22/10/2012 - ARESU
Transcription
22/10/2012 - ARESU
Avis sécurité du 22/10/2012 L’actualité CNRS Nous constatons de nombreuses intrusions utilisant le protocole SSH. Sans vouloir décrire ici les différents vecteurs d’infection, failles utilisées, modes d’exploitation et conséquences, il convient de noter que certaines mesures relativement simples à mettre en œuvre auraient pu sinon totalement bloquer les attaques du moins en atténuer les dommages : Interdire sur les serveurs SSH les connexions « root ». Elles sont rarement nécessaires, un « sudo » permettant d’effectuer toutes les opérations exigeant les privilèges de « root » et de plus de tracer et d’imputer les actions. Sur un serveur OpenSSH, il suffit de mettre dans le fichier de configuration /etc/ssh/sshd_config la directive « PermitRootLogin no ». Eventuellement dans certains contextes après prise en compte des risques, pour effectuer des sauvegardes par exemple, il est acceptable d’utiliser « PermitRootLogin forcedcommands-only ». Remplacer l’authentification par login/mot de passe par une authentification par clé publique/clé privée (l’interception d’une clé privée exige de prendre le contrôle du poste de travail de l’utilisateur alors qu’il y a de nombreuses façons de voler, extorquer, deviner, casser un mot de passe). On commencera par les personnes en charge de l’administration des machines. Maintenir à jour les systèmes. En effet nous constatons que dans nombre d’attaques il y a eu connexion sur un compte d’un utilisateur sans privilège particulier puis élévation de privilèges en exploitant une faille non corrigée du système. La CNIL a publié une note d’information sur les règles de confidentialité de Google. Très instructif et ce n’est vraiment pas rassurant sur la protection des données à caractère personnel. Il y a peu les médias se faisait l’écho de la publication par un groupe d’activistes (AntiSec) d’une liste de codes UDID (unique device identification) d’appareils Apple (iPhone, iPad, iPod) associés à des données à caractère personnel. Contrairement aux revendications des activistes, il s’est avéré que la divulgation ne résultait pas comme annoncé du piratage d’une machine appartenant au FBI mais de la légèreté, pour ne pas dire plus, d’un développeur d’applications. Apple a annoncé qu’il allait supprimer l’utilisation des UDID dans les nouvelles versions. La version 6 d’IOS si elle supprime l’UDID, introduit une nouvelle API qui permet aux applications de pister l’utilisateur à des fins publicitaires. Il est toutefois possible de désactiver cette fonctionnalité (activer « Suivi publicitaire limité »). Dans un modèle économique où c’est la publicité qui rapporte, il ne faut pas s’étonner de la volonté des annonceurs de récupérer le maximum d’informations sur les utilisateurs. Dans le même ordre d’idée il suffit de voir les obstacles élevés contre le standard « Do Not Track ». J’ai publié un nouveau billet Pourquoi forcer un coffre si l’objet à protéger est posé dessus ? dans Chronique d’incidents. La JSSI organisée par l’OSSIR se tiendra le 19 mars 2013 à Paris. Son thème en sera « Outils et méthodes d'audit en SSI ». L’appel à communications est disponible. N’hésitez pas à soumettre vos propositions. Google a été épinglé par la CNIL pour ses pratiques en matière de respect de la vie privée. Plus anecdotique mais cela montre la puissance de la société, Google propose un diaporama de ses différents centres de données. Evidemment il s’agit de faire la promotion de l’entreprise mais cela donne une idée du gigantisme des installations. La revue hebdomadaire de l’actualité est aussi disponible en ligne. CERTA CERTA-2012-ACT-042 Bulletin d'actualité numéro 042 de l'année 2012 (19 octobre 2012) CERT Renater CERT-Renater : 2012/STAT42 Bulletin d'actualité numéro 042 de l'année 2012 (19 octobre 2012) Les derniers avis CERTA CERTA-2012-AVI-589 2012) Multiples vulnérabilités dans Java pour Apple OS X (18 octobre CERTA-2012-AVI-588 Vulnérabilité dans AWStats (18 octobre 2012) CERTA-2012-AVI-587 Vulnérabilités dans Oracle Virtualization (17 octobre 2012) CERTA-2012-AVI-586 2012) Multiples vulnérabilités dans Oracle Sun Products Suite (17 octobre CERTA-2012-AVI-585 octobre 2012) Multiples vulnérabilités dans Oracle Financial Services Software (17 CERTA-2012-AVI-584 Vulnérabilités dans Oracle Industry Applications (17 octobre 2012) CERTA-2012-AVI-583 Vulnérabilités dans Oracle Siebel CRM (17 octobre 2012) CERTA-2012-AVI-582 Multiples vulnérabilités dans Oracle People Soft (17 octobre 2012) CERTA-2012-AVI-581 Multiples vulnérabilités dans Oracle Supply Chain (17 octobre 2012) CERTA-2012-AVI-580 2012) Multiples vulnérabilités dans Oracle E-Business Suite (17 octobre CERTA-2012-AVI-579 Multiples vulnérabilités dans Oracle MySQL (17 octobre 2012) CERTA-2012-AVI-578 2012) Multiples vulnérabilités dans Oracle Fusion Middleware (17 octobre CERTA-2012-AVI-577 2012) Multiples vulnérabilités dans Oracle Database Server (17 octobre CERTA-2012-AVI-576 Multiples vulnérabilités dans Oracle Java (17 octobre 2012) CERTA-2012-AVI-575 octobre 2012) Vulnérabilités dans le système SCADA Schneider Electric TAC I/A (16 CERTA-2012-AVI-574 Vulnérabilité dans le système SCADA Schneider Electric Critical Power and Cooling Services (16 octobre 2012) CERTA-2012-AVI-573 Multiples vulnérabilités dans IBM HTTPSRV (16 octobre 2012) CERT Renater CERT-Renater : 2012/VULN423 US-CERT : Novell ZENworks Asset Management 7.5 web console information disclosure vulnerability CERT-Renater : 2012/VULN422 awstats : XSS vulnerability fixed in awstats CERT-Renater : 2012/VULN421 APPLE : APPLE-SA-2012-10-16-1 Java for OS X 2012-006 and Java for Mac OS X 10.6 Update 11 CERT-Renater : 2012/VULN420 Drupal : Drupal core - Arbitrary PHP code execution and Information disclosure CERT-Renater : 2012/VULN419 OTRS : Security Advisory 2012-03 - XSS vulnerability CERT-Renater : 2012/VULN418 Oracle : October 2012 Critical Patch Update Released CERT-Renater : 2012/VULN417 ICS-CERT : ICSA-12-283-01 SIEMENS S7-1200 WEB APPLICATION CROSS-SITE SCRIPTING VULNERABILITY CERT-Renater : 2012/VULN416 Ruby : $SAFE escaping vulnerability and Unintentional file creation issue fixed CERT-Renater : 2012/VULN415 Joomla! : Core - XSS Vulnerability CERT-Renater : 2012/VULN414 phpMyAdmin : XSS and MITM Vulnerabilities fixed in phpMyAdmin 3.5.3