1 Compromission du serveur de distribution de ProFTPD

Les développeurs de ProFTPD ont annoncé sur leur site Web (www.proftpd.org) que le serveur ftp.proftpd.org avait été compromis. Cet incident a eu pour conséquence l’ajout d’une porte dérobée dans les sources proposées au téléchargement. Les sources contenues dans le CVS n’ont pas été modifiées par les attaquants. Le service de distribution des sources vers les sites miroir (rsync.proftpd.org) est hébergé sur le même serveur, ce qui implique que tous les sites officiels proposant le logiciel ProFTPD ont été affectés.

Les sources contenant la porte dérobée ont été proposées en téléchargement du 28 novembre 2010 au 02 décembre 2010. Toute personne ayant téléchargé ces fichiers dans cet intervalle de temps est invitée à contacter le CERTA.

Le CERTA recommande, par précaution, à tous les administrateurs de serveur ProFTPD de vérifier les signatures des sources.

Documentation :

2 Incompatibilité passagère entre Windows 7 64 bits et l’antivirus AVG 2011

2.1 Les faits

Une mise à jour de l’antivirus AVG 2011 perturbait le redémarrage des ordinateurs fonctionnant sous Windows 7 en 64 bits. Le fichier incriminé a été identifié, il s’agit de la mise à jour 3292. Les utilisateurs touchés sont ceux qui ont téléchargé cette mise à jour et tenté de redémarrer leur ordinateur.

L’éditeur donne des indications selon que l’utilisateur :

  • n’a pas téléchargé la mise à jour : elle a été ôtée du serveur de mise à jour, le risque est supprimé ;
  • a téléchargé, mais n’a pas encore redémarré : un correctif est disponible ;
  • a téléchargé et a tenté de redémarré : l’utilisation du disque (cédérom) de secours est détaillée, sous réserve qu’il ait été créé en temps utile.

De son côté, le SANS propose une méthode assez radicale pour les utilisateurs en panne après cette mise à jour et n’ayant pas de disque de secours.

Comme tout logiciel, un antivirus peut contenir une erreur conduisant à des dysfonctionnements majeurs. L’incident permet de tirer deux recommandations :

  • d’une part, il est utile de procéder à une vérification de compatibilité de toute mise à jour avec l’existant avant un déploiement général ;
  • d’autre part, les systèmes de secours ou de retour à une situation antérieure fonctionnelle doivent être préparés. Il est souhaitable de s’être entraîné à les utiliser afin d’aborder plus sereinement un tel incident.

2.2 Documentation

3 Mise à jour non officielle

Le CERTA rappelle, à l’occasion d’une vulnérabilité potentielle dans le noyau Windows publiée sur un site spécialisé, l’importance de n’appliquer que des mises à jour officielles.

Sur ce site spécialisé, il est fait mention d’une vulnérabilité dans le noyau Windows qui pourrait permettre à une personne malveillante ayant un accès local au système d’élever ses privilèges ou de provoquer un déni de service.

Microsoft n’a cependant pas réagi à cette publication, tandis que des sociétés spécialisées en sécurité informatique ont publié un correctif *non officiel* pour cette vulnérabilité.

L’application de correctifs de sécurité non officiels peut être un risque majeur pour la sécurité du système d’information ou sa productivité.

En effet, au delà des effets de bords induits par l’application de ces correctifs non officiels, par exemple des tests non exhaustifs sur les différentes plateformes, il ne peut être exclu que le correctif ne corrige que partiellement la vulnérabilité ou encore qu’il apporte une nouvelle vulnérabilité.

De plus, le thème des mises à jour de sécurité pour Windows est un sujet souvent utilisé lors de l’envoi massif de courriers électroniques non sollicités pour inciter l’utilisateur à exécuter un code malveillant en pièce jointe.

Documentation

4 Vunérabilités dans HP WebOs

Deux chercheurs ont découvert plusieurs vulnérabilités dans Palm Pre WebOs 1.4.x.

L’une d’entre elles permet, à distance et par l’intermédiaire d’une injection de code indirecte (XSS) dans l’application des contacts, de récupérer des informations sensibles ou d’exécuter du code arbitraire à distance.

HP aurait corrigé ce problème dans la version 2.0 beta. Cependant, d’autres vulnérabilités similaires ont été reportées par les deux chercheurs.

Le CERTA rappelle qu’il est important de bien considérer les informations pouvant être contenues sur de tels appareils et de réévaluer les menaces contre le SI.

5 Sandbox du lecteur Flash dans Chrome

Le bulletin d’actualité de la semaine dernière présentait la nouvelle version d’Adobe Reader qui utilise un mécanisme de bac à sable (sandbox) dans les versions Windows. Cette semaine, c’est l’équipe de développement de Chromium qui annonce l’intégration de ce mécanisme pour le lecteur de documents Flash utilisé par Google Chrome (pour les versions Windows XP/Vista/7).

La technologie de sandbox utilisée se base sur une version modifiée de celle implémentée dans Chrome. Cette fonctionnalité sera disponible, dans un premier temps, uniquement dans les versions « développeur » de Chrome. Il est bien évidemment déconseillé d’installer ces versions sur un système en production. Internet Explorer propose un mécanisme de bac à sable similaire pour le lecteur Flash, mais uniquement avec Windows Vista/7. Cette nouvelle version de Chrome sera donc la seule à proposer le sandbox du lecteur Flash sous Windows XP.

Enfin, on notera qu’il est prévu d’étendre cette protection aux autres systèmes d’exploitation.

Rappel des avis émis

Dans la période du 22 au 28 novembre 2010, le CERT-FR a émis les publications suivantes :