S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 20 mai 2005
N° CERTA-2005-ACT-020
Affaire suivie par: CERT-FR
le 20 mai 2005

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité N°2005-20

Gestion du document

Référence CERTA-2005-ACT-020
Titre Bulletin d’actualité N°2005-20
Date de la première version 20 mai 2005
Date de la dernière version 20 mai 2005
Source(s) Aucune
Pièce(s) jointe(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Activité en cours

1.1 Ports observés

Le tableau 3 montre les rejets pour les ports sous surveillance que nous avons constatés sur deux dispositifs de filtrage, entre le 05 et le 12 mai 2005.

2 Les flux multimédia

Avec la banalisation des connexions haut débit, est apparu la possibilité de recevoir des flux multimédia « en temps réel » plus couramment appelés Streaming. On pourra citer à titre d’exemple : RTSP (Real Time Streaming Protocol) ou MMS (Microsoft Multimedia Server).

On peut distinguer essentiellement deux types de flux : video et audio. Ils sont bien souvent composés de simples paquets de type UDP. Mais parfois, ils utilisent des ports prévus à un tout autre usage comme le 80/tcp.

Il peut arriver que l’utilisation abusive en interne de ce type de technologie induise l’administrateur en erreur. En effet, les flux multimedia sont généralement par essence très consommateurs en bande passante. Ce que l’administrateur pourrait prendre pour une attaque par saturation (flood) depuis l’extérieur n’est, en fait, due qu’à des utilisateurs de son propre réseau qui écoutent ou regardent une radio ou une vidéo en ligne. De plus, certains logiciels utilisant le port 80/tcp sont capables d’utiliser les serveurs mandataires (proxy). Il peut arriver dans ce cas que ces derniers ne soient pas dimensionnés pour accepter ce type d’utilisation et se retrouvent en état de déni de service.

Recommandation :

Si vous constatez une consommation excessive de votre bande passante, il convient donc d’examiner l’orientation des flux et de s’assurer que le phénomène n’est pas dû à ces types de flux. En particulier, la consultation des journaux du serveur mandataire est souvent révélatrice. Une parade possible à ce déni de service consiste à filtrer les sites qui distribuent ce type de flux via le serveur mandataire. Cependant, ce n’est qu’une explication parmi d’autres pour une consommation excessive de bande passante. Si vous constatiez ce type de phénomène, veuillez en informer le CERTA.

3 Rappel des avis et mises à jour émis

Durant la période du 09 au 13 mai 2005, le CERTA a émis les avis suivants :

  • CERTA-2005-AVI-159 : Multiples vulnérabilités dans Mac OS X
  • CERTA-2005-AVI-160 : Vulnérabilité d’iTunes
  • CERTA-2005-AVI-161 : Vulnérabilité dans phpBB
  • CERTA-2005-AVI-162 : Vulnérabilité de l’explorateur Windows
  • CERTA-2005-AVI-163 : Multiples vulnérabilités de gaim

Pendant cette même période, les mises à jour suivantes ont été publiées :

  • CERTA-2005-AVI-104-006 : Vulnérabilité de libXpm

    (ajout références aux bulletins de sécurité Mandriva et Debian relatifs à XFree86)

  • CERTA-2005-AVI-147-002 : Vulnérabilité dans OpenOffice

    (ajout référence au bulletin de sécurité Mandriva)

  • CERTA-2005-AVI-104-007 : Vulnérabilité de libXpm

    (ajout référence au bulletin de sécurité Red Hat relatif à openmotif)

Gestion détaillée du document

    le 20 mai 2005
    version initiale.