Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2006-ACT-032

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 11 août 2006
No CERTA-2006-ACT-032

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2006-32


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-032

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-032.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-032/

1 Bulletins de sécurité Microsoft, août 2006

1.1 Rappel

Microsoft a publié, le 08 août 2006, 12 bulletins de sécurité, dont 9 sont qualifiés de critiques et trois d'importants. En août 2006, Microsoft aura ainsi publié pour l'année 2006 plus de bulletins critiques que l'ensemble de ceux de l'année 2005 ou 2004. Plusieurs vulnérabilités de ce mois-ci ont été présentées lors des récentes conférences en sécurité BlackHat 2006 et Defcon14. Nous revenons dans les paragraphes suivants sur les points majeurs de ces dernières mises à jour.

1.2 Service Serveur et risques

La plus médiatisée actuellement est la MS06-040 (CERTA-2006-AVI-338). Elle concerne le service Serveur du système d'exploitation Microsoft Windows. Ce service est utilisé pour les RPC (Remote Procedure Call), et de manière plus générale, pour le partage de ressources (fichiers, imprimantes, etc) dans un réseau local. Il est accessible à distance par les ports 139/tcp et 445/tcp.

La vulnérabilité est donc exploitable à distance, et peut entraîner l'exécution de commandes arbitraires par le biais de paquets spécialement conçus et envoyés à la machine vulnérable. Les ports impliqués sont déjà utilisés pour la propagation de nombreux vers, comme Sasser ou Blaster. Des codes d'exploitation visant la vulnérabilité MS06-040 sont déjà disponibles sur l'Internet, et il est possible que ceux-ci soient rapidement intégrés dans le corps d'un nouveau ver.

Microsoft avait publié en juillet 2006 le bulletin MS06-035 ciblant le même service. Suite à la mise à jour référencée par ce dernier, plusieurs personnes ont souligné la possibilité de lancer des attaques par déni de service, s'appuyant sur les modifications effectuées par la mise à jour. Le bulletin MS06-040 est indépendant de ce problème, qui reste non corrigé, comme le souligne une note de Microsoft. Le correctif est en cours d'élaboration.

Le CERTA recommande donc d'appliquer les correctifs mis à disposition par Microsoft, et de bien vérifier que les pare-feux filtrent correctement le trafic à destination de ces ports. Ils doivent être bloqués pour toute connexion depuis l'extérieur du réseau (Internet). Attention toutefois aux postes nomades qui peuvent rendre ce filtrage inefficace. Il est aussi possible d'utiliser le pare-feu ICF (Internet Connection Firewall) fourni par Microsoft sur les versions XP et 2003 pour effectuer le filtrage au niveau de chaque machine.

1.3 Résolution de noms

Le bulletin MS06-041 (CERTA-2006-AVI-339) corrige une vulnérabilité survenant lors de la résolution de noms (gestion des noms de machines associées aux adresses IP) par le client DNS ou Winsocks Hostname. Winsock Hostname est une interface API procurant la fonction d'accès au protocole réseau DNS. Cette interface est utilisée par la majorité des applications nécessitant un accès réseau. Le client DNS est, quant à lui, nativement installé sur la plupart des machines pour effectuer la résolution de noms. Les deux partagent plusieurs fonctions en commun, comme gethostbyname().

Dans la mesure où plusieurs applications s'appuient sur cette fonction, et que la vulnérabilité est exploitable à distance via ces dernières, il est vivement recommandé d'appliquer le correctif référencé par le bulletin MS06-041. Par ailleurs, il est fréquent que les applications développées pour Windows importent dans leur répertoire des copies de .dll nécessaires (dnsapi.dll, rasadhlp.dll, etc). Celles-ci ne sont pas nécessairement mises à jour...

1.4 Correction de Microsoft Office et Powerpoint

Le CERTA avait émis une alerte (CERTA-2006-ALE-009) le 15 juillet 2006, concernant la librairie de Microsoft Office mso.dll, et plus précisément Powerpoint. Une personne malveillante peut exploiter des vulnérabilités pour construire un document Powerpoint particulier. Quand ce dernier est ouvert sur un système vulnérable, cela provoque l'exécution de code arbitraire.

Les vulnérabilités sont corrigées dans le bulletin MS06-046, et l'avis du CERTA CERTA-2006-AVI-346 en fournit les détails.

1.5 Multiples corrections dans Internet Explorer

Le CERTA a mentionné dans les précédents bulletins d'actualité les nombreuses vulnérabilités qui ont été publiées au cours du mois de juillet 2006 sur un site Web. Celles-ci apparaissaient quotidiennement dans un bloc-notes, suite à l'application de nouveaux outils de test sur différents types de navigateurs. Plusieurs d'entre elles visaient Microsoft Internet Explorer.

Microsoft les corrige dans le bulletin MS06-042 (CERTA-2006-AVI-340).

