Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2010-ACT-024

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 18 juin 2010
No CERTA-2010-ACT-024

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2010-24


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-024

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-024.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-024/

1 Retour sur la vulnérabilité de type Slowloris et Apache

Le projet Apache propose plusieurs solutions pour rendre inefficaces les attaques par saturation de type Slowloris:

La première solution a l'avantage d'utiliser un module à vocation plus généraliste et compatible avec la branche 1.x d'Apache. Il sera donc envisageable de l'utiliser dans d'autres contextes que la simple contre-mesure à une attaque Slowloris.

La seconde sera plus spécifique et sensiblement plus efficace mais nécessitera des tests préalables et, sans doute, une migration vers une version du serveur Apache plus récente non-livrée avec le système d'exploitation courant.

Ce sujet est d'autant plus d'actualité car cette semaine, un chercheur en sécurité a soulevé un problème avec le serveur lighttpd qui, selon ses tests, serait vulnérable à une attaque de type Slowloris alors que, de prime-abord, ce serveur avait été identifié comme non-affecté par le problème. Pour plus de détails sur ce type d'attaque, vous pouvez consulter le bulletin d'actualité CERTA-2010-ACT-025 (http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-025.html) et son article intitulé : « Serveur Web et capacité de délivrer un service ».

2 ANSSI et challenge SSTIC

Pour la huitième édition du Symposium sur la Sécurité des Technologies de l'Information et des Communications (SSTIC) , l'ANSSI a cette année proposé un défi technique basé sur la plateforme pour téléphone mobile Android. Le défi ainsi que les solutions sont accessibles à l'adresse suivante : http://communaute.sstic.org/ChallengeSSTIC2010.

Ce défi a été l'occasion pour l'ANSSI d'émuler la sphère SSI française et internationale et de mettre également un coup de projecteur sur sa campagne de recrutement.

Le CERTA invite ses lecteurs à consulter les termes du défi et les solutions afin de mieux appréhender l'univers de la téléphonie mobile et les moyens d'analyse d'une copie de mémoire physique proposés par les participants.

Documentation

3 Cheval de Troie dans UnrealIRCd

Le 12 juin 2010, les développeurs d'UnrealIRCd, un très populaire serveur IRC, ont publié un bulletin de sécurité pour signaler une compromission des sources mises à disposition en téléchargement. Seules les sources de la version 3.2.8.1 ont été modifiées pour y insérer une porte dérobée. Cette modification a eu lieu le 10 novembre 2009.

Les éléments suivants ne sont donc pas affectés par ce problème :

  • les binaires officiels précompilés pour Windows ;
  • l'arborescence de développement CVS ;
  • les versions 3.2.8 et antérieures.

Si l'archive Unreal3.2.8.1.tar.gz a été téléchargée avant le 10 novembre 2009, celle-ci ne devrait pas comporter la porte dérobée. Il est toutefois recommandé de vérifier la signature MD5 de l'archive (se référer au bulletin de sécurité de l'éditeur).

La version 3.2.8.1 d'UnrealIRDCd a été publiée pour corriger une vulnérabilité critique pouvant mener à une exécution de code arbitraire à distance (CVE-2009-4893). Cette faille affecte les versions 3.2beta11 à 3.2.8.

Il est donc recommandé aux administrateurs de serveurs UnrealIRCd de :

  • s'assurer que le serveur est bien à jour en version 3.2.8.1 ;
  • de vérifier les signatures MD5 précisées dans les bulletins de sécurité des développeurs ;
  • de contacter le CERTA en cas de présence de la porte dérobée sur le serveur.

Documentation :

4 Mise à jour Mac OS X 10.6.4 et Adobe Flash Player

Cette semaine Apple a sorti une mise à jour de sécurité (10.6.4) pour Mac OS X.

Cette mise à jour inclut la version 10.0.45.2 de Flash Player qui est obsolète et vulnérable, notamment à la vulnérabilité détaillée dans l'alerte CERTA-2010-ALE-007.

Le CERTA recommande donc de mettre à jour Flash Player avec la dernière version 10.1.53.64 disponible sur le site d'Adobe.

Documentation


5 Rappel des avis émis

Dans la période du 11 au 17 juin 2010, le CERTA a émis les avis suivants :

  • CERTA-2010-AVI-258 : Vulnérabilité dans Sophos Anti-Virus
  • CERTA-2010-AVI-259 : Multiples vulnérabilités dans Google Chrome
  • CERTA-2010-AVI-260 : Vulnérabilités dans Wireshark
  • CERTA-2010-AVI-261 : Multiples vulnérabilités dans Adobe Flash Player
  • CERTA-2010-AVI-262 : Vulnérabilités dans LibTIFF
  • CERTA-2010-AVI-263 : Vulnérabilité dans des produits Juniper
  • CERTA-2010-AVI-264 : Vulnérabilité dans Apache
  • CERTA-2010-AVI-265 : Multiples vulnérabilités dans Apple Mac OS X
  • CERTA-2010-AVI-266 : Vulnérabilité dans Samba
  • CERTA-2010-AVI-267 : Vulnérabilité dans ISC DHCP
  • CERTA-2010-AVI-268 : Multiples vulnérabilités dans HP SSL pour OpenVMS
  • CERTA-2010-AVI-269 : Vulnérabilités dans AIX
  • CERTA-2010-AVI-270 : Multiples vulnérabilités dans Apple iTunes
  • CERTA-2010-AVI-271 : Vulnérabilité dans Symantec AppStream et Workspace Streaming

Durant la même période, les avis suivants ont été mis à jour :

  • CERTA-2010-AVI-200-001 : Vulnérabilité dans Wireshark (ajout de la référence CVE)
  • CERTA-2010-AVI-259-001 : Multiples vulnérabilités dans Google Chrome (ajout des références CVE)
  • CERTA-2010-AVI-260-001 : Vulnérabilités dans Wireshark (ajout des références CVE)
  • CERTA-2010-AVI-263-002 : Vulnérabilité dans des produits Juniper (ajout des références CVE)


Liste des tableaux

Gestion détaillée du document

18 juin 2010
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-08-22