Veille Technologique Sécurité
Transcription
Veille Technologique Sécurité
APOGEE Communications R Raap pp poorrtt d dee V Veeiillllee T Teecch hn no ollo og giiq qu uee S Sééccu urriittéé N N°°1 10 01 1 Décembre 2006 Les informations fournies dans ce document ont été collectées et compilées à partir de sources d'origines diverses et publiquement accessibles: listes de diffusion, newsgroups, sites Web, ... Ces informations sont fournies pour ce qu'elles valent sans garantie d'aucune sorte vis à vis de l'exactitude, de la précision ou de la qualité de l'information. Les URL associées à certains thèmes sont validées à la date de la rédaction du document. Les symboles d’avertissement suivants seront éventuellement utilisés: ! " Site dont la consultation est susceptible de générer directement ou indirectement, une attaque sur l’équipement de consultation, voire de faire encourir un risque sur le système d’information associé. Site susceptible d’héberger des informations ou des programmes dont l’utilisation est répréhensible au titre de la Loi Française. Aucune garantie ne peut être apportée sur l'innocuité de ces sites, et en particulier, sur la qualité des applets et autres ressources présentées au navigateur WEB. LLaa ddiiffffuussiioonn ddee ccee ddooccuum meenntt eesstt rreessttrreeiinnttee aauuxx cclliieennttss ddeess sseerrvviicceess V VTTS S--R RA APPPPO OR RTT eett V VTTS S--EEN NTTR REEPPR RIIS SEE Les marques et les produits cités dans ce rapport sont la propriété des dépositaires respectifs. APOGEE Communications – Groupe DEVOTEAM 15, Avenue du Cap Horn ZA de Courtaboeuf 91940 Les ULIS Pour tous renseignements Offre de veille: http://www.devoteam.fr/ Informations: [email protected] ©DEVOTEAM Solutions - Tous droits réservés C O N N E C T I N G B U S I N E S S & T E C H N O L O G Y Décembre 2006 Au sommaire de ce rapport … PRODUITS ET TECHNOLOGIES LES PRODUITS 7 7 AUDIT 7 PHP - PHPSECINFO LES TECHNOLOGIES RFID – GUARDIAN UN PAREFEU INDIVIDUEL 7 8 8 PHISHING 8 CMU - EVALUATION DES BARRES ANTI-PHISHING 8 INFORMATIONS ET LEGISLATION LES INFORMATIONS 12 12 HNS - (IN)SECURE MAGAZINE N°9 12 PACSEC - 2006 16 VEILLE 12 DO PORTABLE STORAGE SOLUTIONS COMPROMISE BUSINESS SECURITY ? WEB 2.0 DEFENSE WITH AJAX FINGERPRINTING AND FILTERING RECOVERING USER PASSWORDS FROM CACHED DOMAIN RECORDS EFFECTIVENESS OF SECURITY BY ADMONITION 12 13 14 14 HOW TO SECURE A NETWORKING STACK: IPV6 AND NETIO GACKING FINGERPRINT RECOGNITION SYSTEMS OPENOFFICE/OPENDOCUMENT AND MS OPENXML SECURITY IPV6 MAPPING LINUX KERNEL == SECURITY NIGHTMARE 16 16 17 17 18 SUPPORT 19 ENISA – WHO IS WHO DIRECTORY - SECONDE EDITION 19 METHODES 20 NIST – ETAT DES GUIDES DE LA SERIE SP800 20 REFERENCES 22 CIS - CATALOGUE DE PROCEDURES ET DE TESTS NSA - CATALOGUE DES GUIDES DE SECURITE DISA – GUIDES ET CHECKLISTS DE SECURISATION LA LEGISLATION FR – SUR LES INFRACTIONS COMMISES PAR UN MOYEN DE COMMUNICATION ELECTRONIQUE CISSI - ORIENTATION DES TRAVAUX DE RECHERCHE ET DEVELOPPEMENT EN MATIERE DE SECURITE DES SI 22 22 24 25 25 25 LOGICIELS LIBRES LES SERVICES DE BASE LES OUTILS 27 27 27 NORMES ET STANDARDS LES PUBLICATIONS DE L’IETF 29 29 LES LES RFC DRAFTS NOS COMMENTAIRES LES RFC RFC4742 RFC4777 29 29 33 33 33 33 ALERTES ET ATTAQUES ALERTES 35 35 AVIS OFFICIELS 37 GUIDE DE LECTURE FORMAT DE LA PRESENTATION SYNTHESE MENSUELLE ALERTES DETAILLEES ADOBE APPLE BUSINESSOBJECT CA CITRIX FILEZILLA FREEDESKTOP GNOME Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés 35 36 36 37 37 37 37 37 37 38 38 38 Page 2/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 GNUPG HITACHI HP IBM INTEL KDE KERIO LINUX MADWIFI MAILENABLE MANDIANT MCAFEE MICROSOFT MONO MOZILLA NEOSCALE NETBSD NOVELL RUBY SOFTWIN SOPHOS SQL-LEDGER SQUIRRELMAIL SSMTP SUN TREND MICRO XEROX XINE YAHOO! ALERTES NON CONFIRMEES 2X SOFTWARE ADOBE AGNITUM ALLIED TELESYN ANTIVIRUS APPLE BLUESOCKET BORLAND CA CHETCPASSWD CLAMAV CPANEL DENYHOSTS D-LINK EOC ESET FAIL2BAN FIREWALL GNOME GNU GOOGLE HILGRAEVE HITACHI HORDE HP IBM INTEL KDE KERIO L2TPNS LINKSYS LINUX MAILENABLE MCAFEE MICROSOFT MOZILLA NETSCAPE NET-SNMP NORTEL NOVELL OPENLDAP ORACLE OSTICKET PALM PHP PHPMYADMIN PROFTPD REALNETWORKS SAP SYMANTEC TYPO3 Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés 38 38 38 38 39 39 39 39 40 40 40 40 40 41 41 41 41 41 42 42 42 42 42 43 43 43 43 43 44 44 44 44 44 44 44 44 45 45 45 45 45 46 46 46 46 46 46 46 47 47 47 47 47 47 47 47 47 48 48 48 48 48 48 49 49 49 50 50 50 50 50 50 51 51 51 51 51 51 51 51 52 Page 3/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 W3M 52 AUTRES INFORMATIONS 52 REPRISES D’AVIS 52 CODES D’EXPLOITATION 62 BULLETINS ET NOTES 62 ET CORRECTIFS ADOBE APPLE AVAYA BARRACUDA NETWORKS CIAC CISCO FREEBSD FRISK F-SECURE HP ISS KDE LINUX DEBIAN LINUX FEDORA LINUX MANDRIVA LINUX REDHAT LINUX SUSE MICROSOFT NETSCAPE NOVELL OPENOFFICE SGI SUN SYMANTEC VMWARE XINE ORACLE VIRUS 52 52 52 53 53 56 57 57 57 57 57 58 58 58 58 59 59 59 59 59 60 60 60 61 61 61 62 62 ATTAQUES 63 PSIPHON 63 OUTILS Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés 63 Page 4/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 Le mot de la rédaction … Quelle meilleure illustration pourrait-on donner de la difficulté qu’il y a à faire coexister gadgets et protection de la vie privée que l’étude menée par des chercheurs de l’université de Washington sur l’utilisation détournée des informations transmises par le capteur livré avec le kit Apple ‘Nike+iPod’. Installé sur les chaussures d’un sportif, ce capteur transmet différentes données permettant à ce dernier de visualiser ses performances sur son iPod. Aucun mécanisme de protection n’est installé, le numéro d’identification du capteur est unique et les données transmises peuvent être acquises jusqu’à une distance d’environ 2 mètres. Peut-on imaginer meilleur moyen de suivre un individu ? Que l’on se rassure, ce kit n’est pas le seul disponible sur le marché qui diffuse sans grande protection des données a priori anodines mais susceptibles, non seulement de faciliter la tracabilité d’un individu mais aussi de révéler des informations sur son état de santé. Il va falloir s’habituer à vivre dans un monde où l’anonymat sera une valeur rare. http://www.cs.washington.edu/research/systems/privacy.html Deux nouveaux cas de phishing ont touché ce mois-ci deux banques françaises, la Caisse d’Epargne le 16 décembre et Axa Banque le 18. Dans les deux cas de figure, les requêtes aboutissent in fine à un même serveur dont l’adresse IP se trouve dans un bloc d’adresses attribué au «Cairo Educational District network». Si les courriers d’invitation sont encore rédigés dans un français approximatif, et certainement pas dans la forme attendue de la part d’une banque, les faux sites sont remarquablement bien reproduits. A cela rien d’étonnant puisque l’escroc s’est contenté de copier le site original en le modifiant pour retransmettre les authentifiants vers un site tiers hébergé, lui, au EtatsUnis, les images et autres ressources annexes étant toujours chargées depuis le site original. http://www.websense.com/securitylabs/alerts/alert.php?AlertID=717 Signe des temps, et résultat de la mise en œuvre de techniques de diffusion de courriers en masse n’ayant même plus besoin de s’appuyer sur des relais de messagerie ouverts nous pensons aux réseaux de robots – la célèbre base ‘ORDB’ ou Open Relay DataBase sera arrêtée le 31 décembre. Utilisateurs de cette base, pensez à mettre à jour la configuration de vos outils anti-spam. http://www.ordb.org/news/?id=38 Autre signe des temps, Belgacom a annoncé l’arrêt définitif de son service de TELEX, 200 personnes utilisant encore celui-ci, l’annuaire comptant quelques 350 adresses. Une performance remarquable pour un système conçu dans les années 20 et un réseau d’une fiabilité exemplaire. http://www.fr.datanews.be/news/network_and_telecom/networks/20061221016 Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 5/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 Enfin, pour terminer cette année 2006, nous nous permettons de présenter quelques graphiques utiles pour comparer l’évolution des alertes et des avis de sécurité traités par notre service de veille entre 2005 et 2006. Suivi 2006 Suivi 2005 Reprises d'avis 11% Reprises d'avis 10% Alertes 43% Alertes 45% Informations 44% Informations 47% Alertes Informations Reprises d'avis Alertes Informations Reprises d'avis La répartition des informations dans les trois catégories de regroupement que nous utilisons reste assez constante. En 2006 nous aurons ainsi diffusé 1564 alertes (1452 en 2005), 1521 informations (1610 en 2005) et 372 reprises d’avis (339 en 2005) soit une moyenne de 6,2 alertes par jour ouvrable (5,8 en 2005). Nombres d'alertes mensuelles (2006) Nombres d'alertes mensuelles (2005) 200 152 143 128 119 130 151 139 144 136 125 139 126 130 101 98 100 147 148 130 133 131 125 93 Nombre d'alertes 120 107 100 152 118 121 129 146 138 152 98 113 113 132 113 140 80 80 35 29 31 42 29 26 30 27 28 30 27 22 29 39 25 36 40 20 14 25 30 33 18 31 37 20 38 60 60 Decembre Novembre Octobre Septembre Août Juillet Juin Mai Mars Janvier Decembre Novembre Octobre Septembre Août Juillet Juin Mai Avril Mars Février Janvier Avril 0 0 Février 40 Nombre de reprises d'avis 160 86 100 Nombre d'alertes Nombre d'informations 180 110 121 122 140 127 120 102 Nombre d'alertes 140 123 160 146 180 131 135 200 194 Nombre d'alertes Nombre d'informations Nombre de reprises d'avis M i 200 Nombre d'alertes Nombre d'informations Nombre de reprises d'avis Polynomial (Nombre d'alertes) 175 150 125 100 75 50 25 nov-06 sept-06 juil-06 mai-06 mars-06 janv-06 nov-05 juil-05 sept-05 mai-05 mars-05 janv-05 nov-04 sept-04 juil-04 mai-04 mars-04 janv-04 nov-03 sept-03 juil-03 mai-03 janv-03 mars-03 nov-02 juil-02 sept-02 mai-02 mars-02 nov-01 janv-02 sept-01 juil-01 mai-01 mars-01 janv-01 0 ## L’équipe de veille technologique souhaite à tous ses lecteurs de très ## ## bonnes fêtes de fin d’année et une excellente nouvelle année 2007 ## Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 6/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 P PR RO TEECCH OD DU HN UIIT NO OL TS LO SE OG GIIE ET TT ES S LES PRODUITS AUDIT PHP - PHPSECINFO $ Description Proposé par le consortium PHP Security, l’utilitaire PhpSecInfo prend la forme d’un paquetage prêt à l’emploi et destiné à évaluer la qualité de la configuration d’un environnement PHP. Son utilisation est on ne peut plus simple: le paquetage livré sous la forme d’un fichier d’archive est décompressé sous l’arborescence WEB du site à auditer. Il suffira ensuite d’accéder simplement, via un quelconque navigateur, au fichier ‘index.php’ présent à la racine du paquetage pour obtenir un état des lieux immédiat et complet du niveau de sécurité de la configuration courante. Les problèmes éventuels sont organisés par catégories et mis en évidence à l’aide d’un code de couleur comme cela peut être vu sur la copie d’écran présentée ci-contre. L’approche ici retenue, similaire à celle proposée par la célèbre fonction ‘phpinfo()’ laquelle affiche la configuration complète de l’environnement, autorise une mise en œuvre immédiate et aisée. La taille très réduite du paquetage décompressé – moins de 80Ko - permet d’intégrer celui-ci sur une clef USB, ou sur tout autre support amovible - qui sera simplement installé sous le répertoire ad hoc le temps du test. Un très intéressant guide consacré à la sécurisation de l’environnement PHP est par ailleurs proposé sur le site du PHP Security Consortium. La table des matières de cet ouvrage est la suivante: 1. Overview 1.1 What Is Security? 1.2 Basic Steps 1.3 Register Globals 1.4 Data Filtering 1.5 Error Reporting 2. Form Processing 2.1 Spoofed Form Submissions 2.2 Spoofed HTTP Requests 2.3 Cross-Site Scripting 2.4 Cross-Site Request Forgeries 3. Databases and SQL 3.1 Exposed Access Credentials 3.2 SQL Injection 4. Sessions 4.1 Session Fixation 4.2 Session Hijacking 5. Shared Hosts 5.1 Exposed Session Data 5.2 Browsing the Filesystem 6. About 6.1 This Guide 6.2 The PHP Security Consortium 6.3 More Information Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 7/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 Ce guide est disponible en accès en ligne mais aussi aux formats HTML, PDF et DocBook Lite en langues Anglaise, Française, Roumaine et Serbe. Les auteurs du paquetage ‘PhpSecInfo’ lancent un appel à contribution auprès des bonnes volontés pour les aider à intégrer de nouveaux tests et à compléter la documentation. Une liste de diffusion dédiée a été activée pour favoriser les échanges d’idées. $ Complément d’information http://phpsec.org/projects/phpsecinfo/ http://phpsec.org/projects/guide/ LES - Outil PHPSecInfo - PHP Security Guide TECHNOLOGIES RFID – GUARDIAN UN PAREFEU INDIVIDUEL $ Description Sous le titre ‘A Platform for RFID Security and Privacy Administration’, deux chercheurs de l’université de Delft et de l’université Vrije d’Amsterdam nous présentent les résultats du développement d’un équipement destiné à filtrer et à contrôler les accès effectués sur les dispositifs RFID de l’utilisateur. On notera que ce rapport d’étude a été récompensé lors de sa présentation à la vingtième conférence ‘USENIX/SAGE Large Installation System Administration’ ou ‘LISA’. L’idée des auteurs est assez remarquable et s’inspire des développements effectués par certains bidouilleurs pour mettre en place des attaques de type Guardian ‘Man-in-The-Middle’: un dispositif joue le rôle d’une passerelle entre l’étiquette et le lecteur. e Brouillage ns po Dans le cas du développement ici présenté et dénommé ‘Guardian’, l’approche Ré retenue consiste, non pas à mettre en place une passerelle interceptant et RFID TAG1 Requête relayant si besoin les requêtes - éventuellement modifiées - de part et d’autre, Reader mais un dispositif de médiation assurant la validation de la requête émise par le TAG2 lecteur et bloquant, si nécessaire, toute réponse de la part de l’étiquette interrogée. Pour se faire, la réponse de l’étiquette sera brouillée sélectivement TAGi interdisant ainsi son acquisition par le lecteur RFID à l’origine de la requête. Cette approche, simple et efficace bien qu’assez complexe à implémenter, permet de disposer d’un mécanisme de protection sélectif tout en étant conforme à la norme ISO-15693. S’appuyant sur un lecteur RFID du commerce et un émulateur d’étiquette électronique conçu par l’équipe et destiné à être alimenté sur batterie et miniaturisé, le prototype – dont une photographie est reproduite ci-contre fonctionne actuellement avec des étiquettes 13.56Mhz au standard ISO-15693. Le rapport d’étude précise les choix techniques en matière d’architecture matérielle et logicielle ainsi que les performances du procédé de brouillage. Un tableau de synthèse permet de comparer les principales caractéristiques de ce dispositif avec celles de six projets plus ou moins similaires: la technologie ‘NFC’ (Near Field Communication), le dispositif ‘Data Pivatizer’ de FoeBuD une organisation allemande pour la protection de la vie privée, les projets ‘Blocker Tag’ et ‘RFID Enhancer proxy’ de la société RSA, le logiciel ‘Field Probe’ du MIT et enfin les superbes dispositifs de copie ‘ProxCard Cloner’ réalisés par un amateur. $ Complément d’information http://www.cs.vu.nl/~melanie/rfid_guardian/ http://www.cs.vu.nl/~melanie/rfid_guardian/papers/lisa.06.pdf - Présentation du projet - Rapport d’étude PHISHING CMU - EVALUATION DES BARRES ANTI-PHISHING $ Description Publié dans le cadre d’un travail de recherche effectué au laboratoire ‘CyLab’ de l’université de Carnegie-Mellon, le rapport de recherche CMU-CYLab-06-018 ‘Phinding Phish: An Evaluation of Anti-Phishing Toolbars’ nous présente les résultats de l’évaluation de dix outils de protection contre le Phishing s’intégrant dans la barre d’outils d’un navigateur. Après une rapide présentation des fonctionnalités et de l’interface graphique des 10 outils objets de l’évaluation, les auteurs détaillent les conditions d’expérimentation qui les ont conduit à devoir procéder en trois étapes: Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 8/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 - Une évaluation manuelle de la capacité de cinq des outils à détecter faiblement un site de Phishing. Une plateforme constituée d’un portable MacIntosh et de quatre PC a été mise en place pour tester simultanément la capacité de détection de cinq outils sur une durée de 36 heures. Une liste statique de 50 sites identifiés depuis moins de 36 heures par un éditeur de produits de filtrage a été utilisée comme source de test. On notera ici que les auteurs se sont heurtés à un problème de fond lié à la très grande volatilité de ces sites – durée de vie inférieure à la semaine voire même désormais à la demi-journée – et à l’absence de source d’identification indépendante. Ce premier test met en évidence la très forte réactivité de l’outil NetCraft qui s’appuie sur la base de données du site éponyme par ailleurs bien souvent citée comme étant l’une des premières sources d’informations contrairement à la majorité des outils qui mettent en œuvre une approche heuristique. Ainsi, l’outil NetCraft a été à même d’identifier 48 des 50 sites de la liste de test, suivi des outils TrustWatch (société GeoTrust) avec 34 sites identifiés et SpoofGuard (Université de Stanford) avec 31 sites identifiés. A l’opposé, l’outil proposé par CloudMark n’a pu identifier un seul site. - La réévaluation des cinq outils précédents par le biais d’une plate-forme automatisée. La charge de travail liée au nombre d’outils à évaluer et le cycle de vie extrêmement court des sites de référence a imposée la mise en place d’un système permettant d’automatiser les tests. Dans cette expérience, les 100 sites de référence ont été fournis par l’association APWG (Anti-Phishing Working Group) puis examinés dans l’heure de leur apparition avant d’être soumis une première fois aux outils puis de nouveau 2h, 12h et 24h après. Cette approche permet de prendre en compte la mise à jour des bases de données utilisées par les outils ainsi que le cycle de vie des sites retenus comme référence. Pour mesurer, la qualité des procédés heuristiques utilisés par certains outils, 100 sites légitimes - dont un bon tiers appartenant à des banques connues ont aussi été testés. Ce second test démontre tout d’abord l’extrême volatilité des sites de phishing: si 98 URL étaient encore actives après qu’une heure se soit écoulée, 73 l’étaient encore au bout de 12 heures et seulement 40 au bout de 24 heures. Soit une période de vie de moins de 24 heures. En ce qui concerne les outils, Trustwatch laisse la position de tête aux outils SpoofGuard (moteur heuristique) et Netcraft (base de référence), la différence de performances entre ces deux devenant insignifiante au bout de 2 heures. - L’extension de l’évaluation automatisée aux dix outils à l’aide de la plate-forme précédemment qualifiée mais en s’appuyant des sites de phishing identifiés par le projet PhishTank et traités comme précédemment. La mesure du taux d’erreur a été effectuée à partir d’une partie de la liste utilisée dans le test précédent à laquelle 510 nouveaux sites légitimes extraits d’une liste publiée par 3Sharp ont été ajoutés. Les résultats de ce test font apparaître en bonne place les outils EarthLink (base de référence), Google Safe Browsing (moteur heuristique et base de référence) et IE7 (moteur heuristique et base de référence). L’outil SpoofGuard conserve la tête du classement. On admirera la performance de cet outil universitaire entièrement conçu autour d’un mécanisme heuristique lequel ne nécessite aucune interaction avec une base de données tierce. On notera par ailleurs que ces résultats contredisent ceux de l’étude menée en septembre dernier par la société 3Sharp laquelle annonçait: « The overall results of these tests show that Internet Explorer 7 Beta 3 with Phishing Filter had the best overall accuracy, resulting in an overall composite score of 172 out of a possible 200. The Netcraft Toolbar was close behind Internet Explorer 7 with a composite score of 168. » L’étude du laboratoire ‘CyLab’ ne serait pas complète si elle n’abordait pas un point trop rarement traité, celui de la susceptibilité de ces outils aux agressions externes, et notamment leur robustesse en terme d’intégrité et de fiabilité des résultats. Les auteurs ont étudié deux cas de figures. Le premier cas consiste à proposer une adresse de site modifiée mais toujours valide afin de contourner les mécanismes de listes noires utilisés par au moins huit des dix produits testés. Pour ce faire un service de redirection est utilisé, en l’occurrence, le service proposé par le projet de réseau de distribution de contenu (ou ‘CDN’) Coral Projet lequel intègre l’adresse du site original dans l’adresse d’accès. Il suffit en effet de post-fixer n’importe quelle URL par ‘.nyud.net:8090’ pour faire transiter une requête WEB par l’un des nombreux serveurs de ce projet. Cette approche met en difficulté les outils ‘Cloudmark’, ‘Google’, ‘McAfee’, ‘TrustWatch’, ‘NetCraft’ et ‘NetScape’, outils qui tous utilisent une base de données externe de type ‘liste noire’. Le second cas tire parti de la conception de certains outils, qui utilisant une approche heuristique, attendent d’avoir reçu l’intégralité de la page pour prendre une décision. En ralentissant la fin du chargement de la page, il est possible Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 9/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 d’induire l’usager en erreur tout en lui présentant une page HTML a priori complète et exploitable. Les outils ‘SpoofGuard’ et ‘eBay Toolbar’ peuvent ainsi être manipulés. Nous proposons ci-après, un tableau récapitulatif des outils testés, tableau hélas absent du rapport d’étude. Nom Phishing Filter Google Safe Browsing SiteAdvisor eBay Toolbar Anti-Fraud ToolBar SpoofGuard EarthLink Toobar NetCraft Toolbar TrustWatch Browser 8.1 Editeur Microsoft Google McAfee eBay CloudMark Standford EarthLink NetCraft GeoTrust Netscape Accès Free Free Free Free NA Free Free Free Free Free IE IE7.0 X X X X X X X X Firefox X X X X X Heuristique X Probable X X X X Base vérifiée X Probable X X Probable User Report Probable X X Probable X X X Probable Note: la barre CloudMark ne semble plus être disponible au téléchargement à l’heure de l’écriture de ce rapport. La table des matières de ce rapport d’étude est la suivante : 1. INTRODUCTION 2. OVERVIEW OF ANTI-PHISHING TOOLBARS 2.1 Cloudmark Anti-Fraud Toolbar 2.2 EarthLink Toolbar 2.3 eBay Toolbar 2.4 GeoTrust TrustWatch Toolbar 2.5 Google Safe Browsing 2.6 McAfee SiteAdvisor 2.7 Microsoft Phishing Filter in Windows Internet Explorer 7 2.8 Netcraft Anti-Phishing Toolbar 2.9 Netscape Browser 8.1 2.10 SpoofGuard 3. ANTI-PHISHING TOOLBAR EVALUATION 3.1 Experiment #1 – Manual Evaluation of Anti-Phishing Toolbars 3.2 Design and Implementation of an Automated Anti-Phishing Test Bed 3.3 Experiment #2 – Automated Evaluation of Five Anti-Phishing Toolbars 3.4 Experiment #3 – Automated Evaluation of Ten Anti-Phishing Toolbars 4. TOOLBAR EXPLOITS 5. DISCUSSION 5.1 Toolbar Performance 5.2 Testing Methodology 5.3 User Interfaces 6. CONCLUSIONS 7. ACKNOWLEDGEMENTS Un second rapport ayant trait au Phishing, et intitulé ‘The Design and Evaluation of an Embedded Training Email System’, a été publié début novembre par une autre équipe du CyLab dont le thème était la réalisation d’un environnement d’enseignement destiné à éduquer les usagers de l’Internet. Un tel enseignement peut intervenir à deux niveaux lesquels correspondent aux deux supports actuellement utilisés par les escrocs: le service de messagerie en tant que moyen de prise de contact avec les cibles, les services WEB en tant que supports proprement dits de l’escroquerie. Les auteurs de l’étude ont décidé d’intervenir au premier niveau en concevant un système d’enseignement destiné à être intégré à une messagerie existante et ceci dans l’optique d’éduquer les usagers à identifier rapidement les messages frauduleux et à gérer correctement la situation. L’approche retenue consiste à envoyer assez régulièrement de faux messages frauduleux – et donc générés localement - aux usagers de la messagerie en dirigeant les personnes tombées dans le piège vers une page à caractère éducatif. A ce niveau, trois formes de présentation ont été étudiées: la première sous la forme d’une simple notification de sécurité, la seconde interactive et prenant la forme d’un questionnaire accompagné d’illustrations, la dernière statique mais ludique sous la forme d’une bande dessinée. Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 10/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 Le message pédagogique associé aux deux dernières présentations visait à enseigner quatre automatismes: - ne jamais cliquer sur un lien présent dans un message, - initier le contact manuellement (en tapant manuellement l’URL dans le barre d’adresse du navigateur), - toujours en référer au service support - ne jamais fournir d’informations personnelles. Des tests ont été menés sur trois groupes de 10 utilisateurs ‘type’ en présentant à ceux-ci respectivement l’une des trois formes précédemment décrites, pour mémoire: la notification de sécurité (présentation classiquement utilisée par les outils du commerce), le questionnaire et ses illustrations, la bande dessinée. Les résultats mettent prioritairement en évidence un manque d’éducation des personnes testées vis-à-vis de leur environnement de travail: 80% d’entres-elles ne savent pas identifier l’URL sous-jacente à un lien cliquable par le simple passage du curseur sur ce lien. Sur les 30 personnes testées, 9 ont cliqué sur un lien associé à un service sur lequel elles n’avaient pas (et ne pouvaient avoir) de comptes d’accès. Sur ces 9 personnes, 4 ont tout de même immédiatement fermé la page après avoir activé le lien. Le syndrome de l’action préalable, et de la réflexion a posteriori, semble bien être une caractéristique de l’espèce humaine. En terme de qualité de l’enseignement, la troisième approche – bande dessinée - semble être la plus efficace. En effet, quand toutes les personnes du dernier groupe sont tombées dans le piège du tout premier message frauduleux seules 30% d’entres-elles se faisaient piéger par le tout dernier message. Dans le premier groupe – notification de sécurité – 8 personnes tombaient encore dans le panneau sur les 9 s’étant fait piéger en début d’entraînement. Enfin, dans le cas du second groupe – questionnaire et illustrations – 5 personnes étaient toujours abusées par le dernier message sur les 8 piégées en début de test. Qui oserait encore prétendre que la bande dessinée n’a aucune valeur éducative ? Peut-être verrons-nous ainsi un épisode de South Park traiter de ce sujet avec une imagination comparable à celle des épisodes ‘Trapper Keeper’ (sur les dangers des assistants personnels) et ‘Make love, not Warcraft’ (sur le danger des jeux en ligne). $ Complément d’information http://www.cylab.cmu.edu/files/cmucylab06017.pdf http://www.cylab.cmu.edu/files/cmucylab06018.pdf Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés - Rapport - Etude d’un outil d’enseignement intégré - Rapport - Evaluation des outils anti-phising Page 11/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 IIN NF LEEG FO GIIS OR RM SL MA LA AT AT TIIO TIIO ON ON NS N SE ET TL LES INFORMATIONS VEILLE HNS - (IN)SECURE MAGAZINE N°9 $ Description Le neuvième numéro du magazine ‘(IN)SECURE Magazine’ a été mis en ligne à la fin du mois de novembre. Comportant 78 pages et 9 articles, ce numéro traite de quelques thèmes d’actualité dont la protection des architectures dites ‘WEB 2.0’ et le protocole iSCSI. La rubrique Corporate News est, ce mois-ci, particulièrement fournie avec l’annonce du rachat de la société ‘Counterpane’ (fondée par B.Schneier) par British Telecom, le quinzième anniversaire de la création de PGP et les annonces de nouveaux produits eEye, Mac Afee, Secure Computing, Spy Dynamics ou encore d’un service hébergé par Adobe. Au sommaire de ce numéro: Corporate news A case study of security warnings in a web browser setting Interview with Kurt Sauer, CSO at Skype Latest addition to our bookshelf Web 2.0 defense with AJAX fingerprinting and filtering Hack In The Box Security Conference 2006 Where iSCSI fits in enterprise storage networking Software spotligth Recovering user passwords from cached domain records Do portable storage solutions compromise business security? Events around the world Enterprise data security - a case study Creating business through virtual trust 5p 8p 3p 2p 10p 3p 2p 1p 8p 6p 1p 8p 14p R S C R T C G R T G R G R R: Rubrique mensuelle G: Synthèse généraliste S: Synthèse technique C: Présentation publicitaire T: Présentation technique Nous avons particulièrement apprécié les 4 articles suivants: Do portable storage solutions compromise business security ? Rob Faber Rob Faber, un architecte des SI travaillant pour une société d’assurance néerlandaise, nous propose ici un tour d’horizon des solutions permettant d’assurer la protection des données stockées sur des supports amovibles. Bien que ce qualificatif puisse s’appliquer à de nombreux dispositifs – lecteurs mp3, disques durs amovibles, téléphones portables voir appareils photos – les clefs USB sont plus particulièrement désignées du doigt comme faisant peser une réelle menace sur les actifs des sociétés. Avec un prix défiant toute concurrence pour une capacité mémoire sans cesse augmentée, de plus en plus de fonctions embarquées et une taille tellement réduite qu’il est très facile de les égarer, ces dispositifs posent d’autant plus un problème de sécurité qu’ils offrent par ailleurs tout le confort attendu d’un support d’information: facilité d’utilisation, universalité du support et du format de stockage et, ce n’est pas le moindre de leurs atouts, une fiabilité assez exceptionnelle au regard des traitements qu’ils subissent ! Vouloir interdire l’utilisation de ces dispositifs est une gageure sauf peut-être dans le cas de systèmes critiques pour les fonctions qu’ils remplissent ou pour les données qu’ils hébergent. Ici, l’invalidation physique et logique des ports USB devra être envisagée. Dans tous les autres cas, outre l’intégration d’un volet spécifique à l’utilisation de ces dispositifs dans la politique de sécurité, l’application de consignes strictes dans le choix des clefs USB et la mise en œuvre d’outils de renforcement et de contrôle doivent être impérativement envisagées. L’auteur de l’article traite ces deux approches complémentaires en détaillant tout d’abord les fonctionnalités offertes par les clefs USB dites ‘de sécurité’ lesquelles embarquent des fonctions de chiffrement des données pour en garantir la confidentialité mais aussi d’authentification biométrique de l’utilisateur pour en contrôler l’accès. Il présente ensuite quelques logiciels assurant le contrôle d’accès aux ports USB d’un quelconque poste de travail. Une liste de dispositifs et de logiciels est proposée dans l’article, liste que nous avons été amené à corriger et compléter. Le rapide tour du marché a mis en évidence une réelle explosion du marché des clefs USB biométriques qui nous a quelque peu étonnés au regard de l’état de ce même marché il y a moins d’un an. Clefs chiffrantes Kingston Data-Traveler Elite Kobil mIDentity Lexar Jumpdrive Secure II SafeBoot Phantom Contrôle des périphériques Centennial DeviceWall Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Clefs avec authentification biométrique AData MyFlash USB Fingerprint Atmel Finger Gear Axiom BioDrive CardMedia BioDisk Biometric Edge DiskGo Biometric HLS HLS Biometric USB Page 12/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 GFI Safeboot SecureWave Smartline UBM Utimaco Endpoint Security PortControl Sanctuary Devicelock Drivelock Safeguard Advanced Security Kanguru Lexar MXI RiTech SafeBoot San-Disk Sony Transcend Bio Slider II Jumpdrive TouchGuard MXP Stealth et ClipDrive Bio BioSlimDisk 2.0 et BioSlimDisk iCool Silhouette Cruzer Profile Micro Vault Jetflash 210 Cette technologie semble désormais être mature et les composants spécialisés assurant cette fonctionnalité sont en passe d’être intégrés dans de multiples équipements domestiques dont, par exemple, les verrous de porte. Web 2.0 defense with AJAX fingerprinting and filtering Shreeraj Shah Contraction des termes ‘Asynchronous JavaScript And XML’, AJAX désigne une approche très en vogue depuis quelque temps ayant pour objectif d’améliorer l’interactivité des applications WEB. L’idée générale de cette approche est de générer le code HTML au plus près du navigateur en s’appuyant sur le langage Java, les données dynamiques étant acquises par le biais d’appels distants utilisant le langage XML et des procédures Ad’hoc. Pour mémoire, cette approche fût utilisée avec succès dans d’autres environnements bien avant l’émergence du WEB mais elle prend toute sa valeur dans le contexte fortement hétérogène, évolutif et interconnecté des systèmes d’information actuels. Derrière le terme inapproprié de WEB 2.0 se cache en réalité un assemblage opportun de technologies mises en œuvre pour parer à l’inadéquation du modèle client/serveur tel qu’il est implémenté avec les technologies WEB usuelles. L’approche AJAX permet ainsi de résoudre le problème fondamental posé par l’inadéquation du modèle ‘state-less’ (ou sans maintien d’état sur le serveur) avec les besoins des applications fortement interactives. Un article intitulé ‘Advantages of the Ajax/REST architectural style for immersive Web applications’ publié début octobre sur l’un des sites WEB de la société IBM propose, entre autres, un historique de l’évolution de l’architecture client/serveur WEB illustré à l’aide des dessins suivants: Architecture de base Pages statiques Architecture dynamique Pages statiques Architecture dynamique Violation du principe ‘state-less server’ Architecture dynamique Application AJAX respectant le principe La clef de voûte de ce nouvel édifice prend la forme d’un objet spécifique – un stub dans le jargon issu du monde des RPC (appels de procédures distantes) – offrant toutes les méthodes nécessaires pour transférer des données entre un serveur WEB et le code de la page active invoquant cet objet sans utiliser d’autres protocoles que le protocole natif du WEB, le protocole HTTP. Plusieurs implémentations, principalement liées au langage de programmation utilisé, sont actuellement disponibles. Ainsi, en environnement ‘Java’ on utilisera l’objet ‘JSONRequest’ et la structure de données JSON associée quand, dans l’environnement Microsoft, l’objet ‘XMLHttpRequest’ permettra de manipuler des structures de données XML en s’appuyant sur le protocole SOAP (Simple Object Access Protocol). Rien n’est encore simple … A nos lecteurs qui souhaiteraient comprendre l’utilisation de l’objet ‘XMLHttpRequest’, et les interactions entre celuici et l’environnement extérieur, nous conseillons fortement la lecture du très intéressant article interactif intitulé ‘Using the XML HTTP Request object’. Le lecteur prendra soin d’activer préalablement l’indispensable outil de débogage ‘Fidler’ afin de disposer d’une trace détaillée de tous les échanges et de pouvoir rejouer à volonté ceux-ci. La lecture de l’excellente présentation ‘Why AJAX Applications are far more likely to be insecure, and What to do about it’ effectuée par Dave Wichers durant la conférence AppSec 2006 est également conseillée. L’utilisation d’un protocole de transport non dédié (le protocole http et les méthodes associées) pour transférer aussi bien les requêtes de l’utilisateur final que celles issues des traitements effectués par le code chargé dans le navigateur simplifie fortement la conception des applications et des services sous-jacents. Cette approche pose en revanche de réels problèmes en matière de sécurité dont celui de la séparation des flux en vue de l’application d’une politique de filtrage adaptée. L’auteur de l’article publié dans la revue HNS, Shreeraj Shah le fondateur de la société ‘NetSquare’, pose le Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 13/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 problème de la possibilité d’identifier les requêtes (et les réponses) en provenance d’un composant AJAX à partir des seules informations présentes dans celles-ci. Si cette distinction ne peut être nativement opérée, il reste possible de concevoir une architecture dans laquelle les modules AJAX rajoutent un en-tête spécifique dans chacune des requêtes qu’ils génèrent. L’auteur propose ainsi l’utilisation d’un en-tête ‘Ajax-TimeStamp’ inséré par le client et contrôlé par le serveur via un module de filtrage tel le fameux ‘mod-security’ en environnement Apache. Outre un horodatage, cet en-tête pourra contenir un élément cryptographique indéniable et vérifiable. Plusieurs stratégies pourront alors être mises en place, la plus simple consistant à rejeter toute requête ne contenant pas cet identifiant en considérant ici qu’il ne pourra être forgé par un tiers. L’auteur présente différents exemples pratiques accompagnés d’extraits de code. On notera que la technologie AJAX vient à point pour relancer le développement d’outils d’analyse et d’audit. Citons ainsi l’annonce récente du projet ‘SPAJAX’ par l’OWASP et celle du support par la version 3.0 de l’outil DevInspect de la société SpyDynamics des extensions AJAX intégrées à l’environnement .NET 2.0. http://www.owasp.org/images/0/0d/OWASPAppSec2006Seattle_Why_AJAX_Applications_More_Likely_Insecure.ppt http://www.w3.org/TR/XMLHttpRequest http://www.jibbering.com/2002/4/httprequest.html Recovering user passwords from cached domain records Dmitry Nefedov Ce très intéressant article technique est rédigé par le responsable des développements de la société ElcomSoft. Cette société est probablement déjà connue de nos lecteurs pour les outils de ‘récupération’ de mots de passe qu’elle développe mais aussi pour avoir été poursuivie en justice en 2002 pour avoir développé un lecteur compatible avec le format eBook de la société Adobe. L’auteur intervient donc ici dans son domaine de spécialisation en nous détaillant le mécanisme de gestion des crédits d’authentification des utilisateurs en environnement Windows, et plus particulièrement le mécanisme de maintien en mémoire dit ‘Domain Cached Credential’ ou ‘DCC’. Ce mécanisme – qui fait d’ailleurs indirectement l’objet d’un billet intitulé ‘The Case of the Delayed Windows Vista File Open Dialogs’ par Mark Russinovitch – permet de maintenir la capacité d’authentification de l’utilisateur dans l’hypothèse où le serveur serait devenu indisponible. Après avoir exploré les mécanismes internes mis en œuvre, plus ou moins bien documentés par Microsoft, l’auteur aborde un sujet plus délicat, celui des techniques permettant de récupérer les condensés de mots de passe présents – Hash dans le jargon - en mémoire à des fins théoriquement parfaitement légales, la recherche d’un mot de passe oublié. On notera que l’auteur suggère fortement de pas utiliser certains logiciels ou techniques permettant de réinitialiser les mots de passe perdus, les opérations associées pouvant conduire à la perte des ressources qui étaient attachées au compte dont les certificats, données privées et autres informations personnelles parfois critiques. Il apparaît en pratique que, bien que toute l’information utilise soit présente dans le cache y compris la forme la plus simple du condensé héritée du système Windows NT, aucune erreur majeure ne soit présente dans la conception du mécanisme: l’enregistrement maintenu dans le cache est sauvegardé sous une clef de la base de registre correctement protégée (‘HKLM|\SECURITY\Cache’) et inaccessible sans manipulations complexes. Cet enregistrement est d’ailleurs lui-même chiffré, la fonction de déchiffrement étant cependant fournie dans l’article. En considérant que l’on puisse obtenir la clef de déchiffrement nécessaire – opération qui n’est pas détaillée – cet enregistrement dévoilera non seulement le nom de l’utilisateur, son identifiant et autres informations contextuelles mais aussi une séquence de vérification irréversible obtenue à partir du nom de l’utilisateur et du condensé du mot de passe. Il pourrait apparaître illusoire d’opérer une attaque en force pour découvrir le mot de passe donnant cette séquence de vérification si l’on ne tenait compte de la présence de la toute première forme du condensé dont le procédé d’attaque a été notablement améliorée avec l’arrivée des tables pré calculées dites ‘Rainbow Tables’. C’est donc cette forme de condensé qui sera prioritairement attaquée. Il faudra ensuite vérifier que le mot de passe révélé génère une séquence de vérification identique à celle contenue dans l’enregistrement en cache. L’auteur fait à ce niveau remarquer que l’implémentation Windows native des différents algorithmes n’est pas des plus optimisée pour les processeurs récents et qu’un gain conséquent en terme de performances peut être obtenu à l’aide d’optimisations spécifiques. Il annonce ainsi atteindre 4.6 millions de calculs de Hash par seconde sur un AMD 2500+ avec un code optimisé, un gain de 50% pouvant encore être visé. Sa conclusion est classique: le maillon le plus faible reste et restera toujours le mot de passe lui-même qui mal choisi sera très rapidement révélé et mettra à son tour en péril les ressources tierces gérées ou accédées par l’utilisateur. http://blogs.technet.com/markrussinovich/archive/2006/11/27/532465.aspx Effectiveness of security by admonition C.Seifert and all Sous-titré ‘A case study of security warnings in a web browser setting’, cet article traite des interactions pouvant avoir lieu entre l’utilisateur et les mécanismes implémentant une politique de sécurité dans un système d’information, et dans le cas particulier ici traité, dans un navigateur WEB. Le terme ‘admonition’ ici employé s’avère avoir été utilisé en français mais semble être tombé en désuétude. Le TLFi indique à son propos qu’il s’agit de « l’action de donner un avertissement; de la manifestation concrète de cette action.». Cette définition qui colle parfaitement avec le thème central de l’article, celui des avertissements de sécurité transmis à l’utilisateur lorsqu’une action contraire à la politique de sécurité est sur le point d’être engagée, la décision finale étant laissée à ce dernier. La question posée tout au long de l’article par l’auteur est de savoir si cette approche est réellement efficace, et ceci à long terme. Tout un chacun a probablement encore en mémoire l’un de ces produits de sécurité qui interpellait l’utilisateur à tout bout de champ conduisant ce dernier à finir par systématiquement acquitter la notification sans même la lire, et dans certains cas, à autoriser l’action sans même plus se demander s’il y a bien lieu de le faire. Force est de constater que l’intrusion – pour reprendre le terme utilisé par l’auteur et parfaitement adapté à la situation - de ces notifications dans le champ de travail ne peut qu’aboutir à réduire le niveau de sécurité. L’une des Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 14/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 parades mises en œuvre par Microsoft avec le SP2 d’Internet Explorer a été d’abandonner le mécanisme de notification par boîte de dialogue au profit d’une barre de notification tout aussi interactive mais n’imposant plus une réponse immédiate de la part de l’utilisateur qui peut ainsi terminer le travail en cours. Pour étudier la réaction d’utilisateurs faisant face à une notification de sécurité conduisant à devoir choisir entre plusieurs options dont certains sont susceptibles d’atteindre à la sécurité de leur poste de travail, l’auteur a mis en place une expérience assez astucieuse. Un questionnaire a été établi, la page WEB présentant ce questionnaire faisant appel à un contrôle ActiveX créé pour l’occasion. Dûment signé, ce contrôle ActiveX n’a aucune autre fonction que celle d’enregistrer la réponse de l’utilisateur lorsqu’il se trouve confronté à la boîte de dialogue lui demandant la conduite à tenir: installer le contrôle ou refuser son Fenêtre de notification présentée par IE 6.0 SP2 dans le cadre de l’expérience installation. Pour éviter de biaiser l’expérience en induisant trop rapidement le doute dans l’esprit de l’utilisateur, le contrôle ActiveX utilisé a préalablement été signé. L’utilisateur est ainsi mis en confiance. L’auteur d’un programme malveillant n’irait tout de même pas jusqu’à aller signer son «forfait» ! En pratique, et comme l’auteur de l’article le fait remarquer, le niveau de confiance qu’il faut accorder à un ActiveX signé reste relativement peu élevé même lorsque cela est le fait d’une autorité de certification réputée. Dans le cas présent, l’auteur aura simplement eu à transmettre par fax une copie de son permis de conduire établi en Nouvelle-Zélande pour obtenir en moins de deux jours un certificat valide 90 jours. On imagine alors parfaitement qu’il soit possible de faire signer un ActiveX sans pour autant réellement dévoiler son identité… Une invitation à participer à une enquête sur l’usage des navigateurs WEB contenant un lien vers le questionnaire a été transmise à de nombreux forums WEB et listes de diffusion de langue anglaise ne traitant pas, de près ou de loin, de sujets liés à la sécurité. Dans le cas de l’utilisation d’un navigateur WEB Internet Explorer, l’utilisateur se voyait préalablement demander l’autorisation d’installation du contrôle ActiveX, lequel en cas d’acceptation présentait à l’utilisateur une fenêtre l’informant du bon déroulement de l’opération dont le résultat était par ailleurs transmis sur le site pour comptabilisation. Le questionnaire lui était ensuite présenté tout comme cela était aussi le cas si un autre type de navigateur était utilisé. Le dépouillement des réponses reçues et de la journalisation de l’installation du contrôle ActiveX a permis de mettre en évidence divers phénomènes intéressants ainsi qu’une cartographie de l’utilisation des différentes versions du navigateur Internet Explorer. Sur les 114 utilisateurs ayant participé, 65 utilisaient un navigateur Internet Explorer. Ces derniers sont plus nombreux à quitter l’expérience (13 sur 65 utilisateurs contre 4 sur 49). Ce résultat est directement, et statistiquement, corrélé à la présentation de la fenêtre d’alerte. Cependant, l’étude détaillée des résultats dans le groupe des utilisateurs ayant employé un navigateur Internet Explorer tend à prouver que la seule présentation d’une option permettant d’outrepasser une politique d’interdiction par défaut encouragera l’engagement d’actions à risque. La complexité des opérations à effectuer pour outrepasser la politique par défaut semble aussi devoir être prise en compte. Sur les 11 utilisateurs ayant installé le contrôle ActiveX, 3 d’entres eux utilisaient la version 6.0 (sur les 10 utilisant cette version au total) soit 30%, les 8 restants utilisant une version plus évoluée (sur 55 au total) soit 14%. Rappelons qu’à ce niveau, la différence entre la version 6.0 et les autres réside dans la procédure d’activation de l’installation d’un contrôle ActiveX, simple clic dans la boîte de dialogue affichée à l’écran dans le premier cas, sélection de la barre de notification puis sélection de l’option d’installation et enfin confirmation de l’installation dans les versions ultérieures. L’auteur conclut son article en proposant plusieurs solutions qui permettraient de limiter le risque qu’un utilisateur n’engage inconsidérément une action susceptible de porter atteinte à la sécurité de son environnement de travail sans pour autant sacrifier à l’ergonomie de celui-ci. Pour notre part, nous continuons à préférer les solutions de cloisonnement – Sand-Boxing dans le jargon – externes dont le produit libre CoreForce en environnement Windows XP et 2000 (Rapport N°90 – Janvier 2006) ou encore le remarquable produit BufferZone parfaitement adapté à cet usage (Rapport N°91 – Février 2006). $ Complément d’information http://www.insecuremagazine.com/INSECURE-Mag-9.pdf Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 15/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 PACSEC - 2006 $ Description La 4ième édition de la conférence PACSEC 2006 qui s’est tenue à Tokyo en novembre dernier a accueilli quinze présentations effectuées par des conférenciers Japonais, Américains mais aussi Allemands et Français. Rappelons que cette conférence s’inscrit dans un cycle plus large de conférences dédiées à la sécurité comprenant la célèbre conférence CanSecWest, se tenant à Vancouver depuis 2000 et EuSecWest dont la première édition a vu le jour en 2005 à Londres. La liste de toutes les présentations, classées par ordre alphabétique, est reproduite ci-après: Evolving Windows Shellcode Masaki Suenaga Symantec PPS Gacking fingerprint recognition systems Jan Krissler Fraunhofer PDF How to secure a networking stack: IPv6 and NetIO Abolade Gbadegesin Microsoft PPT IPTV: Triple Play Triple Threats YM Chen McAfee PDF IPV6 Mapping Yuji Ukai eEye PPT Linux Kernel == Security Nightmare Marcel Holtmann RedHat PDF Methods of increasing source code security automatically Ben Chelf Coverity PPT Mobile IPV6, Les Problemes A.Ebalard & G.Valadon EADS (F) PPT MSKK Security Fundamental Yuji Okuten Microsoft PPT On XSRF(Cross Site Request Forgery) and why you should care Martin Johns Un. Hamburg PDF OpenOffice/OpenDocument and MS OpenXML security Philippe Lagadec CELAR (F) PDF Smashing Heap by Free Simulation Sandip Chaudhari PPS Strong cryptographic payload obfuscation and encryption Ariel Waissbein Core Sec. PDF Undermining Security in Vista WCF Marc Schoenefeld Un. Bamberg PPT Nous nous proposons de détailler ci-après les présentations qui nous ont paru, à la lecture des supports, les plus intéressantes ou innovantes. How to secure a networking stack: IPv6 and NetIO Abolade Gbadegesin Avec un support de plus de 50 pages et d’un volume de 17Mo Abolade Gbadegesin, le principal architecte des piles réseaux Microsoft, nous propose une intéressante présentation des nouveaux mécanismes de communication, mais aussi de sécurité, ayant été intégrés sous Vista via la nouvelle architecture dite ‘NetIO’. L’architecture de communication jusqu’alors utilisée dans les systèmes Windows devait être considérée comme monolithique et opaque notamment vis-à-vis des mécanismes de sécurité pouvant être associés à certaines opérations. Ainsi s’il était possible de sécuriser un descripteur d’entrée/sortie, la même opération était difficilement applicable à un ‘socket’ réseau quand bien même celui-ci pouvait être rattaché à ce même descripteur d’entrée/sortie sécurisé. Avec sa nouvelle architecture NetIO, Microsoft se propose de séparer les fonctions de sécurité des fonctions de traitement, fonctions jusqu’alors intimement mêlées. Il deviendra alors possible d’appliquer une politique de sécurité sur les fonctions réseaux avec une granularité jamais atteinte par le biais des mécanismes regroupés dans le nouveau composant ‘WFP’ (Windows Filtering Platform). C’est en pratique toute la logique classiquement utilisée qui est revue avec l’addition de nombreuses fonctionnalités aussi bien dans la gestion des ports réseaux (réservation de ports, fonctions d’ouverture étendues des sockets, …) que dans celle des protocoles (fonctions d’optimisation des paramètres réseaux, gestion de la qualité de service, …). Le lecteur intéressé par ce sujet pourra lire l’excellent article ‘New Networking Features in Windows Server "Longhorn" and Windows Vista’ accessible sur le site Microsoft Technet et suivre les dernières nouveautés via le blog ‘Windows Core Networking’ hébergé sur MSDN. http://www.microsoft.com/technet/network/evaluate/new_network.mspx http://blogs.msdn.com/wndp/default.aspx - Article - Blog Gacking fingerprint recognition systems Jan Krissler Avec cette présentation intitulée ‘Gacking fingerprint recognition systems’ Jan Krissler du Fraunhofer Institute allemand aborde un sujet que nous apprécions particulièrement: la mise en défaut des systèmes de reconnaissance d’empreintes digitales. Il nous propose ainsi une véritable étude de sécurité en analysant les points de faiblesse de chacun des quatre sous-ensembles d’un système de reconnaissance d’empreintes classiquement utilisé pour authentifier l’usager d’un poste informatique: le capteur, l’interface de raccordement, le logiciel d’analyse et la base de référence. Chacune des techniques permettant d’induire en erreur le système est étudiée: contrefaçon d’une empreinte, réactivation d’une empreinte latente sur le capteur, acquisition des données brutes transférées entre ce dernier et le logiciel de traitement, manipulation des références, … Il apparaît cependant que l’attaque la plus simple et la plus efficace reste celle consistant à induire en erreur le capteur et ceci quelque soit la technique d’acquisition de l’empreinte utilisée: capacitive, optique, électrique ou thermique. Le contournement des protections annexes visant à vérifier que l’empreinte présentée est bien celle d’un être vivant ne semble pas non plus poser de grandes difficultés. L’auteur annonce ainsi avoir réussi à biaiser les capteurs des systèmes de reconnaissance d’empreintes suivants: Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 16/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 - Capteurs capacitifs Infineon (utilisé sur les souris Siemens) et UPek (utilisé sur les portables IBM), - Capteurs thermiques Dermalog, Microsoft UareU (Rapport N°92 - Mars 2006) et Identix - Capteur électrique Atmel (capteur utilisé par les systèmes eKey et sur les iPAQ) - Capteur électrique Authentec Un clin d’œil aux amateurs de ces petites sucreries prenant la forme d’un nounours en gélatine est proposé en première page de la présentation. Ces délicieux nounours ont en effet pour caractéristique secondaire d’offrir un excellent support pour la reproduction d’une empreinte. Le lecteur intéressé par les procédés de contrefaçon d’empreintes digitales pourra à ce sujet lire avec intérêt l’article ‘How to fake fingerprints ?’ publié en octobre dernier sur le site du Chaos Computer Club Allemand. Cet article décrit, en 12 illustrations, un procédé applicable sans nécessiter aucun matériel ou matériau qui ne soit présent dans la trousse à outil de tout bon bricoleur: colle à bois, colle cyanoacrylate et glycérine. http://www.ccc.de/biometrie/fingerabdruck_kopieren.xml?language=en OpenOffice/OpenDocument and MS OpenXML security Philippe Lagadec En Juin dernier, à l’occasion de la conférence SSTIC 2006, Eric Filiol abordait à travers sa présentation ‘Analyse du risque viral sous OpenOffice.org’ un sujet ‘tabou’ pour beaucoup, celui de la qualité des développement et de la sécurité d’un environnement bien souvent présenté comme étant la seule alternative viable à la suite Microsoft Office voire par certains ‘puristes’ comme étant sans discussion possible le seul environnement bureautique acceptable. Avec la présentation de 79 pages effectuée par Philippe Lagadec du CELAR, il semble que le seul avantage encore opposable soit celui de la gratuité, le niveau de sécurité et la qualité des développements étant ici encore gravement mis en défaut. Cette présentation débute par un rappel des caractéristiques des formats utilisés par les deux concurrents, OpenOffice avec le format OpenDocument normalisé ISO et Office 2007 avec le format OpenXML en cours de normalisation par l’ECMA. L’auteur précise à sujet que bien qu’un standard ouvert simplifie fortement l’analyse de sécurité, le volume croissant des spécifications pose un problème: 700 pages pour OpenDocument et plus de 6000 pages pour OpenXML. Les problèmes usuels de sécurité associés aux ressources de type fichiers sont ensuite brièvement rappelés à savoir, l’hébergement de code malicieux et la divulgation d’informations cachées. L’auteur aborde le premier volet du sujet en étudiant en détail le format des différentes ressources OpenOffice, les modes de protection des macro-commandes et les risques en terme de sécurité. Sa conclusion a le mérite de d’être claire et impartiale: « OpenOffice n’est absolument pas plus (ou moins) sûr que MS Office en ce qui concerne les codes malicieux ou les données cachés. Les deux ont des problèmes de sécurité similaires avec de subtiles différences. Le format OpenDocument fournit cependant plus de moyens d’embarquer du code malicieux mais certaines fonctionnalités sont plus sûres. Cependant le format OpenDocument fait qu’il est plus simple de détecter et de filtrer du contenu actif ou des données masquées. » Le second volet est consacré à la sécurité d’Office 2007 (dans sa version béta) et du format OpenXML , un plan d’analyse identique étant suivi. La conclusion est ici encore sans équivoque: « Ms Office 2007 a globalement les mêmes problèmes de sécurité que les versions précédentes. Le mode de protection des macro-commandes activé par défaut semble être moins strict et autorise le lancement de macro non signées. Le format OpenXML peut contenir des fichiers binaires utilisant un format propriétaire et non décrit dans les spécifications. Le nouveau format XML distingue les documents normaux des documents pour lesquels les macro sont autorisée par leurs noms. Cependant, Office 2007 offre des fonctionnalités améliorées pour éliminer les données masquées dans les documents. Le format OpenXML simplifie la détection et des contenus actifs. » Aucun des deux environnements ne sort vainqueur de cette confrontation … Le troisième volet liste les différents moyens pouvant être utilisés pour se protéger des problèmes de sécurité, en optimisant tout d’abord la configuration de l’environnement OpenOffice ou Office 2007 mais aussi en mettant en place un mécanisme destiné à filtrer les documents entrants et sortants. Les procédés de filtrage pouvant être mis en oeuvre pour l’un et l’autre des formats sont détaillés dans le dernier volet, l’auteur proposant plusieurs exemples pratiques et des extraits de code. On notera, en annexe de la présentation, la référence à la classe .NET ‘System.IO.Packaging’ laquelle délivre les méthodes d’accès aux documents utilisant les formats Open XML et XMS. Dans le cas du format OpenDocument, le paquetage Python ‘OOoPy’ pourra être employé. Avec cette présentation, Philippe Lagadec nous offre une remarquable étude du sujet, ce qui n’a rien d’étonnant au regard de son rattachement à un centre d’étude spécialisé dans le domaine de l’analyse de sécurité. http://actes.sstic.org/SSTIC06/Rump_sessions/SSTIC06-rump-Filiol-Risque_viral_sous_OpenOffice.pdf IPV6 Mapping Yuji Ukai Cosignées par trois membres de l’équipe de développement du scanner de vulnérabilité Retina de la société eEye Security, cette présentation aborde un sujet d’actualité s’il en est: l’inventaire et l’analyse des ressources utilisant la version 6 du protocole IP. Les auteurs rappellent tout d’abord qu’après une phase de déploiement pour la moins confidentielle, certaines prises de position dont celle des USA pourraient conduire à accélérer le déploiement du protocole IP V6 et à généraliser celui-ci. Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 17/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 Il est en conséquence primordial de disposer des ressources nécessaires pour non seulement accompagner ce développement mais aussi en garantir la sécurité ainsi que le respect des bonnes pratiques en matière de configuration. S’il apparaît aisé de manipuler une adresse IP V4 dont l’espace d’adressage est, somme toute contraint et simple à appréhender, il n’en va plus du tout de même avec l’adressage IP V6 et sa capacité d’adressage de 128bits. Les ordres de grandeur changent totalement d’échelle et l’idée de d’inventorier et identifier toutes les ressources d’un réseau par sondage comme cela est aisément effectué à l‘heure actuelle sur une ou plusieurs classes ‘C’ devient simplement irréalisable. Il convient alors de développer d’autres approches facilitant l’inventaire dont celle consistant à n’utiliser que des adresses vérifiables, authentifiables et, par conséquent, impossibles à deviner ou à usurper. Les auteurs citent deux schémas dont CGA ou Cryptographically Generated Addresses (Rapport N°78 – Janvier 2005). Celles-ci ne satisfont hélas pas aux critères qui permettraient de faire l’économie du parcours complet de l’espace d’adressage à la recherche d’adresses illicites ou non conformes. Plusieurs approches, plus conventionnelles car s’appuyant sur une caractéristique ou une fonctionnalité du protocole, sont donc passées en revue: mécanisme de multicast, service de découverte du voisin intégré au protocole ICMPv6, identifiant du vendeur de la carte Ethernet, tables d’état DHCPv6, contenu du cache de voisinage. L’analyse du système d’exploitation présent derrière une adresse IPv6 découverte active – par le biais d’un service TCP ou UDP lui-même actif – utilisera des procédés similaires à ceux déjà employés avec la version 4 du protocole, procédés majoritairement basés sur l’étude des réponses à certaines sollicitations. Les auteurs ont ainsi étudiés les caractéristiques des implémentations ICMP v6 des principaux systèmes d’exploitation, et notamment, les spécificités des réponses reçues pour différentes requêtes. Cette approche est démontrée parfaitement efficace pour la détection des systèmes Windows XP et Vista, Solaris, Linux et FreeBSD, les auteurs proposant une méthode d’élaboration d’une signature unique. Cette méthode devrait être étendue prochainement à d’autres systèmes et très certainement intégrée dans l’analyseur Retina. Eléments des réponses ICMPv6 pris en considération http://www.eeye.com/html/Products/Retina/index.html Linux Kernel == Security Nightmare Marcel Holtmann Sous un intitulé se voulant provocateur, Marcel Holtmann nous propose un aperçu de l’organisation et du travail de l’équipe de traitement des incidents touchant le noyau LINUX mise en place par l’éditeur Red Hat dont il est membre. Après avoir listé les quatre principales sources d’information qu’ils utilisent – une liste d’information fermée regroupant les experts de plusieurs éditeurs, les informations fournies par le groupe kernel.org et les listes ouvertes Full Disclosure et Bugtraq – l’auteur rappelle que l’éditeur Red Hat utilise une échelle de classification des gravités similaire à celle définie par Microsoft (et très proche de celle que nous avons nous même mis en place dans le cadre de nos bulletins d’alerte). L’échelle utilisée par Red Hat et mesurant l’impact de la vulnérabilité est définie – traduction au mot près comme suit: Critique Ce niveau est associé aux failles qui pourraient être aisément exploitées par un attaquant distant et conduire à une compromission du système – exécution de code arbitraire – sans nécessiter aucune intervention de la part d’un utilisateur. Ces vulnérabilités sont typiquement exploitées par les vers. Les failles nécessitant (pour être exploitées) un utilisateur distant authentifié, un utilisateur local ou une configuration spécifique ne sont pas classées critiques. Important Ce niveau est associé aux failles qui peuvent atteindre à l’intégrité, à la confidentialité ou à la disponibilité des ressources. Ces failles autorisent typiquement un utilisateur local à augmenter ses privilèges, un accédant distant non authentifié à voir des ressources qui devraient être normalement protégées par une authentification, un utilisateur distant authentifié à exécuter des codes arbitraires ou encore un utilisateur local ou distant à provoquer un déni de service. Modéré Ce niveau est associé aux failles qui pourraient être plus difficilement exploitables ou auraient peu de chance d’être exploitées mais qui, étant donné les circonstances, pourraient conduire à compromettre l’intégrité, la confidentialité ou la disponibilité des ressources. Faible Ce niveau est associé à tous les autres problèmes qui pourraient avoir un impact sur la sécurité. Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 18/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 La présentation se poursuit par un rappel de la stratégie d’intégration des noyaux Linux chez Red Hat, de la politique d’information mise en place laquelle dépend principalement de la gravité des failles et du cycle de mise à jour des noyaux. L’auteur conclut son propos par une très intéressante analyse de l’historique et du traitement des huit failles listées ci-après et ayant été rencontrées sur les noyaux LINUX cette année. CVE-2006-0457 Assigné 27/01/06 Denial of service or information leak in keyring handling Candidat Race condition in the (1) add_key, (2) request_key, and (3) keyctl functions in Linux kernel 2.6.x allows local users to cause a denial of service (crash) or read sensitive kernel memory by modifying the length of a string argument between the time that the kernel calculates the length and when it copies the data into kernel memory. CVE-2006-1864 Assigné: 19/04/06 Breaking chroot on SMB share Candidat Directory traversal vulnerability in smbfs in Linux 2.6.16 and earlier allows local users to escape chroot restrictions for an SMB-mounted filesystem via "..\\" sequences, a similar vulnerability to CVE-2006-1863. CVE-2006-2274 Assigné: 09/05/06 Remote denial of service attack against the SCTP stack Candidat Linux SCTP (lksctp) before 2.6.17 allows remote attackers to cause a denial of service (infinite recursion and crash) via a packet that contains two or more DATA fragments, which causes an skb pointer to refer back to itself when the full message is reassembled, leading to infinite recursion in the sctp_skb_pull function. CVE-2006-2451 Assigné: 18/05/06 Privilege escalation through prctl() Candidat The suid_dumpable support in Linux kernel 2.6.13 up to versions before 2.6.17.4, and 2.6.16 before 2.6.16.24, allows a local user to cause a denial of service (disk consumption) and possibly gain privileges via the PR_SET_DUMPABLE argument of the prctl function and a program that causes a core dump file to be created in a directory for which the user does not have permissions. CVE-2006-3468 Assigné: 10/07/06 Bogus NFS request causes denial of service Candidat Linux kernel 2.6.x, when using both NFS and EXT3, allows remote attackers to cause a denial of service (file system panic) via a crafted UDP packet with a V2 lookup procedure that specifies a bad file handle (inode number), which triggers an error and causes an exported directory to be remounted read-only. CVE-2006-3626 Assigné: 14/07/06 Privilege escalation through /proc Candidat Race condition in Linux kernel 2.6.17.4 and earlier allows local users to gain root privileges by using prctl with PR_SET_DUMPABLE in a way that causes /proc/self/environ to become setuid root. CVE-2006-3635 Assigné: 17/07/06 Candidat This candidate has been reserved by an organization or individual that will use it when announcing a new security problem. When the candidate has been publicized, the details for this candidate will be provided CVE-2006-4813 Assigné: 15/09/06 Information leak Candidat The __block_prepare_write function in fs/buffer.c for Linux kernel 2.6.x before 2.6.13 does not properly clear buffers during certain error conditions, which allows local users to read portions of files that have been unlinked. Mais le plus intéressant est peut être l’enseignement que tire l’auteur de ces analyses: la grande majorité de ces vulnérabilités, exploitées localement, conduisent à un déni de service, un problème dont l’importance peut être réduite quand seuls des utilisateurs de confiance disposent d’un compte local. Des dénis de services peuvent être provoqués à distance ce qui conduit à un réel problème de sécurité si aucun autre mécanisme de protection n’est mis en œuvre en amont. Les failles autorisant un gain de privilèges ou une fuite d’information posent, elles, un réel problème sur les systèmes accueillant des utilisateurs locaux ou de ‘non confiance’. Red Hat annonce poursuivre sa démarche de réduction des vecteurs d’attaque engagée en 2001 avec l’intégration par défaut d’un pare-feu, de l’activation du mécanisme NoExec (NX) en 2004, de la mise en place du test de la pile et de l’activation de SELinux en 2005 et de l’intégration de la GLibc en 2006. http://www.redhat.com/security/updates/classification/ - Classification $ Complément d’information http://www.pacsec.jp/psj06archive.html - Archive des présentations 2006 SUPPORT ENISA – WHO IS WHO DIRECTORY - SECONDE EDITION $ Description Un an après la première publication de son annuaire des organisations chargées de traiter les problèmes liés à la sécurité des SI dans les différents états membres de l’Europe, l’ENISA en propose une mise à jour (Rapport N°89 – Décembre 2005). Publiée au format PDF et dénommée ‘Who is Who Directory on Network and Information Security’, cette nouvelle version de l’annuaire étend sa couverture aux associations de consommateurs et aux acteurs chargés de la sensibilisation à la sécurité. Elle comporte désormais ainsi 156 pages contre 108 pour la précédente édition. Pour la France, sont référencés les services gouvernementaux fondamentaux suivants: Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 19/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 la DCSSI, le CFSSI, le CERTA, l’OCLCTIC ainsi que la DGME/SDAE (Direction Générale de la Modernisation de l’Etat/Service pour le Développement de l’Administration Electronique). Ont par ailleurs été intégrés à cette nouvelle version: l’ARCEP, la CNIL, la DDM pour les services d’état et le CLUSIF, l’UFC Que Choisir, le CLCV, l’OR.GE.CO pour les associations de défense des consommateurs ainsi que le projet CONFIANCE. Sa table des matières est la suivante: Foreword European Time Zone Map EU member states Austria France Lithuania Spain Belgium Germany Luxembourg Sweden Cyprus Greece Malta The Netherlands Czech Republic Hungary Poland United Kingdom Denmark Ireland Portugal Estonia Italy Slovakia Finland Latvia Slovenia EEA member states Iceland Liechtenstein Norway EU Institutions And Bodies International Organisations Country Pages On ENISA Website ENISA Calendar Of Events ENISA Quarterly Updates, Comments, Corrections And Suggestions ENISA Contacts $ Complément d’information http://www.enisa.eu.int/pages/02_01_press_2006_12_08_who_is_who_v2.htm http://www.enisa.eu.int/doc/pdf/deliverables/wiw_v2_2006.pdf - Annonce de presse - Annuaire V2.0 METHODES NIST – ETAT DES GUIDES DE LA SERIE SP800 $ Description Fin novembre, le NIST a publié la version finale du guide ‘Recommendation for Obtaining Assurances for Digital Signature Applications’. Nous mettons en conséquence à jour notre liste des documents de la série SP800. SP800-12 SP800-18.1 SP800-21.1 SP800-26 SP800-26.1 SP800-27a SP800-28 SP800-29 SP800-30 SP800-31 SP800-32 SP800-33 SP800-34 SP800-35 SP800-36 SP800-37 SP800-38A SP800-38B SP800-38C SP800-38D SP800-40 SP800-40-2 SP800-41 SP800-42 SP800-43 SP800-44 SP800-45A An Introduction to Computer Security: The NIST Handbook Guide for Developing Security Plans for Federal Information Systems Guideline for Implementing Cryptography in the Federal Government Security Self-Assessment Guide for Information Technology Systems Guide for Inform. Security Program Assessments & System Reporting Form Engineering Principles for Information Technology Security – Rev A Guidelines on Active Content and Mobile Code Comparison of Security Reqs for Cryptographic Modules in FIPS 140-1 & 140-2 Underlying Technical Models for Information Technology Security – Rev A Intrusion Detection Systems Introduction to Public Key Technology and the Federal PKI Infrastructure Underlying Technical Models for Information Technology Security Contingency Planning Guide for Information Technology Systems Guide to Selecting IT Security Products Guide to IT Security Services Guidelines for the Security C&A of Federal Information Technology Systems Recommendation for Block Cipher Modes of Operation – Method and Techniques Recommendation for Block Cipher Modes of Operation – RMAC Recommendation for Block Cipher Modes of Operation – CCM Recommendation for Block Cipher Modes of Operation – GCM Applying Security Patches Creating a Patch and Vulnerability Management Program Guidelines on Firewalls and Firewall Policy Guidelines on Network Security testing System Administration Guidance for Windows2000 Guidelines on Securing Public Web Servers Guide On Electronic Mail Security Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés [R] [R] [D] [F] [R] [F] [F] [F] [F] [F] [F] [F] [F] [F] [F] [F] [F] [D] [F] [D] [F] [F] [F] [F] [F] [F] [R] 10/1995 08/2005 09/2005 11/2001 08/2005 06/2004 10/2001 10/2001 01/2004 11/2001 02/2001 12/2001 06/2002 10/2003 10/2003 04/2004 12/2001 12/2001 05/2004 04/2006 09/2002 11/2005 01/2002 10/2003 11/2002 09/2002 09/2006 Page 20/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 SP800-46 SP800-47 SP800-48 SP800-49 SP800-50 SP800-51 SP800-52 SP800-53-1 SP800-53A SP800-54 SP800-55 SP800-56A SP800-57 Security for Telecommuting and Broadband Communications Security Guide for Interconnecting Information Technology Systems Wireless Network Security: 802.11, Bluetooth™ and Handheld Devices Federal S/MIME V3 Client Profile Building an Information Technology Security Awareness & Training Program Use of the Common Vulnerabilities and Exposures Vulnerability Naming Scheme Guidelines on the Selection and Use of Transport Layer Security Recommended Security Controls for Federal Information Systems Guide for Assessing the Security Controls in Federal Information Systems Border Gateway Protocol Security Security Metrics Guide for Information Technology Systems Pair-Wise Key Establishment Schemes Using Discrete Logarithm Cryptography Recommendation for Key Management, Part 1: General Guideline Recommendation for Key Management, Part 2: Best Practices SP800-58 Security Considerations for Voice Over IP Systems SP800-59 Guideline for Identifying an Information System as a National Security System SP800-60 Guide for Mapping Types of Information & Information Systems to Security Categories SP800-61 Computer Security Incident Handling Guide SP800-63 Recommendation for Electronic Authentication SP800-64 Security Considerations in the Information System Development Life Cycle SP800-65 Recommended Common Criteria Assurance Levels SP800-66 An Introductory Resource Guide for Implementing the HIPAA Security Rule SP800-67 Recommendation for the Triple Data Encryption Algorithm (TDEA) Block Cipher SP800-68 Guidance for Securing Microsoft Windows XP Systems for IT Professionals SP800-69 Guidance for Securing Microsoft Windows XP Home Edition SP800-70 The NIST Security Configuration Checklists Program SP800-72 Guidelines on PDA Forensics SP800-73 Integrated Circuit Card for Personal Identity Verification SP800-73-1 Interfaces to Personal Identity Verification SP800-76-1 Biometric Data Specification for Personal Identity Verification SP800-77 Guide to Ipsec VPNs SP800-78-1 Cryptographic Algorithms and Key Sizes for Personal Identity Verification SP800-79 Guidelines for Certification & Accreditation of PIV Card Issuing Organizations SP800-80 Guide for Developing Performance Metrics for Information Security SP800-81 Secure Domain Name System (DNS) Deployment Guide SP800-82 Guide to SCADA and Industrial Control Systems Security SP800-83 Guide to Malware Incident Prevention and Handling SP800-84 Guide to Single-Organization IT Exercises SP800-85B PIV Middleware and PIV Card Application Conformance Test Guidelines SP800-86 Computer, Network Data Analysis: Forensic Techniques to Incident Response SP800-87 Codes for the Identification of Federal and Federally-Assisted Organizations SP800-88 Guidelines for Media Sanitization SP800-89 Recommendation for Obtaining Assurances for Digital Signature Applications SP800-90 Random Number Generation Using Deterministic Random Bit Generators SP800-92 Guide to Computer Security Log Management SP800-94 Guide to Intrusion Detection and Prevention (IDP) Systems SP800-95 Guide to Secure Web Services SP800-96 PIV Card / Reader Interoperability Guidelines SP800-97 Guide to IEEE 802.11i: Robust Security Networks SP800-98 Guidance for Securing Radio Frequency Identification (RFID) Systems SP800-100 Information Security Handbook: A Guide for Managers SP800-101 Guidelines on Cell Phone Forensics SP800-103 An Ontology of Identity Credentials, Part I: Background and Formulation [F] Finalisé [R] Pour commentaire et relecture [*] Récemment finalisé [D] En cours de développement [F] [F] [F] [F] [F] [F] [D] [M] [R] [R] [F] [M] [F] [F] [F] [F] [F] [F] [M] [F] [F] [F] [F] [F] [R] [F] [F] [R] [R] [M] [F] [R] [F] [R] [D] [R] [F] [R] [F] [F] [F] [M] [F] [F] [R] [R] [R] [M] [R] [R] [F] [R] [R] 09/2002 09/2002 11/2002 11/2002 03/2003 09/2002 09/2004 12/2006 04/2006 09/2006 07/2003 05/2006 08/2005 08/2005 03/2005 08/2003 06/2004 01/2004 04/2006 07/2004 01/2005 03/2005 05/2004 10/2005 08/2006 05/2005 11/2004 01/2005 03/2006 09/2006 12/2005 07/2006 07/2005 05/2006 05/2006 09/2006 11/2005 08/2005 07/2006 08/2006 01/2006 08/2006 11/2006 06/2006 04/2006 09/2006 09/2006 07/2006 06/2006 09/2006 10/2006 09/2006 09/2006 [M] Mise à jour $ Complément d’information http://csrc.nist.gov/publications/nistpubs/index.html http://csrc.nist.gov/publications/nistpubs/800-89/SP-800-89_November2006.pdf Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés - Catalogue - SP800-89 Page 21/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 REFERENCES CIS - CATALOGUE DE PROCEDURES ET DE TESTS $ Description Le CIS – Center for Internet Security – vient d’annoncer la disponibilité d’une première version de l’outil de validation des environnements Linux RedHat et SuSE. Le support de l’environnement SlackWare est annoncé en cours de développement. P1 V Profil N°1 – minimal, conservateur Nouvelle version P2 M Profil N°2 – étendu, protectionniste Mise à jour Recommandations Systèmes Windows 2003 Domain controllers Windows 2003 Member Servers Windows XP Professional Windows 2000 Professional Windows 2000 Serveur Windows 2000 Windows NT Linux RedHat Linux SuSE Linux Slackware HP-UX FreeBSD 4.8 et plus Solaris 2.5.1 - 9 Solaris 10 AIX 4.3.2, 4.3.3 et 5.1 Mac OS/X 10.3 et sup. Novell OES:NetWare P1 P1 P2 P2 P2 P1 P1 P1 P1 P1 P1 P1 P1 P1 P1 P1 P1 V1.2 V1.2 V2.01 V2.2.1 V2.2.1 V1.2.2 V1.0.5 V1.0.5 V1.0.0 V1.1.0 V1.3.1 V1.0.5 V1.3.0 V2.1.1 V1.0.1 V2.0 V1.0 Outil existant Outil existant Outil existant Outil existant Outil existant Aucun outil prévu Aucun outil prévu Outil existant Outil existant Aucune planification Outil existant Outil existant Outil existant Outil publié Aucune planification Aucune planification Aucune information V1.0 V2.2 V2.2 Aucun outil prévu Outil existant Outil existant V1.6 V1.1 V2.0.1 V1.0 V1.0 V1.0 V1.0 Outil existant Outil existant Aucune planification Aucune planification Aucune planification Aucune planification Aucune information Recommandations Equipements réseaux Wireless Networks CISCO IOS routeurs CISCO PIX CISCO CAR CheckPoint FW1/VPN1 P1 P1 P1 P1 P1 P2 P2 P2 P2 Recommandations Applications Apache WEB serveur Oracle base de donnée 8i Oracle base de donnée 9i et 10g Exchange Server 2003 Microsoft SQL Serveur Bind Version 9 Novell eDirectory version 8.7 Microsoft IIS Web Serveur P1 P1 P1 P1 P2 P2 P2 P2 P2 P1 P1 P2 Ces séries de tests sont déroulées à l’aide d’outils spécialisés pour la plate-forme cible à l’exception de la série de test des équipements réseaux CISCO. Outils d’application Environnement Windows 2K/XP/2003 V Environnement RedHat et SuSE Environnement FreeBSD Environnement HP-UX Environnement Solaris 10 Environnement Solaris 2.5.1- 9 Environnement CISCO Environnement Oracle 8i Environnement Apache - ng_scoring_tool-gui-1.0-win32 ng_scoring_tool-1.0 cis_score_tool_freebsd_v1.7.2 cis_score_tool_hpux_v1.5.0 cis_score_tool_solaris_v1.5.0 CISscan CISRat CISscan cis_score_tool_apache_v2.0.8 exe tar tar pkg pkg pkg tar java tar $ Complément d’information http://www.cisecurity.org/ http://www.cisecurity.org/tools2/linux/readme-public.txt http://www.cisecurity.org/cgi-bin/cis_benchmark2.pl V1.0 V1.0 V1.7.2 V1.5.0 V1.5.0 WIN32 V2.2 WIN32 V2.08 LINUX+JAVA FreeBSD HP-UX SOLARIS SOLARIS UNIX LINUX - Accès aux tests et outils associés - Procédure d’installation de l’outil V1.0 build 137 NSA - CATALOGUE DES GUIDES DE SECURITE $ Description La NSA a publié une mise à jour du guide ‘Microsoft .NET Framework Security’. Cette nouvelle version couvre aussi la version 2.0 de l’environnement ‘.NET’ en plus des versions 1.0 et 1.1. I G R P Document d’information et/ou de synthèse Guide de mise en œuvre et/ou manuel d’utilisation Recommandations et principes élémentaires Procédures et mise en application % & O Document récemment mis à jour Document nouvellement publié Document obsolète Windows 2003 Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 22/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 R R R R G G The Windows Server 2003 - Security Guide Testing the Windows Server 2003 - Security Guide Supporting the Windows Server 2003 - Security Guide Delivering the Windows Server 2003 - Security Guide Systems Management Server 2003 Security Guide Exchange Server 2003 Benchmark V2.1 V2.1 V2.1 V2.1 V1.0 V1.0 26/04/2006 26/04/2006 26/04/2006 26/04/2006 01/04/2005 - MIC MIC MIC MIC NSA CIS V1.1 01/12/2003 NSA V1.0 V1.08 19/04/2001 02/03/2001 NSA NSA V1.1 V1.21 V1.01 V1.0 V1.0 V1.1 V1.02 V1.02 13/10/2001 01/12/2003 26/11/2002 09/04/2001 01/01/2001 27/06/2001 01/05/2001 23/01/2001 NSA NSA NSA NSA NSA NSA NSA NSA V1.0 V1.0 06/03/2001 01/12/2000 NSA NSA V2.11 V2.02 V4.0 10/10/2001 10/10/2001 08/04/2002 NSA NSA NSA V1.5 V1.3 V1.0 V1.0 V1.2 08/08/2002 19/07/2002 02/07/2001 13/08/2001 24/11/2003 NSA NSA NSA NSA NSA Guide to Securing Microsoft Windows NT Networks V4.2 18/09/2001 NSA Guide to the Secure Configuration of Solaris 8 Guide to the Secure Configuration of Solaris 9 Apple Mac OS X v10.3.x Security configuration guide Apple Mac OS X Server v10.3.x Security configuration guide V1.0 V1.0 V1.1 V1.0 09/09/2003 16/07/2004 21/12/2004 08/07/2005 NSA NSA NSA NSA Router Security Configuration Guide - Executive Summary Router Security Configuration Guide Router Security Configuration Guide – Security for IPV6 Routers Cisco IOS Switch Security Configuration Guide V1.1 V1.1c V1.0 V1.0 03/03/2006 15/12/2005 23/05/2006 21/06/2004 NSA NSA NSA NSA V1.1 - 01/10/2005 23/09/2005 NSA NSA V3.0 V3.0 V1.1 ND ND 14/11/2003 07/01/2002 20/12/1999 08/02/2002 05/02/2004 NSA NSA NSA NSA NSA Guide to the Secure Configuration and Administration of Microsoft SQL Server 2000 Guide to the Secure Configuration and Administration of Oracle9i Benchmark for Oracle 9i/10g V1.5 V1.2 V2.0 15/01/2003 30/10/2003 - NSA NSA CIS BEA WebLogic Platform Security Guide Guide to the Secure Configuration & Administration of Microsoft IIS 5.0 Guide to Securing Microsoft Internet Explorer 5.5 Using Group Policy Guide to Securing Netscape Navigator 7.02 V1.4 V1.0 V1.1 V1.0 04/04/2005 16/01/2004 07/2002 04/2003 NSA NSA NSA NSA ND V1.73 V1.33 V1.33 V1.12 ND 03/07/2001 04/03/2002 04/03/2002 24/04/2001 NSA NSA NSA NSA Windows XP Système G Guide to Securing Microsoft Windows XP Windows 2000 Références I I Microsoft Windows 2000 Network Architecture Guide Group Policy Reference Systèmes G I P P P P P R Guide to Securing Microsoft Windows 2000 Group Policy Guide to Securing Microsoft Windows 2000 Group Policy: Security Configuration Tool Guide to Securing Microsoft Windows 2000 File and Disk Resources Guide to Securing Microsoft Windows 2000 DNS Guide to Securing Microsoft Windows 2000 Encrypting File System Guide to Windows 2000 Kerberos Settings Microsoft Windows 2000 Router Configuration Guide Guide to Securing Windows NT/9x Clients in a Windows 2000 Network Annuaire I I Guide to Securing Microsoft Windows 2000 Schema Guide to Securing Microsoft Windows 2000 Active Directory Certificats R R R Guide to the Secure Config. & Admin. of Microsoft Windows 2000 Certificate Services Guide to the Secure Config. & Admin. of Microsoft Windows 2000 Certificate Services (check) Guide to Using DoD PKI Certificates in Outlook 2000 Services annexes I P P P P Guide to Secure Configuration & Administration of Microsoft ISA Server 2000 Guide to Securing Microsoft Windows 2000 DHCP Guide to Securing Microsoft Windows 2000 Terminal Services Microsoft Windows 2000 IPsec Guide Guide to the Secure Configuration and Administration of Microsoft Exchange 2000 Windows NT P Unix P P P P Cisco R P P P Sans-Fils G G Guidelines for the Development and Evaluation of IEEE 802.11 IDS Recommended 802.11 Wireless Local Area Network Architecture Contenus exécutables O O O R R Outlook E-mail Security in the Wake of Recent Malicious Code Incidents Guide to the Secure Configuration and Administration of Microsoft Exchange 5 Microsoft Office 97 Executable Content Security Risks and Countermeasures Microsoft Office 2000 Executable Content Security Risks and Countermeasures Microsoft Office 2003 Executable Content Security Risks and Countermeasures Base de données R R R Web R P