Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2010-ACT-038

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 24 septembre 2010
No CERTA-2010-ACT-038

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2010-38


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-038

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-038.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-038/

1 Fuite d'information des applications ASP.NET

Microsoft a publié cette semaine un bulletin de sécurité à propos d'une vulnérabilité non corrigée dans ASP.NET permettant le vol d'informations par des utilisateurs malveillants sur certaines applications ASP.NET. Parmi les informations pouvant être récupérées de façon illicite, on distingue les fichiers web.config qui contiennent souvent des données sensibles comme les informations de session et d'authentification, par exemple les identifiants pour accéder au serveur MS-SQL Server. Cette vulnérabilité permet aussi d'accéder à certaines données chiffrées envoyées aux clients, l'attaque est basée sur le principe des oracles cryptographiques, et prend donc un certain temps.

Un moyen de contournement pour se protéger de cette vulnérabilité est d'activer la balise <customErrors> et de configurer les applications pour toujours renvoyer la même page d'erreur, quelque soit la nature de l'erreur, en utilisant par exemple l'attribut defaultRedirect de la balise. Les moyens de contournement sont précisés dans le bulletin de sécurité Microsoft dont l'adresse est indiquée ci-dessous.

A noter que cette vulnérabilité est actuellement exploitée sur l'Internet.

Documentation

2 Mise à jour Adobe Flash Player

Cette semaine, une nouvelle version d'Adobe Flash Player a été publiée par l'éditeur. Cette mise à jour corrige la vulnérabilité qui a fait l'objet de l'alerte CERTA-2010-ALE-015. Pour rappel, cette faille permet l'exécution de code arbitraire à distance par une personne malintentionnée.

Cette vulnérabilité est exploitée sur l'Internet, le CERTA recommande donc de déployer rapidement ce correctif disponible pour toutes les plateformes supportées. Une mise à jour du lecteur de fichier PDF d'Adobe est prévue durant la semaine du 04 octobre, le lecteur reste donc pour l'instant vulnérable.

Documentation

3 Identification de machine via du code JavaScript

Cette semaine, a été publiée sur l'Internet la dernière version d'une API (Application Programming Interface) en JavaScript permettant la création de cookies particuliers rendant leur effacement difficile par un utilisateur non-averti. En effet, plutôt que d'utiliser les fonctions standards des navigateurs pour créer des cookies normaux, cette API propose d'engendrer un certains nombre de marqueurs spécifiques à différents endroits du navigateur afin de rendre plus persistante l'identification d'une machine. Ainsi, selon l'auteur, il est possible de poser des marqueurs :

  • dans le magasin de cookies standard ;
  • dans le Local Shared Objects qui sert à stocker les cookies pour les objets Flash ;
  • dans des images au format PNG créées à la volée par certaines fonctionnalités du langage HTML5 ;
  • dans les entrées de l'historique ;
  • lors du stockage des ETags HTTP ;
  • dans le conteneur userData d'Internet Explorer ;
  • dans différents magasins de stockage nécessaires au fonctionnement de HTML5 dans le navigateur : Session, Local, Global, Database.
Il est ainsi possible de rendre persistant un certain nombre de marqueurs ou cookies malgré les précautions de base qu'aurait pu prendre l'utilisateur du navigateur, et ce, entièrement à son insu.

Recommandations :

L'API détaillée ci-dessus est librement disponible en source ouverte sur l'Internet. Pour qu'elle fonctionne correctement sur le navigateur du client, il est toujours nécessaire que le navigateur support les JavaScripts et parfois le langage HTML5. Dans un contexte de confidentialité accrue, il conviendra donc, comme à l'habitude, de désactiver par défaut le support des codes JavaScript par le navigateur.

4 XSS sur Twitter, une régression grand public

Cette semaine un incident de sécurité touchant les utilisateurs du site social de microblogging Twitter a largement été médiatisé. Il s'agissait d'une vulnérabilité permettant une attaque en injection de code indirecte (Cf. Documentation). Ce qui est remarquable ici est que cette faille avait déjà été corrigée le mois dernier, il s'agit donc d'une régression. Dans le contexte du développement de logiciel, ce terme désigne un retour en arrière sur des corrections apportées. Il est souvent dû à une erreur de choix des versions des parties utilisées pour construire le produit dans sa globalité.

