Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2006-ACT-031

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 04 août 2006
No CERTA-2006-ACT-031

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2006-31


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-031

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-031.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-031/

1 Activité en cours

1.1 Injection de code indirecte

Le CERTA a traité plusieurs incidents relatifs à l'injection de code indirecte (ou cross site scripting) sur certains sites de l'administration. Conformément à la terminologie d'usage au CERTA, le cross site scripting est une activité malveillante qui consiste à injecter des données arbitraires dans le code de pages HTML. Un utilisateur malveillant peut faire afficher à un site web vulnérable un contenu agressif ; ce contenu peut rediriger l'utilisateur vers d'autres sites, ou transmettre des informations (jetons de sessions, aussi appelés cookies, etc) ou des droits.

On remarque que les données arbitraires sont souvent écrites en javascript, en html ou en vbscript. La personne malveillante introduit ainsi du code dans le serveur vulnérable qui héberge le site. Ce serveur est rarement affecté par ce code (porteur sain). Les visiteurs du site, potentiellement victimes, consultent la page contenant le code injecté. L'exécution du code ne se fait pas au niveau du serveur, mais par le client de navigation de l'utilisateur. La notation XSS a été introduite pour remplacer CSS, acronyme déjà utilisé pour signifier Cascading Style Sheet.

Les risques engendrés par cette vulnérabilité sont liés au langage de script utilisé pour réaliser l'attaque par « Cross Site Scripting ». Si, par exemple, le langage javascript est utilisé, il est alors possible :

  • d'afficher une fenêtre demandant à l'utilisateur de rentrer son login et son mot de passe puis de valider, après quoi le résultat sera alors envoyé par mél à l'attaquant ;
  • de récupérer les cookies de la machine victime ;
  • d'exécuter des commandes système...
Les risques liés à cette vulnérabilité sont donc nombreux : déni de service de la machine victime, utilisation de la machine victime à des fins malveillantes, récupération de données personnelles, vol d'identification de connexion.

Pour se protéger, les utilisateurs doivent, dans la mesure du possible, suivre les recommandations, souvent énoncées par le CERTA :

  • éviter de cliquer de façon inconsidérée sur les différents liens insérés dans les messages électroniques ;
  • naviguer sur des sites de confiance : cela signifie, dans ce contexte, sur des sites sur lesquels il n'y aurait pas, a priori, de liens malveillants ;
  • désactiver le javascript sur leur navigateur.

Pour limiter les risques, les concepteurs ou administrateurs de sites web doivent impérativement prévoir un contrôle sur le contenu des différents champs d'un formulaire, ou, de manière plus générale, sur toute donnée que le site est susceptible de récupérer suite à la navigation d'un utilisateur. Ces contrôles peuvent par exemple porter sur la longueur du contenu, sur la présence d'une redirection, sur la présence de caractères spéciaux (comme '>' et '<'), etc ; sans oublier pour autant l'application des correctifs.

Références:

2 Récapitulatif des différentes mises à jour Mozilla

Le CERTA a mentionné des produits Mozilla dans plusieurs documents ces dernières semaines. Parmi ceux-ci, il faut noter :

  • CERTA-2006-AVI-227 : cet avis a été mis à jour, suite aux modifications apportées par certaines distributions Linux pour corriger les vulnérabilités détaillées dans le bulletin de sécurité Mozilla du 01 juin 2006. Ce dernier nécessite le changement de version des produits Firefox et Thunderbird qui évoluent en 1.5.0.4.
  • CERTA-2006-AVI-312 : cet avis du CERTA fait suite au bulletin de sécurité Mozilla du 27 juillet 2006, et implique le changement de version des produits Firefox et Thunderbird en 1.5.0.5. Plusieurs vulnérabilités (14 références citées) sont corrigées, celles-ci permettant à un utilisateur malveillant de provoquer un déni de service, de réaliser une attaque de type cross site scripting ou d'exécuter du code arbitraire à distance. Une majorité de ces vulnérabilités sont issues du module Javascript.

