1 Problèmes liés à extCalendar

Plusieurs défigurations ont été relevées cette semaine, certaines impliquant des sites institutionnels ou académiques. Le traitement de ces incidents, en collaboration avec le CERT Renater, a permis d'identifier dans les journaux la cause de celles-ci. Il s'agit d'une vulnérabilité affectant le produit extCalendar. Ce composant permet de faire apparaître un calendrier. Il s'interface avec les produits Mambo et Joomla!, très souvent utilisés pour développer des sites Internet. L'attaque permet d'acquérir les droits du serveur web et de modifier toute page du serveur. La prise de contrôle de la machine est possible et a été constatée dans les incidents traités. La vulnérabilité n'étant pas corrigée, le CERTA a émis une alerte (CERTA-2006-ALE-008) en indiquant un contournement provisoire. Le CERTA appelle l'attention des responsables sécurité et des administrateurs sur les risques d'attaques via cette vulnérabilité compte tenu du déploiement massif de ce composant. Il est par ailleurs vivement conseillé de n'installer que les modules applicatifs nécessaires au bon fonctionnement du site.

2 Site Web et redirection d'URL

Le traitement d'un incident cette semaine conduit le CERTA a rappelé quelques principes concernant les redirections d'URL (ou adresses réticulaires).

Au niveau applicatif :

Quand une adresse appelle un script qui permet d'insérer un objet référencé sous forme d'une seconde adresse, il est important de vérifier le format de celle-ci. Par exemple, considérons l'adresse de la forme :

http://www.A.B/index.php?AfficheObjet insert=http://adresse_Objet.C.D/etc..

Il est important de vérifier que le domaine C.D est bien celui de la redirection voulue. Dans le cas contraire, le site peut fonctionner comme un outil de redirection vers d'autres sites. Rien n'empêche alors une personne malveillante d'envoyer un courriel contenant la nouvelle adresse, pour rediriger le lecteur vers un site compromis via le site légitime.

Au niveau du pare-feu :

Le serveur Web n'a souvent aucune raison d'initier des connexions HTTP ou FTP vers des machines extérieures, ou alors il s'agit de sites clairement identifiés. Ces connexions doivent donc être correctement bloquées au niveau du pare-feu séparant le site web du monde extérieur. Cette opération protège également du problème de redirection mentionné ci-dessus.

3 Recommandations pour l'été

Le CERTA souhaite aux lecteurs du bulletin d'actualité d'excellentes vacances d'été. Nous rappelons à cet égard qu'il est important d'identifier au sein de l'administration des systèmes d'information une personne suppléante qui pourra s'occuper des problèmes de sécurité pendant l'été.

Rappel des publications émises

Dans la période du 03 juillet 2006 au 09 juillet 2006, le CERT-FR a émis les publications suivantes :


Dans la période du 03 juillet 2006 au 09 juillet 2006, le CERT-FR a mis à jour les publications suivantes :