Veille Technologique Sécurité

Transcription

APOGEE Communications
R
Raap
pp
poorrtt d
dee
V
Veeiillllee T
Teecch
hn
no
ollo
og
giiq
qu
uee S
Sééccu
urriittéé
N
N°°1
10
04
4
Mars 2007
Les informations fournies dans ce document ont été collectées et compilées à partir de
sources d'origines diverses et publiquement accessibles: listes de diffusion, newsgroups,
sites Web, ...
Ces informations sont fournies pour ce qu'elles valent sans garantie d'aucune sorte vis à vis
de l'exactitude, de la précision ou de la qualité de l'information. Les URL associées à certains
thèmes sont validées à la date de la rédaction du document.
Les symboles d’avertissement suivants seront éventuellement utilisés:
!
"
Site dont la consultation est susceptible de générer directement ou indirectement,
une attaque sur l’équipement de consultation, voire de faire encourir un risque sur
le système d’information associé.
Site susceptible d’héberger des informations ou des programmes dont l’utilisation
est répréhensible au titre de la Loi Française.
Aucune garantie ne peut être apportée sur l'innocuité de ces sites, et en particulier, sur la
qualité des applets et autres ressources présentées au navigateur WEB.
LLaa ddiiffffuussiioonn ddee ccee ddooccuum
meenntt eesstt rreessttrreeiinnttee aauuxx
cclliieennttss ddeess sseerrvviicceess
V
VTTS
S--R
RA
APPPPO
OR
RTT eett V
VTTS
S--EEN
NTTR
REEPPR
RIIS
SEE
Les marques et les produits cités dans ce rapport sont la propriété des dépositaires respectifs.
APOGEE Communications – Groupe DEVOTEAM
15, Avenue du Cap Horn
ZA de Courtaboeuf
91940 Les ULIS
Pour tous renseignements
Offre de veille: http://www.devoteam.fr/
Informations:
[email protected]
©DEVOTEAM Solutions - Tous droits réservés
C
O
N
N
E
C
T
I
N
G
B
U
S
I
N
E
S
S
&
T
E
C
H
N
O
L
O
G
Y
Mars 2007
Au sommaire de ce rapport …
PRODUITS ET TECHNOLOGIES
LES PRODUITS
6
6
FORENSIC
6
COREPROTECT – CORERESTORE / CORESHIELD
INFORMATIONS ET LEGISLATION
LES INFORMATIONS
8
8
CONFERENCES
8
BLACKHAT2007 - DC
PRACTICAL 10 MINUTE SECURITY AUDIT: THE ORACLE CASE
HOW TO GIVE ATTACKERS A ROADMAP TO YOUR NETWORK
PRACTICAL MALWARE ANALYSIS
BEING EXPLICIT ABOUT SOFTWARE WEAKNESSES
BOTNET TRACKING: TOOLS, TECHNIQUES, AND LESSONS LEARNED
MAGAZINE
ROT13 IS USED IN WINDOWS? YOU'RE JOKING !
WARDRIVING IN PARIS
THE SPAM PROBLEM AND OPEN SOURCE FILTERING SOLUTIONS
MICROSOFT WINDOWS VISTA: SIGNIFICANT SECURITY IMPROVEMENT?
PROGRAMMATION
TENDANCES
ENISA – RISQUES EMERGENTS ET FUTURS
12
12
13
14
15
15
16
16
CRYPTOGRAPHIE
METHODE
8
9
9
10
11
15
MICROSOFT – UNE LISTE DES FONCTIONS A NE PAS (PLUS) UTILISER
ECRYPT
8
12
HNS - (IN)SECURE MAGAZINE N°10
ECRYPT
6
17
– MISE A JOUR DES RAPPORTS D’ETUDES
– RECOMMANDATIONS 2006 SUR LA TAILLE DES CLEFS
NSA - GUIDANCE FOR USING MAIL CLIENTS, MAIL CLIENT SECURITY CHEAT SHEET & SECURE IM
REFERENCES
NSA - CATALOGUE DES GUIDES DE SECURITE
NIST – ETAT DES GUIDES DE LA SERIE SP800
DISA – GUIDES ET CHECKLISTS DE SECURISATION
LA LEGISLATION
REGISTRES
AFNIC – EVOLUTION DU SERVICE WHOIS
17
18
20
20
21
21
22
24
25
25
25
ADMINISTRATION ELECTRONIQUE
26
DCSSI – PUBLICATION DES CERTIFICATS DE L’AUTORITE RACINE DE L’ADMINISTRATION FRANÇAISE
26
LOGICIELS LIBRES
LES SERVICES DE BASE
LES OUTILS
27
27
27
NORMES ET STANDARDS
LES PUBLICATIONS DE L’IETF
29
29
LES
LES
RFC
DRAFTS
NOS COMMENTAIRES
LES RFC
RFC4765 / 4766 / 4767
ALERTES ET ATTAQUES
ALERTES
GUIDE DE LECTURE
FORMAT DE LA PRESENTATION
SYNTHESE MENSUELLE
ALERTES DETAILLEES
AVIS OFFICIELS
ADOBE
APPLE
ASTERISK
CA
Veille Technologique Sécurité N°104
© DEVOTEAM SOLUTIONS - Tous droits réservés
29
29
32
32
32
34
34
34
35
35
36
36
36
36
36
37
Page 2/62
Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Mars 2007
CISCO
CITRIX
DROPBEAR
EDGEWALL
HP
IBM
IBM/LENOVO
INKSCAPE
LINUX
LOOKUP
MICROSOFT
MOZILLA
NETBSD
NOVELL
OPENAFS
OPENBSD
RUBY
SQUID
SUN
SYMANTEC
TRUECRYPT
ZOPE
ALERTES NON CONFIRMEES
ADOBE
APACHE
ASTERISK
BLACKBERRY
CFTP
COMODO
CPANEL
CYBECTEC
DATARESCUE
DIVX
D-LINK
DPROXY
EMC/LEGATO
FRONTBASE
F-SECURE
GNOME
GNUCASH
GNUPG
GRANDSTREAM
HORDE
IBM
IPSWTICH
KASPERSKY LABS
KDE
LIBWPD
LINKSYS
LINUX
MAILENABLE
MCAFEE
MICROSOFT
MODPYTHON
MODSECURITY
MOZILLA
MPLAYER
MYSQL
NETBSD
NOVELL
NULLSOFT/AOL
OPENOFFICE
ORACLE
PHP
PUTTY
RADSCAN
REAL NETWORKS
ROXIO
SECURE COMPUTING
SNORT
SQL-LEDGER
SYMANTEC
TCPDUMP
TREND MICRO
UNIX
WEBCALENDAR
WEBMIN
WORDPRESS
XENSOURCE
ZYXEL
ZZIPLIB
37
37
37
38
38
38
38
38
38
39
39
39
39
39
39
40
40
40
40
40
40
41
41
41
41
41
41
41
42
42
42
42
42
42
42
42
42
43
43
43
43
43
43
44
44
44
44
44
44
44
45
45
45
46
46
46
46
46
46
46
46
47
47
47
49
49
49
49
49
49
49
50
50
50
50
50
50
50
51
51
51
Page 3/62
Mars 2007
AUTRES INFORMATIONS
REPRISES D’AVIS
ET
ADOBE
APPLE
ASTERISK
CIAC
CISCO
GLYPH AND COG
HP
KDE
LINUX DEBIAN
LINUX FEDORA
LINUX MANDRIVA
LINUX REDHAT
LINUX SUSE
MICROSOFT
NAVIGATEURS
NETBSD
NETSCAPE
NOVELL
ORACLE
PHPMYADMIN
SGI
SUN
SYMANTEC
US-CERT
51
CORRECTIFS
51
51
51
51
51
54
54
54
54
55
55
55
55
56
56
56
56
57
57
57
57
57
57
59
59
CODES D’EXPLOITATION
60
BULLETINS ET NOTES
60
3COM
OPENBSD
MICROSOFT
SNORT
VIRUS
WORDPRESS
ATTAQUES
OUTILS
EEYE
- SHAREBOT
60
60
60
60
60
60
61
61
61
Page 4/62
Mars 2007
Le mot de la rédaction …
Nous cherchons vainement un évènement réellement marquant en ce ‘doux’
mois de Mars sans rien trouver si ce n’est peut être l’absence de toute
publication de correctifs par Microsoft.
Rien à dire…
Si, en fait et en y regardant de plus près, début mars, le Crédit Agricole aura
fait les frais de l’une des meilleures campagnes de ‘Phishing’ qu’il nous ait été
donné de voir. Présentation parfaite, absence de toute faute d’orthographe dans
le courrier d’accompagnement, cette tentative aurait bien pu surprendre ceux qui
auraient oublié qu’une banque normalement constituée ne demandera jamais à
ses clients de se connecter sur leur compte pour valider leur accès par le biais
d’un lien transmis par courrier électronique.
http://www.secuser.com/phishing/2007/070301_credit_agricole.htm
Bertrand VELLE
Page 5/62
Mars 2007
P
PR
RO
TEECCH
OD
DU
HN
UIIT
NO
OL
TS
LO
SE
OG
GIIE
ET
TT
ES
S
LES
PRODUITS
FORENSIC
COREPROTECT – CORERESTORE / CORESHIELD
# Description
Disponible depuis plusieurs années aux Etats-Unis et distribué par la société ‘IDC-MCS Inc.’ sous la
marque COREProtect, le dispositif dénommé ‘CoreRestore’ permet de réinitialiser un quelconque système
d’exploitation dans le dernier état sauvegardé, toutes les modifications effectuées étant immédiatement
annulées.
On notera que le site de présentation n’a pas évolué depuis 2004 laissant à penser que la distribution de ce produit est
soit arrêtée soit restée très confidentielle ce qui n’est pas impossible, le distributeur travaillant principalement pour la
défense et pour des organisations gouvernementales américaines. Le concept mis en œuvre est cependant
suffisamment séduisant pour être ici présenté.
‘CoreRestore’ prend la forme d’une carte électronique, basée sur un
composant spécialisé dénommé ‘COREChip’, qui vient se positionner
sur le disque dur d’un système, donc en coupure entre celui-ci et le
contrôleur présent sur la carte mère. Le principe de fonctionnement
est d’une grande simplicité: tous les accès en écriture sont redirigés
vers une zone dédiée du disque, les données originales étant ainsi
maintenues intègres sur une partition protégée.
Ce principe a été appliqué, de manière purement logicielle et en
ajoutant une couche de virtualisation, par différents éditeurs de
produits de sécurisation afin d’offrir un espace – un bac à sable dans lequel des applications à risque pourraient s’exécuter sans
menacer la sécurité du reste du système.
On pensera notamment à la solution gratuite ‘COREForce’ de la société ‘Core Impact’ (Rapport N°90 - Janvier 2006)
ou encore ‘BufferZone’ de la société TrustWare (Rapport N°91 – Février 2006). Mais le produit le plus approchant en
terme de conception reste sans conteste la carte "2 in 1" produite il y a quelques années par la société Israélienne
Voltaire, un produit dont nous avons déjà parlé qui permettait de créer un système partitionné en résolvant
astucieusement le problème du raccordement d’un équipement sur deux réseaux de niveau de sécurité différents.
La carte ‘CoreRestore’, annoncée à $150, ne s’interface hélas qu’avec le bus IDE avec un
débit de transfert maximal de 133MB/s, le mécanisme de sauvegarde ne fonctionnant que
sur le disque maître du contrôleur primaire.
Son activation - effectuée par le biais du menu appelé par la séquence de touches CTRLALT-M - nécessite la réservation d’un espace dédié sur le disque dur, et par conséquent, la
réinstallation de l’environnement dans le cas d’une mise en place sur un système existant.
Deux modes d’exploitation sont proposés:
- le mode ‘RAM’ pour lequel toutes les modifications effectuées seront annulées au redémarrage du système,
- le mode ‘Live’ pour lequel les modifications seront annulées, ou recopiées sur l’image originale, à la demande.
La cible de marché associée à ce produit est pour le moins difficile à évaluer, celui-ci étant positionné entre les
solutions de virtualisation - qui offrent toutes la possibilité de réaliser une sauvegarde de l’état courant du système
ou ‘snapshot’ et la possibilité de recharger cet état - et les solutions de masterisation sans oublier les solutions de
sauvegarde dont c’est la fonctionnalité de base.
Ce produit pourrait apporter un plus dans le contexte de l’analyse de codes malveillants en permettant de revenir
immédiatement à la configuration de base sans avoir à travailler dans un environnement virtuel plus consommateur de
ressources et susceptible d’influencer le comportement du code étudié. De nombreux codes malveillants contiennent
en effet un mécanisme permettant de détecter la présence d’un environnement virtuel.
Le produit ‘CoreShield’ pourra être employé
dans le cas d’une utilisation à des fins
d’investigation
requérant
qu’aucune
modification ne soit effectuée sur le disque
analysé. Similaire dans sa forme mais non dans
son fonctionnement, ce produit bloquera
cependant toutes les tentatives d’écriture sur le
disque cible tout en autorisant la création
d’images intégrales.
Il n’est pas cependant référencé dans la liste
des produits de blocage d’écriture qualifiés par
le NIJ Américain (National Institute of Justice).
Un produit dénommé ‘CORE Encrypt’ est cité dans les plaquettes commerciales sans pour autant qu’il soit référencé
Page 6/62
Mars 2007
sur le site WEB.
# Complément d’information
http://www.coreprotect.com/
http://force.coresecurity.com/index.php?module=base&page=main
http://www.trustware.com/
- Les produits CoreRestore, CoreShield et CoreChip
- CoreForce R0.95 de CoreImpact
- BufferZone
Page 7/62
Mars 2007
IIN
NF
LEEG
FO
GIIS
OR
RM
SL
MA
LA
AT
AT
TIIO
TIIO
ON
ON
NS
N
SE
ET
TL
LES
INFORMATIONS
CONFERENCES
BLACKHAT2007 - DC
# Description
L’édition asiatique de la conférence BlackHat DC 2007 s’est tenue du 26 février au 2 mars
dernier à Crystal City. Quelques 21 présentations y auront été données dont les supports
sont tous disponibles bien qu’expurgé pour l’une d’entres-elles.
Nous commenterons sur la base de ces supports les présentations les plus innovantes en présentant tout d’abord la
liste complète des présentations classées par ordre alphabétique:
Bypassing NAC V2.0
Attack Patterns: Knowing Your Enemies in Order to Defeat Them
Secure Processors for Embedded Applications
Practical 10 Minute Security Audit: The Oracle Case
Firmware Rootkits and the Threat to the Enterprise
Practical Malware Analysis
Advanced Oracle Attack Techniques
Operating through Ongoing Confrontation
Being Explicit about Software Weaknesses
Device Drivers 2.0
How to Give Attackers a Roadmap to Your Network
Botnet Tracking: Tools, Techniques, and Lessons Learned
Defeating Hardware Based RAM Acquisition Tools (I: AMD case)
Reversing C++
Untold Tale of Database Communication Protocol Vulnerabilities
Applying Fuzzing to Web Applications and Web Services
Exploiting Similarity Between Variants to Defeat Malware
Integrating Volatile Memory Forensics into the Digital Investigation Process
GS and ASLR in Windows Vista
Web Application Incident Response and Forensics - A Whole New Ball Game!
360° Anomaly Based Unsupervised Intrusion Detection
Ofir Arkin
Sean Barnum
James D. Broesch
Cesar Cerrudo
John Heasman
Kris Kendall & Chad McMillan
David Litchfield
Kevin Mandia
R.Martin, S.Christey & Barnum
David Maynor
D.Maynor & Robert Graham
Jose Nazario
Joanna Rutkowska
P.Sabanal & M. Yason
Amichai Shulman
Michael Sutton
Andrew Walenstein
AAron Walters & Nick Petroni
Ollie Whitehouse
Chuck Willis & Rohyt Belani
Stefano Zanero
Practical 10 Minute Security Audit: The Oracle Case
Cesar Cerrudo
Avec cette présentation, Cesar Cerrudo s’attaque au géant ‘Oracle’ en démontrant, chronomètre en main, que
le niveau de sécurité du produit Oracle 10g R2 n’est pas à la hauteur des affirmations commerciales, du moins
en environnement Windows. Pour ce faire, ce Don Quichotte d’un nouveau genre s’attaque aux fondations
mêmes de l’application, et plus particulièrement aux permissions et privilèges affectés aux objets manipulés par
celle-ci.
Rappelons pour mémoire que depuis la version NT, les environnements Windows intègrent un mécanisme de
contrôle d’accès s’appliquant à toutes les ressources nommées du système, fichiers et répertoires bien entendu,
mais aussi processus, fenêtres ou encore mécanismes de synchronisation ou de communication tels que
Sémaphores, Mutex, Evénements, Sections, …
Les conditions d’accès à ces ressources sont définies lors de leur création et généralement par programmation
dans le cas d’objets non persistants telles les ressources de synchronisation et de communication. Par défaut, et
en l’absence de conditions contraires exprimées sous la forme d’une liste de contrôle d’accès (DACL) stipulant les
utilisateurs et/ou groupes autorisés à manipuler la ressource, l’accès à celle-ci est libre. Il va alors de soi qu’un
quelconque utilisateur malintentionné pourra manipuler la ressource mais aussi les conditions d’accès associées
conduisant probablement à un dysfonctionnement de l’application.
Dans la pratique et historiquement, la complexité des interfaces programmatiques associées, mais aussi les
contraintes reportées sur la configuration et l’installation, ont rebuté plus d’un programmeur conduisant ce dernier
à préférer ne positionner aucune condition d’accès au profit d’une installation simplifiée et immédiatement
fonctionnelle. Il n’est dès lors pas étonnant qu’une application conséquente comme peut l’être une base de
données puisse (encore) utiliser des ressources non verrouillées.
La stratégie retenue par ‘Cesar Cerrudo’ pour déterrer celles-ci est simple et efficace: les ressources utilisées par
une quelconque application sont inventoriées à l’aide de l’outil ‘Process Explorer’ aidé s’il le faut du
désassembleur IDA – deux outils bien connus de nos lecteurs - et les ressources pouvant être manipulées le sont
à l’aide des outils ‘WinObj’ ou ‘PipeAcl’. Le reste n’est qu’une question de ‘chance’ et de patience en attendant
que l’application ciblée montre les premiers signes de dysfonctionnement.
Page 8/62
Mars 2007
Appliquée au cas de la suite Oracle 10g, cette approche aura permis à l’auteur de découvrir une dizaine de
problèmes dans la gestion des droits d’accès aux ressources internes en moins de cinq minutes dont un
susceptible d’être rapidement exploité pour faire exécuter un quelconque code dans une processus du serveur.
http://msdn2.microsoft.com/en-us/library/aa379286.aspx
How to Give Attackers a Roadmap to Your Network
Maynor & Graham
Fondateurs de la société de conseil ‘Errata Security’, Robert Graham et David Maynor nous proposent un tour
d’horizon des procédés permettant d’acquérir des informations utiles, pour ne pas dire stratégiques, sur le réseau
d’une entreprise, et ceci dans le plus strict cadre de la légalité. Ils s’inspirent pour cela des techniques en usage
dans le monde du renseignement visant à collecter une grande quantité de données qui, bien que ne véhiculant
aucune information sensible à l’unité, permettent d’obtenir une information vitale une fois agrégées.
Pour mieux appuyer leurs propos, les auteurs présentent plusieurs scénarios de la vie courante, plus ou moins
crédibles, où de telles techniques seraient parfaitement applicables. Ils abordent ensuite le cœur du sujet en
détaillant chacune des sources d’information exploitables dans le cas d’une campagne de collecte de données
réseaux qu’ils nomment ici ‘Data Seepage’.
Sont ainsi étudiées les données pertinentes transmises par les protocoles et structures de données les plus
couramment usités: paquets ‘Probe’ dans les réseaux Wifi, requêtes DNS, paquets de diffusion NetBios et SMB,
paquets DHCP, protocoles ‘Skype’ ou encore ‘Bonjour’. Les techniques d’agrégation d’information sont ensuite
abordées en s’appuyant sur un scénario fictif et en utilisant les outils de recherche d’information classiques que
sont les moteurs d’index.
La collecte des informations peut être optimisée par l’emploi d’outils dédiés tel ‘Ferret’, développé par les auteurs.
D’une taille très réduite – 87Ko – et fonctionnant en mode ‘ligne de commande’ sous Windows, cet utilitaire
analyse les paquets réseaux visibles depuis l’interface du système pour en extraire les informations pertinentes,
c'est-à-dire contenant des données susceptibles d’être utilisées pour établir une cartographie du réseau et des
services accessibles depuis celui-ci.
La version actuellement disponible, non finalisée, est plus proche du démonstrateur que de l’outil réellement
exploitable d’autant que l’outil compagnon dit ‘Ferret Viewer’ permettant de visualiser les données agrégées
n’est pas encore proposé au téléchargement.
En final, et comme le mentionnent les auteurs, l’essentiel n’est pas de s’enfermer dans un bunker ou de
s’astreindre à ne se connecter que depuis un accès Internet public mais bien d’être conscient des risques et de
l’utilisation des informations diffusées ça et là.
http://www.erratasec.com/ferret.html
Practical Malware Analysis
Kris Kendall
Kris Kendall, de la société Mandiant, traite de la problématique de l’analyse d’un code inconnu et, a priori,
malveillant c'est-à-dire - dans la définition classique - susceptible d’engager des actions atteignant à l’intégrité
et/ou à la disponibilité du système et/ou de l’application ou encore à la confidentialité des données hébergées. Ici,
l’auteur étend cette définition en y intégrant l’idée de ‘fonctionnalité inconnue rendue par un exécutable résidant’.
L’objectif d’une telle analyse sera perçu différemment selon le contexte dans lequel celle-ci sera menée: action
préventive visant à déterminer les caractéristiques techniques et spécificités du code de manière à s’en prémunir à
l’avenir voire à le rendre inopérant, action curative visant à identifier et éradiquer les différentes instances du code
mais aussi à collecter toutes les données utiles à un éventuel recours.
Le principe fondamental à toutes les approches est celui de l’isolation consistant à étudier le code dans un
environnement le plus approché du système cible – ou du moins d’un environnement réel et communiquant – tout
en garantissant qu’aucune des actions engagées par celui-ci ne puissent atteindre le système d’information et que
tous les échanges d’information qu’il engage avec le monde extérieur soient sous contrôle. Comme le fait
remarquer l’auteur, l’existence de nombreuses technologies et produits permettant l’exécution d’un code dans un
environnement totalement émulée – la ‘virtualisation’ dans le jargon – la tâche de l’analyste est aujourd’hui bien
plus aisée qu’il y a seulement une dizaine d’années. Le reste n’est qu’une question d’outils mais surtout de
méthodologie.
Page 9/62
Mars 2007
Disposant d’un environnement autorisant l’analyse du code sans aucun risque pour le monde extérieur – une sorte
de laboratoire P4 adapté à la biologie numérique – l’analyste devra déterminer l’approche la plus adaptée entre
une analyse purement statique en disséquant le code ou bien dynamique en observant son comportement. En
pratique, une approche mixte donnera bien souvent les meilleurs résultats, l’analyse dynamique autorisant un gain
de temps conséquent et précieux lorsqu’il s’agit de traverser les différentes protections chargées de masquer la
portion active du code.
Les différents outils utilisables dans ces deux approches sont détaillés par l’auteur: prise d’empreintes via
MD5Sum, analyse virale à l’aide du site virustotal.com, étude de la constitution du code via PeID, IDA, strings
ou encore PEView, analyse du flot d’exécution par le biais de ProcessMonitor, OllyDbg, PaiMei et autres
débogueurs. L’auteur insiste sur la difficulté qu’il y a à percer les protections mises en place autour du code,
protections qui vont de la simple manipulation des en-têtes du code pour le rendre illisible par les désassembleurs
classiques jusqu’au chiffrement total ou parcellaire du code.
Un utilitaire actuellement dénommé ‘Caprica6’ a été développé par Mandiant dans l’optique d’identifier toutes les
anomalies dans la structure d’un exécutable Windows au format PE. Annoncé disponible lors de la conférence, cet
outil n’est cependant toujours pas accessible sur le site de la société.
Cette présentation, fort intéressante ne traite hélas pas des deux points fondamentaux que sont les coûts
d’investissement requis pour la mise en place d’une plate-forme d’analyse, l’investissement initial pouvant être
aisément sous-évalué, et le niveau requis en terme de compétence des intervenants. De notre point de vue, la
situation aux Etats-Unis diffère très fortement de celle de l’Europe où la tendance est à la dévalorisation des
compétences en développement logiciel, un savoir-faire pourtant indispensable.
Le lecteur pourra lire la présentation intitulée ‘Agile Incident Response : Operating through Ongoing
Confrontation’ effectuée par Kevin Mandia, le fondateur de la société Mandiant. Il traite des aspects
organisationnels en matière de réponse aux incidents en insistant sur l’absolue nécessité d’une réponse immédiate
et adaptée.
http://www.mandiant.com/
Being Explicit about Software Weaknesses
Barnum & all
R.Martin et S.Chrisley du MITRE, S.Barnum de Cigital abordent ici le vaste sujet des déficiences des logiciels
en nous présentant un état d’avancement du projet ‘CWE’ – Common Weakness Environnement – géré par le
MITRE (Rapport N°92 - Mars 2006).
Elaboré à partir des données issues d’alertes de sécurité et de différents modèles taxonomiques, ce référentiel a
pour objet de fournir un inventaire des différentes formes de faiblesses – nous préférons personnellement le terme
de déficiences – classiquement rencontrées dans les logiciels.
Page 10/62
Mars 2007
En unifiant les terminologies et les définitions, ce référentiel devrait non seulement faciliter les échanges
d’information entre les différents acteurs oeuvrant dans le domaine mais aussi améliorer la qualité et l’efficacité
des outils et des services associés.
Il s’agit en pratique d’un véritable défi comme le
rappellent les auteurs de la présentation: la démarche
est longue et complexe. Elle doit prendre en compte
non seulement la multiplicité des modèles de taxonomie
préexistants mais aussi les difficultés rencontrées pour
faire tenir une réalité multidimensionnelle dans un
modèle par définition limité.
Les auteurs en citent de multiples exemples en
s’appuyant sur les informations issues du référentiel
CVE: 22981 identifiants uniques à l’heure de l’écriture
de cet article. Ils notent en particulier les limites de la
taxonomie actuellement employée laquelle conduit à
classer 15% des entrées de ce référentiel dans la
catégorie ‘fourre-tout’ dénommée ‘other’, laquelle a
subi une impressionnante croissance depuis 2004
comme le prouve le graphe ci-contre.
Engagée depuis 2005, l’étude de ces cas particuliers a permis d’identifier
300 types de déficiences à partir de plus de 1500 cas réels. Un arbre de
classification a été établi dont la représentation intégrale prendrait plus
d’une dizaine de pages. En effet cet arbre, dont une représentation des
premières branches est proposée ci-contre, contient actuellement 923
items (branches et nœuds confondus).
A ce jour, le travail n’est pas terminé, le référentiel CWE est en version
‘Draft 5’ et contient plus de 600 entrées validées. Un programme
d’enrôlement a été mis en place qui permet aux éditeurs d’outils d’analyse
d’arborer le logo ‘compatible CWE’ selon une procédure similaire à celle
engagée depuis quelques années dans le cadre de l’initiative ‘CVE’.
Les auteurs concluent leur présentation par une présentation de l’état
d’avancement des différentes étapes identifiées lors de l’engagement de
ce projet par le MITRE.
http://cwe.mitre.org/
Botnet Tracking: Tools, Techniques, and Lessons Learned
J.Nazario
José Nazario qui travaille chez Arbor Networks est bien connu pour ses recherches dans le domaine des
réseaux de robots ou ‘botnets’. Après une première tentative de caractérisation de ce qui apparaît désormais être
un véritable fléau, l’auteur aborde le problème de la surveillance et de la détection de ces réseaux. Il détaille ainsi
le projet ‘BladeRunner’ mis en place par sa société dans le cadre de son activité de surveillance proactive.
Dédié aux réseaux de robots utilisant le protocole IRC et écrit en Python, l’outil de surveillance développé au titre
de ce projet se comporte comme un client IRC disposant des commandes minimales permettant de se connecter,
de rejoindre un canal IRC et de journaliser tous les échanges sans jamais y prendre part.
Disposer d’un tel outil est une bonne chose mais encore faut-il connaître les bons points d’entrée sur ces réseaux,
à savoir, l’adresse d’un serveur, le nom du canal utilisé pour le contrôle des clients – les zombies dans le jargon –
et bien souvent le mot de passe protégeant l’accès. L’auteur est bien peu loquace à ce sujet en mentionnant
simplement la possibilité de collecter ces informations par le biais d’un pot de miel, en disséquant le code d’un
client ou encore par le biais d’échange d’informations entre chercheurs.
Les résultats des analyses effectuées par Arbor Networks en 2006 conduisent l’auteur à réellement pouvoir
différencier les réseaux spécialisés dans les attaques en déni de service des réseaux ayant pour objectif la
diffusion de logiciels de collecte d’information dits ‘Spywares’ ou publicitaires, les ‘AdWares’. Plus de la moitié
des réseaux étudiés engageaient des attaques en déni de service sans pour autant que celles-ci visent une cible
significative.
