1 Retour sur la vulnérabilité de type Slowloris et Apache
Le projet Apache propose plusieurs solutions pour rendre inefficaces les attaques par saturation de type Slowloris:
- Une première solution est basée sur l'utilisation du module mod_qos et est détaillée dans l'article :
http://www.howtoforge.com/how-to-defend-slowloris-ddos-with-mod_qos-apache2-on-debian-lenny
. Elle consiste en la mise en place de règles de qualité deservice (qos) afin de gérer finementles ressources allouées par le serveur ; - une seconde solution consiste à utiliser un module spécifiquement conçu pour cet usage : mod_antiloris (http://modules.apache.org/search.php?id=1783). Ce module a d'ailleurs été intégré en standard dans Apache depuis la version 2.2.15 sous le nom officiel mod_reqtimeout (http://httpd.apache.org/docs/2.2/mod/mod_reqtimeout).
La première solution a l'avantage d'utiliser un module à vocation plus généraliste et compatible avec la branche 1.x d'Apache. Il sera donc envisageable de l'utiliser dans d'autres contextes que la simple contre-mesure à une attaque Slowloris.
La seconde sera plus spécifique et sensiblement plus efficace mais nécessitera des tests préalables et, sans doute, une migration vers une version du serveur Apache plus récente non-livrée avec le système d'exploitation courant.
Ce sujet est d'autant plus d'actualité car cette semaine, un chercheur en sécurité a soulevé un problème avec le serveur lighttpd qui, selon ses tests, serait vulnérable à une attaque de type Slowloris alors que, de prime-abord, ce serveur avait été identifié comme non-affecté par le problème. Pour plus de détails sur ce type d'attaque, vous pouvez consulter le bulletin d'actualité CERTA-2010-ACT-025 (http://www.certa.ssi.gouv.fr/site/CERTA-2009-ACT-025.html) et son article intitulé : « Serveur Web et capacité de délivrer un service ».
2 ANSSI et challenge SSTIC
Pour la huitième édition du Symposium sur la Sécurité des Technologies de l'Information et des Communications (SSTIC) , l'ANSSI a cette année proposé un défi technique basé sur la plateforme pour téléphone mobile Android. Le défi ainsi que les solutions sont accessibles à l'adresse suivante : http://communaute.sstic.org/ChallengeSSTIC2010.
Ce défi a été l'occasion pour l'ANSSI d'émuler la sphère SSI française et internationale et de mettre également un coup de projecteur sur sa campagne de recrutement.
Le CERTA invite ses lecteurs à consulter les termes du défi et les solutions afin de mieux appréhender l'univers de la téléphonie mobile et les moyens d'analyse d'une copie de mémoire physique proposés par les participants.
Documentation
- Les offres d'emploi de l'ANSSI :
http://www.ssi.gouv.fr/emploi/
3 Cheval de Troie dans UnrealIRCd
Le 12 juin 2010, les développeurs d'UnrealIRCd, un très populaire serveur IRC, ont publié un bulletin de sécurité pour signaler une compromission des sources mises à disposition en téléchargement. Seules les sources de la version 3.2.8.1 ont été modifiées pour y insérer une porte dérobée. Cette modification a eu lieu le 10 novembre 2009.
Les éléments suivants ne sont donc pas affectés par ce problème :
- les binaires officiels précompilés pour Windows ;
- l'arborescence de développement CVS ;
- les versions 3.2.8 et antérieures.
Si l'archive Unreal3.2.8.1.tar.gz a été téléchargée avant le 10 novembre 2009, celle-ci ne devrait pas comporter la porte dérobée. Il est toutefois recommandé de vérifier la signature MD5 de l'archive (se référer au bulletin de sécurité de l'éditeur).
La version 3.2.8.1 d'UnrealIRDCd a été publiée pour corriger une vulnérabilité critique pouvant mener à une exécution de code arbitraire à distance (CVE-2009-4893). Cette faille affecte les versions 3.2beta11 à 3.2.8.
Il est donc recommandé aux administrateurs de serveurs UnrealIRCd de :
- s'assurer que le serveur est bien à jour en version 3.2.8.1 ;
- de vérifier les signatures MD5 précisées dans les bulletins de sécurité des développeurs ;
- de contacter le CERTA en cas de présence de la porte dérobée sur le serveur.
Documentation :
- Bulletin de sécurité UnrealIRCd du 12 juin 2010 :
http://www.unrealircd.com/txt/unrealsecadvisory.20100612.txt
- Bulletin de sécurité UnrealIRCd du 13 avril 2009 :
http://www.unrealircd.com/txt/unrealsecadvisory.20090413.txt
- Référence CVE-2009-4893 :
https://www.cve.org/CVERecord?id=CVE-2009-4893
- Référence CVE-2010-2075 :
https://www.cve.org/CVERecord?id=CVE-2010-2075
4 Mise à jour Mac OS X 10.6.4 et Adobe Flash Player
Cette semaine Apple a sorti une mise à jour de sécurité (10.6.4) pour Mac OS X.
Cette mise à jour inclut la version 10.0.45.2 de Flash Player qui est obsolète et vulnérable, notamment à la vulnérabilité détaillée dans l'alerte CERTA-2010-ALE-007.
Le CERTA recommande donc de mettre à jour Flash Player avec la dernière version 10.1.53.64 disponible sur le site d'Adobe.Documentation
- Bulletin de sécurité Apple du 15 juin 2010 :
http://support.apple.com/kb/HT4188
- Avis de sécurité Adobe du 15 juin 2010 :
http://blogs.adobe.com/psirt/2010/06/apple_security_update_2010-004.html
- Alerte du CERTA du 05 juin 2010, CERTA-2010-ALE-007 :
http://www.certa.ssi.gouv.fr/site/CERTA-2010-ALE-007/index.html