Le 02 août 2006, Mozilla a mis à disposition sur son site une nouvelle version de Firefox et Thunderbird : 1.5.0.6. Cette version n'est pas une mise à jour de sécurité, mais corrige un problème de compatibilité avec des fichiers Windows Media.

3 Serveur Web et modules associés

Le CERTA a publié cette semaine un avis concernant une vulnérabilité présente dans un module d'Apache httpd (CERTA-2006-AVI-315). Elle concerne une erreur dans le module Rewrite (mod_rewrite) généralement inclus dans Apache, mais pas systématiquement chargé par défaut. Ce module permet la ré-écriture à la volée d'URLs et s'utilise parfois pour les besoins internes du serveur httpd dans certaines distributions GNU/Linux. Il est donc recommandé d'effectuer les mises à jour.

De manière générale, il est important de passer en revue les différents modules activés dans la configuration d'Apache httpd et, le cas échéant, de les désactiver s' ils ne sont d'aucune utilité. Le plus souvent, ceux-ci sont visibles dans le fichier httpd.conf. Les modules utilisés se manifestent par une ligne débutant par LoadModule et AddModule. Ceux commentés ont été inclus pendant la compilation mais ne sont pas chargés par défaut. Toute modification de ce fichier ne prend effet qu'après arrêt et redémarrage du service Apache httpd.

4 Rappel des avis et mises à jour émis

Durant la période du 28 juillet au 03 août 2006, le CERTA a émis les avis suivants :

  • CERTA-2006-AVI-315 : Vulnérabilité dans Apache httpd
  • CERTA-2006-AVI-316 : Multiples vulnérabilités des pilotes Microsoft pour Intel Centrino PRO/Wireless
  • CERTA-2006-AVI-317 : Multiples vulnérabilités dans Mac OS X
  • CERTA-2006-AVI-318 : Vulnérabilité dans les produits McAfee
  • CERTA-2006-AVI-319 : Vulnérabilité dans la librairie libgd
  • CERTA-2006-AVI-320 : Vulnérabilités Symantec
  • CERTA-2006-AVI-321 : Vulnérabilité dans la bibliothèque libwmf
  • CERTA-2006-AVI-322 : Multiples vulnérabilités dans Ruby
  • CERTA-2006-AVI-323 : Vulnérabilité dans PowerArchiver
  • CERTA-2006-AVI-324 : Vulnérabilité dans Dokeos
  • CERTA-2006-AVI-325 : Vulnérabilité dans la pile IP de Sun Solaris
  • CERTA-2006-AVI-326 : Vulnérabilité dans TCP de Sun Solaris

Pendant cette même période, les mises à jour suivantes ont été publiées :

  • CERTA-2005-AVI-190-003 : Vulnérabilité de divers outils gérant le format ELF

    (ajout de la référence au bulletin de sécurité SGI)

  • CERTA-2006-AVI-067-005 : Vulnérabilité sur OpenSSH

    (ajout de la référence au bulletin de sécurité SGI)

  • CERTA-2006-AVI-229-002 : Vulnérabilité dans SquirrelMail

    (ajout de la référence au bulletin de sécurité SGI)

  • CERTA-2006-AVI-294-002 : Vulnérabilité dans Samba

    (ajout des références aux bulletins de sécurité Gentoo, RedHat, Suse, Debian et SGI)

  • CERTA-2006-AVI-301-001 : Multiples vulnérabilités dans Ethereal/ Wireshark

    (ajout des références aux bulletins de sécurité Debian, Gentoo et Mandriva)

  • CERTA-2006-AVI-312-001 : Multiples vulnérabilités dans les produits Mozilla

    (ajout des références aux bulletins de sécurité Redhat, Ubuntu et SGI)


Liste des tableaux

Gestion détaillée du document

04 août 2006
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-05-23