1 Activité en cours
1.1 Ports observés
Le tableau 3 montre les rejets pour les ports sous surveillance que nous avons constatés sur deux dispositifs de filtrage, entre le 09 et le 16 juin 2005.
1.2 Activité sur le port 139/tcp
Le trafic sur le port 139/tcp continue d'augmenter. Il est désormais en tête des rejets. Le CERTA ne sait toujours pas à quoi correspond ce type de trafic, mais constate qu'il est souvent accompagné de tentatives sur le port 80/tcp.
Recommandation :
Il est fortement recommandé de filtrer le port 139/tcp au niveau du pare-feu.
2 Publication d'un outil exploitant une vulnérabilité de SMB dans Microsoft Windows
Un outil exploitant une vulnérabilité du client SMB de Microsoft Windows a été récemment publié. Cette vulnérabilité avait fait l'objet de l'avis CERTA-2005-AVI-058 le 09 février 2005. Il s'agit d'une vulnérabilité du client SMB, c'est-à-dire qu'un utilisateur mal intentionné doit inciter sa victime à se connecter sur un serveur malveillant, ce qui peut être fait au moyen de liens de type file:// insérés dans des messages électroniques par exemple.
D'autre part, une vulnérabilité affectant le serveur SMB a récemment été publiée (avis CERTA-2005-AVI-213), permettant l'exécution de code arbitraire à distance (avis CERTA-2005-AVI-213).
Recommandation :
Il est conseillé d'appliquer sans délai les correctifs indiqués dans les avis CERTA-2005-AVI-058 et CERTA-2005-AVI-213 concernant le client et le serveur SMB :
http://www.certa.ssi.gouv.fr/site/CERTA-2005-AVI-058/index.html
http://www.certa.ssi.gouv.fr/site/CERTA-2005-AVI-213/index.html
Par ailleurs, il est recommandé de filtrer les ports 139/tcp et 445/tcp en entrée et en sortie (pour empêcher la connexion vers des serveurs malveillants).
3 Rappel des avis et mises à jour émis
Durant la période du 13 au 17 juin 2005, le CERTA a émis les avis suivants :
- CERTA-2005-AVI-202 : Multiples vulnérabilités de Gaim
- CERTA-2005-AVI-203 : Vulnérabilité d'ImageMagick et GraphicsMagick
- CERTA-2005-AVI-204 : Vulnérabilité dans Symantec pcAnywhere
- CERTA-2005-AVI-205 : Vulnérabilité dans les produits Macromedia
- CERTA-2005-AVI-206 : Vulnérabilité de produits Adobe
- CERTA-2005-AVI-207 : Vulnérabilité de GNU wget
- CERTA-2005-AVI-208 : Vulnérabilités de Novell iManager et Novell eDirectory
- CERTA-2005-AVI-209 : Vulnérabilités des versions Sun de Java 2 Standard Edition
- CERTA-2005-AVI-210 : Vulnérabilité dans Microsoft Outlook Express
- CERTA-2005-AVI-211 : Vulnérabilité de Outlook Web Access pour Microsoft Exchange Serveur 5.5
- CERTA-2005-AVI-212 : Vulnérabilité dans l'aide HTML de Windows
- CERTA-2005-AVI-213 : Vulnérabilité dans SMB de Microsoft
- CERTA-2005-AVI-214 : Vulnérabilité du client Telnet Microsoft
- CERTA-2005-AVI-215 : Vulnérabilité de Microsoft ISA Server 2000
- CERTA-2005-AVI-216 : Vulnérabilité des systèmes Microsoft Windows
- CERTA-2005-AVI-217 : Vulnérabilité des systèmes Microsoft Windows
- CERTA-2005-AVI-218 : Vulnérabilités dans Internet Explorer
- CERTA-2005-AVI-219 : Vulnérabilité dans le service WebClient de Microsoft
- CERTA-2005-AVI-220 : Vulnérabilité dans Acrobat et Reader d'Adobe
- CERTA-2005-AVI-221 : Vulnérabilité de gedit
- CERTA-2005-AVI-222 : Vulnérabilité de lpadmin sous Solaris
- CERTA-2005-AVI-223 : Vulnérabilité de Opera
- CERTA-2005-AVI-224 : Vulnérabilité de SquirrelMail
