1 Activité en cours
1.1 Ports observés
Le tableau 3 et la figure 1 montrent les rejets pour les ports sous surveillance que nous avons constatés sur deux dispositifs de filtrage, entre le 23 et le 30 juin 2005.
Nous pouvons constater l'apparition de rejets sur le port 10000/tcp. Ces connexions correspondent à des tentatives d'exploitation d'une faille de Veritas Backup Exec (voir CERTA-2005-AVI-229).
1.2 Incidents traités
Le CERTA a traité plusieurs cas de défiguration de site web. Pour l'un de ces incidents, c'est l'exploitation d'une faille d'autologin du forum phpBB qui a été exploitée (voir avis CERTA-2005-AVI-096). Elle permet à un utilisateur mal intentionné de se connecter avec les droits de l'administrateur du forum. Ceci se traduit généralement par des modifications mineures du forum (changement du nom des modérateurs, remplacement des bannières, etc).
Dans un autre cas, c'est la dernière faille de phpBB qui a été exploitée (voir avis CERTA-2005-AVI-237). Cette faille affecte le paramètre highlight du fichier viewtopic.php, et est très proche de la vulnérabilité massivement exploitée en décembre 2004 (voir CERTA-2005-ALE-014). Son exploitation est très critique, puisqu'elle permet de prendre totalement le contrôle du serveur web à distance. Un outil permettant d'exécuter n'importe quelle commande en exploitant cette vulnérabilité a été mis à disposition sur l'Internet le 30 juin. De nombreuses remontées de nos correspondants ont permis de montrer que des attaques s'appuyant sur cet outil avaient débuté dans l'après-midi du 30 juin. Il est possible qu'un ver fasse bientôt son apparition, sur le même modèle que Santy (voir CERTA-2005-ALE-014).
Recommandation :
Il est conseillé de déterminer si le produit phpBB est utilisé sur vos réseaux, et de le mettre à jour le cas échéant.
2 Rappel des avis et mises à jour émis
Durant la période du 27 juin au 01 juillet 2005, le CERTA a émis les avis suivants :
- CERTA-2005-AVI-231 : Multiples vulnérabilités dans le noyau Linux
- CERTA-2005-AVI-232 : Vulnérabilité dans SGI IRIX
- CERTA-2005-AVI-233 : Vulnérabilité dans la base de données DB2
- CERTA-2005-AVI-234 : Vulnérabilité de ClamAV
- CERTA-2005-AVI-235 : Multiples vulnérabilités des produits Adobe pour Mac OS X
- CERTA-2005-AVI-236 : Vulnérabilité du chargeur ld.so sous Solaris
- CERTA-2005-AVI-237 : Vulnérabilité dans phpBB
- CERTA-2005-AVI-238 : Vulnérabilité de RADIUS Authentication sous CISCO IOS
- CERTA-2005-AVI-239 : Multiples vulnérabilité dans heimdal telnetd server
- CERTA-2005-AVI-240 : Vulnérabilités FreeBSD (ipfw)
- CERTA-2005-AVI-241 : Vulnérabilités dans la pile TCP de FreeBSD
- CERTA-2005-AVI-242 : Vulnérabilités dans PHP PEAR
Pendant cette même période, les mises à jour suivantes ont été publiées :
- CERTA-2005-AVI-165-003 : Vulnérabilité dans Squid
(ajout de la référence au bulletin de sécurité Mandriva)
- CERTA-2005-AVI-221-001 : Vulnérabilité de gedit
(ajout des références aux mises à jour de sécurité Fedora)
- CERTA-2005-AVI-178-003 : Multiples vulnérabilités d'Ethereal
(ajout références aux bulletins FreeBSD et NetBSD)
- CERTA-2005-AVI-226-003 : Vulnérabilité dans l'utilitaire sudo
(ajout de la référence au bulletin de sécurité Suse)
- CERTA-2005-AVI-230-001 : Multiples vulnérabilités des lecteurs RealPlayer
(ajout références aux bulletins de SuSE, Red Hat, Fedora et FreeBSD. Ajout références CVE)
- CERTA-2005-AVI-203-001 : Vulnérabilité d'ImageMagick et GraphicsMagick
(Ajout référence à la mise-à-jour Fedora. Ajout référence au bulletin de sécurité de Mandriva)
- CERTA-2005-AVI-225-005 : Vulnérabilité dans SpamAssassin
(ajout de la référence au bulletin de sécurité Mandriva)
- CERTA-2005-AVI-226-004 : Vulnérabilité dans l'utilitaire sudo
(ajout de la référence au bulletin de sécurité RedHat)
- CERTA-2005-AVI-234-001 : Vulnérabilité de ClamAV
(ajout de la référence au bulletin de sécurité OpenBSD)
- CERTA-2005-AVI-225-006 : Vulnérabilité dans SpamAssassin
(ajout de la référence au bulletin de sécurité Debian)
- CERTA-2005-AVI-226-005 : Vulnérabilité dans l'utilitaire sudo
(ajout de la référence au bulletin de sécurité Debian)
- CERTA-2005-AVI-188-004 : Multiples vulnérabilités dans bzip2
(ajout de la référence au bulletin de sécurité FreeBSD SA-05:14)