Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2009-ACT-030

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 24 juillet 2009
No CERTA-2009-ACT-030

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2009-30


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-030

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-030.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-030/

1 Incident de la semaine

De nombreux sites web permettent actuellement aux utilisateurs de mettre en ligne, sans contrôle particulier, des commentaires afin d'échanger leurs avis sur certains articles. Ces commentaires sont en général soumis à une modération réalisée par le webmaster du site et/ou par la mise en place d'un mécanisme de vérification destiné à lutter contre les commentaires automatiques indésirables (web spamming).

Cette semaine, le CERTA a été informé de l'existence de plusieurs sites web ayant des commentaires au contenu inapproprié.

L'impact lié à de telles pratiques peut nuire à l'image du site web ou de l'établissement représenté. En effet, souvent les commentaires automatiques indésirables font la promotion pour des biens qui peuvent être illégaux, frauduleux ou dont la vente est réglementée.

De plus, dans le cas de commentaires à caractère illégal, il se peut que la responsabilité des personnes en charge du site web soit engagée.

Afin de se prémunir contre de tels incidents, il est recommandé de mettre en œuvre un mécanisme de protection contre les envois automatiques de commentaires (captcha), mais également une procédure de modération des commentaires émis.

2 Vulnérabilité du noyau Linux et audit de code

En fin de semaine dernière, un article détaillant une vulnérabilité dans un composant du noyau Linux (tun) a été publié. Selon les auteurs, il est quasi impossible pour un outil d'audit de code, quel qu'il soit, de détecter cette vulnérabilité. Il s'en explique d'ailleurs dans la suite de l'article.

Il est vrai qu'en l'espèce, cette vulnérabilité est, même en faisant une revue de code « à la main », difficile à remarquer. D'après les auteurs, cette faille de type pointeur nul (Null pointer) permet même de s'affranchir des protections mises en place par le modèle de sécurité de SELinux.

La difficulté d'appréhension de la vulnérabilité réside dans le fait qu'elle met en jeu à la fois une manière d'écrire du code mais également le comportement du compilateur. En effet, le problème vient du fait que le compilateur, pour des raisons d'optimisation, sans doute légitime dans le cas d'un noyau, va enlever certains tests qui, selon lui, ne servent à rien. Typiquement, pour le compilateur, il n'est pas indispensable de tester si une variable est égale à NULL, si quelques lignes auparavant, on s'en est servi pour affecter une valeur à une autre variable. Ainsi, l'exemple simplifié de code source suivant :

variableB = variableA ;
if (variableA == NULL) return ERROR ;

devient réellement dans le binaire

variableB = variableA ;

Il est alors possible de réaliser des attaques sur une vulnérabilité de type null pointer sur le binaire produit alors que le code source semble correct. Il suffisait ici de positionner le test de nullité avant l'affectation pour corriger l'erreur. Le correctif est donc trivial mais l'erreur d'écriture est très discrète et nécessite, pour être évitée, une bonne connaissance du compilateur...

3 Adobe Flash

3.1 Alerte CERTA-2009-ALE-013 et compléments d'information

Le CERTA a publié cette semaine l'alerte CERTA-2009-ALE-013 concernant une vulnérabilité de l'interprétation du format Shockwave Flash (SWF) par les produits Adobe.

Cela ne se limite pas au seul produit Adobe Flash Player. En effet, les dernières versions 9 datant de mi-2008 des logiciels Adobe Reader et Acrobat permettent l'interprétation de tels formats multimédia dans un document conteneur PDF (Portable Document Format).

Nous avions évoqué dans le bulletin d'actualité CERTA-2008-ACT-034 les particularités des fichiers de session utilisés par Flash (aussi appelés LSO ou Local Shared Objects). A cette occasion, nous avions abordé les difficultés de configuration pour cette application, qui se fait par défaut en ligne via le site d'Adobe.

D'autres opérations ne sont pas évidentes avec cette application, et en particulier :

  • l'opération de mise à jour ;
  • l'opération de désactivation de l'interprétation des formats Flash.

Par ailleurs, le format SWF est complexe et pas totalement accessible. Un applicatif Flash peut par exemple ouvrir des sockets en écoute (comme un serveur) ou établir une connexion sur un serveur distant sur un port donné. Il peut également avoir accès, sous certaines conditions, à des ressources système comme une caméra, le microphone, le presse-papiers, la souris et le clavier.

De manière générale, il n'est pas recommandé de déployer des applications qui ne sont globalement pas maîtrisables et qui offrent par ailleurs, des fonctionnalités trop riches, si leur utilité n'est pas clairement avérée. Ces dernières peuvent aussi naturellement intéresser les personnes malveillantes.

En particulier, les méthodes de protection ne sont pas simples à mettre en place lorsqu'un service comme Adobe Flash est installé sur le système. La meilleure des solutions consiste, pour prévenir les risques, à ne pas l'installer et s'assurer que cette politique est bien respectée.

3.2 Documentation associée

4 Tout le monde ne supporte plus Internet Explorer 6

Même si Microsoft Internet Explorer 6 est toujours supporté par Microsoft au moins jusqu'en juillet 2010 lorsque celui-ci est installé sur un Microsoft Windows XP ou un Microsoft Windows Media Center, certains sites web ne vont pas attendre cette date.

En effet, des sites Internet commencent à publier des annonces, sur leurs pages d'accueil par exemple, expliquant qu'ils vont bientôt arrêter de maintenir la compatibilité de leurs sites avec le navigateur Microsoft Internet Explorer 6.

Le CERTA profite de cette actualité afin de rappeler que ce navigateur est plutôt en fin de vie et que deux nouvelles versions sont aujourd'hui disponibles. Le CERTA recommande donc d'anticiper la fin du support par l'éditeur de migrer au plus tôt vers une version plus récente afin de ne pas se trouver bloquer face à une incompatibilité entre le navigateur et le site que l'on veut consulter.


5 Rappel des avis émis

Dans la période du 17 au 23 juillet 2009, le CERTA a émis les avis suivants :

  • CERTA-2009-AVI-282 : Vulnérabilité dans Firefox
  • CERTA-2009-AVI-283 : Vulnérabilité dans Novell Access Manager
  • CERTA-2009-AVI-284 : Vulnérabilités dans la bibliothèque libtiff
  • CERTA-2009-AVI-285 : Multiples vulnérabilités dans Sun Solaris
  • CERTA-2009-AVI-286 : Vulnérabilités dans Wireshark
  • CERTA-2009-AVI-287 : Vulnérabilité dans WordPress


Liste des tableaux

Gestion détaillée du document

24 juillet 2009
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-04-26