Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2006-ACT-015

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 14 avril 2006
No CERTA-2006-ACT-015

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2006-15


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-015

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-015.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-015/

1 Attaques sur Horde Application Framework 3

Le CERTA a été informé d'attaques visant une vulnérabilité du service Help Viewer de Horde Application Framework 3. Ces attaques ont commencé au début du mois d'avril et ont augmenté depuis la publication sur l'Internet d'outils permettant l'exploitation automatique de la vulnérabilité. Horde Application Framework est utilisé par de nombreuses applications, notamment par le webmail IMP.

La vulnérabilité ne concerne que les versions 3 de Horde Application Framework. Elle permet d'exécuter des commandes directement sur le serveur par le biais d'adresses réticulaires URL habilement constituées. La tentative d'exploitation de cette vulnérabilité laisse des traces flagrantes dans les journaux de connexions.

Recommandations :

Le CERTA suggère d'appliquer le correctif pour Horde Application Framework 3 conformément à la politique de sécurité. La mise en place d'un filtrage en sortie permet, dans certains cas, de réduire la portée des attaques, notamment pour empêcher les intrus de télécharger leurs propres outils sur les serveurs compromis. Si vous constatez des tentatives d'attaque sur cet applicatif, veuillez le signaler auprès du CERTA.

2 Mise à jour d'Internet Explorer et ActiveX

Microsoft a publié le 11 avril 2006 un ensemble de mises à jour, dont le bulletin MS06-013 qui concerne le navigateur Internet Explorer. Ce dernier corrige plusieurs vulnérabilités décrites dans l'avis CERTA-2006-AVI-150. Hormis ces corrections, il s'avère que l'installation de la mise à jour modifie le comportement d'Internet Explorer lors de la visite de pages Web utilisant des contrôles ActiveX.

Un contrôle ActiveX fournit un ensemble de méthodes, ou fonctions, pour manipuler les composants COM (pour Component Object Model) utilisés par plusieurs applications de Microsoft Windows.

La mise à jour MS06-013 empêche l'exécution de deux contrôles ActiveX dans Internet Explorer, par défaut activés dans les versions courantes du logiciel. Ceci est possible en définissant leur bit d'arrêt (ou kill bit) respectif dans le registre de Microsoft Windows. Dans le détail, il s'agit des contrôles référencés :

  • IDXTRedirect : 42B07B28-2280-4937-B035-0293FB812781
  • IDA3Statics : 542FB453-5003-11CF-92A2-00AA00B8A733

Cette initiative de Microsoft est transitoire, avant une mise à jour plus en profondeur d'Internet Explorer prévue en juin 2006.

Il est important de noter ici que ce changement peut engendrer des problèmes pour toute application ou page Web recourant d'une certaine manière à ces contrôles ActiveX. Certains de ces problèmes sont mentionnés par Microsoft, tels :

  • dans les systèmes 64 bits, les paramètres par défaut des favoris et les paramètres avancés d'Internet Explorer sont réinitialisés ;
  • il existe certaines incompatibilités avec la barre d'outils Google ;
  • les administrateurs ne peuvent plus utiliser le commutateur /integrate pour mettre à jour les fichiers d'origine de l'installation de Windows ;
  • la mise à jour est incompatible avec le logiciel de gestion Siebel dans sa version 7 actuelle.

Des techniques pour corriger les pages Web (afin qu'elles fonctionnent correctement dans les navigateurs mis à jour) sont détaillées sur le site Web de MSDN.

Enfin, il est important de noter que Microsoft fournit un correctif rétroactif, dans le cas où cette dernière engendrerait trop de problèmes. Ce correctif rétroactif est à appliquer une fois que la mise à jour est installée et que la machine a redémarrée.

Références :

3 Rappel des avis et mises à jour émis

Durant la période du 07 au 13 avril 2006, le CERTA a émis les avis suivants :

  • CERTA-2006-AVI-140 : Multiples vulnérabilités dans ClamAV
  • CERTA-2006-AVI-141 : Vulnérabilités dans Dokeos
  • CERTA-2006-AVI-142 : Vulnérabilité dans phpMyAdmin
  • CERTA-2006-AVI-143 : Vulnérabilités dans Claroline
  • CERTA-2006-AVI-144 : Vulnérabilités dans phpBB
  • CERTA-2006-AVI-145 : Vulnérabilités sur CACTI
  • CERTA-2006-AVI-146 : Vulnérabilité dans Mailman
  • CERTA-2006-AVI-147 : Vulnérabilité sur les commutateurs 11500 CISCO
  • CERTA-2006-AVI-148 : Vulnérabilité dans l'explorateur de Microsoft Windows
  • CERTA-2006-AVI-149 : Vulnérabilité dans Microsoft Outlook Express
  • CERTA-2006-AVI-150 : Multiples vulnérabilités dans Microsoft Internet Explorer
  • CERTA-2006-AVI-151 : Vulnérabilité sur la fonction Microsoft Data Access Components (MDAC)
  • CERTA-2006-AVI-152 : Vulnérabilité dans Microsoft FrontPage
  • CERTA-2006-AVI-153 : Vulnérabilité dans Horde Application Framework 3
  • CERTA-2006-AVI-154 : Vulnérabilité de LDAP2 sous Sun Solaris

Pendant cette même période, les mises à jour suivantes ont été publiées :

  • CERTA-2006-AVI-129-001 : Vulnérabilité dans Samba

    (ajout de la référence au bulletin de sécurité FreeBSD)

  • CERTA-2006-AVI-140-001 : Multiples vulnérabilités dans ClamAV

    (ajout des références aux bulletins de sécurité Mandriva, Gentoo et FreeBSD)

  • CERTA-2006-AVI-139-001 : Vulnérabilité d'OpenVPN

    (ajout de la référence au bulletin de sécurité Mandriva)

  • CERTA-2006-AVI-142-001 : Vulnérabilité dans phpMyAdmin

    (ajout de la référence au bulletin de sécurité FreeBSD)

  • CERTA-2006-AVI-144-001 : Vulnérabilités dans phpBB

    (mise à jour de la section Risque, modification de la section Documentation et ajout des références CVE)


Liste des tableaux

Gestion détaillée du document

14 avril 2006
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-09-21