S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 16 juillet 2010 No CERTA-2010-ACT-028

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2010-28

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-028.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-028/

1 Vulnérabilité non corrigée en cours d'exploitation

Le CERTA a eu connaissance d'une vulnérabilité liée à la gestion des fichiers de raccourcis (.lnk) sous Microsoft Windows. À la date du présent document, cette vulnérabilité n'est pas encore corrigée et fait l'objet d'une exploitation sur l'Internet. Le CERTA a donc publié l'alerte CERTA-2010-ALE-009 décrivant le problème et les détails sur le code exploitant la faille ainsi que les moyens de le détecter.

Il conviendra de surveiller activement cette publication qui sera, sans doute, amenée à être modifiée en fonction des nouveaux éléments que le CERTA pourra obtenir.

Documentation

• Alerte CERTA-2010-ALE-009 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2010-ALE-009/
  

2 Logiciels obsolètes

Cette semaine le CERTA a mis à jour la note d'information CERTA-2005-INF-003 sur les logiciels tombés en obsolescence. Parmi les nouveautés apparues dans cette note, on trouve en particulier la fin du support pour Microsoft Windows 2000 et Microsoft Windows XP Service Pack 2. Ces versions ne feront donc plus l'objet de correctifs de sécurité. Il est donc indispensable, si ce n'ést déjà fait, de passer à des versions de Windows encore maintenues.

Documentation

• Note d'information CERTA-2005-INF-003 :

  http://www.certa.ssi.gouv.fr/site/CERTA-2005-INF-003/
  

3 Attaques contre les sites utilisant GuppY

Depuis quelques jours, un attaquant vise tout particulièrement les sites fonctionnant avec GuppY et non mis à jour pour réaliser des défigurations. Il exploite plusieurs vulnérabilités différentes, notamment une concernant le module galerie. Le but de ces attaques semble être la simple modification de pages Web, ceci affectant la page d'accueil dans certains cas constatés. L'attaquant est également susceptible de déposer des portes dérobées.

Le CERTA recommande donc aux administrateurs et webmestres de veiller à ce que leur gestionnaire de contenu soit bien à jour. Pour mémoire, la dernière version de GuppY proposée en téléchargement (http://www.freeguppy.org) est la version 4.6.13a. Quant à la gestion du module optionnel galerie, il est important de suivre les recommandations de sécurité de l'auteur, à savoir verrouiller l'accès au répertoire :

site_guppy/galerie/_admin.

4 Une extension malveillante sur addons.mozilla.org

Cette semaine Mozilla a publié un avis de sécurité à propos d'une extension malveillante qui interceptait les identifiants utilisés en ligne. L'extension en question, « Mozilla Sniffer » (nom ironique), a été retirée du site le 12 juillet 2010 et ajoutée à la liste des applications bloquées, ce qui fait apparaître un message d'alerte aux utilisateurs, les encourageant à la désinstaller. L'application a déjà été téléchargée près de 2000 fois depuis sa mise en ligne le 6 juin 2010, et cela alors qu'elle était marquée comme «en cours de développement». Elle n'était pas directement visible sur le site addons.mozilla.org. Ce statut particulier signifie que l'application, bien que soumise à des antivirus, n'a pas encore été humainement validée et présente donc un niveau de sécurité limité.

Les extensions sont des logiciels à part entière pour lesquels il n'est pas évident de suivre les cycles de développement, ni même d'en connaître l'origine. Le CERTA recommande donc la plus grande prudence lors de leur installation et a fortiori de ne pas installer d'applications non validées, surtout si elles sont recommandées par un tiers qui n'est pas de confiance.

Documentation

• Bloc notes des annonces de sécurité Mozilla concernant les extensions :

  http://blog.mozilla.com/addons/2010/07/13/add-on-security-announcement/
  

5 Rappel des avis émis

Dans la période du 09 au 15 juillet 2010, le CERTA a émis les avis suivants :

• CERTA-2010-AVI-306 : Multiples vulnérabilités dans VMware Studio
• CERTA-2010-AVI-307 : Vulnérabilité dans mono
• CERTA-2010-AVI-308 : Vulnérabilité dans FreeBSD
• CERTA-2010-AVI-309 : Vulnérabilités dans GNU gv
• CERTA-2010-AVI-310 : Vulnérabilité dans le Centre d'aide et de support Windows
• CERTA-2010-AVI-311 : Vulnérabilité du pilote d'affichage canonique dans Microsoft Windows
• CERTA-2010-AVI-312 : Vulnérabilités dans Microsoft Office Access
• CERTA-2010-AVI-313 : Vulnérabilité de Microsoft Office Outlook
• CERTA-2010-AVI-314 : Multiples vulnérabilités dans les produits Oracle

Durant la même période, les avis suivants ont été mis à jour :

• CERTA-2010-AVI-023-002 : Multiples vulnérabilités dans Realplayer et Helix Player (ajout de la référence au bulletin de sécurité Sun Solaris)
• CERTA-2010-AVI-214-002 : Multiples vulnérabilités dans PostgreSQL (ajout des bulletins de sécurité Sun Solaris)
• CERTA-2010-AVI-291-002 : Multiples vulnérabilités dans libpng (ajout de la référence au bulletin de sécurité RedHat ;)

• CERTA-2010-AVI-219-002 : Vulnérabilité dans MIT Kerberos (ajout des bulletins de sécurité Fedora, HP, Mandriva, RedHat, Suse et Ubuntu)
• CERTA-2010-AVI-262-001 : Vulnérabilités dans LibTIFF (ajout d'autres vulnérabilités et des références CVE correspondantes)
• CERTA-2010-AVI-278-001 : Vulnérabilités dans Moodle (ajout des références CVE)
• CERTA-2010-AVI-281-001 : Vulnérabilités dans LibTIFF (précision sur une seconde vulnérabilité)
• CERTA-2010-AVI-291-001 : Multiples vulnérabilités dans libpng (ajout d'une référence CVE)
• CERTA-2010-AVI-292-001 : Vulnérabilités dans Cisco ASA (ajout de vulnérabilités et de 14 références CVE)

Gestion détaillée du document

16 juillet 2010

version initiale.