Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2007-ACT-031

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 03 août 2007
No CERTA-2007-ACT-031

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2007-31


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-031

Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-031.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2007-ACT-031/

1 Les référencements douteux

Cette semaine, le CERTA a rencontré le cas d'un portail web offrant à ses visiteurs des liens relatifs à des sites officiels : administrations, commerciaux, bancaires, .... Les sites demandés sont affichés à l'intérieur du portail par le biais de cadres. Les problèmes soulevés par ce genre de portail sont :

  • la sécurité des visiteurs ne peut pas être assurée. Du code malveillant peut être exécuté au moment de l'affichage du site légitime ;
  • l'authenticité des sites affichés ne peut être vérifiée. En effet, le gestionnaire du portail peut à tout moment rediriger ses visiteurs vers des sites frauduleux ou de filoutage (phishing) ;
  • ils tentent d'utiliser la notorité de sites existant à leur profit. De la publicité est généralement ajoutée lors de l'affichage du site légitime ;
  • L'image de marque des sites officiels ciblés peut être mise à mal car listée au milieu de sites pour adultes.

Le CERTA rappelle que ce genre de comportement est contraire à la Netiquette qui indique les règles de bonne conduite sur l'Internet, comme avoir l'accord du propriétaire d'un site avant de le référencer. Le CERTA rappelle également que pour des raisons de sécurité il est préférable de saisir à la main dans le navigateur l'adresse réticulaire (URL) du site désiré. Il est également recommandé aux gestionnaires de site de vérifier régulièrement les sites les référençant sur l'Internet. Ceci peut être fait en consultant régulièrement les journaux de votre serveur web dans lesquels se trouve le champs Referer.

2 Vulnérabilités sur les produits Mozilla

Un article du bulletin d'actualité CERTA-2007-ACT-030 décrivait une nouvelle vulnérabilité affectant Mozilla Firefox installé sur une machine avec Microsoft Windows XP SP2 avec Internet Explorer 7.

Dans la première publication, la mauvaise gestion d'URI commançant par la chaîne %00 dans FireFox était soupçonnée d'être la cause de la faille. Après quelques jours il s'est avéré que la cause était plus large et non limitée à ce type de chaîne ; le système d'exploitation Microsoft Windows 2003 SP2 a également été cité comme vulnérable. Compte tenu de la criticité de la vulnérabilité, l'équipe de développement de Mozilla Firefox a publié rapidement un correctif. En effet, celui-ci était présent dans la mise à jour vers la version 2.0.0.6 dès le 30 juillet 2007.

Après plusieurs tests, le CERTA a également pu mettre en évidence que le client de messagerie Mozilla Thunderbird était vulnérable via une technique d'attaque similaire à celle utilisée dans Firefox. La fondation Mozilla a d'ailleurs fourni un correctif pour ce logiciel le 01 août 2007 par l'intermédiaire de la mise à jour vers la version 2.0.0.6.

3 Safari pour Windows

Il y a quelques semaines Apple annonçait la disponibilité de son navigateur Safari sous Microsoft Windows. Ce navigateur est basé sur un moteur de rendu différent de Gecko (utilisé par Firefox et SeaMonkey) ou de celui de Internet Explorer. En effet Safari se base sur le moteur KHTML initialement fourni par le projet KDE, un environnement graphique sous GNU/Linux.

Ce fait est plutôt intéressant car le CERTA propose souvent dans ses alertes l'utilisation d'un navigateur dit « Alternatif » comme contournement provisoir. L'alerte rappelle souvent qu'il faut bien utiliser un navigateur dont le moteur de rendu varie par rapport à celui affecté par la vulnérabilité. Ainsi, si Firefox est vulnérable, on préférera, par exemple, Opera ou Internet Explorer. A l'inverse, si c'est Internet Explorer, on privilégiera alors plutôt l'un des deux autres.

En ce sens, l'arrivée d'un nouveau navigateur basé sur une autre technologie d'affichage est plutôt positive. Cependant, le CERTA attire votre attention sur le fait qu'à la date de la rédaction de ce bulletin, Safari n'est disponible qu'en version dite « Beta » donc non finalisée. D'ailleurs peu de temps après sa sortie cette version « Beta » faisait déjà l'objet d'un avis du CERTA (CERTA-2007-AVI-265). Plusieurs vulnérabilités importantes ont donc été corrigées, dont quatre au cours de cette semaine (CERTA-2007-AVI-343). Celles-ci permettaient potentiellement l'exécution de code arbitraire.

Recommandation :

Par définition, une version « Beta », « Alpha » ou même « Release Candidate » fait qu'elle est encore en cours de stabilisation ou de fiabilisation. Il est donc déconseillé de l'utiliser dans un environnement de production. Elle peut en revanche faire l'objet de tests ponctuels afin de suivre l'évolution du projet pour un déploiement futur. Ceci est d'ailleurs vrai pour tout logiciel mis en production : il conviendra toujours de préférer les versions stables faisant l'objet de correctifs et de suivis d'erreurs plutôt que des logiciels en cours de développement faisant l'objet de modifications quotidiennes (parfois avec des effets désastreux).

Références

Alerte CERTA-2007-ALE-013 du 27 juillet 2007, mise à jour le 31 juillet 2007 :

http://www.certa.ssi.gouv.fr/site/CERTA-2007-ALE-013/index.html


4 Rappel des avis émis

Durant la période du 27 juillet au 02 août 2007, le CERTA a émis les avis suivants :

  • CERTA-2007-AVI-335 : Multiples vulnérabilités dans certains produits sans-fil Cisco
  • CERTA-2007-AVI-336 : Vulnérabilité dans Novell Client
  • CERTA-2007-AVI-337 : Multiples vulnérabilités dans des produits Mozilla
  • CERTA-2007-AVI-338 : Vulnérabilité dans HP-UX ARPA
  • CERTA-2007-AVI-339 : Multiples vulnérabilités dans Apache
  • CERTA-2007-AVI-340 : Multiples vulnérabilités dans Apple Mac OS X
  • CERTA-2007-AVI-341 : Vulnérabilité dans gpdf
  • CERTA-2007-AVI-342 : Vulnérabilité dans IBM Lotus Sametime
  • CERTA-2007-AVI-343 : Vulnérabilité dans Apple Safari pour Windows

Pendant la même période, l'avis suivant a été mis à jour :

  • CERTA-2007-AVI-138-004 : Vulnérabilité dans file (ajout de la référence au bulletin de sécurité Debian)
  • CERTA-2007-AVI-284-001 : Vulnérabilités dans MIT Kerberos 5 (ajout des références aux bulletins de sécurité Gentoo, Debian et SuSE)
  • CERTA-2007-AVI-290-001 : Vulnérabilités dans GIMP (ajout des références aux bulletins de sécurité Gentoo, Debian et Ubuntu)
  • CERTA-2007-AVI-306-001 : Vulnérabilité de ClamAV (ajout de la référence CVE et des références aux bulletins de sécurité Mandriva et Debian)
  • CERTA-2007-AVI-323-002 : Vulnérabilité dans Tcpdump (ajout des références aux bulletins de sécurité Gentoo et Ubuntu)
  • CERTA-2007-AVI-327-003 : Vulnérabilité dans BIND (ajout des références aux bulletins de sécurité SuSE et FreeBSD )


Liste des tableaux

Gestion détaillée du document

03 août 2007
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-06-28