S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 10 novembre 2011
No CERTA-2011-ACT-046 |
Affaire suivie par :
CERTA
Objet : Bulletin d'actualité
2011-46
Le bulletin d'actualité est disponible dans son
intégralité et au format PDF à l'adresse
suivante :
http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-046.pdf
Un extrait du bulletin, ne reprenant que les articles de la
semaine, se trouve en HTML à l'adresse
suivante :
http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-046/
Dans le bulletin d'actualité 2011-45, nous avons
brièvement présenté les
vulnérabilités de type injection SQL, ainsi que
des méthodes pour déterminer si un serveur web a
été la cible d'attaque de ce type. Nous allons
maintenant nous intéresser à des techniques
à déployer en amont, lors du développement
de l'application web, pour éviter d'être
vulnérable à ce type d'attaque :
- se connecter à la base de données avec un
compte aux privilèges limités ;
- vérifier que les données entrées par
un utilisateur sont du type et du format attendu (longueur,
intervale de valeur). Par exemple, en PHP une fonction
is_numeric() pour vérifier qu'une variable
est bien de type numérique ;
- utiliser des fonctions spécifiques à une
base de données pour
« échapper » les
caractères spéciaux dans une chaîne de
caractère. Par exemple, nous trouvons en PHP
mysql_real_escape_string ou
sqlite_escape_string(). Lorsque les
mécanismes d'échappement de caractères
propres à une base de données ne sont pas
disponibles, il est toujours possible d'utiliser
addslash() ou str_replace() ;
- utiliser des requêtes préparées
(prepared statement). Cela
consiste à créer un modèle de
requête, en laissant des paramètres qui seront
complétés ultérieurement. Une fois le
modèle créé, il est possible de
l'appeler en lui passant des arguments permettant de
compléter la requête avant de l'exécuter.
Un des avantages du point de vue de la sécurité
réside dans le fait que les valeurs des
paramètres sont automatiquement
échappées si nécessaire.
Il est également possible de se protéger en
mettant en place un Web Application
Firewall (WAF) chargé d'inspecter les
requêtes HTTP avant que le serveur web ne les traite,
c'est le principe de la défense en profondeur. Cependant
il est conseillé d'appliquer des bonnes pratiques de
programmation et ne pas se reposer uniquement sur les
fonctionnalités de filtrage d'un WAF.
De plus, le CERTA recommande une inspection
régulière des journaux afin de détecter
toute anomalie.
2 Rappel des avis émis
Dans la période du 11 au 17 novembre 2011, le CERTA a
émis les publications suivantes :
- CERTA-2011-AVI-627 : Vulnérabilité dans
DB2 Query Monitor Tool
- CERTA-2011-AVI-628 : Multiples
vulnérabilités dans l'hyperviseur Xen
- CERTA-2011-AVI-629 : Vulnérabilités dans
Novell ZENworks
- CERTA-2011-AVI-630 : Multiples
vulnérabilités dans Adobe Flash Player
- CERTA-2011-AVI-631 : Vulnérabilités dans HP
Network Node Manager i
- CERTA-2011-AVI-632 : Vulnérabilité dans
GnuTLS
- CERTA-2011-AVI-633 : Vulnérabilité dans
Juniper
- CERTA-2011-AVI-634 : Vulnérabilités dans
Apple iOS
- CERTA-2011-AVI-636 : Vulnérabilité dans HP
StorageWorks P4000 Virtual SAN Appliance
- CERTA-2011-AVI-637 : Vulnérabilité dans les
produits Apple Time Capsule et
AirPort Base Station
- CERTA-2011-AVI-638 : Vulnérabilités dans
des produits Cisco TelePresence et Tandberg
- CERTA-2011-AVI-639 : Vulnérabilités dans HP
OpenVMS
- CERTA-2011-AVI-640 : Vulnérabilités dans
Joomla!
- CERTA-2011-AVI-641 : HP Directories Support for ProLiant
Management Processors
- CERTA-2011-AVI-642 : Vulnérabilités dans
Google Chrome
- CERTA-2011-AVI-643 : Vulnérabilité dans
phpMyAdmin
- CERTA-2011-AVI-644 : Vulnérabilité dans
AIX
- CERTA-2011-AVI-645 : Vulnérabilité dans ISC
BIND
Durant la même période, les publications
suivantes ont été mises à jour :
- CERTA-2011-AVI-635-001 : Vulnérabilité dans
ProFTPd (ajout de la référence CVE et du
bulletin de sécurité Debian)
- 18 novembre 2011
- version initiale.
CERTA
2012-01-04
|
)
