Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2006-ACT-036

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 08 septembre 2006
No CERTA-2006-ACT-036

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2006-36


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-036

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-036.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-036/

1 Activité en cours

1.1 Vulnérabilité dans Microsoft Office - Word

Une vulnérabilité non corrigée existe dans Microsoft Office. Elle a fait l'objet d'un avis Microsoft 925059 et le CERTA a publié l'alerte ALE-2006-ALE-0011 à ce sujet.

Cette vulnérabilité semble affecter Word 2000, et des codes malveillants exploitant celle-ci se propagent actuellement sur l'Internet. Ceux-ci se nomment, en fonction des antivirus :

  • W32/Mofei.worm.de (McAfee)
  • Trojan.Mdropper.Q (Symantec)
  • Trojan-Dropper.MSWord.1Table.bv (Kaspersky)
  • TROJ_MDROPPER.BR (TrendMicro).

Dans l'attente d'un correctif, le CERTA recommande :

  1. de n'ouvrir que les documents bureautiques de confiance ;
  2. d'utiliser une suite bureautique alternative à jour ;
  3. de vérifier la mise à jour des antivirus

2 Listes blanches anti-spam

Certains sites web, au nom de la lutte contre les messages électroniques non désirés, proposent d'entretenir des listes blanches d'adresses de messagerie. Le principe est le suivant : lorsque vous envoyez un message électronique, vous êtes invités à vous inscrire auprès d'un site web, qui se pose comme tiers de confiance. Ce dernier validera pour tous vos échanges futurs le fait que vous n'êtes pas un robot de spam.

Ces listes blanches soulèvent toutefois de nombreuses questions :

  • avez-vous accès à l'information stockée dans ces bases de données ?
  • pouvez-vous modifier ces informations ?
  • quelle confiance accordez-vous dans ce tiers que vous ne connaissez pas ?
  • le transit de vos messages électroniques par ces tiers de confiance est-il conforme à votre politique de sécurité ?
  • est-il souhaitable de communiquer une adresse électronique réellement utilisée ?
  • une adresse de messagerie ainsi stockée chez un tiers de confiance peut-elle être utilisée par un robot de spam ?

Le CERTA vous recommande de bien réfléchir à ces questions avant d'imposer l'utilisation d'une quelconque liste blanche d'adresses de messagerie à vos correspondants.

Des questions similaires se posent pour toute solution utilisant des listes noires, c'est à dire des listes à éviter. Ce procédé est employé dans des outils proposant de combattre le spam, ou le filoutage.

3 Vulnérabilités de BIND

Le CERTA a publié le 07 septembre 2006 un avis sur le service ISC BIND (Berkeley Internet Name Domain). Ce dernier met en œuvre le protocole DNS servant à la résolution de noms de domaine (association entre une adresse IP et un nom.

Le CERTA annonce dans cet avis (CERTA-2006-AVI-384) deux vulnérabilités pouvant conduire une personne malveillante à provoquer un mauvais fonctionnement (arrêt de service) d'un serveur DNS vulnérable.

DNS est un élément important dans le bon fonctionnement d'un système d'information connecté à l'Internet. Il est utilisé par de nombreuses applications, comme les navigateurs, mais parfois de manière discrète, comme par exemple les messageries. Un mauvais fonctionnement des serveurs DNS peut ainsi entraîner des dysfonctionnements en chaîne.

Le CERTA recommande donc vivement d'appliquer les mises à jour signalées dans l'avis.

4 Analyse de journaux Microsoft

Microsoft utilise dans un ensemble d'applications une numérotation particulière pour identifier les événements. Par exemple, sous Windows XP, une liste d'événements observés se trouve à l'emplacement suivant :

  • démarrer
  • Panneau de configuration
  • Performances et maintenance
  • Outils d'administration
  • Observateur d'événements.

Les événements sont classés en trois grandes catégories, celles ayant trait aux applications installées, celles liées au système d'exploitation et celles de sécurité.

En cliquant sur un événement particulier, il peut arriver que le champ description soit manquant, car des droits empêchent de récupérer cette information ou la bibliothèque installée ne le fournit pas. Plusieurs sites se proposent de lister et expliciter les messages associés à chaque événement, en fonction d'un numéro d'identifiant et des sources (ou bibliothèques). Il est intéressant de se reporter à ceux-ci pour éclaircir des événements donnés :

Ces deux sites fournissent par ailleurs d'autres informations utiles :

5 Rappel des avis et de la mise à jour émis

Durant la période du 01 au 07 septembre 2006, le CERTA a émis les avis suivants :

  • CERTA-2006-AVI-382 : Vulnérabilité dans Webmin et Usermin
  • CERTA-2006-AVI-383 : Vulnérabilités dans OpenLDAP
  • CERTA-2006-AVI-384 : Vulnérabilité dans OpenSSL
  • CERTA-2006-AVI-385 : Vulnérabilités de BIND

Pendant cette même période, la mise à jour suivante a été publiée :

  • CERTA-2006-INF-003-003 : Les systèmes et logiciels obsolètes

    (mises à jour des versions pour les systèmes BSD et ajout de la référence pour le système AIX)


Liste des tableaux

Gestion détaillée du document

08 septembre 2006
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-03-28