22/10/2012 - ARESU

Avis sécurité du 22/10/2012
L’actualité
CNRS
Nous constatons de nombreuses intrusions utilisant le protocole SSH. Sans vouloir décrire ici les
différents vecteurs d’infection, failles utilisées, modes d’exploitation et conséquences, il convient de
noter que certaines mesures relativement simples à mettre en œuvre auraient pu sinon totalement
bloquer les attaques du moins en atténuer les dommages :



Interdire sur les serveurs SSH les connexions « root ». Elles sont rarement nécessaires, un
« sudo » permettant d’effectuer toutes les opérations exigeant les privilèges de « root » et
de plus de tracer et d’imputer les actions. Sur un serveur OpenSSH, il suffit de mettre dans le
fichier de configuration /etc/ssh/sshd_config la directive « PermitRootLogin no ».
Eventuellement dans certains contextes après prise en compte des risques, pour effectuer
des sauvegardes par exemple, il est acceptable d’utiliser « PermitRootLogin forcedcommands-only ».
Remplacer l’authentification par login/mot de passe par une authentification par clé
publique/clé privée (l’interception d’une clé privée exige de prendre le contrôle du poste de
travail de l’utilisateur alors qu’il y a de nombreuses façons de voler, extorquer, deviner,
casser un mot de passe). On commencera par les personnes en charge de l’administration
des machines.
Maintenir à jour les systèmes. En effet nous constatons que dans nombre d’attaques il y a eu
connexion sur un compte d’un utilisateur sans privilège particulier puis élévation de
privilèges en exploitant une faille non corrigée du système.
La CNIL a publié une note d’information sur les règles de confidentialité de Google. Très instructif et
ce n’est vraiment pas rassurant sur la protection des données à caractère personnel.
Il y a peu les médias se faisait l’écho de la publication par un groupe d’activistes (AntiSec) d’une liste
de codes UDID (unique device identification) d’appareils Apple (iPhone, iPad, iPod) associés à des
données à caractère personnel. Contrairement aux revendications des activistes, il s’est avéré que la
divulgation ne résultait pas comme annoncé du piratage d’une machine appartenant au FBI mais de
la légèreté, pour ne pas dire plus, d’un développeur d’applications. Apple a annoncé qu’il allait
supprimer l’utilisation des UDID dans les nouvelles versions. La version 6 d’IOS si elle supprime
l’UDID, introduit une nouvelle API qui permet aux applications de pister l’utilisateur à des fins
publicitaires. Il est toutefois possible de désactiver cette fonctionnalité (activer « Suivi publicitaire
limité »). Dans un modèle économique où c’est la publicité qui rapporte, il ne faut pas s’étonner de la
volonté des annonceurs de récupérer le maximum d’informations sur les utilisateurs. Dans le même
ordre d’idée il suffit de voir les obstacles élevés contre le standard « Do Not Track ».
J’ai publié un nouveau billet Pourquoi forcer un coffre si l’objet à protéger est posé dessus ? dans
Chronique d’incidents.
La JSSI organisée par l’OSSIR se tiendra le 19 mars 2013 à Paris. Son thème en sera « Outils et
méthodes d'audit en SSI ». L’appel à communications est disponible. N’hésitez pas à soumettre vos
propositions.
Google a été épinglé par la CNIL pour ses pratiques en matière de respect de la vie privée. Plus
anecdotique mais cela montre la puissance de la société, Google propose un diaporama de ses
différents centres de données. Evidemment il s’agit de faire la promotion de l’entreprise mais cela
donne une idée du gigantisme des installations.
La revue hebdomadaire de l’actualité est aussi disponible en ligne.
CERTA

CERTA-2012-ACT-042
Bulletin d'actualité numéro 042 de l'année 2012 (19 octobre 2012)
CERT Renater

CERT-Renater : 2012/STAT42 Bulletin d'actualité numéro 042 de l'année 2012 (19 octobre
2012)
Les derniers avis
CERTA

CERTA-2012-AVI-589
2012)
Multiples vulnérabilités dans Java pour Apple OS X (18 octobre

CERTA-2012-AVI-588
Vulnérabilité dans AWStats (18 octobre 2012)

CERTA-2012-AVI-587
Vulnérabilités dans Oracle Virtualization (17 octobre 2012)

CERTA-2012-AVI-586
2012)
Multiples vulnérabilités dans Oracle Sun Products Suite (17 octobre

CERTA-2012-AVI-585
octobre 2012)
Multiples vulnérabilités dans Oracle Financial Services Software (17

CERTA-2012-AVI-584
Vulnérabilités dans Oracle Industry Applications (17 octobre 2012)

CERTA-2012-AVI-583
Vulnérabilités dans Oracle Siebel CRM (17 octobre 2012)

CERTA-2012-AVI-582
Multiples vulnérabilités dans Oracle People Soft (17 octobre 2012)

CERTA-2012-AVI-581
Multiples vulnérabilités dans Oracle Supply Chain (17 octobre 2012)

CERTA-2012-AVI-580
2012)
Multiples vulnérabilités dans Oracle E-Business Suite (17 octobre

CERTA-2012-AVI-579
Multiples vulnérabilités dans Oracle MySQL (17 octobre 2012)

CERTA-2012-AVI-578
2012)
Multiples vulnérabilités dans Oracle Fusion Middleware (17 octobre

CERTA-2012-AVI-577
2012)
Multiples vulnérabilités dans Oracle Database Server (17 octobre

CERTA-2012-AVI-576
Multiples vulnérabilités dans Oracle Java (17 octobre 2012)

CERTA-2012-AVI-575
octobre 2012)
Vulnérabilités dans le système SCADA Schneider Electric TAC I/A (16

CERTA-2012-AVI-574
Vulnérabilité dans le système SCADA Schneider Electric Critical
Power and Cooling Services (16 octobre 2012)

CERTA-2012-AVI-573
Multiples vulnérabilités dans IBM HTTPSRV (16 octobre 2012)
CERT Renater










CERT-Renater : 2012/VULN423 US-CERT : Novell ZENworks Asset Management 7.5 web
console information disclosure vulnerability
CERT-Renater : 2012/VULN422 awstats : XSS vulnerability fixed in awstats
CERT-Renater : 2012/VULN421 APPLE : APPLE-SA-2012-10-16-1 Java for OS X 2012-006 and
Java for Mac OS X 10.6 Update 11
CERT-Renater : 2012/VULN420 Drupal : Drupal core - Arbitrary PHP code execution and
Information disclosure
CERT-Renater : 2012/VULN419 OTRS : Security Advisory 2012-03 - XSS vulnerability
CERT-Renater : 2012/VULN418 Oracle : October 2012 Critical Patch Update Released
CERT-Renater : 2012/VULN417 ICS-CERT : ICSA-12-283-01 SIEMENS S7-1200 WEB
APPLICATION CROSS-SITE SCRIPTING VULNERABILITY
CERT-Renater : 2012/VULN416 Ruby : $SAFE escaping vulnerability and Unintentional file
creation issue fixed
CERT-Renater : 2012/VULN415 Joomla! : Core - XSS Vulnerability
CERT-Renater : 2012/VULN414 phpMyAdmin : XSS and MITM Vulnerabilities fixed in
phpMyAdmin 3.5.3