Objet: Bulletin d'actualité 2012-07

1 Piégeage d'un dépôt FTP de logiciel

Le projet Horde produit plusieurs logiciels libres de travail collaboratif, dont IMP, un serveur de messagerie POP et IMAP.

Incident révélé

En novembre 2011, suite à une intrusion sur un serveur FTP du projet, trois paquets logiciels ont été piégés. Une porte dérobée a été incluse dans ces paquets, permettant à un attaquant d'exécuter du code à distance.

Les logiciels concernés sont :

• Horde 3.3.12, téléchargé entre le 15 novembre 2011 et le 07 février 2012 ;
• Horde Groupware 1.2.10, téléchargé entre le 09 novembre 2011 et le 07 février 2012 ;
• Horde Groupware Webmail Edition 1.2.10, téléchargé entre le 02 novembre 2011 et le 07 février 2012.

Si vous avez le moindre doute sur votre version, le projet indique une chaîne de caractères révélatrice des versions piégées, à chercher dans le répertoire d'installation : $m[1]($m[2])

Selon l'équipe du projet, seul le serveur FTP ftp.horde.org est concerné. Le serveur a été remplacé et les analyses se poursuivent.

Dans la communication sur l'incident, les développeurs du projet ont suggéré des versions de remplacement accompagnées de leurs condensés MD5.

Recommandations

Le CERTA recommande, pour ce cas précis :

• de vérifier les versions téléchargées (dates, caractéristiques...) ;
• au moindre doute, et surtout en cas de découverte de versions malveillantes, de remplacer le paquet utilisé;
• de comparer le condensé MD5 du paquet téléchargé au condensé indiqué dans l'annonce sur l'incident.

De manière plus générale, la plus grande attention doit être portée sur les téléchargements de logiciels ou de correctifs :

• le site de l'éditeur ou un mirroir officiel doit être privilégié ;
• l'intégrité du contenu téléchargé doit être vérifiée, dès lors que cette vérification est possible ;
• les communications (site Web, listes de diffusion...) de l'éditeur ou du projet doivent être surveillées pour être informé au plus tôt d'incidents, comme celui que le projet Horde vient de subir ;
• pour un correctif, une étude sur le code source ou sur les modifications peut également être envisagée ;
• l'exécution et l'observation sur une plateforme de test peuvent révéler des anomalies.

Documentation

• Note d'information du CERTA CERTA-2001-INF-004 « Acquisition des correctifs » :

  http://www.certa.ssi.gouv.fr/site/CERTA-2001-INF-004/index.html
  

• Annonce du projet Horde du 13 février 2012 :

  http://lists.horde.org/archives/announce/2012/000751.html
  

• Référence CVE CVE-2012-0209 :

  https://www.cve.org/CVERecord?id=CVE-2012-0209
  

2 Mise à jour mensuelle Microsoft

Cette semaine, Microsoft a publié plusieurs correctifs de sécurité. Sur les neuf bulletins édités, quatre sont jugés critiques par Microsoft et les cinq autres sont considérés comme importants.

Les vulnérabilités corrigées permettaient :

• une exécution de code arbitraire à distance ;
• une élévation de privilèges ;
• une divulgation d'information ;
• une injection de code indirecte à distance.

Les produits Microsoft impactés par ces mises à jour sont:

• Microsoft Windows (toutes versions) ;
• Internet Explorer (toutes versions) ;
• Microsoft .Net Framework 2.0, 3.5.1 et 4.0 ;
• Microsoft Silverlight 4 ;
• Microsoft Sharepoint 2010 ;
• Microsoft Visio Viewer 2010.

Le CERTA recommande l'application de ces mises à jour dès que possible.

Documentation

• Synthèse des bulletins de sécurité Microsoft du mois de janvier 2012:

  http://technet.microsoft.com/fr-fr/security/bulletin/ms12-feb
  

• CERTA-2012-AVI-082 Vulnérabilités dans le Framework Microsoft .Net et Microsoft Silverlight

  http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-082/index.html
  

• CERTA-2012-AVI-081 Multiples vulnérabilités dans Microsoft Visio Viewer

  http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-081/index.html
  

• CERTA-2012-AVI-080 Vulnérabilité dans le codec Indeo de Microsoft Windows

  http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-080/index.html
  

• CERTA-2012-AVI-079 Vulnérabilité dans la bibliothèque RunTime C Microsoft

  http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-079/index.html
  

• CERTA-2012-AVI-078 Vulnérabilité dans le panneau de configuration des couleurs de Microsoft Windows

  http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-078/index.html
  

• CERTA-2012-AVI-077 Vulnérabilités dans Microsoft Sharepoint

  http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-077/index.html
  

• CERTA-2012-AVI-076 Multiples vulnérabilités dans Internet Explorer

  http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-076/index.html
  

• CERTA-2012-AVI-075 Vulnérabilités dans le pilote de gestion des connexions réseau de Microsoft Windows

  http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-075/index.html
  

• CERTA-2012-AVI-074 Vulnérabilités dans les pilotes Windows

  http://www.certa.ssi.gouv.fr/site/CERTA-2012-AVI-074/index.html
  

3 Rappel des avis émis

Dans la période du 10 février 2012 au 16 février 2012, le CERTA a émis les publications suivantes :

• CERTA-2012-AVI-071 : Vulnérabilités dans Novell iPrint
• CERTA-2012-AVI-072 : Vulnérabilités dans des produits Horde
• CERTA-2012-AVI-073 : Vulnérabilité dans les produits Mozilla
• CERTA-2012-AVI-074 : Vulnérabilités dans les pilotes Windows
• CERTA-2012-AVI-075 : Vulnérabilités dans le pilote de gestion des connexions réseau de Microsoft Windows
• CERTA-2012-AVI-076 : Multiples vulnérabilités dans Internet Explorer
• CERTA-2012-AVI-077 : Vulnérabilités dans Microsoft Sharepoint
• CERTA-2012-AVI-078 : Vulnérabilité dans le panneau de configuration des couleurs de Microsoft Windows
• CERTA-2012-AVI-079 : Vulnérabilité dans la bibliothèque RunTime C Microsoft
• CERTA-2012-AVI-080 : Vulnérabilité dans le codec Indeo de Microsoft Windows
• CERTA-2012-AVI-081 : Multiples vulnérabilités dans Microsoft Visio Viewer
• CERTA-2012-AVI-082 : Vulnérabilités dans le Framework Microsoft Net et Microsoft Silverlight