S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 18 février 2011
N° CERTA-2011-ACT-007
Affaire suivie par: CERT-FR
le 18 février 2011

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2011-07

Gestion du document

Référence CERTA-2011-ACT-007
Titre Bulletin d’actualité 2011-07
Date de la première version 18 février 2011
Date de la dernière version 18 février 2011
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Problématique de filtrage

Une entité souhaite souvent que son site Web soit le plus populaire possible. Pourtant, certains types de connexions peuvent ne pas être souhaitables, en particulier lorsque les utilisateurs ne se connectent pas de leur plein gré, mais que le contenu est inclus de manière illégitime dans d’autres sites. Par exemple, des sites de filoutage ou des sites diffamatoires peuvent inclure le contenu d’un site officiel, afin, dans le premier cas, de rendre l’attaque moins identifiable par l’utilisateur visé et dans le second cas, d’associer le site officiel à un contenu ou un nom de domaine qui n’est pas souhaité et qui peut porter préjudice.

Le contenu du site officiel peut être inclus de manières variées dans des sites illégitimes. En langage HTML, différentes balises peuvent être utilisées pour réaliser une inclusion de contenu : DIV, IFRAME ou FRAME. La suite de l’article indique comment s’en prémunir. Toutefois, la seconde parade proposée ne fonctionnera pas pour traiter les redirections (codes HTTP 301, 303 ou 307 ou balise HTML <META HTTP-EQUIV=’ ‘>).

1.1 Filtrage sur la base du Referer

La première solution est de réaliser un filtrage basé sur le champ de l’entête HTTP Referer. L’entête Referer est transmise lorsqu’un utilisateur suit un lien, interne ou externe, pour préciser au site cible d’où vient l’utilisateur. Ainsi, si un site malveillant fait une inclusion de contenu ou une redirection illégitime d’un site ciblé, ce dernier verra apparaître dans les requêtes qui lui sont adressées un entête Referer faisant référence au site illégitime. Il suffit alors de créer une règle de filtrage sur le serveur Web du site ciblé pour interdire ce genre de requête ou leur délivrer des réponses modifiées. Cela peut par exemple être mise en œuvre très facilement avec mod_security avec une règle telle que :

SecDefaultAction phase:1,deny
SecRule REQUEST_HEADERS:Referer ‘site-malveillant.*’

Toutefois, ce filtrage devra être mis à jour à l’apparition de chaque nouveau site indésirable. Une procédure pourrait être mise ne œuvre pour surveiller les journaux d’activité en vue d’identifier au fur et à mesure les valeurs de Referer à filtrer.

1.2 Utilisation de X-Frame-Options

L’entête HTTP X-Frame-Options peut être ajoutée pour indiquer au navigateur de l’utilisateur qu’il doit afficher un site Web lorsqu’il est inclus dans une balise HTML FRAME ou IFRAME. De plus, cette option offre une protection contre certaines attaques de type XSS.

Le support de cette option par les navigateurs est assez récent (Internet Explorer 8 à partir de janvier 2009, Firefox 3.6.9, Safari 4, chrome 4.1.249.1042).

La valeur de l’entête peut être DENY, pour interdire complètement les inclusions, ou SAMEORIGIN, pour n’autoriser que les inclusions en provenance d’une page du même domaine (plus précisément, le même Fully Qualified Domain Name : FQDN).

Sur un serveur Apache, l’entête X-Frame-Options peut être ajoutée avec la clause suivante dans la configuration :

Header always append X-Frame-Options SAMEORIGIN

1.3 Documentation

2 TYPO3 v4.5 et nouvelles fonctionnalités

La version 4.5 de TYPO3 est disponible. Cette version ajoute une nouvelle fonctionnalité afin de protéger l’utilisateur contre des attaques de type injection de requêtes illégitimes par rebond (CSRF).

Présentée parfois comme un correctif, cette fonctionnalité ne sera présente qu’à partir de la version 4.5 de TYPO3. Une nouvelle API permet de protéger les formulaires de ce type d’attaque en imposant à certaines extensions du CMS de fournir un « jeton » unique. La protection apportée par l’API ne sera efficace que si les développeurs d’extensions l’utilisent.

Outre cette nouvelle fonctionnalité et afin de se protéger contre ce type d’attaque, le CERTA recommande de ne pas consulter en même temps et avec un même navigateur plusieurs sites dont certains contiendraient des données sensibles.

Documentation

3 Fin de vie de FreeBSD 7.1

Le projet FreeBSD qui produit le système d’exploitation éponyme tient à jour un tableau précis des cycles de vie de ses différentes versions encore maintenues. Ainsi, il est possible de trouver à l’adresse : http://security.freebsd.org les modalités de supports relatives à chaque branche du projet (7 et 8) ainsi que, pour chacune d’entre elles, les différentes versions et leur positionnement dans son cycle de vie.

On peut ainsi remarquer que la version 7.1 arrive, a priori, en fin de support étendu le 28 février prochain et devra être remplacée par, au minimum, la version 7.3 ou mieux par une version maintenue de la branche 8 (8.1 ou bientôt 8.2).

Recommandations :

Il conviendra de mettre à jour dans les plus brefs délais cette version si elle est encore déployée. Par ailleurs, il est à noter que, malgré une complexité plus importante, une migration vers les toutes dernières versions reste la démarche la plus avantageuse en matière de durée de vie et de richesse de fonctionnalités.

Rappel des avis émis

Dans la période du 07 au 13 février 2011, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :

Gestion détaillée du document

    le 18 février 2011
    version initiale.