Cet incident met en avant le problème de l'évolution du niveau de confiance dans le temps. Que cela soit un site Internet ou une application, le cas de Twitter illustre bien que le niveau de sécurité peut fortement évoluer dans le temps. La confiance par défaut est donc à proscrire. Il convient de rester vigilant et attentif en toutes circonstances, et pour cela, il est important de bien connaître les sites ou logiciels utilisés afin de percevoir les changements.

Documentation

  • Définition provenant de securite-informatique.gouv.fr :

    Injection de code indirecte (Cross Site Scripting, CSS, XSS) : Activité malveillante qui consiste à injecter des données arbitraires dans le code de pages HTML. Un utilisateur malveillant peut faire afficher à un site web vulnérable un contenu agressif ; ce contenu peut rediriger l'utilisateur vers d'autres sites, ou transmettre des informations (jetons de sessions, aussi appelés cookies, etc) ou des droits.

  • Explications et excuses officielles de Twitter :
    http://blog.twitter.com/2010/09/all-about-onmouseover-incident.html
    

5 Un annonceur de publicités malveillantes

Le 19 et 20 septembre 2010, un grand nombre de sites Web malaisiens et indonésiens ont été listés comme potentiellement dangereux par Google, suite à la présence de code malveillant sur la plupart de leurs pages.

Le code malveillant se situait en fait dans les bandeaux publicitaires affichés à partir du serveur d'un fournisseur de bannières de publicité.

Le problème a pu être remonté à un annonceur particulier dont le serveur OpenX a été compromis, ce qui a permis à l'attaquant de placer le code malveillant au sein des bannières qui y sont hébergées. Celles-ci ont ensuite été transmises au fournisseur de publicité, puis intégrées de manière transparente sur les sites Web des clients.

Bien que ce type d'attaque ne soit pas nouveau, il est intéressant de noter ici le nombre de sites Web qu'il est possible de compromettre rapidement à partir d'une seule attaque réussie. Il convient bien évidemment d'être extrêmement vigilant lorsque du contenu extérieur est inséré automatiquement dans une page de son site.

Documentation


6 Rappel des avis émis

Dans la période du 17 au 23 septembre 2010, le CERTA a émis les avis suivants :

  • CERTA-2010-AVI-441 : Vulnérabilités dans QuickTime
  • CERTA-2010-AVI-442 : Vulnérabilité dans IBM Lotus Sametime
  • CERTA-2010-AVI-444 : Vulnérabilité dans 3Com OfficeConnect Gigabit VPN Firewall
  • CERTA-2010-AVI-445 : Vulnérabilités dans Splunk 41.5
  • CERTA-2010-AVI-446 : Multiples vulnérabilités dans IBM WebSphere Application Server Community Edition
  • CERTA-2010-AVI-447 : Vulnérabilité dans Adobe Flash Player
  • CERTA-2010-AVI-448 : Vulnérabilité dans Mac OS X
  • CERTA-2010-AVI-449 : Vulnérabilité dans bzip2
  • CERTA-2010-AVI-450 : Vulnérabilité dans 7-zip
  • CERTA-2010-AVI-451 : Multiples vulnérabilités dans Plesk Sitebuilder
  • CERTA-2010-AVI-452 : Vulnérabilté dans RSA Authentication Agent
  • CERTA-2010-AVI-453 : Vulnérabilité des produits Alcatel-Lucent OmniVista 4760
  • CERTA-2010-AVI-454 : Vulnérabilités dans Alcatel-Lucent OmniTouch Contact Center Standard Edition
  • CERTA-2010-AVI-455 : Vulnérabilité dans Cisco Unified Communications Manager

Durant la même période, les avis suivants ont été mis à jour :

  • CERTA-2010-AVI-429-001 : Vulnérabilité dans Samba (ajout de la référence au bulletin Debian)
  • CERTA-2010-AVI-443-001 : Vulnérabilités dans IBM DB2 (ajout des références CVE)


Liste des tableaux

Gestion détaillée du document

24 septembre 2010
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-06-28