S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 25 juillet 2008
N° CERTA-2008-ACT-030
Affaire suivie par: CERT-FR
le 25 juillet 2008

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2008-30

Gestion du document

Référence CERTA-2008-ACT-030
Titre Bulletin d’actualité 2008-30
Date de la première version 25 juillet 2008
Date de la dernière version 25 juillet 2008
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Retour sur les incidents traités cette semaine

Les injections SQL, ça continue !

Le CERTA a encore traité cette semaine des incidents concernant des serveurs victimes d’injection d’iFRAME via injection SQL. Le scénario de l’attaque reste inchangé. Le CERTA rappelle donc les bonnes pratiques listées dans les différents articles ci-dessous.

Documentation

2 Note d’information sur le DNS

Chose promise, chose due ! Comme annoncé dans le dernier bulletin d’actualité, le CERTA publie, aujourd’hui, une note d’information sur le DNS. Loin d’être une note exhaustive sur ce service. Ce document n’a absolument pas la prétention de présenter en quelques pages l’ensemble du système. En revanche, il a pour objectif de présenter quelques risques qui peuvent concerner l’utilisateur ou l’administrateur d’un réseau.

Il apporte donc quelques éléments de réponses à ces risques, en s’appuyant sur des incidents déjà constatés ou pouvant se réaliser de manière relativement réaliste.

Ce document se destine avant tout aux personnes curieuses de comprendre les enjeux de DNS, mais possédant également quelques expériences d’informatique et du monde des réseaux.

La note d’information est disponible sur le site du CERTA à l’adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2008-INF-002/

3 iPhone AppStore = applications sécurisées ?

Avec la sortie de nouveau firmware 2.0 pour iPhone, de nombreuses applications sont maintenant facilement installables depuis l’AppStore d’Apple. Elles sont réalisées par des développeurs indépendants et sont mises à disposition par Apple. Les obligations de ce dernier quant à la validation des applications qu’il offre ne sont pas explicitement définies et il semblerait que des tests de validation ne soient pas faits avant chaque mise en ligne.

Ainsi, le jeu Aurora Faint a été retiré des programmes disponibles. Il envoyait systématiquement à un serveur tiers des informations sur les contacts de l’utilisateur, lorsque ce dernier voulait jouer en ligne.

Le CERTA recommande la plus grande prudence quant à l’utilisation de ces appareils mobiles contenant des informations personnelles et qui cumulent de nombreuses fonctions et applications, parfois mal contrôlées. Il convient de n’installer que les applications nécessaires, après vérification du sérieux de l’éditeur et de ne pas utiliser ces appareils pour des données sensibles.

Documentation

4 Vulnérabilité dans Apple Safari

Plusieurs sites de sécurité ont récemment fait état d’une nouvelle vulnérabilité non corrigée concernant Safari 3.1.2 (CVE-2008-3174) sur Microsoft Windows. D’autres versions sont probablement concernées. La faille permet l’injection de cookies de certains domaines spécifiques vers d’autres.

Cette vulnérabilité est en fait connue depuis plusieurs années et a notamment affecté les navigateurs Mozilla Firefox jusqu’à la version 3 récemment publiée (CVE-2004-0867) et Konqueror (CVE-2004-0746). « Officiellement » (RFC 2965), les cookies peuvent être émis pour des sous-domaines (par exemple : google.fr) et non pour des TLD ou Top Level Domains comme par exemple .com. La RFC spécifie en effet qu’un cookie est refusé si le domaine ne contient pas de point (littéralement, il faut un point dans le domaine et non au début ou à la fin). Toutefois, certains ccTLD « effectifs » sont en réalité des sous-domaines, alors que leur ccTLD officiel est en général interdit d’utilisation. L’exemple typique est .co.uk. Ainsi, Safari donne la possibilité d’émettre des cookies qui seront lisibles par tous les sites en .co.uk.

La plupart des autres navigateurs ont corrigés cette vulnérabilité, au moins partiellement. On notera les différentes manières de procéder (certaines protections ont pu changer aujourd’hui) :

  • pour Internet Explorer 6, les sous-domaines de deux caractères qui appartiennent à des domaines de deux caractères également, sont considérés comme des TLD sauf si leur domaine est dans une liste spécifiée dans la base de registre (ce qui ne protège pas des domaines comme ltd.uk – CVE-2004-0866) ;
  • pour Firefox 3, le Effective TLD Service est utilisé (utilisation d’une liste de ccTLD « effectifs ») ;
  • pour Opera, les domaines en com, edu, net, org, gov, mil, et int doivent contenir deux points au minimum (.google.fr), alors que les autres doivent en contenir 3 (.google.co.uk).