De très nombreux codes sources sont disponibles sur Internet. Il est dès lors aisé de modifier ces codes afin
d’adapter le comportement des robots à ses besoins propres et de générer un paquetage permettant
d’automatiser l’installation de ces derniers sur les systèmes compromis. L’auteur confirme la tendance par ailleurs
annoncée de l’abandon de réseaux purement ‘IRC’, trop facilement ‘infiltrables’, au profit de réseaux utilisant
d’autres protocoles de messagerie instantanée voire même le protocole HTTP.
Les opérateurs de ces réseaux commencent par ailleurs à intégrer des mécanismes de protection spécifiques dans
leurs codes afin de contrer les outils et les stratégies d’analyse: chiffrement des communications, routines
d’analyse de l’environnement d’exécution, création de réseaux leurres dans l’optique d’identifier les tentatives
d’infiltration… Si certaines des architectures actuellement utilisées sont encore assez faciles à désactiver car
contrôlées en un point unique, la donne est en train de changer avec le déploiement de réseaux de type ‘Point-àPoint’ robustes, résilients et n’ayant pas de talon d’Achille connu.
Il devient alors extrêmement difficile de tracer de tels réseaux, voire même comme le fait remarquer l’auteur, de
déterminer l’usage d’un réseau. Et de citer le cas du réseau P2P dit ‘Nugache’ apparu en 2006, constitué de plus
de 100000 nœuds, encore actif et dont l’utilité exacte n’est toujours pas connue.
Page 11/62
Mars 2007
La conclusion de la présentation n’est pas réellement optimiste. L’auteur en vient à considérer que le combat est
biaisé en faveurs des concepteurs et opérateurs de réseaux de robots, ceux-ci étant non seulement toujours plus
nombreux et de mieux en mieux organisés mais aussi de plus en plus motivés par les gains financiers associés à
certaines utilisations de ces réseaux.
Il est hélas à craindre qu’à terme l’unique solution à ce problème ne réside que dans l’implication des utilisateurs
et propriétaires de systèmes personnels raccordés à l’Internet lesquels, faute de formation suffisante ou en
l’absence d’outils ad’hoc, sont absolument incapables de découvrir que leur système est devenu un nœud dans un
réseau de robots.
Nous considérons personnellement qu’une éducation informatique adaptée au contexte actuel - et allant ainsi audelà de l’enseignement minimal mis en place pour le B2I (Brevet Informatique et Internet) - se doit d’être
délivrée à chaque citoyen au même titre que l’éducation civique inscrite de longue date au programme
d’enseignement scolaire. Ceci contribuerait à former des citoyens d’une société et d’un monde dans lequel le
virtuel pourrait prendre une part aussi importante que le domaine du réel…
http://www.arbornetworks.com/
http://www.shadowserver.org/wiki/
http://www.blackhat.com/html/bh-media-archives/bh-archives-2007.html#dc
MAGAZINE
HNS - (IN)SECURE MAGAZINE N°10
# Description
Le dixième numéro du magazine ‘(IN)SECURE Magazine’ a été mis en ligne à la fin du mois de février.
Comportant quelques 99 pages et 12 articles, ce numéro est le plus volumineux des numéros publiés à ce
jour.
Au sommaire de ce numéro, outre un très long article de présentation de la protection des données dans un
environnement distribué et conforme aux exigences ‘PCI’, on notera un intéressant article sur l’étude des
points d’accès Wifi dans Paris.
R: Rubrique mensuelle
Corporate news
3p
R
G: Synthèse généraliste
Microsoft Windows Vista: significant security improvement?
14p
S
S: Synthèse technique
Review: GFI Endpoint Security 3
5p
G
C: Présentation publicitaire
Latest addition to our bookshelf
2p
R
T: Présentation technique
Interview with Edward Gibson, Chief Security Advisor at Microsoft UK
4p
S
Top 10 spyware of 2006
2p
C
The spam problem and open source filtering solutions
5p
S
Software spotligth
1p
R
Office 2007: new format and new protection/security policy
3p
G
Wardriving in Paris
12 p
G
Events around the world
1p
R
Interview with Joanna Rutkowska, security researcher
3p
G
Climbing the security career mountain: how to get more than just a job
6p
G
RSA Conference 2007 report
5p
C
ROT13 is used in Windows? You're joking!
6p
T
PCI compliance - protecting sensitive data in a distributed environment
20p
G
Nous avons particulièrement apprécié les 4 articles suivants:
ROT13 is used in Windows? You're joking !
Didier Stevens
Didier Stevens, un professionnel de la sécurité, est l’auteur de divers utilitaires bien utiles en environnement
Windows dont ‘UserAssist’ lequel permet de visualiser le contenu de la table éponyme maintenue par le système
d’exploitation. Cette table, sauvegardée dans la base de registre, conserve la trace de toutes les exécutions engagées
par les utilisateurs du système, une fonctionnalité proche de celle d’un ‘spyware’ d’autant que le format des
enregistrements n’est nullement documenté.
L’auteur s’est donc livré à un véritable travail de fourmi
afin de déterminer non seulement le rôle de chacun des
champs des enregistrements maintenus dans une portion
protégée et non documentée de la base de registre mais
aussi la localisation exacte des données associées.
Rappelons en effet que la base de registre présentée par
l’utilitaire ‘regedit’ n’est que la vue logique d’une base de
données constituée de multiples fichiers éparpillés dans le
système de fichier dont en particulier le fichier caché
‘NTUser.dat’ présent à la racine du profil de chacun des
utilisateurs de l’environnement.
C’est d’ailleurs dans ce fichier dont la taille ira sans cesse
en augmentant que sont conservées les données relatives
à l’activité de l’utilisateur, et ce depuis l’ouverture de son
compte. Ces données peuvent être visualisées - et modifiées ou détruites - à l’aide de l’éditeur de registre sous la clef
Page 12/62
Mars 2007
‘HKEY_CURRENT_USER/ Software/Microsoft/Windows/Explorer/UserAssist’. Elles ne pourront cependant
être interprétées sans disposer de la structure d’encodage associée.
Partant du constat que l’arborescence utilisée se référait à l’explorateur Windows - explorer.exe - Didier Stevens a
émis - et confirmé - l’hypothèse que la journalisation était effectuée par cet environnement et qu’en conséquence, les
commandes engagées en dehors de celui-ci ne seraient aucunement tracées. Pour échapper à cette surveillance, il
suffira donc d’ouvrir une bonne vieille fenêtre de commande - cmd.exe - et d’initialiser les applications à partir de
celle-ci.
Comme le fait très justement remarquer l’auteur, la qualité de ce système de journalisation ne dépend que de
l’ignorance de son existence par les utilisateurs. Quiconque disposant du bon outil - en l’occurrence ‘UserAssist’ pourra manipuler comme bon lui semble les données relatives à son activité… Ce mécanisme semble avoir été porté tel
quel sur Windows Vista.
En pratique, une clef de registre est générée pour chacune des activités engagées par l’utilisateur, le nom de la
commande associée étant utilisé, après brouillage, pour déterminer le nom de la clef. La fonction ici utilisée est
classiquement dénommée ROT13 en référence à l’opération effectuée: un chiffrement de César utilisant un
déplacement de 13 caractères. Chaque caractère du nom de la commande est ainsi remplacé par le caractère situé 13
caractères au-delà dans l’alphabet: la lettre ‘A’ devient la lettre ‘N’, la lettre ‘B’ devient la lettre ‘O’, …
La particularité de cette transformation est qu’elle ne modifie que les caractères alphabétiques, et conserve donc les
chiffres et ponctuations. Une chaîne de caractères constituée d’un chemin d’accès dans un système de fichiers ne sera
donc que très partiellement modifiée comme on peut s’en apercevoir sur la copie d’écran présentée ci-dessus.
Dans son article, Didier Stevens détaille la signification probable des différents champs et des différents préfixes
utilisés dans le nommage des clefs: UEME_CTLSESSION, UEME_RUNCPL, … Il insiste sur la nécessité de travailler sur
une copie des fichiers ‘NTUser.dat’ dans le cas d’une investigation en proposant un mode opératoire permettant de
minimiser les risques de modification du fichier original.
Son utilitaire, écrit en langage C#2005, est distribué avec les sources. Un module ‘BartPE’ est par ailleurs disponible
autorisant l’activation de l’utilitaire depuis une distribution amorçable telle que ‘UBCD4WIN’ (Ultimate Boot CD for
Windows).
http://didierstevens.wordpress.com/programs/userassist/
- Utilitaire UserAssist
Wardriving in Paris
Alexander Gostev
Analyste chez Kaspersky Lab, Alexander Gostev nous présente les résultats de l’étude des caractéristiques des
réseaux WiFi qu’il a menée à l’occasion d’un déplacement au salon InfoSecurity 2006 se tenant à Paris fin novembre
dernier. Les données ainsi collectées viennent compléter celles obtenues durant une campagne similaire qui avait été
menée à Londres en avril 2006.
Ce sont ainsi quelques 967 points d’accès WiFi qui ont pu être découverts dont plus de 460 pour le seul secteur de ‘La
Page 13/62
Mars 2007
Défense’ où se tenait le salon InfoSecurity. La géographie des lieux et la proximité immédiate du salon sur lequel
étaient installés nombres de points d’accès ne lui ont pas permis d’inventorier les points d’accès présents en
permanence sur ce secteur.
Il a pu noter une forte prédominance des réseaux de type 802.11g (54Mbs), ceci aussi bien sur le secteur de ‘La
Défense’ que dans Paris intra-muros, ainsi qu’une meilleure sécurisation des points d’accès à l’extérieur de ‘La
Défense’ (mode WEP/WPA actif sur 62% des réseaux du secteur de ‘La Défense’ contre 78.2% sur Paris). Ce dernier
point peut s’expliquer par la grande proportion de réseaux installés pour le salon et probablement configurés à la hâte.
L’analyse de l’origine des équipements, lorsque celle-ci peut être déterminée (18% des cas), positionne les
fournisseurs Symbol (2.99%), Trapeze (2.99%), Airespace (2.14%), Cisco (2. 14%) et Aruba (1.92%) en tête de
liste pour le secteur de ‘La Défense’ et Senao (4.17%), Netgear (2.18%), Gemtek (1.59%), Orinoco (1.59%) et
US-Robotics (1.19%) pour Paris. On notera ici une erreur de retranscription dans les chiffres fournis par le tableau de
consolidation qui sont identiques à ceux du tableau de la répartition dans Paris. Ceci peut être vérifié en se reportant à
la version originale de l’étude publiée sur le site de la société Kaspersky.
La majorité des réseaux ayant été inventoriés par le biais de l’identifiant de réseau – SSID - diffusé par les points
d’accès sont constitués d’un seul point d’accès (95% sur Paris et 84% sur ‘La Défense’) en notant toutefois la présence
de quelques gros réseaux comptant jusqu’à 18 points d’accès dans Paris dont l’auteur considère qu’il s’agit d’accès
publiques.
Une étude sur la répartition des équipements Bluetooth a été menée en parallèle dont les résultats sont présentés en
fin d’article. La pertinence de ceux-ci est modulée par la présence de plus de 14% de dispositifs n’ayant pu être
identifiés sur les quelques 1300 dispositifs visibles par tous en notant par ailleurs que le fournisseur du dispositif n’a
pu être identifié dans près de 50% des cas.
http://www.viruslist.com/en/analysis?pubid=204791912
http://solutions.journaldunet.com/0610/061027-wardriving/1.shtml
- Etude originale
- Etude similaire par le cabinet HSC
The spam problem and open source filtering solutions
Dinko Korunic
Dinko Korunic, spécialiste de la sécurité chez InfoMAR, une société de services Hongroise, propose un état de l’art
en matière de lutte contre cette nuisance absolue qu’est devenu le SPAM. Force est de constater que ce sujet ne sera
jamais clôt et qu’il y aura, hélas, toujours matière à rédaction dans ce domaine.
Après avoir rappelé que l’on observe en ce domaine une capacité d’adaptation impressionnante - la théorie de
l’évolution doit pouvoir aussi s’appliquer à l’Internet, le parasite devant s’adapter pour continuer à survivre - l’auteur
nous présente brièvement les différentes contre-mesures pouvant être mises en œuvre en insistant sur les avantages
et inconvénients. Sont ainsi passées en revue, les approches suivantes:
- BlackListing
Avec cette approche de type ‘liste noire’, les adresses IP des systèmes générant du SPAM sont maintenues dans une
base de données généralement accédée par le biais du protocole DNS. Son efficacité qui dépend bien entendu de la
qualité des listes se trouve désormais fortement amoindrie par l’utilisation de réseaux de diffusion automatisés
constitués de systèmes compromis disposant d’une adresse IP dynamique!
- GreyListing
L’idée fondamentale de cette approche est d’introduire un délai d’attente dans la délivrance d’un message par un
système non connu en partant du principe que les robots d’envoi de messages ne sont pas conçus pour gérer la
retransmission, une opération coûteuse en terme de ressources consommées du côté du client. On notera que si elle
était très efficace il y a encore quelques mois, cette approche commence à perdre son intérêt, les concepteurs des
robots d’envoi intégrant désormais les mécanismes nécessaires à la retransmission des messages. Dans certains cas
de figure, l’avantage procuré par le ‘GreyListing’ se transforme en inconvénient, des messages parfaitement licites
étant délivrés avec un retard conséquent.
- Sender Verify CallOut
La vérification de la validité de l’adresse de l’émetteur peut permettre d’éliminer les mails émis par certains logiciels
d’envoi en masse qui forgeraient encore de toute pièce celle-ci. Cependant, et l’auteur de l’article oublie de le
mentionner, la majorité des systèmes actuels utilisent une adresse parfaitement valide issue de leurs listes
d’adresses. Un contrôle de la validité de cette dernière n’apportera donc pas grand-chose. Une approche plus
efficace consisterait à appliquer un contrôle de contenu plus strict sur les mails émis depuis un client utilisant une
adresse dynamique.
- Content analysis
L’analyse de contenu reste encore une technique efficace bien que de nombreux mécanismes soient mis en oeuvre
pour induire les filtres en erreur: transfert de l’information dans une image dont le contenu reste encore difficile à
analyser automatiquement, utilisation de séquences de texte destinées à normaliser le contenu, … La tendance
actuelle est à l’utilisation d’une combinaison de procédés de filtrage adaptatifs afin d’obtenir un système de détection
efficace sur le long terme. L’auteur cite, entres autres solutions, le bien connu moteur SpamAssassin mais aussi
DSPAM et CRM114, deux nouvelles approches qui semblent offrir de meilleurs résultats que tout ce qui a pu être
proposé jusqu’à maintenant.
- Checksum based filtering
Certains messages envoyés en masse ne diffèrent que par les en-têtes et autres champs spécifiques à la
messagerie. Il est dès lors possible de calculer une signature de la section invariante et d’utiliser celle-ci pour
identifier ces messages.
- Email authentication
La dernière approche consiste à intégrer un mécanisme permettant de contrôler automatiquement l’identité de
l’émetteur d’un message et ainsi, de pouvoir rejeter aisément les messages forgés de toute pièce. Il ne s’agit pas ici
d’interdire l’envoi de messages non sollicités mais d’aider à la mise en place d’un périmètre dans lequel ne
circuleront que des messages dont l’origine aura dûment été authentifiée, et donc vers qui il sera possible de se
Page 14/62
Mars 2007
retourner en cas d’abus. Plusieurs approches sont actuellement à l’étude: SPF (Sender Policy Framework), CSV
(Certified Server Validation), SenderID ou DomainKeys.
Une approche non citée par l’auteur car devant être positionnée du côté des fournisseurs d’accès consiste à limiter,
voire interdire, l’utilisation du service de messagerie proposé par le fournisseur par des logiciels non contrôlés par
l’utilisateur en mettant en place un accès au service SMTP sécurisé: utilisation d’un port spécifique (TCP/587) et
authentification du client préalablement à l’envoi d’un message.
Microsoft Windows Vista: significant security improvement?
Rob Faber
Rédigé par un architecte réseau travaillant pour une société d’assurance néerlandaise, cet article traite d’un sujet fort
à la mode mais toujours aussi complexe: les mécanismes de sécurité sous Vista et leur réel apport.
Il commence par un très intéressant historique de la genèse de VISTA (nom de code
le cœur mais aussi le talon
‘LongHorn’) ce qui amènera probablement le lecteur à réfléchir sur l’évolution des d’Achille des systèmes récents
technologies.
On oublie bien trop rapidement que la première version de Windows XP date d’il y a
déjà 6 ans et que le projet ‘LogHorn’ a été engagé à la même époque pour une
finalisation fin 2003, échéance qui n’a pas été tenue.
L‘intérêt de l’article réside dans sa présentation - claire et concise - bien souvent
illustrée de copies d’écrans des nouvelles fonctionnalités de sécurité embarquées dans
la version finale de Vista. On appréciera particulièrement l’étude synthétique du
mécanisme BitLocker et de ses implications sur la facilité d’exploitation du système.
http://www.infineon.com/upload/Document/tpm/Basic%20Knowledge%20EC2004.pdf
http://pdf1.alldatasheet.com/datasheet-pdf/view/79871/INFINEON/SLD9630/datasheet.pdf
http://www.net-security.org/dl/insecure/INSECURE-Mag-10.pdf
- TPM Spécifications
- SLD9630 Datasheet
- Rapport HNS
PROGRAMMATION
MICROSOFT – UNE LISTE DES FONCTIONS A NE PAS (PLUS) UTILISER
# Description
Michael Howard, auteur du livre ‘The Security Development Lifecycle’ publié chez ‘Microsoft
Press’ nous propose une liste des fonctions du langage ‘C’ considérées comme obsolètes et dont
l’usage devra(it) être banni pour reprendre l’expression par lui utilisée.
Cette liste, issue de l’expérience acquise par l’auteur mais aussi par nombre de développeurs, ne s’intéresse
cependant qu’aux fonctions susceptibles de provoquer, à la suite d’une mauvaise utilisation, un débordement de
buffer. Si les fonctions de remplacement – théoriquement plus sûres - sont proposées pour chacune des fonctions
listées, on conservera à l’esprit que les substitutions proposées utilisent majoritairement des fonctions spécifiques à
l’environnement WIN32 et que nombres d’entres-elles nécessitent une réorganisation du code. Il ne s’agit donc pas
de suivre aveuglement les préconisations issues de la méthodologie ‘SDL’ (Secure Development Lifecycle) en
remplaçant systématiquement les fonctions incriminées notamment lorsqu’une compatibilité POSIX reste recherchée.
Rappelons par ailleurs que la dernière version du compilateur ‘C’ Microsoft intègre des fonctions de substitution dont le
principal intérêt est de conserver au maximum le nom et la syntaxe des fonctions originales du ‘RunTime C’, le suffixe
‘_s’ étant utilisé pour différencier la version ‘sécurisée’.
Il n’en reste cependant pas moins vrai que, dans le cas de nouveaux développements, il est plus que temps, si n’est
déjà fait, de prendre de bonnes habitudes en oubliant à jamais toutes les fonctions d’accompagnement du langage ‘C’
pour se focaliser sur les fonctions offertes par les bibliothèques WIN32 et les bibliothèques applicatives. Et oublier
plus de 25 ans d’usages n’est pas aussi évident qu’il y parait. Nous serions même tentés de considérer que le
problème sera présent tant que le langage ‘C’ restera employé. N’est-ce pas dans l’efficacité de ces mêmes fonctions
qu’il faudra rechercher le succès de ce langage, notamment dans les logiciels embarqués ?
Alourdir le code, et réduire ses performances par l’utilisation de fonctions, présentant certes moins de risques mais à
quel coût, n’est peut être pas le choix le plus raisonnable quand des langages offrant un bien meilleur niveau de
sécurité pour une efficacité comparable sont disponibles depuis plusieurs années. Nous pensons au fabuleux langage
ADA, un temps considéré comme le seul successeur viable du langage ‘C’ puis abandonné depuis la décision du
gouvernement américain, son principal défenseur, d’autoriser l’usage du langage ‘C’ dans les développements
critiques. Les meilleurs choix techniques ne font pas toujours bon ménage avec les contraintes économiques et
politiques, le nombre de développeurs ‘C’ et le volume de code préexistant dans ce langage formant un écueil à
l’émergence de tout autre langage, et ceci pour encore longtemps.
Certains de nos lecteurs conserveront peut être le souvenir du projet pilote ‘SOL’ engagé par le CNET et par l’ADI
dans les années 80 pour offrir une alternative au langage ‘C’ en environnement UNIX System V. Ce projet s’est
concrétisé par la mise à disposition, sur machine SM-90, d’un environnement compatible System V mais dont le
langage de programmation était le langage ‘PASCAL’. Peu performant mais remarquable fiable, ce système semble
n’avoir jamais été diffusé en dehors de quelques centres de recherche…
L’article de Michael Howard propose donc une liste de plus de 138 fonctions à bannir, regroupées en quelques
19 catégories d’usage ayant majoritairement trait à la manipulation de chaînes et de buffers mémoire. On
notera la présence de quelques fonctions introduites par Microsoft dans les premières versions de l’interface de
programmation 32bits, dite ‘WIN32’. Les fonctions de manipulation de chaînes prenant en compte la taille de la
chaîne cible, fonctions dont le nom contient le caractère ‘n’ (strncmp, strncpy, strncat, …) pour les différencier
Page 15/62
Mars 2007
des fonctions élémentaires sont, par mesure de précaution, considérées comme ne devant pas être utilisées.
L’auteur fait remarquer à leur propos « qu’elles sont d’une utilisation difficile » en laissant entendre qu’elles
peuvent, elles aussi, être à l’origine de problèmes de sécurité ce qui n’est pas totalement faux lorsque l’on
considère les conditions s’appliquant au contrôle de la longueur et au caractère terminateur de la chaîne source.
http://msdn2.microsoft.com/en-us/library/bb288454.aspx
http://blogs.msdn.com/shawnfa/archive/2004/04/08/110097.aspx
- Librairie ‘Safe-CRT’
TENDANCES
ENISA – RISQUES EMERGENTS ET FUTURS
# Description
L’ENISA vient de publier sa dernière étude sur la collecte et la dissémination de l’information sous la
forme d’un rapport de 145 pages intitulé ‘Emerging-risks-related Information Collection and
Dissemination’. Les risques émergents, et les sources de risque, dans le domaine des réseaux et de
la sécurité des systèmes d’information sont classés selon l’échelle de temps suivante:
# Actuel (Current)
Les risques existants au moment de l’étude donc en 2007,
# Emergent (Emerging) Les risques pouvant survenir dans les trois prochaines années donc entre 2007 et 2010,
# Futur (Futur)
Les risques pouvant survenir dans les six prochaines années donc entre 2007 et 2013.
Ce rapport liste les risques, et sources de risque, suivants pour chacune des catégories ainsi définies:
Risques actuels
Risques émergents
le SPAM
les SCADA
les réseaux de robots ou Botnets
la domotique
le Phishing
la manipulation des équipements domotiques
le détournement d’identité
la collecte massive d’informations personnelles
la manipulation de routage
la collecte dissimulée de données dans les lieux publics
la messagerie instantanée
la collecte dissimulée de données dans les lieux privés
les systèmes ‘Peer-to-Peer’
les attaques en DoS sur la téléphonie domestique
les malwares en téléphonie mobile
la sécurité est plus un art qu’une science
la manipulation des cours
la vulnérabilité des utilisateurs de plus en plus jeunes
les vulnérabilités logicielles
la passivité des utilisateurs en cas de compromission
l’absence de dispositifs de protection
les malwares sur plusieurs réseaux (GSM, GPRS, …)
Risques futurs
la capacité de gestion
Risques actuels
Risques émergents
l’utilisation à outrance des systèmes des technologies de l’information et des communications
l’utilisation des équipements domestiques pour attaquer les infrastructures
l’impossibilité de prouver formellement la sécurité des constituants élémentaires
La table des matières de ce rapport est la suivante:
Chapter 1. Executive Summary
Chapter 2. Introduction
Chapter 3. Background - Related Work
3.1. Dark Scenarios in Ambient Intelligence
3.2. JRC IPTS study
3.3. Future Emerging Risks Framework
3.4. Emerging Electronic Threats to 2010
Chapter 4. Information gathering
4.1. Sources of Risks, Vulnerabilities, and Threats
4.1.1. Reports
4.1.2. World Wide Web
4.1.3. Centers and Organizations
4.1.4. Scientific Papers
4.1.5. Conferences and Workshops
4.1.6. ENISA Ad-Hoc Working Group
4.1.7. ENISA Pool of Experts
4.2. Sources of Current Risks
4.3. Sources of Future Risks
4.4. Sources of Emerging Risks
4.5. Information which helps to generate User Scenarios
4.5.1. Future or existing technology
4.5.2. Future or existing applications
4.5.3. Market and trends (future usage and influence of economic factors)
4.5.4. Future usage visions
4.5.5. Possible impacts of society and administration
4.6. Ways to handle such an information
4.7. Information concerning vulnerabilities, threats, and re-alization of possible risks within different Scenarios
4.7.1. Different future or existing attack methods
4.7.2. Different future or existing attack trends
Page 16/62
Mars 2007
4.7.3. Different future or existing technology or application vulnerabilities
Chapter 5. Current Emerging and Future Risks
5.1. Current Risks
5.2. Emerging Risks
5.3. Future Risks
5.4. Prioritization Criteria
Chapter 6. Information processing
6.1. Processing procedures
6.2. Automatic procedures
6.3. Handling / Processing
Chapter 7. Scenarios for future threats
7.1. Overview
7.2. Scenarios
7.2.1. Mobile Stock Market
7.2.2. Evidence based on RFIDs
7.2.3. Internet as an information source
7.2.4. Bank Crash
7.2.5. Blackmail
7.2.6. Telephone Spam
7.2.7. Telephone Attacks
7.2.8. Terrorizing sensitive parts of the population
7.2.9. A day at the future cinema
7.2.10. Compromizing a Human
7.3. Impact on market and society
Chapter 8. Dissemination-Awareness
8.1. Available mechanisms and channels
8.2. The dimension of time
8.3. Reaching out to people
8.4. Workflow of the Dissemination Process
8.4.1. Email lists
8.4.2. A Dissemination Web Site
8.4.3. Conferences
8.4.4. Digital Media
8.4.5. Printed Media
8.4.6. Projects
8.4.7. Leaflets
Chapter 9. Summary and concluding remarks
9.1. Sources
9.2. Findings
http://www.enisa.europa.eu/pages/02_01_press_2007_03_19_ENISA_Study_Emerging_Risks.html
- Annonce
http://www.enisa.europa.eu/rmra/files/er_files/rm_emerging_risks_related_information_collection_dissemination.pdf - Etude
CRYPTOGRAPHIE
ECRYPT
– MISE A JOUR DES
RAPPORTS D’ETUDES
# Description
x
Plusieurs nouveaux rapports de recherche ont été publiés par le réseau d’excellence Européen ‘eCrypt’
(Rapport N°98 – Septembre 2006).
Pour mémoire, ce réseau - constitué de 32 grands laboratoires universitaires dont le CNRS, l’ENS et l’INRIA mais
aussi privés avec, par exemple, GemPlus, FT R&D, Cryptolog SAS et Axalto SA pour la participation Française - a
pour objectif de renforcer la prise en compte dans l’industrie et l’enseignement des travaux de recherche menés en
Europe dans le domaine de la cryptographie et de disposer d’un excellent niveau de compétences dans ces domaines.
Cinq thèmes d’intérêt, traités par autant de laboratoires ‘virtuels’ car les contributeurs travaillent sans quitter leur
organisme de rattachement, sont définis:
• STVL
Cryptographie à clefs symétriques
• AZTEC
Cryptographie à clefs publiques
• PROVILAB Protocoles cryptographiques
• VAMPIRE
Performance et sécurité des implémentations
• WAVILA
Tatouage numérique ou ‘Watermaking’
Chaque laboratoire publie régulièrement un rapport de synthèse sur les domaines rattachés à ces thèmes de recherche
conduisant à la création d’un référentiel incontournable dans le domaine de la cryptographie comportant à ce jour les
49 rapports suivants:
Référence
GENERAL
GENERAL
GENERAL
Titre
Position Paper: Recent Collision Attacks on Hash Functions
Yearly Report on Algorithms and Key Lengths (2004)
Date
17/02/05
17/03/05
26/01/06
R.
