Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2006-ACT-039

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 29 septembre 2006
No CERTA-2006-ACT-039

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2006-39


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-039

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-039.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-039/

1 Bulletins de sécurité Microsoft

1.1 Vulnérabilité VML de la librairie VGX.DLL

Microsoft a publié de manière exceptionnelle un correctif décrit dans le bulletin MS06-055, mardi 26 septembre 2006. L'application de ce dernier corrige une vulnérabilité affectant la bibliothèque vgx.dll (CVE-2006-4868). Cette bibliothèque est utilisée pour prendre en compte le format VML (pour Vector Markup Language).

Un vecteur d'attaque consiste à construire et à publier des pages HTML qui exploitent la faille par l'intermédiaire d'Internet Explorer. Cependant, toute application faisant appel à cette bibliothèque peut être considérée comme vulnérable (messagerie électronique Outlook, visionneuse d'images, etc.).

Plusieurs codes malveillants circulent déjà dans l'Internet, les noms attribués variant selon les marques des produits de sécurité :

  • HTML/Levem.C (Microsoft)
  • Trojan.Vimalov (Symantec)
  • Exploit.HTML.VML.a (F-Secure, Kaspersky)
  • Exploit-VMLFill (McAfee)
  • Troj/Dloadr-ANO, Troj/Goldun (Sophos)
  • JS/Veemyfull!exploit (CA)

Le CERTA recommande vivement d'appliquer le correctif associé au bulletin MS06-055, et a publié l'avis CERTA-2006-AVI-410 le 27 septembre 2006 à ce sujet.

1.2 Mise à jour du bulletin MS06-049

Microsoft a mis à jour le 26 septembre 2006 le correctif correspondant au bulletin de sécurité MS06-049. Le bulletin initial corrigeait une vulnérabilité dans le noyau Windows. Celle-ci permettrait à un utilisateur local au système vulnérable d'élever ses privilèges et d'en prendre le contrôle.

L'application du correctif initial peut entraîner certaines erreurs pour les systèmes utilisant de la compression de fichiers NTFS. Les fichiers compressés dont la taille excède 4ko peuvent être corrompus au cours de leur manipulation. Il est donc recommandé aux utilisateurs de Windows 2000 SP4 employant la compression de fichiers NTFS d'appliquer la mise à jour du correctif.

2 Vulnérabilité non corrigée dans Microsoft Office Powerpoint

Une vulnérabilité concernant Microsoft Office a été publiée, ainsi qu'un code pour l'exploiter. Elle impliquerait les différentes versions de l'application Powerpoint.

Un utilisateur malveillant peut construire un document au format Powerpoint de façon particulière. Ce dernier permettrait d'exécuter du code arbitraire dans tout système vulnérable sur lequel le document serait ouvert.

Il est fortement recommandé de n'accepter que les documents provenant de sources de confiance.

Un contournement consiste aussi à convertir ses propres documents Powerpoint en .pdf (pour Portable Document Format et de n'accepter que les transparents sous ce même format. Ceux-ci peuvent être lu par plusieurs lecteurs et visualiser en mode diaporama.

3 OpenSSH

Le CERTA a publié l'avis de sécurité CERTA-2006-AVI-411 au sujet d'une vulnérabilité dans OpenSSH concernant la possibilité de réaliser un déni de service via un paquet SSH spécialement construit. Il convient de noter que cette vulnérabilité ne concerne que la version 1 du protocole SSH. Cette version de protocole était déjà considérée comme non sûre. Il est important de vérifier que vos serveurs SSH ne concervent pas le support de cette version. Ils devront être impérativement configurer pour ne supporter que la version 2 du prototole. Pour s'en assurer, il suffit de vérifier que la directive Protocol est fixée uniquement à 2 dans le fichier sshd_config.

Documentation :

4 Rappel des avis et mises à jour émis

Durant la période du 15 au 21 septembre 2006, le CERTA a émis les avis suivants :

  • CERTA-2006-AVI-406 : Vulnérabilités d'Apple AirPort
  • CERTA-2006-AVI-407 : Vulnérabilités dans HP-UX
  • CERTA-2006-AVI-408 : Vulnérabilités dans HP-UX
  • CERTA-2006-AVI-409 : Vulnérabilités dans CA
  • CERTA-2006-AVI-410 : Vulnérabilité du système Microsoft Windows
  • CERTA-2006-AVI-411 : Vulnérabilité dans OpenSSH
  • CERTA-2006-AVI-412 : Vulnérabilité dans GnuTLS
  • CERTA-2006-AVI-413 : Multiples vulnérabilités dans gzip

Pendant cette même période, l'alerte suivante a été mise à jour :

  • CERTA-2006-AVI-222-001 : Vulnérabilités de cURL

    (ajout des références aux bulletins de sécurité SuSE, Ubuntu et Mandriva)

  • CERTA-2006-AVI-301-002 : Multiples vulnérabilités dans Ethereal/Wireshark

    (ajout des références aux bulletins de sécurité Avaya, SuSE et Red Hat)

  • CERTA-2006-AVI-332-001 : Multiples vulnérabilités dans PHP

    (ajout des références aux bulletins de sécurité Red Hat et Mandriva)

  • CERTA-2006-AVI-347-001 : Vulnérabilité du noyau de Windows 2000

    (ajout de la référence CVE et de la nouvelle mise à jour du bulletin MS06-049)

  • CERTA-2006-AVI-351-003 : Vulnérabilité de SquirrelMail

    (ajout des bulletins de sécurité SuSE et Red Hat)

  • CERTA-2006-AVI-361-002 : Vulnérabilité dans ImageMagick

    (ajout de la référence au bulletin de sécurité de Gentoo)

  • CERTA-2006-AVI-391-002 : Multiples vulnérabilités dans les produits Mozilla

    (ajout des références aux bulletins de sécurité Ubuntu, Red Hat)

  • CERTA-2006-AVI-411-001 : Vulnérabilité dans OpenSSH

    (ajout de la section Contournement provisoire)


Liste des tableaux

Gestion détaillée du document

29 septembre 2006
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-07-27