S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 09 décembre 2005
N° CERTA-2005-ACT-049
Affaire suivie par: CERT-FR
le 09 décembre 2005

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2005-49

Gestion du document

Référence CERTA-2005-ACT-049
Titre Bulletin d’actualité 2005-49
Date de la première version 09 décembre 2005
Date de la dernière version 09 décembre 2005
Source(s) Aucune
Pièce(s) jointe(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Activité en cours

1.1 Ports observés

Le tableau 3 et la figure 1 montrent les rejets pour les ports sous surveillance que nous avons constatés sur deux dispositifs de filtrage, entre le 01 et le 08 décembre 2005.

1.2 Incidents traités

1.2.1 Défigurations de site

Le CERTA a traité deux cas de défiguration de site web. Dans le premier cas, la faille exploitée est une vulnérabilité de phpBB. Les forums reposant sur phpBB sont très nombreux, et sont parfois installés à l’insu des administrateurs.Dans l’autre cas, c’est une faille de type « injection ASP » qui a été exploitée.

1.2.2 Compromissions

Le CERTA a analysé un serveur web compromis par l’exploitation d’une faille de awstats.pl (à noter qu’un forum reposant sur une version vulnérable de phpBB était également présent). La compromission a été très limitée par l’existence d’un filtrage en sortie, ce qui a bloqué les tentatives d’utilisation de la commande wget par le pirate. Ce dernier, n’ayant pas réussi à installer ses outils, a abandonné la machine.

D’autre part, le CERTA a été informé de la probable compromission d’un serveur, celui-ci ayant scanné de nombreuses classes d’adresses sur le port 22/tcp (ssh).

2 Logiciel de protection Sony

Plusieurs utilisateurs ont remonté au CERTA depuis plusieurs semaines, les journaux de leur serveur de résolution de noms. Ces journaux montrent des requêtes provenant de la même adresse IP, ayant les mêmes ID et port et portant sur les noms de domaine connected.sonymusic.com, license.sunncomm2.com, updates.xcp-aurora.com… Ces requêtes sont effectuées par des programmes executés depuis un laboratoire de recherche qui tente de connaître l’étendue de la propagation du cheval de Troie présent dans le logiciel de protection de Sony. Cette étude est réalisée à partir des réponses retournées par les serveurs cache de noms qui sont configurés de façon à accepter des requêtes depuis l’extérieur. Les résultats de cette étude peuvent être trouvés sur le site du laboratoire de recherche à l’adresse suivante :

http://www.doxpara.com?q=sony

La carte semble présenter une plus faible diffusion dans notre pays, qui n’est pas forcément caractéristique d’une moindre prolifération : les caches en France peuvent juste être moins nombreux à appliquer une politique de restriction des interrogations.

Pour savoir si votre ordinateur est compromis il suffit de visualiser si le service XCP CD Proxy est démarré sur votre ordinateur. Dans ce cas, il est probable que le cheval de Troie soit également installé sur votre ordinateur. Des outils de désinfection ont été fournis par certains éditeurs d’antivirus pour supprimer ce cheval de troie.

3 Liens utiles

4 Rappel des avis et mises à jour émis

Durant la période du 02 au 08 décembre 2005, le CERTA a émis les avis suivants :

  • CERTA-2005-AVI-477 : Vulnérabilité de Citrix
  • CERTA-2005-AVI-478 : Vulnérabilité dans Webmin/Usermin
  • CERTA-2005-AVI-479 : Vulnérabilité dans DotClear
  • CERTA-2005-AVI-480 : Vulnérabilité dans Helix Player
  • CERTA-2005-AVI-481 : Vulnérabilité du serveur HTTP de CISCO IOS
  • CERTA-2005-AVI-482 : Vulnérabilité de cURL/libcURL
  • CERTA-2005-AVI-483 : Multiples vulnérabilités dans Xpdf et les bibliothèques dérivées
  • CERTA-2005-AVI-484 : Vulnérabilité dans phpMyAdmin

Pendant cette même période, les mises à jour suivantes ont été publiées :

  • CERTA-2005-AVI-474-001 : Multiples vulnérabilités dans la machine virtuelle Java de Sun

    (ajout de la référence au bulletin de sécurité Apple)

  • CERTA-2005-AVI-400-003 : Faiblesse dans OpenSSL 0.9.x

    (ajout de la référence à l’avis de sécurité Cisco)

  • CERTA-2005-AVI-457-001 : Déni de service sur SpamAssassin

    (ajout de la référence au bulletin de sécurité Mandriva)

  • CERTA-2005-AVI-478-001 : Vulnérabilité dans Webmin/Usermin

    (ajout de la référence au bulletin de sécurité Mandriva)

  • CERTA-2005-AVI-383-003 : Vulnérabilité dans UW-imapd

    (ajout de la référence au bulletin de sécurité RedHat RHSA-2005:850)

  • CERTA-2005-AVI-474-002 : Multiples vulnérabilités dans la machine virtuelle Java de Sun

    (corrections et précisions sur les versions impactées)

  • CERTA-2005-AVI-478-002 : Vulnérabilité dans Webmin/Usermin

    (ajout des références aux bulletins de sécurité Gentoo et DYAD Security)

Gestion détaillée du document

    le 09 décembre 2005
    version initiale.