S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 17 février 2012
N° CERTA-2012-ACT-007
Affaire suivie par: CERT-FR
le 17 février 2012

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2012-07

Gestion du document

Référence CERTA-2012-ACT-007
Titre Bulletin d’actualité 2012-07
Date de la première version 17 février 2012
Date de la dernière version 17 février 2012
Source(s) Aucune
Pièce(s) jointe(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Piégeage d’un dépôt FTP de logiciel

Le projet Horde produit plusieurs logiciels libres de travail collaboratif, dont IMP, un serveur de messagerie POP et IMAP.

Incident révélé

En novembre 2011, suite à une intrusion sur un serveur FTP du projet, trois paquets logiciels ont été piégés. Une porte dérobée a été incluse dans ces paquets, permettant à un attaquant d’exécuter du code à distance.

Les logiciels concernés sont :

  • Horde 3.3.12, téléchargé entre le 15 novembre 2011 et le 07 février 2012 ;
  • Horde Groupware 1.2.10, téléchargé entre le 09 novembre 2011 et le 07 février 2012 ;
  • Horde Groupware Webmail Edition 1.2.10, téléchargé entre le 02 novembre 2011 et le 07 février 2012.

Si vous avez le moindre doute sur votre version, le projet indique une chaîne de caractères révélatrice des versions piégées, à chercher dans le répertoire d’installation : $m[1]($m[2])

Selon l’équipe du projet, seul le serveur FTP ftp.horde.org est concerné. Le serveur a été remplacé et les analyses se poursuivent.

Dans la communication sur l’incident, les développeurs du projet ont suggéré des versions de remplacement accompagnées de leurs condensés MD5.

Recommandations

Le CERTA recommande, pour ce cas précis :

  • de vérifier les versions téléchargées (dates, caractéristiques…) ;
  • au moindre doute, et surtout en cas de découverte de versions malveillantes, de remplacer le paquet utilisé;
  • de comparer le condensé MD5 du paquet téléchargé au condensé indiqué dans l’annonce sur l’incident.
De manière plus générale, la plus grande attention doit être portée sur les téléchargements de logiciels ou de correctifs :
  • le site de l’éditeur ou un mirroir officiel doit être privilégié ;
  • l’intégrité du contenu téléchargé doit être vérifiée, dès lors que cette vérification est possible ;
  • les communications (site Web, listes de diffusion…) de l’éditeur ou du projet doivent être surveillées pour être informé au plus tôt d’incidents, comme celui que le projet Horde vient de subir ;
  • pour un correctif, une étude sur le code source ou sur les modifications peut également être envisagée ;
  • l’exécution et l’observation sur une plateforme de test peuvent révéler des anomalies.

Documentation

2 Mise à jour mensuelle Microsoft

Cette semaine, Microsoft a publié plusieurs correctifs de sécurité. Sur les neuf bulletins édités, quatre sont jugés critiques par Microsoft et les cinq autres sont considérés comme importants.

Les vulnérabilités corrigées permettaient :

  • une exécution de code arbitraire à distance ;
  • une élévation de privilèges ;
  • une divulgation d’information ;
  • une injection de code indirecte à distance.
Les produits Microsoft impactés par ces mises à jour sont:
  • Microsoft Windows (toutes versions) ;
  • Internet Explorer (toutes versions) ;
  • Microsoft .Net Framework 2.0, 3.5.1 et 4.0 ;
  • Microsoft Silverlight 4 ;
  • Microsoft Sharepoint 2010 ;
  • Microsoft Visio Viewer 2010.
Le CERTA recommande l’application de ces mises à jour dès que possible.

Documentation

3 Rappel des avis émis

Dans la période du 10 février 2012 au 16 février 2012, le CERTA a émis les publications suivantes :

  • CERTA-2012-AVI-071 : Vulnérabilités dans Novell iPrint
  • CERTA-2012-AVI-072 : Vulnérabilités dans des produits Horde
  • CERTA-2012-AVI-073 : Vulnérabilité dans les produits Mozilla
  • CERTA-2012-AVI-074 : Vulnérabilités dans les pilotes Windows
  • CERTA-2012-AVI-075 : Vulnérabilités dans le pilote de gestion des connexions réseau de Microsoft Windows
  • CERTA-2012-AVI-076 : Multiples vulnérabilités dans Internet Explorer
  • CERTA-2012-AVI-077 : Vulnérabilités dans Microsoft Sharepoint
  • CERTA-2012-AVI-078 : Vulnérabilité dans le panneau de configuration des couleurs de Microsoft Windows
  • CERTA-2012-AVI-079 : Vulnérabilité dans la bibliothèque RunTime C Microsoft
  • CERTA-2012-AVI-080 : Vulnérabilité dans le codec Indeo de Microsoft Windows
  • CERTA-2012-AVI-081 : Multiples vulnérabilités dans Microsoft Visio Viewer
  • CERTA-2012-AVI-082 : Vulnérabilités dans le Framework Microsoft Net et Microsoft Silverlight

Rappel des avis émis

Dans la période du 06 au 12 février 2012, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :

Gestion détaillée du document

    le 17 février 2012
    version initiale.