1 Activité en cours
1.1 Ports observés
Le tableau 3 et la figure 1 montrent les rejets pour les ports sous surveillance que nous avons constatés sur deux dispositifs de filtrage, entre le 17 et le 24 novembre 2005.
1.2 Vulnérabilité sur de multiples navigateurs
Le 21 novembre le CERTA a publié une alerte (CERTA-2005-ALE-017) concernant une vulnérabilité non corrigée dans le navigateur Microsoft Internet Explorer. Cette vulnérabilité permet l'exécution de code arbitraire sur la machine vulnérable, sans interaction de la part de l'utilisateur. Une démonstration pratique d'exploitation est disponible sur l'Internet mettant en lumière les dangers d'une telle faille. Microsoft a publié un bulletin de sécurité (911302) donnant des détails sur la vulnérabilité, notamment les méthodes de contournement provisoire.A ce jour, la vulnérabilité n'est toujours pas corrigée. Un correctif devrait être mis à disposition par Microsoft le mardi 13 décembre 2005, à l'occasion des prochaines mises à jour de sécurité Microsoft de décembre 2005. Selon quelques messages dans plusieurs listes de diffusion, il est possible qu'un correctif soit disponible avant cette date, à savoir dans la semaine qui vient.
Mozilla Firefox et Mozilla Suite sont également affectés par cette vulnérabilité, qui permet un déni de service. L'exécution de code arbitraire sous Mozilla Firefox et Mozilla Suite n'est pas avérée.
En attendant un correctif pour Microsoft Internet Explorer, le CERTA précise dans son alerte un certain nombre de contournements provisoires, au choix : désactiver l'Active Scripting, ne naviguer que sur des sites de confiance ou utiliser un navigateur alternatif autre que Internet Explorer et Mozilla Firefox / Mozilla Suite.
1.3 Incidents traités
1.3.1 Les messages non sollicités
Le CERTA a traité un incident cette semaine concernant un message non sollicité qui n'était pas véritablement du SPAM. Le message en question était envoyé depuis une société spécialisée dans le « e-mailing » qui agit pour le compte de clients. La liste d'adresses électroniques utilisée provenait d'un autre site gérant une liste de membres.Tous les messages à caractère publicitaire, si ce n'est pas du SPAM, sont normalement issus d'une liste où se trouve votre adresse électronique et pour laquelle vous avez validé la possibilité de recevoir des messages, suite à quoi un message de confirmation doit vous êtes envoyé. Dans les autres cas, l'utilisation de votre adresse n'est pas réglementaire. Si vous souhaitez recevoir de la publicité par message éléctronique, le CERTA vous conseille d'utiliser de multiples adresses électroniques afin d'empêcher que votre adresse électronique professionelle ne soit récupérée pour une utilisation malveillante.
1.3.2 Présence de mots de passe dans le fichier .bash_history
Le CERTA a pu constater, lors de l'analyse de machines compromises, qu'il était possible, pour un intrus ayant obtenu les droits de l'administrateur, de récupérer des mots de passe en clair dans les divers fichiers de l'historique (notamment le fichier .bash_history). En effet, certains utilisateurs tapent directement les mots de passe en clair en ligne de commande pour effectuer certaines connexions (c'est souvent le cas pour MySQL ou encore ftp). Cette mauvaise pratique permet aux intrus de récupérer facilement des mots de passe, et ensuite de compromettre d'autres machines, parfois en dehors du périmètre du réseau.
Recommandation :
Il est conseillé aux administrateurs de sensibiliser les utilisateurs sur la divulgation des mots de passe au travers des fichiers de l'historique. Si de telles pratiques étaient en usage sur vos réseaux, il serait préférable de procéder à un changement de ces mots de passe.