R R Documents de Support I O O O O Defense in Depth Guide to the Secure Configuration & Administration of iPlanet Web Serv Ent. Ed. 4.1 Guide to the Secure Conf. and Admin. of Microsoft IIS 4.0 Guide to the Secure Conf. and Admin. of Microsoft IIS 4.0 (Checklist Format) Secure Config. of the Apache Web Server, Apache Server V1.3.3 on Red Hat Linux 5.1 Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 23/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 R R R %R I I I Microsoft NetMeeting 3.0 Security Assessment and Configuration Guide The 60 Minute Network Security Guide Guide to Sun Microsystems Java Plug-in Security Guide to Microsoft .NET Framework Security Enterprise Firewall Types Desktop or Enterprise Firewall ? Enterprise Firewalls in Encrypted Environments V1.14 V2.1 V1.0 V1.5 - 05/10/2001 15/03/2006 01/04/2004 11/11/2005 01/08/2006 01/08/2006 01/08/2006 NSA NSA NSA NSA NSA NSA NSA Security Guidance for Deploying IP Telephony Systems Recommended IP Telephony Architecture V1.0 14/02/2006 01/05/2006 NSA NSA VoIP R R $ Complément d'information http://www.nsa.gov/snac/ - Portail d’accès aux guides DISA – GUIDES ET CHECKLISTS DE SECURISATION $ Description La DISA a publié la mise à jour des listes de contrôle Desktop, ADS, Applications, OS390, et Windows XP, 2000 et 2003 ainsi que la checklist associée à la liste de contrôle DNS. [11 Mise(s) à jour, 0 Nouveau(x) document(s)] APPLICATIONS Applications (Services) (s) ESM ERP (PeopleSoft, SAP) Database (Générique + Oracle, SQL Server) VoIP ENVIRONNEMENTS Access Control Active Directory Service Desktop Enclave (Périmètre) .NET (Draft) Secure Remote Computing PERIPHERIQUES RESEAUX Sharing peripheral across the network - Multi-Function Device (MFD) and Printer Checklist - Keyboard, Video, and Mouse (KVM) Switch Checklist - Storage Area Network (SAN) Checklist - Universal Serial Bus (USB) Checklist RESEAU Network Cisco (Supplément) Juniper (Supplément) IP WAN Wireless (Liste de contôle générique) (Liste de contôle dédiée BlackBerry) Wireless LAN Security Framework Addendum Wireless LAN Site Survey Addendum Wireless LAN Secure Remote Access Addendum Wireless Mobile Computing Addendum SERVICES DNS Web Servers (Générique + IIS, Netscape, Apache) SYSTEMES OS/390 & z/OS OS/390 Logical Partition OS/390 RACF OS/390 ACF2 OS/390 TSS MacOS X TANDEM UNISYS UNIX VM IBM SOLARIS (2.6 à 2.9) VMS VAX Windows 2000 Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés STIG Checklist 1.1 17/01/06 PDF 1.1 1.0 7.2 2.2 05/06/06 23/06/06 30/11/05 21/04/06 PDF PDF PDF PDF 1.1 1.1 3.0 3.1 05/06/06 10/03/06 01/02/06 28/07/05 PDF PDF PDF PDF 1.2 10/08/05 DOC 1.1 29/07/05 PDF 2.1.9 1.1.1 21/11/06 PDF 26/09/06 PDF 1.0 7.2.1 2.2.2 01/06/06 DOC 30/06/06 ZIP 19/05/06 PDF 1.1.3 2.1.5 3.1.6 1.2 21/11/06 22/09/06 09/07/06 28/04/06 PDF ZIP PDF DOC 1.1.2 1.1.2 1.1.3 1.1.2 14/04/06 14/04/06 19/05/06 06/04/06 PDF PDF PDF PDF 6.4.4 6.1 6.4 2.3 4.2.1 4.2.1 21/07/06 02/12/05 02/12/05 12/08/04 25/08/06 25/08/06 PDF PDF PDF PDF DOC DOC 6.4 16/12/05 PDF 4.2 25/08/06 PDF 2.1 1.1 1.1 1.1 31/10/05 31/10/05 31/10/05 31/10/05 3.1 6.0 19/09/06 PDF 15/07/06 PDF 3.1 5.1.3 08/12/06 PDF 17/04/06 DOC 5.2 2.2 19/09/06 PDF 04/03/05 PDF 5.1.1 2.1.4 5.2.1 5.2.1 5.2.1 1.1.3 2.1.2 7.1.2 5.1 2.1.2 2.2.3 5.1.6 04/06 04/06 21/11/06 21/11/06 21/11/06 28/04/06 17/04/06 17/04/06 15/09/06 04/06 20/01/04 17/04/06 29/09/06 1.1 2.2 7.2 5.1 2.2 15/06/04 04/03/05 28/08/06 28/03/06 04/03/05 M M M PDF PDF PDF PDF PDF PDF PDF PDF PDF DOC DOC DOC DOC DOC DOC DOC PDF DOC DOC DOC DOC DOC M M M M M Page 24/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 Windows 2003 Windows XP Windows NT Windows NT/2000/XP Addendum TECHNOLOGIES Biométrie SPECIFIQUE DoD Backbone transport Secure telecommunication Red switch network Defense switch network N Nouveau M Mis à jour 1.8 3.1 5.1 12/01/03 PDF 26/12/02 DOC 21/09/05 PDF 1.3 10/11/05 PDF 1.1 1.1 2.3 05/06/06 PDF 26/03/06 PDF 30/04/06 PDF 29/09/06 DOC 29/09/06 DOC 28/07/06 DOC 1.3.1 31/10/05 DOC 2.3.2 01/05/06 M M R R R R Accès restreint $ Complément d’information http://iase.disa.mil/stigs/index.html http://iase.disa.mil/stigs/stig/index.html http://iase.disa.mil/stigs/checklist/index.html LA 5.1.6 5.1.6 4.1.21 - Pages d’accueil - STIG - Checklists LEGISLATION FR – SUR LES INFRACTIONS COMMISES PAR UN MOYEN DE COMMUNICATION ELECTRONIQUE $ Description Le projet de loi relatif à la prévention de la délinquance voté en septembre dernier par le Sénat a été adopté par l’Assemblé Nationale le 5 décembre. Le texte modifié en première lecture de ce projet de loi est renvoyé en seconde lecture au Sénat. Il porte modification d’articles présents dans plus de douze codes dont le code pénal et le code civil mais aussi de plusieurs lois dont la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés Contrairement à ce que l’intitulé - ‘Infractions sur internet : davantage de pouvoirs à la police et la justice’ de l’article publié par le site Legalis pourrait laisser entendre, le terme Internet n’apparaît nullement dans la dernière version du texte du projet de loi. Tout au plus est-il fait mention de ‘communications électroniques’ ou ‘d’échanges électroniques’. Les modifications, ou ajouts d’articles intéressant le domaine de la sécurité de l’information, et plus largement le domaine des systèmes d’information, sont: - Concernant la liberté de la presse (loi du 29 juillet 1881): Un nouvel article spécifiant la possibilité pour le ministère public, et de toute personne physique ou morale ayant intérêt à agir, de faire prononcer par le juge des référés l'arrêt d'un service de communication au public en ligne mettant à disposition des messages ou informations constituant un trouble manifestement illicite au titre des infractions définies par les articles 24 et 24bis - Provocation aux crimes et délits - de la loi sur la liberté de la presse. - Concernant l'économie numérique (loi 2004-575 du 21 juin 200): Un nouvel article imposant la signalisation, par les fournisseurs d’accès à leurs abonnés, des services de communication au public tenus pour répréhensibles par les autorités publiques compétentes en la matière et leur information vis-à-vis des risques encourus par eux du fait d'actes de jeux réalisés en violation de la loi. - Concernant le code de procédure pénale: Deux nouveaux articles autorisant les officiers ou agents de police judiciaire agissant au cours d’un enquête, ou sur commission rogatoire, à participer aux échanges électroniques sous un pseudonyme, d’entrer en contact avec des auteurs potentiels d’infraction et d’extraire et conserver les contenus illicites dans le cas d’infractions (1) liées à la traite des êtres humains (art. 225-4-1 à -4-9) et au proxénétisme (art. 225-5 à -12 et 225-12-1 à -12-4) mais aussi (2) à la mise en péril des mineurs (art. 227-18 à -24) $ Complément d’information http://www.assemblee-nationale.fr/12/dossiers/prevention_delinquance.asp http://www.senat.fr/dossierleg/pjl05-433.html http://www.assemblee-nationale.fr/12/cra/2006-2007/079.asp http://www.assemblee-nationale.fr/12/ta/ta0623.asp - Dossier Assemblée Nationale - Dossier au SENAT - Compte-rendu analytique, séance du 05/12 - Texte modifié en 1ere lecture CISSI - ORIENTATION DES TRAVAUX DE RECHERCHE ET DEVELOPPEMENT EN MATIERE DE SECURITE DES SI $ Description Fin novembre, la DCSSI rendait publique l’édition 2006 du rapport « Orientation Des Travaux De Recherche et Développement en Matière de Sécurité des Systèmes d’information » établi par la Commission Interministérielle pour la Sécurité des Systèmes d'Information (CISSI). Ce rapport est destiné à fournir les éléments de réflexion nécessaires à l’établissement de l’orientation des choix stratégiques de R&D dans le domaine de la sécurité des systèmes d’information. L’analyse des domaines techniques devant être maîtrisés s’appuie sur l’analyse préalable des enjeux actuels de la sécurité des SI et des évolutions susceptibles d’avoir un impact conséquent sur la sécurité. Quatre enjeux sont ainsi Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 25/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 listés dans le premier volet du rapport: - la souveraineté nécessaire à la conservation du contrôle du développement de la société de l’information par l’Etat et conduisant à devoir «maîtriser les différents aspects de la conception et de l’évaluation de la sécurité des échanges électroniques», - la protection de la vie privée condition fondamentale à l’acceptation du développement des actes électroniques et à l’amélioration de la confiance de la société dans le numérique, - la disponibilité ici entendue au sens large en y incluant les besoins d’intégrité et d’authenticité des services constituant avec les réseaux informatiques le fondement des sociétés modernes, - l’imputabilité des accès aux réseaux téléphoniques et informatiques qui permettra de remonter aux utilisateurs mal intentionnés lesquels ne pourront plus impunément atteindre aux services proposés sur l’Internet. Le rapport détaille plus particulièrement, dans le second volet, cinq évolutions qu’il convient de prendre en compte: l’archivage des données, l’administration et la supervision, l’identité numérique et le nomadisme, les flux multi médias et enfin les dispositifs sans fil ou sans contact. Le dernier volet propose une analyse des technologies importantes en matière de sécurité qu’il conviendrait de maîtriser, technologies organisées en quatre domaines: fondation de la sécurité des systèmes d’information, architecture des systèmes, nouvelles technologies et outils théoriques. La table des matières de ce rapport de 12 pages est la suivante: 1 Introduction 2 Les enjeux actuels de la sécurité des systèmes d’information 2.1 la souveraineté 2.2 la protection de la vie privée 2.4 la disponibilité 2.4 l’imputabilité des accès 3 Evolutions en cours ayant un impact sur la sécurité 3.1 Archivage de données 3.2 Administration et Supervision 3.3 Identité numérique et Nomadisme 3.4 les Flux multimédia 3.5 les Dispositifs «Sans fils» ou «Sans contact» 4 L’analyse des domaines techniques à maîtriser 4.1 Fondation de la sécurité des systèmes d’information 4.1.1 Système d’exploitation 4.1.2 Format des données – protocoles – interopérabilité de la sécurité 4.1.3 Cryptographie et architectures de gestion de clés 4.2 Architectures des systèmes 4.2.1 Architectures des produits 4.2.2 Architectures diversifiées 4.2.3 Sécurité des systèmes auto-organisants 4.2.4 Evolution des paradigmes de sécurité 4.2.5 Fédération d’identités 4.3 Nouvelles technologies 4.3.1 Electronique et micro-électronique 4.3.2 Stéganographie 4.3.3 Biométrie 4.4 Outils théoriques 4.4.1 Sûreté de fonctionnement 4.4.2 Ergonomie de la sécurité 4.4.3 Méthodes formelles et certification 4.4.4 Supervision $ Complément d’information http://www.ssi.gouv.fr/fr/index.html http://www.legifrance.gouv.fr/texteconsolide/PRHGW.htm http://www.ssi.gouv.fr/fr/sciences/fichiers/rapports/rapport_orientation_ssi_2006.pdf http://www.csti.pm.gouv.fr/elements/RappCGTI30mars06_Suivi_AvisCSTI30mars05.pdf Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés - Annonce - Rôle de la CISSI - Rapport CISSI - Rapport CSTI Page 26/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 L LO OG LIIB GIIC BR RE CIIE ES S EL LS SL LES SERVICES DE BASE Les dernières versions des services de base sont rappelées dans les tableaux suivants. Nous conseillons d’assurer rapidement la mise à jour de ces versions, après qualification préalable sur une plate-forme dédiée. RESEAU Nom ' BIND DHCP NTP4 OpenNTPD Fonction Ver. Gestion de Nom (DNS) 9.3.3 8.4.7 Serveur d’adresse 3.0.4 Serveur de temps 4.2.2 Serveur de temps 3.9 Date Source 05/12/06 21/12/05 05/05/06 08/06/06 15/05/06 http://www.isc.org/ http://www.isc.org/ http://ntp.isc.org/bin/view/Main/SoftwareDownloads http://www.openntpd.org/ MESSAGERIE Nom Fonction Ver. Relevé courrier Relevé courrier Relevé courrier Serveur de courrier 2006d 4.0.9 1.0.2 8.13.8 Nom Fonction Ver. APACHE 1.3.37 2.0.59 2.2.3 API SSL Apache 1.3.36 2.8.28 Base SQL 5.1.14 Cache WEB 2.6s6 ' IMAP4 POP3 POPA3D SENDMAIL Date Source 13/12/06 21/03/06 23/05/06 09/08/06 ftp://ftp.cac.washington.edu/imap/ ftp://ftp.qualcomm.com/eudora/servers/unix/popper/ http://www.openwall.com/popa3d/ ftp://ftp.sendmail.org/pub/sendmail/ WEB ModSSL ' MySQL ' SQUID Serveur WEB Date Source 27/07/06 27/07/06 27/06/06 28/08/06 05/12/06 12/12/06 http://httpd.apache.org/dist http://www.modssl.org http://dev.mysql.com/doc/refman/5.1/en/news.html http://www.squid-cache.org AUTRE Nom INN OpenCA ' OpenLDAP Samba ' Tor LES Fonction Ver. Gestion des news Gestion de certificats Gestion de l’annuaire Gestion de fichiers Anonymat 2.4.3 0.9.3 2.3.31 3.0.23d 0.1.1.26 Date Source 22/03/06 10/10/06 17/12/06 15/11/06 17/12/06 http://www.isc.org/ http://pki.openca.org/projects/openca/downloads.shtml ftp://ftp.openldap.org/pub/OpenLDAP/openldap-release/ http://us1.samba.org/samba/ http://tor.eff.org/download.html OUTILS Une liste, non exhaustive, des produits et logiciels de sécurité du domaine public est proposée dans les tableaux suivants. LANGAGES Nom Fonction Ver. Perl Python Ruby PHP Scripting Scripting Scripting WEB Dynamique 5.8.8 2.5 1.8.5 4.4.4 5.2.0 Date Source 10/02/06 19/09/06 25/08/06 17/08/06 02/11/06 http://www.cpan.org/src/README.html http://www.python.org/download/ http://www.ruby-lang.org/en/downloads/ http://www.php.net/downloads.php ANALYSE RESEAU Nom Fonction Ver. Dsniff EtterCap Ethereal Nstreams SamSpade TcpDump Libpcap TcpFlow WinPCap Boîte à outils Analyse & Modification Analyse multiprotocole Générateur de règles Boîte à outils Analyse multiprotocole Acquisition Trame Collecte données Acquisition Trame 2.3 0.7.3 0.99.4 1.0.3 1.14 3.9.5 0.9.5 0.21 3.1 Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Date Source 17/12/00 29/05/05 31/10/06 06/08/02 10/12/99 19/09/06 19/09/06 07/08/03 05/08/05 http://www.monkey.org/~dugsong/dsniff http://ettercap.sourceforge.net/index.php?s=history http://www.wireshark.org/ http://www.ethereal.com/ http://www.hsc.fr/ressources/outils/nstreams/download/ http://www.samspade.org/ssw/ http://www.tcpdump.org/ http://www.tcpdump.org/ http://www.circlemud.org/~jelson/software/tcpflow/ http://www.winpcap.org/news.htm Page 27/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 ANALYSE DE JOURNAUX Nom Fonction Ver. Analog fwLogWatch OSSIM SnortSnarf WebAlizer Journaux serveur http Analyse log Console de gestion Analyse Snort Journaux serveur http 6.00 1.1 0.9.9rc3 050314.1 2.01-10 Date Source 19/12/04 17/04/06 22/09/06 05/03/05 24/04/02 http://www.analog.cx http://cert.uni-stuttgart.de/projects/fwlogwatch/ http://www.ossim.net/ http://www.snort.org/dl/contrib/data_analysis/snortsnarf/ http://www.mrunix.net/webalizer/download.html ANALYSE DE SECURITE Nom Fonction Ver. curl FIRE Nessus Analyse http et https Boîte à outils Vulnérabilité réseau 7.16 0.4a 2.2.9 3.0.4 1.8 1.35 4.20 6.3.3 7.0.4a 1.63.1 1.0 2.3 Helix Nikto ' nmap ' Saint ' Sara Wikto Whax Whisker Boîte à outils Analyse http et https Vulnérabilité réseau Vulnérabilité réseau Vulnérabilité réseau Analyse http et https Boîte à outils LibWhisker Date Source 30/10/06 14/05/03 30/10/06 30/10/06 06/10/06 20/05/05 11/12/06 13/12/06 22/12/06 29/03/06 26/05/06 22/08/05 http://curl.haxx.se/ http://sourceforge.net/projects/biatchux/ http://www.nessus.org http://www.nessus.org http://www.e-fense.com/helix/ http://www.cirt.net/nikto/ http://www.insecure.org/nmap/nmap_changelog.html http://www.saintcorporation.com/resources/updates.html http://www.www-arc.com/sara/downloads/ http://www.sensepost.com/research/wikto/ http://www.remote-exploit.org/index.php/BackTrack http://www.wiretrip.net/rfp/lw.asp CONFIDENTIALITE Nom ' GPG GPG4Win GPG S/MIME LibGCrypt Fonction Ver. Signature/Chiffrement Signature/Chiffrement Signature/Chiffrement Signature/Chiffrement 2.0.1 1.0.6 1.9.20 1.2.3 Date Source 06/12/06 29/08/06 20/12/05 29/08/06 http://www.gnupg.org/(fr)/news.html http://www.gnupg.org/(fr)/news.html http://www.gnupg.org/(fr)/news.html http://www.gnupg.org/(fr)/news.html CENT D’ACCES RESEAU Nom Fonction Ver. Date Xinetd Inetd amélioré 2.3.14 24/10/05 http://www.xinetd.org/ Source Date CENT D’INTEGRITE Nom Fonction Ver. RootKit hunt ChkRootKit RKRevealer Compromission UNIX Compromission UNIX Compromission WIN 1.2.7 0.47 1.71 Source 24/05/05 http://www.rootkit.nl 10/10/06 http://www.chkrootkit.org/ 01/11/06 http://www.microsoft.com/technet/sysinternals/default.mspx DETECTION D’INTRUSION Nom P0f ' Snort Shadow Fonction Ver. Identification passive IDS Réseau IDS Réseau 2.0.8 2.6.1.2 1.8 Date Source 06/09/06 http://lcamtuf.coredump.cx/p0f.shtml 07/12/06 http://www.snort.org/dl/ 30/04/03 http://www.nswc.navy.mil/ISSEC/CID/ GENERATEURS DE TEST Nom ' NetDude &all ' Scapy Fonction Ver. Rejeu de paquets Génération de paquet 0.4.7 1.0.5.20 Fonction Ver. PareFeu FreeBsd Filtre datagramme Pare-Feu IpTables 4.0 4.1.16 1.3.7 Date Source 16/11/06 http://netdude.sourceforge.net/download.html 12/12/06 http://www.secdev.org/projects/scapy/files/scapy.py PARE-FEUX Nom DrawBridge ' IpFilter ' NetFilter Date Source 23/04/04 http://drawbridge.tamu.edu 12/12/06 http://coombs.anu.edu.au/ipfilter/ip-filter.html 04/12/06 http://www.netfilter.org/projects/iptables/downloads.html TUNNELS Nom CIPE http-tunnel OpenSSL OpenSSH OpenSwan PuTTY ' Stunnel TeraTerm Pro Zebedee Fonction Ver. Pile Crypto IP (CIPE) Encapsulation http Pile SSL Pile SSH 1 et 2 Pile IPSec Terminal SSH2 Proxy https Terminal SSH2 Tunnel TCP/UDP 1.6 3.0.5 0.9.8d 4.5 2.4.7 0.58 4.20 3.1.3 2.4.1a Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Date Source 04/08/04 06/12/00 28/09/06 07/11/06 14/11/06 05/04/05 30/11/06 08/10/02 06/09/05 http://sites.inka.de/sites/bigred/devel/cipe.html http://www.nocrew.org/software/httptunnel.html http://www.openssl.org/ http://www.openssh.com/ http://www.openswan.org/code/ http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html http://www.stunnel.org http://www.ayera.com/teraterm/ http://www.winton.org.uk/zebedee/ Page 28/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 N NO OR STTA RM AN ME ND ES DA SE AR RD ET DS TS S LES LES PUBLICATIONS DE L’IETF RFC Du 29/11/2006 au 27/12/2006, 37 RFC ont été publiés dont 10 RFC ayant trait à la sécurité. RFC TRAITANT DE LA SECURITE Thème CRYPTO CT-KIP DoS EAP IKE KERB SSH Num Date Etat Titre 4757 4772 4758 4732 4746 4763 4739 4752 4768 4742 12/06 12/06 11/06 12/06 11/06 11/06 11/06 11/06 12/06 12/06 Inf Inf Inf Inf Inf Inf Exp Pst Inf Pst The RC4-HMAC Kerberos Encryption Types Used by Microsoft Windows Security Implications of Using the Data Encryption Standard (DES) Cryptographic Token Key Initialization Protocol (CT-KIP) Version 1.0 Revision 1 Internet Denial-of-Service Considerations Extensible Authentication Protocol (EAP) Password Authenticated Exchange Extensible Authentication Protocol Method for Shared-secret Authentication and Key Establishment Multiple Authentication Exchanges in the Internet Key Exchange (IKEv2) Protocol The Kerberos V5 ("GSSAPI") Simple Authentication and Security Layer (SASL) Mechanism Desired Enhancements to Generic Security Services Application Program Interface Version 3 Naming Using the NETCONF Configuration Protocol over Secure SHell (SSH) RFC TRAITANT DE DOMAINES CONNEXES A LA SECURITE Thème SIP Num Date Etat Titre 4740 11/06 Pst Diameter Session Initiation Protocol (SIP) Application AUTRES RFC Thème ECN ENUM Num Date Etat Titre 4774 4725 4759 IANA 4769 4773 4775 4786 IBM 4777 IP 4727 4737 4755 MIB 4639 4682 4706 4747 MIME 4723 MPLS 4717 4783 NETCONF 4741 4743 4744 OSPF 4750 RFC1264 4794 RTP 4733 SDP 4756 SIP 4734 SNMP 4789 URN 4729 LES 11/06 11/06 12/06 11/06 12/06 12/06 12/06 11/06 11/06 11/06 12/06 12/06 12/06 11/06 11/06 12/06 12/06 12/06 12/06 12/06 12/06 12/06 12/06 12/06 11/06 12/06 11/06 11/06 BCP Inf Pst Pst Inf BCP BCP Inf Pst Pst Pst Pst Pst Pst Pst Inf Pst Pst Pst Pst Pst Pst Inf Pst Pst Pst Pst Inf Specifying Alternate Semantics for the Explicit Congestion Notification (ECN) Field ENUM Validation Architecture The ENUM Dip Indicator Parameter for the "tel" URI IANA Registration for an Enumservice Containing PSTN Signaling Information Administration of the IANA Special Purpose IPv6 Address Block Procedures for Protocol Extensions and Variations Operation of Anycast Services IBM's iSeries Telnet Enhancements Experimental Values In IPv4, IPv6, ICMPv4, ICMPv6, UDP, and TCP Headers Packet Reordering Metrics IP over InfiniBand: Connected Mode Cable Device MIB for DOCSIS Compliant Cable Modems and Cable Modem Termination Systems MTAMIB for PacketCable- and IPCablecom-Compliant Devices Definitions of Managed Objects for Asymmetric Digital Subscriber Line 2 (ADSL2) The Virtual Fabrics MIB Registration of Media Type audio/mobile-xmf Encapsulation Methods for Transport of Asynchronous Transfer Mode (ATM) over MPLS Networks GMPLS - Communication of Alarm Information NETCONF Configuration Protocol Using NETCONF over the Simple Object Access Protocol (SOAP) Using the NETCONF Protocol over the Blocks Extensible Exchange Protocol (BEEP) OSPF Version 2 Management Information Base RFC 1264 Is Obsolete RTP Payload for DTMF Digits, Telephony Tones, and Telephony Signals Forward Error Correction Grouping Semantics in Session Description Protocol Definition of Events for Modem, Fax, and Text Telephony Signals Simple Network Management Protocol (SNMP) over IEEE 802 Networks A Uniform Resource Name (URN) Namespace for the Near Field Communication (NFC) Forum DRAFTS Du 29/11/2006au 27/12/2006, 166 drafts ont été publiés : 123 drafts mis à jour, 43 nouveaux drafts, dont 9 drafts ayant directement trait à la sécurité. NOUVEAUX DRAFTS TRAITANT DE LA SECURITE Thème Nom du Draft Date Titre CAPWAP HOKEY IKE draft-ye-capwap-fbsskey-distribution-ps-00 draft-clancy-hokey-reauth-ps-00 draft-friedman-ike-short-term-certs-00 21/12 Problem statement of key distribution for 802.11r using CAPWAP 19/12 Handover Key Management Re-authentication Problem Statement 29/11 Short-Term Certificates Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 29/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 RFC4285 SIP SMIME SRTP TLS TLS draft-vidya-rfc4285-security-analysis-00 draft-ietf-sipping-ipv6-torture-tests-00 draft-ietf-smime-multisig-00 draft-smahajan-srtp-selective-encryption-00 draft-rescorla-tls-suiteb-00 draft-rescorla-tls-opaque-prf-input-00 19/12 29/11 19/12 21/12 14/12 14/12 Security Analysis of RFC4285 SIP Torture Test Messages for Internet Protocol Version 6 (IPv6) Multiple Signatures in S/MIME Selective Encryption Support in SRTP SuiteB CipherSuites for TLS Opaque PRF Inputs for TLS MISE A JOUR DE DRAFTS TRAITANT DE LA SECURITE Thème Nom du Draft Date Titre DHCP DNS draft-ietf-dhc-paa-option-05 draft-ietf-dnsext-trustupdate-timers-05 draft-ietf-dnsext-rollover-requirements-04 draft-barany-eap-gee-04 draft-ietf-geopriv-policy-09 draft-ietf-rtgwg-rfc3682bis-08 draft-martin-ibcs-02 draft-ietf-mip6-ikev2-ipsec-08 draft-ietf-opes-smtp-security-02 draft-ietf-opsec-efforts-05 draft-ietf-pkix-scvp-29 draft-ietf-pkix-srvsan-04 draft-zorn-radius-keywrap-11 draft-siemborski-rfc1734bis-07 draft-siemborski-rfc2554bis-06 draft-ietf-smime-ibearch-02 draft-ietf-tcpm-syn-flood-01 draft-altman-telnet-starttls-02 draft-altman-telnet-rfc2941bis-02 draft-altman-telnet-rfc2942bis-02 draft-altman-telnet-rfc2944bis-02 draft-altman-tls-channel-bindings-01 draft-santesson-tls-gssapi-01 draft-ietf-tls-srp-13 18/12 30/11 29/11 20/12 11/12 14/12 21/12 18/12 18/12 22/12 22/12 12/12 14/12 15/12 13/12 20/12 11/12 15/12 15/12 15/12 18/12 13/12 19/12 18/12 EAP GEOPRIV GTSM IBCS IPV6 OPES OPSEC PKIX RADIUS RFC1734 RFC2554 SMIME TCP TELNET TLS DHCP options for PANA Authentication Agents Automated Updates of DNSSEC Trust Anchors Requirements related to DNSSEC Trust Anchor Rollover 3GPP2 Generic EAP Encapsulation (GEE) Protocol Format for Expressing Privacy Preferences for Location Inform. The Generalized TTL Security Mechanism (GTSM) Supersingular Curve Implement. of the BF & BB1 Cryptosystems Mobile IPv6 Operation with IKEv2 and the revised IPsec Arch. Integrity, privacy and security in OPES for SMTP Security Best Practices Efforts and Documents Server-based Certificate Validation Protocol (SCVP) PKI Subject Alternative Name for expression of service name RADIUS Attributes for Key Delivery POP3 SASL Authentication Mechanism SMTP Service Extension for Authentication Identity-based Encryption Architecture TCP SYN Flooding Attacks and Common Mitigations Telnet START-TLS Option Telnet Authentication Option Telnet Authentication: Kerberos Version 5 Telnet Authentication: SRP On the Use of Channel Bindings to Secure Channels GSS-API Extension for Transport Layer Security (TLS) Using SRP for TLS Authentication DRAFTS TRAITANT DE DOMAINES CONNEXES A LA SECURITE Thème Nom du Draft Date Titre DHCP DIAMETER IDR IPV6 LDAP draft-shen-dhc-block-alloc-03 draft-ietf-dime-rfc3588bis-00 draft-adan-idr-tidr-01 draft-padmakumar-mip6-mipv…creditcards-00 draft-wahl-ldap-p3p-03 draft-wahl-ldap-subtree-source-01 draft-akhter-bmwg-mpls-meth-02 draft-ietf-syslog-sign-20 draft-ietf-syslog-device-mib-12 draft-ietf-syslog-protocol-19 21/12 12/12 11/12 21/12 12/12 12/12 11/12 11/12 21/12 30/11 MPLS SYSLOG DHCP Proxy Server Micro-block Allocation Scheme For IP Address Diameter Base Protocol Tunneled Inter-domain Routing (TIDR) Multi-homed VPN Model for Automating Credit / Debit Cards P3P Policy Attributes for LDAP LDAP Subtree Data Source URI Attribute MPLS Benchmarking Methodology Signed syslog Messages Syslog Management Information Base The syslog Protocol AUTRES DRAFTS Thème Nom du Draft Date Titre ASN.X draft-legg-xed-asd-07 draft-legg-xed-rxer-07 draft-legg-xed-rxer-ei-04 draft-legg-xed-asd-xerei-03 draft-legg-xed-asd-gserei-03 draft-terrell-cidr-net-desc...-iptx-add-spc-12 draft-ietf-dhc-dhcpv6-opt-dnsdomain-04 draft-ietf-dhc-dhcpv6-agentopt-delegate-02 draft-ietf-dhc-timezone-option-05 draft-ietf-ecrit-dhc-lost-discovery-00 draft-farah-adntf-adns-guidelines-02 draft-ietf-tsvwg-admitted-realtime-dscp-00 draft-irtf-dtnrg-arch-08 draft-ietf-eai-framework-04 draft-ietf-ecrit-mapping-arch-01 draft-diao-eipv4-01 draft-ietf-enum-branch-location-record-02 draft-ietf-enum-combined-03 draft-kalin-geant-urn-namespace-01 draft-thomson-geopriv-geo-shape-03 draft-schulzrinne-geopriv-relo-02 draft-thomson-geopriv-3825bis-00 draft-iab-raws-report-00 draft-iab-publication-00 22/12 22/12 22/12 22/12 22/12 22/12 13/12 30/11 29/11 11/12 20/12 15/12 15/12 13/12 18/12 29/11 12/12 15/12 29/11 13/12 18/12 13/12 15/12 22/12 CIDR DHCP DNS DSCP DTNRG EAI ECRIT EIPV4 ENUM GEANT GEOPRIV IAB Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Abstract Syntax Notation X (ASN.X) RXER for Abstract Syntax Notation One (ASN.1) Encoding Instructions for the Robust XML Encoding Rules (RXER) ASN.X Representation of Encoding Instructions for XER ASN.X Representation of Encoding Instructions for GSER CIDR Network Descriptor expands the size of the IPtX Address Domain Suffix Option for DHCPv6 DHCPv6 Relay Agent Assignment Notification (RAAN) Option A Timezone Option for DHCP DHCP based LoST Discovery Procedure Guidelines for an Arabic Domain Name System (ADNS) An EF DSCP for Capacity-Admitted Traffic Delay-Tolerant Networking Architecture Overview and Framework for Internationalized Email Location-to-URL Mapping Architecture and Framework Source Route Based Extensible IP Network (EIPv4) The ENUM Branch Location Record Combined User and Infrastructure ENUM in the e164.arpa tree A URN Namespace for GEANT Geodetic Shapes for the Representation of Uncertainty in PIDF-LO RELO: Retrieving End System Location Information DHCP Option for Geodetic Location Information Report from the IAB Workshop on Routing and Addressing Process for Publication of IAB RFCs Page 30/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 draft-klensin-norm-ref-02 draft-klensin-rfc-independent-05 draft-crispin-comparator-unicode-00 draft-jpbedell-information-currency-trading-00 IANA draft-eddy-dtn-sdnv-02 ICMP draft-bonica-internet-icmp-14 IDR draft-lefaucheur-idr-v4nlri-v6nh-01 IMAP draft-ietf-imapext-i18n-08 draft-karp-imap-comment-00 IMG draft-greifenberg-mmusic-img-urn-03 IPFIX draft-muenz-ipfix-configuration-01 IPPM draft-ietf-ippm-bw-capacity-04 draft-ietf-ippm-twamp-02 draft-morton-ippm-delay-var-as-01 IPV4 draft-antoine-mip4-lowlatency-...s-00 IPV6 draft-ietf-16ng-ipv6-over-ipv6cs-03 draft-ietf-16ng-ip-over-....