Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2006-ACT-029

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 21 juillet 2006
No CERTA-2006-ACT-029

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2006-29


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-029

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-029.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-029/

1 Alerte Powerpoint

Le CERTA a publié cette semaine une alerte concernant Powerpoint, et de manière plus générale, la suite Microsoft Office (CERTA-2006-ALE-009). Compte tenu du bruit médiatique de ce problème lié à Powerpoint, le CERTA détaille ci-dessous l'historique des évènements.

En début du mois, une vulnérabilité a été déclarée dans une liste concernant Microsoft Word, et impliquant la librairie partagée mso.dll. Les experts de Microsoft ont annoncé sur leur bloc-notes que celle-ci ne provoquait que la fermeture inopinée de Word, mais n'était pas exploitable à distance. Deux jours plus tard, des antivirus mettaient leurs bases de signatures à jour, pour détecter un document Powerpoint malveillant, qui installerait un cheval de Troie sur des machines. La vulnérabilité utilisée pour compromettre les machines concernerait également la librairie mso.dll. Plusieurs codes de type PoC (pour Proof-of-Concept) sont ensuite apparus.

A ce stade, il n'est pas facile de savoir combien de vulnérabilités distinctes impacteraient Microsoft Powerpoint (et/ou Office). Cinq références distinctes CVE ont été établies, que ce soit par Microsoft ou par les différents développeurs de ces techniques d'exploitation (PoC). La relation exacte entre ceux-ci n'est pas clair :

  • CVE-2006-3493
  • CVE-2006-3656
  • CVE-2006-3655
  • CVE-2006-3660
  • CVE-2006-3590

Dans l'attente des correctifs, qui devraient apparaître le 8 août 2006, le CERTA conseille d'utiliser dans la mesure du possible des visionneuses pour ouvrir les documents Office, et de suivre les recommandations indiquées dans CERTA-2006-ALE-009.

2 Vulnérabilités du noyau Linux

Le CERTA a publié un avis de sécurité CERTA-2006-AVI-298 concernant une vulnérabilité dans le système de fichier virtuel /proc du noyau Linux de la série 2.6.x. Du code malveillant permettant l'exploitation de cette faille est d'ores-et-déjà disponible sur l'Internet. Une utilisation fructueuse de cette vulnérabilité permet à un utilisateur local au système d'élever ses privilèges pour devenir super-utilisateur (root). Ce type de vulnérabilité est souvent utilisé à la suite de la compromission de la machine via un compte non-privilégié (compte obtenu a partir d'un service réseau vulnérable ou bien encore après une attaque en force brute). Le CERTA recommande d'appliquer les mises à jour concernant cette vulnérabilité.

3 ExtCalendar au goût du jour

Le CERTA a publié, suite à l'analyse de plusieurs incidents, une alerte concernant le composant ExtCalendar (voir bulletin d'actualité CERTA-2006-ACT-028). Il s'interface avec les composants Mambo et Joomla!, utilisés pour développer des sites Internet.

Il n'existe pas de correctif actuellement.

Dans l'attente de nouvelles versions, le CERTA conseille de désinstaller, dans la mesure du possible, ce composant. Il est par ailleurs vivement recommandé de n'installer que les modules applicatifs nécessaires au bon fonctionnement du site.

4 Rappel des avis et mises à jour émis

Durant la période du 14 juillet au 20 juillet 2006, le CERTA a émis les avis suivants :

  • CERTA-2006-AVI-290 : Vulnérabilité de Cisco IPS
  • CERTA-2006-AVI-291 : Vulnérabilité du module webform de Drupal
  • CERTA-2006-AVI-292 : Vulnérabilité sur Cisco Router Web Setup (CWRS)
  • CERTA-2006-AVI-293 : Multiples vulnérabilités sur Cisco Unified Call Manager
  • CERTA-2006-AVI-294 : Vulnérabilité dans Samba
  • CERTA-2006-AVI-295 : Vulnérabilité de la fonction prctl du noyau Linux
  • CERTA-2006-AVI-296 : Vulnérabilité sur McAfee ePolicy Orchestrator
  • CERTA-2006-AVI-297 : Vulnérabilité sur les routeurs D-Link
  • CERTA-2006-AVI-298 : Vulnérabilité du noyau Linux
  • CERTA-2006-AVI-299 : Vulnérabilité dans libVNCServer
  • CERTA-2006-AVI-300 : Vulnérabilité dans Gnu GCC
  • CERTA-2006-AVI-301 : Multiples vulnérabilités dans Ethereal/ Wireshark
  • CERTA-2006-AVI-302 : Vulnérabilité du Sun Solaris
  • CERTA-2006-AVI-303 : Multiples vulnérabilités sur Oracle
  • CERTA-2006-AVI-304 : Vulnérabilité sur zope
  • CERTA-2006-AVI-305 : Multiples vulnérabilités dans Cisco CS-MARS
  • CERTA-2006-AVI-306 : Vulnérabilité dans Citrix MetaFrame

Pendant cette même période, les mises à jour suivantes ont été publiées :

  • CERTA-2006-AVI-265-001 : Vulnérabilité dans Mysql

    (ajout du bulletin de sécurité Debian)

  • CERTA-2006-AVI-298-001 : Vulnérabilité du noyau Linux

    (ajout de la référence au bulletin de sécurité Ubuntu)


Liste des tableaux

Gestion détaillée du document

21 juillet 2006
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-04-28