- CERTA-2005-AVI-225 : Vulnérabilité dans SpamAssassin
Pendant cette même période, les mises à jour suivantes ont été publiées :
- CERTA-2005-AVI-082-005 : Vulnérabilité de gFTP
(ajout de la référence au bulletin de sécurité RedHat)
- CERTA-2005-AVI-163-002 : Multiples vulnérabilités de gaim
(ajout des références aux bulletins de sécurité SUSE et RedHat RHSA-2005:432)
- CERTA-2005-AVI-164-002 : Multiples vulnérabilités dans tcpdump
(ajout des références aux bulletins de sécurité Gentoo et RedHat RHSA-2005:505. Ajout de la référence CVE CAN-2005-1267. Modification de la référence au bulletin de sécurité Mandriva)
- CERTA-2005-AVI-174-002 : Multiples failles des noyaux Linux
(ajout du bulletin de sécurité Novell SUSE-SA:2005:029)
- CERTA-2005-AVI-183-002 : Vulnérabiltés dans gzip
(ajout de la référence au bulletin de sécurité RedHat RHSA-2005:357)
- CERTA-2005-AVI-188-002 : Multiples vulnérabilités dans bzip2
(ajout de la référence au bulletin de sécurité SUSE SUSE-SR:2005:015)
- CERTA-2004-AVI-308-002 : Vulnérabilité dans OpenSSH
(ajout références aux bulletins de sécurité RHSA-2005-495 de Red Hat et MDKSA-2005:100 de Mandriva)
- CERTA-2005-AVI-165-002 : Vulnérabilité dans Squid
(ajout de la référence au bulletin de sécurité RedHat)
- CERTA-2005-AVI-183-003 : Vulnérabiltés dans gzip
(ajout de la référence au bulletin de sécurité freeBSD SA-05:11)
- CERTA-2005-AVI-202-001 : Multiples vulnérabilités de Gaim
(ajout référence au bulletin de sécurité Mandriva)
- CERTA-2005-AVI-164-003 : Multiples vulnérabilités dans tcpdump
(ajout de la référence au bulletin de sécurité Mandriva MDKSA-2005:101. Correction des références CVE)
- CERTA-2005-AVI-188-003 : Multiples vulnérabilités dans bzip2
(ajout de la référence au bulletin de sécurité RedHat RHSA-2005:474)
- CERTA-2005-AVI-202-002 : Multiples vulnérabilités de Gaim
(ajout référence au bulletin de sécurité RedHat)
- CERTA-2005-AVI-212-001 : Vulnérabilité dans l'aide HTML de Windows
(mise à jour des systèmes affectés (ajout de Microsoft Windows 2000 SP4)
- CERTA-2005-AVI-213-001 : Vulnérabilité dans SMB de Microsoft
(mise à jour des systèmes affectés (ajout de Microsoft Windows 2000 SP4)
- CERTA-2005-AVI-081-002 : Vulnérabilité de Midnight Commander
(ajout des références aux bulletins de sécurité Debian DSA-639, Debian DSA-698 et RedHat RHSA-2005:512. Ajout des références CVE CAN-2004-1009, CAN-2004-1090, CAN-2004-1091, CAN-2004-1093, CAN-2004-1174, CAN-2004-1175 et CVE CAN-2005-0763)
- CERTA-2005-AVI-114-004 : Multiples vulnérabilités de xli
(ajout du bulletin de sécurité Avaya ASA-2005-134)
- CERTA-2005-AVI-124-004 : Multiples vulnérabilités dans le client Telnet
(ajout du bulletin de sécurité Avaya ASA-2005-132)
- CERTA-2005-AVI-126-002 : Multiples vulnérabilités dans PHP
(ajout du bulletin de sécurité Avaya ASA-2005-136)
- CERTA-2005-AVI-131-002 : Vulnérabilité de WU-FTPD
(ajout bulletin de sécurité Avaya ASA-2005-126)
- CERTA-2005-AVI-164-004 : Multiples vulnérabilités dans tcpdump
(ajout de la référence au bulletin de sécurité Mandriva MDKSA-2005:101. Correction des références CVE. Ajout du bulletin de sécurité Avaya ASA-2005-137)
- CERTA-2005-AVI-174-003 : Multiples failles des noyaux Linux
(ajout du bulletin de sécurité Avaya ASA-2005-120)
- CERTA-2005-AVI-178-002 : Multiples vulnérabilités d'Ethereal
(ajout du bulletin de sécurité Avaya ASA-2005-131)