-802.16-00 draft-ietf-6lowpan-format-08 draft-ietf-6lowpan-problem-06 draft-ooms-v6ops-bgp-tunnel-07 draft-ietf-mip6-bootstrapping-split-04 draft-ietf-mip6-ha-switch-02 draft-ietf-mip6-experimental-messages-00 draft-ietf-mip6-vsm-00 draft-ietf-mipshop-cga-cba-02 draft-xia-16ng-end-01 draft-zengxing-ipng-00 draft-ietf-shim6-failure-detection-07 draft-ietf-v6ops-ent-analysis-07 iSCSI draft-ietf-ips-iwarp-da-05 ISMS draft-ietf-isms-tmsm-05 L2TP draft-ietf-l2tpext-failover-11 LTANS draft-ietf-ltans-reqs-10 LTRU draft-ietf-ltru-4646bis-02 MANET draft-templin-autoconf-dhcp-03 MBONED draft-ietf-mboned-lightweight-igmpv3-...-00 MPLS draft-ietf-ccamp-automesh-03 draft-ietf-ccamp-te-node-cap-04 draft-ietf-ccamp-pc-and-sc-reqs-00 draft-ietf-ccamp-mpls-gmpls-...-reqts-00 draft-ietf-ccamp-inter-...-recovery-analysis-00 draft-ietf-mpls-icmp-07 draft-ietf-mpls-upstream-label-01 draft-ietf-mpls-number-0-bw-te-lsps-05 draft-ietf-mpls-p2mp-te-mib-01 draft-eusebio-mpls-els-00 MULLINK draft-iab-multilink-subnet-issues-02 NAME draft-kyungsoo-name-urn-01 NETCONF draft-ietf-netconf-notification-05 NS draft-regnauld-ns-communication-00 NSIS draft-ietf-nsis-qspec-13 OSPF draft-ietf-ospf-mt-07 draft-ietf-ospf-ospfv3-update-14 PCE draft-ietf-pce-pcep-04 draft-ietf-pce-brpc-02 draft-ietf-pce-disco-proto-isis-01 draft-ietf-pce-disco-proto-ospf-01 draft-ietf-pce-disc-mib-00 draft-ietf-pce-tc-mib-00 PIM draft-ietf-pim-mib-v2-09 RBRIDGES draft-ietf-trill-rbridge-protocol-01 RFC draft-iab-rfc-editor-02 RFC2413 draft-kunze-rfc2413bis-05 ROHC draft-ietf-rohc-tcp-15 draft-ietf-rohc-formal-notation-13 draft-ietf-rohc-rfc3095bis-framework-04 RTG draft-andersson-rtg-gmpls-change-07 RTGWG draft-ietf-rtgwg-ordered-fib-00 draft-ietf-rtgwg-ipfrr-notvia-addresses-00 draft-ietf-rtgwg-lf-conv-frmwk-00 RTP draft-ietf-avt-rtp-hdrext-08 draft-ietf-avt-smpte-rtp-07 draft-ietf-avt-rtp-howto-01 draft-ietf-avt-rtp-toffset-04 draft-hdesinen-avt-rtp-evrc-wb-00 RTSP draft-einarsson-mmusic-rtsp-macuri-01 draft-lohmar-mmusic-rtsp-flute-01 Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés 19/12 22/12 29/11 20/12 11/12 12/12 19/12 20/12 30/11 19/12 21/12 30/11 30/11 29/11 15/12 18/12 14/12 13/12 11/12 12/12 19/12 20/12 20/12 20/12 12/12 11/12 14/12 13/12 11/12 12/12 14/12 30/11 14/12 19/12 22/12 20/12 11/12 19/12 19/12 21/12 22/12 12/12 12/12 12/12 29/11 19/12 12/12 22/12 20/12 19/12 13/12 30/11 20/12 13/12 15/12 12/12 12/12 11/12 11/12 19/12 14/12 22/12 18/12 11/12 12/12 30/11 29/11 12/12 13/12 13/12 15/12 15/12 15/12 15/12 29/11 21/12 19/12 A Process Experiment in Normative Reference Handling Independent Submissions to the RFC Editor Internet Application Protocol Simple Unicode Comparator Information Currency Trading Documents and Operations Using Self-Delimiting Numeric Values in Protocols Modifying ICMP to Support Multi-part Messages Advertising an IPv4 NLRI with an IPv6 Next Hop Internet Message Access Protocol Internationalization The IMAP COMMENT Extension Identifiers for Internet Media Guides (IMG) Configuration Data Model for IPFIX and PSAMP Defining Network Capacity A Two-way Active Measurement Protocol (TWAMP) Packet Delay Variation Applicability Statement Using Higher Layer Triggers for Low Latency Handoffs in MIPv4 IPv6 Over the IP Specific part of the Packet Convergence sublayer Transmission of IP over Ethernet over IEEE 802.16 Networks Transmission of IPv6 Packets over IEEE 802.15.4 Networks 6LoWPAN: Overview, Assumptions, Problem Statement and Goals Connecting IPv6 Islands over IPv4 MPLS using 6PE Mobile IPv6 bootstrapping in split scenario Mobility Header Home Agent Switch Message Mobile IPv6 Experimental Messages Mobile IPv6 Vendor Specific Option Enhanced Route Optimization for Mobile IPv6 Duplicate Address Detection Optimization Using END Internet Protocol, Version 6 (IPv6) Specification Failure Detection and Locator Pair Exploration Protocol for IPv6 IPv6 Enterprise Network Analysis - IP Layer 3 Focus Datamover Architecture for iSCSI (DA) Transport Subsystem for the Simple Net Management Protocol Fail Over extensions for L2TP "failover" Long-Term Archive Service Requirements Tags for Identifying Languages MANET Autoconfiguration Lightweight IGMPv3 and MLDv2 Protocols MPLS LSR Traffic Engineering (TE) mesh membership IGP Routing Protocol Ext. for Discovery of TE Node Capabilities Permanent Connections and Switched Connections in a GMPLS Support operation of MPLS-TE over GMPLS networks Analysis of Inter-domain Label Switched Path (LSP) Recovery ICMP Extensions for MultiProtocol Label Switching MPLS Upstream Label Assignment & Context Specific Label Space A Link-Type sub-TLV to convey the number of TE LSP signalled MPLS TE Management Information Base (MIB) module Ethernet Label Switching (ELS) Multilink Subnet Issues A URN Namespace for the Name Identification Service NETCONF Event Notifications Requirments for the Nameserver Communication protocol QoS NSLP QSPEC Template Multi-Topology (MT) Routing in OSPF OSPF for IPv6 PCE communication Protocol (PCEP) - Version 1 BRPC procedure to compute shortest inter-domain TE LSP IS-IS protocol extensions for PCE Discovery OSPF protocol extensions for PCE Discovery Definitions of Managed Objects for PCE Discovery Definitions of Textual Conventions for PCE Protocol Independent Multicast MIB Rbridges: Base Protocol Specification The RFC Series and RFC Editor The Dublin Core Metadata Element Set ROHC: A Profile for TCP/IP (ROHC-TCP) Formal Notation for Robust Header Compression (ROHC-FN) The RObust Header Compression (ROHC) Framework Change Process for MPLS and GMPLS Protocols and Procedures Loop-free convergence using oFIB IP Fast Reroute Using Not-via Addresses A Framework for Loop-free Convergence A general mechanism for RTP Header Extensions Associating Time-codes with RTP streams How to Write an RTP Payload Format Transmission Time offsets in RTP streams RTP payload for EVRC-WB codec and MIME for EVRC-B codec Multiple aggregated control URIs for RTSP Controlling FLUTE sessions with Real-Time Streaming Protocol Page 31/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 SCTP SDP SIEVE SIMPLE SIP SMIME SNMP SOCKET STRINGS TCP TCP TMRG TTNED VRRP draft-ietf-tsvwg-addip-sctp-17 draft-ietf-mmusic-sdp-...-negotiation-reqts-00 draft-ietf-mmusic-file-transfer-mech-00 draft-andreasen-mmusic-sdp-capability-...-00 draft-ietf-sieve-notify-05 draft-garcia-simple-presence-dictionary-01 draft-ietf-simple-message-sessions-18 draft-ietf-simple-msrp-relays-09 draft-garcia-sipping-resource-event-...-01 draft-garcia-sipping-resource-sharing-...-01 draft-fries-sip-identity-usage-bcp-01 draft-garcia-sipping-resource-desc-pidf-00 draft-ietf-sipping-race-examples-00 draft-ietf-smime-escertid-03 draft-schoenw-snmp-discover-00 draft-ietf-tsvwg-sctpsocket-14 draft-suignard-stringprep-bis-00 draft-leith-tcp-htcp-03 draft-allman-rto-backoff-04 draft-irtf-tmrg-tools-03 draft-stapleton-ttned-01 draft-ietf-vrrp-unified-mib-06 Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés 29/11 18/12 18/12 11/12 30/11 19/12 14/12 22/12 20/12 20/12 11/12 20/12 11/12 22/12 13/12 12/12 21/12 19/12 12/12 15/12 12/12 15/12 SCTP Dynamic Address Reconfiguration Requirements and Review of Existing Work SDP Offer/Answer Mechanism to Enable File Transfer Requirements and Review of Existing Work Sieve Extension: Notifications The Presence-specific Dictionary for Sigcomp Framework The Message Session Relay Protocol Relay Extensions for the Message Sessions Relay Protocol (MSRP) SIP Event Package and Data Format for Generic Resources A Framework for Sharing Resources with SIP SIP Identity Usage BCP Resource Descriptions Extension to PIDF Examples call flow in race condition on Session Initiation Protocol ESS Update: Adding CertID Algorithm Agility Simple Network Management Protocol (SNMP) EngineID Discovery Sockets API Extensions for Stream Control Transmission Protocol Preparation of Internationalized Strings (stringprep) TCP Congestion Control for High Bandwidth-Delay Product Paths Spurious Retransmissions to Adapt the Retransmission Timeout Tools for the Evaluation of Simulation and Testbed Scenarios Trusted Transactions for Network-Enabled Devices Definitions of Managed Objects for the VRRP over IPv4 and IPv6 Page 32/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 NOS COMMENTAIRES LES RFC RFC4742 Using the NETCONF Configuration Protocol over Secure SHell (SSH) Ce très court RFC – 8 pages – détaille une méthode pratique permettant d’utiliser le protocole NetConf sur une session SSH préalablement établie. La méthode proposée est classique et fait appel au mécanisme dit de ‘subsystem’ présent dans la version 2 du protocole SSH. L’invocation de ce mécanisme est effectuée à l’aide de l’option ‘-s’ passée sur la ligne de commande du client SSH, l’utilisateur ne devant pas oublier d’indiquer le port TCP à utiliser, en l’occurrence et dans le cas du protocole NetConf, le port 830 assigné à cet usage le IANA. Tout se résume donc, en ce qui concerne l’ouverture de la session, à passer la simple commande suivante: ssh -s server.example.org -p 830 netconf Celle-ci provoque la création du sous-système SSH ‘netconf’ sur le serveur distant et l’attachement des entrées/sorties de la session SSH sur les entrées/sorties de l’agent netconf exécuté dans ce sous-système. La session ne sera ouverte qu’à la condition préalable que l’utilisateur se soit correctement authentifié. Le protocole SSH joue ici le rôle d’un tunnel applicatif transportant, et chiffrant, toutes les données échangées entre l’interface SSH et l’agent distant. La commande proposée précédemment n’a cependant pas grand intérêt puisque les requêtes et les réponses – au format XML – seront transmises sur l’interface du client SSH à savoir le clavier et l’écran de la console. Sauf à être un virtuose de l’encodage XML capable de transmettre sans erreur des séquences semblables à celles proposées en exemple dans le RFC, il vaudra mieux s’appuyer sur un gestionnaire dédié que l’on connectera sur l’interface SSH par une simple redirection des entrées/sorties. La commande suivante, proposée dans la très intéressante contribution ‘Notes on Implementing NETCONF over SSH’ pourra être utilisée avec profit: netconf-manager | ssh -s server.example.org -p 830 netconf Il sera par ailleurs nécessaire de configurer le sous-système ‘netconf’ sur le serveur distant en déclarant celui-ci dans le fichier de configuration du service SSH (en général le fichier ‘/etc/ssh/sshd_config’) et d’autoriser l’utilisation du port TCP/830 sur les dispositifs de filtrage présents entre le système de gestion et les agents netconf. La table des matières de ce RFC est reproduite ci-après : 1. Introduction 2. Requirements Terminology 3. Starting NETCONF over SSH 3.1. Capabilities Exchange 4. Using NETCONF over SSH 5. Exiting the NETCONF Subsystem 6. Security Considerations 7. IANA Considerations 8. Acknowledgements 9. References 9.1. Normative References 9.2. Informative References http://www.ietf.org/rfc/rfc4742.txt http://en.wikipedia.org/wiki/Netconf http://www.flowmon.org/flowmon-probe/devel/config/netconf-ssh-notes - RFC - Présentation du protocole NetConf - Compléments d’information RFC4777 IBM's iSeries Telnet Enhancements Ce RFC est publié à titre purement informationnel et n’est pas destiné à devenir un standard de l’IETF. Cette publication s’explique par le sujet traité, à savoir, les extensions Telnet spécifiées par la société IBM et utilisées par les systèmes de la gamme iSeries. Implémentées sous la forme de variables négociées conformément à la spécification ‘Telnet Environment Option’ RFC1572, ces extensions sont utilisées par les clients Telnet mais aussi par les dispositifs d’impression pour requérir une ressource spécifique, désignée par son nom, ou un profil utilisateur auprès d’un service Telnet actif sur un serveur iSeries. Le RFC4777 ‘IBM's iSeries Telnet Enhancements’ – 47 pages - détaille par le menu chacun des échanges et des codes utilisés par ces extensions offrant un document de référence fort précieux pour toute personne ayant à analyser ces échanges. Souhaitons que la prochaine version du dissecteur Telnet WireShark intègre le décodage de ces extensions, propriétaires certes mais utilisées par des équipements couramment rencontrés. La table des matières de ce RFC est reproduite ci-après : 1. Introduction Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 33/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. Standard Telnet Option Negotiation Enhanced Telnet Option Negotiation Enhanced Display Emulation Support Enhanced Display Auto-Sign-On and Password Encryption 5.1. Data Encryption Standard (DES) Password Substitutes 5.2. Secure Hash Algorithm (SHA) Password Substitutes Kerberos Services Ticket Automatic Sign-On Support Device Name Collision Processing Enhanced Printer Emulation Support Telnet Printer Terminal Types Startup Response Record for Printer and Display Devices 10.1. Example of a Success Response Record 10.2. Example of an Error Response Record 10.3. Example of a Response Record with Device Name Retry 10.4. Response Codes Printer Steady-State Pass-Through Interface 11.1. Example of a Print Record 11.2. Example of a Print Complete Record 11.3. Example of a Null Print Record End-to-End Print Example Security Considerations IANA Considerations Normative References Informative References Relation to Other RFCs http://www.ietf.org/rfc/rfc4777.txt http://en.wikipedia.org/wiki/TELNET http://www.wireshark.org/docs/dfref/t/telnet.html Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés - Présentation du protocole Telnet - Dissecteur Telnet WireShark Page 34/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 A ALLEER ATTTTA RT AQ TE QU ES UE SE ES S ET TA ALERTES GUIDE DE LECTURE La lecture des avis publiés par les différents organismes de surveillance ou par les constructeurs n’est pas toujours aisée. En effet, les informations publiées peuvent être non seulement redondantes mais aussi transmises avec un retard conséquent par certains organismes. Dès lors, deux alternatives de mise en forme de ces informations peuvent être envisagées : o Publier une synthèse des avis transmis durant la période de veille, en classant ceux-ci en fonction de l’origine de l’avis, o Publier une synthèse des avis transmis en classant ceux-ci en fonction des cibles. La seconde alternative, pour séduisante quelle soit, ne peut être raisonnablement mise en œuvre étant donné l’actuelle diversité des systèmes impactés. En conséquence, nous nous proposons de maintenir une synthèse des avis classée par organisme émetteur de l’avis. Afin de faciliter la lecture de ceux-ci, nous proposons un guide de lecture sous la forme d’un synoptique résumant les caractéristiques de chacune des sources d’information ainsi que les relations existant entre ces sources. Seules les organismes, constructeurs ou éditeurs, disposant d’un service de notification officiel et publiquement accessible sont représentés. Avis Spécifiques Constructeurs Réseaux Systèmes Avis Généraux Editeurs Systèmes Indépendants Editeurs Hackers Editeurs Organismes Autres US Autres Cisco Apple Linux Microsoft K-Otik ISS BugTraq USCERT Juniper HP FreeBSD Netscape 3aPaPa Symantec @Stake CIAC Nortel IBM NetBSD SGI OpenBSD SUN SCO Aus-CERT Typologies des informations publiées Publication de techniques et de programmes d’attaques Détails des alertes, techniques et programmes Synthèses générales, pointeurs sur les sites spécifiques Notifications détaillées et correctifs techniques L’analyse des avis peut être ainsi menée selon les trois stratégies suivantes : o Recherche d’informations générales et de tendances : Lecture des avis du CERT et du CIAC o Maintenance des systèmes : Lecture des avis constructeurs associés o Compréhension et anticipation des menaces : Lecture des avis des groupes indépendants Aus-CERT US-CERT Cisco Apple Microsoft BugTraq K-Otik ISS NetBSD Juniper HP Netscape @Stake 3aРaPa Symantec OpenBSD IBM Xfree86 SGI Linux SUN FreeBSD CIAC Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 35/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 FORMAT DE LA PRESENTATION Les alertes et informations sont présentées classées par sources puis par niveau de gravité sous la forme de tableaux récapitulatifs constitués comme suit : Présentation des Alertes EDITEUR TITRE Description sommaire Informations concernant la plate-forme impactée Gravité Date Produit visé par la vulnérabilité Description rapide de la source du problème Correction URL pointant sur la source la plus pertinente Référence Référence(s) CVE si définie(s) Présentation des Informations SOURCE TITRE Description sommaire URL pointant sur la source d’information Référence(s) CVE si définie(s) SYNTHESE MENSUELLE Le tableau suivant propose un récapitulatif du nombre d’avis publiés pour la période courante, l’année en cours et l’année précédente. Ces informations sont mises à jour à la fin de chaque période de veille. L’attention du lecteur est attirée sur le fait que certains avis sont repris et rediffusés par les différents organismes. Ces chiffres ne sont donc représentatifs qu’en terme de tendance et d’évolution. Période du 29/11/2006 au 27/12/2006 Organisme US-CERT TA US-CERT ST CIAC Constructeurs Cisco HP IBM SGI Sun Editeurs BEA Oracle Macromedia Microsoft Novell Unix libres Linux RedHat Linux Fedora Linux Debian Linux Mandr. Linux SuSE FreeBSD Autres iDefense eEye NGS Soft. Période 40 3 0 37 38 0 5 7 2 24 14 0 0 2 7 5 79 7 26 20 14 10 2 14 12 2 0 Cumul 2006 2005 351 337 39 22 9 19 303 296 324 302 34 33 49 49 38 43 22 8 181 169 162 142 32 39 4 4 24 11 78 55 24 33 994 1 154 151 273 207 282 311 305 225 202 74 71 26 21 111 191 80 159 21 15 10 17 Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Cumul 2006 - Constructeurs Cisco 10% Sun 56% HP 15% Cumul 2005 - Constructeurs HP 16% SGI 3% IBM 12% SGI 7% BEA 20% Oracle 2% Microsoft 48% Macromedia 15% IBM 14% Cumul 2005 - Editeurs Cumul 2006 - Editeurs Novell 15% Cisco 11% Sun 56% Novell 23% Microsoft 39% BEA 27% Oracle Macromedia 3% 8% Page 36/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 ALERTES DETAILLEES AVIS OFFICIELS Les tables suivantes présentent une synthèse des principales alertes de sécurité émises par un organisme fiable, par l’éditeur du produit ou par le constructeur de l’équipement. Ces informations peuvent être considérées comme fiables et authentifiées. En conséquence, les correctifs proposés, s’il y en a, doivent immédiatement être appliqués. ADOBE Exécution de code via 'Download Manager' Un débordement de buffer autorise un attaquant à prendre le contrôle d'une machine vulnérable. Critique 05/12 Adobe 'Download Manager' version 2.1 et inférieures Débordement de buffer Correctif existant Non disponible http://www.adobe.com/support/security/bulletins/apsb06-19.html Adobe CVE-2006-5856 APPLE Exécution de code arbitraire dans 'Mac OS X' De multiples failles peuvent entraîner l'exécution de code arbitraire avec des droits privilégiés et des dénis de service. Critique 28/11 Apple 'Mac OS X' et 'Mac OS X Server' version 10.3.9 et inférieures et version 10.4.8 et inférieures Se reporter à l’avis original Correctif existant Se reporter à l’avis original http://lists.apple.com/archives/security-announce/2006/Nov/msg00001.html Apple CVE-2006-4396, CVE-2006-4398, CVE-2006-4400, CVE-2006-4401, CVE-2006-4402, CVE-2006-4403, CVE-2006-4404, CVE-20064406, CVE-2006-4407, CVE-2006-4408, CVE-2006-4409, CVE-2006-4410, CVE-2006-4411, CVE-2006-4412 Exposition d'informations via 'QuickTime for Java' Une faille autorise un attaquant distant à obtenir des informations. Forte 19/12 Apple 'Mac OS X' et 'Mac OS X Server' version 10.4.8 et inférieures Erreur de conception Correctif existant 'QuickTime for Java' http://lists.apple.com/archives/security-announce/2006/Dec/msg00000.html Apple CVE-2006-5681 BUSINESSOBJECT Contournement de la sécurité de 'Crystal Enterprise' Une erreur de conception autorise un attaquant distant à contourner certains mécanismes de sécurité. Forte 28/11 Business Objects 'Crystal Enterprise' version 9 et version 10 Erreur de conception Correctif existant Interface 'Web' http://www.niscc.gov.uk/niscc/docs/re-20061128-00818.pdf?lang=en NISCC CVE-2006-4099 CA Exécution de code dans 'BrightStor ARCserve Backup' Un débordement de buffer exploitable à distance autorise un attaquant à exécuter du code avec des droits privilégiés. Critique 07/12 Se reporter à l’avis original Débordement de buffer Correctif existant Service 'Discovery' http://supportconnectw.ca.com/public/storage/infodocs/babsecurity-notice.asp CA Vol de session utilisateur via 'CleverPath Portal' Une faille dans 'CleverPath Portal' peut permettre à un attaquant distant de voler la session d'un utilisateur. Forte 21/12 Se reporter à l’avis original Erreur de conception Correctif existant Non disponible http://www3.ca.com/securityadvisor/vulninfo/vuln.aspx?id=34876 CA CVE-2006-6641 CITRIX Exécution de code via un contrôle ActiveX Citrix Un débordement de tas dans un contrôle ActiveX provoque l'exécution de code arbitraire. Forte 06/12 Citrix 'Presentation Server Client for Windows' versions inférieures à 9.230 Débordement de tas Correctif existant Contrôle ActiveX 'Wfica.ocx', http://support.citrix.com/article/CTX111827 Citrix CVE-2006-6334 Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 37/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 FILEZILLA Déni de service du serveur FTP 'FileZilla Server' Un déréférencement de pointeur NULL dans le serveur 'FileZilla Server' entraîne un déni de service du produit. Forte 11/12 FileZilla 'FileZilla Server' versions inférieures à 0.9.22 Déréférencement de pointeur NULL Correctif existant Non disponible http://sourceforge.net/project/shownotes.php?release_id=470364&group_id=21558 FileZilla FREEDESKTOP Déni de service local dans 'D-BUS' Une faille dans 'D-BUS' peut être exploitée localement afin de provoquer un déni de service du produit. Moyenne 13/12 Freedesktop 'D-BUS' version 1.01 et inférieures Erreur de codage Correctif existant Fichier 'signals.c' https://bugs.freedesktop.org/show_bug.cgi?id=9142 Freedesktop CVE-2006-6107 GNOME Débordement de buffer dans 'libgsf' Une faille non documentée dans la bibliothèque GNOME 'libgsf' peut permettre l'exécution de code arbitraire. Forte 30/11 Gnome 'libgfs' Non disponible Débordement de buffer Aucun correctif http://www.fr.debian.org/security/2006/dsa-1221 Debian Déni de service dans 'GConf' Une erreur de conception autorise un utilisateur local malveillant à provoquer un déni de service de l'outil. Moyenne 12/12 Gnome 'GConf' version 2.8.x et inférieures Gestion répertoires temporaires Erreur de conception Aucun correctif https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=219279 Red Hat Bugzilla CVE-2006-6698 GNUPG Exécution de code arbitraire via 'GnuPG' Une faille dans 'GnuPG' peut être exploitée par un attaquant afin d'exécuter du code arbitraire. Forte 07/12 GnuPG 'GnuPG' versions inférieures à 1.4.6, versions inférieures à 2.0.2 Corruption de la mémoire Correctif existant Messages 'OpenPGP' http://lists.gnupg.org/pipermail/gnupg-announce/2006q4/000246.html GnuPG CVE-2006-6235 HITACHI Exécution de code dans 'Hitachi Directory Server' De multiples failles autorisent un attaquant distant à exécuter du code et à provoquer un DoS du produit. Forte 20/12 Hitachi 'Hitachi Directory Server' version 2 Débordement de buffer, fuite mémoire Correctif existant Gestion des requêtes 'LDAP' http://www.hitachi-support.com/security_e/vuls_e/HS06-018_e/index-e.html Hitachi HP Elévation de privilèges dans 'Integrated Lights Out' Une faille non documentée peut être exploitée à distance afin d'obtenir un accès non autorisé au système. Forte 13/12 HP 'Integrated Lights Out' version 1 et version 2 Non disponible Correctif existant Authentification par clés 'SSH' HP (SSRT061230) http://www5.itrc.hp.com/service/cki/docDisplay.do?docId=c00800677 IBM Débordements de buffer dans 'Tivoli Storage Manager' Le produit IBM 'Tivoli Storage Manager' est vulnérable à de multiples débordements de buffer. Forte 05/12 IBM 'Tivoli Storage Manager' versions inférieures à 5.2.9 et inférieures à 5.3.4 Débordement de buffer Correctif existant Mécanisme d'authentification http://www-1.ibm.com/support/docview.wss?uid=swg21250261 IBM CVE-2006-5855 Déni de service d'IBM 'DB2 Universal Database' Un déréférencement de pointeur NULL dans la base 'DB2 Universal Database' provoque un déni de service. Forte 18/12 IBM 'DB2 Universal Database' versions inférieures à 8.2 FixPak 7et à 8.1 FixPak 14 Déréférencement de pointeur NULL Correctif existant Paquet 'SQLJRA' http://www-1.ibm.com/support/docview.wss?uid=swg1IY86917 IBM http://www-1.ibm.com/support/docview.wss?uid=swg1IY91847 IBM Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 38/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 Exposition d'informations dans WebSphere Deux failles peuvent entraîner, entre autres choses, l'exposition du code source des pages 'JSP'. Forte 19/12 IBM 'WebSphere Application Server' versions inférieures à 6.0.2.17 Non disponible Correctif existant 'Servlet Engine', 'General' http://www-1.ibm.com/support/docview.wss?rs=180&uid=swg24014306 IBM http://www-1.ibm.com/support/docview.wss?rs=180&uid=swg27006876 IBM Exposition d'information dans 'Tivoli Identity Manager' Une faille dans 'Tivoli Identity Manager' autorise un utilisateur local à obtenir des informations. Moyenne 12/12 IBM 'Tivoli Identity Manager' version 4.6 Mot de passe 'JKS' Erreur de conception Palliatif proposé http://www-1.ibm.com/support/docview.wss?uid=swg21251069 IBM Faille dans l'utilitaire 'Utility Classes' Une faille aux conséquences inconnues affecte l'utilitaire 'Utility Classes' de 'WebSphere Application Server'. N/A 15/12 IBM 'WebSphere Application Server' version 5.1.1.13 et inférieures Non disponible Correctif existant Utilitaire 'Utility Classes' http://www-1.ibm.com/support/docview.wss?uid=swg24014231 IBM INTEL Elévation de privilèges via les pilotes 'LAN' Un débordement de buffer dans les pilotes 'LAN' d'Intel autorise un utilisateur local à élever ses privilèges. Forte 06/12 Intel 'PRO/1000 Adapters', ‘ PCIe Adapters', 'PRO 10/100 Adapters', 'PRO/10GbE Adapters' Débordement de buffer Correctif existant Pilote 'LAN' http://www.intel.com/support/network/sb/CS-023726.htm Intel KDE Déni de service via le composant 'kdegraphics' Une erreur de codage dans un plugin de 'kdegraphics' provoque un déni de service d'une plate-forme vulnérable. Forte 29/11 KDE 'KDE' versions 3.1.0 à 3.5.5 Erreur de codage Correctif existant Composant 'kdegraphics' http://www.kde.org/info/security/advisory-20061129-1.txt KDE Exécution de code et déni de service dans 'KOffice' Un débordement d'entier peut entraîner un DoS ou l'exécution de code avec les droits de l'utilisateur courant. Forte 29/11 KDE 'KOffice' version 1.6 et inférieures Débordement d'entier Correctif existant Code de filtrage http://www.ubuntu.com/usn/usn-388-1 Ubuntu CVE-2006-6120 KERIO Déni de service de 'MailServer' Une faille non documentée dans Kerio 'MailServer' peut entraîner un déni de service du produit. Forte 14/12 Kerio 'MailServer' versions inférieures à 6.3.1 Non disponible Correctif existant Gestion des requêtes 'LDAP' http://www.kerio.com/kms_history.html Kerio CVE-2006-6554 LINUX Multiples failles du noyau Linux 2.6 De multiples failles autorisent un attaquant à provoquer des dénis de service et à exécuter du code arbitraire. Forte 11/12 Linux 'Noyau 2.6' Erreur de codage, Validation insuffisante des données, Corruption mémoire Correctif existant Se reporter à l’avis original https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=207463 Red Hat Bugzilla http://lists.debian.org/debian-security-announce/debian-security-announce-2006/msg00334.html Debian CVE-2006-4538, CVE-2006-4813, CVE-2006-5649, CVE-2006-5871, CVE-2006-6333 Exécution de code via la pile 'bluetooth' Un débordement de buffer provoque un déni de service ou l'exécution de code arbitraire avec des droits privilégiés. Forte 14/12 Linux 'Noyau 2.4' version 2.4.33.4 et inférieures Débordement de buffer Correctif existant Pile 'bluetooth’ http://www.kernel.org/pub/linux/kernel/v2.4/ChangeLog-2.4.33.5 Kernel.org CVE-2006-6106 Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 39/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 Déni de service dans le noyau Linux Deux failles dans le noyau Linux peuvent entraîner un déni de service. Moyenne 21/12 Linux 'Noyau 2.6' 'sys_(g|s)et_robust_list()' Erreur de conception Aucun correctif http://lists.suse.com/archive/suse-security-announce/2006-Dec/0009.html SuSE CVE-2006-5173, CVE-2006-5648 MADWIFI Exécution de code arbitraire dans les pilotes 'MADWiFi' Un faille peut autoriser l'exécution de code arbitraire. Forte 08/12 MADWiFi 'MADWiFi' versions inférieures à 0.9.2.1 Débordement de buffer Correctif existant Fichier 'ieee80211_wireless.c' http://madwifi.org/wiki/news/20061207/release-0-9-2-1-fixes-critical-security-issue MADWiFi CVE-2006-6332 MAILENABLE Multiples failles des produits MailEnable Deux failles autorisent un attaquant à provoquer des dénis de service et l'exécution de code. Forte 01/12 ‘Enterprise Edition' V1.1 à 1.41et V2.0 à 2.35 et 'Professional Edition' V1.6 à 1.84 et V2.0 à 2.35 Débordement de pile, validation insuffisante des données Correctif existant Service 'IMAP' http://www.mailenable.com/hotfix/ MailEnable MANDIANT Multiples failles dans 'Mandiant First Response' Des failles peuvent entraîner, entre autres choses, des dénis de service. Forte 18/12 MANDIANT 'Mandiant First Response' version 1.1 Erreur de conception Correctif existant Agent 'First Response' http://www.symantec.com/enterprise/research/SYMSA-2006-013.txt Symantec CVE-2006-6475, CVE-2006-6476, CVE-2006-6477 MCAFEE Exécution de code via 'VirusScan for Linux' Une faille dans 'VirusScan for Linux' de McAfee entraîne l'exécution de code arbitraire. Forte 14/12 McAfee 'VirusScan for Linux' version 4510e Variable 'DT_RPATH' Validation insuffisante des données Aucun correctif http://www.gentoo.org/security/en/glsa/glsa-200612-15.xml Gentoo CVE-2006-6474 MICROSOFT Débordement de buffer dans 'Windows Media Format' Un débordement de buffer peut être exploité par un attaquant distant afin d'exécuter du code arbitraire. Forte 13/12 'Windows Media Format' V 7.1 à 9.5, 'Windows Media Format' V 9.5, 'Windows Media Player' V 6.4 Débordement de buffer Correctif existant Traitements des fichiers '.ASF' http://www.microsoft.com/france/technet/security/bulletin/ms06-078.mspx MICROSOFT CVE-2006-6134 Elévation de privilèges via des manifestes de fichiers Une faille peut permettre à un utilisateur malveillant d'élever ses privilèges. Forte 13/12 Microsoft 'Windows Server 2003', Microsoft 'Windows XP' version SP2 Non disponible Correctif existant Manifestes de fichiers http://www.microsoft.com/france/technet/security/bulletin/ms06-075.mspx MICROSOFT CVE-2006-5585 Exécution de code arbitraire dans 'Outlook Express' Une faille peut autoriser un attaquant distant à exécuter du code et prendre le contrôle d'une station. Forte 13/12 Microsoft 'Outlook Express' version 6SP0, 'Outlook Express' version 6SP1 Non disponible Correctif existant Carnet d'adresses http://www.microsoft.com/france/technet/security/bulletin/ms06-076.mspx MICROSOFT CVE-2006-2386 Exécution de code arbitraire via 'SNMP' Une faille peut être exploitée par un attaquant distant afin de prendre le contrôle d'une station vulnérable. Forte 13/12 Se reporter à l’avis original Débordement de buffer Correctif existant Service 'SNMP' http://www.microsoft.com/france/technet/security/bulletin/ms06-074.mspx MICROSOFT CVE-2006-5583 Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 40/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 Multiples vulnérabilités dans 'Internet Explorer' De multiples failles peuvent autoriser un attaquant distant à exécuter du code et obtenir des informations sensibles. Forte 13/12 Microsoft 'Internet Explorer' versions 5.01 (SP4) à 6(SP1) Corruption de la mémoire Correctif existant Se reporter à l’avis original http://www.microsoft.com/france/technet/security/bulletin/ms06-072.mspx MICROSOFT CVE-2006-5577, CVE-2006-5578, CVE-2006-5579, CVE-2006-5581 Suppression de fichiers arbitraires via 'RIS' Une faille peut autoriser un attaquant distant à supprimer des fichiers arbitraires. Forte 13/12 Microsoft 'Windows 2000' version SP4 Erreur de conception Correctif existant Service 'RIS', service 'TFTP' http://www.microsoft.com/france/technet/security/bulletin/ms06-077.mspx MICROSOFT CVE-2006-5584 MONO Exposition d'information via Mono 'XSP' Une faille dans Mono 'XSP' autorise un attaquant à obtenir le code source de certains fichiers. Forte 20/12 Mono 'Mono' version 1.2.1, 'XSP' version 1.1, 'XSP' version 2.0 Erreur de conception Correctif existant Gestion du caractère '%20' http://www.mandriva.com/security/advisories?name=MDKSA-2006:234 Mandriva CVE-2006-6104 MOZILLA Multiples failles dans les produits Mozilla De multiples failles peuvent entraîner des dénis de service, l'exécution de code arbitraire et une élévation de privilèges. Forte 20/12 Se reporter à l’avis original Se reporter à l’avis original Correctif existant Se reporter à l’avis original http://www.mozilla.org/security/announce/2006/mfsa2006-68.html mfsa2006-69.html Mozilla http://www.mozilla.org/security/announce/2006/mfsa2006-70.html mfsa2006-71.html Mozilla http://www.mozilla.org/security/announce/2006/mfsa2006-72.html mfsa2006-73.html Mozilla http://www.mozilla.org/security/announce/2006/mfsa2006-74.html mfsa2006-75.html Mozilla http://www.mozilla.org/security/announce/2006/mfsa2006-76.html Mozilla CVE-2006-6497, CVE-2006-6498, CVE-2006-6499, CVE-2006-6500, CVE-2006-6501, CVE-2006-6502, CVE-2006-6503, CVE-20066504, CVE-2006-6505, CVE-2006-6506, CVE-2006-6507 NEOSCALE Contournement de la sécurité dans CryptoStor Une erreur de conception peut permettre à un utilisateur malveillant de contourner certains mécanismes de sécurité. Forte 19/12 NeoScale 'CryptoStor Tape 700 series' versions inférieures à 2.6 Correctif existant Authentification par 'smartcard' Erreur de conception http://www.kb.cert.org/vuls/id/339004 US-CERT CVE-2006-3896 NETBSD Exécution de code arbitraire dans 'NetBSD' Un débordement de buffer dans la bibliothèque 'libc' de 'NetBSD' peut entraîner l'exécution de code arbitraire. Forte 15/12 NetBSD 'NetBSD' version 3.1 et inférieures Débordement de buffer Correctif existant Bibliothèque 'libc' ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2006-027.txt.asc NetBSD NOVELL Exécution de code via Novell 'Netware Client' Deux débordements de buffer peuvent entraîner l'exécution de code arbitraire sur une plate-forme vulnérable. Forte 29/11 Novell 'Netware Client' versions 4.91 à 4.91 SP2 Débordement de buffer Correctif existant Bibliothèque 'nwspool.dll' http://www.novell.com/support/search.do?cmd=displayKC&externalId=3125538&sliceId=SAL_Public Novell CVE-2006-5854 Contournement de la sécurité dans 'novell-lum' Une faille peut permettre à un utilisateur malveillant de contourner le mécanisme d'authentification. Forte 20/12 Novell 'novell-lum' Non disponible Correctif existant Non disponible http://support.novell.com/techcenter/psdb/4285aca7bc9e398695f9cacc63e5c939.html Novell Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 41/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 "Cross-Site Scripting" dans 'NetWare' Une faille peut permettre à un attaquant distant de mener des attaques de types "Cross-Site Scripting". Forte 21/12 Novell 'NetWare 6.5' version SP5 et SP6 Module 'Welcome Web-App' Validation insuffisante des données Palliatif proposé https://secure-support.novell.com/KanisaPlatform/Publishing/514/3319127_f.SAL_Public.html Novell Déni de service de 'Novell Client' Une faille non documentée dans 'Novell Client' autorise un attaquant distant à provoquer un déni de service du produit. Forte 05/12 Novell 'Novell Client' version 4.91 SP2 et inférieures Non disponible Correctif existant Pilote 'srvloc.sys' https://secure-support.novell.com/KanisaPlatform/Publishing/859/3480790_f.SAL_Public.html Novell Débordement de buffer dans 'Novell Client' Un débordement de buffer, aux conséquences inconnues, affecte le produit 'Novell Client'. N/A 04/12 Novell 'Novell Client' version 4.91 SP3 et inférieures Débordement de buffer Correctif existant Bibliothèque 'NDPPNT.DLL' http://support.novell.com/cgi-bin/search/searchtid.cgi?/2974843.htm Novell RUBY Déni de service via 'Ruby' Une faille dans 'Ruby' peut être exploitée par un attaquant distant dans le but de provoquer un déni de service. Forte 06/12 Ruby 'Ruby' version 1.8.5 et inférieures Erreur de codage Correctif existant Script 'cgi.rb' http://www.ruby-lang.org/en/news/2006/12/04/another-dos-vulnerability-in-cgi-library/ Ruby SOFTWIN Exécution de code dans les anti-virus BitDefender Un débordement de tas dans les anti-virus BitDefender peut entraîner l'exécution de code arbitraire. Forte 15/12 Se reporter à l’avis original Débordement de tas Correctif existant Fichiers au format 'PE' http://www.bitdefender.com/KB323-en--cevakrnl.xmd-vulnerability.html BitDefender SOPHOS Multiples vulnérabilités dans les anti-virus Sophos Deux failles dans les produits Sophos peuvent entraîner l'exécution de code arbitraire et un déni de service. Forte 08/12 Se reporter à l’avis original Corruption de la mémoire, Débordement de tas Correctif existant Se reporter à l’avis original http://www.sophos.com/support/knowledgebase/article/17609.html Sophos http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=451 iDefense http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=452 iDefense CVE-2006-5647 Multiples vulnérabilités dans les anti-virus Sophos Deux failles dans les produits Sophos peuvent entraîner l'exécution de code arbitraire. Forte 14/12 Sophos 'Sophos Anti-Virus' toute versions Débordement de tas et de pile Correctif existant Se reporter à l’avis original http://www.sophos.com/support/knowledgebase/article/17340.html Sophos http://www.sophos.com/support/knowledgebase/article/21637.html Sophos CVE-2006-6335 SQL-LEDGER Multiples failles dans 'SQL-Ledger' De multiples failles peuvent autoriser un attaquant à voler des sessions et exécuter des scripts Perl arbitraires. Forte 18/12 SQL-Ledger 'SQL-Ledger' Se reporter à l’avis original Erreur de conception, Traversée de répertoire Aucun correctif http://www.debian.org/security/2006/dsa-1239 Debian CVE-2006-4244, CVE-2006-4731, CVE-2006-5872 SQUIRRELMAIL "Cross-Site Scripting" dans 'Squirrelmail' De multiples failles permettent à un attaquant distant de mener des attaques de type "Cross-Site Scripting". Forte 04/12 SquirrelMail 'Squirrelmail' versions 1.4.0 à 1.4.9 Non disponible Correctif existant Se reporter à l’avis original http://www.squirrelmail.org/security/issue/2006-12-02 SquirrelMail CVE-2006-6142 Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 42/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 Faille de 'Squirrelmail' sous 'Internet Explorer' Une faille peut permettre l'exécution de script arbitraire. Forte 04/12 SquirrelMail 'Squirrelmail' Erreur de conception Correctif existant Gestion des contenus 'MIME' http://www.squirrelmail.org/security/issue/2006-12-03 SquirrelMail SSMTP Exposition d'informations sensibles dans 'ssmtp' Une erreur de conception entraîne l'exposition d'informations sensibles. Forte 30/05 ssmtp 'ssmtp' version 2.61 Phase 'AUTH LOGIN' Erreur de conception Aucun correctif Debian Bug report http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=369542 SUN Attaques de type "HTTP Request Smuggling" L'utilisation de plusieurs produits Sun en même temps autorise des attaques "HTTP Request Smuggling". Forte 30/11 Se reporter à l’avis original Non disponible Correctif existant Non disponible http://sunsolve.sun.com/search/document.do?assetkey=1-26-102733-1 Sun Déni de service de la plate-forme Sun 'Solaris' Une faille dans le noyau de Sun 'Solaris' peut entraîner un déni de service d'une plate-forme vulnérable. Forte 30/11 Sun 'Solaris' version 8,version 9 et version 10 Conflit d'accès aux ressources Correctif existant Non disponible http://sunsolve.sun.com/search/document.do?assetkey=1-26-102574-1 Sun Elévation de privilèges dans 'Java' Des failles autorisent une applet non privilégiée à élever ses privilèges et à accéder à des données. Forte 19/12 Se reporter à l’avis original Débordement de buffer Correctif existant 'serialisation' http://sunsolve.sun.com/search/document.do?assetkey=1-26-102729-1 Sun http://sunsolve.sun.com/search/document.do?assetkey=1-26-102731-1 Sun http://sunsolve.sun.com/search/document.do?assetkey=1-26-102732-1 Sun Multiples failles de 'ld.so' sur Sun 'Solaris' Deux failles dans la bibliothèque 'ld.so' peuvent permettre à un attaquant distant d'exécuter du code arbitraire. Forte 13/12 Sun 'Solaris' version 8, version 9, version 10 Traversée de répertoire, Débordement de buffer Correctif existant Variables d'environnement http://sunsolve.sun.com/search/document.do?assetkey=1-26-102724-1 SUN http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=449 iDefense http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=450 iDefense TREND MICRO Débordements de buffer dans 'OfficeScan' Deux débordements de buffer peuvent autoriser un attaquant distant à exécuter du code arbitraire. Forte 05/12 Trend Micro 'OfficeScan' version 7.3 et inférieures Débordement de buffer Correctif existant Wizard.exe, CgiRemoteInstall http://esupport.trendmicro.com/support/viewxml.do?ContentID=EN-1031702 Trend Micro http://esupport.trendmicro.com/support/viewxml.do?ContentID=EN-1031753 Trend Micro CVE-2006-6178, CVE-2006-6179 XEROX Multiples failles dans Xerox WorkCentre De multiples failles autorisent, entre autres choses, un attaquant à prendre le contrôle d'un équipement vulnérable. Critique 30/11 Xerox 'WorkCentre' et 'WorkCentre Pro' versions 232 à 275 Multiples vulnérabilités Correctif existant Fimware 'ESS/Network' http://a1851.g.akamaitech.net/f/1851/2996/24h/cacheB.xerox.com/downloads/usa/en/c/cert_XRX06_006_v1 Xerox .pdf XINE Déni de service dans 'xine-lib' Un débordement de buffer peut autoriser un attaquant à provoquer un DoS et à exécuter potentiellement du code. Forte 26/11 Xine 'xine-lib' versions inférieures à 1.1.3 Débordement de buffer Correctif existant Plugin 'Real Media' http://sourceforge.net/project/shownotes.php?release_id=468432 Xine CVE-2006-6172 Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 43/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 YAHOO! Exécution de code via 'Yahoo! Messenger' Un débordement de buffer peut entraîner l'exécution de code arbitraire. Forte 18/12 Yahoo! 'Yahoo! Messenger' version 8.0.0.863 et inférieures Débordement de buffer Correctif existant Contrôle ActiveX 'YMailAttach' http://messenger.yahoo.com/security_update.php?id=120806 Yahoo! ALERTES NON CONFIRMEES Les alertes présentées dans les tables de synthèse suivantes ont été publiées dans diverses listes d’information mais n’ont pas encore fait l’objet d’une annonce ou d’un correctif de la part de l’éditeur. Ces alertes nécessitent la mise en place d’un processus de suivi et d’observation. 2X SOFTWARE Création de compte administrateur dans ThinClientServer Une erreur de conception peut permettre à un utilisateur malveillant de créer un compte administrateur. Critique 07/12 2X Software 'ThinClientServer Enterprise Edition' version v3_sp2-r1865 Erreur de conception Correctif existant Procédure d'installation http://www.securityfocus.com/bid/21300 SecurityFocus CVE-2006-6221 ADOBE Multiples vulnérabilités dans 'ColdFusion MX' Trois failles autorisent un attaquant distant à obtenir des informations et à contourner des mécanismes de sécurité. Forte 10/12 Adobe 'ColdFusion MX' version 7 Se reporter à l’avis original Erreur de conception, Validation insuffisante des données Aucun correctif http://lists.grok.org.uk/pipermail/full-disclosure/2006-December/051225.html Full Disclosure AGNITUM Contournement de la sécurité de 'Outpost Firewall Pro' Une erreur de conception autorise le contournement des mécanismes de sécurité et l’exécution de code arbitraire. Moyenne 01/12 Agnitum 'Outpost Firewall PRO' version 4.0 Exécutable 'services.exe' Erreur de conception Aucun correctif http://www.matousec.com/info/advisories/Outpost-Bypassing-Self-Protection-via-Advanced-DLL-injectionMatousec with-handle-stealing.php ALLIED TELESYN Accès non autorisé au VLAN de gestion Une faille non documentée permet d'obtenir un accès non autorisé au VLAN de gestion. Moyenne 16/12 Allied Telesyn 'AT-9000/24 Ethernet switch' Non disponible Correctif existant VLAN de gestion http://www.securityfocus.com/bid/21628 SecurityFocus ANTIVIRUS Contournement de l'analyse de plusieurs anti-virus Une erreur de conception dans plusieurs anti-virus peut provoquer le contournement de l'analyse d'un code malicieux. Forte 07/12 Se reporter à l’avis original Moteur d'analyse Erreur de conception Aucun correctif http://www.quantenblog.net/security/virus-scanner-bypass Quantenblog Déni de service de plusieurs anti-virus Une faille provoque un déni de service de ces produits et/ou d'une plate-forme vulnérable. Forte 08/12 Trend Micro Office Scan V7.3, PC Cillin, Server Protect V5.58, Sophos Anti-Virus versions inférieures à 6.0.5 Non disponible Correctif existant Gestion des archives 'RAR' http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=439 iDefense CVE-2006-5645 APPLE Exécution de code arbitraire via 'ftpd' Un débordement de buffer dans le serveur FTP 'ftpd' de 'Mac OS X' peut être exploité afin de provoquer l'exécution de code arbitraire. Forte 05/12 Apple 'Mac OS X' version 10.3.9 et inférieures et version 10.4.8 et inférieures Serveur 'ftpd’ Débordement de buffer Aucun correctif http://secunia.com/advisories/23178/ Secunia Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 44/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 Déni de service de 'BOMArchiveHelper' Une faille non documentée dans 'Mac OS X' provoque un déni de service de l'outil 'BOMArchiveHelper'. Forte 05/12 Apple 'Mac OS X' version 10.3.9 et inférieures et version 10.4.8 et inférieures Application 'BOMArchiveHelper' Non disponible Aucun correctif http://www.securityfocus.com/bid/21446 SecurityFocus Security-Protocols http://security-protocols.com/2006/12/04/bomarchivehelper-needs-some-lovin/ Déni de service via le pilote 'AirPort Extreme' Une faille non documentée dans le pilote 'AirPort Extreme' de 'Mac OS X' peut entraîner un déni de service. Forte 30/11 Apple 'Mac OS X' version 10.4.8 et inférieures Pilote 'AirPort Extreme' Non disponible Aucun correctif http://projects.info-pull.com/mokb/MOKB-30-11-2006.html MoKB Exécution de code et déni de service dans 'Mac OS X' Une faille de type corruption de la mémoire peut entraîner l'exécution de code arbitraire ou un déni de service. Forte 28/11 Apple 'Mac OS X' version 10.4.8 et inférieures Fonction système Corruption de la mémoire Aucun correctif http://projects.info-pull.com/mokb/MOKB-28-11-2006.html MoKB Exposition d'informations dans 'Safari' Une faille affecte le navigateur 'Safari'. Elle peut être exploitée afin d'obtenir des informations sensibles. Forte 28/11 Apple 'Safari' version 2.0.4 Gestionnaire de mots de passe Erreur de conception, validation insuffisante des données Aucun correctif http://www.securityfocus.com/bid/21329 SecurityFocus BLUESOCKET "Cross-Site Scripting" dans le produit 'BSC 2100' L'interface d'administration Web est vulnérable à des attaques de type "Cross-Site Scripting". Forte 05/12 BlueSocket 'BSC 2100' versions inférieures à 5.2 Validation insuffisante des données en entrée Correctif existant Script 'Admin.PL' http://www.securityfocus.com/bid/21419 SecurityFocus BORLAND Exécution de code arbitraire dans les produits Borland Un débordement de buffer dans une bibliothèque peut entraîner l'exécution de code arbitraire sur un poste vulnérable. Forte 29/11 Se reporter à l’avis original Bibliothèque 'idsql32.dll' Débordement de buffer Aucun correctif http://secunia.com/advisories/22570/ Secunia CA Déni de service via les anti-virus CA Des failles dans les pilotes autorisent un utilisateur local à provoquer un déni de service d'une plate-forme vulnérable. Forte 13/12 CA 'Anti-Virus 2007' V 8.1, 'Anti-Virus for Vista Beta' V 8.2, 'Internet Security Suite 2007' V 3.0 'vetmonnt.sys' et Erreur de codage Correctif existant Pilotes Full Disclosure 'vetfddnt.sys' http://lists.grok.org.uk/pipermail/full-disclosure/2006-December/051301.html CVE-2006-6496 CHETCPASSWD Elévation de privilèges dans 'chetcpasswd' Une faille dans 'chetcpasswd’ peut être exploitée par un utilisateur malveillant afin d'élever ses privilèges. Forte 20/12 chetcpasswd 'chetcpasswd' version 2.4.1 Changement de mot de passe Erreur de conception Aucun correctif http://secunia.com/advisories/23024/ Secunia CLAMAV Déni de service dans 'ClamAV' Une erreur de conception peut permettre à un attaquant distant de provoquer un déni de service. Forte 11/12 ClamAV 'ClamAV' version 0.88.4-2 et inférieures Gestion des contenus 'MIME' Non disponible Non défini http://www.securityfocus.com/bid/21510 SecurityFocus CVE-2006-5874 Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 45/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 Déni de service dans 'ClamAV' Une faille non documentée peut être exploitée par un attaquant distant afin de provoquer un déni de service. Forte 18/12 ClamAV 'ClamAV' version 0.88.6 et inférieures Non disponible Correctif existant Gestion des pièces jointes http://www.securityfocus.com/bid/21609 SecurityFocus CVE-2006-6481 CPANEL "Cross-Site Scripting" dans 'cPanel' Un manque de validation autorise un attaquant distant à mener des attaques de type "Cross-Site Scripting". Forte 11/12 cPanel 'cPanel' version 10.x Page 'manage.html' Validation insuffisante des données en entrée Aucun correctif http://secunia.com/advisories/23302/ Secunia DENYHOSTS Déni de service dans 'DenyHosts' Une faille dans 'DenyHosts' peut autoriser un utilisateur malveillant à provoquer des dénis de service. Forte 07/12 DenyHosts 'DenyHosts' version 2.5 Fichiers de journalisation Non disponible Aucun correctif http://secunia.com/advisories/23236/ Secunia CVE-2006-6301 D-LINK Déni de service du produit 'DWL-2000AP+' Deux faille peuvent être exploitées afin de provoquer un déni de service. Forte 12/12 D-Link 'DWL-2000AP+' version 2.11 Gestion des requêtes 'ARP' Non disponible Aucun correctif http://marc.theaimsgroup.com/?l=bugtraq&m=116585824415736&w=2 Bugtraq EOC Exécution de commandes arbitraires dans 'EoC' Une faille peut permettre à un attaquant d'exécuter des commandes arbitraires. Forte 14/12 EoC 'Enemies of Carlotta' version 1.2.3 et inférieures Validation insuffisante des données Correctif existant Non disponible http://www.securityfocus.com/bid/21572 SecurityFocus CVE-2006-5875 ESET Exécution de code arbitraire dans 'NOD32 Antivirus' Deux failles dans le produit 'NOD32 Antivirus' peuvent entraîner un déni de service et l'exécution de code arbitraire. Forte 20/12 Eset 'NOD32 Antivirus' versions inférieures à v.1.1743 Erreur de codage, Débordement de buffer Correctif existant Fichiers '.CHM' et '.DOC' http://www.securityfocus.com/bid/21682 SecurityFocus Exécution de code arbitraire dans 'NOD32 Antivirus' Le produit 'NOD32 Antivirus' est vulnérable à un débordement de buffer qui peut entraîner l'exécution de code. Forte 21/12 Eset 'NOD32 Antivirus' versions inférieures à v.1.1743 Débordement de buffer Correctif existant Gestion des fichiers '.CAB' http://lists.grok.org.uk/pipermail/full-disclosure/2006-December/051392.html Full Disclosure FAIL2BAN Déni de service dans 'Fail2ban' Une faille peut autoriser un utilisateur malveillant à provoquer des dénis de service. Forte 07/12 fail2ban 'Fail2ban' version 0.6.1 Fichiers de journalisation Non disponible Aucun correctif http://secunia.com/advisories/23237/ Secunia CVE-2006-6302 FIREWALL Contournement de la sécurité des pare-feux personnels Une erreur de conception autorise le contournement de certains mécanismes de sécurité qu'ils peuvent offrir. Moyenne 15/12 Se reporter à l’avis original Erreur de conception Correctif existant Gestion des processus http://www.matousec.com/info/advisories/Bypassing-process-identification-serveral-personal-firewallsMatousec HIPS.php Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 46/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 GNOME Exécution de code via 'Gnome Display Manager' Une erreur de chaîne de formatage dans 'Gnome Display Manager' autorise un utilisateur à exécuter du code arbitraire. Moyenne 14/12 'Gnome Display Manager' versions inférieures à 2.14.11, inférieures à 2.16.4, inférieures à 2.17.4 Erreur de chaîne de formatage Correctif existant Application 'gdmchooser' http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=453 iDefense CVE-2006-6105 GNU Déni de service dans 'Wget' Une faille non documentée dans 'Wget' peut provoquer un déni de service de l'application. Forte 19/12 Gnu 'Wget' version 1.10.2 Fonction 'FTP_Syst()' Non disponible Aucun correctif http://www.securityfocus.com/bid/21650 SecurityFocus GOOGLE "Cross-Site Scripting" dans les équipements Google Une faille peut être exploitée afin de mener des attaques de type "Cross-Site Scripting". Forte 30/11 Google 'Mini Search Appliance' et 'Search Appliance' URL encodées 'UTF-7' Validation insuffisante des données en entrée Aucun correctif http://securitytracker.com/id?1017317 SecurityTracker HILGRAEVE Multiples failles dans 'HyperACCESS' Deux failles peuvent permettre à un attaquant distant d'exécuter des commandes arbitraires. Forte 14/12 Hilgraeve 'HyperACCESS' version 8.4 et inférieures Fichiers '.HAW', 'Telnet URL' Erreur de conception Aucun correctif http://lists.grok.org.uk/pipermail/full-disclosure/2006-December/051287.html Full Disclosure HITACHI Contournement de la sécurité dans les produits Soumu Des failles autorisent un attaquant distant à contourner certains mécanismes de sécurité et à injecter du code SQL dans la base de données sous-jacente. Forte 21/12 Se reporter à l’avis original Non disponible Correctif existant Non disponible http://www.securityfocus.com/bid/21709 http://www.securityfocus.com/bid/21704 SecurityFocus HORDE Exécution de code via 'Kronolith' Une erreur de codage autorise un utilisateur distant authentifié à exécuter du code PHP arbitraire. Forte 29/11 Horde 'Kronolith' versions inférieures à 2.0.7 et versions inférieures à 2.1.4 Erreur de codage Correctif existant Fichier 'lib/FBView.php' http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=445 iDefense HP Déni de service des imprimantes HP via 'FTP' Un débordement de buffer provoque un déni de service de ces équipements. Forte 19/12 HP ''LaserJet 5000 Series'' Serveur 'FTP' d'impression Débordement de buffer Aucun correctif http://lists.grok.org.uk/pipermail/full-disclosure/2006-December/051367.html Full Disclosure IBM Contournement de la sécurité dans WebSphere Une faille peut être exploitée par un utilisateur dans le but de contourner certaines restrictions de sécurité. Forte 12/12 IBM 'WebSphere Host On-Demand' version 6.0, 7.0, 8.0 et 9.0 Gestion de l'authentification Non disponible Palliatif proposé http://secunia.com/advisories/22652/ Secunia INTEL Exécution de code arbitraire via le pilote 'W29N51.SYS' Un conflit d'accès aux ressources autorise un attaquant à provoquer l'exécution de code avec des droits privilégiés. Forte 19/12 Intel 'PROSet/Wireless 2200BG Network Connection' version 9.0.3.9 Pilote 'W29N51.SYS' Conflit d'accès aux ressources Aucun correctif http://secunia.com/advisories/23338/ Secunia Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 47/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 KDE Déni de service dans 'libkHTML' Une faille non documentée dans la bibliothèque 'libkHTML' provoque un déni de service des applications l'utilisant. Forte 19/12 KDE 'kmail' version 1.9.1, 'Konqueror' version 3.5.2, 'Libkhtml' version 4.2 Fonction 'NodeType()' Non disponible Aucun correctif http://www.securityfocus.com/bid/21662 SecurityFocus KERIO Déni de service de Kerio 'MailServer' Une faille non documentée autorise un attaquant distant à provoquer un déni de service du produit. Forte 13/12 Kerio 'MailServer' versions inférieures à 6.3.1 Non disponible Correctif existant Requêtes 'LDAP' http://secunia.com/advisories/23364/ Secunia L2TPNS Débordement de buffer dans 'l2tpns' Un débordement de buffer, aux conséquences inconnues, affecte 'l2tpns'. Forte 06/12 l2tpns 'l2tpns' versions inférieures à 2.1.21 Débordement de buffer Correctif existant Fichier 'cluster.c' http://secunia.com/advisories/23230/ Secunia LINKSYS Déni de service du produit 'WIP 330' Une