Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2009-ACT-039

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 25 septembre 2009
No CERTA-2009-ACT-039

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2009-39


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-039

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-039.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-039/

1 Négligences entrainant la divulgation de données sensibles sur l'Internet

1.1 Les faits

Cette semaine, le CERTA a traité un incident particulièrement intéressant comme cas d'école. Plusieurs personnes ont reçu un message électronique de la part de prétendus « pirates bienveillants ». Celui-ci était composé d'un avertissement et contenait en clair le nom, le prénom et l'adresse postale du destinataire, ainsi qu'un mot de passe. Après vérification, ce mot de passe était bien valide.

Après analyses et recherches du CERTA, il est apparu que ces données avaient été récupérées par le biais d'une sauvegarde de base de données d'un site de e-commerce. Ces sauvegardes avaient été indexées par les moteurs de recherche (en particulier Google) et étaient ainsi disponible à tous, en clair, sur l'Internet. Les personnes touchées avaient pour certaines utilisé leur adresse professionnelle comme adresse de contact client, ainsi que le même mot de passe que celui utilisé pour des applications en interne.

1.2 Enseignements : les négligences

La première négligence revient à l'administrateur de ces sites de e-commerce. En effet, même si sa volonté d'effectuer des sauvegardes est louable, les informations sensibles de ce type auraient dû être confinées dans un espace privé. De plus, les mots de passe n'auraient jamais dû être accessibles en clair. Il y a pour cela plusieurs moyens, à commencer par le stockage d'un condensat du mot de passe, et une comparaison systématique de condensat à condensat. Cette pratique est d'ailleurs implémentée dans les gestionnaires de bases de données classiques.

Les clients, victimes de cette négligence, ne sont pas exempts de tout reproche. En premier lieu, les adresses professionnelles sont censées être, par définition, réservées à un usage professionnel. Encore faut-il que cette assertion soit inscrite dans la politique de sécurité de l'entité, et que cette politique soit appliquée.

Par contre, le fait de changer régulièrement de mot de passe et d'utiliser des mots de passe différents suivant les usages relève des bonnes pratiques que chacun se devrait d'appliquer.

2 Vulnérabilité du noyau Linux exploitée

Cette semaine, le CERTA a été alerté par un de ses homologues que la vulnérabilité de type pointeur NULL présente dans certains noyaux Linux (jusqu'au 2.6.30.4) était exploitée sur l'Internet. Cette vulnérabilité est détaillée dans l'avis CERTA-2009-AVI-337.

Elle permet à un individu malintentionné d'élever ses privilèges, après avoir obtenu un accès distant à la machine. Un scénario assez classique consiste à ce que l'attaquant compromette d'abord un compte non-privilégié par le biais d'une attaque par dictionnaire sur un serveur ssh par exemple, puis utilise cette faille pour obtenir les droits d'administration (root).

Or, il semblerait que cette vulnérabilité soit suffisamment fiable pour être utilisée à cette fin. Elle n'est pas sans rappeler la vulnérabilité affectant l'appel système ptrace il y a quelques années. Elle n'affecte pas un pilote spécifique, mais une fonction de base du noyau. De plus, les vulnérabilités de type pointeur NULL peuvent, sous certaines conditions, être exploitées malgré la présence de SELinux.

Cette faille a été corrigée par plusieurs éditeurs et dans les dernières versions du noyau. Dans la mesure où cette vulnérabilité est exploitée, il conviendra de bien vérifier l'application des correctifs associés.

3 Multiples mises à jour des produits Cisco

Cette semaine, pas moins de onze mises à jour ont été publiées par Cisco. Ces mises à jour concernent Cisco IOS (neuf vulnérabilités) et Cisco Unified Communication Manager (deux vulnérabilités). La plupart des vulnérabilités corrigées peuvent être exploitées afin de réaliser un déni de service à distance sur les équipements Cisco.

Documentation


4 Rappel des avis émis

Dans la période du 18 au 25 septembre 2009, le CERTA a émis les avis suivants :

  • CERTA-2009-AVI-388 : Multiples vulnérabilités dans Wireshark
  • CERTA-2009-AVI-389 : Multiples vulnérabilités dans VMware
  • CERTA-2009-AVI-390 : Multiples vulnérabilités dans IBM Websphere MQ
  • CERTA-2009-AVI-391 : Multiples vulnérabilités dans Bugzilla
  • CERTA-2009-AVI-392 : Vulnérabilité de OpenSSL sous Debian
  • CERTA-2009-AVI-393 : Multiples vulnérabilités dans Drupal
  • CERTA-2009-AVI-394 : Multiples vulnérabilités dans Wireshark
  • CERTA-2009-AVI-395 : Multiples vulnérabilités dans PHP
  • CERTA-2009-AVI-396 : Vulnérabilité dans Symantec Altiris
  • CERTA-2009-AVI-397 : Vulnérabilité dans VLC media player
  • CERTA-2009-AVI-398 : Multiples vulnérabilités dans IBM WebSphere
  • CERTA-2009-AVI-399 : Multiples vulnérabilités de StarOffice et StarSuite
  • CERTA-2009-AVI-400 : Vulnérabilités de Firewall Builder
  • CERTA-2009-AVI-401 : Mutiples vulnérabilités du navigateur Google Chrome
  • CERTA-2009-AVI-402 : Multiples vulnérabilités dans Cisco IOS
  • CERTA-2009-AVI-403 : Multiples vulnérabilités de Cisco Unified Communication Manager


Liste des tableaux

Gestion détaillée du document

25 septembre 2009
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-07-26