1.1
1.1
1.0
Page 17/62
Mars 2007
GENERAL
GENERAL
D.STVL.1
D.STVL.2
D.STVL.3
D.STVL.4
D.STVL.5
D.AZTEC.1
D.AZTEC.2
D.AZTEC.3
D.AZTEC.4
D.AZTEC.5
D.AZTEC.6
D.AZTEC.7
D.PROV.1
D.PROV.2
D.PROV.3
D.PROV.4
D.PROV.5
D.PROV.6
D.PROV.7
D.VAM.1
D.VAM.2
D.VAM.3
D.VAM.4
D.VAM.5
D.VAM.6
D.VAM.7
D.VAM.8
D.VAM.9
D.VAM.10
D.VAM.11
D.VAM.13
D.WVL.1
D.WVL.2
D.WVL.3
D.WVL.4
D.WVL.5
D.WVL.6
D.WVL.7
D.WVL.8
D.WVL.9
D.WVL.10
D.WVL.11
D.WVL.12
D.WVL.13
D.WVL.14
D.WVL.17
Challenges for Cryptology Research in Europe for 2007-2013 and beyond (2006)
Stream Cipher Proposals for Ongoing Analysis
AES Security Report
Open Research Areas in Symmetric Cryptography & Technical Trends …
Ongoing Research Areas in Symmetric Cryptography
Ongoing Research Areas in Symmetric Cryptography
Provable Security: Designs and Open Questions
Lightweight Asymmetric Cryptography and Alternatives to RSA
New Technical Trends in Asymmetric Cryptography
Hardness of the Main Computational Problems Used in Cryptography
Update to Provable Security: Designs and Open Questions
Hardness of the Main Computational Problems Used in Cryptography
New Technical Trends in Asymmetric Cryptography
Two-Party Protocols
Multiparty Protocols
Unconditionally Secure Protocols
Second Summary Report on Two-Party Protocols
Second Summary Report on Multiparty Protocols
Second Summary Report on Unconditionally Secure Protocols
Summary Report on Rational Cryptographic Protocols
Performance Benchmarks
State of the Art in Hardware Architectures
Hardware Crackers
Electromagnetic Analysis and Fault Attacks: State of the Art
Report on DPA and EMA attacks on FPGAs
Open Problems in Implementation and Application
Performance Benchmarks - Public Key Cryptography I
Suggested algorithms & implementations using lightweight-cryptography
Report on "eBATS Performance Benchmarks"
State of the art hardware architectures for cryptographic algorithms
Suggested Algorithms for Light-Weight Cryptography
eBATS-Benchmarking of Asymmetric Systems
First Summary Report on Fundamentals
Research Report on Watermarking Fundamentals
First Summary Report on Practical Systems
First Summary Report on Asymmetrical Watermarking
First Summary Report on Hybrid Systems
First Summary Report on Authentication
First Summary Report on Forensic Tracking
Second Summary Report on Fundamental Aspects of Watermarking Schemes
Report on the Security of Practical Systems
Audio Benchmarking Tools and Steganalysis
Benchmarking Metrics and Concepts for Perceptual Hashing
Applications, application tequirements and metrics for perceptual hashing
Progress of Forensic Tracking Techniques
Third Summary Report on Fundamental Aspects of Watermarking
Progress of Forensic Tracking Techniques
# Complément d'information
http://www.ecrypt.eu.org/documents.html
ECRYPT
26/05/06
29/01/07
16/02/06
30/01/06
31/01/06
10/02/06
13/03/07
31/01/06
17/08/05
15/06/05
10/11/05
31/01/07
14/03/07
13/02/07
31/01/05
31/01/05
21/02/05
01/02/06
06/03/06
01/02/06
02/03/07
03/08/05
05/09/05
25/08/05
25/05/05
31/07/05
13/03/06
28/02/06
09/03/06
01/03/07
08/03/06
15/09/06
24/02/07
18/03/05
30/06/05
31/01/05
31/01/05
31/01/05
27/01/05
25/02/05
30/01/06
31/07/06
22/02/06
22/02/07
24/02/06
19/10/06
22/01/07
28/02/07
1.0
1.1
1.0
1.0
2.5
1.0
1.1
1.0
1.2
1.1
1.1
1.0
1.0
1.3
1.0
1.0
1.0
1.1
1.0
1.1
1.0
1.1
1.0
1.0
3.0
1.0
1.4
1.0
1.0
1.1
1.0
1.0
1.0
2.0
1.0
2.21
1.0
1.0
2.0
1.0
1.0
2.0
1.1
1.1
1.0
1.0
1.0
1.0
- Rapports publics
– RECOMMANDATIONS 2006 SUR LA TAILLE DES CLEFS
# Description
Depuis maintenant 3 ans, le réseau d’excellence Européen ‘eCrypt’ publie un très intéressant rapport
d’étude intitulé ‘Yearly Report on Algorithms and Key Lengths’ (Rapport N°93 – Avril 2006).
Constitué de trois volets, ce rapport aborde un sujet épineux s’il en est, celui de la définition de la taille optimale des
clefs utilisées dans les mécanismes cryptographiques désormais présents dans tous les systèmes d’informations.
La version 2006 de ce rapport est désormais disponible sur le site eCrypt. Nos lecteurs pourront se référer à notre
article concernant la version 2005 pour obtenir plus d’informations sur l’organisation et l’approche mise en œuvre pour
estimer la taille minimale des clefs et mesurer le niveau de protection offert.
x
En terme de modification ou d’évolution, on
notera une légère augmentation de la taille
minimale recommandée pour une clef (1
bit dans la majorité des cas), les nouvelles
tailles recommandées étant présentées
dans le tableau ci-contre.
Agresseur
Hacker
Budget
0
<$400
0
Petites organisations
$10K
Organisation moyennes $200k
Moyens
PC
PC/FPGA
Malware
PC/FPGA
FPGA/ASIC
Mini. 07
52 bits
57 bits
60 bits
62 bits
67 bits
Mini. 06
51 bits
56 bits
59 bits
62 bits
66 bits
Page 18/62
Mars 2007
Une synthèse des informations présentées Grandes organisations
$10M FPGA/ASIC 77 bits
dans les tableaux 7.1, 7.2, 7.3 et 7.4 du Agences
$300M ASIC
88 bits
rapport est proposée ci-dessous:
Niveaux
Cryptographie
2006 2005 Sym
RSA
DLOG
EC
Protection contre
1
1
32
Attaques en temps réel par des individus
48
480
480 - 96
96
50
512
512 56
640
640 - 112
112
2
2
64
816
816 - 128
128 Très court terme contre de petites organisations
3
3
72
1024
1024 Court terme contre des organisations moyennes
4
4
80
1248
1248 - 160
160 Très court terme face à des agences
5
96
192 Niveau standard type 3DES à 2 clefs
6
5
112
2432
2432 - 224
224 Moyen terme
7
6
128
3248
3248 - 256
256 Long terme
160
5312
5312 - 320
320
192
7936
7936 - 384
384
8
7
256 15424 15424 - 512
512 Au delà du futur appréciable
76 bits
81 bits
Durée
<5
~10
~20
~30
ans
ans
ans
ans
Quantu
m
Un niveau supplémentaire a été ajouté dans cette nouvelle édition qui correspond à une taille de clef de 96bits en
algorithmique symétrique soit, dans le cas présent, un 3-DES utilisant 2 clefs.
Les auteurs continuent de considérer, comme en 2006, qu’une taille de clef de 80 bits – niveau de protection 4 semble être le meilleur choix qui puisse être actuellement fait pour se protéger des scénarios d’attaque les plus
courants. Le passage à une taille de clef supérieure de 128 bits se justifie face à un agresseur non conventionnel
disposant notamment d’importantes ressources de stockage. Les tailles de clefs classiques de 32 et 64 bits doivent
définitivement être rejetées lorsqu’il s’agit d’assurer la confidentialité des données.
On notera par ailleurs l’introduction de l’algorithme ‘SNOW 2.0’ dans la catégorie des algorithmes de chiffrement de
flux (chapitre N°9). Cet algorithme est utilisé par le projet Européen ‘NESSIE’, une évolution dite ‘SNOW 3G’ ayant
été adoptée par l’ETSI dans le cadre du standard UMTS 3GPP.
La table des matières de ce rapport est reproduite ci-dessous:
1 Introduction
10.3 MD5
2 Algorithm Selection Criteria
10.4 RIPEMD-128
3 Preliminaries
10.5 RIPEMD-160
4 Security Objectives and Attackers
10.6 SHA-1
10.7 SHA224, SHA256
I General Key Size Recommendations
10.8 SHA384, SHA512
5 Determining Symmetric Key Size
10.9 Whirlpool
5.1 PC/Software Based Attacks
11 Message Authentication Codes
5.2 Attacks Using ASIC Designs
11.1 Overview
5.3 Attacks Using FPGA Designs
11.2 HMAC
5.4 Conclusions
11.3 CBC-MAC-X9.19
6 Determining Equivalent Asymmetric Key Size
11.4 CBC-MAC-EMAC
6.1 Inter-system Equivalences
III
Asymmetric Primitives
6.2 Survey of Existing Guidelines
6.3 Impact of Special Purpose Hardware
12 Mathematical Background
6.4 Quantum Computing
12.1 Provable Security
7 Recommended Key Sizes
12.2 Choice of Primitive
7.1 Recommended Parameters
12.3 Non-cryptographic Attacks
7.2 Security Levels
13 Public-key Encryption
7.3 How to Deal with Very Long-term Security
13.1 Overview
7.4 A Final Note: Key Usage Principles
13.2 RSA/Factoring Based
13.3 ElGamal/Discrete log based
II Symmetric Primitives
14 Signatures
8 Block Ciphers
14.1 Overview
8.1 Overview
14.2 RSA/Factoring Based
8.2 64-bit Block Ciphers
14.3 ElGamal/Discrete Log Based
8.3 128-bit Block Ciphers
15 Public Key Authentication and Identification
8.4 Modes of Operation
15.1 Overview
9 Stream Ciphers
15.2 GQ
9.1 Overview
16 Key Agreement and Key Distribution
9.2 RC4
16.1 Overview
9.3 Snow 2.0
16.2 Factoring Based
10 Hash Functions
16.3 DLOG Based
10.1 Overview
10.2 Recent developments
http://www.ecrypt.eu.org/documents.html
- Rapports publics
Page 19/62
Mars 2007
METHODE
NSA - GUIDANCE FOR USING MAIL CLIENTS, MAIL CLIENT SECURITY CHEAT SHEET & SECURE IM
# Description
La NSA a publié trois nouveaux mémentos dans sa série de documents dits ‘d’application’. Ils prennent la
forme d’un feuillet couleur d’une ou deux pages qui résument ce qu’il convient de savoir à propos du thème
abordé et ne sont pas sans rappeler les notes techniques publiées par feu le NISCC ou encore le projet des
mémentos du CERT-A hélas resté sans suite.
Ces trois mémentos traitent ainsi:
1- Security Guidance for Using Mail Clients
Les 10 points clefs à prendre en compte dans l’utilisation des clients de messagerie: mécanisme S/MIME et PGP,
lecture sans risque des mails, différentiation des formats texte pur et HTML, utilisation d’images masquées pour
valider une adresse de messagerie, langages de scripting, utilisation de SSL/TLS pour les courriers sortants,
corrections et mises à jour, pare-feux et outils de prévention ou de détection, SPAM et utilisation des zones
restreintes.
2- Mail Client Security Cheat Sheet
Les procédures applicables aux différents clients de messagerie – Outlook et ses différents avatars, Mozilla,
Thunderbird – pour désactiver les fonctionnalités posant les plus gros problèmes de sécurité dont la
prévisualisation systématique du contenu des messages, le blocage des attachements, …
3- Secure Instant Messaging
Les recommandations élémentaires permettant de renforcer la sécurité des infrastructures de messagerie
instantanée ici considérées comme étant un facteur positif pour le travail collaboratif mais aussi pour l’efficacité des
prises de décision sur les champs de bataille.
http://www.nsa.gov/snac/app/I733-004R-2007.pdf
http://www.certa.ssi.gouv.fr/site/index_inf.html
http://www.certa.ssi.gouv.fr/site/CERTA-2005-INF-002/index.html
- Security Guidance for Using Mail Clients
- Mail Client Security Cheat Sheet
- Secure Instant Messaging
- Notes d’information du CERT-A
- Memento du CERT-A
Page 20/62
Mars 2007
REFERENCES
NSA - CATALOGUE DES GUIDES DE SECURITE
# Description
La NSA a publié trois nouveaux mémentos portant sur l’utilisation des clients de messagerie (‘Security
Guidance for Using Mail Clients’ et ‘Mail Client Security Cheat Sheet’) et sur la sécurisation des
environnements de messagerie instantanée (‘Secure Instant Messaging’). Deux guides de sécurisation
consacrés à l’environnement Mac Os/X 10.4 d’origine Apple ont par ailleurs été inclus dans ce référentiel.
G
R
P
Guide de mise en œuvre et/ou manuel d’utilisation
Recommandations et principes élémentaires
Procédures et mise en application
N
O
Document nouvellement publié
Document obsolète
Windows 2003
R
N R
R
R
R
G
G
The Windows Server 2003 - Security Guide
NSA Windows Server 2003 Security Guide Addendum
Testing the Windows Server 2003 - Security Guide
Supporting the Windows Server 2003 - Security Guide
Delivering the Windows Server 2003 - Security Guide
Systems Management Server 2003 Security Guide
Exchange Server 2003 Benchmark
V2.1
V1.0
V2.1
V2.1
V2.1
V1.0
V1.0
26/04/2006
12/09/2006
26/04/2006
26/04/2006
26/04/2006
01/04/2005
-
MIC
NSA
MIC
MIC
MIC
NSA
CIS
V1.0
12/09/2006
NSA
V1.0
V1.08
19/04/2001
02/03/2001
NSA
NSA
V1.1
V1.22
V1.01
V1.0
V1.0
V1.1
V1.02
V1.02
13/10/2001
12/09/2006
26/11/2002
09/04/2001
01/01/2001
27/06/2001
01/05/2001
23/01/2001
NSA
NSA
NSA
NSA
NSA
NSA
NSA
NSA
V1.0
V1.0
06/03/2001
01/12/2000
NSA
NSA
V2.11
V2.02
V4.0
10/10/2001
10/10/2001
08/04/2002
NSA
NSA
NSA
V1.5
V1.3
V1.0
V1.0
V1.2
08/08/2002
19/07/2002
02/07/2001
13/08/2001
24/11/2003
NSA
NSA
NSA
NSA
NSA
Guide to Securing Microsoft Windows NT Networks
V4.2
18/09/2001
NSA
Guide to the Secure Configuration of Solaris 8
Guide to the Secure Configuration of Solaris 9
Apple Mac OS X v10.3.x Security configuration guide
Apple Mac OS X Server v10.3.x Security configuration guide
Apple Mac OS X v10.4.x Security configuration guide
Apple Mac OS X Server v10.4.x Security configuration guide
V1.0
V1.0
V1.1
V1.0
Ed. 2
Ed. 2
09/09/2003 NSA
16/07/2004 NSA
21/12/2004 NSA
08/07/2005 NSA
12/03/2007 Apple
12/03/2007 Apple
Router Security Configuration Guide - Executive Summary
Router Security Configuration Guide
Router Security Configuration Guide – Security for IPV6 Routers
Cisco IOS Switch Security Configuration Guide
V1.1
V1.1c
V1.0
V1.0
03/03/2006
15/12/2005
23/05/2006
21/06/2004
NSA
NSA
NSA
NSA
V1.1
-
01/10/2005
23/09/2005
26/09/2006
NSA
NSA
NSA
V3.0
V3.0
V1.1
14/11/2003
07/01/2002
20/12/1999
NSA
NSA
NSA
Windows XP
Système
N R NSA Windows XP Security Guide Addendum
Windows 2000
Références
I
I
Microsoft Windows 2000 Network Architecture Guide
Group Policy Reference
Systèmes
G
M I
P
P
P
P
P
R
Guide to Securing Microsoft Windows 2000 Group Policy
Guide to Securing Microsoft Windows 2000 Group Policy: Security Configuration Tool
Guide to Securing Microsoft Windows 2000 File and Disk Resources
Guide to Securing Microsoft Windows 2000 DNS
Guide to Securing Microsoft Windows 2000 Encrypting File System
Guide to Windows 2000 Kerberos Settings
Microsoft Windows 2000 Router Configuration Guide
Guide to Securing Windows NT/9x Clients in a Windows 2000 Network
Annuaire
I
I
Guide to Securing Microsoft Windows 2000 Schema
Guide to Securing Microsoft Windows 2000 Active Directory
Certificats
R
R
R
Guide to the Secure Config. & Admin. of Microsoft Windows 2000 Certificate Services
Guide to the Secure Config. & Admin. of Microsoft Windows 2000 Certificate Services (check)
Guide to Using DoD PKI Certificates in Outlook 2000
Services annexes
I
P
P
P
P
Guide to Secure Configuration & Administration of Microsoft ISA Server 2000
Guide to Securing Microsoft Windows 2000 DHCP
Guide to Securing Microsoft Windows 2000 Terminal Services
Microsoft Windows 2000 IPsec Guide
Guide to the Secure Configuration and Administration of Microsoft Exchange 2000
Windows NT
P
Unix
P
P
P
P
N P
N P
Cisco
R
P
P
P
Sans-Fils
G
G
G
Guidelines for the Development and Evaluation of IEEE 802.11 IDS
Recommended 802.11 Wireless Local Area Network Architecture
Security Guidance for Bluetooth Wireless Keyboards and Mice
Contenus exécutables
O
O
O
Outlook E-mail Security in the Wake of Recent Malicious Code Incidents
Guide to the Secure Configuration and Administration of Microsoft Exchange 5
Microsoft Office 97 Executable Content Security Risks and Countermeasures
Page 21/62
Mars 2007
R
R
ND
ND
08/02/2002
05/02/2004
NSA
NSA
Guide to the Secure Configuration and Administration of Microsoft SQL Server 2000
Guide to the Secure Configuration and Administration of Oracle9i
Benchmark for Oracle 9i/10g
V1.5
V1.2
V2.0
15/01/2003
30/10/2003
-
NSA
NSA
CIS
BEA WebLogic Platform Security Guide
Guide to the Secure Configuration & Administration of Microsoft IIS 5.0
Guide to Securing Microsoft Internet Explorer 5.5 Using Group Policy
Guide to Securing Netscape Navigator 7.02
V1.4
V1.0
V1.1
V1.0
04/04/2005
16/01/2004
07/2002
04/2003
NSA
NSA
NSA
NSA
ND
V1.73
V1.33
V1.33
V1.12
V1.14
V2.1
V1.0
V1.5
-
ND
03/07/2001
04/03/2002
04/03/2002
24/04/2001
05/10/2001
15/03/2006
01/04/2004
11/11/2005
01/08/2006
01/08/2006
01/08/2006
01/02/2007
01/02/2007
01/02/2007
NSA
NSA
NSA
NSA
NSA
NSA
NSA
NSA
NSA
NSA
NSA
NSA
NSA
NSA
14/02/2006
01/05/2006
NSA
NSA
Base de données
R
R
R
Web
R
P
R
R
Documents de Support
I
O
O
O
O
R
R
R
R
I
I
I
N I
N I
N I
Defense in Depth
Guide to the Secure Configuration & Administration of iPlanet Web Serv Ent. Ed. 4.1
Guide to the Secure Conf. and Admin. of Microsoft IIS 4.0
Guide to the Secure Conf. and Admin. of Microsoft IIS 4.0 (Checklist Format)
Secure Config. of the Apache Web Server, Apache Server V1.3.3 on Red Hat Linux 5.1
Microsoft NetMeeting 3.0 Security Assessment and Configuration Guide
The 60 Minute Network Security Guide
Guide to Sun Microsystems Java Plug-in Security
Guide to Microsoft .NET Framework Security
Enterprise Firewall Types
Desktop or Enterprise Firewall ?
Enterprise Firewalls in Encrypted Environments
Security Guidance for Using Mail Clients
Mail Client Security Cheat Sheet
Secure Instant Messaging
VoIP
R
R
Security Guidance for Deploying IP Telephony Systems
Recommended IP Telephony Architecture
http://www.nsa.gov/snac/
http://www.nsa.gov/snac/os/applemac/I731-006R-2007.pdf
http://www.nsa.gov/snac/os/applemac/I731-007R-2007.pdf
V1.0
- Portail d’accès aux guides
- Security Guidance for Using Mail Clients
- Mail Client Security Cheat Sheet
- Secure Instant Messaging
- Mac OS 10.4
- Mac OS 10.4 Server
NIST – ETAT DES GUIDES DE LA SERIE SP800
# Description
Le NIST a publié la version finale des guides SP800-45V2 (‘Guide On Electronic Mail Security’),
SP800-76-1 (‘Biometric Data Specification for PIV’), SP800-94 (‘Guide to Intrusion Detection and
Prevention (IDP) Systems ’) et SP800-97 (‘Guide to IEEE 802.11i: Robust Security Networks’).
Le guide SP800-100 (‘Information Security Handbook: A Guide for Managers’) a par ailleurs fait l’objet d’une mise à
jour. Nous mettons en conséquence à jour la liste des documents de la série SP800.
SP800-12
SP800-18.1
SP800-21.1
SP800-26
SP800-26.1
SP800-27a
SP800-28
SP800-29
SP800-30
SP800-31
SP800-32
SP800-33
SP800-34
SP800-35
SP800-36
SP800-37
SP800-38A
SP800-38B
SP800-38C
SP800-38D
SP800-40
An Introduction to Computer Security: The NIST Handbook
Guide for Developing Security Plans for Federal Information Systems
Guideline for Implementing Cryptography in the Federal Government
Security Self-Assessment Guide for Information Technology Systems
Guide for Inform. Security Program Assessments & System Reporting Form
Engineering Principles for Information Technology Security – Rev A
Guidelines on Active Content and Mobile Code
Comparison of Security Reqs for Cryptographic Modules in FIPS 140-1 & 140-2
Underlying Technical Models for Information Technology Security – Rev A
Intrusion Detection Systems
Introduction to Public Key Technology and the Federal PKI Infrastructure
Underlying Technical Models for Information Technology Security
Contingency Planning Guide for Information Technology Systems
Guide to Selecting IT Security Products
Guide to IT Security Services
Guidelines for the Security C&A of Federal Information Technology Systems
Recommendation for Block Cipher Modes of Operation – Method and Techniques
Recommendation for Block Cipher Modes of Operation – RMAC
Recommendation for Block Cipher Modes of Operation – CCM
Recommendation for Block Cipher Modes of Operation – GCM
Applying Security Patches
[R]
[R]
[D]
[F]
[R]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[D]
[F]
[D]
[F]
10/1995
08/2005
09/2005
11/2001
08/2005
06/2004
10/2001
10/2001
01/2004
11/2001
02/2001
12/2001
06/2002
10/2003
10/2003
04/2004
12/2001
12/2001
05/2004
04/2006
09/2002
Page 22/62
Mars 2007
SP800-40-2
SP800-41
SP800-42
SP800-43
SP800-44
SP800-45V2
SP800-46
SP800-47
SP800-48
SP800-49
SP800-50
SP800-51
SP800-52
SP800-53-1
SP800-53A
SP800-54
SP800-55
SP800-56A
SP800-57
Creating a Patch and Vulnerability Management Program
Guidelines on Firewalls and Firewall Policy
Guidelines on Network Security testing
System Administration Guidance for Windows2000
Guidelines on Securing Public Web Servers
Guide On Electronic Mail Security
Security for Telecommuting and Broadband Communications
Security Guide for Interconnecting Information Technology Systems
Wireless Network Security: 802.11, Bluetooth™ and Handheld Devices
Federal S/MIME V3 Client Profile
Building an Information Technology Security Awareness & Training Program
Use of the Common Vulnerabilities and Exposures Vulnerability Naming Scheme
Guidelines on the Selection and Use of Transport Layer Security
Recommended Security Controls for Federal Information Systems
Guide for Assessing the Security Controls in Federal Information Systems
Border Gateway Protocol Security
Security Metrics Guide for Information Technology Systems
Pair-Wise Key Establishment Schemes Using Discrete Logarithm Cryptography
Recommendation for Key Management, Part 1: General Guideline
Recommendation for Key Management, Part 2: Best Practices
SP800-58
Security Considerations for Voice Over IP Systems
SP800-59
Guideline for Identifying an Information System as a National Security System
SP800-60
Guide for Mapping Types of Information & Information Systems to Security Categories
SP800-61
Computer Security Incident Handling Guide
SP800-63
Recommendation for Electronic Authentication
SP800-64
Security Considerations in the Information System Development Life Cycle
SP800-65
Recommended Common Criteria Assurance Levels
SP800-66
An Introductory Resource Guide for Implementing the HIPAA Security Rule
SP800-67
Recommendation for the Triple Data Encryption Algorithm (TDEA) Block Cipher
SP800-68
Guidance for Securing Microsoft Windows XP Systems for IT Professionals
SP800-69
Guidance for Securing Microsoft Windows XP Home Edition
SP800-70
The NIST Security Configuration Checklists Program
SP800-72
Guidelines on PDA Forensics
SP800-73
Integrated Circuit Card for Personal Identity Verification
SP800-73-1 Interfaces to Personal Identity Verification
SP800-76-1 Biometric Data Specification for Personal Identity Verification
SP800-77
Guide to Ipsec VPNs
SP800-78-1 Cryptographic Algorithms and Key Sizes for Personal Identity Verification
SP800-79
Guidelines for Certification & Accreditation of PIV Card Issuing Organizations
SP800-80
Guide for Developing Performance Metrics for Information Security
SP800-81
Secure Domain Name System (DNS) Deployment Guide
SP800-82
Guide to SCADA and Industrial Control Systems Security
SP800-83
Guide to Malware Incident Prevention and Handling
SP800-84
Guide to Single-Organization IT Exercises
SP800-85B PIV Middleware and PIV Card Application Conformance Test Guidelines
SP800-86
Computer, Network Data Analysis: Forensic Techniques to Incident Response
SP800-87
Codes for the Identification of Federal and Federally-Assisted Organizations
SP800-88
Guidelines for Media Sanitization
SP800-89
Recommendation for Obtaining Assurances for Digital Signature Applications
SP800-90
Random Number Generation Using Deterministic Random Bit Generators
SP800-92
Guide to Computer Security Log Management
SP800-94
Guide to Intrusion Detection and Prevention (IDP) Systems
SP800-95
Guide to Secure Web Services
SP800-96
PIV Card / Reader Interoperability Guidelines
SP800-97
Guide to IEEE 802.11i: Robust Security Networks
SP800-98
Guidance for Securing Radio Frequency Identification (RFID) Systems
SP800-100 Information Security Handbook: A Guide for Managers
SP800-101 Guidelines on Cell Phone Forensics
SP800-103 An Ontology of Identity Credentials, Part I: Background and Formulation
SP800-104 A Scheme for PIV Visual Card Topography
[F] Finalisé
[R] Pour commentaire et relecture
[*] Récemment finalisé
[D] En cours de développement
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[D]
[M]
[R]
[R]
[F]
[M]
[F]
[F]
[F]
[F]
[F]
[F]
[M]
[F]
[F]
[F]
[F]
[F]
[R]
[F]
[F]
[R]
[R]
[F]
[F]
[R]
[F]
[R]
[D]
[R]
[F]
[R]
[F]
[F]
[F]
[M]
[F]
[F]
[R]
[F]
[R]
[M]
[F]
[R]
[M]
[R]
[R]
[R]
11/2005
01/2002
10/2003
11/2002
09/2002
02/2007
09/2002
09/2002
11/2002
11/2002
03/2003
09/2002
09/2004
12/2006
04/2006
09/2006
07/2003
05/2006
08/2005
08/2005
03/2005
08/2003
06/2004
01/2004
04/2006
07/2004
01/2005
03/2005
05/2004
10/2005
08/2006
05/2005
11/2004
01/2005
03/2006
01/2007
12/2005
07/2006
07/2005
05/2006
05/2006
09/2006
11/2005
08/2005
07/2006
08/2006
01/2006
08/2006
11/2006
06/2006
04/2006
02/2007
09/2006
07/2006
02/2007
09/2006
03/2007
09/2006
09/2006
01/2007
[M] Mise à jour
Page 23/62
Mars 2007
http://csrc.nist.gov/publications/nistpubs/index.html
http://csrc.nist.gov/publications/nistpubs/800-45-version2/SP800-45v2.pdf
http://csrc.nist.gov/publications/nistpubs/800-76-1/SP800-76-1_012407.pdf
http://csrc.nist.gov/publications/nistpubs/800-94/SP800-94.pdf
http://csrc.nist.gov/publications/nistpubs/800-97/SP800-97.pdf
http://csrc.nist.gov/publications/nistpubs/800-100/SP800-100-Mar07-2007.pdf
- Catalogue
- SP800-45V2
- SP800-76-1
- SP800-94
- SP800-97
- SP800-100
DISA – GUIDES ET CHECKLISTS DE SECURISATION
# Description
La DISA a publié la mise à jour du guide générique ‘Wireless’ et des listes de contrôle associées
dont celle concernant les équipements ‘BlackBerry’ ainsi que les listes de contrôle ‘Desktop’,
‘DNS’, ‘UNIX’, ‘OS/390’ et ‘Windows’
[13 Mise(s) à jour, 0 Nouveau(x) document(s)]
STIG
Checklist
APPLICATIONS
Applications
(Services)
1.1
17/01/06 PDF 2.1.9
21/11/06 PDF
ESM
1.1
05/06/06 PDF
ERP
(PeopleSoft, SAP)
1.0
23/06/06 PDF 1.0
01/06/06 DOC
Database
(Générique + Oracle, SQL Server)
7.2
30/11/05 PDF 7.2.1
30/06/06 ZIP
VoIP
2.2
21/04/06 PDF 2.2.2
19/05/06 PDF
ENVIRONNEMENTS
Access Control
1.1
05/06/06 PDF
Active Directory Service
1.1
10/03/06 PDF 1.1.3
21/11/06 PDF
Desktop
3.0
01/02/06 PDF 2.1.8
23/02/07 ZIP M
Enclave
(Périmètre)
3.1
28/07/05 PDF 3.1.6
09/07/06 PDF
.NET
(Draft)
1.2
28/04/06 DOC
Secure Remote Computing
1.2
10/08/05 DOC
PERIPHERIQUES RESEAUX
Sharing peripheral across the network
1.1
29/07/05 PDF
- Multi-Function Device (MFD) and Printer Checklist
1.1.2
14/04/06 PDF
- Keyboard, Video, and Mouse (KVM) Switch Checklist
1.1.2
14/04/06 PDF
- Storage Area Network (SAN) Checklist
1.1.3
19/05/06 PDF
- Universal Serial Bus (USB) Checklist
1.1.2
06/04/06 PDF
RESEAU
Network
6.4
16/12/05 PDF 6.4.4
21/07/06 PDF
Cisco
(Supplément)
6.1
02/12/05 PDF
Juniper
(Supplément)
6.4
02/12/05 PDF
IP WAN
2.3
12/08/04 PDF
Wireless
(Liste de contôle générique)
5.1
20/02/07 PDF 5.1.1
20/02/07 PDF M
(Liste de contôle dédiée BlackBerry)
5.1.1
20/02/07 PDF M
Wireless LAN Security Framework Addendum
2.1
31/10/05 PDF
Wireless LAN Site Survey Addendum
1.1
31/10/05 PDF
Wireless LAN Secure Remote Access Addendum
1.1
31/10/05 PDF
Wireless Mobile Computing Addendum
1.1
31/10/05 PDF
SERVICES
DNS
3.1
19/09/06 PDF 3.1
15/03/07 PDF M
Web Servers
(Générique + IIS, Netscape, Apache) 6.1
11/12/06 PDF 6.1.1
01/07 ZIP
SYSTEMES
OS/390 & z/OS
5.2
19/09/06 PDF 5.1.2
23/03/07 DOC M
OS/390 Logical Partition
2.2
04/03/05 PDF 2.1.4
04/06 DOC
OS/390 RACF
5.2.2
23/03/07 DOC M
OS/390 ACF2
5.2.2
23/03/07 DOC M
OS/390 TSS
5.2.1
23/03/07 DOC M
MacOS X
1.1
15/06/04 PDF 1.1.3
28/04/06 DOC
TANDEM
2.2
04/03/05 PDF 2.1.2
17/04/06 DOC
UNISYS
7.2
28/08/06 PDF 7.1.2
17/04/06 PDF
UNIX
5.1
28/03/06 PDF 5.1.5
15/03/07 DOC M
VM IBM
2.2
04/03/05 PDF 2.1.2
04/06 DOC
SOLARIS
(2.6 à 2.9)
20/01/04 DOC
VMS VAX
2.2.3
17/04/06 DOC
Windows 2000
5.1.9
30/03/07 ZIP M
Windows 2003
5.1.9
30/03/07 ZIP M
Windows XP
1.8
12/01/03 PDF 5.1.9
30/03/07 ZIP M
Windows NT
3.1
26/12/02 DOC 4.1.21 28/07/06 DOC
Windows NT/2000/XP Addendum
5.1
21/09/05 PDF
TECHNOLOGIES
Biométrie
1.3
10/11/05 PDF 1.3.1
31/10/05 DOC
Page 24/62
Mars 2007
SPECIFIQUE DoD
Backbone transport
Defense switch network
Secure telecommunication Red switch network
DODI 8500.2 IA
N Nouveau
M Mis à jour
05/06/06 PDF
30/04/06 PDF
26/03/06 PDF
1.1.1
2.3.2
18/01/07 PDF
01/05/06
1.1.1
18/01/07 PDF
R
R
R
R
R Accès restreint
http://iase.disa.mil/stigs/index.html
http://iase.disa.mil/stigs/stig/index.html
http://iase.disa.mil/stigs/checklist/index.html
LA
1.1
2.3
1.1
- Pages d’accueil
- STIG
- Checklists
LEGISLATION
REGISTRES
AFNIC – EVOLUTION DU SERVICE WHOIS
# Description
L’AFNIC, l’organisme chargé de gérer les noms de domaine – ou ‘registre’ - inscrits sous les racines
‘.fr’ et ‘.re’, a lancé fin février une consultation publique concernant l’évolution du service ‘WhoIS’.
