Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2006-ACT-045

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 10 novembre 2006
No CERTA-2006-ACT-045

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2006-45


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-045

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-045.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-ACT-045/

1 Activité en cours

1.1 Défiguration

Le CERTA a traité cette semaine un cas de défiguration dans lequel les attaquants ont une nouvelle fois utilisé une faille par injection de code. Le ou les intrus ont trouvé le site par le biais d'une recherche ciblée sur un moteur de recherche. Ils ont ensuite testé le contrôle, par le site, du contenu des variables passées en paramètre. L'une, au moins, de ces variables n'était pas protégée. Ce paramètre ne devrait contenir être qu'un entier, hors dans les journaux du serveur web nous avons constaté que derrière l'entier les attaquants ont pu ajouter du code SQL qui a été interprété par le serveur. Plus concrétement, la valeur du paramètre attendue était "ID=1", mais a été remplacée par "ID=1 update TABLE set CHAMPS=***MESSAGE***;".

Ils ont pu, alors, insérer leur message dans la base de données du site web.

Afin d'éviter cette attaques il aurait suffit de contrôler que la valeur passée au paramètre ID était un entier compris dans des bornes raisonnables.

Recommandations :

Cette compromission rappelle une nouvelle fois l'importance de vérifier la valeur, le contenu et la cohérence des paramètres avant leur traitement.

1.2 Des responsabilités

Le CERTA rappelle, suite à un incident ayant été traité cette semaine, que des responsabilités particulières s'imposent quand un site Internet offre des services en ligne. De manière générale, il est important de garder à l'esprit certains articles de loi, afin d'administrer le site en conséquence. Parmi eux :

  • Art. 226-17 du Code Pénal :
"Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l'article 34 de la loi n°78-17 du 6 janvier 1978 précitée est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende."
  • Art 34 de la loi n°78-17 du 6 janvier 1978 (informatique et libertés), modifiée par la loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel du 6 août 2004 :
"Toute personne ordonnant ou effectuant un traitement d'informations nominatives s'engage de ce fait, vis à vis des personnes concernées, à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés."

2 Bulletins de sécurité et Firefox 2.0

Le projet Mozilla a annoncé publiquement le 24 octobre 2006 la version 2 du Navigateur Internet Firefox version 2.

En l'absence d'information sur les corrections apportées dans la version 2 définitive et dans la mesure où la branche 1.5 de Firefox est encore maintenue, le CERTA avait recommandé d'attendre un peu avant de déployer la version 2.

Cette semaine, Mozilla a publié trois avis de sécurité qui ont conduit à l'apparition de la version 1.5.0.8. Les avis font également mention de la version 2.0, et des corrections qui y ont été apportées.

La version 2.0 de Firefox est donc maintenue, et peut a fortiori être utilisée, en remplacement de la version 1.5.0.8. Cette dernière reste cependant toujours valable et actualisée.

Documentation :

3 Vulnérabilités de Windows

Le CERTA a fait mention dans le bulletin d'actualité CERTA-2006-ACT-043 de l'existence d'une vulnérabilité qui serait exploitable via le navigateur Internet Explorer 7.

Il est apparu que cette vulnérabilité n'est pas directement liée à cette nouvelle version du navigateur de Microsoft, mais réside dans la gestion des redirections mhtml. Celles-ci sont effectuées au moyen de la librairie inetcomm.dll, un composant du client de messagerie Outlook.

La vulnérabilité devrait être corrigée prochainement. Dans l'attente du correctif, le CERTA rappelle quelques bonnes pratiques à appliquer :

  • le client de messagerie doit être configuré pour ne recevoir que des courriels au format texte ;
  • le client de messagerie doit être configuré pour envoyer par défaut des courriels au format texte ;
  • Les activeX et le Javascript doivent être désactivés par défaut au cours de l'utilisation d'Internet Explorer. Leur activation doit être ponctuelle et maîtrisée.

Documentation :

4 Recommandations concernant les supports de stockage USB

Les périphériques USB (pour Universal Serial Bus) occupent actuellement une place prépondérante dans l'univers de l'appareillage informatique. Ils peuvent être de tout type, comme par exemple un support de données amovible (clé USB, lecteur de musique au format MP3, etc).

De part leur facilité d'installation, ces périphériques s'échangent très facilement d'une machine à une autre. Cependant, cette opération présente des risques, aussi bien pour le périphérique que pour l'ordinateur d'accueil.

Du fait de la simplicité et de la furtivité des attaques basées sur ces échanges, il est important de prendre des mesures préventives. Il n'est bien sûr pas question de remettre en cause l'utilité de l'USB, notamment les différents périphériques de stockage, mais certaines considérations doivent être prises avant leur utilisation, que ce soit pour l'utilisateur ou l'administrateur.

Le CERTA a publié cette semaine la note d'information CERTA-2006-INF-006, présentant les risques et des recommandations à ce sujet.

Documentation :

5 Rappel des avis et mises à jour émis

Durant la période du 03 au 09 novembre 2006, le CERTA a émis les avis suivants :

  • CERTA-2006-AVI-470 : Vulnérabilité sur le produit CSA de CISCO
  • CERTA-2006-AVI-471 : Vulnérabilité OpenSSL sur les produits Nortel
  • CERTA-2006-AVI-472 : Plusieurs vulnérabilités dans les produits Sophos
  • CERTA-2006-AVI-473 : Vulnérabilité dans IBM Informix Dynamic Server (IDS)
  • CERTA-2006-AVI-474 : Vulnérabilité dans Novell eDirectory
  • CERTA-2006-AVI-475 : Multiples vulnérabilités dans HP System Management Homepage
  • CERTA-2006-AVI-476 : Multiples vulnérabilités dans HP-UX VirtualVault et HP-UX Webproxy
  • CERTA-2006-AVI-477 : Vulnérabilités dans SAP
  • CERTA-2006-AVI-478 : Vulnérabilité du noyau Linux avec IPv6
  • CERTA-2006-AVI-479 : Vulnérabilité dans Microsoft Visual Studio
  • CERTA-2006-AVI-480 : Vulnérabilité des drivers NVidia
  • CERTA-2006-AVI-481 : Vulnérabilité dans PHP
  • CERTA-2006-AVI-482 : Vulnérabilités des produits Mozilla
  • CERTA-2006-AVI-483 : Vulnérabilité dans FreeBSD
  • CERTA-2006-AVI-484 : Multiples vulnérabilités de Cisco Secure Desktop
  • CERTA-2006-AVI-485 : Vulnérabilité dans le module pam_ldap
  • CERTA-2006-AVI-486 : Vulnérabilité sur OpenSSH
  • CERTA-2006-AVI-487 : Multiples vulnérabilités dans Lotus Domino pour Linux
  • CERTA-2006-AVI-488 : Vulnaribilités dans la bibliothèque imlib2

Pendant cette période, les avis suivants ont été mis à jour :

  • CERTA-2006-AVI-454-002 : Vulnérabilités dans Clam Antivirus

    (ajout des bulletins de sécurité Gentoo, Debian, Suse et Mandriva)

  • CERTA-2006-AVI-465-001 : Multiples vulnérabilités dans PostgreSQL

    (ajout du bulletin de sécurité de Mandriva)


Liste des tableaux

Gestion détaillée du document

10 novembre 2006
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-05-24