Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2010-ACT-048

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 03 décembre 2010
No CERTA-2010-ACT-048

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2010-48


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-048

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-048.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2010-ACT-048/

1 Compromission du serveur de distribution de ProFTPD

Les développeurs de ProFTPD ont annoncé sur leur site Web (www.proftpd.org) que le serveur ftp.proftpd.org avait été compromis. Cet incident a eu pour conséquence l'ajout d'une porte dérobée dans les sources proposées au téléchargement. Les sources contenues dans le CVS n'ont pas été modifiées par les attaquants. Le service de distribution des sources vers les sites miroir (rsync.proftpd.org) est hébergé sur le même serveur, ce qui implique que tous les sites officiels proposant le logiciel ProFTPD ont été affectés.

Les sources contenant la porte dérobée ont été proposées en téléchargement du 28 novembre 2010 au 02 décembre 2010. Toute personne ayant téléchargé ces fichiers dans cet intervalle de temps est invitée à contacter le CERTA.

Le CERTA recommande, par précaution, à tous les administrateurs de serveur ProFTPD de vérifier les signatures des sources.

Documentation :

2 Incompatibilité passagère entre Windows 7 64 bits et l'antivirus AVG 2011

2.1 Les faits

Une mise à jour de l'antivirus AVG 2011 perturbait le redémarrage des ordinateurs fonctionnant sous Windows 7 en 64 bits. Le fichier incriminé a été identifié, il s'agit de la mise à jour 3292. Les utilisateurs touchés sont ceux qui ont téléchargé cette mise à jour et tenté de redémarrer leur ordinateur.

L'éditeur donne des indications selon que l'utilisateur :

  • n'a pas téléchargé la mise à jour : elle a été ôtée du serveur de mise à jour, le risque est supprimé ;
  • a téléchargé, mais n'a pas encore redémarré : un correctif est disponible ;
  • a téléchargé et a tenté de redémarré : l'utilisation du disque (cédérom) de secours est détaillée, sous réserve qu'il ait été créé en temps utile.

De son côté, le SANS propose une méthode assez radicale pour les utilisateurs en panne après cette mise à jour et n'ayant pas de disque de secours.

Comme tout logiciel, un antivirus peut contenir une erreur conduisant à des dysfonctionnements majeurs. L'incident permet de tirer deux recommandations :

  • d'une part, il est utile de procéder à une vérification de compatibilité de toute mise à jour avec l'existant avant un déploiement général ;
  • d'autre part, les systèmes de secours ou de retour à une situation antérieure fonctionnelle doivent être préparés. Il est souhaitable de s'être entraîné à les utiliser afin d'aborder plus sereinement un tel incident.

2.2 Documentation

3 Mise à jour non officielle

Le CERTA rappelle, à l'occasion d'une vulnérabilité potentielle dans le noyau Windows publiée sur un site spécialisé, l'importance de n'appliquer que des mises à jour officielles.

Sur ce site spécialisé, il est fait mention d'une vulnérabilité dans le noyau Windows qui pourrait permettre à une personne malveillante ayant un accès local au système d'élever ses privilèges ou de provoquer un déni de service.

Microsoft n'a cependant pas réagi à cette publication, tandis que des sociétés spécialisées en sécurité informatique ont publié un correctif *non officiel* pour cette vulnérabilité.

L'application de correctifs de sécurité non officiels peut être un risque majeur pour la sécurité du système d'information ou sa productivité.

En effet, au delà des effets de bords induits par l'application de ces correctifs non officiels, par exemple des tests non exhaustifs sur les différentes plateformes, il ne peut être exclu que le correctif ne corrige que partiellement la vulnérabilité ou encore qu'il apporte une nouvelle vulnérabilité.

De plus, le thème des mises à jour de sécurité pour Windows est un sujet souvent utilisé lors de l'envoi massif de courriers électroniques non sollicités pour inciter l'utilisateur à exécuter un code malveillant en pièce jointe.

Documentation

4 Vunérabilités dans HP WebOs

Deux chercheurs ont découvert plusieurs vulnérabilités dans Palm Pre WebOs 1.4.x.

L'une d'entre elles permet, à distance et par l'intermédiaire d'une injection de code indirecte (XSS) dans l'application des contacts, de récupérer des informations sensibles ou d'exécuter du code arbitraire à distance.

HP aurait corrigé ce problème dans la version 2.0 beta. Cependant, d'autres vulnérabilités similaires ont été reportées par les deux chercheurs.

Le CERTA rappelle qu'il est important de bien considérer les informations pouvant être contenues sur de tels appareils et de réévaluer les menaces contre le SI.

5 Sandbox du lecteur Flash dans Chrome

Le bulletin d'actualité de la semaine dernière présentait la nouvelle version d'Adobe Reader qui utilise un mécanisme de bac à sable (sandbox) dans les versions Windows. Cette semaine, c'est l'équipe de développement de Chromium qui annonce l'intégration de ce mécanisme pour le lecteur de documents Flash utilisé par Google Chrome (pour les versions Windows XP/Vista/7).

La technologie de sandbox utilisée se base sur une version modifiée de celle implémentée dans Chrome. Cette fonctionnalité sera disponible, dans un premier temps, uniquement dans les versions « développeur » de Chrome. Il est bien évidemment déconseillé d'installer ces versions sur un système en production. Internet Explorer propose un mécanisme de bac à sable similaire pour le lecteur Flash, mais uniquement avec Windows Vista/7. Cette nouvelle version de Chrome sera donc la seule à proposer le sandbox du lecteur Flash sous Windows XP.

Enfin, on notera qu'il est prévu d'étendre cette protection aux autres systèmes d'exploitation.


6 Rappel des avis émis

Dans la période du 26 novembre au 02 décembre 2010, le CERTA a émis les avis suivants :

  • CERTA-2010-AVI-549-001 : Vulnérabilité dans libxml2
  • CERTA-2010-AVI-567 : Vulnérabilités dans Apache Tomcat
  • CERTA-2010-AVI-568 : Vulnérabilités dans WordPress
  • CERTA-2010-AVI-569 : Vulnérabilité dans Kerio Control Web Filter
  • CERTA-2010-AVI-570 : Vulnérabilité dans VMware ESX
  • CERTA-2010-AVI-571-001 : Vulnérabilités dans Kerberos
  • CERTA-2010-AVI-572 : Vulnérabilité dans phpMyAdmin
  • CERTA-2010-AVI-573 : Multiples vulnérabilités dans les produits Hitachi Cosminexus

Durant la même période, les avis suivants ont été mis à jour :

  • CERTA-2009-AVI-482-011 : Vulnérabilité du protocole SSL/TLS (ajout du bulletin IBM WebSphere MQ)
  • CERTA-2010-AVI-266-001 : Vulnérabilité dans Samba (ajout des références aux bulletins des distributions)
  • CERTA-2010-AVI-449-001 : Vulnérabilité dans bzip2 (ajout des bulletins des distibutions Debian, RedHat, Sun, Suse et Ubuntu)
  • CERTA-2010-AVI-510-001 : Vulnérabilités dans Apache (ajout des bulletins de sécurité Fedora, Mandriva et Sun)
  • CERTA-2010-AVI-555-001 : Vulnérabilité dans OpenSSL (ajout des références aux bulletins de sécurité FreeBSD et Debian)


Liste des tableaux

Gestion détaillée du document

03 décembre 2010
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-06-28