Documentation

5 La barre de navigation de Firefox 3

La fondation Mozilla a introduit dans la nouvelle mouture de son navigateur la fonctionnalité AwesomeBar. Cet ajout se situe dans la barre d’adresse de Firefox et permet la recherche automatique d’adresses correspondantes au(x) mot(s) saisi(s).

La grande différence entre les méthodes utilisées par les versions 2 et 3 pour compléter automatiquement les adresses réside dans le mode de recherche fait à partir du mot saisi.

Là où Firefox 2 se contente de proposer des adresses commençant par le mot saisi, la nouvelle version permet une recherche dans l’ensemble de l’URL. De plus, dans l’ancienne version du navigateur, la fonctionnalité exploitait l’historique de navigation. Dans la version 3, la recherche étudie aussi l’historique de navigation mais également sur les marque-pages et les titres de page. Les retours sont triés par un algorithme combinant la fréquence des visites et la date de la dernière consultation. Cette option de recherche peut néanmoins être désactivée de la façon suivante :

  • dans la barre d’adresse, entrez la commande about:config ;
  • validez la promesse de faire attention ;
  • dans la barre de filtrage, saisissez la chaîne « urlbar » ;
  • double-cliquez sur l’option browser.urlbar.maxRichResults ;
  • entrez la valeur « 0 » et validez ;

Cette manipulation a pour effet de désactiver la recherche d’adresse ainsi que la complétion automatique des adresses. Le CERTA rappelle que certains codes malveillants s’appuient sur les historiques de navigations et marque-pages/favoris pour tromper l’utilisateur lors de sa navigation à des fins de filoutage par exemple.

6 OS embarqués et système d’information

On définit comme système embarqué, tout système électronique et informatique minimal dédié à une tâche précise. Ainsi, on pourra qualifier d’embarqué les systèmes d’exploitation présents dans les routeurs, les commutateurs ou les boitiers des FAI mais également dans les téléphones portables ou les imprimantes.

Ces systèmes, bien que contraints en volume et en ressources système (puissance de calcul, nombres de périphériques gérés), proposent des fonctionnalités parfois évoluées comme des piles réseau sur lesquelles s’appuient des services plus ou moins complexes : FTP, HTTP, SNMP, ….

Comme cela a déjà été indiqué par le CERTA, il est important de prendre en compte ces équipements pourvus d’un système d’exploitation dans la politique de gestion des mises à jours au sein du SI.

Mais, le CERTA attire l’attention sur le fait que ces systèmes particuliers peuvent être intégrés dans beaucoup de produits professionnels sans que l’administrateur ou le responsable sécurité n’en soit conscient. Ainsi, nombre de fabriquant de serveurs fournissent dans leurs machines, en plus du traditionnel BIOS, un système d’exploitation embarqué de gestion et de surveillance des périphériques dudit serveur. Il est ainsi possible, via une interface d’administration souvent munie d’une pile IP, d’administrer et de surveiller à distance toutes les fonctions matérielles d’un serveur allant jusqu’au contrôle de la mise sous-tension de la machine. Ceci se fait de façon totalement indépendante et, en quelque sorte, à l’insu du « vrai » système d’exploitation installé et mis en production sur la machine.

Une gestion du matériel de ce type peut même être intégrée à l’infrastructure électrique d’une salle serveur. En effet, on trouve aujourd’hui des onduleurs ou, plus remarquable, des multiprises électriques mettant en œuvre des serveurs HTTP ou SNMP offrant des fonctionnalités de mesure et d’administration.

Recommandations :

Ces systèmes d’exploitation embarqués peuvent offrir des fonctions avancées en terme de gestion de ressources et se retrouvent parfois dans des équipements où l’on ne les attend pas forcement. Il conviendra donc de prendre un certain nombre de précautions en la matière :

  • lors de l’achat d’un produit, s’interroger sur la présence ou non de tels systèmes ;
  • si système d’exploitation il y a, en appréhender toutes les possibilités et en acquérir une maîtrise complète ;
  • anticiper et prévoir une politique de mise à jours adaptée à ce type de système bien spécifique ;
  • limiter l’accès à ces environnements de gestion aux seules personnes habilitées car ceux-ci peuvent offrir un contrôle complet de certains éléments du SI.

Rappel des avis émis

Dans la période du 14 au 20 juillet 2008, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 25 juillet 2008
    version initiale.