes

RSS

 
Informations utiles

Que faire en cas d'intrusion ?

Les mémentos du CERTA

Les systèmes obsolètes

 
CERTA-2009-ACT-048

Imprimer ce document

Version PDF

A propos du CERTA

L'ANSSI

Le CERTA

Les CERTs

Le FIRST

L'EGC

Liens utiles

 
Archives du CERTA

Année 2010

Année 2009

Année 2008

Année 2007

Année 2006

Année 2005

Année 2004

Année 2003

Année 2002

Année 2001

Année 2000

 


S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

Le directeur		 République Française Paris, le 27 novembre 2009
No CERTA-2009-ACT-048

Affaire suivie par :

CERTA

N O T E

Objet : Bulletin d'actualité 2009-48

Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-048

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-048.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-048/

1 Vulnérabilité non corrigée dans Microsoft Internet Explorer

Cette semaine le CERTA a publiée une nouvelle alerte concernant une vulnérabilité non corrigée dans le navigateur de Microsoft. Cette faille n'est exploitable que pour les versions 6 et 7 d'Internet Explorer par l'intermédiaire d'un objet CSS (Cascading Style Sheets). Du code permettant de profiter de cette vulnérabilité est déjà disponible sur l'Internet.

Dans l'attente d'un correctif de l'éditeur, le CERTA recommande les mesures suivantes :

  • utiliser un navigateur alternatif ou la version 8 d'Internet Explorer ;
  • désactiver par défaut l'exécution du JavaScript et de ne l'activer qu'au cas par cas sur des sites de confiance ;
  • activer le mode protégé et le DEP (Data Execution Prevention) pour Internet Explorer 7 sur Windows Vista afin de limiter l'impact de la vulnérabilité ;
  • utiliser un compte utilisateur aux droits limités pour naviguer sur l'Internet ;
  • lire les messages électroniques au format texte afin d'éviter toute interprétation d'un courriel HTML malveillant.

Documentation

2 Incident de la semaine

Rappel sur la navigation et le téléchargement

Cette semaine, les constatations faites suite à l'analyse de journaux sont l'occasion pour le CERTA de revenir sur un point important et à l'origine de trop nombreuses compromissions. En effet, cette analyse a mis en avant le comportement imprudent d'utilisateurs qui téléchargeaient des programmes sur des sites peu connus, peu maintenus et certainement pas de confiance. Le CERTA rappelle quelques bonnes pratiques :
  • limiter l'installation aux seules applications nécessaires ;
  • de les télécharger depuis les sites des éditeurs quand cela est possible, sinon d'utiliser un site connu et fréquenté (en cas de problème avec un fichier il y aura plus de chance qu'il soit rapidement signalé) ;
  • de vérifier les hash après téléchargement lorsque celui-ci est disponible ;
  • de maintenir à jour chaque application téléchargée.

Bien sûr, tout cela doit être fait dans le strict respect de la PSSI de l'organisme.

3 Les risques liés à l'usage des extensions d'applications

Le navigateur Internet, comme par exemple Firefox de Mozilla, propose aux utilisateurs de rechercher et d'installer aisément des modules permettant d'étendre les fonctionnalités de leurs applications.

Les développeurs de ces extensions peuvent ne pas être sensibilisés à une programmation sécurisée, et dans ce cas, un module vulnérable peut servir de levier afin de compromettre le système.

L'installation de ces modules d'extensions augmente la surface d'attaque pour un utilisateur malveillant. De plus, les extensions doivent pouvoir fonctionner et donc être installée sur le navigateur Internet Firefox quel que soit le système sous-jacent. Par conséquent, il ne peut être exclue qu'une vulnérabilité présente dans un module d'extension puisse affecter des systèmes fonctionnant sous différents systèmes d'exploitation.

Il existe de nombreuses autres applications utilisant des modules d'extension et deviennent donc également sujet aux risques liés à leur utilisation.

C'est pourquoi, le CERTA recommande de limiter l'installation et l'utilisation des ces modules au strict nécessaire, dans le cas contraire, il est plus que recommandé que le module devant être installé soit impérativement signé par l'éditeur dans la mesure du possible. La politique de sécurité des systèmes d'information doit également prendre en compte l'usage de ces extensions et prévoir une procédure de mise à jour.

4 Sortie de FreeBSD 8.0 le 26 novembre 2009

Cette semaine est marquée par la sortie de la dernière mouture de FreeBSD.

Les principales nouveautés de cette version sont :

  • ajout de fonctionnalités pour les réseaux sans-fil 802.11 (Wi-Fi) : les VAP (Virtual Access Point) qui permettent d'héberger plusieurs réseaux sans-fil sur le même point d'accès, le support des réseaux mesh, et les extensions TDMA ;
  • optimisations de la pile réseau pour les architectures multiprocesseurs, afin d'améliorer la montée en charge ;
  • support pour la virtualisation : création de jail embarqué, support de VirtualBox (hôte et invité), exécution comme invité Xen 32-bit DomU ;
  • support du chiffrement GSSAPI pour NFS
  • ZFS n'est plus en version beta ;
  • support du démarrage sur les disques GPT ;
  • et de nombreuses autres nouveautés ...

Le CERTA recommande aux utilisateurs de ce système d'exploitation de s'assurer de la maintenance de leurs versions installées et de migrer vers la dernière version si elle n'est plus suivie.

Cette dernière version est disponible en téléchargement à l'adresse suivante : http://www.freebsd.org/where.html.


5 Rappel des avis émis

Dans la période du 20 au 26 novembre 2009, le CERTA a émis les avis suivants :

  • CERTA-2009-AVI-507 : Vulnérabilité dans HP Color LaserJet
  • CERTA-2009-AVI-508 : Multiples vulnérabilités dans GIMP
  • CERTA-2009-AVI-509 : Vulnérabilités dans Opera
  • CERTA-2009-AVI-511 : Vulnérabilité dans Dovecot
  • CERTA-2009-AVI-512 : Vulnérabilités de Kolab
  • CERTA-2009-AVI-513 : Multiples vulnérabilités dans les produits VMware
  • CERTA-2009-AVI-514 : Vulnérabilité dans Symantec Altiris
  • CERTA-2009-AVI-516 : Multiples vulnérabilités dans les produits Adobe
  • CERTA-2009-AVI-517 : Vulnérabilités dans la bibliothèque libvorbis
  • CERTA-2009-AVI-518 : Vulnérabilité dans la bibliothèque libtool
  • CERTA-2009-AVI-519 : Multiples vulnérabilités dans Cacti

Pendant la même période, les avis suivants ont été mis à jour :

  • CERTA-2009-AVI-510-001 : Multiples vulnérabilités dans PHP (ajout des références CVE et des bulletins de sécurité Debian et SuSE)
  • CERTA-2009-AVI-515-001 : Vulnérabilité dans BIND avec DNSSEC (ajout du bulletin de sécurité Sun)

Gestion détaillée du document

27 novembre 2009
version initiale.


CERTA
2010-01-20

liserest gauche
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 01/09/2010