Proposé par la grande majorité des registres, ce service permet d’interroger les bases de données pour obtenir les
informations afférant au propriétaire d’un nom de domaine ou d’un bloc d’adresses IP selon un formalisme spécifié par
le RFC3912 et un schéma de données libre. C’est d’ailleurs l’absence de toute standardisation portant sur le schéma
des données et le format de présentation des résultats qui a conduit l’IETF à engager la spécification d’un nouveau
protocole, le protocole IRIS (Internet Registry Information Service), lequel autorise un accès structuré aux données
d’enregistrement. Edité par un membre du DeNIC (registre du ‘.de’) et une personne de la société Verisign (registre
du ‘.com’ et ‘.net’), ce standard semble ne pas avoir encore eu le succès attendu.
En fournissant un accès libre et public à des données sensibles notamment en ce qui concerne les données
personnelles des titulaires et des points de contacts enregistrés, le service WhoIS est désormais utilisé à des fins qui
vont bien au-delà des besoins purement techniques ayant présidé à sa création. Y ont recours aussi bien les
exploitants d’un réseau à la recherche d’un contact pour reporter un problème ou un abus que les escrocs et autres
aigrefins à la recherche d’adresses de messagerie, ou d’une identité qu’ils pourront temporairement endosser, sans
oublier l’utilisation commerciale ou juridique qui pourra être faite de ces informations.
Dans l’exposé des motifs ayant conduit l’AFNIC à lancer une consultation, celle-ci indique tout d’abord que les
politiques applicables à la nature des données publiées et aux modes de gestion de ce service sont très contrastées
selon les pays et les registres. L’AFNIC précise ensuite que « la tendance actuelle au sein de l'Union Européenne est de
rechercher un équilibre entre lois locales et confiance des utilisateurs par la publication encadrée d'informations ciblées
» pour conclure par le fait quelle « souhaite actualiser et formaliser sa politique en matière d'accès et de publication de
ces données, en encadrant juridiquement, l'exploitation qui en est faite par des tiers, lorsque cela est nécessaire ».
Cette prise de décision est probablement à rattacher à la publication le mois dernier du décret n° 2007-162 ‘relatif à
l'attribution et à la gestion des noms de domaine de l'Internet et modifiant le code des postes et des communications
électronique’ engageant la responsabilité du registre, et des bureaux d’enregistrement (Rapport N°102 – Février
2007).
Comme le rappelle l’AFNIC, « jusqu'à présent, l'accès aux "données WhoIS" est proposé gratuitement à tous les
publics sur une requête simple (pour un nom de domaine) au travers du site web (http://www.afnic.fr/outils/whois) de
l'AFNIC ou de ceux de ses bureaux d'enregistrement qui proposent cette fonctionnalité ».
L’objectif de la consultation publique engagée le 27 février dernier, qui comporte 7 questions, est de faire valider par
un public averti sa nouvelle politique d’accès laquelle prévoit notamment trois modes d’accès dotés d’un éventail de
services différents:
- un accès tous publics non authentifié mais d’une utilisation limitée afin d’éviter toute dérive commerciale,
- un accès réservé aux bureaux d’enregistrement offrant un accès à toutes les données concernant leur
portefeuille de noms de domaine,
- un accès privilégié proposé à des partenaires et destiné à répondre à des besoins spécifiques: veille, surveillance
des marques, marketing, prospection, …
Les premiers résultats de la consultation seront très certainement disponibles peu de temps après la publication de
notre rapport, la date de clôture étant fixée au 20 mars, une synthèse publique devant être rendue disponible avant
l’été 2007 en même temps que l’annonce des orientations que prendra l’AFNIC en matière de conditions d’accès aux
enregistrements de la base qu’elle maintient.
http://www.afnic.fr/actu/nouvelles/general/NN20070227
http://www.afnic.fr/data/actu/public/2007/consultation-donnees-afnic-27-02-2007.pdf
- Présentation de la consultation
- Le questionnaire
Page 25/62
Mars 2007
ADMINISTRATION ELECTRONIQUE
DCSSI – PUBLICATION DES CERTIFICATS DE L’AUTORITE RACINE DE L’ADMINISTRATION FRANÇAISE
# Description
Le Journal Officiel N°41 du 17 février dernier publie, dans la section ‘Avis et Communications’, un texte
au contenu inhabituel mais parfaitement représentatif de l’importance de l’économie numérique dans la
société moderne. Intitulé ‘Avis relatif aux certificats électroniques de l'autorité de certification
racine de l'administration française, dits «certificats IGC/A»’, ce texte contient en effet les
certificats électroniques des clefs RSA (2048bits) et DSA (1024bits) utilisées par la Direction Centrale de la Sécurité
des Systèmes d'Information (DCSSI) pour signer les certificats délivrés aux autorités de certification principales –
aussi appelées ‘autorités de certification racines’ - des administrations de l'Etat.
Ces certificats racines - édités par l'infrastructure de gestion de clés cryptographiques ou ‘IGC/A’ de la DCSSI et
d’une durée de vie de 18 ans - permettront à quiconque de vérifier que les certificats utilisés par les services en ligne
officiels sont valides en vérifiant que ces derniers ont bien été signés, directement ou à travers une chaîne de
confiance, par la dite ‘IGC/A’.
Leur publication dans un support de communication officiel, lisible par tous, doit permettre d’en vérifier l’intégrité et
l’authenticité avant leur intégration dans les différents systèmes et produits de communication selon une procédure
décrite en détail sur la page du site de la DCSSI consacrée à l’IGC/A. Les versions ‘informatiques’ de ces certificats
pourront être téléchargées depuis ce même site.
Présentation des informations du certificat RSA
Détail du certificat RSA
Une Foire Aux Questions répond par ailleurs aux principales questions que pourraient se poser les usagers de
l’administration électronique :
- Qu’est-ce que l’IGC/A ?
- Qu’est-ce qu’un ‘certificat IGC/A’ ?
- A quoi sert-il ?
- Est-il obligatoire de télécharger les ‘certificats IGC/A’ ?
- Comment vérifier les ‘certificats IGC/A’ ?
- Pourquoi vérifier les ‘certificats IGC/A’ ?
- Pourquoi des certificats IGC/A différents ?
- Pourquoi la fonction de hachage SHA-1 dans les certificats IGC/A ?
http://www.ssi.gouv.fr/fr/index.html
http://www.ssi.gouv.fr/fr/faq/faq_igca.html
http://www.ssi.gouv.fr/fr/sigelec/igca/index.html
- Site de la DCSSI
- Foire Aux Questions
- Portail IGC/A
Page 26/62
Mars 2007
L
LO
OG
LIIB
GIIC
BR
RE
CIIE
ES
S
EL
LS
SL
LES
SERVICES DE BASE
Les dernières versions des services de base sont rappelées dans les tableaux suivants. Nous conseillons
d’assurer rapidement la mise à jour de ces versions, après qualification préalable sur une plate-forme
dédiée.
RESEAU
Nom
Fonction
BIND
Gestion de Nom (DNS) 9.4.0
8.4.7
Serveur d’adresse
3.0.5
Serveur de temps
4.2.4
Serveur de temps
3.9
DHCP
$ NTP4
OpenNTPD
Ver.
Date
Source
02/07
21/12/05
11/06
07/03/07
15/05/06
http://www.isc.org/
http://www.isc.org/
http://ntp.isc.org/bin/view/Main/SoftwareDownloads
http://www.openntpd.org/
MESSAGERIE
Nom
Fonction
Ver.
Relevé courrier
Relevé courrier
Relevé courrier
Serveur de courrier
2006f
4.0.9
1.0.2
8.14.0
Nom
Fonction
Ver.
APACHE
Serveur WEB
$ IMAP4
POP3
POPA3D
SENDMAIL
Date
Source
02/03/07
21/03/06
23/05/06
01/02/07
ftp://ftp.cac.washington.edu/imap/
ftp://ftp.qualcomm.com/eudora/servers/unix/popper/
http://www.openwall.com/popa3d/
ftp://ftp.sendmail.org/pub/sendmail/
WEB
ModSSL
$ MySQL
$ SQUID
1.3.37
2.0.59
2.2.4
API SSL Apache 1.3.37 2.8.28
Base SQL
5.1.16
Cache WEB
2.6s12
Date
Source
27/07/06
27/07/06
06/01/07
28/08/06
27/02/07
20/03/07
http://httpd.apache.org/dist
http://www.modssl.org
http://dev.mysql.com/doc/refman/5.1/en/news.html
http://www.squid-cache.org
AUTRE
Nom
Fonction
Ver.
INN
OpenCA
OpenLDAP
Samba
Tor
Gestion des news
Gestion de certificats
Gestion de l’annuaire
Gestion de fichiers
Anonymat
2.4.3
0.9.3
2.3.34
3.0.24
0.1.1.26
LES
Date
Source
22/03/06
10/10/06
16/02/07
05/02/07
17/12/06
http://www.isc.org/
http://pki.openca.org/projects/openca/downloads.shtml
ftp://ftp.openldap.org/pub/OpenLDAP/openldap-release/
http://us1.samba.org/samba/
http://tor.eff.org/download.html
OUTILS
Une liste, non exhaustive, des produits et logiciels de sécurité du domaine public est proposée dans les
tableaux suivants.
LANGAGES
Nom
Perl
Python
$ Ruby
$ PHP
Fonction
Ver.
Scripting
Scripting
Scripting
WEB Dynamique
5.8.8
2.5
1.8.56
4.4.6
5.2.1
Date
Source
10/02/06
19/09/06
13/03/07
01/03/07
08/02/07
http://www.cpan.org/src/README.html
http://www.python.org/download/
http://www.ruby-lang.org/en/downloads/
http://www.php.net/downloads.php
ANALYSE RESEAU
Nom
Fonction
Ver.
Dsniff
EtterCap
Ethereal
Nstreams
SamSpade
TcpDump
Libpcap
TcpFlow
WinPCap
Boîte à outils
Analyse & Modification
Analyse multiprotocole
Générateur de règles
Boîte à outils
Analyse multiprotocole
Acquisition Trame
Collecte données
Acquisition Trame
2.3
0.7.3
0.99.5
1.0.3
1.14
3.9.5
0.9.5
0.21
4.0
Date
Source
17/12/00
29/05/05
01/02/07
06/08/02
10/12/99
19/09/06
19/09/06
07/08/03
30/01/07
http://www.monkey.org/~dugsong/dsniff
http://ettercap.sourceforge.net/index.php?s=history
http://www.wireshark.org/
http://www.ethereal.com/
http://www.hsc.fr/ressources/outils/nstreams/download/
http://www.samspade.org/ssw/
http://www.tcpdump.org/
http://www.tcpdump.org/
http://www.circlemud.org/~jelson/software/tcpflow/
http://www.winpcap.org/news.htm
Page 27/62
Mars 2007
ANALYSE DE JOURNAUX
Nom
Fonction
Ver.
Analog
fwLogWatch
OSSIM
SnortSnarf
WebAlizer
Journaux serveur http
Analyse log
Console de gestion
Analyse Snort
Journaux serveur http
6.00
1.1
0.9.9rc3
050314.1
2.01-10
Date
Source
19/12/04
17/04/06
22/09/06
05/03/05
24/04/02
http://www.analog.cx
http://cert.uni-stuttgart.de/projects/fwlogwatch/
http://www.ossim.net/
http://www.snort.org/dl/contrib/data_analysis/snortsnarf/
http://www.mrunix.net/webalizer/download.html
ANALYSE DE SECURITE
Fonction
Ver.
$ BackTrack
curl
FIRE
Nessus
Nom
Boîte à outils
Analyse http et https
Boîte à outils
Vulnérabilité réseau
Helix
Nikto
nmap
$ Saint
$ Sara
Wikto
$ Whisker
Boîte à outils
LibWhisker
2.0
7.16.1
0.4a
2.2.9
3.0.5
1.8
1.36
4.20
6.4.1
7.3.1
1.63.1
2.4
Date
Source
06/03/07
30/01/07
14/05/03
30/10/06
17/01/07
06/10/06
15/02/07
11/12/06
19/03/07
03/07
29/03/06
03/07
http://www.remote-exploit.org/backtrack_download.html
http://curl.haxx.se/
http://sourceforge.net/projects/biatchux/
http://www.nessus.org
http://www.nessus.org
http://www.e-fense.com/helix/
http://www.cirt.net/nikto/
http://www.insecure.org/nmap/nmap_changelog.html
http://www.saintcorporation.com/resources/updates.html
http://www-arc.com/sara/
http://www.sensepost.com/research/wikto/
http://www.wiretrip.net/rfp/lw.asp
CONFIDENTIALITE
Nom
$ GPG
GPG4Win
GPG S/MIME
LibGCrypt
Fonction
Ver.
Signature/Chiffrement
2.0.3
1.0.6
1.9.20
1.2.3
Date
Source
08/03/07
29/08/06
20/12/05
29/08/06
http://www.gnupg.org/(fr)/news.html
CONTROLE D’ACCES RESEAU
Nom
Fonction
Ver.
Date
Xinetd
Inetd amélioré
2.3.14
24/10/05 http://www.xinetd.org/
Source
Date
CONTROLE D’INTEGRITE
Nom
Fonction
Ver.
RootKit hunt
ChkRootKit
RKRevealer
Compromission UNIX
Compromission UNIX
Compromission WIN
1.2.7
0.47
1.71
Source
24/05/05 http://www.rootkit.nl
10/10/06 http://www.chkrootkit.org/
01/11/06 http://www.microsoft.com/technet/sysinternals/default.mspx
DETECTION D’INTRUSION
Nom
Fonction
Ver.
P0f
Snort
Shadow
Identification passive
IDS Réseau
IDS Réseau
2.0.8
2.6.1.3
1.8
Date
Source
06/09/06 http://lcamtuf.coredump.cx/p0f.shtml
17/02/07 http://www.snort.org/dl/
30/04/03 http://www.nswc.navy.mil/ISSEC/CID/
GENERATEURS DE TEST
Nom
Fonction
Ver.
NetDude &all
Scapy
Rejeu de paquets
Génération de paquet
0.4.7
1.0.5.20
Nom
Fonction
Ver.
DrawBridge
IpFilter
NetFilter
PareFeu FreeBsd
Filtre datagramme
Pare-Feu IpTables
4.0
4.1.19
1.3.7
Date
Source
16/11/06 http://netdude.sourceforge.net/download.html
12/12/06 http://www.secdev.org/projects/scapy/files/scapy.py
PARE-FEUX
Date
Source
23/04/04 http://drawbridge.tamu.edu
02/07 http://coombs.anu.edu.au/ipfilter/ip-filter.html
04/12/06 http://www.netfilter.org/projects/iptables/downloads.html
TUNNELS
Nom
CIPE
http-tunnel
OpenSSL
$ OpenSSH
OpenSwan
PuTTY
Stunnel
Zebedee
Fonction
Ver.
Pile Crypto IP (CIPE)
Encapsulation http
Pile SSL
Pile SSH 1 et 2
Pile IPSec
Terminal SSH2
Proxy https
Tunnel TCP/UDP
1.6
3.0.5
0.9.8e
4.6
2.4.7
0.59
4.20
2.4.1a
Date
Source
04/08/04
06/12/00
23/02/07
09/03/07
14/11/06
24/01/07
30/11/06
06/09/05
http://sites.inka.de/sites/bigred/devel/cipe.html
http://www.nocrew.org/software/httptunnel.html
http://www.openssl.org/
http://www.openssh.com/
http://www.openswan.org/code/
http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
http://www.stunnel.org
http://www.winton.org.uk/zebedee/
Page 28/62
Mars 2007
N
NO
OR
STTA
RM
AN
ME
ND
ES
DA
SE
AR
RD
ET
DS
TS
S
LES
LES
PUBLICATIONS DE L’IETF
RFC
Du 27/02/2007 au 28/03/2007, 22 RFC ont été publiés dont 9 RFC ayant trait à la sécurité.
RFC TRAITANT DE LA SÉCURITÉ
Thème
IDMEF
IETF
IPSEC
RIP
SSH
TCP
Num Date Etat Titre
4765
4766
4767
4841
4807
4809
4822
4819
4808
03/07
03/07
03/07
03/07
03/07
02/07
02/07
03/07
03/07
Exp
Inf
Exp
BCP
Pst
Inf
Pst
Pst
Inf
The Intrusion Detection Message Exchange Format (IDMEF)
Intrusion Detection Message Exchange Requirements
The Intrusion Detection Exchange Protocol (IDXP)
RFC 4181 Update to Recognize the IETF Trust
IPsec Security Policy Database Configuration MIB
Requirements for an IPsec Certificate Management Profile
RIPv2 Cryptographic Authentication
Secure Shell Public Key Subsystem
Key Change Strategies for TCP-MD5
RFC TRAITANT DE DOMAINES CONNEXES A LA SECURITE
Thème
Num Date Etat Titre
FTP
3659
03/07 Pst
Extensions to FTP
AUTRES RFC
Thème
DSR
GMPLS
IETF
MIB
OSPF
RTP
WebDAV
LES
Num Date Etat Titre
4728
4801
4802
4803
4790
4805
4811
4812
4813
4855
4856
4791
02/07
02/07
02/07
02/07
03/07
03/07
03/07
03/07
03/07
02/07
02/07
03/07
Exp
Pst
Pst
Pst
Pst
Pst
Inf
Inf
Exp
Pst
Pst
Pst
The Dynamic Source Routing Protocol (DSR) for Mobile Ad Hoc Networks for IPv4
Definitions of Textual Conventions for GMPLS Management
Generalized Multiprotocol Label Switching Traffic Engineering Management Information Base
Generalized Multiprotocol Label Switching (GMPLS) LSR Management Information Base
Internet Application Protocol Collation Registry
Definitions of Managed Objects for the DS1, J1, E1, DS2, and E2 Interface Types
OSPF Out-of-Band Link State Database (LSDB) Resynchronization
OSPF Restart Signaling
OSPF Link-Local Signaling
Media Type Registration of RTP Payload Formats
Media Type Registration of Payload Formats in the RTP Profile for Audio and Video Conferences
Calendaring Extensions to WebDAV (CalDAV)
DRAFTS
Du 27/02/2007au 28/03/2007, 127 drafts ont été publiés : 64 drafts mis à jour, 63
nouveaux drafts, dont 18 drafts ayant directement trait à la sécurité.
NOUVEAUX DRAFTS TRAITANT DE LA SECURITE
Thème
Nom du Draft
Date Titre
DNS
draft-ietf-dnsop-as112-under-attack-...-00
draft-ietf-dnsop-as112-ops-00
draft-matuszewski-p2psip-security-req...-00
draft-dekok-radext-dtls-00
draft-korhonen-dime-qos-parameters-00
draft-ertekin-rohc-ipsec-extensions-hco...-00
draft-lehtovirta-rtpsec-infra-00
draft-cridland-sasl-hexa-00
draft-ietf-sidr-arch-00
28/02
28/02
28/02
28/02
28/02
28/02
28/02
28/02
28/02
P2PSIP
RADIUS
ROHC
RTP
SASL
SIDR
I'm Being Attacked by PRISONER.IANA.ORG!
AS112 Nameserver Operations
Security requirements in P2PSIP
DTLS as a Transport Layer for RADIUS
Quality of Service Parameters for RADIUS and Diameter
IPsec Extensions to Support Header Compression over IPsec
Infrastructure aspects to media security
The Hash Exchange Authentication SASL Mechanism
An Infrastructure to Support Secure Internet Routing
MISE A JOUR DE DRAFTS TRAITANT DE LA SECURITE
Thème
Nom du Draft
Date Titre
AAA
draft-ietf-mboned-multiaaa-framework-03
draft-housley-aaa-key-mgmt-09
draft-ietf-smime-cms-aes-ccm-and-gcm-01
draft-ietf-dnsext-dnssec-experiments-04
draft-ietf-emu-eap-gpsk-04
draft-ietf-inch-iodef-11
draft-ietf-openpgp-rfc2440bis-19
draft-ietf-radext-rfc4590bis-01
draft-ietf-radext-rfc3576bis-01
17/03
28/02
22/03
21/03
12/03
22/03
12/03
22/03
22/03
CMS
DNS
EAP
INCH
OPENPGP
RADIUS
AAA Framework for Multicasting
Guidance for AAA Key Management
Using AES-CCM and AES-GCM Authenticated Encryption in CMS
DNSSEC Experiments
EAP Generalized Pre-Shared Key (EAP-GPSK)
The Incident Object Description Exchange Format
OpenPGP Message Format
RADIUS Extension for Digest Authentication
Dynamic Authorization Extensions to RADIUS)
Page 29/62
Mars 2007
SCTP
draft-ietf-tsvwg-sctp-auth-08
SOFTWIRE draft-ietf-softwire-security-requirements-02
28/02 Authenticated Chunks for Stream Control Transmission Protocol
12/03 Softwire Security Analysis and Requirements
DRAFTS TRAITANT DE DOMAINES CONNEXES A LA SECURITE
Thème
Nom du Draft
BFD
draft-salahuddin-bmwg-bfd-motivation-00
DIAMETER draft-ietf-dime-diameter-qos-00
draft-korhonen-dime-qos-attributes-00
draft-asveren-dime-state-recovery-00
ILSE
draft-nikander-ram-ilse-00
IP
draft-korhonen-mobopts-mobility-policy-00
LDP
draft-eriksson-ldp-convergence-term-04
MINGER
draft-hathcock-minger-00
RSVP
draft-ietf-tsvwg-rsvp-proxy-proto-00
draft-ietf-tsvwg-rsvp-proxy-approaches-00
SAVA
draft-baker-sava-simple-00
SIP
draft-ietf-sipping-spam-04
draft-tschofenig-sipping-spit-policy-00
SYSLOG
draft-ietf-syslog-sign-21
draft-ietf-syslog-transport-udp-09
TCP
draft-ietf-behave-tcp-05
VPN
draft-sdry-bmwg-mvpnscale-01
Date Titre
28/02
28/02
28/02
20/03
28/02
28/02
28/02
19/03
28/02
28/02
22/03
28/02
28/02
20/03
19/03
28/02
28/02
Motivation for Benchmarking BFD Protocol Implementations
Diameter Quality of Service Application
Quality of Service Attributes for Diameter
Diameter State Recovery Considerations
Identifier / Locator Separation: Exploration of the Design Space
IP Mobility and Policy Control
Terminology for Benchmarking LDP Data Plane Convergence
The Minger Email Address Verification Protocol
RSVP Extensions for Path-Triggered RSVP Receiver Proxy
RSVP Proxy Approaches
Simple Source Address Validation
The Session Initiation Protocol (SIP) and Spam
Document Format for Expressing Anti-SPIT Authorization Policies
Signed syslog Messages
Transmission of syslog messages over UDP
NAT Behavioral Requirements for TCP
Multicast VPN Scalability Benchmarking
AUTRES DRAFTS
Thème
Nom du Draft
6LOWPAN
AFEC
ANCP
ARK
ATOM
draft-ietf-6lowpan-format-12
draft-chen-afec-01
draft-decnodder-ancp-mib-an-01
draft-kunze-ark-13
draft-snell-atompub-feature-02
draft-snell-atompub-bidi-03
AUTOCON draft-ikpark-autoconf-haa-03
BGP4
draft-ietf-idr-aspath-orf-09
draft-ietf-idr-avoid-transition-05
DHCP
draft-ietf-dhc-dhcpv6-ero-01
draft-ietf-ecrit-dhc-lost-discovery-01
DHOA
draft-mutaf-dhoa-00
DNS
draft-ietf-dnsop-respsize-07
draft-koch-dnsop-resolver-priming-00
EAI
draft-hurtta-eai-encapsulation-01
draft-hurtta-eai-messagestore-00
ENUM
draft-ietf-enum-experiences-07
draft-ietf-enum-vcard-06
draft-ietf-enum-unused-01
FEC
draft-ietf-rmt-fec-bb-revised-06
http
draft-pettersen-cache-context-00
ICE
draft-niemi-simple-msrp-ice-00
IETF
draft-martinbeckman-ietf-ipv6-fls-ipv6...-03
IMAP4
draft-ietf-lemonade-reconnect-client-03
IPPM
draft-ietf-ippm-spatial-composition-03
draft-venna-ippm-app-loss-metrics-01
IPV6
draft-ietf-mipshop-4140bis-00
draft-arifumi-ipv6-rfc3484-revise-00
draft-ietf-v6ops-rfc3330-for-ipv6-00
iSNS
draft-ietf-ips-isns-mib-11
L2VPN
draft-kompella-l2vpn-l2vpn-02
L3VPN
draft-morin-l3vpn-mvpn-considerations-00
LDP
draft-jounay-niger-pwe3-...-p2mp-pw-00
draft-brockners-ldp-half-duplex-mp2mp-00
LSRP
draft-badis-manet-qolsr-05
MANET
draft-badis-manet-ceqmm-02
draft-boot-manet-nemo-analysis-00
MBONED
draft-ietf-mboned-mcast-arpa-00
draft-venaas-mboned-ssmping-00
draft-asaeda-mboned-mtrace6-00
MIB
draft-mcwalter-langtag-mib-03
draft-daniel-lowpan-mib-00
MPLS
draft-ali-mpls-rsvp-te-no-php-oob-map…-00
draft-ietf-tsvwg-ecn-mpls-00
NBLM
draft-levkowetz-netmob-protocol-00
NEMO
draft-lee-netlmm-nemo-ps-00
NET
draft-iab-net-transparent-05
NETCONF draft-trevino-netconf-notification-transport-01
NINA
draft-thubert-nina-00
Date Titre
21/03
22/03
15/03
28/02
22/03
22/03
12/03
28/02
22/03
20/03
22/03
20/03
28/02
28/02
22/03
22/03
22/03
22/03
28/02
22/03
28/02
28/02
22/03
28/02
20/03
19/03
22/03
28/02
22/03
20/03
17/03
28/02
28/02
28/02
12/03
12/03
28/02
28/02
28/02
28/02
22/03
28/02
22/03
12/03
28/02
28/02
22/03
28/02
28/02
Transmission of IPv6 Packets over IEEE 802.15.4 Networks
An Adaptive FEC to Protect RoHC and UDP-Lite Vital Video Data
Access Node Control Protocol MIB module for Access Nodes
The ARK Persistent Identifier Scheme
Atom Publishing Protocol Features Extension
Atom Bidirectional Attribute
Address Autoconfiguration for Hybrid Mobile Ad Hoc Networks
Aspath Based Outbound Route Filter for BGP-4
Avoid BGP Best Path Transitions from One External to Another
DHCPv6 Relay Agent Echo Request Option
A DHCP based LoST Discovery Procedure
Disposable home addresses
DNS Referral Response Size Issues
Initializing a DNS Resolver with Priming Queries
Encapsulation mechanism for Internationalized Email
Message Store requirements for Internationalized Email
ENUM Implementation Issues and Experiences
IANA Registration for vCard Enumservice
IANA Registration for Enumservice UNUSED
Forward Error Correction (FEC) Building Block
A context mechanism for controlling caching of HTTP responses
Message Session Relay Protocol Adaptation for ICE
IPv6 Dynamic Flow Label Switching (FLS)
IMAP4 Extensions for Quick Mailbox Resynchronization
Spatial Composition of Metrics
Application Loss Pattern Metrics
Hierarchical Mobile IPv6 Mobility Management (HMIPv6)
Things To Be Considered for RFC 3484 Revision
Special-Use IPv6 Addresses
Definitions of Managed Objects for iSNS
Layer 2 VPN Using BGP for Auto-discovery and Signaling
Considerations about Multicast BGP/MPLS Standardization
LDP Extensions for Source-initiated Point-to-Multipoint Pseudowire
LDP Extensions for Half-Duplex Multipoint-to-Multipoint LSP
QoS for Ad hoc Optimized Link State Routing Protocol
A Complete and Efficient Quality of service Model for MANETs
Analysis of MANET and NEMO
Moving MCAST.NET into the ARPA infrastructure top level domain
ssmping Protocol
Mtrace6: Traceroute Facility for IPv6 Multicast
A MIB Textual Convention for Language Tags
6lowpan Management Information Base
Non PHP Behavior and out-of-band mapping for RSVP-TE LSPs
Explicit Congestion Marking in MPLS
Network-Based Localised Mobility Management Protocol (NBLM)
The Problem Statements for NEMO in NetLMM domains
Reflections on Internet Transparency
NETCONF Notification Transport Mappings
Network In Node Advertisement
Page 30/62
Mars 2007
NIPST
OSPF
P2PSIP
PASH
PCE
PIM
PWE3
ROHC
RTCP
RTP
SAVA
SCTP
SIDR
SIEVE
SIMPLE
SIP
SOFTWIR
SPEER
TCPM
TSV
UDP
UNICODE
URI
WEBDAV
XCON
draft-aartsetuijn-nipst-00
draft-ietf-ccamp-gmpls-ason-routing-ospf-03
draft-ietf-ospf-iana-03
draft-hautakorpi-p2psip-peer-protocol-00
draft-zangrilli-p2psip-whysip-00
draft-nikander-ram-pash-00
draft-sivabalan-pce-dste-00
draft-yao-pim-cooperation-register-00
draft-yao-pim-anycast-rp-autoconfig…-00
draft-jounay-pwe3-p2mp-pw-requirements-00
draft-jounay-pwe3-leaf-initiated-p2mp-pw-00
draft-jin-pwe3-pw-inter-as-ext-00
draft-ietf-pwe3-enet-mib-10
draft-bormann-rohc-avt-rtcp-profile-00
draft-bormann-rohc-avt-crtp-profile-00
draft-ietf-avt-rtcpssm-13
draft-ietf-avt-rtcp-xr-mib-06
draft-venna-avt-rtcpxr-iptv-01
draft-wing-behave-symmetric-rtprtcp-02
draft-wu-sava-testbed-experience-00
draft-micchie-tsvwg-fastmsctp-00
draft-ietf-tsvwg-addip-sctp-19
draft-ietf-tsvwg-2960bis-03
draft-ietf-sidr-roa-format-00
draft-freed-sieve-date-index-05
draft-freed-sieve-ihave-00
draft-freed-sieve-notary-00
draft-freed-sieve-environment-00
draft-ietf-sieve-mime-loop-02
draft-singh-simple-vehicle-info-00
draft-elwell-sipping-update-pai-01
draft-holmberg-sipping-199-00
draft-ietf-softwire-problem-statement-03
draft-ietf-speermint-consolidated-…cases-00
draft-ietf-tcpm-tcp-soft-errors-04
draft-briscoe-tsvarea-fair-01
draft-eggert-tsvwg-udp-guidelines-01
draft-crispin-collation-unicasemap-01
draft-mcwalter-uri-mib-04
draft-ietf-webdav-bind-18
draft-srinivasan-xcon-eventpkg-extensions-00
28/02
12/03
20/03
28/02
19/03
28/02
28/02
20/03
20/03
28/02
28/02
20/03
28/02
28/02
22/03
19/03
22/03
19/03
28/02
28/02
28/02
22/03
22/03
28/02
22/03
22/03
22/03
22/03
22/03
28/02
28/02
19/03
21/03
28/02
22/03
12/03
20/03
22/03
22/03
19/03
28/02
A method for network initiated partial session transfers
OSPFv2 Routing Protocols Extensions for ASON Routing
IANA Considerations for OSPF
The Peer Protocol for P2PSIP Networks
Why SIP should be used for encoding the P2PSIP Peer Protocol.
