Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2006-ACT-028

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 13 juillet 2006
No CERTA-2006-ACT-028

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2006-28


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-028

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-028.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-028/

1 Problèmes liés à extCalendar

Plusieurs défigurations ont été relevées cette semaine, certaines impliquant des sites institutionnels ou académiques. Le traitement de ces incidents, en collaboration avec le CERT Renater, a permis d'identifier dans les journaux la cause de celles-ci. Il s'agit d'une vulnérabilité affectant le produit extCalendar. Ce composant permet de faire apparaître un calendrier. Il s'interface avec les produits Mambo et Joomla!, très souvent utilisés pour développer des sites Internet. L'attaque permet d'acquérir les droits du serveur web et de modifier toute page du serveur. La prise de contrôle de la machine est possible et a été constatée dans les incidents traités. La vulnérabilité n'étant pas corrigée, le CERTA a émis une alerte (CERTA-2006-ALE-008) en indiquant un contournement provisoire. Le CERTA appelle l'attention des responsables sécurité et des administrateurs sur les risques d'attaques via cette vulnérabilité compte tenu du déploiement massif de ce composant. Il est par ailleurs vivement conseillé de n'installer que les modules applicatifs nécessaires au bon fonctionnement du site.

2 Site Web et redirection d'URL

Le traitement d'un incident cette semaine conduit le CERTA a rappelé quelques principes concernant les redirections d'URL (ou adresses réticulaires).

Au niveau applicatif :

Quand une adresse appelle un script qui permet d'insérer un objet référencé sous forme d'une seconde adresse, il est important de vérifier le format de celle-ci. Par exemple, considérons l'adresse de la forme :

http://www.A.B/index.php?AfficheObjet insert=http://adresse_Objet.C.D/etc..

Il est important de vérifier que le domaine C.D est bien celui de la redirection voulue. Dans le cas contraire, le site peut fonctionner comme un outil de redirection vers d'autres sites. Rien n'empêche alors une personne malveillante d'envoyer un courriel contenant la nouvelle adresse, pour rediriger le lecteur vers un site compromis via le site légitime.

Au niveau du pare-feu :

Le serveur Web n'a souvent aucune raison d'initier des connexions HTTP ou FTP vers des machines extérieures, ou alors il s'agit de sites clairement identifiés. Ces connexions doivent donc être correctement bloquées au niveau du pare-feu séparant le site web du monde extérieur. Cette opération protège également du problème de redirection mentionné ci-dessus.

3 Recommandations pour l'été

Le CERTA souhaite aux lecteurs du bulletin d'actualité d'excellentes vacances d'été. Nous rappelons à cet égard qu'il est important d'identifier au sein de l'administration des systèmes d'information une personne suppléante qui pourra s'occuper des problèmes de sécurité pendant l'été.

4 Rappel des avis et mises à jour émis

Durant la période du 07 au 12 juillet 2006, le CERTA a émis les avis suivants :

  • CERTA-2006-AVI-275 : Vulnérabilité dans phpMyAdmin
  • CERTA-2006-AVI-276 : Multiples vulnérabilités dans ATutor
  • CERTA-2006-AVI-277 : Vulnérabilité d'OpenOffice.org et StarOffice
  • CERTA-2006-AVI-278 : Vulnérabilités dans WebEx
  • CERTA-2006-AVI-279 : Vulnérabilité de Shadow
  • CERTA-2006-AVI-280 : Vulnérabilité de Qbik WiNGate
  • CERTA-2006-AVI-281 : Vulnérabilité de Microsoft .NET Framework
  • CERTA-2006-AVI-282 : Vulnérabilité de Microsoft IIS utilisant ASP
  • CERTA-2006-AVI-283 : Multiples vulnérabilités du service Serveur de Microsoft Windows
  • CERTA-2006-AVI-284 : Vulnérabilités de certains filtres de Microsoft Office
  • CERTA-2006-AVI-285 : Multiples vulnérabilités dans Microsoft Excel
  • CERTA-2006-AVI-286 : Plusieurs vulnérabilités dans les logiciels Microsoft
  • CERTA-2006-AVI-287 : Vulnérabilité du client DHCP de Microsoft Windows
  • CERTA-2006-AVI-288 : Vulnérabilité d'Adobe Acrobat
  • CERTA-2006-AVI-289 : Vulnérabilité IPv6 dans JunOS de Juniper


Liste des tableaux

Gestion détaillée du document

13 juillet 2006
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-03-23