CERTA
|
CERTA Centre d'Expertise Gouvernemental de |
 |
|
Affaire suivie par : CERTA Objet : Bulletin d'actualité
2011-34
Gestion du document
Une gestion de version détaillée se trouve à la fin de ce document. Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante : http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-034.pdf Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante : http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-034/ 1 Incidents de la semaineCette semaine, le CERTA a traité un incident concernant la compromission d'un poste de travail. L'analyse du disque dur a permis de montrer que l'infection du poste a eu lieu suite à la visite d'un site Internet compromis. Ce dernier redirigeait les visiteurs en fonction du User-Agent et du referrer, et ce lors de la première visite uniquement. La redirection n'affectait que les internautes utilisant Microsoft Windows et ayant suivi un lien depuis un moteur de recherche. Le téléchargement d'un code malveillant leur était alors proposé. Ce code malveillant était nommé en fonction de la recherche effectuée, pour inciter l'utilisateur à ouvrir le fichier. Par exemple, une recherche de la chaîne « toto » aurait donné un fichier nommé « toto.com ». On peut facilement imaginer d'autres cas, plus dangereux, où l'utilisateur ne doit pas ouvrir un fichier mais est redirigé vers un site exploitant une vulnérabilité. Cet incident montre une nouvelle fois qu'on ne peut se fier aux sites que l'on visite, même connus, puisque ceux-ci peuvent être compromis. Recommandations :Il n'est pas aisé de se prémunir des incidents de ce type. Néanmoins, l'un des mécanismes de l'attaque reposant sur l'analyse du referrer, il est possible d'éviter la redirection vers le site malveillant soit :
2 Déni de service dans ApacheDes scripts, librement disponibles sur l'Internet depuis
cette semaine, permettent de provoquer un déni de
service distant sur Apache (versions 1.3.x et 2.x) en
utilisant une vulnérabilité de type
épuisement de mémoire. Pour ce faire, ces scripts envoient des requêtes HTTP de type HEAD spécialement conçues
employant notamment l'entête HTTP Range et
attendant un retour compressé au format gzip. Ce champ permet de demander une partie
(intervalle) de la réponse. Son utilité
principale est de permettre le téléchargement
partiel de fichiers volumineux. Afin de provoquer un
déni de service, les scripts vont demander un nombre
élevé d'intervalles se chevauchant à
l'aide du champ Range.
L'utilisation d'un nombre élevé d'intervalles va
entraîner l'épuisement de la mémoire. L'équipe Apache a réagi à
cette menace en proposant un certain nombre de contre-mesures.
Elle propose notamment d'utiliser mod_headers pour supprimer le champ Range des requêtes entrantes
à l'aide de la directive suivante : RequestHeader unset Range. D'autres
contre-mesures sont proposées sur la liste de diffusion
apache-httpd-dev. Il est
également envisageable de contrôler la
présence du champ Range
à l'aide d'un proxy inverse ou d'un firewall
applicatif. L'équipe Apache prévoit de sortir rapidement un correctif pour cette vulnérabilité. Il faut noter que la version 1.3 de Apache ne sera pas corrigée car elle n'est plus maintenue. Le CERTA recommande la mise en place rapide du correctif lorsqu'il sera disponible. Documentation
3 Mise à jour 5.3.8 de PHPCette semaine, le CERTA a publié un avis concernant une mise à jour de sécurité de PHP (avis CERTA-2011-AVI-461). Cette version, 5.3.7, corrige plusieurs vulnérabilités mais apporte également deux régressions :
Une nouvelle version, 5.3.8, a donc été publiée afin de supprimer ces régressions. Le CERTA recommande d'effectuer la mise à jour de PHP vers la version 5.3.8. Il est à noter également que la branche 5.2 de PHP n'est plus maintenue. Documentation
|
|
||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||||||
)