Proxying Approach to SHIM6 and HIP (PASH)
Diff-Serv Aware Class Type Object for PCE Com. Protocol
Cooperation register mechanism in Anycast RP
Anycast RP auto-configuration
Use Cases and signaling requirements for Point-to-Multipoint PW
LDP Extensions for Leaf-initiated Point-to-Multipoint Pseudowire
Inter-AS Pseudo Wire Extention
Ethernet Pseudo-Wire (PW) Management Information Base
A ROHC Profile for RTCP (ROHC-RTCP)
A ROHC Profile for CRTP (ROHC-CRTP)
RTCP for Single-Source Multicast Sessions with Unicast Feedback
RTCP XR VoIP Metrics Management Information Base
RTCP XR - Report Block for IPTV Metrics
Common Local Transmit and Receive Ports (Symmetric RTP)
SAVA Testbed and Experiences to Date
Fast Handover with SCTP on Single-home nodes
SSCTP Dynamic Address Reconfiguration
Stream Control Transmission Protocol
A Profile for Route Origin Authorizations (ROA)
Sieve Email Filtering: Date and Index Extensions
Sieve Email Filtering: Ihave Extension
Sieve Email Filtering: Notary Extension
Sieve Email Filtering: Environment Extension
MIME part Tests, Iteration, Replacement and Enclosure
Vehicle Info Event Package
The use of Asserted Identity in SIP UPDATE method
Response Code for Indication of Terminated Dialog
Softwire Problem Statement
Presence & IM Use Cases
TCP's Reaction to Soft Errors
Flow Rate Fairness: Dismantling a Religion
UDP Usage Guidelines for Application Designers
i;unicode-casemap - Simple Unicode Collation Algorithm
MIB Textual Conventions for Uniform Resource Identifiers (URIs)
Binding Extensions to Web Distributed Authoring and Versioning
Conference event package extensions for the XCON framework
Page 31/62
Mars 2007
NOS COMMENTAIRES
LES RFC
RFC4765 / 4766 / 4767
Intrusion Detection Message Exchange
Le groupe de travail IDWG (Intrusion Detection Working Group) œuvre dans le domaine de la détection d’intrusion
avec pour objectif de normaliser les formats de données et les protocoles d’échange permettant à différents
systèmes de partager des événements de sécurité.
The purpose of the Intrusion Detection Exchange Format Working Group (IDWG) is to define data formats and
exchange procedures for sharing information of interest to intrusion detection and response systems, and to the
management systems which may need to interact with them.
Les travaux engagés en 1998 sur la définition d’un protocole d’échange aboutissaient à la rédaction de trois
documents remarquables par leur qualité et la rigueur de la spécification, une caractéristique assez inhabituelle
s’agissant de documents publiés par l’IETF qui peut probablement s’expliquer par la présence de chercheurs
expérimentés – dont un français travaillant pour France Télécom R&D (anciennement CNET) dans le comité
d’édition (Rapports N°12 – Juillet 1999, N°16 – Novembre 1999 et N°68 – Mars 2004).
Un temps concurrencés par une initiative indépendante dite ‘SDEE’ (Security Device Event Exchange) parrainée par
les éditeurs de solutions de détection d’intrusion Cisco, ISS SourceFire et TruSecure, les travaux de normalisation
de l’IDWG ont enfin abouti à la publication de trois RFC dotés du statut expérimental.
- Le RFC4765 – ‘The Intrusion Detection Message Exchange Format (IDMEF)’:
Coédité par H.Debar (FT R&D), D.Curry (Guardian) et B.Feinstein (SecureWorks), ce document spécifie un
modèle de données autorisant une représentation optimale des informations exportées par les systèmes de
détection d’intrusion en justifiant chacun des choix effectués. Une implémentation XML de ce modèle de données
est proposée ainsi que de nombreux exemples pratiques.
La table des matières de cette spécification (157 pages) est reproduite ci-après :
1. Introduction
1.1. About the IDMEF Data Model
1.2. About the IDMEF XML Implementation
2. Notices and Conventions Used in This Document
3. Notational Conventions and Formatting Issues
3.1. IDMEF XML Documents
3.2. IDMEF Data Types
4. The IDMEF Data Model and DTD
4.1. Data Model Overview
4.2. The Message Classes
5. Extending the IDMEF
5.1. Extending the Data Model
5.2. Extending the IDMEF DTD
6. Special Considerations
6.1. XML Validity and Well-Formedness
6.2. Unrecognized XML Tags
6.3. Analyzer-Manager Time Synchronization
6.4. NTP Timestamp Wrap-Around
6.5. Digital Signatures
7. Examples
7.1. Denial-of-Service Attacks
7.2. Port Scanning Attacks
7.3. Local Attacks
7.4. System Policy Violation
7.5. Correlated Alerts
7.6. Analyzer Assessments
7.7. Heartbeat
7.8. XML Extension
8. The IDMEF Document Type Definition (Normative)
9. Security Considerations
10. IANA Considerations
11. References
Appendix A. Acknowledgements
Appendix B. The IDMEF Schema Definition (Non-normative)
- Les RFC4766 – ‘Intrusion Detection Message Exchange Requirements’ et RFC4667 ‘ - Intrusion
Detection Exchange Protocol (IDXP)’:
Ces deux documents complémentaires au RFC4765 sont coédités par M.Wood (ISS) et M. Erlinger (Harvey
Mudd College) pour le premier et B.Feinstein (SecureWorks) et G.Matthews (CSC/NASA Ames Research Center)
pour le second. Le RFC4766 présente les contraintes et exigences applicables à la définition d’un modèle
d’échange d’événements de sécurité en justifiant certaines prises de position. Le RFC4667 détaille le protocole
Page 32/62
Mars 2007
d’échange de données dit ‘IDXP’ conçu pour le transport des événements de sécurité organisés selon le modèle
IDMEF.
Les tables des matières de ces deux documents sont reproduites ci-après :
RFC4766 (25 pages)
RFC4747 (26 pages)
1. Introduction
1. Introduction
2. Overview
2. The Model
2.1. Rationale for IDMEF
2.1. Connection Provisioning
2.2. Intrusion Detection Terms
2.2. Data Transfer
2.3. Architectural Assumptions
2.3. Connection Teardown
2.4. Organization of This Document
2.4. Trust Model
2.5. Document Impact on IDMEF Designs
3. The IDXP Profile
3. General Requirements
3.1. IDXP Profile Overview
3.1. Use of Existing RFCs
3.2. IDXP Profile Identification and Initialization
3.2. IPv4 and IPv6
3.3. IDXP Profile Message Syntax
3.4. IDXP Profile Semantics
4. Message Format Requirements
4. IDXP Options
4.1. Internationalization and Localization
4.1. The channelPriority Option
4.2. Message Filtering and Aggregation
4.2. The streamType Option
5. IDMEF Communication Protocol
5. Fulfillment of IDWG Communications Protocol
5.1. Reliable Message Transmission
5.1. Reliable Message Transmission
5.2. Interaction with Firewalls
5.2. Interaction with Firewalls
5.3. Mutual Authentication
5.3. Mutual Authentication
5.4. Message Confidentiality
5.4. Message Confidentiality
5.5. Message Integrity
5.5. Message Integrity
5.6. Per-source Authentication
5.6. Per-Source Authentication
5.7. Denial of Service
5.7. Denial of Service
5.8. Message Duplication
5.8. Message Duplication
6. Message Content Requirements
6. Extending IDXP
6.1. Detected Data
7. IDXP Option Registration Template
6.2. Event Identity
8. Initial Registrations
6.3. Event Background Information
8.1. Registration: The IDXP Profile
6.4. Additional Data
8.2. Registration: The System TCP Port
6.5. Event Source and Target Identity
8.3. Registration: The channelPriority Option
6.6. Device Address Types
8.4. Registration: The streamType Option
6.7. Event Impact
9. The DTDs
6.8. Automatic Response
9.1. The IDXP DTD
6.9. Analyzer Location
9.2. The channelPriority Option DTD
6.10. Analyzer Identity
9.3. The streamType DTD
6.11. Degree of Confidence
10. Reply Codes
6.12. Alert Identification
6.13. Alert Creation Date and Time
11.1. Use of the TUNNEL Profile
6.14. Time Synchronization
11.2. Use of Underlying Security Profiles
6.15. Time Format
12. IANA Considerations
6.16. Time Granularity and Accuracy
13. References
6.17. Message Extensions
14. Acknowledgements
6.18. Message Semantics
6.19. Message Extensibility
8. References
9. Acknowledgements
ftp://ftp.isi.edu/in-notes/rfc4765.txt
http://www.icsalabs.com/icsa/main.php?pid=jgh475fg
- The Intrusion Detection Message Exchange Format (IDMEF)
- The Intrusion Detection Message Exchange Requirements
- The Intrusion Detection Exchange Protocol (IDXP)
- Initiative SDEE
Page 33/62
Mars 2007
A
ALLEER
ATTTTA
RT
AQ
TE
QU
ES
UE
SE
ES
S
ET
TA
ALERTES
GUIDE DE LECTURE
La lecture des avis publiés par les différents organismes de surveillance ou par les constructeurs n’est pas
toujours aisée. En effet, les informations publiées peuvent être non seulement redondantes mais aussi
transmises avec un retard conséquent par certains organismes. Dès lors, deux alternatives de mise en
forme de ces informations peuvent être envisagées :
o Publier une synthèse des avis transmis durant la période de veille, en classant ceux-ci en fonction de
l’origine de l’avis,
o Publier une synthèse des avis transmis en classant ceux-ci en fonction des cibles.
La seconde alternative, pour séduisante quelle soit, ne peut être raisonnablement mise en œuvre étant
donné l’actuelle diversité des systèmes impactés. En conséquence, nous nous proposons de maintenir une
synthèse des avis classée par organisme émetteur de l’avis.
Afin de faciliter la lecture de ceux-ci, nous proposons un guide de lecture sous la forme d’un synoptique
résumant les caractéristiques de chacune des sources d’information ainsi que les relations existant entre
ces sources. Seules les organismes, constructeurs ou éditeurs, disposant d’un service de notification officiel
et publiquement accessible sont représentés.
Avis Spécifiques
Constructeurs
Réseaux
Systèmes
Avis Généraux
Editeurs
Systèmes
Indépendants
Editeurs
Hackers
Editeurs
Organismes
Autres
US
Autres
Cisco
Apple
Linux
Microsoft
K-Otik
ISS
BugTraq
USCERT
Juniper
HP
FreeBSD
Netscape
3aPaPa
Symantec
@Stake
CIAC
Nortel
IBM
NetBSD
SGI
OpenBSD
SUN
SCO
Aus-CERT
Typologies des informations publiées
Publication de techniques et de programmes d’attaques
Détails des alertes, techniques et programmes
Synthèses générales, pointeurs sur les sites spécifiques
Notifications détaillées et correctifs techniques
L’analyse des avis peut être ainsi menée selon les trois stratégies suivantes :
o Recherche d’informations générales et de tendances :
Lecture des avis du CERT et du CIAC
o Maintenance des systèmes :
Lecture des avis constructeurs associés
o Compréhension et anticipation des menaces :
Lecture des avis des groupes indépendants
Aus-CERT
US-CERT
Cisco
Apple
Microsoft
BugTraq
K-Otik
ISS
NetBSD
Juniper
HP
Netscape
@Stake
3aРaPa
Symantec
OpenBSD
IBM
Xfree86
SGI
Linux
SUN
FreeBSD
CIAC
Page 34/62
Mars 2007
FORMAT DE LA PRESENTATION
Les alertes et informations sont présentées classées par sources puis par niveau de gravité sous la forme
de tableaux récapitulatifs constitués comme suit :
Présentation des Alertes
EDITEUR
TITRE
Description sommaire
Informations concernant la plate-forme impactée
Gravité
Date
Produit visé par la vulnérabilité
Description rapide de la source du problème
Correction
URL
pointant
sur
la
source
la
plus
pertinente
Référence
Référence(s) CVE si définie(s)
Présentation des Informations
SOURCE
TITRE
Description sommaire
URL pointant sur la source d’information
Référence(s) CVE si définie(s)
SYNTHESE MENSUELLE
Le tableau suivant propose un récapitulatif du nombre d’avis publiés pour la période courante, l’année en
cours et l’année précédente. Ces informations sont mises à jour à la fin de chaque période de veille.
L’attention du lecteur est attirée sur le fait que certains avis sont repris et rediffusés par les différents
organismes. Ces chiffres ne sont donc représentatifs qu’en terme de tendance et d’évolution.
Période du 27/02/2007 au 28/03/2007
Organisme
US-CERT TA
US-CERT ST
CIAC
Constructeurs
Cisco
HP
IBM
SGI
Sun
Editeurs
BEA
Oracle
Macromedia
Microsoft
Novell
Unix libres
Linux RedHat
Linux Fedora
Linux Debian
Linux Mandr.
Linux SuSE
FreeBSD
Autres
iDefense
eEye
NGS Soft.
Période
30
3
3
24
41
2
6
5
2
26
3
0
0
2
0
1
74
20
15
12
21
5
1
10
10
0
0
Cumul
2007 2006
89
251
12
39
6
9
71
203
125
324
19
34
15
49
11
38
4
22
76
181
61
162
28
32
1
4
9
24
16
78
7
24
253
994
53
151
67
207
34
311
70
225
26
74
3
26
42
111
38
80
0
21
4
10
Cumul 2007 - Constructeurs
Sun
61%
Cumul 2006 - Constructeurs
Cisco
15%
HP
12%
SGI
3%
Sun
56%
IBM
9%
Novell
11%
Oracle
2%
IBM
12%
Cumul 2006 - Editeurs
Novell
15%
BEA
20%
BEA
46%
Macromedia
15%
HP
15%
SGI
7%
Cumul 2007 - Editeurs
Microsoft
26%
Cisco
10%
Microsoft
48%
Oracle
2%
Macromedia
15%
Page 35/62
Mars 2007
ALERTES DETAILLEES
AVIS OFFICIELS
Les tables suivantes présentent une synthèse des principales alertes de sécurité émises par un organisme
fiable, par l’éditeur du produit ou par le constructeur de l’équipement. Ces informations peuvent être
considérées comme fiables et authentifiées. En conséquence, les correctifs proposés, s’il y en a, doivent
immédiatement être appliqués.
ADOBE
Déni de service dans 'JRun'
Une faille permet à un attaquant distant de provoquer un déni de service d'un serveur Web l'utilisant.
Forte
14/03 Adobe 'ColdFusion MX Enterprise' version 6.1, 7.0 et 'JRun' version 4.0 Updater 6
Non disponible
Correctif existant Module 'IIS'
http://www.adobe.com/support/security/bulletins/apsb07-07.html
Adobe
CVE-2007-1278
APPLE
Nombreuses vulnérabilités dans 'Mac OS X'
De nombreuses vulnérabilités peuvent provoquer des dénis de service et l'exécution de code arbitraire.
Forte
13/03 Apple 'Mac OS X' et 'Mac OS X Server' version 10.3.9, 10.4.8 et inférieures
Se référer à l’avis original
Correctif existant Se référer à l’avis original
http://lists.apple.com/archives/security-announce/2007/Mar/msg00002.html
Apple
CVE-2005-2959, CVE-2006-0225, CVE-2006-0300, CVE-2006-1516, CVE-2006-1517, CVE-2006-2753, CVE-2006-3081, CVE-20063469, CVE-2006-4031, CVE-2006-4226, CVE-2006-4829, CVE-2006-4924, CVE-2006-5051, CVE-2006-5052, CVE-2006-5330, CVE2006-5679, CVE-2006-5836, CVE-2006-6061, CVE-2006-6062, CVE-2006-6097, CVE-2006-6129, CVE-2006-6130, CVE-2006-6173,
CVE-2007-0229, CVE-2007-0236, CVE-2007-0267, CVE-2007-0299, CVE-2007-0318, CVE-2007-0463, CVE-2007-0467, CVE-20070588, CVE-2007-0719, CVE-2007-0720, CVE-2007-0721, CVE-2007-0722, CVE-2007-0723, CVE-2007-0724, CVE-2007-0726, CVE2007-0728, CVE-2007-0730, CVE-2007-0731, CVE-2007-0733, CVE-2007-1071
Exécution de code arbitraire dans 'iPhoto'
Une erreur de chaîne de formatage dans l'application 'iPhoto' permet de provoquer l'exécution de code arbitraire.
Forte
13/03 Apple 'Mac OS X' version 10.3.9, 10.4.3 et supérieur
Erreur de chaîne de formatage
Correctif existant Application 'iPhoto'
Apple
CVE-2007-0051
Multiples failles dans 'Quicktime' et 'iTunes'
De multiples débordements peuvent entraîner l'exécution de code arbitraire ou des dénis de service du lecteur.
Forte
05/03 Apple 'QuickTime' versions inférieures à 7.1.5
Apple
CVE-2007-0711, CVE-2007-0712, CVE-2007-0713, CVE-2007-0714, CVE-2007-0715, CVE-2007-0716, CVE-2007-0717, CVE-20070718
ASTERISK
Contournement de la sécurité de 'Asterisk'
Une erreur de conception permet à un utilisateur SIP de contourner certains mécanismes de sécurité.
Moyenne 19/03 Asterisk 'Asterisk' version 1.2.x, version 1.4.x
Erreur de conception
Correctif existant Fichier 'pbx/pbx_ael.c'
http://bugs.digium.com/view.php?id=9316
Digium Issue
CVE-2007-1595
Déni de service dans 'Asterisk'
Une faille non documentée dans 'Astersik' peut entraîner un déni de service de l'application.
Forte
22/03 Asterisk 'Asterisk' version 1.4.1 et inférieures
Non disponible
Correctif existant Protocole 'SIP'
http://www.asterisk.org/node/48338
Asterisk
http://bugs.digium.com/view.php?id=9313
Digium
Déni de service via le pilote 'SIP channel'
Une faille non documentée dans un pilote du serveur 'Asterisk' permet de provoque un déni de service de
l'application.
Forte
03/03 Asterisk 'Asterisk' versions inférieures à 1.4.1
Non disponible
Correctif existant Pilote 'SIP channel'
http://asterisk.org/taxonomy/term/32
Asterisk
Page 36/62
Mars 2007
CA
Accès non autorisé via 'eTrust Admin'
Une faille non documentée autorise un attaquant à obtenir un accès privilégié et non autorisé.
Moyenne 08/03 CA 'eTrust Admin' version 8.1.0, 8.1.1, 8.1.2
Non disponible
Correctif existant Exécutable 'cube.exe’
http://www3.ca.com/securityadvisor/newsinfo/collateral.aspx?cid=101038
CA
http://supportconnectw.ca.com/public/etrust/etrustadmin-dmo/infodocs/etrust_secnot_gina.asp
CA
CVE-2007-1345
Déni de service de 'eTrust Intrusion Detection'
Une faille autorise un attaquant distant à provoquer un déni de service du service d'administration.
Forte
27/02 CA 'eTrust Intrusion Detection' version 2.0 SP1,version 3.0, 3.0 SP1
Correctif existant Service 'Engine' ('SW3eng.exe') Erreur de codage
http://supportconnectw.ca.com/public/ca_common_docs/eid_secnotice.asp
CA
CVE-2007-1005
Exécution de code dans 'BrightStor ARCserve Backup'
Quatre failles peuvent entraîner des dénis de service et l'exécution de code arbitraire.
Forte
16/03 Se référer à l’avis original
Déréférencement de pointeur, Corruption mémoire, Débordement de buffer
Correctif existant 'portmapper'
http://www3.ca.com/securityadvisor/newsinfo/collateral.aspx?cid=101317
CA
CVE-2006-6076, CVE-2007-0816, CVE-2007-1447, CVE-2007-1448
CISCO
Prise de contrôle des équipements Catalyst avec 'NAM'
Une faille dans certains équipements Cisco autorise un attaquant distant à en prendre le contrôle.
Critique
28/02 Cisco '7600 series', 'Catalyst 6000 series', 'Catalyst 6500 series'
Correctif existant 'Network Analysis Module'
http://www.cisco.com/warp/public/707/cisco-sa-20070228-nam.shtml
Cisco
"Cross-Site Scripting" dans le système d'aide en ligne
Un manque de validation dans le système d'aide en line ('online help system') fourni avec plusieurs produits Cisco
autorise un attaquant distant à mener des attaques de type "Cross-Site Scripting" contre un utilisateur.
Forte
15/03 Cisco 'Cisco CallManager', 'Cisco NAM', 'Cisco Secure ASC', 'Cisco VPN Client'
Système d'aide en ligne
Validation insuffisante des données
Palliatif proposé
http://www.cisco.com/warp/public/707/cisco-sr-20070315-xss.shtml
Cisco
Déni de service des téléphones IP Cisco
Les téléphones IP Phone 7940 et 7960 sont vulnérables à un déni de service via le protocole 'SIP'.
Forte
21/03 Cisco 'Cisco Unified IP Phone 7940' et 'Cisco Unified IP Phone 7960'
Correctif existant Message 'INVITE'
http://lists.grok.org.uk/pipermail/full-disclosure/2007-March/053070.html
Full Disclosure
http://www.cisco.com/en/US/products/products_security_response09186a00808075ad.html
Cisco
Dénis de service des Catalyst via des paquets 'MPLS'
Une faille dans certaines configurations des équipements Cisco Catalyst provoque des dénis de service.
Forte
28/02 Cisco '7600 series', 'Catalyst 6000 series', 'Catalyst 6500 series'
Non disponible
Correctif existant Paquets 'MPLS'
http://www.cisco.com/warp/public/707/cisco-sa-20070228-mpls.shtml
Cisco
CITRIX
Exécution de code dans 'Citrix Presentation Server'
Une faille autorise un attaquant distant à exécuter du code arbitraire sur un poste vulnérable.
Forte
01/03 Citrix 'Citrix Presentation Server Client for Windows' versions inférieures à 10.0
Correctif existant Connexions via 'proxy'
http://support.citrix.com/article/CTX112589
Citrix
DROPBEAR
Fausse impression de sécurité dans le client 'Dropbear'
Une faille dans le client SSH 'Dropbear' entraîne une fausse impression de sécurité pour l'utilisateur du produit.
Moyenne 23/02 Dropbear 'Dropbear' versions inférieures à 0.49
Non disponible
Correctif existant Application 'dbclient'
http://matt.ucc.asn.au/dropbear/CHANGES
Dropbear
CVE-2007-1099
Page 37/62
Mars 2007
EDGEWALL
"Cross-Site Scripting" dans 'Trac'
Une faille dans le système de suivi d'incidents 'Trac' autorise un attaquant à mener des attaques de type "XSS".
Forte
12/03 Edgewall 'Trac' versions inférieures à 0.10.3.1
Non disponible
Correctif existant 'download wiki page as text'
http://trac.edgewall.org/wiki/ChangeLog#a0.10.3.1
Edgewall
HP
Accès non autorisé dans HP OpenView
Une faille peut permettre à un attaquant distant d'accéder à des services du produit.
Forte
26/03 HP 'OpenView Network Node Manager' version 6.20, 6.4x, 7.01, 7.50, 7.51
Non disponible
Correctif existant Non disponible
HP (SSRT061177) http://www5.itrc.hp.com/service/cki/docDisplay.do?docId=c00854999
IBM
Exposition d'informations dans WebSphere
De multiples failles peuvent permettre à un attaquant distant d'obtenir des informations sensibles.
Forte
19/03 IBM 'Websphere Application Server' version 5.0, 5.1, 6.0, 6.1
Multiples vulnérabilités
Correctif existant Traitement des URL 'JSP'
http://www-1.ibm.com/support/docview.wss?uid=swg21243541
IBM
"HTTP Response Spliting" dans Websphere
Une faille peut permettre à un attaquant distant de mener des attaques de type "HTTP Response Spliting".