2 Liens utiles
- Note d'information pour limiter l'impact du SPAM ;
http://www.certa.ssi.gouv.fr/site/CERTA-2005-INF-004/index.html
- Unix security checklist version 2.0 du 8 octobre 2001 (Publication du CERT australien)
http://www.auscert.org.au/render.html?it=1935
3 Rappel des avis et mises à jour émis
Durant la période du 18 novembre au 1 décembre 2005, le CERTA a émis les avis suivants :
- CERTA-2005-AVI-463 : Vulnérabilité dans phpMyAdmin
- CERTA-2005-AVI-464 : Vulnérabilité de Lynx
- CERTA-2005-AVI-465 : Vulnérabilité de Mambo
- CERTA-2005-AVI-466 : Vulnérabilité de Netpbm
- CERTA-2005-AVI-467 : Vulnérabilité dans le navigateur Opéra
- CERTA-2005-AVI-468 : Vulnérabilité dans phpSysInfo
- CERTA-2005-AVI-469 : Vulnérabilité de gestionnaire de contenu Zope
- CERTA-2005-AVI-470 : Vulnérabilité du pare-feu PIX de CISCO
- CERTA-2005-AVI-471 : Multiples vulnérabilités du logiciel Joomla!
- CERTA-2005-AVI-472 : Vulnérabilité dans le logiciel FUSE
- CERTA-2005-AVI-473 : Vulnérabilité sur CISCO CSA
- CERTA-2005-AVI-474 : Multiples vulnérabilités dans la machine virtuelle
- CERTA-2005-AVI-475 : Vulnérabilité dans pcAnywhere
- CERTA-2005-AVI-476 : Multiples vulnérabiltés dans Mac OS X
Pendant cette même période, la mise à jour suivante a été publiée :
- CERTA-2005-AVI-180-002 : Vulnérabilités dans Qpopper (ajout référence au bulletin de sécurité FreeBSD)
- CERTA-2005-AVI-393-001 : Multiples vulnérabilités de WinRAR (ajout de la référence au bulletin de sécurité Gentoo)
- CERTA-2005-AVI-407-002 : Vulnérabilité dans la bibliothèque libcURL (ajout des références aux bulletins de sécuritiés Gentoo et RedHat)
- CERTA-2005-AVI-428-001 : Multiples vulnérabilités dans PHP (ajout des références CVE et des références aux bulletins de sécurité RedHat, Gentoo et Mandriva)
- CERTA-2005-AVI-438-001 : Vulnérabilité du logiciel Macromedia Flash (ajout de la référence au bulletin de sécurité Eeye et des mises à jour de sécurité FreeBSD)
- CERTA-2005-AVI-452-001 : Vulnérabilité des clients de messagerie Sylpheed et Sylpheed-Claws (ajout de la référence au bulletin de sécurité Gentoo)
- CERTA-2005-AVI-461-001 : Vulnérabilité des blibliothèques graphiques GTK+2 (ajout des références aux bulletins de sécurité Mandriva et Gentoo)
- CERTA-2005-AVI-434-001 : Vulnérabilité dans l'utilitaire unzip (ajout des références aux bulletins de sécurité Debian et Ubuntu)
- CERTA-2005-AVI-452-002 : Vulnérabilité des clients de messagerie Sylpheed et Sylpheed-Claws (ajout des références aux bulletins de sécurité Debian DSA-906 et DSA-908)
- CERTA-2005-AVI-105-005 : Vulnérabilité de libexif (ajout référence au bulletin de sécurité Sun #102041)
- CERTA-2005-AVI-190-002 : Vulnérabilité de divers outils gérant le format ELF (ajout de la référence au bulletin de sécurité Mandriva)
- CERTA-2004-AVI-351-001 : Vulnérabilité dans Ghostscript (ajout des références aux bulletins de sécurité FreeBSD)
- CERTA-2005-AVI-438-002 : Vulnérabilité du logiciel Macromedia Flash Player (ajout de la référence au bulletin de sécurité Gentoo GLSA 200511-21 et de la réference CVE CAN-2005-2628)
- CERTA-2005-AVI-461-002 : Vulnérabilité des blibliothèques graphiques GTK+2 (ajout de la référence au bulletin de sécurité Debian)
- CERTA-2005-AVI-461-003 : Vulnérabilité des blibliothèques graphiques GTK+2 (ajout de la référence au bulletin de sécurité Debian DSA-913)
- CERTA-2005-AVI-465-001 : Vulnérabilité de Mambo (ajout de la référence à la mise à jour FreeBSD)
- CERTA-2005-AVI-466-001 : Vulnérabilité de Netpbm (ajout de la référence au bulletin de sécurité Mandriva MDKSA-2005:217)
- CERTA-2005-AVI-467-001 : Vulnérabilité dans le navigateur Opéra (ajout des références aux mises à jour FreeBSD et à la référence CVE CAN-2005-3750)