S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 19 juillet 2013
N° CERTA-2013-ACT-029
Affaire suivie par: CERT-FR

Bulletin d'actualité du CERT-FR

Objet: Bulletin d'actualité CERTA-2013-ACT-029

Gestion du document

Référence CERTA-2013-ACT-029
Titre Bulletin d'actualité CERTA-2013-ACT-029
Date de la première version 19 juillet 2013
Date de la dernière version 19 juillet 2013
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Deux nouvelles vulnérabilités liées à OGNL dans Apache Struts 2

Le projet Apache Struts 2 a publié très récemment deux bulletins de sécurité S2-016 et S2-017 concernant des vulnérabilités liées à OGNL, langage permettant d'accéder aux attributs d'objets Java et d'appeler certaines méthodes de classe.

Depuis 2010, ce cadriciel, fréquemment utilisé pour le développement d'applications Web, a fait l'objet d'un certain nombre de bulletins de sécurité concernant cette fonctionnalité. Ces vulnérabilités, relativement simples à exploiter, permettent souvent d'exécuter à distance du code arbitraire au niveau du serveur qui héberge l'application.

La première vulnérabilité relevée par le bulletin S2-016 (CVE-2013-2251) concerne des fonctionnalités de redirection fournies par ce cadriciel. Celles-ci permettent, par exemple, d'ajouter des informations de navigation aux boutons des formulaires définis dans les modèles.

Lors de la réception de la requête HTTP envoyée par le client, ces informations sont ensuite évaluées en tant qu'expressions OGNL par le cadriciel. La vulnérabilité est liée au fait que ces chaînes de caractères, possiblement injectées depuis le navigateur d'un attaquant, ne sont pas contrôlées avant leur évaluation. Ceci peut ainsi mener à une exécution de code arbitraire, liées aux fonctionnalités offertes par OGNL, à savoir :

  • l'accès à des variables du contexte serveur ;
  • la fuite d'informations pouvant faciliter une exploitation plus ciblée ;
  • l'exécution de commandes pouvant endommager le fonctionnement de l'application.

Cette vulnérabilité est donc particulièrement critique car son exploitation peut aboutir à la compromission d'un serveur Web.

La deuxième vulnérabilité, décrite dans le bulletin S2-017 (CVE-2013-2248), est liée elle aussi aux deux préfixes redirect: et redirectionAction:. Leurs paramètres peuvent être facilement manipulés pour effectuer des redirections vers une adresse arbitraire. La criticité de cette vulnérabilité est cependant moins importante.

Toute application utilisant Struts 2 est potentiellement vulnérable à l'exploitation d'une faille du cadriciel. Ces nouvelles vulnérabilités dans Struts 2 concernent l'ensemble des versions du cadriciel comprises entre 2.0.0 et 2.3.15.

Les cadriciels tels que Struts 2 sont utilisés dans une grande majorité d'applications mais ils sont rarement pris en compte dans les processus de maintien en condition de sécurité. Pourtant, en raison du nombre important de vulnérabilités publiées sur ces cadriciels, ces derniers constituent une cible de choix pour les attaquants. Le suivi des mises à jour de ces cadriciels est donc essentiel.

Il est à noter que ces mises à jour peuvent impacter le fonctionnement des applications en supprimant ou modifiant certaines fonctionnalités. Il est donc recommandé de se reporter aux indications des bulletins de sécurité et d'effectuer une revue manuelle du code afin de remplacer le code non-compatible.

Documentation

2 Périphériques USB promotionnels et cadeaux électroniques

Les clés USB publicitaires personnalisées sont régulièrement distribuées lors de salons ou conférences. Ces dernières peuvent constituer un vecteur d'attaque. En plus des piégeages classiques de type « autorun », elles peuvent contenir des fichiers malveillants ou exploiter des vulnérabilités spécifiques (cf vulnérabilité MS13-027).

Des piégeages matériels ne sont également pas à exclure. Des supports ainsi modifiés peuvent, par exemple, avoir des comportements différents lors du branchement du périphérique afin de cibler un utilisateur ou encore dissimuler des éléments pendant l'analyse du support ou le passage dans une « station blanche ».

En cas de doute sur un périphérique tel qu'une clé USB, il est recommandé de ne pas l'utiliser. La tentation est cependant plus grande lorsqu'il s'agit d'un téléphone ou d'une tablette ayant une valeur marchande plus importante. Les possibilités de compromission seront pourtant plus nombreuses et potentiellement plus complexes à analyser. Il sera alors très difficile de certifier l'intégrité de l'objet.

En dépit de la valeur du cadeau électronique, le CERTA recommande de ne pas utiliser en environnement professionnel des périphériques dont la provenance peut susciter un doute auprès de l'utilisateur. Dans le cas où une suspicion est décelée, il est également nécessaire de faire remonter cette information à l'officier de sécurité ou toute autre autorité compétente.

3 Mise à jour Oracle

Le 16 juillet 2013, Oracle a publié des mises à jour corrigeant de nombreuses vulnérabilités dans certains de ses produits tels que PeopleSoft, MySQL, Oracle Database, Solaris, etc.

Les vulnérabilités les plus critiques permettent l'exécution de code arbitraire à distance ou la divulgation de données confidentielles par un attaquant.

De nombreuses solutions tiers utilisent des composants Oracle. Des mises à jour de ces solutions sont donc à prévoir.

Le CERTA recommande l'application de ces correctifs dès que possible.

Documentation

Rappel des publications émises

Dans la période du 08 juillet 2013 au 14 juillet 2013, le CERT-FR a émis les publications suivantes :


Gestion détaillée du document

    le 19 juillet 2013
    version initiale.