faille non documentée dans le téléphone Linksys 'WIP 330' peut provoquer un déni de service de ce produit. Forte 07/12 Linksys 'WIP 330' version 1.00.06A Fichier 'PhoneCtrl.exe' Non disponible Aucun correctif http://secunia.com/advisories/23256/ Secunia LINUX Exécution de code arbitraire dans le noyau Linux Un débordement d'entier dans une fonction du noyau Linux peut entraîner l'exécution de code arbitraire. Forte 29/11 Linux 'Noyau 2.6' versions 2.6.7 à 2.6.18.3 Débordement d'entier Correctif existant Fichier 'net/bridge/br_ioctl.c' http://projects.info-pull.com/mokb/MOKB-29-11-2006.html MoKB CVE-2006-5751 Contournement de la sécurité dans le noyau Linux Une faille dans une fonction du noyau Linux autorise un attaquant à contourner la sécurité qu'elle offre. Forte 14/12 Linux 'Noyau 2.6' version 2.6.19 et inférieures Erreur de codage Correctif existant Fonction 'do_coredump()' http://www.securityfocus.com/bid/21591 SecurityFocus CVE-2006-6304 Déni de service dans le noyau Linux Une faille autorise un utilisateur local à provoquer un déni de service d'une plate-forme vulnérable. Forte 19/12 Linux 'Noyau 2.4' versions inférieures à 2.4.33.6 Erreur de codage Correctif existant Fonction 'mincore()' http://www.securityfocus.com/bid/21663 SecurityFocus CVE-2006-4814 Déni de service de 'LockD' Une faille dans le démon 'NFS' 'LockD' du noyau Linux peut entraîner un déni de service de celui-ci. Forte 14/12 Linux 'Noyau 2.6' versions inférieures à 2.6.16 Erreur de codage Correctif existant Démon 'NFS' 'LockD' http://www.securityfocus.com/bid/21581 SecurityFocus CVE-2006-5158 MAILENABLE Exécution de code dans les produits MailEnable Un débordement de buffer peut être exploité afin de provoquer l'exécution de code arbitraire. Forte 18/12 MailEnable 'MailEnable Enterprise Edition' et 'MailEnable Professional Edition' version 2.35 Correctif existant Service 'POP', commande 'PASS' Débordement de buffer http://secunia.com/advisories/23127/ Secunia CVE-2006-6605 Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 48/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 Multiples failles dans le service 'IMAP' de MailEnable Deux failles peuvent être exploitées afin de provoquer un déni de service ou l'exécution de code. Forte 08/12 ‘Enterprise Edition' V1.1 à 1.41et V2.0 à 2.35 et 'Professional Edition' V1.6 à 1.84 et V2.0 à 2.35 Débordement de buffer, Déréférencement de pointeur NULL Correctif existant Service 'IMAP' http://secunia.com/advisories/23267/ http://secunia.com/advisories/23201/ Secunia MCAFEE Débordement de buffer dans 'NeoTrace' Un débordement de buffer dans les produits 'NeoTrace' peut être exploité afin d'exécuter du code arbitraire. Forte 22/12 McAfee 'NeoTrace Express' version 3.25 et 'NeoTrace Professional' version 3.25 Contrôle ActiveX Débordement de buffer Aucun correctif http://secunia.com/advisories/23463/ Secunia MICROSOFT Exécution de code arbitraire dans Word Une vulnérabilité dans Word peut entraîner l'exécution de code arbitraire ou un déni de service. Forte 12/12 Microsoft 'Word 2000', 'Word 2002', 'Word 2003' et 'Word Viewer 2003' Gestion des fichiers '.doc' Erreur de codage Aucun correctif http://research.eeye.com/html/alerts/zeroday/20061212.html eEye Déni de service dans 'Internet Explorer' Une faille dans la gestion de certaines pages Web peut entraîner un déni de service du navigateur. Forte 05/12 'Internet Explorer' V 6.0, 'Internet Explorer' V 6.0 SP1, 'Internet Explorer' V 7.0 Gestion des 'CSS' Non disponible Aucun correctif http://www.securityfocus.com/bid/21466 SecurityFocus Déni de service dans Microsoft Windows Une faille dans les produits Microsoft Windows peut provoquer un déni de service d'un système vulnérable. Forte 22/12 'Windows 2000' toutes versions, 'Server 2003' toutes versions, 'Vista' toutes versions 'XP' toutes versions Fonction 'MessageBox()' Corruption de la mémoire Aucun correctif http://www.securityfocus.com/bid/21688 SecurityFocus Déni de service via le service 'Workstation' Une faille autorise un attaquant à provoquer un déni de service. Moyenne 25/12 Microsoft 'Windows 2000' version SP4 et inférieures et 'Windows XP' version SP2 et inférieures Service 'Workstation' Non disponible Aucun correctif http://milw0rm.com/exploits/3013 Milw0rm Déni de service via les fichiers '.wmv' et '.mid' Une faille dans la gestion de certains fichiers provoque un déni de service d'une plate-forme Windows vulnérable. Forte 15/12 'Windows 2000' version SP4, 'XP' version SP2 et inférieures, 'Media Player' V 6.4, 'Media Player' V 10.0 Fichiers '.wmv' et '.mid' Non disponible Aucun correctif http://www.securityfocus.com/bid/21612 SecurityFocus Déni de service via un contrôle ActiveX Outlook Une faille non documentée dans un contrôle ActiveX d'Outlook peut entraîner un déni de service. Forte 18/12 'Internet Explorer' version 6, 'Internet Explorer' version 7, 'Windows XP' version SP2 et inférieures Contrôle ActiveX 'ole32.dll' Non disponible Aucun correctif http://www.securityfocus.com/bid/21649 SecurityFocus Exposition de crédences dans 'Project Server 2003' Une erreur de conception peut permettre d'obtenir les crédences correspondant au compte 'MSProjectUser'. Forte 15/12 Microsoft 'Project server 2003' Client léger, requêtes 'XML' Erreur de conception Aucun correctif http://lists.grok.org.uk/pipermail/full-disclosure/2006-December/051316.html Full Disclosure Déni de service dans 'Windows 2000' Une faille autorise un attaquant distant à provoquer un déni de service du service d'impression. Moyenne 02/12 Microsoft 'Windows 2000' version SP4 Service d'impression Non disponible Aucun correctif http://www.securityfocus.com/bid/21401 SecurityFocus MOZILLA Faille des extensions dans 'Firefox' Une erreur de conception peut permettre à un attaquant de compromettre l'application. Moyenne 12/12 Mozilla 'Firefox' version 2 Gestionnaire des extensions Erreur de conception Aucun correctif http://marc.theaimsgroup.com/?l=bugtraq&m=116591550808199&w=2 Bugtraq Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 49/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 NETSCAPE Déni de service du navigateur 'Netscape Browser' Une faille non documentée dans 'Netscape Browser' peut entraîner un déni de service du produit. Forte 13/12 Netscape 'Netscape Browser' version 8.1.2 Traitement des 'URI' Non disponible Aucun correctif http://www.securityfocus.com/bid/21586 SecurityFocus NET-SNMP Contournement de la sécurité dans 'Net-SNMP' Une faille dans 'Net-SNMP' autorise un attaquant à corrompre des informations. Forte 08/12 Net-SNMP 'Net-SNMP' version 5.3 Correctif existant Jetons 'rocommunity' et 'rouser' Erreur de codage http://securitytracker.com/id?1017355 SecurityTracker NORTEL Vulnérabilité dans Nortel 'CallPilot' Une faille non documentée, et aux conséquences inconnues, affecte le produit Nortel 'CallPilot'. N/A 19/12 Nortel 'CallPilot' version 4.0 Non disponible Correctif existant Non disponible http://www.securityfocus.com/bid/21660 SecurityFocus NOVELL Exécution de code dans 'NetMail' De multiples failles dans 'NetMail' peuvent entraîner l'exécution de code arbitraire ou un déni de service. Forte 22/12 Novell 'NetMail' versions inférieures à 3.52e ftf 2 Débordement de pile, de buffer et de tas Correctif existant Serveur 'IMAP' http://lists.grok.org.uk/pipermail/full-disclosure/2006-December/051444.html Full Disclosure http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=454 iDefense http://www.zerodayinitiative.com/advisories/ZDI-06-052.html Zero Day Init. http://www.zerodayinitiative.com/advisories/ZDI-06-053.html Zero Day Init. http://www.zerodayinitiative.com/advisories/ZDI-06-054.html Zero Day Init. CVE-2006-6424, CVE-2006-6425 Exécution de code dans 'ZENworks Asset Management' Deux débordements peuvent autoriser un attaquant distant à exécuter du code avec des droits privilégiés sur un poste. Critique 01/12 Novell 'ZENworks Asset Management' versions inférieures à 7SP1 IR11 Débordement de tas Correctif existant Se reporter à l’avis original http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=447 iDefense http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=448 iDefense Déni de service de 'Novell Client' Une erreur autorise un attaquant distant à provoquer un déni de service ou à obtenir des informations. Forte 01/12 Novell 'Novell Client' version 4.91 SP2, SP2 Patch Kit et SP3 Fenêtre de message de 'NMAS' Erreur de chaîne de formatage Aucun correctif http://lists.grok.org.uk/pipermail/full-disclosure/2006-December/051038.html Full Disclosure OPENLDAP Débordement de buffer via 'kbind' Une faille peut provoquer un débordement de buffer. Moyenne 14/12 OpenLDAP 'OpenLDAP' toute versions Fichier 'kerberos.c' Débordement de buffer Aucun correctif http://www.phreedom.org/solar/exploits/openldap-kbind/ Phreedom ORACLE "Cross-Site Scripting" dans Oracle Portal Un manque de validation autorise un attaquant distant à mener des attaques de type "Cross-Site Scripting". Forte 22/12 Oracle 'Oracle Portal 10g' et 'Oracle Portal 9i' Script 'Container_Tabs.JSP' Validation insuffisante des données Aucun correctif http://www.securityfocus.com/bid/21717 Securityfocus "HTTP Response Spliting" dans 'Oracle Portal 10g' Une faille autorise un attaquant à mener des attaques de type "HTTP Response Splitting". Forte 20/12 Oracle 'Oracle Portal 10g' Script 'calendar.jsp' Validation insuffisante des données Aucun correctif http://lists.grok.org.uk/pipermail/full-disclosure/2006-December/051380.html Full Disclosure Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 50/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 OSTICKET "Cross-Site Scripting" dans 'osTicket' Un manque de validation autorise un attaquant distant à mener des attaques de type "Cross-Site Scripting". Forte 19/12 osTicket 'osTicket' version 1.2.7 et version 1.3 beta Script 'view.php' Validation insuffisante des données Aucun correctif http://www.securityfocus.com/bid/21669 SecurityFocus PALM Exposition d'informations via 'Palm Desktop' Une erreur de conception autorise un utilisateur local à obtenir des informations sensibles stockées par le produit. Moyenne 01/12 Palm 'Palm Desktop' version 4.1.4 Données utilisateurs Erreur de conception Aucun correctif http://secunia.com/advisories/23072/ Secunia PHP Contournement de la sécurité dans 'PHP' Une erreur de codage autorise un attaquant à contourner des restrictions de sécurité. Forte 11/12 PHP 'PHP' version 5.2 Erreur de codage Correctif existant 'safe_mode' et 'open_basedir' http://www.securityfocus.com/bid/21508 SecurityFocus CVE-2006-6383 PHPMYADMIN Fausses impressions de sécurité dans 'phpMyAdmin' Une faille dans 'phpMyAdmin' peut autoriser un attaquant distant à mettre en place de fausses impressions de sécurité. Forte 05/12 phpMyAdmin 'phpMyAdmin' version 2.7.0-pl2 Non disponible Validation insuffisante des données en entrée Aucun correctif http://www.securityfocus.com/bid/21421 SecurityFocus PROFTPD Débordement de buffer dans 'ProFTPd' Un débordement de buffer dans le serveur FTP 'ProFTPd' autorise un utilisateur local à obtenir les droits de "root". Forte 13/12 ProFTPd 'ProFTPd' version 1.3.0 et version 1.3.0a Débordement de buffer Correctif existant Module 'mod_ctrls' http://www.coresecurity.com/?module=ContentMod&action=item&id=1594 Core Security REALNETWORKS Déni de service via un contrôle ActiveX 'RealPlayer' Une faille provoque un déni de service du navigateur d'un client vulnérable. Forte 20/12 Real Networks 'RealPlayer' version 10.5 Contrôle ActiveX 'rpau3260.dll' Non disponible Aucun correctif http://www.securityfocus.com/bid/21689 SecurityFocus SAP Multiples vulnérabilités de SAP 'IGS' De multiples failles permettent de provoquer d'obtenir des informations et de supprimer des fichiers. Forte 06/12 SAP 'Internet Graphics Service' version 6.40 et version 7.00 Non disponible Correctif existant Non disponible CYBSEC Security http://www.cybsec.com/vuln/CYBSEC-Security_Pre-Advisory_SAP_IGS_Remote_Arbitrary_File_Removal.pdf CYBSEC Security http://www.cybsec.com/vuln/CYBSEC-Security_Pre-Advisory_SAP_IGS_Undocumented_Features.pdf SYMANTEC Exécution de code arbitraire dans Veritas NetBackup De multiples vulnérabilités autorisent un attaquant à obtenir un accès non autorisé à une machine vulnérable. Critique 13/12 Symantec 'Veritas NetBackup' version 6.0 et inférieures Débordement de buffer, Erreur de codage Correctif existant Démon 'bpcd' http://www.symantec.com/avcenter/security/Content/2006.12.13a.html Symantec CVE-2006-4902, CVE-2006-5822, CVE-2006-6222 Elévation de privilèges dans 'LiveState' Une erreur de conception dans le produit Symantec 'Livestate' peut permettre une élévation de privilèges. Forte 05/12 Symantec 'LiveState' Exécutable 'shstart.exe' Erreur de conception Aucun correctif http://marc.theaimsgroup.com/?l=bugtraq&m=116527429932375&w=2 Bugtraq Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 51/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 TYPO3 Exécution de commandes dans 'Typo3' Un manque de validation dans une extension de 'Typo3' autorise un attaquant à exécuter des commandes arbitraires. Forte 20/12 Typo3 'Typo3' versions 4.0.0 à 4.0.3, version 3.7, version 3.8, version 4.1beta Validation insuffisante de données Correctif existant Extension 'rtehtmlarea' http://www.sec-consult.com/272.html SEC Consult W3M Exécution de code dans 'w3m' Une erreur de chaîne de formatage dans le navigateur 'w3m' peut entraîner l'exécution de code arbitraire. Forte 25/12 w3m 'w3m' version 0.5.1 Gestion des certificats 'SSL' Erreur de chaîne de formatage Aucun correctif http://www.securityfocus.com/bid/21735 SecurityFocus AUTRES INFORMATIONS REPRISES D’AVIS ET CORRECTIFS Les vulnérabilités suivantes, déjà publiées, ont été mises à jour, reprises par un autre organisme ou ont donné lieu à la fourniture d’un correctif : ADOBE Correctifs Adobe pour la faille CVE-2006-6027 Adobe a publié le document APSB06-20 concernant la faille CVE-2006-6027 récemment discutée dans plusieurs produits Acrobat qui peut provoquer un déni de service et l'exécution de code arbitraire via un contrôle ActiveX malicieux. Adobe annonce que la version 8 d'Adobe 'Reader' corrige cette faille. http://www.adobe.com/support/security/bulletins/apsb06-20.html CVE-2006-6027 Informations pour la faille 'Acrobat Reader' Adobe a publié l'avis APSA06-02 concernant une faille récemment discutée dans 'Acrobat Reader'. Elle autorise un attaquant distant à provoquer un déni de service et à exécuter du code arbitraire via un contrôle ActiveX malicieux. Adobe annonce que 'Reader', 'Acrobat Standard' et 'Acrobat Professional' versions 7.0.0 à 7.0.8 sont vulnérables. La référence CVE CVE-2006-6027 a été attribuée à cette faille. http://www.adobe.com/support/security/advisories/apsa06-02.html CVE-2006-6027 APPLE Correctif Security Update 2006-007 pour 'Mac OS X' Apple a annoncé, dans le bulletin APPLE-SA-2006-11-28, la disponibilité du correctif Security Update 2006-007 pour les plate-formes 'Mac OS X' et 'Mac OS X Server' versions 10.3.9 et inférieures, et 10.4.8 et inférieures. Ils corrigent de nombreuses failles dans les composants 'AirPort', 'ClamAV', 'gunzip', 'OpenSSL', 'perl', 'PHP' et 'Samba'. Ces problèmes peuvent entraîne des dénis de service et l'exécution de code arbitraire. http://lists.apple.com/archives/security-announce/2006/Nov/msg00001.html CVE-2005-3962, CVE-2006-1490, CVE-2006-1990, CVE-2006-2937, CVE-2006-2940, CVE-2006-3403, CVE-2006-3738, CVE-20064182, CVE-2006-4334, CVE-2006-4335, CVE-2006-4336, CVE-2006-4337, CVE-2006-4338, CVE-2006-4339, CVE-2006-4343, CVE2006-5465, CVE-2006-5710 AVAYA Déni de service dans les produits 'CMS' et 'IR' Avaya a annoncé, dans le document ASA-2006-263, la vulnérabilité des produits 'CMS' (Call Management System) versions V9, V11, R12 et R13, et 'IR' (Interactive Response) sur 'Solaris' version 8 à une faille identifiée dans le noyau de Sun 'Solaris' qui peut entraîner un déni de service d'une plate-forme vulnérable. Avaya annonce la mise à disposition prochaine de correctifs pour ces produits. http://support.avaya.com/elmodocs2/security/ASA-2006-263.htm Multiples vulnérabilités Microsoft des produits Avaya Avaya a annoncé, dans les bulletins ASA-2006-271, ASA-2006-272, ASA-2006-273, ASA-2006-274, ASA-2006-275, ASA-2006-277 et ASA-2006-278, la vulnérabilité de nombreux produits aux récentes failles Microsoft MS06-072, MS06-073, MS06-074, MS06-075, MS06-076, MS06-077 et MS06-078. Les listes complètes des produits affectés sont disponibles dans les différents bulletins Avaya. http://support.avaya.com/elmodocs2/security/ASA-2006-271.htm ASA-2006-272.htm http://support.avaya.com/elmodocs2/security/ASA-2006-273.htm ASA-2006-274.htm http://support.avaya.com/elmodocs2/security/ASA-2006-275.htm ASA-2006-277.htm http://support.avaya.com/elmodocs2/security/ASA-2006-278.htm CVE-2006-2386, CVE-2006-4702, CVE-2006-4704, CVE-2006-5577, CVE-2006-5578, CVE-2006-5579, CVE-2006-5581, CVE-20065583, CVE-2006-5584, CVE-2006-5585, CVE-2006-6134 Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 52/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 Vulnérabilité de 'mod_auth_kerb' dans 'MSS' Avaya a annoncé, dans le bulletin ASA-2006-270, la vulnérabilité du produit Avaya 'MSS' (Messaging Storage Server) version 3.0 à une faille identifiée dans le module Apache 'mod_auth_kerb' qui peut être exploitée par un attaquant distant afin de provoquer un déni de service. Un correctif devrait être disponible dans une future mise à jour majeure du produit. http://support.avaya.com/elmodocs2/security/ASA-2006-270.htm CVE-2006-5989 Vulnérabilité 'Freetype' des produits 'CMS' et 'IR' Avaya a annoncé, dans le bulletin ASA-2006-284, la vulnérabilité des produits 'CMS' (Call Management System) versions V9, V11, R12, R13 et R13.1, et 'IR' (Interactive Response) versions 2.0 à la faille référencée CVE-20063467 qui affecte la bibliothèque 'FreeType' présente dans les serveurs X 'Xsun' et 'Xorg' sur Sun 'Solaris' versions 8, 9 et 10. Cette faille peut permettre à un utilisateur local non autorisé d'exécuter des commandes arbitraires avec des droits privilégiés ou de provoquer un déni de service du système. Il n'y a pas de correctif disponible pour les produits 'CMS' et 'IR'. http://support.avaya.com/elmodocs2/security/ASA-2006-284.htm CVE-2006-3467 BARRACUDA NETWORKS Faille CVE-2005-1349 de 'Barracuda Spam Firewall' Barracuda Networks a annoncé, dans l'alerte 20061205, que le produit 'Barracuda Spam Firewall' est vulnérable à une faille identifiée dans la bibliothèque de conversion 'Convert-UUlib'. Elle permet de provoquer l'exécution de code arbitraire. Barracuda Networks nous informe également que Mr. Guay-Leroux, qui est à l'origine de la découverte de cette vulnérabilité, propose un code d'exploitation permettant d'obtenir un interpréteur de commandes (PIRANA framework). http://www.barracudanetworks.com/ns/resources/tech_alert.php http://www.guay-leroux.com/projects/barracuda-advisory-convert-uulib.txt http://www.guay-leroux.com/projects/pirana-0.3.1.tar.gz CVE-2005-1349 CIAC Reprise de l'avis Adobe APSA06-02 Le CIAC a repris, sous la référence R-058, l'avis Adobe APSA06-02 concernant une faille dans Adobe 'Reader', 'Acrobat Standard' et 'Acrobat Professional' versions 7.0.0 à 7.0.8. Elle autorise un attaquant distant à provoquer un déni de service et à exécuter du code arbitraire via un contrôle ActiveX malicieux. http://www.ciac.org/ciac/bulletins/r-058.shtml CVE-2006-6027 Reprise de l'avis Adobe APSB06-19 Le CIAC a repris, sous la référence R-066, l'avis Adobe APSB06-19 concernant un débordement de buffer dans Adobe 'Download Manager' qui autorise un attaquant à prendre le contrôle d'une machine vulnérable. http://www.ciac.org/ciac/bulletins/r-066.shtml CVE-2006-5856 Reprise de l'avis Apple Security Update 2006-007 Le CIAC a repris, sous la référence R-057, le bulletin Apple Security Update 2006-007 concernant de multiples failles dans 'Mac OS X' et 'Mac OS X Server' qui peuvent entraîner l'exécution de code arbitraire avec des droits privilégiés et des dénis de service. http://www.ciac.org/ciac/bulletins/r-057.shtml CVE-2006-1490, CVE-2006-1990, CVE-2006-2937, CVE-2006-2940, CVE-2006-3403, CVE-2006-3738, CVE-2006-3962, CVE-20064182, CVE-2006-4334, CVE-2006-4335, CVE-2006-4336, CVE-2006-4337, CVE-2006-4338, CVE-2006-4339, CVE-2006-4343, CVE2006-4396, CVE-2006-4398, CVE-2006-4400, CVE-2006-4401, CVE-2006-4402, CVE-2006-4403, CVE-2006-4404, CVE-2006-4406, CVE-2006-4407, CVE-2006-4408, CVE-2006-4409, CVE-2006-4410, CVE-2006-4411, CVE-2006-4412, CVE-2006-5465, CVE-20065710 Reprise de l'avis CA (BrightStor ARCserve Backup) Le CIAC a repris, sous la référence R-070, l'avis CA concernant un débordement de buffer dans les produits 'BrightStor ARCserve Backup' qui autorise un attaquant à exécuter du code arbitraire avec des droits privilégiés. http://www.ciac.org/ciac/bulletins/r-070.shtml Reprise de l'avis Cisco 71954 Le CIAC a repris, sous la référence R-071, l'avis Cisco 71954 concernant une faille dans la gestion des authentifications via 'LDAP' par le produit Cisco 'Cisco Security Agent Management Center' (CSAMC). Elle autorise un attaquant distant à obtenir un accès non autorisé avec des privilèges élevés. http://www.ciac.org/ciac/bulletins/r-071.shtml Reprise de l'avis Debian DSA-1219 Le CIAC a repris, sous la référence R-059, l'avis Debian DSA-1219 concernant de multiples failles dans l'outil 'texinfo' qui autorisent un attaquant à corrompre des fichiers arbitraires, à provoquer un déni de service et à exécuter du code arbitraire. http://www.ciac.org/ciac/bulletins/r-059.shtml CVE-2005-3011, CVE-2006-4810 Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 53/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 Reprise de l'avis Debian DSA-1220 Le CIAC a repris, sous la référence R-056, l'avis Debian DSA-1220 concernant une faille dans 'pstotext' qui peut autoriser un attaquant à exécuter des commandes arbitraires. http://www.ciac.org/ciac/bulletins/r-056.shtml CVE-2006-5869 Reprise de l'avis Debian DSA-1221 Le CIAC a repris, sous la référence R-060, l'avis Debian DSA-1221 concernant un débordement de buffer dans 'libgsf' qui peut entraîner une exécution de code arbitraire. http://www.ciac.org/ciac/bulletins/r-060.shtml Reprise de l'avis Debian DSA-1222 Le CIAC a repris, sous la référence R-062, l'avis Debian DSA-1222 concernant de multiples failles dans 'ProFTPd' qui peuvent entraîner l'exécution de code arbitraire. http://www.ciac.org/ciac/bulletins/r-062.shtml CVE-2006-5815, CVE-2006-6170, CVE-2006-6171 Reprise de l'avis Debian DSA-1230 Le CIAC a repris, sous la référence R-067, l'avis Debian DSA-1230 concernant un débordement de buffer dans 'l2tpns' qui peut permettre l'exécution de code arbitraire. http://www.ciac.org/ciac/bulletins/r-067.shtml CVE-2006-5873 Reprise de l'avis Debian DSA-1238 Le CIAC a repris, sous la référence R-082, l'avis Debian DSA-1238 concernant deux failles dans l'anti-virus 'ClamAV' sur Debian GNU/Linux V3.1 qui peuvent provoquer un DoS et autoriser le contournement du mécanisme d'analyse. http://www.ciac.org/ciac/bulletins/r-082.shtml CVE-2006-6406, CVE-2006-6481 Reprise de l'avis iDefense 453 Le CIAC a repris, sous la référence R-081, l'avis iDefense 453 concernant une erreur de chaîne de formatage dans 'Gnome Display Manager' qui peut entraîner l'exécution de code arbitraire. http://www.ciac.org/ciac/bulletins/r-081.shtml CVE-2006-6105 Reprise de l'avis Microsoft 929433 Le CIAC a repris, sous la référence R-063, l'avis Microsoft 929433 concernant une faille non documentée dans 'Word' qui peut entraîner l'exécution de code arbitraire. http://www.ciac.org/ciac/bulletins/r-063.shtml CVE-2006-5994 Reprise de l'avis Microsoft MS06-072 (925454) Le CIAC a repris, sous la référence R-074, l'avis Microsoft MS06-072 (925454) concernant de multiples failles dans le navigateur Web 'Internet Explorer' qui peuvent autoriser un attaquant distant à exécuter du code arbitraire et obtenir des informations sensibles. http://www.ciac.org/ciac/bulletins/r-074.shtml CVE-2006-5577, CVE-2006-5579, CVE-2006-5581 Reprise de l'avis Microsoft MS06-073 (925674) Le CIAC a repris, sous la référence R-075, l'avis Microsoft MS06-073 (925674) concernant une faille dans le contrôle ActiveX 'WmiScriptUtils.dll' fourni avec Microsoft 'Visual Studio 2005' qui peut être exploitée par un attaquant distant afin de provoquer l'exécution de code arbitraire avec des droits privilégiés. http://www.ciac.org/ciac/bulletins/r-075.shtml CVE-2006-4704 Reprise de l'avis Microsoft MS06-074 (926247) Le CIAC a repris, sous la référence R-073, l'avis Microsoft MS06-074 (926247) concernant une faille dans le service 'SNMP' des plate-formes Windows qui peut être exploitée par un attaquant afin de prendre le contrôle d'une station. http://www.ciac.org/ciac/bulletins/r-073.shtml CVE-2006-5583 Reprise de l'avis Microsoft MS06-075 (926255) Le CIAC a repris, sous la référence R-077, l'avis Microsoft MS06-075 (926255) concernant une faille dans les plateformes Microsoft Windows XP et Windows 2003. Elle autorise un utilisateur malveillant à élever ses privilèges lors de l'installation d'applications avec des manifestes de fichiers spécialement construits. http://www.ciac.org/ciac/bulletins/r-077.shtml CVE-2006-5585 Reprise de l'avis Microsoft MS06-076 (923694) Le CIAC a repris, sous la référence R-078, l'avis Microsoft MS06-076 (923694) concernant une faille non documentée dans 'Outlook Express' qui peut autoriser un attaquant distant à exécuter du code arbitraire et prendre potentiellement le contrôle d'une station vulnérable. http://www.ciac.org/ciac/bulletins/r-078.shtml CVE-2006-2386 Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 54/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 Reprise de l'avis Microsoft MS06-077 (926121) Le CIAC a repris, sous la référence R-079, l'avis Microsoft MS06-077 (926121) concernant une faille dans le service 'RIS' (Remote Installation Service) qui peut autoriser un attaquant distant à supprimer des fichiers arbitraires. http://www.ciac.org/ciac/bulletins/r-079.shtml CVE-2006-5584 Reprise de l'avis Microsoft MS06-078 (923689) Le CIAC a repris, sous la référence R-076, l'avis Microsoft MS06-078 (923689) concernant deux débordements de buffer dans 'Windows Media Format' liés au traitement de fichiers '.ASF' et '.asx' qui peuvent entraîner l'exécution de code arbitraire. http://www.ciac.org/ciac/bulletins/r-076.shtml CVE-2006-4702, CVE-2006-6134 Reprise de l'avis Mozilla MFSA 2006-68 Le CIAC a repris, sous la référence R-094, l'avis Mozilla MFSA 2006-68 concernant des corruptions de la mémoire dans les produits 'firefox', 'thunderbird' et 'seamonkey' qui peuvent entraîner l'exécution de code arbitraire. http://www.ciac.org/ciac/bulletins/r-094.shtml CVE-2006-6497, CVE-2006-6498, CVE-2006-6499 Reprise de l'avis Mozilla MFSA 2006-69 Le CIAC a repris, sous la référence R-084, l'avis Mozilla MFSA 2006-69 concernant un débordement de tas dans plusieurs produits Mozilla. Cette faille est déclenchée via un paramètre 'cursor' spécialement construit dans un script 'CSS' et peut permettre à un attaquant distant de provoquer un déni de service des applications vulnérables et d'exécuter du code arbitraire. http://www.ciac.org/ciac/bulletins/r-084.shtml CVE-2006-6500 Reprise de l'avis Mozilla MFSA 2006-70 Le CIAC a repris, sous la référence R-085, l'avis Mozilla MFSA 2006-70 concernant une faille non documentée dans la fonction Javascript 'watch()' de plusieurs produits Mozilla qui peut autoriser un attaquant distant à élever ses privilèges et à installer un code malicieux. http://www.ciac.org/ciac/bulletins/r-085.shtml CVE-2006-6501 Reprise de l'avis Mozilla MFSA 2006-71 Le CIAC a repris, sous la référence R-086, l'avis Mozilla MFSA 2006-71 concernant une erreur de conception dans le composant 'LiveConnect', fourni dans plusieurs produits Mozilla, qui peut permettre à un attaquant distant de provoquer un déni de service des applications vulnérables. http://www.ciac.org/ciac/bulletins/r-086.shtml CVE-2006-6502 Reprise de l'avis Mozilla MFSA 2006-72 Le CIAC a repris, sous la référence R-087, l'avis Mozilla MFSA 2006-72 concernant une faille dans plusieurs produits Mozilla qui permet à un attaquant distant de contourner le mécanisme de protection contre les attaques de type "Cross-Site Scripting" en affectant à l'attribut 'src' d'un élément 'IMG' une 