Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2011-ACT-034

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2017 Archive

Année 2016 Archive

Année 2015 Archive

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 26 août 2011
No CERTA-2011-ACT-034

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2011-34


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-034

Gestion du document


Tableau 1: Gestion du document
Référence CERTA-2011-ACT-034
Titre Bulletin d'actualité 2011-34
Date de la première version 26 août 2011
Date de la dernière version -
Source(s) -
Pièce(s) jointe(s) Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-034.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-034/

1 Incidents de la semaine

Cette semaine, le CERTA a traité un incident concernant la compromission d'un poste de travail. L'analyse du disque dur a permis de montrer que l'infection du poste a eu lieu suite à la visite d'un site Internet compromis. Ce dernier redirigeait les visiteurs en fonction du User-Agent et du referrer, et ce lors de la première visite uniquement. La redirection n'affectait que les internautes utilisant Microsoft Windows et ayant suivi un lien depuis un moteur de recherche. Le téléchargement d'un code malveillant leur était alors proposé. Ce code malveillant était nommé en fonction de la recherche effectuée, pour inciter l'utilisateur à ouvrir le fichier. Par exemple, une recherche de la chaîne « toto » aurait donné un fichier nommé « toto.com ».

On peut facilement imaginer d'autres cas, plus dangereux, où l'utilisateur ne doit pas ouvrir un fichier mais est redirigé vers un site exploitant une vulnérabilité. Cet incident montre une nouvelle fois qu'on ne peut se fier aux sites que l'on visite, même connus, puisque ceux-ci peuvent être compromis.

Recommandations :

Il n'est pas aisé de se prémunir des incidents de ce type. Néanmoins, l'un des mécanismes de l'attaque reposant sur l'analyse du referrer, il est possible d'éviter la redirection vers le site malveillant soit :

  • en saisissant manuellement les adresses que l'on veut visiter ;
  • soit en copiant puis collant les résultats donnés par le moteur de recherche.

2 Déni de service dans Apache

Des scripts, librement disponibles sur l'Internet depuis cette semaine, permettent de provoquer un déni de service distant sur Apache (versions 1.3.x et 2.x) en utilisant une vulnérabilité de type épuisement de mémoire.

Pour ce faire, ces scripts envoient des requêtes HTTP de type HEAD spécialement conçues employant notamment l'entête HTTP Range et attendant un retour compressé au format gzip. Ce champ permet de demander une partie (intervalle) de la réponse. Son utilité principale est de permettre le téléchargement partiel de fichiers volumineux. Afin de provoquer un déni de service, les scripts vont demander un nombre élevé d'intervalles se chevauchant à l'aide du champ Range. L'utilisation d'un nombre élevé d'intervalles va entraîner l'épuisement de la mémoire.

L'équipe Apache a réagi à cette menace en proposant un certain nombre de contre-mesures. Elle propose notamment d'utiliser mod_headers pour supprimer le champ Range des requêtes entrantes à l'aide de la directive suivante : RequestHeader unset Range. D'autres contre-mesures sont proposées sur la liste de diffusion apache-httpd-dev. Il est également envisageable de contrôler la présence du champ Range à l'aide d'un proxy inverse ou d'un firewall applicatif.

L'équipe Apache prévoit de sortir rapidement un correctif pour cette vulnérabilité. Il faut noter que la version 1.3 de Apache ne sera pas corrigée car elle n'est plus maintenue. Le CERTA recommande la mise en place rapide du correctif lorsqu'il sera disponible.

Documentation

3 Mise à jour 5.3.8 de PHP

Cette semaine, le CERTA a publié un avis concernant une mise à jour de sécurité de PHP (avis CERTA-2011-AVI-461). Cette version, 5.3.7, corrige plusieurs vulnérabilités mais apporte également deux régressions :

  • une régression dans la fonction crypt() lorsque celle-ci est utilsée pour créer un condensat MD5 (seul le « sel » est retourné) ;
  • une régression dans les connexions SSL effectuées par le pilote MySQL mysqlnd.

Une nouvelle version, 5.3.8, a donc été publiée afin de supprimer ces régressions.

Le CERTA recommande d'effectuer la mise à jour de PHP vers la version 5.3.8. Il est à noter également que la branche 5.2 de PHP n'est plus maintenue.

Documentation


4 Rappel des avis émis

Dans la période du 19 au 25 août 2011, le CERTA a émis les avis suivants :

  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-460/index.htmlCERTA-2011-AVI-460 : Vulnérabilités dans OTRS
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-462/index.htmlCERTA-2011-AVI-462 : Vulnérabilité dans EMC RSA Adaptive Authentication On-Premise
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-463/index.htmlCERTA-2011-AVI-463 : Vulnérabilité dans IBM Websphere Service Registry and Repository
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-464/index.htmlCERTA-2011-AVI-464 : Multiples vulnérabilités dans Google Chrome
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-465/index.htmlCERTA-2011-AVI-465 : Vulnérabilité dans stunnel
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-466/index.htmlCERTA-2011-AVI-466 : Vulnérabilités dans Pidgin
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-467/index.htmlCERTA-2011-AVI-467 : Multiples vulnérabilités dans EMC AutoStart
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-468/index.htmlCERTA-2011-AVI-468 : Vulnérabilité dans Citrix Access Gateway
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-469/index.htmlCERTA-2011-AVI-469 : Vulnérabilité dans Cisco IOS
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-470/index.htmlCERTA-2011-AVI-470 : Vulnérabilité dans Cisco IOS
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-471/index.htmlCERTA-2011-AVI-471 : Vulnérabilité dans les produits F-Secure
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-472/index.htmlCERTA-2011-AVI-472 : Vulnérabilité dans HP Easy Printer Care

Durant la même période, les publications suivantes ont été mises à jour :

  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-316/index.htmlCERTA-2011-AVI-316-001 : Vulnérabilité dans Dovecot (ajout des références aux bulletins Debian, Fedora, Mandriva, RedHat, Suse et Ubuntu)
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-416/index.htmlCERTA-2011-AVI-416-001 : Vulnérabilités dans Samba (SWAT) (ajout des références aux bulletins Debian, Mandriva et Ubuntu)
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-457/index.htmlCERTA-2011-AVI-457-001 : Vulnérabilités dans différents produits Mozilla et dérivés (ajout des dérivés Debian (iceape, icedove, iceweasel))
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-459/index.htmlCERTA-2011-AVI-459-001 : Multiples vulnérabilités dans Ruby on Rails (ajout des références CVE)
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-461/index.htmlCERTA-2011-AVI-461-001 : Vulnérabilités dans PHP (ajout du correctif de la version 53.8 du 23 août 2011.)


Liste des tableaux

Gestion détaillée du document

26 août 2011
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2017-04-20