Forte
22/03 IBM 'Websphere Application Server' version 6.0.2
Non disponible
Correctif existant Traitement des entêtes 'HTTP'
http://www-1.ibm.com/support/docview.wss?uid=swg1PK39732
IBM
IBM/LENOVO
Faille non documentée dans 'Intel PRO/1000 LAN'
Une faille non documentée, et aux conséquences inconnues, affecte l'interface réseau 'Intel PRO/1000 LAN'.
N/A
28/02 IBM/Lenovo 'Intel PRO/1000 LAN Adapter Software' versions inférieures à Build 135400
Non disponible
http://www-307.ibm.com/pc/support/site.wss/document.do?sitestyle=lenovo&lndocid=MIGR-62922
IBM
INKSCAPE
Exécution de code arbitraire dans 'Inkscape'
Deux failles peuvent permettre à un attaquant distant d'exécuter du code arbitraire.
Forte
22/03 Inkscape 'Inkscape' versions inférieures à 0.45.1
Correctif existant Protocole 'Jabber', 'URI'
http://wiki.inkscape.org/wiki/index.php/ReleaseNotes045#Inkscape_0.45.1_changes_with_respect_to_0.45
Inkscape
LINUX
Déni de service des noyaux Linux 64-bits
Une erreur de codage dans le noyau Linux provoque un déni de service d'une plate-forme 64-bits vulnérable.
Forte
27/03 Linux 'Noyau 2.6' versions inférieures à 2.6.20.4
Erreur de codage
Correctif existant Fonction 'hrtimer_forward()'
http://kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.20.4
Kernel.org
Déni de service du noyau Linux 2.6
Un déréférencement de pointeur NULL dans le module 'Netfilter' peut entraîner un déni de service du système.
Forte
14/03 Linux 'Noyau 2.6'
Déréférencement de pointeur NULL
Correctif existant Module 'Netfilter'
http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.20.3
Kernel.org
Exécution de code arbitraire dans le noyau Linux
Deux débordements de buffer autorisent à exécuter du code arbitraire avec des droits privilégiés.
Forte
06/03 Linux 'Noyau 2.6' versions inférieures à 2.6.21-rc3
Correctif existant Pilote 'Omnikey CardMan 4040' Débordement de buffer
http://kernel.org/pub/linux/kernel/v2.6/testing/ChangeLog-2.6.21-rc3
Kernel.org
Exposition d'informations dans le noyau Linux 2.6
Une faille peut permettre à un utilisateur local malveillant d'obtenir des informations du noyau.
Forte
15/03 Linux 'Noyau 2.6' version 2.6.20 et inférieures
Non disponible
Correctif existant Interpréteur 'PT_INTERP'
http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.20
Kernel
CVE-2007-0958
Page 38/62
Mars 2007
Déni de service du noyau Linux
Une erreur de codage dans le noyau Linux peut entraîner un déni de service d'une plate-forme vulnérable.
Faible
23/03 Linux 'Noyau 2.6'
Correctif existant Pile 'IPv6', liste 'ipv6_fl_socklist' Erreur de codage
http://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=233478
Red Hat Bugzilla
CVE-2007-1592
LOOKUP
Erreur de conception dans 'Lookup'
Une erreur de conception peut permettre à un attaquant de supprimer des fichiers arbitraires.
Moyenne 19/03 Lookup 'Lookup'
Option 'ndeb-binary'
Création non sécurisée de fichiers temporaires
Aucun correctif
http://www.debian.org/security/2007/dsa-1269
Debian
CVE-2007-0237
MICROSOFT
Vulnérabilité dans l'implémentation de 'WPAD'
Une erreur de conception autorise un attaquant à détourner le trafic afin d'obtenir des informations.
Forte
28/03 Microsoft 'Windows 2000' version SP4, 'Windows Server 2003' version SP1 et inférieures
Protocole 'WPAD'
Palliatif proposé
http://www.incidents.org/diary.html?storyid=2517
SANS
http://support.microsoft.com/kb/934864
Microsoft
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-1692
NVD
CVE-2007-1692
MOZILLA
Exécution de code dans les produits Mozilla
Deux failles dans les produits de la fondation Mozilla peuvent entraîner l'exécution de code arbitraire.
2.0.0.2, 'SeaMonkey' versions inférieures à 1.0.8, 1.1.1,
Forte
05/03 'Firefox' versions inférieures à 1.5.0.10,
Correctif existant
Mozilla
Mozilla
'Thunderbird' versions inférieures à 1.5.0.10
Débordement d'entier et Erreur de codage
http://www.mozilla.org/security/announce/2007/mfsa2007-09.html
CVE-2007-0994
Exposition d'informations via 'Firefox'
Une erreur de conception peut permettre à un attaquant distant d'obtenir des informations sensibles.
Forte
21/03 Mozilla 'Firefox' version 2.0.0.3, 1.5.0.11 et Mozilla 'Seamonkey'
Correctif existant Protocole 'FTP'
Mozilla
NETBSD
Exécution de code arbitraire dans 'NetBSD'
Un débordement d'entier autorise un utilisateur à provoquer un DoS ou à exécuter du code avec des droits
privilégiés.
Forte
08/03 NetBSD 'NetBSD' versions 2.0 à 3.0.1
Débordement d'entier
Correctif existant Fonction 'ktruser()'
http://archives.neohapsis.com/archives/netbsd/2007-q1/0121.html
NetBSD
CVE-2007-1273
NOVELL
Contournement de la sécurité via 'Access Manager'
Une vulnérabilité permet à un utilisateur de contourner les politiques de sécurité et obtenir un accès non autorisé.
Forte
01/03 Novell 'Access Manager' version 3.0 IR1
Correctif existant Contrôle ActiveX 'actX.ocx'
http://download.novell.com/Download?buildid=Siiw_-VRqLE~
Novell
OPENAFS
Elévation de privilèges dans 'OpenAFS'
Une erreur de conception peut permettre à un utilisateur local ou distant d'élever ses privilèges.
Forte
21/03 OPENAFS 'OpenAFS' versions 1.0 à 1.4.3 et 1.5.0 à 1.5.16
Correctif existant Gestionnaire du cache
http://www.openafs.org/pages/security/OPENAFS-SA-2007-001.txt
OpenAFS
CVE-2007-1507
Page 39/62
Mars 2007
OPENBSD
Déni de service dans 'OpenBSD'
Une faille peut permettre à un utilisateur local malveillant de provoquer un déni de service du système.
Forte
08/03 OpenBSD 'OpenBSD' version 3.9, version 4.0
Débordement de buffer
http://www.openbsd.org/errata39.html#m_dup1 http://www.openbsd.org/errata40.html#m_dup1
OpenBSD
RUBY
Multiples failles dans 'RubyGems'
Un manque de validation permet de supprimer des fichiers, de provoquer un déni de service et d'exécuter du code.
Forte
19/03 Ruby 'RubyGems' versions inférieures à 0.9.1
Correctif existant Fichier 'installer.rb'
http://lists.suse.com/archive/suse-security-announce/2007-Mar/0005.html
SuSE
CVE-2007-0469
SQUID
Déni de service dans 'Squid'
Une faille non documentée dans 'Squid' peut entraîner un déni de service de l'application.
Forte
22/03 Squid 'Squid' version 2.6.STABLE11 et inférieures
Non disponible
Correctif existant Requête 'TRACE'
http://www.squid-cache.org/Advisories/SQUID-2007_1.txt
SQUID
SUN
Accès non autorisé dans 'Sun Java System Web Server'
Une faille peut permettre à un attaquant local ou distant d'accéder à des données sensibles.
Forte
16/03 Sun 'Sun Java System Web Server' version 6.0, 6.1
Non disponible
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102833-1
Sun
Déni de service de 'ns-slapd'
Une erreur de codage autorise un attaquant distant à provoquer un déni de service de ce serveur.
Forte
Démon LDAP 'ns-slapd'
Erreur de codage
Aucun correctif
Sun
Elévation de privilèges dans les produits Sun Fire
Une faille autorise un utilisateur à obtenir des droits privilégiés sur un produit vulnérable.
Moyenne 07/03 Sun 'Sun Fire X2100M2', 'Sun Fire X2200M2'
Non disponible
Correctif existant Outil 'ipmitool'
Sun
Accès non autorisé à 'Sun Java System Web Server'
Un utilisateur peut se connecter à un serveur ' System Web Server' sécurisé avec un certificat client révoqué.
Moyenne 14/03 Sun 'Sun Java System Web Server' version 6.1
Non disponible
Sun
Accès non autorisé via l'API 'JMX RMI-IIOP'
Une faille dans l'API 'JMX RMI-IIOP' autorise un utilisateur local à obtenir des accès non autorisés à des données.
Moyenne 09/03 Sun 'JDK' version 5.0 update 4 et inférieures, 'JDK' version 1.4 et inférieures
Non disponible
Correctif existant API 'JMX RMI-IIOP'
Sun
SYMANTEC
Exécution de code dans 'Mail Security for SMTP'
Le produit est vulnérable à une faille qui peut entraîner un déni de service ou l'exécution de code arbitraire.
Forte
01/03 Symantec 'Mail Security for SMTP' versions 4.0 à 5.0
Non disponible
Correctif existant Gestion des en-têtes
http://www.kb.cert.org/vuls/id/875633
US-CERT
TRUECRYPT
Déni de service via 'TrueCrypt'
Le démontage d'un volume par un utilisateur peut provoquer un déni de service du système de fichiers.
Moyenne 19/03 TrueCrypt 'TrueCrypt' versions inférieures à 4.3
Correctif existant Mode d'exécution 'set-euid'
http://www.truecrypt.org/docs/?s=version-history
TrueCrypt
Page 40/62
Mars 2007
ZOPE
"Cross-Site Scripting" dans Zope
Une faille peut permettre à un attaquant distant de mener des attaques de type "Cross-Site Scripting".
Forte
22/03 Zope 'Zope' version 2.10.2 et inférieures
Correctif existant Requêtes 'HTTP' 'GET'
http://www.zope.org/Products/Zope/Hotfix-2007-03-20/announcement/view
Zope
ALERTES NON CONFIRMEES
Les alertes présentées dans les tables de synthèse suivantes ont été publiées dans diverses listes
d’information mais n’ont pas encore fait l’objet d’une annonce ou d’un correctif de la part de l’éditeur. Ces
alertes nécessitent la mise en place d’un processus de suivi et d’observation.
ADOBE
Déni de service via 'Reader'
Une faille non documentée dans Adobe 'Reader' permet à un attaquant distant de provoquer un déni de service.
Forte
07/03 Adobe 'Reader' version 8.0
Non disponible
Non disponible
Aucun correctif
http://www.securityfocus.com/bid/22856
SecurityFocus
Déni de service via un ActiveX 'Shockwave'
Une faille dans un contrôle ActiveX fourni avec 'Shockwave' entraîne un déni de service des applications l'utilisant.
Forte
07/03 Adobe 'Schockwave' version 10.1.4.20
Contrôle ActiveX 'SWDIR.DLL'
Non disponible
Aucun correctif
SecurityFocus
Erreur de conception dans plusieurs produits Adobe
Une erreur dans le traitement des URL embarquées dans les fichiers 'PDF' autorise l’obtention d’informations.
Forte
06/03 Adobe 'Acrobat' et 'Reader' version 8.x
URL de type 'file://'
Aucun correctif
http://secunia.com/advisories/24408/
Secunia
APACHE
Exécution de code arbitraire dans 'Tomcat'
Un débordement de buffer peut permettre à un attaquant distant d'exécuter du code sur un serveur vulnérable.
Forte
05/03 Apache 'Tomcat' version 4.1.34, 5.5.20, 'Tomcat JK Web Server Connector' version 1.2.19, 1.2.20
Correctif existant Bibliothèque 'mod_jk.so'
http://www.zerodayinitiative.com/advisories/ZDI-07-008.html
Zero Day
Traversée de répertoires dans 'Tomcat'
Une erreur de conception peut permettre à un attaquant de mener des attaques de type traversée de répertoire.
Forte
15/03 Apache 'Tomcat' versions inférieures à 5.5.22, 6.0.10
Correctif existant Traitement des URL
http://www.sec-consult.com/287.html
SEC Consult
CVE-2007-0450
ASTERISK
Déni de service dans 'Asterisk' via SIP
Le PBX logiciel 'Asterisk' est vulnérable à un déni de service via le protocole 'SIP'.
Forte
20/03 Asterisk 'Asterisk' version 1.2.14, 1.2.15, 1.2.16, 1.4.1
Correctif existant Message 'INVITE’
Full Disclosure
BLACKBERRY
Déni de service du navigateur de BlackBerry Pearl
Une faille dans le navigateur fourni avec le 'BlackBerry Pearl 8100' peut entraîner un déni de service.
Forte
13/03 BlackBerry 'BlackBerry Pearl 8100' version 4.2.0.51
Non disponible
Correctif existant Navigateur '4thPass'
Full Disclosure
CFTP
Débordement de buffer dans le client FTP 'cftp'
Un débordement de buffer, aux conséquences inconnues, affecte le client FTP 'cftp' (Comfortable FTP).
Forte
21/03 CFTP 'cftp'
Fonction 'readrc()'
Aucun correctif
Full Disclosure
Page 41/62
Mars 2007
COMODO
Contournement de la sécurité dans 'Comodo Firewall Pro'
Une faille peut permettre à un utilisateur local malveillant de contourner les mécanismes de protection du produit.
Forte
02/03 Comodo 'Comodo Firewall Pro' version 2.4.18.184,version 2.4.17.183,version 2.4.16.174, version 2.3.6.81
Clé de registre 'HKLMFirewall'
Aucun correctif
http://www.matousec.com/info/advisories/Comodo-Bypassing-settings-protection-using-magic-pipe.php
Matousec
CPANEL
Multiples vulnérabilités dans 'cPanel'
Un manque de validation dans 'cPanel' permet d'inclure des fichiers arbitraires.
Moyenne 11/03 cPanel 'cPanel' version 10.9, 10.9 build 125, 10.9 build 134
Non disponible
Aucun correctif
SecurityFocus
CYBECTEC
Exécution de code arbitraire dans 'OPC Server'
De multiples failles peuvent permettre à un attaquant distant d'exécuter du code arbitraire.
Forte
23/03 CYBECTEC 'OPC Server', Takebishi 'DeviceXPlorer OPC Server', NETXAutomation 'NETxEIB OPC Server'
Non disponible
Aucun correctif
Secunia
CVE-2007-1313, CVE-2007-1319
DATARESCUE
Contournement de l'authentification dans 'IDA Pro'
Une erreur de conception autorise un attaquant à contourner l'authentification et à exécuter ainsi du code.
Forte
23/03 DataRescue 'IDA Pro' version 5.0, version 5.1
Correctif existant Serveur distant de déboguage
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=492
iDefense
DIVX
Déni de service dans 'DivX Web Player'
Une faille dans un contrôle ActiveX peut entraîner un déni de service des applications l'utilisant.
Forte
02/03 DivX 'DivX Player' version 1.3.0, 'DivX Web Player'
ActiveX 'NPDIVX32.DLL'
Non disponible
Aucun correctif
SecurityFocus
D-LINK
Débordement de buffer dans 'D-Link TFTP Server'
Un débordement de buffer peut permettre de corrompre des données, de provoquer un DoS ou d'exécuter du code.
Moyenne 13/03 D-Link 'D-Link TFTP Server' version 1.0
Non disponible
Aucun correctif
Secunia
DPROXY
Exécution de code arbitraire dans 'dproxy'
Un débordement de buffer peut permettre à un attaquant distant d'exécuter du code arbitraire.
Forte
26/03 DPROXY 'dproxy' version 0.1, 0.2, 0.3, 0.4, 0.5
Fichier 'dproxy.c'
Aucun correctif
https://www.cynops.de/advisories/CVE-2007-1465.txt
cynops
CVE-2007-1465
EMC/LEGATO
Contournement de l'authentification dans 'Networker'
Une faille permet à un attaquant de contourner l'authentification de la console d'administration du produit.
Critique
02/03 EMC Legato 'NetWorker' version 7.3.2
Non disponible
Correctif existant Console d'administration
SecurityFocus
FRONTBASE
Exécution de code arbitraire dans 'FrontBase'
Un débordement de buffer peut permettre à un utilisateur malveillant d'exécuter du code arbitraire.
Forte
19/03 FrontBase 'FrontBase' version 4.2.7 et inférieures
Requêtes 'CREATE PROCEDURE' Débordement de buffer
Aucun correctif
Full Disclosure
SecurityFocus
Page 42/62
Mars 2007
F-SECURE
Déni de service dans 'Anti-Virus Client Security'
Une erreur de chaîne de formatage peut permettre à un attaquant de provoquer un déni de service de l'application.
Forte
20/03 F-Secure 'Anti-Virus Client Security' version 6.02
Correctif existant Champ 'Management Server'
http://marc.info/?l=bugtraq&m=117432492407793&w=2
Bugtraq
GNOME
Exécution de code arbitraire dans 'Evolution'
Une erreur de chaîne de formatage peut permettre à un attaquant distant d'exécuter du code arbitraire.
Forte
22/03 Gnome 'Evolution' version 2.8.2.1
Documents 'memo'
Aucun correctif
Secunia
CVE-2007-1002
GNUCASH
Corruption de fichiers arbitraires dans 'GnuCash'
Une création non sécurisée de fichiers temporaires permet à un utilisateur local de corrompre des fichiers.
Moyenne 19/01 GnuCash 'GnuCash' version 2.0.4 et inférieures
Création non sécurisée de fichiers temporaires
Correctif existant Fichers temporaires
SecurityFocus
CVE-2007-0007
GNUPG
Injection de données arbitraires via 'GnuPG'
Une erreur permet de contourner le mécanisme de signature d'un message dans le but d'injecter des données.
Forte
Correctif existant Mécanisme de signature
http://www.coresecurity.com/?action=item&id=1687
Core Security
CVE-2007-1263, CVE-2007-1264, CVE-2007-1265, CVE-2007-1266, CVE-2007-1267, CVE-2007-1268, CVE-2007-1269
GRANDSTREAM
Déni de service des téléphones IP BudgeTone
Les téléphones de voix sur IP GrandStream 'Budgetone 200' sont vulnérables à un déni de service via le protocole
'SIP'.
Forte
22/03 GrandStream 'BudgeTone 200'
Messages 'INVITE' et 'CANCEL'
Non disponible
Aucun correctif
http://www.securitytracker.com/alerts/2007/Mar/1017804.html
SecurityTracker
CVE-2007-1590
HORDE
"Cross-Site Scripting" dans Horde
De multiples failles peuvent permettre à un attaquant distant de mener des attaques de type "Cross-Site Scripting".
Forte
27/03 Horde 'Horde Groupware Webmail Edition' version 1.0
Scripts 'search.php' et 'rule.php' Non disponible
Aucun correctif
SecurityFocus
"Cross-Site Scripting" dans 'Horde Framework'
La nouvelle version corrige une faille qui peut être exploitée pour mener des attaques de type "Cross-Site
Scripting".
Forte
15/03 Horde 'Horde Framework' versions inférieures à 3.1.4
Non disponible
Correctif existant 'framework/NLS/NLS.php'
Full Disclosure
"Cross-Site Scripting" dans 'IMP Webmail Client'
De multiples failles peuvent permettre à un attaquant distant de mener des attaques de type "Cross-Site Scripting".
Forte
15/03 Horde 'IMP Webmail Client' versions inférieures à 4.1.4
Validation insuffisant des données
Correctif existant Champ 'Subject'
Full Disclosure
Suppression de fichiers arbitraires dans Horde
Une erreur de conception peut permettre à un attaquant local de supprimer des fichiers arbitraires.
Forte
Correctif existant Script 'cron' de nettoyage
iDefense
Page 43/62
Mars 2007
IBM
"Cross-Site Scripting" dans 'Rational ClearQuest Web'
Une erreur de conception peut permettre à un attaquant distant de mener des attaques de type "Cross-Site
Scripting".
Forte
16/03 IBM 'Rational ClearQuest Web' version 7.0.0.0
Attachements de journalisation
Non disponible
Aucun correctif
http://marc.theaimsgroup.com/?l=bugtraq&m=117397376705620&w=2
Bugtraq
IPSWTICH
Exécution de code arbitraire dans 'IMail Server 2006'
De multiples débordements de buffer peuvent permettre à un attaquant distant d'exécuter du code arbitraire.
Forte
08/03 Ipswtich 'IMail Server 2006'
Correctif existant Contrôles ActiveX
iDefense
KASPERSKY LABS
Déni de service de 'Kaspersky Antivirus'
Une erreur de codage peut entraîner un déni de service d'une plate-forme vulnérable.
Forte
02/03 Kaspersky Labs 'Kaspersky Antivirus' version 6.0.1.411, version 5.5-10
Erreur de codage
Correctif existant Format 'UPX'
iDefense
KDE
Déni de service de 'Konqueror'
Une erreur autorise un attaquant distant à provoquer un déni de service de l'application.
Forte
04/03 KDE 'KDE' version 3.5.5
Erreur de codage
Correctif existant Implémentation 'JavaScript',
http://bindshell.net/advisories/konq355
Bindshell
LIBWPD
Exécution de code arbitraire dans 'libwpd'
De multiples débordements de buffer dans la bibliothèque 'libwpd' peuvent entraîner l'exécution de code arbitraire.
Forte
19/03 libwpd 'libwpd' versions inférieures à 0.8.9
iDefense
CVE-2007-0002, CVE-2007-1466
LINKSYS
Exposition d'informations dans le routeur 'WAG200G'
Une faille dans le routeur Linksys 'WAG200G' peut permettre à un attaquant d'obtenir des informations sensibles.
Critique
21/03 Linksys 'WAG200G' version 1.01.01
Non disponible
Non disponible
Aucun correctif
SecurityFocus
LINUX
Exposition d'informations locales dans le noyau Linux
Une faille permet à un utilisateur local d'obtenir des informations arbitraires provenant du noyau.
Moyenne 27/03 Linux 'Noyau 2.6' versions 2.6.20 à 2.6.20.4
Support 'DCCP' activé
Aucun correctif
http://www.securityfocus.com/archive/1/463934
Bugtraq
Multiples failles du noyau 'Linux'
Deux failles peuvent permettre à utilisateur local d'obtenir des informations sensibles et de provoquer un DoS
Forte
12/03 Linux 'Noyau 2.6' version 2.6.17, versions 2.6.0 à 2.6.20.1
http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.20.2
Kernel.org
CVE-2007-1000, CVE-2007-1388
Exposition d'information via 'umount'
Un déréférencement de pointeur NULL peut permettre à un utilisateur local malveillant d'obtenir des informations.
Moyenne 08/03 Linux 'Noyau' version 2.6.15, 'Util-Linux' version 2.12 r et2.12 q
Commande 'umount'
Aucun correctif
SecurityFocus
CVE-2007-0822
Page 44/62
Mars 2007
MAILENABLE
Exécution de code arbitraire dans 'MailEnable'
Un débordement de buffer peut permettre à un attaquant distant d'exécuter du code arbitraire sur une machine.
Forte
05/03 MailEnable 'MailEnable Professional Edition' version 2.32, 2.33, 2.35, 2.37
Commande 'APPEND'
Aucun correctif
SecurityFocus
MCAFEE
Débordement de buffer dans 'ePolicy Orchestrator'
De multiples débordements de buffer affectent un contrôle ActiveX fourni avec le produit McAfee 'ePolicy
Orchestrator'.
Forte
14/03 McAfee 'ePolicy Orchestrator' version 3.6.1, 3.5.0, 3.6.0, 'ProtectionPilot' version 1.1.1 et 1.5
Correctif existant ActiveX 'SiteManager.Dll'
Full Disclosure
Exécution de code arbitraire dans 'Virex'
Des permissions trop laxistes peuvent permettre à un utilisateur local malveillant d'exécuter du code arbitraire.
Forte
28/02 McAfee 'Virex for Mac OS X' version 7.7 et inférieures
Fichier '/VShieldExecute.txt'
Erreur de configuration
Aucun correctif
http://www.netragard.com/pdfs/research/NETRAGARD-20070220.txt
Netragard
MICROSOFT
Déni de service via la bibliothèque 'OLE32.DLL'
Une faille non documentée peut entraîner un déni de service d'une plate-forme vulnérable.
Forte
06/03 Microsoft 'Windows 2000' version SP4 et 'Windows XP' version SP2
Bibliothèque 'ole32.dll'
Non disponible
Aucun correctif
SecurityFocus
Déni de service via la bibliothèque 'winmm.dll'
Une faille dans une bibliothèque Windows peut entraîner un déni de service de la plate-forme.
Forte
10/03 Microsoft 'Windows XP' version SP2
Bibliothèque 'winmm.dll'
Erreur de codage
Aucun correctif
http://archives.neohapsis.com/archives/vulnwatch/2007-q1/0063.html
VulnWatch
Elévation de privilèges dans Windows
Une faille peut permettre à un utilisateur local malveillant d'obtenir des privilèges élevés.
Forte
20/03 Microsoft 'Windows 2003 Server' version SP1, 'Windows XP' version SP2
Correctif existant Composant 'NDISTAPI.sys'
Bugtraq
Exécution de code arbitraire dans 'Windows Mail'
Une erreur de conception peut permettre à un attaquant distant d'exécuter du code arbitraire.
Forte
23/03 Microsoft 'Windows Mail' sur 'Windows Vista'
Non disponible
Aucun correctif
Full Disclosure
"Phishing" via 'Internet Explorer' version 7
De l'injection de script autorise un attaquant distant à mener des attaques de type "Phishing".
Forte
14/03 Microsoft 'Internet Explorer' version 7
Ressource locale 'navcancl.htm' Multiples problèmes
Aucun correctif
http://aviv.raffon.net/2007/03/14/PhishingUsingIE7LocalResourceVulnerability.aspx
Aviv Raff
"Phishing" via la résolution de noms de Windows
Une erreur de conception permet à un attaquant, situé sur le réseau local, de mener des attaques de type
"Phishing".
Forte
15/03 Microsoft 'Windows'
Gestion des résolutions de Erreur de conception
Aucun correctif
SecuriTeam
noms
http://www.securiteam.com/windowsntfocus/5IP0D1FKUY.html
Vulnérabilités de la mise à jour dynamique du 'DNS'
De multiples vulnérabilités peuvent permettre à un attaquant distant de modifier ou supprimer ces enregistrements.
Forte
23/03 Microsoft 'Windows'
Serveur 'DNS'
Multiples vulnérabilités
Aucun correctif
http://www.milw0rm.com/exploits/3544
Milw0rm
Page 45/62
Mars 2007
MODPYTHON
Exposition d'informations via 'mod_python'
Une erreur de codage dans le module Apache 'mod_python' provoque l'exposition d'informations.
Forte
07/03 ModPython 'mod_python' version 3.0.3, 3.0.4, 3.1.4, 3.1.3
Erreur de codage
Correctif existant Fonction 'filter.read()'
SecurityFocus
CVE-2004-2680
MODSECURITY
Contournement de la sécurité dans 'mod_security'
Une erreur de conception peut permettre à un attaquant distant de contourner la sécurité offerte par ce produit.
Forte
06/03 MODSECURITY 'mod_security' version 2.1.0 et inférieures
Traitement des requêtes 'HTTP'
Aucun correctif
http://www.php-security.org/MOPB/BONUS-12-2007.html
MOPB
MOZILLA
Déni de service et contournement de la sécurité
Plusieurs vulnérabilités permettent de provoquer des DoS et à contourner certains mécanismes de sécurité.
Forte
09/03 Mozilla 'Firefox' version 2.0.0.2
Images 'GIF'
Multiples failles
Aucun correctif
SecurityFocus
MPLAYER
Exécution de code arbitraire dans 'MPlayer'
Un débordement de buffer dans une fonction du lecteur multimédia 'MPlayer' permet d'exécuter du code arbitraire.
Forte
13/03 MPlayer 'MPlayer' version 1.0rc1
Fichier 'DS_VideoDecoder.c'
Aucun correctif
Secunia
CVE-2007-1387
Exécution de code dans 'MPlayer'
Un débordement de buffer autorise un attaquant distant à exécuter du code arbitraire.
Forte
02/03 MPlayer 'MPlayer' version 1.0-rc1
Correctif existant Fichiers 'DMO'
SecurityFocus
MYSQL
Déni de service de 'MySQL'
Une erreur de conception peut permettre à un attaquant de provoquer un déni de service de la base de données.
Forte
12/03 MySQL 'MySQL' versions inférieures à 5.0.37
Correctif existant Commande 'ORDER BY'
http://www.sec-consult.com/284.html
SEC Consult
NETBSD
Débordement de buffer du noyau 'NetBSD'
Un débordement de buffer autorise un utilisateur à provoquer un déni de service ou à exécuter du code arbitraire.
Moyenne 13/03 NetBSD 'NetBSD' version 3.0.2 et inférieures
Non disponible
Aucun correctif
SecurityFocus
NOVELL
Exécution de code arbitraire dans 'Netmail'
Un débordement de buffer peut autoriser un attaquant distant à exécuter du code arbitraire sur une machine.
Forte
08/03 Novell 'Netmail' version 3.5.2
Correctif existant Processus 'webadmin.exe'
Zero
Day http://www.zerodayinitiative.com/advisories/ZDI-07-009.html
Initiative
CVE-2007-1350
NULLSOFT/AOL
"Cross-Site Scripting" dans 'Shoutcast Server'
Une faille non documentée peut permettre à un attaquant distant de mener des attaques de type "XSS".
