1 Réseau privé et RFC 1918
Dans le cadre du traitement des incidents, le CERTA est parfois amené à constater que des réseaux privés ne respectent pas la RFC 1918. Ce document précise quels sont les blocs d’adresse IP qui peuvent être utilisés pour l’adressage des réseaux privés. En particulier, il s’agit :
- de la classe 10/8, qui comporte 16777216 adresses ;
- des classes 172.16/12, ce qui représente 1048576 adresses ;
- des classes 192.168/16, soit 65536 adresses.
Toutefois, de nombreux réseaux utilisent des adresses IP publiques qui, souvent, ne leur appartiennent pas. Une erreur commune est de penser que cela n’a aucune incidence. Pourtant :
- les adresses IP publiques utilisées appartenant à d’autres organismes, celles-ci sont susceptibles d’être attribuées par exemple à des serveurs. Il est probable dans ce cas que ces serveurs ne soient plus visibles (donc plus accessibles) depuis le réseau privé, pour des raisons de routage interne ;
- de la même façon, les véritables propriétaires des adresses IP publiques pourraient être bloqués par des règles de filtrage (ingress filtering) et se verraient ainsi dans l’impossibilité de communiquer avec certains serveurs ;
- enfin, la lecture des journaux, notamment en cas d’incident, devient particulièrement complexe, la traçabilité n’étant pas correctement assurée.
Pour ces raisons, il est fortement recommandé d’avoir recours exclusivement à un adressage conforme à la RFC 1918 pour les réseaux privés.
Documentation
- RFC 1918 :
http://tools.ietf.org/html/rfc1918
2 Mise à jour 4.3 du système IOS d’Apple
Apple a publié la dernière version de son OS pour iPhone 3GS et supérieur, iPod touch troisième génération et supérieur et iPad. Cette mise à jour corrige plusieurs vulnérabilités, dont certaines concernent Webkit et permettent l’exécution de code arbitraire à distance au moyen d’une page Web spécialement conçue.
Commercialisé depuis juillet 2008 l’iPhone 3G ne peut recevoir la version 4.3 d’iOS et aucune correction de vulnérabilités n’est disponible pour le moment. Pour rappel, l’iPhone EDGE (première génération), commercialisé un peu moins d’un an avant le 3G ne reçoit plus de mise à jour depuis la sortie de la version 3.1.3 (février 2010) et est vulnérable à un certains nombre d’attaques.
Le CERTA recommande d’effectuer la mise à jour 4.3 sur les appareils compatibles dès que possible.
Documentation
- Bulletin de sécurité Apple HT4564 du 09 mars 2011 :
http://support.apple.com/kb/HT4564
- Avi CERTA-2011-AVI-151 du 11 mars 2011 :
http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-151/
Rappel des avis émis
Dans la période du 28 février au 06 mars 2011, le CERT-FR a émis les publications suivantes :
- CERTA-2011-AVI-116 : Vulnérabilité dans Citrix Secure Gateway
- CERTA-2011-AVI-117 : Vulnérabilité dans IBM Lotus Connections
- CERTA-2011-AVI-118 : Vulnérabilité dans IBM Tivoli Common Reporting
- CERTA-2011-AVI-119 : Vulnérabilité dans Foxit Reader
- CERTA-2011-AVI-120 : Vulnérabilité dans Samba
- CERTA-2011-AVI-121 : Vulnérabilité dans Avahi
- CERTA-2011-AVI-122 : Vulnérabilité dans Sybase Afaria Data Security Manager
- CERTA-2011-AVI-123 : Vulnérabilité dans HP Web Jetadmin
- CERTA-2011-AVI-124 : Vulnérabilité dans PEAR
- CERTA-2011-AVI-125 : Multiples vulnérabilités dans Wireshark
- CERTA-2011-AVI-126 : Multiples vulnérabilités dans Google Chrome
- CERTA-2011-AVI-127 : Multiples vulnérabilités dans les produits Mozilla
- CERTA-2011-AVI-128 : Vulnérabilité dans Alcatel OmniPCX Enterprise
- CERTA-2011-AVI-129 : Vulnérabilités dans libpango
- CERTA-2011-AVI-130 : Vulnérabilité dans Alcatel OmniVista
- CERTA-2011-AVI-131 : Multiples vulnérabilités dans Moodle
- CERTA-2011-AVI-132 : Vulnérabilités dans syslog-ng
- CERTA-2011-AVI-133 : Vulnérabilité dans PyWebDAV
- CERTA-2011-AVI-134 : Multiples vulnérabilités dans iTunes
- CERTA-2011-AVI-135 : Vulnérabilité dans LibTIFF
Durant la même période, les publications suivantes ont été mises à jour :
- CERTA-2011-AVI-103-001 : Vulnérabilité dans ISC Bind