S . G . D . S . N Agence nationale de la sécurité des systèmes d'information

Paris, le 03 décembre 2010 No CERTA-2010-ACT-048

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2010-48

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-048.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-048/

1 Compromission du serveur de distribution de ProFTPD

Les développeurs de ProFTPD ont annoncé sur leur site Web (www.proftpd.org) que le serveur ftp.proftpd.org avait été compromis. Cet incident a eu pour conséquence l'ajout d'une porte dérobée dans les sources proposées au téléchargement. Les sources contenues dans le CVS n'ont pas été modifiées par les attaquants. Le service de distribution des sources vers les sites miroir (rsync.proftpd.org) est hébergé sur le même serveur, ce qui implique que tous les sites officiels proposant le logiciel ProFTPD ont été affectés.

Les sources contenant la porte dérobée ont été proposées en téléchargement du 28 novembre 2010 au 02 décembre 2010. Toute personne ayant téléchargé ces fichiers dans cet intervalle de temps est invitée à contacter le CERTA.

Le CERTA recommande, par précaution, à tous les administrateurs de serveur ProFTPD de vérifier les signatures des sources.

Documentation :

• Annonce du 1 décembre 2010 de la compromission des sources de ProFTPD sur le site officiel des développeurs :

  http://www.proftpd.org/
  

• Page des signatures MD5 et PGP des sources de ProFTPD :

  http://www.proftpd.org/md5_pgp.html
  

2 Incompatibilité passagère entre Windows 7 64 bits et l'antivirus AVG 2011

2.1 Les faits

L'éditeur donne des indications selon que l'utilisateur :

• n'a pas téléchargé la mise à jour : elle a été ôtée du serveur de mise à jour, le risque est supprimé ;
• a téléchargé, mais n'a pas encore redémarré : un correctif est disponible ;
• a téléchargé et a tenté de redémarré : l'utilisation du disque (cédérom) de secours est détaillée, sous réserve qu'il ait été créé en temps utile.

De son côté, le SANS propose une méthode assez radicale pour les utilisateurs en panne après cette mise à jour et n'ayant pas de disque de secours.

Comme tout logiciel, un antivirus peut contenir une erreur conduisant à des dysfonctionnements majeurs. L'incident permet de tirer deux recommandations :

• d'une part, il est utile de procéder à une vérification de compatibilité de toute mise à jour avec l'existant avant un déploiement général ;
• d'autre part, les systèmes de secours ou de retour à une situation antérieure fonctionnelle doivent être préparés. Il est souhaitable de s'être entraîné à les utiliser afin d'aborder plus sereinement un tel incident.

2.2 Documentation

• Communiqué de l'éditeur AVG :

  http://www.avg.com/fr-fr/actualites-articles-de-presse.ndi-394
  

• Billet du journal du SANS du 03 décembre 2010 :

  http://isc.sans.org/diary.html?stotyid=10030
  

3 Mise à jour non officielle

Le CERTA rappelle, à l'occasion d'une vulnérabilité potentielle dans le noyau Windows publiée sur un site spécialisé, l'importance de n'appliquer que des mises à jour officielles.

Sur ce site spécialisé, il est fait mention d'une vulnérabilité dans le noyau Windows qui pourrait permettre à une personne malveillante ayant un accès local au système d'élever ses privilèges ou de provoquer un déni de service.

Microsoft n'a cependant pas réagi à cette publication, tandis que des sociétés spécialisées en sécurité informatique ont publié un correctif *non officiel* pour cette vulnérabilité.

L'application de correctifs de sécurité non officiels peut être un risque majeur pour la sécurité du système d'information ou sa productivité.

En effet, au delà des effets de bords induits par l'application de ces correctifs non officiels, par exemple des tests non exhaustifs sur les différentes plateformes, il ne peut être exclu que le correctif ne corrige que partiellement la vulnérabilité ou encore qu'il apporte une nouvelle vulnérabilité.

