Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2006-ACT-030

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 28 juillet 2006
No CERTA-2006-ACT-030

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2006-30


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-030

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-030.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-030/

1 Surveillance réseau conseillée par le CERTA

A la suite de l'analyse de différents journaux (logs), le CERTA a constaté une activité qui pourrait sembler suspecte sur les ports 139/TCP et 445/TCP. Ces ports devraient être, dans la majorité des cas, bloqués par les équipements de filtrage pour les connexions extérieures depuis et à destination du réseau.

Le CERTA conseille de vérifier la politique de filtrage mise en place. Le CERTA demande à ces correspondants de lui signaler toute activité anormale sur ces ports.

2 Bulletin de mise à jour pour les produits Mozilla

Un ensemble de mises à jour vient d'être rendu public par Mozilla. Celles-ci corrigent un ensemble de vulnérabilités, touchant aussi bien Firefox que Thunderbird et SeaMonkey. Ces dernières permettent à un utilisateur malveillant de provoquer un déni de service, de réaliser une attaque de type injection de code indirecte (aussi appelé cross-Site Scripting) ou d'exécuter du code arbitraire à distance. Plusieurs de ces vulnérabilités sont issues du module Javascript commun aux produits Mozilla (cf. paragraphe suivant). Par défaut, Javascript n'est pas activé avec Thunderbird. Dans la majorité des cas, il n'est pas nécessaire d'activer Javascript dans l'outil de messagerie, ou alors de manière ponctuelle. Le CERTA recommande de bien vérifier que celui-ci est désactivé, en allant regarder dans :

Edition -> Préférences -> Avancés.

3 Les vulnérabilités du navigateur au goût du jour

Le CERTA mentionnait dans le bulletin d'actualité CERTA-2006-ACT-027 l'existence d'un n bloc-notes (ou blog), dans lequel il serait publié une vulnérabilité de navigateur Internet par jour du mois de juillet. S'appuyant pour cela sur quatre outils de test, le site publie certains résultats vérifiant des défauts dans l'intégrité des navigateurs et leurs façons de manipuler par exemple du DHTML (pour Dynamic HTML, utilisé afin d'écrire des pages plus interactives) ou du CSS, qui définit le style (couleurs, formats, positionnements) des pages web. Pour chaque nouvelle vulnérabilité, il fournit une preuve attestant de sa validité sous la forme d'un exemple.

A ce jour, le site a publié dans ce cadre 28 vulnérabilités dont :

  • vingt-trois concernent Microsoft Internet Explorer ;
  • deux concernent Mozilla Firefox ;
  • une concerne Apple Safari ;
  • une concerne Opera ;
  • une concerne Konqueror

Elles provoquent la fermeture inopinée du navigateur, et dans certaines conditions, le redémarrage de la machine.

On constate que la majorité des démonstrations de faisabilité s'appuient sur du code (Javascript, ActiveX, ...). A titre préventif, il est donc vivement recommandé, en attendant que des solutions fiables soient publiées pour se prémunir contre les effets de ces vulnérabilités, de prendre les précautions suivantes :

  1. désactiver les options Java et Javascript du navigateur ;
  2. naviguer sur des sites de confiance.

La vulnérabilité concernant Opera est en revanche difficilement contournable. Elle s'applique à une page HTML contenant un style CSS malformé. Seul Mozilla Firefox a corrigé les vulnérabilités annoncées pour le moment.

4 Rappel des avis et mises à jour émis

Durant la période du 21 au 27 juillet 2006, le CERTA a émis les avis suivants :

  • CERTA-2006-AVI-307 : Vulnérabilité dans les produits TippingPoint
  • CERTA-2006-AVI-308 : Vulnérabilités dans Solaris
  • CERTA-2006-AVI-309 : Vulnérabilité dans Password safe
  • CERTA-2006-AVI-310 : Vulnérabilité de Check Point Firewall-1
  • CERTA-2006-AVI-311 : Vulnérabilité dans Konqueror
  • CERTA-2006-AVI-312 : Multiples vulnérabilités dans les produits Mozilla
  • CERTA-2006-AVI-313 : Multiples vulnérabilités dans eIQNetworks Enterprise Security Analyzer
  • CERTA-2006-AVI-314 : Vulnérabilité dans les produits ISS

Pendant cette même période, les mises à jour suivantes ont été publiées :

  • CERTA-2006-AVI-275-001 : Vulnérabilité dans phpMyAdmin

    (ajout de la référence au bulletin de sécurité FreeBSD)

  • CERTA-2006-AVI-294-001 : Vulnérabilité dans Samba

    (ajout de la référence au bulletin de sécurité FreeBSD)

  • CERTA-2006-AVI-304-001 : Vulnérabilité sur zope

    (ajout de la référence au bulletin de sécurité FreeBSD)

  • CERTA-2006-AVI-227-003 : Multiples vulnérabilités dans les produits Mozilla

    (ajout des références aux bulletins de sécurité Debian)

  • CERTA-2006-AVI-267-002 : Vulnérabilité dans GnuPG

    (ajout des références au bulletins de sécurité Debian)

  • CERTA-2006-AVI-268-001 : Vulnérabilité dans Mutt

    (ajout du bulletin de sécurité Debian)


Liste des tableaux

Gestion détaillée du document

28 juillet 2006
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-09-20