Forte
28/02 Nullsoft/AOL 'Shoutcast Server' version 1.9.7
Mécanisme de journalisation
Non disponible
Aucun correctif
Bugtraq
Page 46/62
Mars 2007
OPENOFFICE
Multiples failles dans 'OpenOffice'
Deux failles peuvent permettre à un attaquant distant d'exécuter du code et des commandes arbitraires.
Forte
21/03 OpenOffice 'OpenOffice' version 2.1 et inférieures
Traitement
des
'meta' Validation insuffisante des données, Débordement de buffer
Aucun correctif
SecurityFocus
caractères
http://www.securityfocus.com/bid/22812/
CVE-2007-0238, CVE-2007-0239
ORACLE
Exécution de code dans 'Oracle DataBase Server'
Des permissions trop laxistes peuvent permettre à un attaquant d'exécuter du code avec des privilèges élevés.
Forte
12/03 Oracle 'Oracle DataBase Server' version 10gR2
Non disponible
Permissions trop laxistes
Aucun correctif
SecurityFocus
"Cross-Site Scripting" dans 'Oracle Application Server'
Une faille peut permettre à un attaquant distant de mener des attaques de type "Cross-Site Scripting".
Forte
22/03 Oracle 'Oracle Application Server 10g' version 10.1.2.0.0
Service 'Dynamic Monitoring'
Non disponible
Aucun correctif
Bugtraq
"Cross-Site Scripting" dans 'Oracle Portal'
Une faille peut permettre à un attaquant distant de mener des attaques de types "Cross-Site Scripting".
Forte
19/03 Oracle 'Oracle Portal'
Script
Non disponible
Aucun correctif
Bugtraq
PHP
Débordement de buffer de la fonction 'snmpget()'
Un débordement de buffer permet l'exécution de code et le contournement de certaines restrictions de sécurité.
Forte
13/03 PHP 'PHP' version 4.4.6
Fonction 'snmpget()'
Aucun correctif
Secunia
Exécution de code arbitraire dans 'PHP'
Plusieurs vulnérabilités dans une extension et une fonction de 'PHP' peuvent entraîner l'exécution de code arbitraire.
Forte
06/03 PHP 'PHP' version 4.x
Extension 'Ovrimos'
Erreur de conception, corruption de la mémoire, Débordement de buffer
Aucun correctif
http://www.php-security.org/MOPB/MOPB-13-2007.html
MoPB
Plusieurs vulnérabilités dans 'PHP' permettent d'exécuter du code arbitraire.
Moyenne 16/03 PHP 'PHP' version 4.4.6 et inférieures, 'PHP' version 5.2.1 et inférieures
Extension 'Interbase'
Débordement de buffer, Erreur de codage
Aucun correctif
MoPB
Une faille dans l'extension 'GD' de 'PHP' peut permettre à un attaquant distant d'exécuter du code arbitraire.
Forte
20/03 PHP 'PHP' versions 4 à 4.4.6, 5 à 5.2.1
Extension 'GD'
Aucun correctif
MoPB
Une faille dans le mécanisme de condensation de 'PHP' peut permettre d'exécuter du code arbitraire.
Forte
21/03 PHP 'PHP' versions 5 à 5.2.1
Fonction 'hash_update_file()'
Aucun correctif
MoPB
Exécution de code et corruption d'informations
Un débordement de pile et une erreur de conception autorisent l'exécution de code et la corruption d'informations.
Forte
09/03 PHP 'PHP' version 5.2.0, 4.0.7 à 5.2.1
Extension 'PECL zip'
Débordement de pile, Erreur de conception
Aucun correctif
MoPB
Page 47/62
Mars 2007
Exécution de code et exposition d'informations dans PHP
De multiples failles permettent de mener des attaques "XSS", d'exécuter du code et d'obtenir des informations.
Forte
02/03 PHP 'PHP' version 4.x, version 5.x
Extension 'session'
Erreur de codage, Débordement de buffer, validation des données
Aucun correctif
MOPB-09-2007.html
MoPB
MOPB-10-2007.html
MoPB
Exécution de code et exposition d'informations dans PHP
Deux failles dans 'PHP' peuvent être exploitées afin d'exécuter du code arbitraire et obtenir des informations.
Forte
Fonction 'substr_compare()'
Débordement d'entier, Erreur de codage, corruption de la mémoire
Aucun correctif
MOPB-14-2007.html
MoPB
Exécution de code via la fonction 'zip_read_entry()'
Un débordement d'entier dans 'PHP' peut entraîner l'exécution de code arbitraire.
Forte
27/03 PHP 'PHP' versions inférieures à 4.4.5
Correctif existant Fonction 'zip_read_entry()'
MoPB
Exposition d'informations dans 'PHP'
Une erreur de conception peut entraîner une exposition d'informations sensibles.
Forte
Fonction 'unserialize()'
Aucun correctif
MoPB
Multiples failles dans 'PHP'
De multiples failles peuvent être exploitées afin d'exécuter du code et contourner certains mécanismes de filtrage.
Forte
Débordement de buffer, Erreur de conception
Aucun correctif
MOPB-18-2007.html
MoPB
MoPB
Deux erreurs de conception peuvent permettre à un attaquant de contourner certains mécanismes de restrictions.
Forte
14/03 PHP 'PHP' version 5.2.1 et inférieures
Aucun correctif
MOPB-21-2007.html
MoPB
Deux failles peuvent permettre à un attaquant de provoquer un déni de service ou d'exécuter du code.
Forte
15/03 PHP 'PHP' version 5.2.1 et inférieures
Double libération de mémoire
Aucun correctif
MOPB-23-2007.html
MoPB
Deux failles dans 'PHP' peuvent permettre à un attaquant distant d'exécuter du code arbitraire.
Forte
19/03 PHP 'PHP' version 4.4.6 et inférieures, version 5.2.1 et inférieures
Aucun correctif
MOPB-26-2007.html
MoPB
De multiples failles dans 'PHP' peuvent permettre à un attaquant distant d'exécuter du code arbitraire.
Forte
26/03 PHP 'PHP' versions 4 à 4.4.6, versions 5 à 5.2.1
Erreur de conception, Double libération de mémoire
Aucun correctif
MOPB-31-2007.html
MoPB
MoPB
Deux failles dans la fonction d'envoi de mail peuvent permettre à un attaquant distant de corrompre des données.
Forte
27/03 PHP 'PHP' versions 4 à 4.4.6, versions 5 à 5.2.1
Fonction 'mail()'
Aucun correctif
MOPB-34-2007.html
MoPB
Multiples vulnérabilités dans 'PHP'
De multiples failles dans 'PHP' permettent de provoquer des dénis de service et l'exécution de code arbitraire.
Forte
Aucun correctif
MOPB-03-2007.html
MoPB
MOPB-05-2007.html
MoPB
Page 48/62
Mars 2007
PUTTY
Exposition d'informations avec 'puttygen'
Une vulnérabilité dans l'outil de gestion des clefs 'puttygen' sur plate-forme Linux peut exposer des informations.
Moyenne 05/03 PuTTY 'puttygen' version 0.58, 0.59
Génération des clefs privées
Aucun correctif
Secunia
RADSCAN
Multiples failles dans 'Network Audio System'
De multiples failles peuvent permettre à un attaquant de provoquer des DoS et d'obtenir des privilèges élevés.
Forte
28/03 Radscan 'Network Audio System' version 1.8a
http://aluigi.altervista.org/adv/nasbugs-adv.txt
aluigi
CVE-2007-1543, CVE-2007-1544, CVE-2007-1545, CVE-2007-1546, CVE-2007-1547
REAL NETWORKS
Débordements de buffer dans un contrôle ActiveX
De multiples débordements de buffer peuvent entraîner des dénis de service et l’exécution du code arbitraire.
Forte
05/03 Real Networks 'RealPlayer' version 10.5
Contrôle ActiveX 'Ierpplug.DLL'
Aucun correctif
SecurityFocus
ROXIO
Exécution de code dans plusieurs lecteurs multimedia
Un débordement de buffer peut permettre à un attaquant distant d'exécuter du code arbitraire.
Forte
23/03 Roxio 'CinePlayer' version 3.2, Roxio 'InterActual Player' version 2.60.12.0717
ActiveX 'IASystemInfo.dll'
Aucun correctif
http://secunia.com/advisories/23075/ http://secunia.com/advisories/23032/
Secunia
CVE-2007-0348
SECURE COMPUTING
Déni de service dans 'SnapGear'
Une faille non documentée dans le produit 'SnapGear' peut entraîner un déni de service.
Forte
07/03 Secure Computing 'SnapGear' version 560, 585, 580, 640, 710, 720
Non disponible
Secunia
SNORT
Déni de service de 'Snort'
Une faille non documentée dans l'application 'Snort' sur plate-forme Linux provoque un déni de service.
Forte
08/03 Snort 'Snort' version 2.6.1.1, 2.6.1.2, 2.7.0 beta 1
Non disponible
Non disponible
Aucun correctif
SecurityFocus
SQL-LEDGER
Exécution de code arbitraire dans 'SQL-Ledger'
Une faille peut permettre à un attaquant distant d'exécuter des scripts arbitraires.
Forte
20/03 SQL-Ledger 'SQL-Ledger' version 2.6.27 et inférieures
Script d'authentification
Aucun correctif
Bugtraq
Exécutions de code arbitraire dans 'SQL-Ledger'
Deux failles dans 'SQL-Ledger' peuvent permettre à un attaquant distant d'exécuter du code arbitraire.
Forte
06/03 SQL-Ledger 'SQL-Ledger' version 2.6.21 et inférieures
Non disponible
Correctif existant Fonction de redirection
SecurityFocus
CVE-2007-0667
Traversée de répertoires dans 'SQL-Ledger'
Une erreur de conception peut permettre à un attaquant de mener des attaques de type traversé de répertoires.
Forte
02/03 SQL-Ledger 'SQL-Ledger' toute versions
Traversée de répertoires
Correctif existant Fonctionnalité de 'liste noire'
SecurityFocus
Page 49/62
Mars 2007
SYMANTEC
Déni de service de via le pilote 'SymTDI'
Un manque de validation des données provoque un déni de service d'une plate-forme vulnérable.
Forte
15/03 Symantec 'Norton Personal Firewall 2006' version 9.1.1.7, version 9.1.0.33
Pilote 'SymTDI'
Aucun correctif
http://www.matousec.com/info/advisories/Norton-Insufficient-validation-of-SymTDI-driver-input-buffer.php
Matousec.com
TCPDUMP
Débordement de buffer dans 'TCPDump'
Un débordement de buffer dans l'outil 'TCPDump' peut permettre à un attaquant distant d'exécuter du code
arbitraire.
Forte
02/03 Tcpdump 'TCPDump' version 3.9.5 et inférieures
Correctif existant Composant 'IEEE802.11'
Full Disclosure
TREND MICRO
Déni de service via 'Trend Micro Antivirus'
Une division par zéro permet de provoquer un déni de service d'une plate-forme vulnérable.
Forte
14/03 Trend Micro 'Trend Micro AntiVirus' version 14.10.1041
Division par zéro
Correctif existant Pilote noyau 'VsapiNT.sys'
iDefense
UNIX
Débordement d'entier dans la commande 'file'
Un débordement d'entier permet de provoquer un déni de service et d'exécuter du code arbitraire.
Forte
20/03 Unix 'file' versions inférieures à 4.20
Correctif existant Fonction 'file_printf()'
SecurityFocus
WEBCALENDAR
Erreur de conception dans 'WebCalendar'
Une erreur de conception peut permettre à un attaquant distant d'inclure des fichiers 'PHP' arbitraires.
Forte
16/03 WebCalendar 'WebCalendar' version 1.0.4
Correctif existant Fichier 'includes/functions.php'
http://secunia.com/advisories/24403
Secunia
CVE-2007-1343
WEBMIN
"Cross-Site Scripting" dans 'Webmin'
Plusieurs manques de validation autorisent un attaquant distant à mener des attaques de type "Cross-Site
Scripting".
Forte
28/02 Webmin 'Webmin' version 1.320 et inférieures
Correctif existant Script 'chooser.cgi'
SecurityFocus
WORDPRESS
"Cross-Site Scripting" dans 'WordPress'
De multiples manques de validation autorisent un attaquant à mener des attaques de type "Cross-Site Scripting".
Forte
27/02 WordPress 'WordPress' version 2.1.1 et inférieures
Scripts divers
Aucun correctif
http://lists.grok.org.uk/pipermail/full-disclosure/2007-February/052708.html
Full Disclosure
Un manque de validationautorise un attaquant distant à mener des attaques de type "Cross-Site Scripting".
Forte
07/03 WordPress 'WordPress' version 2.1.2
Script 'wp-admin/admin.php'
Aucun correctif
Secunia
Une manque de validation autorise un attaquant à mener des attaques de type "Cross-Site Scripting".
Forte
09/03 WordPress 'WordPress' version 2.0.10-alpha et inférieures, version 2.1.3-alpha et inférieures
Correctif existant Fonction 'wp_title()'
Bugtraq
Page 50/62
Mars 2007
Un manque de validation dans 'WordPress' peut permettre de mener des attaques de type "Cross-Site Scripting".
Forte
20/03 WordPress 'WordPress' versions inférieures à 2.0.10 RC2, versions inférieures à 2.1.3 RC2
Correctif existant Variable 'PHP_SELF'
http://www.buayacorp.com/files/wordpress/wordpress-advisory.txt
Buayacorp
XENSOURCE
Exposition d'informations dans 'Xen'
Une faille peut permettre à un attaquant distant d'accéder à des informations sensibles.
Forte
15/03 XenSource 'Xen'
Module 'QEMU', serveur 'VNC'
Non disponible
Aucun correctif
SecurityFocus
CVE-2007-0998
ZYXEL
Déni de service des routeurs 'ZyXEL'
Une faille dans la gestion du trafic 'SMB' peut entraîner un déni de service de routeurs vulnérables.
Forte
21/03 ZyXEL 'ZyNOS' version 3.40
Gestion du trafic 'SMB'
Non disponible
Aucun correctif
SecurityFocus
ZZIPLIB
Débordement de buffer dans la bibliothèque 'ZZipLib'
Un débordement de buffer peut entraîner l'exécution de code arbitraire avec les privilèges de l'application l'utilisant.
Forte
20/03 ZZIPLIB 'ZZipLib' versions inférieures à 0.13.49
Correctif existant 'Zip_Open_Shared_IO()'
SecurityFocus
AUTRES INFORMATIONS
REPRISES D’AVIS
ET
CORRECTIFS
Les vulnérabilités suivantes, déjà publiées, ont été mises à jour, reprises par un autre organisme ou ont
donné lieu à la fourniture d’un correctif:
ADOBE
Correctifs pour 'ColdFusion MX'
Adobe a annoncé, dans le bulletin APSB07-06, la disponibilité de correctifs pour 'ColdFusion MX' version 7. Ils
corrigent trois failles qui autorisent un attaquant distant à obtenir des informations et à contourner certains
mécanismes de sécurité.
http://www.adobe.com/support/security/bulletins/apsb07-06.html
CVE-2006-6483
APPLE
Nouveaux correctifs pour 'AirPort Extreme'
Apple a annoncé, dans le document APPLE-SA-2007-03-08, la disponibilité de nouveaux correctifs, sur plate-formes
'Mac OS X' et 'Mac OS X Server' version 10.4.8, pour 'AirPort Extreme'. Ils corrigent une faille durant le traitement
de trames qui peut entraîner un déni de service. Ces nouveaux correctifs corrigent un problème avec certains points
d'accès configurés pour utiliser le protocole WEP.
CVE-2006-6292
ASTERISK
Disponibilité de la version 1.2.16
La version 1.2.16 du produit 'Asterisk' a été publiée. Cette version corrige une faille dans le pilote 'SIP channel' qui
peut provoquer un déni de service.
http://asterisk.org/node/48319
CIAC
Reprise de l'avis Apple APPLE-SA-2007-03-05
Le CIAC a repris, sous la référence R-171, l'avis Apple APPLE-SA-2007-03-05 concernant de multiples
débordements dans l'application 'QuickTime' qui peuvent entraîner l'exécution de code arbitraire ou des dénis de
service du lecteur.
http://www.ciac.org/ciac/bulletins/r-171.shtml
Page 51/62
Mars 2007
Le CIAC a repris, sous la référence R-176, l'avis Apple APPLE-SA-2007-03-13 concernant de nombreuses
vulnérabilités dans les plate-formes 'Mac OS X' et 'Mac OS X Server' qui peuvent provoquer, entre autres choses,
des dénis de service et l'exécution de code arbitraire.
Reprise de l'avis CA 101317
Le CIAC a repris, sous la référence R-185, l'avis CA 101317 concernant quatre failles dans les produits 'BrightStor
ARCserve Backup' qui peuvent entraîner des dénis de service et l'exécution de code arbitraire.
CVE-2006-6076, CVE-2007-0816, CVE-2007-1447, CVE-2007-1448
Reprise de l'avis Cisco 81863
Le CIAC a repris, sous la référence R-166, l'avis Cisco 81863 concernant une erreur de conception dans les
équipements Cisco 'Catalyst 6000 Series', 'Catalyst 6500 Series' et Cisco '7600 Series' avec le module 'NAM' qui
autorise un attaquant distant à prendre le contrôle d'un équipement vulnérable.
Reprise de l'avis Citrix CTX112589
Le CIAC a repris sous la référence R-168, l'avis Citrix CTX112589 concernant une faille non documentée dans 'Citrix
Presentation Server Client for Windows' qui autorise un attaquant distant à exécuter du code arbitraire sur un poste
vulnérable.
Reprise de l'avis CoreLabs CORE-2007-0219
Le CIAC a repris, sous la référence R-181, l'avis CoreLabs (Core Security Technologies) CORE-2007-0219
concernant une faille qui affecte le code de traitement des paquets IPv6 des plate-formes OpenBSD versions 3.9 et
4.0. Cette faille permet de provoquer un déni de service ou d'exécuter du code arbitraire avec des privilèges élevés.
CVE-2007-1365
Reprise de l'avis Debian DSA-1269
Le CIAC a repris, sous la référence R-186, l'avis Debian DSA-1269 concernant une erreur de conception dans
'Lookup' qui peut permettre à un attaquant de supprimer des fichiers arbitraires.
CVE-2007-0237
Le CIAC a repris, sous la référence DSA-1269, l'avis Debian DSA-1269 concernant une erreur de conception dans
'Lookup' qui peut permettre à un attaquant de supprimer des fichiers arbitraires.
CVE-2007-0237
Le CIAC a repris, sous la référence R-183, l'avis Debian DSA-1271 concernant une erreur de conception dans le
gestionnaire du cache du système de fichier 'OpenAFS' qui peut permettre à un utilisateur local ou distant d'élever
ses privilèges.
CVE-2007-1507
Le CIAC a repris, sous la référence R-189, l'avis Debian DSA-1272 concernant un débordement de buffer dans
l'outil 'TCPDump' sur Debian GNU/Linux version 3.1 (sarge) qui peut entraîner l'exécution de code arbitraire.
CVE-2007-1218
Reprise de l'avis HP HPSBUX02196 (SSRT07138)
Le CIAC a repris, sous la référence R-174, l'avis HP HPSBUX02196 SSRT07138 concernant de multiples
vulnérabilités dans 'Java' sur 'HP-UX' version B.11.11 et B.11.23, qui peuvent autoriser une applet à élever ses
privilèges et à exécuter du code arbitraire.
CVE-2006-6731, CVE-2006-6745, CVE-2007-0243
Reprise de l'avis Novell 'NetMail' (CVE-2007-1350)
Le CIAC a repris, sous la référence R-173, l'avis Novell concernant un débordement de buffer dans le produit
'NetMail' qui autorise un attaquant distant à exécuter du code arbitraire.
CVE-2007-1350
Page 52/62
Mars 2007
Reprise de l'avis Red Hat RHSA-2007:0033
Le CIAC a repris, sous la référence R-187, l'avis Red Hat RHSA-2007:0033 concernant de multiples failles dans
'OpenOffice' qui peuvent permettre à un attaquant distant d'exécuter du code arbitraire.
CVE-2007-0238, CVE-2007-0239, CVE-2007-1466
Le CIAC a repris, sous la référence R-184, l'avis Red Hat RHSA-2007:0055 concernant de multiples débordements
de buffer dans la bibliothèque 'libwpd' qui peuvent entraîner l'exécution de code arbitraire.
CVE-2007-0002
Le CIAC a repris, sous la référence R-178, l'avis RHSA-2007:0057 concernant deux failles dans 'BIND' dans les
plate-formes RHEL version 5 qui peuvent entraîner un déni de service du produit.
CVE-2007-0493, CVE-2007-0494
Le CIAC a repris, sous la référence R-180, l'avis Red Hat RHSA-2007:0099 concernant de multiples failles dans le
noyau des plate-formes Red Hat RHEL version 5 qui peuvent entraîner un déni de service, l'exécution de code
arbitraire et un exposition d'informations.
CVE-2007-0005, CVE-2007-0006, CVE-2007-0958
Le CIAC a repris, sous la référence R-172, l'avis Red Hat RHSA-2007:0106 concernant une erreur de conception
dans 'GnuPG' qui peut permettre à un attaquant distant de contourner le mécanisme de signature d'un message
dans le but d'injecter des données arbitraires.
CVE-2007-1263
Reprise de l'avis Sun 102822
Le CIAC a repris, sous la référence R-179, l'avis Sun 102822 concernant une faille dans le serveur Web 'Sun Java
System Web Server' qui autorise un utilisateur à s'y connecter avec un certificat client révoqué.
Le CIAC a repris, sous la référence R-167, l'avis Sun 102825 concernant deux failles dans la base de données
'PostgreSQL' fournie avec Sun 'Solaris' version 10 qui peuvent entraîner des dénis de service et exposer des
informations sensibles.
CVE-2007-0555, CVE-2007-0556
Le CIAC a repris, sous la référence R-175, l'avis Sun 102828 concernant une faille dans les produits 'Sun Fire
X2100M2' et 'Sun Fire X2200M2' qui autorise un utilisateur à obtenir des droits privilégiés sur un produit vulnérable.
Reprise de l'avis Takebishi 1231207
Le CIAC a repris, sous la référence R-182, l'avis Takebishi 1231207 concernant de multiples failles dans le système
de communication 'OPC Server' utilisé dans de nombreux produits industriels qui peuvent permettre à un attaquant
distant d'exécuter du code arbitraire.
CVE-2007-1313, CVE-2007-1319
Reprise de l'avis US-CERT VU#498553
Le CIAC a repris, sous la référence R-169, l'avis US-CERT VU#498553 concernant une faille dans le produit EMC
'NetWorker' qui permet à un attaquant de contourner l'authentification de la console d'administration du produit.
CVE-2006-3892
Le CIAC a repris, sous la référence R-170, l'avis US-CERT VU#875633 concernant une faille dans le produit
Symantec 'Mail Security for SMTP' qui peut entraîner un déni de service ou l'exécution de code arbitraire.
Le CIAC a repris, sous la référence R-177, l'avis US-CERT VU#920689 concernant un déréférencement de pointeur
NULL dans le noyau 'Linux' qui peut permettre à utilisateur local malveillant d'obtenir des informations sensibles.
CVE-2007-1000
Page 53/62
Mars 2007
Le CIAC a repris, sous la référence R-188, l'avis US-CERT VU#922969 concernant un débordement de buffer dans
un contrôle ActiveX du lecteur multimédia 'InterActual Player' qui peut permettre à un attaquant distant d'exécuter
du code arbitraire.
CVE-2007-0348
CISCO
Reprise de l'avis 81676
Cisco a repris l'avis 81676 concernant de multiples failles dans les produits 'Cisco Secure Services Client' (CSSC) et
'Cisco Trust Agent' (CTA) qui permettent une élévation de privilèges et l'exposition d'informations sensibles. Cette
révision met à jour des informations concernant 'Cisco Trust Agent' (CTA) dans les sections "Summary" et "Affected
Products".
http://www.cisco.com/warp/public/707/cisco-sa-20070221-supplicant.shtml
Révision du bulletin 87392
Cisco a révisé le bulletin 87392 concernant une faille dans les téléphones IP 'Cisco Unified IP Phone 7940' et 'Cisco
Unified IP Phone 7960' qui sont vulnérables à un déni de service via le protocole 'SIP'. Cette révision met à jour
l'URL de téléchargement du correctif.
http://www.cisco.com/warp/public/707/cisco-sr-20070320-sip.shtml
GLYPH AND COG
Version 3.02 de 'Xpdf'
La version 3.02 de 'Xpdf' a été publiée. Cette nouvelle version corrige plusieurs vulnérabilités qui ne sont pas
documentées. Il nous est donc impossible d'affirmer ou non si cette version corrige la faille référencée CVE-20070104 qui peut entraîner, entre autres choses, un déni de service.
http://www.foolabs.com/xpdf/CHANGES
HP
Correctifs pour 'Java' sur 'HP-UX'
HP a annoncé, dans le bulletin HPSBUX02196 (SSRT07138), la disponibilité de correctifs pour 'Java' sur 'HP-UX'
version B.11.11 et B.11.23. Ils corrigent de multiples failles qui peuvent autoriser une applet à élever ses privilèges
et à exécuter du code arbitraire.
http://www4.itrc.hp.com/service/cki/docDisplay.do?docId=c00876579
CVE-2006-6731, CVE-2006-6745, CVE-2007-0243
Failles 'gzip' dans 'HP-UX'
HP a annoncé, dans le bulletin HPSBUX02195 (SSRT061237), la vulnérabilité de la plate-forme 'HP-UX' versions
B.11.11 et B.11.23 fonctionnant avec 'Software Distributor' aux failles 'gzip' référencées CVE-2006-4334, CVE2006-4335, CVE-2006-4336, CVE-2006-4337 et CVE-2006-4338. Elles peuvent entraîner des dénis de service et
l'exécution de code arbitraire. HP a publié des correctifs.
http://www4.itrc.hp.com/service/cki/docDisplay.do?admit=-938907319+1172826308155+28353475&docId=c00874667
Révision de l'alerte HPSBUX02196 (SSRT071318)
HP a révisé l'alerte HPSBUX02196 (SSRT071318) concernant de multiples vulnérabilités dans 'Java' sur 'HP-UX'
version B.11.11 et B.11.23. Elles autorisent une applet à élever ses privilèges et à exécuter du code arbitraire.
Cette révision met à jour les informations de la section "MANUAL ACTIONS".
CVE-2006-6731, CVE-2006-6745, CVE-2007-0243
Révision du bulletin HPSBUX02129 (SSRT061149)
HP a révisé le bulletin HPSBUX02129 (SSRT061149) concernant une faille dans 'OpenSLP' affectant la plate-forme
'HP-UX' versions B.11.11 et B.11.23 fonctionnant avec 'SLP' (Service Locator Protocol) qui permet de provoquer
l'exécution de code arbitraire à distance. Cette révision apporte de nouvelles informations, notamment dans la
section "Affected Versions".
