1 Activité en cours
1.1 Ports observés
Le tableau 3 montre les rejets pour les ports sous surveillance que nous avons constatés sur deux dispositifs de filtrage, entre le 14 et le 21 avril 2005. Le nombre relativement faible (par rapport aux mois précédents) des rejets constatés sur le port 445/tcp s’explique par la mise en place de filtrage de ce port par un fournisseur d’accès sur ses routeurs.
Suite à la découverte d’une compromission par l’exploitation d’une vulnérabilité du service Oracle XDB FTP (voir CERTA-2005-ALE-002), nous avons ajouté le port 2100/tcp à notre surveillance. Cet incident est actuellement en cours de traitement.
1.2 Incidents traités par le CERTA
Trois cas de défiguration de site web ont été traités par le CERTA.
2 Faux messages électroniques concernant les correctifs de Microsoft
De faux messages électroniques au sujet des correctifs de Microsoft d’avril 2005 circulent actuellement. Ces messages vous incitent à cliquer sur un lien vers un site qui reproduit le site de Microsoft. Ce site contient des codes malveillants.
Si vous avez reçu un tel message et que vous avez visité le site indiqué dans celui-ci, veuillez contacter le CERTA.
3 Problèmes avec l’application du correctif MS05-019
Suite à l’application du correctif de sécurité Microsoft MS05-019 du 12 avril 2005, Microsoft a signalé dans un article que ce correctif pouvait entraîner certains dysfonctionnements réseau sur les systèmes mis à jour : incapacité à se connecter au serveur via Terminal Server, échec de réplication de contrôleur de domaine via une liaison WAN et enfin impossibilité de connexion pour un serveur Microsoft Exchange sur son contrôleur de domaine. L’article de Microsoft est consultable à l’adresse :
http://support.microsoft.com/kb/898060
Dans le cas présent, une mise à jour a causé par effet de bord sur le système cible, des dysfonctionnements plus ou moins importants. De manière générale, il est recommandé, lorsque l’on effectue une mise à jour, de tester celle-ci sur une machine dite « de test ». Si, toutefois, elle engendrait un mauvais fonctionnement, il conviendrait alors de s’interroger sur la criticité de la faille corrigée comparée à ses conséquences sur le système mis à jour.
Il est souvent préférable d’appliquer le correctif de sécurité mais ce n’est pas une règle absolue. Il n’appartient pas non plus au CERTA de vous donner une réponse définitive en la matière. Le bon choix se fera en fonction de vos besoins et de la pondération des risques inhérents à la situation, et conformément à la politique de sécurité du réseau.
4 Rappel des avis et mises à jour émis
Durant la période du 18 au 22 avril 2005, le CERTA a émis les avis suivants :
- CERTA-2005-AVI-147 : Vulnérabilité dans OpenOffice
- CERTA-2005-AVI-148 : Multiples vulnérabilités des produits Mozilla
- CERTA-2005-AVI-149 : Vulnérabilité dans Kerio MailServer
- CERTA-2005-AVI-150 : Multiples vulnérabilités dans Mac OS X
- CERTA-2005-AVI-151 : Vulnérabilité des lecteurs RealPlayer
- CERTA-2005-AVI-152 : Vulnérabilité de Sun Java System Web Proxy (Sun ONE Proxy Server)
- CERTA-2005-AVI-153 : Multiples vulnérabilités de MPlayer
Pendant cette même période, la mise à jour suivante a été publiée :
- CERTA-2005-AVI-105-004 : Vulnérabilité de libexif
(ajout référence au bulletin de sécurité Debian)
- CERTA-2005-AVI-049-008 : Vulnérabilité de PostgreSQL
(ajout référence au bulletin de sécurité SuSE)
- CERTA-2005-AVI-114-002 : Multiples vulnérabilités de xli
(ajout références aux bulletins de sécurité Red Hat et Mandriva)
- CERTA-2005-AVI-147-001 : Vulnérabilité dans OpenOffice
(ajout référence au bulletin de sécurité SuSE. Ajout référence CVE)
