Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2011-ACT-007

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 18 février 2011
No CERTA-2011-ACT-007

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2011-07


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-007

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-007.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-007/

1 Problématique de filtrage

Une entité souhaite souvent que son site Web soit le plus populaire possible. Pourtant, certains types de connexions peuvent ne pas être souhaitables, en particulier lorsque les utilisateurs ne se connectent pas de leur plein gré, mais que le contenu est inclus de manière illégitime dans d'autres sites. Par exemple, des sites de filoutage ou des sites diffamatoires peuvent inclure le contenu d'un site officiel, afin, dans le premier cas, de rendre l'attaque moins identifiable par l'utilisateur visé et dans le second cas, d'associer le site officiel à un contenu ou un nom de domaine qui n'est pas souhaité et qui peut porter préjudice.

Le contenu du site officiel peut être inclus de manières variées dans des sites illégitimes. En langage HTML, différentes balises peuvent être utilisées pour réaliser une inclusion de contenu : DIV, IFRAME ou FRAME. La suite de l'article indique comment s'en prémunir. Toutefois, la seconde parade proposée ne fonctionnera pas pour traiter les redirections (codes HTTP 301, 303 ou 307 ou balise HTML <META HTTP-EQUIV=' '>).

1.1 Filtrage sur la base du Referer

La première solution est de réaliser un filtrage basé sur le champ de l'entête HTTP Referer. L'entête Referer est transmise lorsqu'un utilisateur suit un lien, interne ou externe, pour préciser au site cible d'où vient l'utilisateur. Ainsi, si un site malveillant fait une inclusion de contenu ou une redirection illégitime d'un site ciblé, ce dernier verra apparaître dans les requêtes qui lui sont adressées un entête Referer faisant référence au site illégitime. Il suffit alors de créer une règle de filtrage sur le serveur Web du site ciblé pour interdire ce genre de requête ou leur délivrer des réponses modifiées. Cela peut par exemple être mise en œuvre très facilement avec mod_security avec une règle telle que :

SecDefaultAction phase:1,deny
SecRule REQUEST_HEADERS:Referer 'site-malveillant.*'

Toutefois, ce filtrage devra être mis à jour à l'apparition de chaque nouveau site indésirable. Une procédure pourrait être mise ne œuvre pour surveiller les journaux d'activité en vue d'identifier au fur et à mesure les valeurs de Referer à filtrer.

1.2 Utilisation de X-Frame-Options

L'entête HTTP X-Frame-Options peut être ajoutée pour indiquer au navigateur de l'utilisateur qu'il doit afficher un site Web lorsqu'il est inclus dans une balise HTML FRAME ou IFRAME. De plus, cette option offre une protection contre certaines attaques de type XSS.

Le support de cette option par les navigateurs est assez récent (Internet Explorer 8 à partir de janvier 2009, Firefox 3.6.9, Safari 4, chrome 4.1.249.1042).

La valeur de l'entête peut être DENY, pour interdire complètement les inclusions, ou SAMEORIGIN, pour n'autoriser que les inclusions en provenance d'une page du même domaine (plus précisément, le même Fully Qualified Domain Name : FQDN).

Sur un serveur Apache, l'entête X-Frame-Options peut être ajoutée avec la clause suivante dans la configuration :

Header always append X-Frame-Options SAMEORIGIN

1.3 Documentation

2 TYPO3 v4.5 et nouvelles fonctionnalités

La version 4.5 de TYPO3 est disponible. Cette version ajoute une nouvelle fonctionnalité afin de protéger l'utilisateur contre des attaques de type injection de requêtes illégitimes par rebond (CSRF).

Présentée parfois comme un correctif, cette fonctionnalité ne sera présente qu'à partir de la version 4.5 de TYPO3. Une nouvelle API permet de protéger les formulaires de ce type d'attaque en imposant à certaines extensions du CMS de fournir un « jeton » unique. La protection apportée par l'API ne sera efficace que si les développeurs d'extensions l'utilisent.

Outre cette nouvelle fonctionnalité et afin de se protéger contre ce type d'attaque, le CERTA recommande de ne pas consulter en même temps et avec un même navigateur plusieurs sites dont certains contiendraient des données sensibles.

Documentation

3 Fin de vie de FreeBSD 7.1

Le projet FreeBSD qui produit le système d'exploitation éponyme tient à jour un tableau précis des cycles de vie de ses différentes versions encore maintenues. Ainsi, il est possible de trouver à l'adresse : http://security.freebsd.org les modalités de supports relatives à chaque branche du projet (7 et 8) ainsi que, pour chacune d'entre elles, les différentes versions et leur positionnement dans son cycle de vie.

On peut ainsi remarquer que la version 7.1 arrive, a priori, en fin de support étendu le 28 février prochain et devra être remplacée par, au minimum, la version 7.3 ou mieux par une version maintenue de la branche 8 (8.1 ou bientôt 8.2).

Recommandations :

Il conviendra de mettre à jour dans les plus brefs délais cette version si elle est encore déployée. Par ailleurs, il est à noter que, malgré une complexité plus importante, une migration vers les toutes dernières versions reste la démarche la plus avantageuse en matière de durée de vie et de richesse de fonctionnalités.


4 Rappel des avis émis

Dans la période du 11 au 17 février 2011, le CERTA a émis les avis suivants :

  • CERTA-2011-AVI-085 : Vulnérabilité dans OpenSSH
  • CERTA-2011-AVI-087 : Vulnérabilité dans Novell eDirectory
  • CERTA-2011-AVI-088 : Vulnérabilité dans Novell iPrint
  • CERTA-2011-AVI-089 : Multiples vulnérabilités dans les paquetages tiers pour VMware
  • CERTA-2011-AVI-090 : Vulnérabilité dans F-Secure Internet Gatekeeper
  • CERTA-2011-AVI-091 : Vulnérabilité dans phpMyAdmin
  • CERTA-2011-AVI-092 : Multiples vulnérabilités dans OpenLDAP
  • CERTA-2011-AVI-093 : Multiples vulnérabilités dans Oracle Java
  • CERTA-2011-AVI-094 : Vulnérabilité dans shadow
  • CERTA-2011-AVI-095 : Vulnérabilités dans Cisco SA Management Center

Durant la même période, les avis suivants ont été mis à jour :

  • CERTA-2011-AVI-046-001 : Vulnérabilité dans VLC Media Player (ajout de la référence au bulletin Debian et des références CVE)
  • CERTA-2011-AVI-070-001 : Multiples vulnérabilités dans Google Chrome (ajout des références CVE)
  • CERTA-2011-AVI-073-001 : Vulnérabilité dans OpenSSL (ajout des références aux bulletins Fedora, Mandriva et Ubuntu)
  • CERTA-2011-AVI-078-001 : Vulnérabilités dans MIT Kerberos (ajout des références aux bulletins RedHat et Ubuntu et rectification des CVE)
  • CERTA-2011-AVI-079-001 : Vulnérabilité dans plusieurs implémentations de Java (ajout pour IBM Java, IBM WebSphere Application Server, et IBM Webspere Portal)
  • CERTA-2011-AVI-086-001 : Multiples vulnérabilités dans Django (ajout de la référence au bulletin Debian et des références CVE)

Gestion détaillée du document

18 février 2011
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-06-26