Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2010-ACT-016

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 23 avril 2010
No CERTA-2010-ACT-016

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2010-16


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-016

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-016.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-016/

1 MS10-025 retiré

Cette semaine, Microsoft a annoncé avoir retiré la mise à jour liée au bulletin MS10-025. Celui-ci concerne une vulnérabilité affectant Windows Media Services sur les systèmes d'exploitation Windows 2000 uniquement.

Selon l'éditeur, la mise à jour distribuée ne corrigerait pas efficacement le problème. Une nouvelle version devrait être disponible prochainement. En attendant, il est recommandé d'appliquer des contournements provisoires qui sont de désactiver le service Windows Media Unicast ou de le désinstaller (cf. bulletin Microsoft).

Documentation

2 Une base de signatures problématique pour McAfee

L'éditeur McAfee a publié, le 21 avril 2010, une mise à jour de sa base de signatures défectueuse. En effet, la base « DAT 5958 » provoquait des détections erronées. Le fichier système C:\windows\system32\svchost.exe était identifié à tort comme infecté par le virus W32/wecorl.a, sur les systèmes Windows XP SP3. Suivant la configuration de l'antivirus, le fichier était potentiellement supprimé ou mis en quarantaine. Les systèmes concernés subissaient des redémarrages intempestifs et étaient déconnectés du réseau. Ces systèmes nécessitaient alors une intervention locale pour résoudre le problème. McAfee a publié en urgence la mise à jour « DAT 5959 » de la base de signatures n'incluant pas ce problème.

Sur des systèmes touchés, il est nécessaire de supprimer la base de signatures posant problème (installation du fichier 5959xdat.exe ou retour à une base de signatures antérieure à la version 5958). Il faut ensuite restaurer le fichier C:\windows\system32\svchost.exe.

Pour cela :

  • sortir le fichier svchost.exe de la quarantaine (suivant configuration) ;
  • sur certains systèmes, une copie est disponible à l'un des emplacements suivants C:\windows\system32\dllcache\svchost.exe ou C:\windows\ServicePackFiles\i386\svchost.exe ;
  • sinon, il est nécessaire de récupérer le fichier svchost.exe depuis un système identique (même version de Windows) et de le copier dans le répertoire C:\windows\system32\.

Documentation

3 Nouveau service Debian

Depuis le 12 avril 2010, le projet Debian fournissant la distribution GNU/Linux homonyme met à disposition un nouveau service. Il consiste en un serveur miroir spécifique permettant de « remonter dans le temps » de la vie d'un paquetage. C'est-à-dire qu'il est possible de réinstaller une version antérieure d'un paquetage ou d'une distribution complète grâce à ce serveur spécifique et à une entrée dans le fichier /etc/apt/sources.list du système cible. Pour plus d'informations, il est possible de consulter le site http://snapshot.debian.org. Ce service peut-être intéressant dans le cadre de tests de rétro-compatibilité ou bien encore pour suivre des éventuelles corrections de failles au fil du temps.

Recommandations :

Il convient de garder à l'esprit que même pour des raisons de compatibilité avec d'anciens logiciels spécifiques, il est dangereux de revenir à d'anciennes versions de paquetages au risque de réintroduire d'anciennes vulnérabilités. Il pourrait également arriver que de nouvelles vulnérabilités ou dysfonctionnements apparaissent suite à des incompatibilités de versions entre composants.

Il est donc recommandé de ne pas utiliser ce genre de services dans un contexte de production et de ne le réserver à des fins de tests.


4 Rappel des avis émis

Dans la période du 16 au 22 avril 2010, le CERTA a émis les avis suivants :

  • CERTA-2010-AVI-184 : Vulnérabilité dans IBM BladeCenter Management Module
  • CERTA-2010-AVI-185 : Vulnérabilités dans Oracle Sun Java
  • CERTA-2010-AVI-186 : Vulnérabilité des commutateurs 3Com
  • CERTA-2010-AVI-187 : Vulnérabilité dans KDM
  • CERTA-2010-AVI-188 : Multiples vulnérabilités dans Google Chrome
  • CERTA-2010-AVI-189 : Vulnérabilité dans HP Operation Manager pour Windows
  • CERTA-2010-AVI-190 : Vulnérabilité de MIT Kerberos
  • CERTA-2010-AVI-191 : Multiples vulnérabilités dans VLC
  • CERTA-2010-AVI-192 : Multiples vulnérabilités dans IBM Java
  • CERTA-2010-AVI-193 : Vulnérabilité dans mod_auth_shadow pour Apache
  • CERTA-2010-AVI-194 : Vulnérabilité dans Cisco Small Business Video Surveillance Cameras et dans Cisco 4-Port Gigabit Security Routers


Liste des tableaux

Gestion détaillée du document

23 avril 2010
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-04-24