1 Activité en cours

1.1 Ports observés

Le tableau 3 et la figure 2 montrent les rejets pour les ports sous surveillance que nous avons constatés sur deux dispositifs de filtrage, entre le 18 et le 25 août 2005.

L'activité sur le port 445/tcp n'apparaît pas du tout car ce port est filtré par le fournisseur d'accès en amont.

2 Flux configurés par défaut des applications

Il nous arrive parfois, lors de l'analyse de journaux système, de détecter l'utilisation d'un port suspect par une machine du réseau local à destination d'une machine de l'Internet. Notre première réaction alors est souvent de penser à un cheval de Troie essayant d'établir une connexion vers l'extérieur. Cependant, il est possible que ce flux soit induit par une application légitime du parc logiciel cherchant à se connecter à l'extérieur du réseau (par exemple pour une mise à jour, pour signaler que la machine est en ligne, ...). Il est donc important de connaître et de maîtriser son parc informatique tant d'un point de vue matériel que d'un point de vue logiciel.

Il est à noter toutefois que la plupart de ces fonctions et adresses Internet sont documentées (ce n'est pas toujours le cas), mais sont oubliées lors de la configuration initiale du logiciel ou de l'équipement. Il est quelque fois difficile de savoir si un flux est le résultat d'une utilisation légitime ou frauduleuse. Si vous constatiez ce type de phénomènes, veuillez avertir le CERTA.

3 Rappel des avis et mises à jour émis

Durant la période du 15 au 19 août 2005, le CERTA a émis les avis suivants :

  • CERTA-2005-AVI-313 : Vulnérabilité dans Veritas Backup Exec et dans Veritas NetBackup
  • CERTA-2005-AVI-314 : Vulnérabilité d'Evolution
  • CERTA-2005-AVI-315 : Vulnérabilité dans Adobe Acrobat
  • CERTA-2005-AVI-316 : Multiples vulnérabilités dans Mac OS X
  • CERTA-2005-AVI-317 : Vulnérabilité dans Cisco Clean Access

Pendant cette même période, les mises à jour suivantes ont été publiées :

  • CERTA-2005-AVI-278-005 : Vulnérabilité dans Fetchmail

    (ajout de la référence au bulletin de sécurité Debian DSA-774)

  • CERTA-2005-AVI-282-002 : Multiples vulnérabilités dans ProFTPD

    (ajout de la référence au bulletin de sécurité Mandriva)

  • CERTA-2005-AVI-307-001 : Vulnérabilité de AWStats

    (ajout du bulletin de sécurité FreeBSD)

  • CERTA-2005-AVI-311-001 : Multiples vulnérabilités dans Gaim

    (ajout des bulletins de sécurité OpenBSD et FreeBSD)

  • CERTA-2005-AVI-315-001 : Vulnérabilité dans Adobe Acrobat

    (ajout du bulletin de sécurité FreeBSD et de la référence CVE)

Deux alertes ont également fait l'objet d'une publication :

  • CERTA-2005-ALE-007 : Exploitation de la faille MS05-039
  • CERTA-2005-ALE-008 : Possible vulnérabilité de la bibliothèque msdds.dll

Rappel des publications émises

Dans la période du 15 août 2005 au 21 août 2005, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :