S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

Paris, le 18 juin 2010
N^o CERTA-2010-ACT-024

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2010-24

Conditions d'utilisation de ce document :	http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document :	http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-024

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-024.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-024/

1 Retour sur la vulnérabilité de type Slowloris et `Apache`

Le projet Apache propose plusieurs solutions pour rendre inefficaces les attaques par saturation de type Slowloris:

Une première solution est basée sur l'utilisation du module mod_qos et est détaillée dans l'article :
```
http://www.howtoforge.com/how-to-defend-slowloris-ddos-with-mod_qos-apache2-on-debian-lenny
```
. Elle consiste en la mise en place de règles de qualité de service (qos) afin de gérer finement les ressources allouées par le serveur ;
une seconde solution consiste à utiliser un module spécifiquement conçu pour cet usage : mod_antiloris (http://modules.apache.org/search.php?id=1783). Ce module a d'ailleurs été intégré en standard dans Apache depuis la version 2.2.15 sous le nom officiel mod_reqtimeout (http://httpd.apache.org/docs/2.2/mod/mod_reqtimeout).

La première solution a l'avantage d'utiliser un module à vocation plus généraliste et compatible avec la branche 1.x d'Apache. Il sera donc envisageable de l'utiliser dans d'autres contextes que la simple contre-mesure à une attaque Slowloris.

La seconde sera plus spécifique et sensiblement plus efficace mais nécessitera des tests préalables et, sans doute, une migration vers une version du serveur Apache plus récente non-livrée avec le système d'exploitation courant.

Ce sujet est d'autant plus d'actualité car cette semaine, un chercheur en sécurité a soulevé un problème avec le serveur lighttpd qui, selon ses tests, serait vulnérable à une attaque de type Slowloris alors que, de prime-abord, ce serveur avait été identifié comme non-affecté par le problème. Pour plus de détails sur ce type d'attaque, vous pouvez consulter le bulletin d'actualité CERTA-2010-ACT-025 (http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-025.html) et son article intitulé : « Serveur Web et capacité de délivrer un service ».

2 ANSSI et challenge SSTIC

Pour la huitième édition du Symposium sur la Sécurité des Technologies de l'Information et des Communications (SSTIC) , l'ANSSI a cette année proposé un défi technique basé sur la plateforme pour téléphone mobile Android. Le défi ainsi que les solutions sont accessibles à l'adresse suivante : http://communaute.sstic.org/ChallengeSSTIC2010.

Ce défi a été l'occasion pour l'ANSSI d'émuler la sphère SSI française et internationale et de mettre également un coup de projecteur sur sa campagne de recrutement.

Le CERTA invite ses lecteurs à consulter les termes du défi et les solutions afin de mieux appréhender l'univers de la téléphonie mobile et les moyens d'analyse d'une copie de mémoire physique proposés par les participants.

Documentation

Les offres d'emploi de l'ANSSI :
```
http://www.ssi.gouv.fr/emploi/
```

3 Cheval de Troie dans UnrealIRCd

Le 12 juin 2010, les développeurs d'UnrealIRCd, un très populaire serveur IRC, ont publié un bulletin de sécurité pour signaler une compromission des sources mises à disposition en téléchargement. Seules les sources de la version 3.2.8.1 ont été modifiées pour y insérer une porte dérobée. Cette modification a eu lieu le 10 novembre 2009.

Les éléments suivants ne sont donc pas affectés par ce problème :

les binaires officiels précompilés pour Windows ;
l'arborescence de développement CVS ;
les versions 3.2.8 et antérieures.

Si l'archive Unreal3.2.8.1.tar.gz a été téléchargée avant le 10 novembre 2009, celle-ci ne devrait pas comporter la porte dérobée. Il est toutefois recommandé de vérifier la signature MD5 de l'archive (se référer au bulletin de sécurité de l'éditeur).

La version 3.2.8.1 d'UnrealIRDCd a été publiée pour corriger une vulnérabilité critique pouvant mener à une exécution de code arbitraire à distance (CVE-2009-4893). Cette faille affecte les versions 3.2beta11 à 3.2.8.

Il est donc recommandé aux administrateurs de serveurs UnrealIRCd de :

s'assurer que le serveur est bien à jour en version 3.2.8.1 ;
de vérifier les signatures MD5 précisées dans les bulletins de sécurité des développeurs ;
de contacter le CERTA en cas de présence de la porte dérobée sur le serveur.

Documentation :

Bulletin de sécurité UnrealIRCd du 12 juin 2010 :

http://www.unrealircd.com/txt/unrealsecadvisory.20100612.txt

Bulletin de sécurité UnrealIRCd du 13 avril 2009 :

http://www.unrealircd.com/txt/unrealsecadvisory.20090413.txt

Référence CVE-2009-4893 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-4893

Référence CVE-2010-2075 :

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-2075

4 Mise à jour Mac OS X 10.6.4 et Adobe Flash Player

Cette semaine Apple a sorti une mise à jour de sécurité (10.6.4) pour Mac OS X.

Cette mise à jour inclut la version 10.0.45.2 de Flash Player qui est obsolète et vulnérable, notamment à la vulnérabilité détaillée dans l'alerte CERTA-2010-ALE-007.

Le CERTA recommande donc de mettre à jour Flash Player avec la dernière version 10.1.53.64 disponible sur le site d'Adobe.

Documentation

Bulletin de sécurité Apple du 15 juin 2010 :
```
http://support.apple.com/kb/HT4188
```

Avis de sécurité Adobe du 15 juin 2010 :

http://blogs.adobe.com/psirt/2010/06/apple_security_update_2010-004.html

Alerte du CERTA du 05 juin 2010, CERTA-2010-ALE-007 :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ALE-007/index.html

5 Rappel des avis émis

Dans la période du 11 au 17 juin 2010, le CERTA a émis les avis suivants :

CERTA-2010-AVI-258 : Vulnérabilité dans Sophos Anti-Virus
CERTA-2010-AVI-259 : Multiples vulnérabilités dans Google Chrome
CERTA-2010-AVI-260 : Vulnérabilités dans Wireshark
CERTA-2010-AVI-261 : Multiples vulnérabilités dans Adobe Flash Player
CERTA-2010-AVI-262 : Vulnérabilités dans LibTIFF
CERTA-2010-AVI-263 : Vulnérabilité dans des produits Juniper
CERTA-2010-AVI-264 : Vulnérabilité dans Apache
CERTA-2010-AVI-265 : Multiples vulnérabilités dans Apple Mac OS X
CERTA-2010-AVI-266 : Vulnérabilité dans Samba
CERTA-2010-AVI-267 : Vulnérabilité dans ISC DHCP
CERTA-2010-AVI-268 : Multiples vulnérabilités dans HP SSL pour OpenVMS
CERTA-2010-AVI-269 : Vulnérabilités dans AIX
CERTA-2010-AVI-270 : Multiples vulnérabilités dans Apple iTunes
CERTA-2010-AVI-271 : Vulnérabilité dans Symantec AppStream et Workspace Streaming

Durant la même période, les avis suivants ont été mis à jour :

CERTA-2010-AVI-200-001 : Vulnérabilité dans Wireshark (ajout de la référence CVE)
CERTA-2010-AVI-259-001 : Multiples vulnérabilités dans Google Chrome (ajout des références CVE)
CERTA-2010-AVI-260-001 : Vulnérabilités dans Wireshark (ajout des références CVE)
CERTA-2010-AVI-263-002 : Vulnérabilité dans des produits Juniper (ajout des références CVE)

Gestion détaillée du document

18 juin 2010: version initiale.

CERTA
2012-01-04