De plus, le thème des mises à jour de sécurité pour Windows est un sujet souvent utilisé lors de l'envoi massif de courriers électroniques non sollicités pour inciter l'utilisateur à exécuter un code malveillant en pièce jointe.

Documentation

• note d'information CERTA-2001-INF-004 sur l'acquisition des correctifs :

  http://www.certa.ssi.gouv.fr/site/CERTA-2001-INF-004/
  

4 Vunérabilités dans HP WebOs

Deux chercheurs ont découvert plusieurs vulnérabilités dans Palm Pre WebOs 1.4.x.

L'une d'entre elles permet, à distance et par l'intermédiaire d'une injection de code indirecte (XSS) dans l'application des contacts, de récupérer des informations sensibles ou d'exécuter du code arbitraire à distance.

HP aurait corrigé ce problème dans la version 2.0 beta. Cependant, d'autres vulnérabilités similaires ont été reportées par les deux chercheurs.

Le CERTA rappelle qu'il est important de bien considérer les informations pouvant être contenues sur de tels appareils et de réévaluer les menaces contre le SI.

5 Sandbox du lecteur Flash dans Chrome

Le bulletin d'actualité de la semaine dernière présentait la nouvelle version d'Adobe Reader qui utilise un mécanisme de bac à sable (sandbox) dans les versions Windows. Cette semaine, c'est l'équipe de développement de Chromium qui annonce l'intégration de ce mécanisme pour le lecteur de documents Flash utilisé par Google Chrome (pour les versions Windows XP/Vista/7).

La technologie de sandbox utilisée se base sur une version modifiée de celle implémentée dans Chrome. Cette fonctionnalité sera disponible, dans un premier temps, uniquement dans les versions « développeur » de Chrome. Il est bien évidemment déconseillé d'installer ces versions sur un système en production. Internet Explorer propose un mécanisme de bac à sable similaire pour le lecteur Flash, mais uniquement avec Windows Vista/7. Cette nouvelle version de Chrome sera donc la seule à proposer le sandbox du lecteur Flash sous Windows XP.

Enfin, on notera qu'il est prévu d'étendre cette protection aux autres systèmes d'exploitation.

6 Rappel des avis émis

Dans la période du 26 novembre au 02 décembre 2010, le CERTA a émis les avis suivants :

• CERTA-2010-AVI-549-001 : Vulnérabilité dans libxml2
• CERTA-2010-AVI-567 : Vulnérabilités dans Apache Tomcat
• CERTA-2010-AVI-568 : Vulnérabilités dans WordPress
• CERTA-2010-AVI-569 : Vulnérabilité dans Kerio Control Web Filter
• CERTA-2010-AVI-570 : Vulnérabilité dans VMware ESX
• CERTA-2010-AVI-571-001 : Vulnérabilités dans Kerberos
• CERTA-2010-AVI-572 : Vulnérabilité dans phpMyAdmin
• CERTA-2010-AVI-573 : Multiples vulnérabilités dans les produits Hitachi Cosminexus

Durant la même période, les avis suivants ont été mis à jour :

• CERTA-2009-AVI-482-011 : Vulnérabilité du protocole SSL/TLS (ajout du bulletin IBM WebSphere MQ)
• CERTA-2010-AVI-266-001 : Vulnérabilité dans Samba (ajout des références aux bulletins des distributions)
• CERTA-2010-AVI-449-001 : Vulnérabilité dans bzip2 (ajout des bulletins des distibutions Debian, RedHat, Sun, Suse et Ubuntu)
• CERTA-2010-AVI-510-001 : Vulnérabilités dans Apache (ajout des bulletins de sécurité Fedora, Mandriva et Sun)
• CERTA-2010-AVI-555-001 : Vulnérabilité dans OpenSSL (ajout des références aux bulletins de sécurité FreeBSD et Debian)

Gestion détaillée du document

03 décembre 2010

version initiale.