1 Activité en cours
1.1 Ports observés
Le tableau 3 et la figure 2 montrent les rejets pour les ports sous surveillance que nous avons constatés sur deux dispositifs de filtrage, entre le 04 et le 11 août 2005.
1.2 Correctifs de sécurité Microsoft du 9 août 2005 :
Suite à la parution des correctifs Microsoft du 9 août 2005, des outils exploitant ces vulnérabilités ont été rendus publics. C'est le cas en particulier pour la vulnérabilité décrite dans l'avis CERTA-2005-AVI-302 concernant les fonctions plug and play de Microsoft Windows. Nous avons la confirmation qu'il existe au moins un outil fonctionnel capable de compromettre un système vulnérable.1.2.1 Recommandations :
Il est recommandé d'appliquer sans tarder les correctifs de sécurité mis à disposition par Microsoft pour chacune des vulnérabilités concernées.
1.3 Activité anormale sur le port 6101/tcp :
Nous constatons depuis cette semaine une activité croissante sur le port 6101/tcp comme le montre la figure 1. Cette activité est sans doute liée à la mise à disposition d'outils malveillants visant à exploiter des vulnérabilités du logiciel de sauvegarde Veritas Backup Exec décrites dans l'avis CERTA-2005-AVI-229 du 23 juin 2005.1.3.1 Recommandations :
Il est encore une fois recommandé d'appliquer les correctifs de sécurité associés à ces vulnérabilités. Il est également conseillé de filtrer les flux à destination du port 6101/tcp et provenant de l'Internet.
2 Rappel des avis et mises à jour émis
Durant la période du 01 au 05 août 2005, le CERTA a émis les avis suivants :
- CERTA-2005-AVI-293 : Vulnérabilité dans BrightStor ARCserve/Enterprise Backup
- CERTA-2005-AVI-294 : Vulnérabilité de HP NonStop DCE Core Services
- CERTA-2005-AVI-295 : Vulnérabilité dans SAP R/3 Internet Graphic Server
- CERTA-2005-AVI-296 : Vulnérabilité de apt-cacher
- CERTA-2005-AVI-297 : Vulnérabilité de Business Objects Enterprise et Crystal Reports
- CERTA-2005-AVI-298 : Multiples Vulnérabilités dans Oracle for Openview (OfO)
Pendant cette même période, les mises à jour suivantes ont été publiées :
- CERTA-2005-AVI-128-001 : Vulnérabilité dans Sylpheed
(ajout de la référence au bulletin de sécurité FreeBSD)
- CERTA-2005-AVI-195-002 : Vulnérabilité de libtiff
(ajout de la référence au bulletin de sécurité FreeBSD)
- CERTA-2005-AVI-246-005 : Vulnérabilité de la bibliothèque zlib
(ajout de la référence au bulletin de sécurité Gentoo GLSA 200508-01)
- CERTA-2005-AVI-276-004 : Vulnérabilité sur la bibliothèque zlib
(ajout de la référence au bulletin de sécurité Gentoo GLSA 200508-01)
- CERTA-2005-AVI-284-001 : Multiples vulnérabilités dans le logiciel Ethereal
(ajout de la référence au bulletin de sécurité FreeBSD)
- CERTA-2005-AVI-287-002 : Vulnérabilité de Opera
(ajout des références aux bulletins de sécurité FreeBSD)
- CERTA-2005-AVI-292-001 : Vulnérabilité de l'éditeur Vim
(ajout des références aux bulletins de sécurité FreeBSD)
- CERTA-2005-AVI-282-001 : Multiples vulnérabilités dans ProFTPD
(ajout de la référence au bulletin de sécurité Gentoo GLSA 200508-02 et à la référence CVE CAN-2005-2390)