2 Sécurisation des machines Apple MAC

Au cours d'une conférence en sécurité nommée Defcon14, il a été souligné certaines faiblesses du pare-feu de MacOS. Par défaut, ce dernier n'est pas activé. Il est accessible par les Préférences Système, section Partage. Les versions MacOS Panther ne filtrent pas les protocoles UDP et ICMP (ping). Pour la version MacOS Tiger, il faut indiquer explicitement que ces derniers doivent être bloqués en se rendant dans la sous-section Coupe-Feu -> Avancé.... En regardant plus en détail les règles de filtrage, il est possible de voir que certaines exceptions apparaissent, notamment sur le filtrage des ports source UDP, dont certains resteraient autorisés malgre le blocage UDP. Plusieurs services sont accessibles par défaut sur une machine utilisant Mac OS via le protocole UDP : ntpd (pour synchroniser l'heure avec un serveur distant), CUPS (pour gérer les requêtes vers les imprimantes), Bonjour (pour donner des informations au voisinage réseau)...

Recommandations :

Le CERTA recommande donc de :

  • modifier directement les règles de filtrage dans les fichiers de configuration du pare-feu de MacOS, qui s'appuie sur le logiciel libre ipfw de FreeBSD. Les règles actuellement en place sont visibles en tapant dans une console la commande suivante : sudo ipfw list.
  • filtrer en amont par le biais d'un autre pare-feu, de manière redondante, pour garantir que la politique d'acès est bien respectée.

Liens :

3 Liens utiles

4 Rappel des avis et mises à jour émis

Durant la période du 04 au 10 août 2006, le CERTA a émis les avis suivants :

  • CERTA-2006-AVI-327 : Vulnérabilité dans MyBB
  • CERTA-2006-AVI-328 : Vulnérabilité dans GnuPG
  • CERTA-2006-AVI-329 : Multiples vulnérabilités dans la bibliothèque libTIFF
  • CERTA-2006-AVI-330 : Multiples vulnérabilités dans Phorum
  • CERTA-2006-AVI-331 : Vulnérabilité dans ATutor
  • CERTA-2006-AVI-332 : Multiples vulnérabilités dans PHP
  • CERTA-2006-AVI-333 : Vulnérabilité sur Novell GroupWise et WebAccess
  • CERTA-2006-AVI-334 : Multiples vulnérabilités dans IBM Informix Dynamic Server (IDS)
  • CERTA-2006-AVI-335 : Vulnérabilité dans Drupal
  • CERTA-2006-AVI-336 : Vulnérabilité dans ClamAV
  • CERTA-2006-AVI-337 : Vulnérabilité dans Webmin & Usermin
  • CERTA-2006-AVI-338 : Vulnérabilité dans le Service Serveur de Microsoft Windows
  • CERTA-2006-AVI-339 : Vulnérabilités dans Winsock Hostname et le Client DNS de Microsoft Windows
  • CERTA-2006-AVI-340 : Multiples vulnérabilités dans Internet Explorer
  • CERTA-2006-AVI-341 : Vulnérabilité dans Microsoft Windows
  • CERTA-2006-AVI-342 : Vulnérabilité dans Microsoft Management Console
  • CERTA-2006-AVI-343 : Vulnérabilité dans Windows Explorer
  • CERTA-2006-AVI-344 : Vulnérabilité dans le contrôle ActiveX HTML Help
  • CERTA-2006-AVI-345 : Vulnérabilité dans Microsoft Visual Basic for Applications (VBA)
  • CERTA-2006-AVI-346 : Multiples vulnérabilités dans Microsoft Office, dont Powerpoint
  • CERTA-2006-AVI-347 : Vulnérabilité du noyau de Windows 2000
  • CERTA-2006-AVI-348 : Multiples vulnérabilités dans la bibliothèque hlink.dll de Microsoft Windows
  • CERTA-2006-AVI-349 : Multiples vulnérabilités du noyau de Microsoft Windows
  • CERTA-2006-AVI-350 : Vulnérabilités dans Mysql

Pendant cette même période, les mises à jour suivantes ont été publiées :

  • CERTA-2006-AVI-270-001 : Vulnérabilité dans courier

    (ajout de la référence au bulletin de sécurité Gentoo)

  • CERTA-2006-AVI-267-003 : Vulnérabilité dans GnuPG

    (ajout des références au bulletins de sécurité RedHat, SGI, Suse et Ubuntu)

  • CERTA-2006-AVI-271-002 : Multiples vulnérabilités sur OpenOffice

    (ajout des références aux bulletins de sécurité Gentoo, Mandriva et Ubuntu)

  • CERTA-2006-AVI-299-001 : Vulnérabilité dans libVNCServer

    (ajout des références aux bulletins de sécurité Gentoo et Suse)

  • CERTA-2006-AVI-312-002 : Multiples vulnérabilités dans les produits Mozilla

    (ajout des références aux bulletins de sécurité Redhat et Gento)

  • CERTA-2006-AVI-315-001 : Vulnérabilité dans Apache httpd

    (ajout des références aux bulletins de sécurité Gentoo, SuSE, Mandriva et Ubuntu)

  • CERTA-2006-AVI-322-001 : Multiples vulnérabilités dans Ruby

    (ajout de la référence au bulletin de sécurité Debian)

  • CERTA-2006-AVI-299-002 : Vulnérabilité dans libVNCServer

    (ajout de la référence au bulletin de sécurité Gentoo concernant x11vnc)


Liste des tableaux

Gestion détaillée du document

11 août 2006
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-06-28