1 Activité en cours

1.1 Ports observés

Le tableau 3 et la figure 1 montrent les rejets pour les ports sous surveillance que nous avons constatés sur deux dispositifs de filtrage, entre le 14 et le 21 juillet 2005.

1.2 Incidents traités

Le CERTA a traité trois cas de défiguration de site web. Pour ces cas, la faille suspectée d'avoir été exploitée est de type php include, dans l'application PostNuke. Ce type d'attaque est expliqué dans la note d'information CERTA-2004-INF-001 intitulée « Sécurité des applications Web et vulnérabilité de type injection de données » :

http://www.certa.ssi.gouv.fr/site/CERTA-2004-INF-001/index.html

1.3 Prolifération des rootkits sous Windows

Le CERTA a été informé récemment de la découverte de rootkits (ensemble d'outils dont le but est de camoufler l'activité d'un pirate) sur des machines compromises sous Windows. Les rootkits, très souvent utilisés lors des piratages de machines linux, compliquent considérablement la détection des machines compromises. Les machines sur lesquelles ces outils ont été trouvés étaient utilisées comme serveur ftp warez (échange de fichiers piratés).

1.3.1 Recommandation :

Il est conseillé d'utiliser des outils de métrologie pour surveiller l'activité du réseau. Ces outils permettent de détecter les machines qui sont à l'origine (ou destinataire) d'un trafic important, ce qui peut être symptomatique de la présence d'un serveur ftp warez.

1.4 Recrudescence de l'activité MyTob

Un des abonnés du CERTA a signalé une recrudescence de l'activité du ver MyTob. Ce ver se propage principalement par la messagerie.

1.4.1 Recommandation :

Il est conseillé de lire l'avis CERTA-2003-AVI-084 intitulé « Rappel sur les virus de messagerie » et disponible à l'adresse :

http://www.certa.ssi.gouv.fr/site/CERTA-2003-AVI-084/index.html

2 Rappel des avis et mises à jour émis

Durant la période du 18 juillet au 22 juillet 2005, le CERTA a émis les avis suivants :

  • CERTA-2005-AVI-268 : Vulnérabilité de Shorewall
  • CERTA-2005-AVI-269 : Vulnérabilité de Sybase EAServer
  • CERTA-2005-AVI-270 : Multiples vulnérabilités de PowerDNS
  • CERTA-2005-AVI-271 : Vulnérabilité dans Sun Management Center
  • CERTA-2005-AVI-272 : Vulnérabilité de Kate / Kwrite
  • CERTA-2005-AVI-273 : Vulnérabilité dans Novell Groupwise
  • CERTA-2005-AVI-274 : Vulnérabilité dans SSH Tectia Server et Secure shell pour Windows
  • CERTA-2005-AVI-275 : Vulnérabilité dans Airport d'Apple
  • CERTA-2005-AVI-276 : Vulnérabilité sur la bibliothèque zlib
  • CERTA-2005-AVI-277 : Vulnérabilité dans Avast Antivirus
  • CERTA-2005-AVI-278 : Vulnérabilité dans Fetchmail

Pendant cette même période, les mises à jour suivantes ont été publiées :

  • CERTA-2005-AVI-239-002 : Multiples vulnérabilité dans heimdal telnetd server

    (ajout de la référence au bulletin de sécurité Debian DSA-758)

  • CERTA-2005-AVI-242-008 : Vulnérabilités dans PHP PEAR

    (ajout de la référence au bulletin de sécurité Gentoo GLSA 200507-15)

  • CERTA-2005-AVI-250-003 : Vulnérabilité de dhcpcd

    (ajout de la référence au bulletin de sécurité Gentoo 200507-16, correction du produit en dhcpcd)

  • CERTA-2005-AVI-256-003 : Multiples vulnérabilité dans les produits Mozilla

    (ajout des références CVE et de la référence au bulletin de sécurité FreeBSD)

  • CERTA-2005-AVI-257-003 : Vulnérabilité de MIT Kerberos 5

    (ajout de la référence au bulletin de sécurité Debian DSA-757)

  • CERTA-2005-AVI-242-009 : Vulnérabilités dans PHP PEAR

    (ajout de la référence au bulletin de sécurité SGI 20050703-01-U)

  • CERTA-2005-AVI-256-004 : Multiples vulnérabilité dans les produits Mozilla

    (ajout de Mozilla Thunderbird dans la liste des systèmes affectés ainsi que de la remarque dans la description)

  • CERTA-2005-AVI-257-004 : Vulnérabilité de MIT Kerberos 5

    (ajout des références aux bulletins de sécurité RedHat RHSA-2005:562 et SGI 20050703-01-U)

  • CERTA-2005-AVI-245-002 : Vulnérabilités dans OpenLDAP, nss_ldap et pam_ldap

    (ajout de la référence au bulletin de sécurité Mandriva MDKSA-2005:121)

  • CERTA-2005-AVI-251-001 : Vulnérabilité de cpio

    (ajout de la référence au bulletin de sécurité Mandriva MDKSA-2005:116-1)

  • CERTA-2005-AVI-227-001 : Multiples vulnérabilités de Cacti

    (ajout de la référence au bulletin de sécurité Debian DSA-764)

  • CERTA-2005-AVI-243-003 : Multiples vulnérabilités de Cacti

    (ajout de la référence au bulletin de sécurité Debian DSA-764)

  • CERTA-2005-AVI-268-001 : Vulnérabilité de Shorewall

    (ajout de la référence au bulletin de sécurité Mandriva MDKSA-2005:123 et ajout de la référence CVE CAN-2005-2317)

  • CERTA-2005-AVI-272-001 : Vulnérabilité de Kate / Kwrite

    (ajout de la référence au bulletin de sécurité Mandriva MDKSA-2005:122)

  • CERTA-2005-AVI-183-005 : Vulnérabilités dans gzip

    (ajout de la référence au bulletin de sécurité Sun #101816)

  • CERTA-2005-AVI-251-002 : Vulnérabilité de cpio

    (ajout de la référence au bulletin de sécurité RedHat RHSA-2005:378)

  • CERTA-2005-AVI-268-002 : Vulnérabilité de Shorewall

    (ajout de la référence au bulletin de sécurité Gentoo GLSA 200507-20)

  • CERTA-2005-AVI-270-001 : Multiples vulnérabilités de PowerDNS

    (ajout de la référence au bulletin de sécurité FreeBSD, de la référence CVE CAN-2005-2302)

  • CERTA-2005-AVI-256-005 : Multiples vulnérabilité dans les produits Mozilla

    (ajout des références aux bulletins de sécurité RedHat RHSA-2005:586, RHSA-2005:587 et RHSA-2005:601)

  • CERTA-2005-AVI-124-005 : Multiples vulnérabilités dans le client Telnet

    (ajout de la référence au bulletin de sécurité Debian DSA-765)

Rappel des publications émises

Dans la période du 18 juillet 2005 au 24 juillet 2005, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :