Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2006-ACT-009

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 03 mars 2006
No CERTA-2006-ACT-009

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2006-09


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-009

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-009.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-009/

1 Attaque par SSH

Le CERTA a récemment traité un cas de compromission par exploitation d'un mot de passe faible pour le compte root. Ce type d'incidents est fréquent, mais il peut être limité en suivant les conseils ci-dessous :

  • Il est possible de désactiver les connexions avec le compte root dans la configuration du serveur SSH. Toute connexion se fait dès lors avec un compte sans privilège. L'administration de la machine reste possible après utilisation de la commande su ou sudo (nous recommandons dans ce cas de ne pas mettre de commandes sans mot de passe dans le fichier de configuration de sudo).
  • Les mots de passe utilisés doivent être forts. Il existe de nombreux outils gratuits disponibles sur l'Internet permettant de tester la robustesse des mots de passe. Par ailleurs, la lecture de la note d'information CERTA-2005-INF-001 est recommandée.
  • La surveillance régulière des journaux des serveurs met généralement en évidence ce type d'attaques. En particulier, les administrateurs peuvent suivre de près les connexions SSH réussies (par exemple avec la commande grep -i accepted /var/log/secure).

2 Noms de domaine tombés en désuétude

Les noms de domaine se réservent auprès des registres (registrar) pour une durée déterminée (souvent un an). À l'issue de cette période de bail, les propriétaires des noms de domaine doivent effectuer un renouvellement. Si cette action n'est pas effectuée, le nom retournera dans le domaine public, et pourra ainsi être réservé par d'autres personnes.

Il arrive que les propriétaires de noms de domaine ne les renouvellent pas par oubli ou les abandonnent volontairement. Ce phénomène peut poser quelques problèmes avec les référencements des sites web. En effet, certains placés dans des domaines tombés en désuétude peuvent être référencés par d'autres sites où dans divers documents. Le problème survient lorsque ces domaines sont rachetés par la suite par des personnes mal intentionnées. Celles-ci peuvent dès lors installer des serveurs web hébergeant du code malveillant ou du contenu pouvant porter atteinte à l'image d'une organisation. Il est ainsi possible de voir des sites gouvernementaux référençant des sites à caractère pornographique.

L'abandon d'un nom de domaine doit faire l'objet d'une information au grand public et aux webmestres afin que les liens vers ces anciens domaines soient modifiés ou supprimés.

3 Rappel des avis et mises à jour émis

Durant la période du 24 février au 02 mars 2006, le CERTA a émis les avis suivants :

  • CERTA-2006-AVI-090 : Vulnérabilité de phplib
  • CERTA-2006-AVI-091 : Vulnérabilité de Mambo
  • CERTA-2006-AVI-092 : Vulnérabilité de GNU tar
  • CERTA-2006-AVI-093 : Vulnérabilité dans Winamp
  • CERTA-2006-AVI-094 : Vulnérabilité de unzip
  • CERTA-2006-AVI-095 : Multiples vulnérabilités dans Squirrelmail
  • CERTA-2006-AVI-096 : Mises à jour de sécurité Mac OS X

Pendant cette même période, les mises à jour suivantes ont été publiées :

  • CERTA-2005-AVI-221-003 : Vulnérabilité de gedit

    (ajout de la référence au bulletin de sécurité FreeBSD)

  • CERTA-2006-AVI-067-001 : Vulnérabilité sur OpenSSH

    (ajout de la référence au site Internet OpenSSH et des références aux bulletins de sécurité OpenBSD, SUSE et Ubuntu)

  • CERTA-2006-AVI-067-002 : Vulnérabilité sur OpenSSH

    (ajout de la référence au bulletin de sécurité Gentoo)

  • CERTA-2005-AVI-195-004 : Vulnérabilité de libtiff

    (ajout de la référence au bulletin de sécurité Mandriva)

  • CERTA-2006-AVI-049-001 : Vulnérabilité de ImageMagick

    (ajout de la référence au bulletin de sécurité RedHat)

  • CERTA-2006-AVI-050-001 : Vulnérabilité du package nfs-server

    (changement du titre et ajout de la référence au bulletin de sécurité Debian DSA-975)

  • CERTA-2006-AVI-083-001 : Vulnérabilité du logiciel ImageMagick

    (ajout de la référence au bulletin de sécurité RedHat)

  • CERTA-2006-AVI-086-001 : Vulnérabilité de GnuPG

    (ajout de la référence au bulletin de sécurité SUSE)

  • CERTA-2005-AVI-487-005 : Vulnérabilité de Ethereal

    (ajout de la référence au bulletin de sécurité SUSE)

  • CERTA-2005-AVI-490-004 : Vulnérabilité sur le module mod_imap d'Apache

    (ajout de la référence au bulletin de sécurité SUSE)

  • CERTA-2006-AVI-013-001 : Vulnérabilité du module mod_ssl dans Apache 2

    (ajout de la référence au bulletin de sécurité SUSE)

  • CERTA-2005-AVI-486-004 : Vulnérabilité de Perl

    (ajout de la référence au bulletin de sécurité Solaris)

  • CERTA-2006-AVI-086-002 : Vulnérabilité de GnuPG

    (ajout de la référence au bulletin de sécurité SUSE SUSE-SA:2006:013)

  • CERTA-2006-AVI-092-001 : Vulnérabilité de GNU tar

    (ajout des références aux bulletins de sécurité Mandriva, Ubuntu et RedHat)


Liste des tableaux

Gestion détaillée du document

03 mars 2006
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-05-24