1 Activité en cours

1.1 Injection de code indirecte

Le CERTA a traité plusieurs incidents relatifs à l'injection de code indirecte (ou cross site scripting) sur certains sites de l'administration. Conformément à la terminologie d'usage au CERTA, le cross site scripting est une activité malveillante qui consiste à injecter des données arbitraires dans le code de pages HTML. Un utilisateur malveillant peut faire afficher à un site web vulnérable un contenu agressif ; ce contenu peut rediriger l'utilisateur vers d'autres sites, ou transmettre des informations (jetons de sessions, aussi appelés cookies, etc) ou des droits.

On remarque que les données arbitraires sont souvent écrites en javascript, en html ou en vbscript. La personne malveillante introduit ainsi du code dans le serveur vulnérable qui héberge le site. Ce serveur est rarement affecté par ce code (porteur sain). Les visiteurs du site, potentiellement victimes, consultent la page contenant le code injecté. L'exécution du code ne se fait pas au niveau du serveur, mais par le client de navigation de l'utilisateur. La notation XSS a été introduite pour remplacer CSS, acronyme déjà utilisé pour signifier Cascading Style Sheet.

Les risques engendrés par cette vulnérabilité sont liés au langage de script utilisé pour réaliser l'attaque par « Cross Site Scripting ». Si, par exemple, le langage javascript est utilisé, il est alors possible :

  • d'afficher une fenêtre demandant à l'utilisateur de rentrer son login et son mot de passe puis de valider, après quoi le résultat sera alors envoyé par mél à l'attaquant ;
  • de récupérer les cookies de la machine victime ;
  • d'exécuter des commandes système...
Les risques liés à cette vulnérabilité sont donc nombreux : déni de service de la machine victime, utilisation de la machine victime à des fins malveillantes, récupération de données personnelles, vol d'identification de connexion.

Pour se protéger, les utilisateurs doivent, dans la mesure du possible, suivre les recommandations, souvent énoncées par le CERTA :

  • éviter de cliquer de façon inconsidérée sur les différents liens insérés dans les messages électroniques ;
  • naviguer sur des sites de confiance : cela signifie, dans ce contexte, sur des sites sur lesquels il n'y aurait pas, a priori, de liens malveillants ;
  • désactiver le javascript sur leur navigateur.

Pour limiter les risques, les concepteurs ou administrateurs de sites web doivent impérativement prévoir un contrôle sur le contenu des différents champs d'un formulaire, ou, de manière plus générale, sur toute donnée que le site est susceptible de récupérer suite à la navigation d'un utilisateur. Ces contrôles peuvent par exemple porter sur la longueur du contenu, sur la présence d'une redirection, sur la présence de caractères spéciaux (comme '>' et '<'), etc ; sans oublier pour autant l'application des correctifs.

Références:

2 Récapitulatif des différentes mises à jour Mozilla

Le CERTA a mentionné des produits Mozilla dans plusieurs documents ces dernières semaines. Parmi ceux-ci, il faut noter :

  • CERTA-2006-AVI-227 : cet avis a été mis à jour, suite aux modifications apportées par certaines distributions Linux pour corriger les vulnérabilités détaillées dans le bulletin de sécurité Mozilla du 01 juin 2006. Ce dernier nécessite le changement de version des produits Firefox et Thunderbird qui évoluent en 1.5.0.4.
  • CERTA-2006-AVI-312 : cet avis du CERTA fait suite au bulletin de sécurité Mozilla du 27 juillet 2006, et implique le changement de version des produits Firefox et Thunderbird en 1.5.0.5. Plusieurs vulnérabilités (14 références citées) sont corrigées, celles-ci permettant à un utilisateur malveillant de provoquer un déni de service, de réaliser une attaque de type cross site scripting ou d'exécuter du code arbitraire à distance. Une majorité de ces vulnérabilités sont issues du module Javascript.

Le 02 août 2006, Mozilla a mis à disposition sur son site une nouvelle version de Firefox et Thunderbird : 1.5.0.6. Cette version n'est pas une mise à jour de sécurité, mais corrige un problème de compatibilité avec des fichiers Windows Media.

3 Serveur Web et modules associés

Le CERTA a publié cette semaine un avis concernant une vulnérabilité présente dans un module d'Apache httpd (CERTA-2006-AVI-315). Elle concerne une erreur dans le module Rewrite (mod_rewrite) généralement inclus dans Apache, mais pas systématiquement chargé par défaut. Ce module permet la ré-écriture à la volée d'URLs et s'utilise parfois pour les besoins internes du serveur httpd dans certaines distributions GNU/Linux. Il est donc recommandé d'effectuer les mises à jour.

De manière générale, il est important de passer en revue les différents modules activés dans la configuration d'Apache httpd et, le cas échéant, de les désactiver s' ils ne sont d'aucune utilité. Le plus souvent, ceux-ci sont visibles dans le fichier httpd.conf. Les modules utilisés se manifestent par une ligne débutant par LoadModule et AddModule. Ceux commentés ont été inclus pendant la compilation mais ne sont pas chargés par défaut. Toute modification de ce fichier ne prend effet qu'après arrêt et redémarrage du service Apache httpd.

Rappel des publications émises

Dans la période du 24 juillet 2006 au 30 juillet 2006, le CERT-FR a émis les publications suivantes :


Dans la période du 24 juillet 2006 au 30 juillet 2006, le CERT-FR a mis à jour les publications suivantes :