CVE-2005-0769
KDE
Exposition d'informations via 'FTP' dans 'Konqueror'
Le projet KDE a publié l'alerte advisory-20070326-1 concernant une faille dans le composant 'FTP' 'ioslave' de 'KDE'
version 3.5.6 et inférieures. Cette vulnérabilité est identique à celle récemment discutée, affectant les navigateurs
de la fondation Mozilla. Elle autorise un site 'FTP' malicieux à transmettre des commandes passives 'PASV' à un
navigateur vulnérable afin d'effectuer des activités de sondage et obtenir des informations sensibles. La référence
CVE CVE-2007-1564 a été attribuée pour le navigateur 'Konqueror'. Des correctifs sont disponibles.
http://www.kde.org/info/security/advisory-20070326-1.txt
CVE-2007-1564
Page 54/62
Mars 2007
LINUX DEBIAN
Disponibilité de nombreux correctifs
Debian annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages :
gnomemeeting DSA-1262
clamav
DSA-1263
php4
DSA-1264
mozilla
DSA-1265
gnupg
DSA-1266
webcalendar
DSA-1267
libwpd
DSA-1268
lookup-el
DSA-1269
openoffice
DSA-1270
openafs
DSA-1271
tcpdump
DSA-1272
nas
DSA-1273
http://www.debian.org/security/2007/
LINUX FEDORA
Fedora annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages :
gnucash
Core6 FEDORA-2007:256
firefox
yelp
devhelp
epiphany
gnome-python
kernel
thunderbird
ekiga
gnupg
kernel
tcpdump
xen
libwpd
openoffice
https://www.redhat.com/archives/fedora-package-announce/index.html
LINUX MANDRIVA
Mandrake annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages :
firefox
MDKSA-2007:050
2007
CS3.0 CS4.0
snort
MDKSA-2007:051
2006
2007
CS4.0 MNF2.0
thunderbird
MDKSA-2007:052
2007
CS3.0
util-linux
MDKSA-2007:053
2006
2007
CS4.0
kdelibs
MDKSA-2007:054
2007
CS4.0
mplayer
MDKSA-2007:055
2007
CS3.0
tcpdump
MDKSA-2007:056
2006
2007
CS3.0 CS4.0
xine-lib
MDKSA-2007:057
2007
CS3.0
ekiga
MDKSA-2007:058
2007
gnupg
MDKSA-2007:059
2006
2007
CS3.0 CS4.0 MNF2.0
kernel
MDKSA-2007:060
2006
CS4.0
mplayer
MDKSA-2007:061
2007
CS3.0
xine-lib
MDKSA-2007:062
2007
CS3.00
libwpd
MDKSA-2007:063
2007
openoffice
MDKSA-2007:064
2007
nas
MDKSA-2007:065
2007
openafs
MDKSA-2007:066
2007
file
MDKSA-2007:067
2006
2007
CS3.0 CS4.0 MNF2.0
squid
MDKSA-2007:068
2006
2007
CS3.0 CS4.0 MNF2.0
inkscape
MDKSA-2007:069
2007
evolution
MDKSA-2007:070
2007
http://www.mandriva.com/security
LINUX REDHAT
RedHat annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages :
kernel
RHSA-2007:0085-01
AS.ES.WS 4.0
mod_jk
RHSA-2007:0096-01
AS.ES.WS 4.0
thunderbird
RHSA-2007:0078-01
AS.ES.WS 4.0
gnupg
RHSA-2007:0106-01
AS.ES.WS 2.1
AS.ES.WS 3.0
AS.ES.WS 4.0
spamassassin
RHSA-2007:0075-02
AS.ES.WS
postgresql
RHSA-2007:0068-02
AS.ES.WS
samba
RHSA-2007:0061-02
AS.ES.WS
bind
RHSA-2007:0057-02
AS.ES.WS
gnupg
RHSA-2007:0107-02
AS.ES.WS
kernel
RHSA-2007:0099-02
AS.ES.WS
firefox
RHSA-2007:0097-02
AS.ES.WS
ekiga
RHSA-2007:0087-02
AS.ES.WS
5.0
5.0
5.0
5.0
5.0
5.0
5.0
5.0
Page 55/62
Mars 2007
php
wireshark
thunderbird
xen
libwpd
openoffice
openoffice
file
RHSA-2007:0082-02
RHSA-2007:0066-01
RHSA-2007:0108-02
RHSA-2007:0114-02
RHSA-2007:0055-01
RHSA-2007:0033-01
RHSA-2007:0069-01
RHSA-2007:0124-01
AS.ES.WS 2.1
AS.ES.WS 3.0
AS.ES.WS 4.0
AS.ES.WS 3.0
AS.ES.WS 4.0
AS.ES.WS 4.0
AS.ES.WS
AS.ES.WS
AS.ES.WS
AS.ES.WS
AS.ES.WS
5.0
5.0
5.0
5.0
5.0
AS.ES.WS 5.0
AS.ES.WS 5.0
http://www.linuxsecurity.com/content/blogcategory/98/110/
LINUX SuSE
SuSE annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages :
kernel
SUSE-SA:2007:018
firefox
SUSE-SA:2007:019
kernel
SUSE-SA:2007:021
mozilla
SUSE-SA:2007:022
openoffice
SUSE-SA:2007:023
Summary Report 3
SR_2007_3
http://www.novell.com/linux/security/advisories.html
MICROSOFT
Complément d'informations sur la faille CVE-2007-0025
Un message posté sur Bugtraq nous informe que la faille CVE-2007-0025, concernant une corruption de la mémoire
via les composants 'MFC' fournis avec Windows et Visual Studio, n'est pas correctement corrigée par le correctif
MS07-012. Une nouvelle faille a été introduite par celui-ci. Les conséquences de celle-ci ne sont pas explicitement
décrites.
CVE-2007-0025
Disponibilité du SP2 pour Windows Server 2003
Microsoft a annoncé la disponibilité du Service Pack 2 pour la plate-forme Windows 2003 Server. Il corrige, entre
autres choses, plusieurs vulnérabilités déjà discutées. Le SANS a publié un document qui référence la liste des
failles corrigées par ce Service Pack. Microsoft a aussi publié un outil permettant de bloquer l'installation
automatique (via Windows Update) du Service Pack 2.
http://www.microsoft.com/technet/windowsserver/sp2.mspx
Information additionnelle pour la faille 'Windows Mail'
Un message posté sur le site Web du SANS nous annonce que la référence CVE CVE-2007-1658 a été attribuée à la
faille dans le client de messagerie 'Windows Mail' de 'Windows Vista'. Elle permet à un attaquant distant d'exécuter
du code arbitraire.
http://www.incidents.org/diary.html?storyid=2507
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-1658
CVE-2007-1658
Révision du bulletin Microsoft MS07-013 (918118)
Microsoft a révisé le bulletin MS07-013 (918118) concernant une corruption de la mémoire qui peut être déclenchée
via le composant 'RichEdit' de Microsoft entraînant l'exécution de code arbitraire avec les droits de l'utilisateur
courant. Cette révision met à jour des informations dans la section "Security Update Information".
http://www.microsoft.com/technet/security/Bulletin/MS07-013.mspx
CVE-2006-1311
Révision du bulletin Microsoft MS07-015 (932554)
Microsoft a révisé le bulletin MS07-015 (932554) concernant deux failles dans les applications Office qui peuvent
être exploitées afin d'exécuter du code arbitraire avec les droits de l'utilisateur courant. Cette révision met à jour
des informations dans la section "Security Update Information".
http://www.microsoft.com/technet/security/Bulletin/MS07-015.mspx
CVE-2006-3877, CVE-2007-0671
NAVIGATEURS
Problème d'implémentation du protocole 'FTP'
Un document publié par le projet Bindshell nous informe que le problème d'implémentation du protocole 'FTP'
récemment discuté dans le navigateur Web 'Firefox' affecte aussi les navigateurs 'Opera' et 'Konqueror'. Il n'y a pas
de correctifs disponibles à notre connaissance pour ces derniers.
http://bindshell.net/papers/ftppasv
NETBSD
Correctifs pour 'BIND'
Le projet NetBSD a annoncé, dans l'alerte NetBSD-SA2007-003, la disponibilité de correctifs pour 'BIND' sur
'NetBSD' versions 3.0 à 4.0_BETA2. Ils corrigent deux failles qui peuvent entraîner un déni de service du produit.
CVE-2007-0493, CVE-2007-0494
Page 56/62
Mars 2007
Correctifs pour les serveurs X Window
Le projet NetBSD a annoncé, dans l'alerte NetBSD-SA2007-002, la disponibilité de correctifs pour les serveurs X
Window 'XFree86' et 'Xorg' sur 'NetBSD' versions 2.0 à 4.0_BETA2. Ils corrigent trois failles dans qui peuvent
entraîner des dénis de service et l'exécution de code arbitraire avec des droits privilégiés.
CVE-2006-6101, CVE-2006-6102, CVE-2006-6103
NETSCAPE
Vulnérabilités Mozilla dans le navigateur 'Netscape'
Une alerte postée sur le site Web de Secunia annonce que la version 8.1.2 du navigateur 'Netscape' est vulnérable
aux failles Mozilla référencées CVE-2007-0008, CVE-2007-0778, CVE-2007-0981 et CVE-2007-0995. Elles peuvent
entraîner l'exécution de code arbitraire, l'exposition d'informations et autoriser un attaquant distant à mener des
attaques de type "Cross-Site Scripting". Il n'y a pas de correctif officiel actuellement disponible.
CVE-2007-0008, CVE-2007-0778, CVE-2007-0981, CVE-2007-0995
NOVELL
Version 2.0.4 de 'Security Services'
Novell a publié la version 2.0.4 du produit 'Security Services'. Cette nouvelle version corrige la faille référencée
CVE-2006-4339, dans 'OpenSSL', permettant à un attaquant de forger des signatures RSA de type 'PKCS #1 v1.5'.
http://download.novell.com/Download?buildid=ttXNAk5nEeg~
CVE-2006-4339
ORACLE
Révision de l'avis Oracle de janvier 2007
Oracle a révisé le bulletin de janvier 2007 concernant de nombreuses vulnérabilités dans plusieurs de ses produits.
Ces failles peuvent provoquer de multiples dommages. Cette révision met à jour les informations concernant la
version 10.2.0.3 de 'Oracle Database' dans la matrice de risques.
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2007.html
PHPMYADMIN
Disponibilité de la version 2.10.0.2
Le projet phpMyAdmin a publié la version 2.10.0.2 qui corrige une vulnérabilité dans 'PHP' déclenchée par
l'application 'phpMyAdmin', permettant de provoquer un déni de service d'une plate-forme vulnérable. Cette
vulnérabilité a été discutée par Stefan Esser dans son avis , et a déjà été traitée dans un précédent bulletin avec la
référence CVE CVE-2006-1549.
http://www.phpmyadmin.net/home_page/security.php?issue=PMASA-2007-3
CVE-2006-1549
SGI
Correctif cumulatif #71 pour SGI ProPack 3 SP6
SGI a annoncé, dans le bulletin 20070202-01-P, la disponibilité du correctif cumulatif "Security Update #71"
(correctif 10374) pour SGI ProPack 3 SP6 sur plate-forme Altix. Ils corrigent de multiples failles dans 'Seamonkey'
qui peuvent entraîner l'exécution de code arbitraire, des dénis de service, l'exposition d'informations, l'accès non
autorisé à des fichiers et permettre à un attaquant distant de mener des attaques de type "Cross-Site Scripting".
ftp://patches.sgi.com/support/free/security/advisories/20070202-01-P.asc
CVE-2006-6077, CVE-2007-0008, CVE-2007-0009, CVE-2007-0775, CVE-2007-0777, CVE-2007-0778, CVE-2007-0779, CVE-20070780, CVE-2007-0800, CVE-2007-0981, CVE-2007-0995, CVE-2007-0996
Correctif cumulatif #72 pour SGI ProPack 3 SP6
SGI a annoncé, dans le bulletin 20070301-01-P, la disponibilité du correctif cumulatif "Security Update #72"
(correctif 10383) pour SGI ProPack 3 SP6 sur plate-forme Altix. Ils corrigent de multiples failles dans 'GnuPG',
'Seamonkey' et 'Wireshark' qui peuvent entraîner, entre autres choses, des dénis de service et l'exécution de code
arbitraire.
ftp://patches.sgi.com/support/free/security/advisories/20070301-01-P.asc
CVE-2006-6077, CVE-2007-0008, CVE-2007-0009, CVE-2007-0456, CVE-2007-0457, CVE-2007-0459, CVE-2007-0775, CVE-20070777, CVE-2007-0778, CVE-2007-0779, CVE-2007-0780, CVE-2007-0800, CVE-2007-0981, CVE-2007-0994, CVE-2007-0995, CVE2007-0996, CVE-2007-1092, CVE-2007-1263, CVE-2007-1282
SUN
Faille CVE-2006-6499 des plate-formes Sun 'Solaris'
Sun a annoncé, dans le bulletin 102846, la disponibilité de correctif pour 'Mozilla' pour les plate-formes 'Solaris'
version 8, 9 et 10. Ils corrigent la faille CVE-2006-6499, une erreur de codage qui affecte la fonction 'js_dtoa()', qui
peut permettre à un attaquant distant de provoquer un déni de service.
CVE-2006-6499
Page 57/62
Mars 2007
Faille CVE-2007-0238 dans 'StarOffice' et 'StarSuite'
Sun a publié le document 102794 discutant de la faille référencée CVE-2007-0238 affectant les produits 'StarOffice'
et 'StarSuite' versions 6, 7 et 8. Cette vulnérabilité permet d'exécuter des commandes arbitraires. Il n'y a pas de
correctif officiel actuellement disponible.
CVE-2007-0238
Faille CVE-2007-0239 dans 'StarOffice' et 'StarSuite'
Sun a publié le bulletin 102807 discutant de la faille référencée CVE-2007-0239 affectant les produits 'StarOffice' et
'StarSuite' versions 6, 7 et 8. Cette faille permet d'exécuter du code arbitraire. Il n'y a pas de correctif officiel.
CVE-2007-0239
Failles Adobe 'Reader' dans 'Solaris' 10
Sun a annoncé, dans l'alerte 102847, la vulnérabilité du produit Adobe 'Reader', fourni avec Sun 'Solaris' version 10
(Sparc), aux failles référencées CVE-2006-5857, CVE-2007-0045 et CVE-2007-0046. Elles autorisent un attaquant
distant à mener des attaques de types "Cross-Site Scripting" et à exécuter du code arbitraire. Il n'y a pas de
correctifs officiels actuellement disponibles.
CVE-2006-5857, CVE-2007-0045, CVE-2007-0046
Révision de l'alerte 102696
Sun a révisé l'alerte 102696 concernant la faille 'OpenSSL' référencée CVE-2006-4339 qui affecte certains serveurs
Web Sun et qui permet à un attaquant de forger des signatures RSA de type 'PKCS #1 v1.5'. Cette révision
annonce la mise à jour des sections "Contributing Factors" et "Resolution".
CVE-2006-4339
Sun a révisé l'alerte 102696 concernant la faille 'OpenSSL' référencée CVE-2006-4339 qui affecte certains serveurs
Web Sun et qui permet à un attaquant de forger des signatures RSA de type 'PKCS #1 v1.5'. Cette révision
annonce la mise à jour des sections "Contributing Factors" et "Resolution".
CVE-2006-4339
Sun a révisé l'alerte 102714 concernant la vulnérabilité des systèmes Sun 'Solaris' à la faille CVE référencée CVE2006-3467, qui peut permettre à un utilisateur local non autorisé d'exécuter des commandes arbitraires avec des
droits privilégiés ou de provoquer un déni de service du système. Cette révision annonce la mise à jour des sections
"Contributing Factors" et "Relief/Workaround".
CVE-2006-3467
Sun a révisé l'alerte 102780 concernant la vulnérabilité de Sun 'Solaris' versions 9 et 10 aux failles 'X.org'
référencées CVE-2006-3739 et CVE-2006-3740, qui peuvent entraîner l'exécution de code arbitraire avec les droits
de l'utilisateur "root". Cette révision met à jour les sections "Contributing Factors" et "Resolution", et clos l'alerte.
CVE-2006-3739, CVE-2006-3740
Sun a révisé le bulletin 102803 concernant de multiples failles dans les serveurs 'Xsun' et 'Xorg' qui peuvent
entraîner des dénis de service et permettre à un attaquant distant d'obtenir les privilèges de l'utilisateur "root" et
d'exécuter du code arbitraire. Cette révision met à jour les sections "Contributing Factors" et "Resolution".
CVE-2003-0730, CVE-2006-6101, CVE-2006-6102, CVE-2006-6103
Révision de l'alerte Sun 102140
Sun a révisé l'alerte 102140 concernant une faille non documentée dans le produit 'Sun Java System Access
Manager' qui autorise un utilisateur malveillant à obtenir des droits privilégiés. Cette révision annonce la mise à
jour des sections "Contributing Factors" et "Resolution".
Révision de l'alerte Sun 102621
Sun a révisé l'alerte 102621 concernant une faille non documentée dans Sun 'Java System Access Manager' qui
peut permettre à un attaquant distant de mener des attaques de type "Cross-Site Scripting". Cette révision met à
jour les sections "Contributing Factors" et "Resolution", et clos l'alerte.
Sun a révisé le bulletin 102521 concernant une vulnérabilité non documentée dans les serveurs Sun Java System
Application Server et Sun Java System Web Server autorise un attaquant distant à obtenir des informations. Cette
révision annonce la mise à jour des sections "Contributing Factors" et "Resolution".
Page 58/62
Mars 2007
Sun a révisé le bulletin 102640 concernant une faille dans le module de chiffrement 'mod_ssl' pour Apache sur
'Solaris' version 10 qui peut provoquer un déni de service. Cette révision annonce que ce bulletin est désormais
remplacé par les bulletins 102662 pour 'Apache' version 2 et 102663 pour 'Apache' version 1.3.
CVE-2005-3357
Sun a révisé le bulletin 102663 concernant deux failles dans les modules 'mod_rewrite' et 'mod_imap' du serveur
Web 'Apache', sur Sun 'Solaris' versions 8, 9 et 10. Cette révision annonce la mise à jour du champ "BugID" et des
sections "Contributing Factors" et "Relief/Workaround ".
CVE-2005-3352, CVE-2006-3747
Sun a révisé le bulletin 102766 concernant la vulnérabilité de la commande 'gzip' sur la plate-forme Sun 'Solaris'
versions 8, 9 et 10 aux failles référencées CVE-2006-4334, CVE-2006-4335, CVE-2006-4336, CVE-2006-4337 et
CVE-2006-4338. Cette révision met à jour les sections "Contributing Factors", "Relief/Workaround" et "Resolution",
et clos le bulletin.
Sun a révisé le bulletin 102825 concernant deux failles dans la base de données 'PostgreSQL', fournie avec Sun
'Solaris' version 10, qui peuvent entraîner des DoS et exposer des informations. Cette révision met à jour les
sections "Contributing Factors" et "Relief/Workaround", annonce la disponibilité de correctifs et clos le bulletin.
CVE-2007-0555, CVE-2007-0556
Révision du bulletin Sun 102662
Sun a révisé le bulletin 102662 concernant plusieurs failles dans le serveur 'Apache' fourni avec Sun 'Solaris'
version 10, qui permettent de mener des attaques de type "Cross-Site Scripting", de provoquer des dénis de
service et d'exécuter du code. Cette révision met à jour la section "Relief/Workaround" et le champ "BugID".
CVE-2005-3352, CVE-2005-3357, CVE-2006-3747
Vulnérabilités 'PostgreSQL' dans 'Solaris'
Sun a annoncé, dans le bulletin 102825, la vulnérabilité de la base de données 'PostgreSQL' fournie avec Sun
'Solaris' version 10 aux failles référencées CVE-2007-0555, CVE-2007-0556. Elles peuvent entraîner des dénis de
service et exposer des informations sensibles.
CVE-2007-0555, CVE-2007-0556
SYMANTEC
Régression dans 'Norton Personal Firewall 2006'
Un message publié sur la liste de diffusion Bugtraq nous informe que la version 9.1.1.7 du produit 'Norton Personal
Firewall 2006' de Symantec semble toujours vulnérable à la faille CVE-2006-4855. Elle permet à un utilisateur local
de provoquer un déni de service du système à l'aide du pilote 'SymEvent'.
CVE-2006-4855
US-CERT
L'US-CERT a repris, sous la référence TA07-065A, l'avis Apple APPLE-SA-2007-03-05 concernant de multiples
débordements dans le lecteur multimédia 'QuickTime' qui peuvent entraîner l'exécution de code arbitraire.
http://www.us-cert.gov/cas/techalerts/TA07-065A.html
L'US-CERT a repris, sous la référence TA07-072A, l'avis Apple APPLE-SA-2007-03-13 concernant de nombreuses
vulnérabilités dans les plate-formes 'Mac OS X' et 'Mac OS X Server' qui peuvent provoquer, entre autres choses,
des dénis de service et l'exécution de code arbitraire.
http://www.us-cert.gov/cas/techalerts/TA07-072A.html
Page 59/62
Mars 2007
CODES D’EXPLOITATION
Les codes d’exploitation des vulnérabilités suivantes ont fait l’objet d’une large diffusion :
3COM
Code d'exploitation pour une faille dans 'TFTP Server'
Un code a été posté sur le site Web Milw0rm exploitant une faille dans le serveur 'TFTP Server' de 3Com. Elle
autorise un attaquant distant à exécuter du code arbitraire sur un serveur vulnérable. Ce code permet d'obtenir un
interpréteur de commandes sur le port TCP/4444.
http://milw0rm.com/exploits/3388
OPENBSD
Code d'exploitation pour la faille IPv6
Une alerte publiée par Core Security Technologies nous apporte de nouvelles informations concernant une faille
récemment discutée qui affecte le noyau des plate-formes OpenBSD versions 3.9 et 4.0. Le code de traitement des
paquets IPv6, et plus particulièrement les paquets ICMPv6, est vulnérable à une corruption de mémoire. Cette faille
peut être exploitée par un attaquant distant dans le but de provoquer un déni de service ou d'exécuter du code
avec des privilèges élevés. Un code d'exploitation est fourni dans l'alerte Core Security Technologies et peut, après
modification, permettre à un attaquant distant de prendre le contrôle d'un système vulnérable.
http://www.coresecurity.com/?action=item&id=1703
CVE-2007-1365
MICROSOFT
Code d'exploitation pour la faille MS07-009
Un code a été publié sur le site Web Milw0rm, exploitant la faille CVE-2006-5559 (MS07-009) identifiée dans le
contrôle ActiveX 'ADODB.Connection' fourni avec 'ActiveX Data Objects' et distribué avec le composant 'MDAC'
('Microsoft Data Access Components'). Elle peut être exploitée par un attaquant distant afin d'exécuter du code
arbitraire avec les privilèges de l'utilisateur courant. Ce code permet d'exécuter la calculatrice Windows sur une
plate-forme vulnérable.
http://www.milw0rm.com/exploits/3577
CVE-2006-5559
SNORT
Code d'exploitation pour la faille 'Snort' CVE-2006-527
Un code a été publié sur le site web Milw0rm, exploitant la faille 'Snort' référencée CVE-2006-527, dans le
préprocesseur 'DCE/RPC', qui permet d'exécuter du code arbitraire. Ce code permet d'exécuter la calculatrice
Windows sur une plate-forme vulnérable.
http://milw0rm.com/exploits/3391
CVE-2006-5276
BULLETINS ET NOTES
Les bulletins d’information suivants ont été publiés par les organismes officiels de surveillance et les
éditeurs :
VIRUS
Propagation d'une variante du ver 'Warezov' via 'Skype'
Une alerte publiée par Websense Security Labs nous informe qu'une nouvelle variante du ver 'Warezov' ('Stration')
se répand via le réseau 'Skype'. Celui-ci se présente sous la forme d'un lien qui après activation par l'utilisateur
aura pour effet de télécharger et exécuter un certain nombre de fichiers malicieux.
http://www.websense.com/securitylabs/alerts/alert.php?AlertID=757
Propagation d'un ver exploitant la faille CVE-2007-0882
Différentes sources annoncent la propagation d'un ver exploitant la faille 'telnet' référencée CVE-2007-0882, qui
permet à un attaquant distant d'obtenir un accès non autorisé et de prendre ainsi le contrôle d'une plate-forme Sun
'Solaris' version 10. Sun a publié sur son blog une analyse du ver, et a mis à jour le bulletin 102802. Il est
fortement recommandé d'appliquer le correctif disponible.
http://www.auscert.org.au/render.html?it=7346
http://blogs.sun.com/security/entry/solaris_in_telnetd_worm_seen
http://www.uscert.gov/cas/techalerts/TA07-059A.html
CVE-2007-0882
WORDPRESS
Compromission du projet 'WordPress'
Le projet 'WordPress' a annoncé sur son blog que les sources de la version 2.1.1 ont été compromises. Un
attaquant a modifié les fichiers 'feed.php' et 'theme.php' de manière à pouvoir exécuter du code arbitraire à
distance et obtenir des informations sensibles. La version 2.1.2 qui corrige ces problèmes est désormais disponible
sur le site de 'WordPress'.
http://wordpress.org/development/2007/03/upgrade-212/
Page 60/62
Mars 2007
ATTAQUES
OUTILS
EEYE
- SHAREBOT
# Description
Le système d’échange de type ‘P2P’ dénommé ‘Share’, d’origine Japonaise, a pour principal attrait de
protéger la confidentialité des échanges – ceux-ci étant chiffrés de bout en bout et, dans une moindre
mesure, l’anonymat des utilisateurs, les paramètres de connexion – adresse IP et numéro de port - étant
échangés sous une forme non intelligible. Il va de soi que cette protection n’assure aucune réelle confidentialité, la
fonction utilisée étant obligatoirement réversible.
Ce système a toutes les caractéristiques attendues d’un vrai système de partage réparti puisqu’il ne fait appel à aucun
mécanisme de centralisation d’aucune sorte: les nœuds disposent de toutes les informations utiles sur leur voisinage
et sur les fichiers qu’ils hébergent. Cependant, et bien que la seule connaissance des coordonnées d’un nœud suffise
pour rejoindre le réseau ‘Share’, des annuaires sont généralement disponibles sous la forme d’une liste contenant les
paramètres d’accès – ici une séquence alphanumérique - afin d’accélérer la construction du réseau.
Fichiers mis à disposition sur le nœud ‘Share’ d’un réseau de test
Très prisé au Japon et aussi
dans une moindre mesure en
France, le système d’échange
‘Share’ est d’une très grande
simplicité d’utilisation.
Constitué d’un seul et unique
exécutable, il s’installera en
quelques minutes et sera tout
aussi rapidement fonctionnel à
condition toutefois qu’aucun
mécanisme de filtrage ne soit
activé sur le point d’accès, le
choix du numéro de port de
connexion étant laissé à la
totale discrétion de l’usager.
Avec ‘Share’, et comme avec
bien d’autres réseaux P2P, se
pose le problème fondamental de la rémanence de l’information. S’ils permettent de garantir l’intégrité et la
persistance des informations qui y sont stockées mieux que n’importe quelle autre architecture distribuée, ces réseaux
sont d’une inefficacité absolue lorsqu’il s’agira, pour une raison ou autre, de détruire l’une de ces informations. N’ayant
pas été conçus pour offrir une telle fonctionnalité, et ne gérant aucunement la notion de durée de vie de l’information,
ces réseaux conserveront leurs données tant que celles-ci résideront dans le cache d’au moins un nœud et que la
connectivité entre celui-ci et le reste du réseau sera préservée. La destruction d’une donnée est chose quasiimpossible sauf à envisager l’arrêt simultané de l’intégralité des nœuds et la purge de leur cache…
Le problème devient inextricable lorsque qu’un tel réseau se retrouve compromis par un code malveillant dont la
principale activité sera de transférer dans ‘la mémoire du réseau’ tout ou partie des données personnelles présentes
sur le système hébergeant un nœud compromis. Ce qui pourrait apparaître comme un excellent scénario pour un film
hollywoodien – ‘Skynet’ serait un nom bien adapté – est hélas d’actualité puisqu’il semble qu’un réseau ‘Share’ ait été
l’objet d’une attaque de ce genre.
C’est du moins ce qu’annoncent les chercheurs du laboratoire de la société ‘eEye’ lesquels mettent en garde les
entreprises contre le risque de transfert d’informations sensibles dans un tel réseau, risque aggravé dans le cas de
‘Share’ par la difficulté qu’il y a à détecter sa présence et à analyser la nature des informations échangées. On notera
que bien que le client dans sa version actuelle interdise l’utilisation d’adresses non routées dans l’Internet (RFC1918)
et que le principe de mise en relation soit théoriquement mis en défaut par les politiques de filtrages appliquées aux
flux entrants et sortants, un risque réel demeure dans le cas de l’utilisation d’une informatique nomade.
Connexion du client ‘ShareBot’ sur le nœud ‘Share’ d’un réseau de test
Pour palier à ce problème,
‘eEye’ a développé l’utilitaire
‘ShareBot’ disponible dans
une version allégée et gratuite
mais aussi sous une forme
intégrée à l’environnement
d’analyse ‘Retina’.
Cet utilitaire fonctionnant sous
Windows se connecte à un
réseau ‘Share’ dont on devra
connaître au moins un nœud.
Se faisant passer pour un
client légitime, ‘ShareBot’
pourra collecter de proche en
proche les paramètres d’accès
aux nœuds adjacents et par la
même obtenir la liste de tous
Page 61/62
Mars 2007
les fichiers détenus par ces derniers.
L’analyste n’aura plus alors
qu’à étudier celle-ci à la
recherche d’indices prouvant
la divulgation d’informations
sensibles. On pourra noter à
ce sujet les limitations de
l’interface de recherche livrée
avec cette première version.
Il est fort heureusement
possible d’exporter tous les
résultats dans un fichier au
format ‘csv’.
Les tests que nous avons pu
effectuer sur un réseau local
installé pour l’occasion mais
aussi sur un réseau Japonais
ont permis de valider le
fonctionnement de l’outil.
Quelques problèmes mineurs
ont cependant été constatés
avec certains nœuds qui sont
probablement dus à la jeunesse de l’outil et à une gestion imparfaite des différentes versions du protocole ‘Share’.
Le test ‘grandeur’ réel, initié avec une liste de 2 nœuds sur un réseau japonais, a permis d’inventorier 22 nœuds et 53
fichiers en 5mn, inventaire rapidement passé à 1090 nœuds et 1688 fichiers après moins d’une demi-heure de collecte
puis se stabilisant à 4065 nœuds au bout d’une heure de fonctionnement.
Le bon fonctionnement de ‘ShareBot’ requiert l’installation d’un utilitaire
complémentaire dénommé ‘BIOT’ permettant de court-circuiter une limitation
de la pile TCP/IP des environnements Windows XP SP2 et 2003 SP1. Conçu
pour réduire la vitesse de propagation des codes malicieux en réduisant le
nombre de connexions sortantes non acquittées pouvant être ouvertes
simultanément, ce mécanisme impacte sérieusement les performances des
applications utilisant intensivement le réseau dont les outils de sondage mais
aussi les applications de partage et d’échange de fichiers. L’utilitaire ‘BIOT’
intervient en modifiant directement en mémoire le paramètre fixant le nombre
maximal de connexions sortantes non acquittées autorisées.
Encore difficilement exploitable dans le cadre de campagnes d’analyse du moins dans la version gratuite ici testée,
‘ShareBot’ a le mérite d’attirer l’attention sur les risques induits par l’utilisation des réseaux Peer-2-Peer à partir de
clients installés sur les postes de l’entreprise.
http://research.eeye.com/html/tools/RT20070306.html
http://research.eeye.com/html/tools/RT20060808-1.html
http://www.share-france.info/index.php?/downloads
- Présentation de ShareBot
- Présentation de BIOT
- Logiciel SHARE EX2
Page 62/62

Veille Technologique Sécurité

Transcription

Documents pareils