'URI' javascript spécialement construite. http://www.ciac.org/ciac/bulletins/r-087.shtml CVE-2006-6503 Reprise de l'avis Mozilla MFSA 2006-73 Le CIAC a repris, sous la référence R-088, l'avis Mozilla MFSA 2006-73 concernant une corruption de la mémoire dans plusieurs produits Mozilla qui peut être déclenchée lors du traitement d'un commentaire 'DOM' de 'SVG' spécialement construit. Ceci peut être exploité par un attaquant distant afin d'exécuter du code arbitraire. http://www.ciac.org/ciac/bulletins/r-088.shtml CVE-2006-6504 Reprise de l'avis Mozilla MFSA 2006-74 Le CIAC a repris, sous la référence R-089, l'avis Mozilla MFSA 2006-74 concernant de multiples débordements de buffer dans plusieurs produits Mozilla qui peuvent être déclenchés lors du traitement de messages externes possédant des en-têtes 'Content-Type' ou 'RFC2047-encoded' spécialement construits. Ceci peut permettre à un attaquant distant d'exécuter du code arbitraire. http://www.ciac.org/ciac/bulletins/r-089.shtml CVE-2006-6505 Reprise de l'avis Mozilla MFSA 2006-76 Le CIAC a repris, sous la référence R-090, l'avis Mozilla MFSA 2006-76 concernant une erreur de conception qui affecte le composant 'Feed Preview' présent dans plusieurs produits Mozilla. http://www.ciac.org/ciac/bulletins/r-090.shtml CVE-2006-6507 Reprise de l'avis Red Hat RHSA-2006:0749 Le CIAC a repris, sous la référence R-091, l'avis Red Hat RHSA-2006:0749 concernant une faille dans le paquetage 'tar' qui peut autoriser une traversée de répertoire et entraîner ainsi la corruption de données arbitraires. http://www.ciac.org/ciac/bulletins/r-091.shtml CVE-2006-6097 Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 55/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 Reprise de l'avis Red Hat RHSA:2006-0754 Le CIAC a repris, sous la référence R-064, l'avis Red Hat Red Hat RHSA:2006-0754 concernant deux failles dans 'GnuPG' qui peuvent entraîner l'exécution de code arbitraire. http://www.ciac.org/ciac/bulletins/r-064.shtml CVE-2006-6169, CVE-2006-6235 Reprise de l'avis Sun 102724 Le CIAC a repris, sous la référence R-072, l'avis Sun 102724 concernant deux failles dans la bibliothèque 'ld.so' qui peuvent permettre à un attaquant distant d'exécuter du code arbitraire. http://www.ciac.org/ciac/bulletins/r-072.shtml Reprise de l'avis Sun 102731 Le CIAC a repris, sous la référence R-093, l'avis Sun 102731 concernant de multiples failles dans Java qui autorisent une applet non privilégiée à élever ses privilèges et à accéder à des données appartenant à d'autres applets. http://www.ciac.org/ciac/bulletins/r-093.shtml Reprise de l'avis Sun 102733 Le CIAC a repris, sous la référence R-061, l'avis Sun 102733 concernant une faille dans de nombreux produits qui autorise un attaquant distant à mener des attaques de type "HTTP Request Smuggling". http://www.ciac.org/ciac/bulletins/r-061.shtml Reprise de l'avis Symantec SYM06-024 Le CIAC a repris, sous la référence R-080, l'avis Symantec SYM06-024 concernant de multiples vulnérabilités dans les produits Symantec Veritas NetBackup qui autorisent un attaquant à obtenir un accès non autorisé à une machine vulnérable et à exécuter du code arbitraire. http://www.ciac.org/ciac/bulletins/r-080.shtml CVE-2006-4902, CVE-2006-5822, CVE-2006-6222 Reprise de l'avis TippingPoint TSRT-06-14 Le CIAC a repris, sous la référence R-069, l'avis TippingPoint TSRT-06-14 concernant de multiples débordements de buffer dans IBM 'Tivoli Storage Manager' qui peuvent entraîner l'exécution de code arbitraire. http://www.ciac.org/ciac/bulletins/r-069.shtml CVE-2006-5855 Reprise de l'avis US-CERT VU#208769 Le CIAC a repris, sous la référence R-068, l'avis US-CERT VU#208769 concernant une faille dans le lecteur multimedia 'Windows Media' qui peut entraîner un déni de service de l'application et l'exécution de code arbitraire. http://www.ciac.org/ciac/bulletins/r-068.shtml Reprise de l'avis US-CERT VU#300636 Le CIAC a repris, sous la référence R-092, l'avis US-CERT VU#300636 concernant deux débordements de buffer dans une bibliothèque fournie avec Novell 'Netware Client' qui peuvent entraîner l'exécution de code arbitraire. http://www.ciac.org/ciac/bulletins/r-092.shtml CVE-2006-6114 Reprise de l'avis US-CERT VU#339004 Le CIAC a repris, sous la référence R-083, l'avis US-CERT VU#339004 concernant une faille dans le produit NeoScale 'CryptoStor Tape 700 series', qui peut permettre à un utilisateur malveillant de contourner certains mécanismes de sécurité. http://www.ciac.org/ciac/bulletins/r-083.shtml CVE-2006-3896 Reprise de l'avis US-CERT VU#989144 Le CIAC a repris, sous la référence R-065, l'avis US-CERT VU#989144 concernant un manque de validation de certaines URL par les produits Google 'Search Appliance' et 'Mini Search Appliance'. Cette faille permet de mener des attaques de type "Cross-Site Scripting". http://www.ciac.org/ciac/bulletins/r-065.shtml CVE-2006-6223 CISCO Révision du bulletin Cisco 71992 ('OpenSSL') Cisco a révisé le bulletin 71992 concernant la vulnérabilité de plusieurs produits aux failles 'OpenSSL' référencées CVE-2006-4339, CVE-2006-2937, CVE-2006-2940, CVE-2006-3738 et CVE-2006-4343. Cette révision met à jour la liste des produits vulnérables. http://www.cisco.com/warp/public/707/cisco-sr-20061108-openssl.shtml CVE-2006-2937, CVE-2006-2940, CVE-2006-3738, CVE-2006-4339, CVE-2006-4343 Révision du bulletin Cisco 71992 ('OpenSSL') Cisco a révisé le bulletin 71992 concernant la vulnérabilité de plusieurs produits aux failles 'OpenSSL' référencées CVE-2006-4339, CVE-2006-2937, CVE-2006-2940, CVE-2006-3738 et CVE-2006-4343. Cette révision met à jour la liste des versions corrigées de Cisco Secure ACS. http://www.cisco.com/warp/public/707/cisco-sr-20061108-openssl.shtml CVE-2006-2937, CVE-2006-2940, CVE-2006-3738, CVE-2006-4339, CVE-2006-4343 Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 56/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 FREEBSD Disponibilité de plusieurs correctifs FreeBSD annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages : kmem FreeBSD-SA-06:25 gtar FreeBSD-SA-06:26 http://www.freebsd.org/security/index.html#adv FRISK Nouvelle version de l'antivirus 'F-Prot' Frisk a annoncé la disponibilité de la version 4.6.7 de l'antivirus 'F-Prot' sur toutes les plate-formes de type UNIX. Cette nouvelle version corrige notamment des débordements de buffer qui peuvent être déclenchés lors du traitement de fichier 'ACE' et 'CHM'. http://www.f-prot.com/news/gen_news/061201_release_unix467.html F-SECURE Faille 'OpenSSL' dans les produits F-Secure F-Secure a annoncé, dans le bulletin FSC-2006-6, la vulnérabilité des produits 'F-Secure Anti-Virus for Microsoft Exchange' et 'F-Secure Internet Gatekeeper' à la faille 'OpenSSL' référencée CVE-2006-2937. Cette vulnérabilité dans le traitement des structures 'ASN.1' peut entraîner un déni de service. http://www.f-secure.com/security/fsc-2006-6.shtml CVE-2006-2937 HP Correctifs pour 'HP-UX Secure Shell' HP a annoncé, dans le bulletin HPSBUX02178 (SSRT061267), la disponibilité de correctifs pour 'HP-UX Secure Shell' sur 'HP-UX' versions B.11.00, B.11.11 et B.11.23. Ils corrigent deux failles qui peuvent entraîner des dénis de service et l'exécution de code arbitraire. http://www4.itrc.hp.com/service/cki/docDisplay.do?docId=c00815112 CVE-2006-0225, CVE-2006-4924 Failles Microsoft dans 'Storage Management Appliance' HP a annoncé, dans le bulletin HPSBST02180 (SSRT061288), la vulnérabilité de 'Storage Management Appliance' version I, II et III aux failles Microsoft MS06-072, MS06-074, MS06-076 et MS06-078. HP préconise d'installer les différents correctifs Microsoft disponibles. http://www4.itrc.hp.com/service/cki/docDisplay.do?docId=c00828603 CVE-2006-2386, CVE-2006-5577, CVE-2006-5578, CVE-2006-5579, CVE-2006-5581, CVE-2006-5583, CVE-2006-6134 Révision du bulletin HPSBUX02153 (SSRT061181) HP a révisé le bulletin HPSBUX02153 (SSRT061181) concernant de multiples failles dans 'Firefox' fourni sur 'HP-UX' versions B.11.11 et B.11.23. Ces failles pouvaient entraîner des dénis de service, des élévations de privilèges et des accès non autorisés. La version préliminaire 1.5.0.8 de 'Firefox' est maintenant disponible. http://www4.itrc.hp.com/service/cki/docDisplay.do?docId=c00771742 CVE-2006-0748, CVE-2006-1529, CVE-2006-1530, CVE-2006-1531, CVE-2006-1723, CVE-2006-1724, CVE-2006-1725, CVE-20061726, CVE-2006-1728, CVE-2006-1729, CVE-2006-1730, CVE-2006-1942, CVE-2006-1993, CVE-2006-2775, CVE-2006-2776, CVE2006-2777, CVE-2006-2778, CVE-2006-2779, CVE-2006-2780, CVE-2006-2782, CVE-2006-2783, CVE-2006-2784, CVE-2006-2785, CVE-2006-2786, CVE-2006-2787, CVE-2006-3113, CVE-2006-3677, CVE-2006-3801, CVE-2006-3802, CVE-2006-3803, CVE-20063805, CVE-2006-3806, CVE-2006-3807, CVE-2006-3808 Révision du bulletin HPSBUX02174 (SSRT061239) HP a révisé le bulletin HPSBUX02174 (SSRT061239) concernant de multiples failles dans 'OpenSSL' sur 'HP-UX' version B.11.11 et B.11.23 qui peuvent entraîner des dénis de service, l'exécution de code arbitraire et une élévation de privilèges. Cette révision apporte de nouvelles informations, notamment dans la section "Affected Versions". http://www4.itrc.hp.com/service/cki/docDisplay.do?docId=c00805100 CVE-2005-2969, CVE-2006-2937, CVE-2006-2940, CVE-2006-3738, CVE-2006-4343 Révision du bulletin HPSBUX02178 (SSRT061267) HP a révisé le bulletin HPSBUX02178 (SSRT061267) concernant deux failles dans 'HP-UX Secure Shell' qui peuvent entraîner des dénis de service et l'exécution de code arbitraire. Cette révision met à jour les versions vulnérables de 'HP-UX'. La version B.11.00 a été supprimée de cette liste. http://www4.itrc.hp.com/service/cki/docDisplay.do?docId=c00815112 CVE-2006-0225, CVE-2006-4924 ISS Problèmes avec une mise à jour pour les produits ISS ISS a publié un document sur sa base de connaissance annonçant que l'application de la mise à jour pour les produits Proventia et RealSecure, publiée le 13/12/2006, entraîne certains problèmes de fonctionnement avec ces produits. Cette mise à jour a été supprimée du centre de téléchargement d'ISS et il est recommandé de ne pas l'installer. ISS annonce qu'une nouvelle mise à jour corrigeant ces problèmes devrait être publiée le 14/12/2006. http://isc.sans.org/diary.php?storyid=1941 https://iss.custhelp.com/cgi-bin/iss.cfg/php/enduser/std_adp.php?p_faqid=3819 Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 57/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 KDE Information complémentaire pour la faille CVE-2006-6120 KDE a publié le bulletin advisory-20061204 concernant la faille récemment discutée dans 'KOffice', référencée CVE2006-6120. Cette faille permet de provoquer l'exécution de code arbitraire. Ce bulletin nous informe que les versions 1.4.x et 1.6.0 de 'KOffice' sont vulnérables, et qu'un correctif pour ces versions est disponible. http://www.kde.org/info/security/advisory-20061205-1.txt CVE-2006-6120 LINUX DEBIAN Disponibilité de nombreux correctifs Debian annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages : libgsf DSA-1221 proftpd DSA-1222 tar DSA-1223 mozilla DSA-1224 firefox DSA-1225 links DSA-1226 thunderbird DSA-1227 elinks DSA-1228 asterisk DSA-1229 l2tpns DSA-1230 gnupg DSA-1231 clamav DSA-1232 kernel DSA-1233 ruby DSA-1234 ruby DSA-1235 carlotta DSA-1236 kernel DSA-1237 sql-clamav DSA-1238 sql-ledger DSA-1239 link2 DSA-1240 http://www.debian.org/security/2006/ LINUX FEDORA Disponibilité de nombreux correctifs Fedora annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages : avahi Core5 FEDORA-2006:1339 mod_auth_kerb Core5 FEDORA-2006:1341 cups Core6 FEDORA-2006:1220 libgsf Core5 FEDORA-2006:1399 Core6 FEDORA-2006:1417 gnupg Core5 FEDORA-2006:1405 Core6 FEDORA-2006:1406 avahi Core6 FEDORA-2006:1340 evince Core5 FEDORA-2006:1437 Core6 FEDORA-2006:1438 ruby Core5 FEDORA-2006:1440 Core6 FEDORA-2006:1441 dbus Core5 FEDORA-2006:1464 Core5 FEDORA-2006:1475 gdm Core5 FEDORA-2006:1467 Core6 FEDORA-2006:1468 dovecot Core6 FEDORA-2006:1396 kernel Core5 FEDORA-2006:1470 Core6 FEDORA-2006:1471 thunderbird Core6 FEDORA-2006:1491 firefox Core5 FEDORA-2006:1499 Core6 FEDORA-2006:1492 epiphany Core6 FEDORA-2006:149x yelp Core6 FEDORA-2006:149x devhelp Core6 FEDORA-2006:149x firefox Core6 FEDORA-2006:1499 https://www.redhat.com/archives/fedora-package-announce/index.html LINUX MANDRIVA Disponibilité de nombreux correctifs Mandrake annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages : tar MDKSA-2006:219 2006 2007 CS3.0 CS4.0 MNF2.0 libgsf MDKSA-2006:220 2007 CS3.0 gnupg MDKSA-2006:221 2006 2007 CS3.0 CS4.0 MNF2.0 koffice MDKSA-2006:222 2007 ImageMagick MDKSA-2006:223 2006 CS3.0 CS4.0 xine-lib MDKSA-2006:224 2007 CS3.0 ruby MDKSA-2006:225 2006 2007 CS3.0 CS4.0 squirrelmail MDKSA-2006:226 CS3.0 CS4.0 kdegraphics MDKSA-2006:227 2007 CS3.0 CS4.0 gnupg MDKSA-2006:228 2006 2007 CS3.0 CS4.0 MNF2.0 evince MDKSA-2006:229 2007 clamav MDKSA-2006:230 2006 2007 CS3.0 CS4.0 gdm MDKSA-2006:231 2007 proftpd MDKSA-2006:232 2007 http://www.mandriva.com/security Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 58/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 LINUX REDHAT Disponibilité de nombreux correctifs RedHat annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages : jbossas RHSA-2006:0743-01 AS.ES.WS 4.0 gnupg RHSA-2006:0754-01 AS.ES.WS 2.1 AS.ES.WS 3.0 AS.ES.WS 4.0 mod_auth_kerb RHSA-2006:0746-01 AS.ES.WS 4.0 thunderbird RHSA-2006:0760-01 AS.ES.WS 4.0 seamonkey RHSA-2006:0759-01 AS.ES.WS 2.1 AS.ES.WS 3.0 AS.ES.WS 4.0 firefox RHSA-2006:0758-01 AS.ES.WS 4.0 tar RHSA-2006:0759-01 AS.ES.WS 2.1 AS.ES.WS 3.0 AS.ES.WS 4.0 http://www.linuxsecurity.com/content/blogcategory/98/110/ LINUX SuSE Disponibilité de nombreux correctifs SuSE annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages : mono SUSE-SA:2006:073 madwifi SUSE-SA:2006:074 gpg SUSE-SA:2006:075 libgsf SUSE-SA:2006:076 flashplayer SUSE-SA:2006:077 clamav SUSE-SA:2006:078 kernel SUSE-SA:2006:079 Summary Report 27 SR_2006_27 Summary Report 28 SR_2006_28 Summary Report 29 SR_2006_29 http://www.novell.com/linux/security/advisories.html MICROSOFT Correctif pour 'Visual Studio 2005' Microsoft a annoncé, dans le bulletin MS06-073 (925674), la disponibilité d'un correctif pour 'Visual Studio 2005'. Il corrige une faille dans le contrôle ActiveX 'WmiScriptUtils.dll' fourni avec Microsoft 'Visual Studio 2005'. Cette faille peut être exploitée par un attaquant distant, à l'aide d'une page Web spécialement construite, afin de provoquer l'exécution de code arbitraire avec des droits privilégiés. http://www.microsoft.com/france/technet/security/bulletin/ms06-073.mspx CVE-2006-4704 Correctifs pour 'Windows Media Format' Microsoft a annoncé, dans le bulletin MS06-078 (923689), la disponibilité de correctifs pour 'Windows Media Format'. Ils corrigent deux failles liées au traitement de fichiers '.ASF' et '.asx' qui peuvent entraîner l'exécution de code arbitraire. http://www.microsoft.com/france/technet/security/bulletin/ms06-078.mspx CVE-2006-4702, CVE-2006-6134 Révision du bulletin MS06-078 (923689) Microsoft a révisé le bulletin MS06-078 (923689) concernant un débordement de buffer dans 'Windows Media Format' qui peut entraîner l'exécution du code arbitraire. Cette révision met à jour plusieurs informations et annonce la disponibilité d'un nouveau correctif pour la version Coréenne. http://www.microsoft.com/france/technet/security/bulletin/ms06-078.mspx CVE-2006-4702, CVE-2006-6134 NETSCAPE Faille CVE-2006-6077 dans le navigateur 'Netscape' Secunia a publié une alerte annonçant que le navigateur 'Netscape' est vulnérable à la faille récemment discutée dans 'Firefox', référencée CVE-2006-6077. Cette vulnérabilité, dans le gestionnaire de mots de passe, autorise un attaquant distant à obtenir des informations sensibles. Il est annoncé que la version 8.1.2 de 'Netscape' est vulnérable. Il n'y a pas de correctif officiel disponible mais une parade est fournie dans l'avis Secunia . http://secunia.com/advisories/23108/ CVE-2006-6077 NOVELL Correctifs pour 'Novell Client for Windows' Novell a annoncé, dans le document 3546910, la disponibilité de correctifs pour le produit 'Novell Client for Windows'. Ils corrigent une erreur de chaîne de formatage qui autorise un attaquant distant à provoquer un déni de service ou à lire une portion arbitraire de la mémoire d'une machine vulnérable. https://secure-support.novell.com/KanisaPlatform/Publishing/372/3546910_f.SAL_Public.html http://support.novell.com/cgi-bin/search/searchtid.cgi?/2974872.htm http://support.novell.com/cgi-bin/search/searchtid.cgi?/2974876.htm Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 59/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 OPENOFFICE Vulnérabilité Word dans OpenOffice Des messages postés sur la liste de diffusion Bugtraq nous informent que la faille récemment discutée dans Word provoque un débordement d'entier dans le produit OpenOffice version 2.1. Cette faille affecte la fonction 'WW8PLCF::GeneratePLCF()' du produit, et permet l'exécution de code arbitraire ainsi qu'un déni de service. Aucune information disponible ne nous permet d'affirmer que cette faille est identique à celle affectant Microsoft Word. Il n'y a pas de correctif disponible à notre connaissance. http://www.securityfocus.com/archive/1/454514 http://www.securityfocus.com/archive/1/454587 http://www.securityfocus.com/archive/1/454545 SGI Correctif cumulatif #68 pour SGI ProPack 3 SP6 SGI a annoncé, dans le bulletin 20061202-01-P, la disponibilité du correctif cumulatif "Security Update #68" (correctif 10359) pour SGI ProPack 3 SP6 sur plate-forme Altix. Ils corrigent plusieurs failles dans les applications 'seamonkey' et 'tar' qui peuvent entraîner, entre autres choses, des dénis de service et l'exécution de code arbitraire. ftp://patches.sgi.com/support/free/security/advisories/20061202-01-P.asc CVE-2006-6097, CVE-2006-6497, CVE-2006-6498, CVE-2006-6501, CVE-2006-6502, CVE-2006-6503, CVE-2006-6504, CVE-20066505 Correctifs cumulatif #67 pour SGI ProPack 3 SP6 SGI a annoncé, dans le bulletin 20061201-01-P, la disponibilité du correctif cumulatif "Security Update #67" (correctif 10357) pour SGI ProPack 3 SP6 sur plate-forme Altix. Ils corrigent de multiples failles dans les paquetages 'gnupg' et 'openssh' qui pouvaient autoriser, entre autres choses, l'exécution de code arbitraire et le contournement de certains mécanismes de sécurité. ftp://patches.sgi.com/support/free/security/advisories/20061201-01-P.asc CVE-2006-5794, CVE-2006-6169, CVE-2006-6235 SUN Révision du bulletin 101658 Sun a révisé le bulletin 101658 concernant des faiblesses dans la conception du protocole 'ICMP' qui permettaient à un attaquant distant de provoquer l'interruption de connexions réseau. Cette révision annonce la mise à jour des sections "Contributing Factors" et "Resolution", et clos l'alerte. http://sunsolve.sun.com/search/document.do?assetkey=1-26-101658-1 CVE-2004-0790, CVE-2004-0791 Révision du bulletin 102550 Sun a révisé le bulletin 102550 concernant de multiples failles dans la suite Mozilla qui permettaient en particulier de provoquer des dénis de services et l'exécution de code arbitraire, et d'obtenir une élévation de ses privilèges. Cette révision annonce la mise à jour des sections "Contributing Factors" et "Resolution sections". http://sunsolve.sun.com/search/document.do?assetkey=1-26-102550-1 CVE-2005-4134, CVE-2006-0292, CVE-2006-0293, CVE-2006-0296, CVE-2006-0748, CVE-2006-0749, CVE-2006-0884, CVE-20061724, CVE-2006-1727, CVE-2006-1728, CVE-2006-1729, CVE-2006-1730, CVE-2006-1731, CVE-2006-1732, CVE-2006-1733, CVE2006-1734, CVE-2006-1735, CVE-2006-1736, CVE-2006-1737, CVE-2006-1738, CVE-2006-1739, CVE-2006-1740, CVE-2006-1741, CVE-2006-1742, CVE-2006-1790 Révision du bulletin 102648 Sun a révisé le bulletin 102648 concernant la vulnérabilité de plusieurs produits Sun, ainsi que des produits tiers fournis avec des produits Sun, à la faille 'OpenSSL' CVE-2006-4339. Cette révision annonce la mise à jour de la section "Contributing Factors". http://sunsolve.sun.com/search/document.do?assetkey=1-26-102648-1 CVE-2006-4339 Révision du bulletin 102648 Sun a révisé le bulletin 102648 concernant la vulnérabilité de plusieurs produits Sun, ainsi que des produits tiers fournis avec des produits Sun, à la faille 'OpenSSL' CVE-2006-4339. Cette révision annonce la mise à jour de la section "Contributing Factors". http://sunsolve.sun.com/search/document.do?assetkey=1-26-102648-1 CVE-2006-4339 Révision du bulletin 102652 Sun a révisé le bulletin 102652 concernant une faille dans 'XDM' sur Sun 'Solaris' qui peut entraîner l'exposition d'informations. Cette révision annonce la mise à jour des sections "Contributing Factors" et "Resolution". http://sunsolve.sun.com/search/document.do?assetkey=1-26-102652-1 CVE-2006-5214 Révision du bulletin 102657 Sun a révisé le bulletin 102657 concernant la vulnérabilité du produit Sun Secure Global Desktop version 4.2 (Solaris et Linux) à la faille 'OpenSSL' CVE-2006-4339. Cette vulnérabilité permet à un attaquant de forger des signatures 'RSA' de type 'PKCS #1 v1.5'. Cette révision annonce la disponibilité d'un correctif et clos l'alerte. http://sunsolve.sun.com/search/document.do?assetkey=1-26-102657-1 CVE-2006-4339 Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 60/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 Révision du bulletin 102722 Sun a révisé le bulletin 102722 concernant la vulnérabilité de la bibliothèque 'libike' à la faille 'OpenSSL' référencée CVE-2006-4339 qui permet à un attaquant de forger des signatures de type 'PKCS #1 v1.5'. Cette révision annonce la mise à jour des sections "Contributing Factors" et "Relief/Workaround". http://sunsolve.sun.com/search/document.do?assetkey=1-26-102722-1 CVE-2006-4339 Révision du bulletin 102725 Sun a révisé le bulletin 102725 concernant une faille dans le démon 'snmpd' de Sun 'Solaris', qui peut entraîner un déni de service. Cette révision annonce la mise à jour de la section "Impact". http://sunsolve.sun.com/search/document.do?assetkey=1-26-102725-1 CVE-2006-5941 Révision du bulletin Sun 102663 Sun a révisé le bulletin 102663 concernant deux failles dans les modules 'mod_rewrite' et 'mod_imap' du serveur Web 'Apache', sur Sun 'Solaris' versions 8, 9 et 10. Cette révision annonce la mise à jour des sections "Updated Contributing Factors" et "Resolution", et clos le bulletin. http://sunsolve.sun.com/search/document.do?assetkey=1-26-102663-1 CVE-2005-3352, CVE-2006-3747 Vulnérabilité CVE-2006-4339 dans 'Solaris WAN Boot' Sun a annoncé, dans le bulletin 102759, la vulnérabilité de 'Solaris WAN Boot' sur 'Solaris' versions 9 et 10 à la faille 'OpenSSL' référencée CVE-2006-4339. Cette vulnérabilité permet à un attaquant de forger des signatures de type 'PKCS #1 v1.5'. Il n'y a pas de correctif officiel actuellement disponible. http://sunsolve.sun.com/search/document.do?assetkey=1-26-102759-1 CVE-2006-4339 Vulnérabilité 'OpenSSL' dans 'Solaris' version 10 Sun a publié le document 102744 concernant la vulnérabilité de Sun 'Solaris' version 10 à la faille 'OpenSSL' référencée CVE-2006-4339. Elle autorise un attaquant à forger des signatures de type 'PKCS #1 v1.5'. Il n'y a pas de correctif officiel disponible. http://sunsolve.sun.com/search/document.do?assetkey=1-26-102744-1 CVE-2006-4339 Vulnérabilités 'OpenSSL' de Sun 'Solaris' 10 Sun a annoncé, dans le bulletin 102747, la vulnérabilité du système Sun 'Solaris' version 10 aux failles 'OpenSLL' référencées CVE-2006-2937 et CVE-2006-2940. Ces failles peuvent entraîner des dénis de services du système. http://sunsolve.sun.com/search/document.do?assetkey=1-26-102747-1 CVE-2006-2937, CVE-2006-2940 SYMANTEC Correctif pour NetBackup Symantec a annoncé, dans le bulletin SYM06-023, la vulnérabilité de 'NetBackup PureDisk Remote Office Edition' version 6.0 à la faille 'PHP' référencée CVE-2006-5465. Elle peut être exploitée par un attaquant distant afin d'exécuter du code arbitraire avec les droits de l'application courante. La version 6.1 de 'NetBackup PureDisk Remote Office Edition' corrige cette faille. http://seer.support.veritas.com/docs/285984.htm http://securityresponse.symantec.com/avcenter/security/Content/2006.11.28.html CVE-2006-5465 VMWARE Faille CVE-2006-3918 dans 'VMware ESX Server' VMware a annoncé la vulnérabilité du produit 'VMware ESX Server' à la faille 'Apache' référencée CVE-2006-3918, qui autorise un attaquant distant à mener des attaques de type "Cross-Site Scripting". Les versions 2.0.2 à 3.0.1 sont vulnérables. Un correctif sera inclus dans la prochaine version du produit. http://kb.vmware.com/KanisaPlatform/Publishing/466/5915871_f.SAL_Public.html CVE-2006-3918 Vulnérabilité CVE-2006-4980 dans 'VMware ESX Server' VMware a annoncé la vulnérabilité du produit 'VMware ESX Server' versions 3.0.x à la faille Python référencée CVE2006-4980. Elle permet l'exécution de code arbitraire via la fonction 'repr()'. Un correctif sera inclus dans la prochaine version du produit. http://kb.vmware.com/KanisaPlatform/Publishing/882/5120103_f.SAL_Public.html CVE-2006-4980 XINE Correctif pour la faille CVE-2006-2200 La version 1.1.3 de 'xine-lib' a été publiée. Cette nouvelle version corrige la faille référencée CVE-2006-2200, permettant l'exécution de code arbitraire via un flux MMS spécialement construit. http://sourceforge.net/project/shownotes.php?release_id=468432 CVE-2006-2200 Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 61/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 CODES D’EXPLOITATION Les codes d’exploitation des vulnérabilités suivantes ont fait l’objet d’une large diffusion : ORACLE Code d'exploitation pour la faille CVE-2004-1364 Un code d'exploitation a été publié sur le site Web de Packet Storm Security exploitant la faille Oracle référencée CVE-2004-1364. Cette vulnérabilité, une traversée de répertoire dans le composant 'extproc' de 'Oracle 9i' et 'Oracle 10g', autorise un attaquant distant à accéder à des bibliothèques arbitraires. Ce code d'exploitation, écrit en PL/SQL, permet d'exécuter des commandes arbitraires sur une machine vulnérable, avec les droits de l'utilisateur "DBMS". http://packetstormsecurity.org/0612-exploits/raptor_oraextproc.sql.txt CVE-2004-1364 BULLETINS ET NOTES Les bulletins d’information suivants ont été publiés par les organismes officiels de surveillance et les éditeurs : VIRUS Exploitation de la faille Symantec SYM06-010 La société eEye nous informe de l'apparition d'un ver exploitant la faille Symantec SYM06-010 afin de se propager. Cette faille, un débordement de pile dans les anti-virus Symantec, peut entraîner l'exécution de code arbitraire. eEye et le SANS fournissent une analyse complète de ce code malicieux. Il est fortement recommandé de mettre à jour vos produits Symantec, ainsi que vos signatures d'anti-virus. http://www.incidents.org/diary.php?storyid=1945 http://www.incidents.org/diary.php?storyid=1947 http://research.eeye.com/html/alerts/AL20061215.html Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 62/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 ATTAQUES OUTILS PSIPHON $ Description Développé dans le cadre du projet ‘CiviSec’ géré par l’université de Toronto et financé par l’institut ‘Open Society’ de la fondation Soros, le système ‘Psiphon’ a pour objet d’offrir un accès sécurisé et libre de toute censure à l’Internet. Le principe retenu est somme toute assez classique: un système tiers – dit ‘PsiNode’ - situé dans un pays où aucun filtrage ne s’applique joue le rôle de passerelle WEB entre un client dit ‘PsiPhonite’ et des services dont l’accès est interdit à ce client. La page de présentation du projet cite notamment le cas de l’encyclopédie Wikipédia inaccessible depuis certains pays. Les concepteurs ont volontairement choisi une solution technique n’imposant aucune contrainte sur le client tout en garantissant la totale confidentialité de flux échangé entre celui-ci et le monde extérieur. Ainsi, après s’être connecté à l’aide d’un quelconque navigateur sur un ‘PsiNode’ puis s’être authentifié par son login et mot de passe, l’utilisateur se verra proposer une barre de navigation lui permettant d’accéder à l’Internet sans plus aucun filtrage. L’utilisation du protocole HTTPS permet garantir la totale confidentialité du trafic échangé et d’échapper à certains mécanismes de détection qui pourraient être mis en place aux points d’interconnexion du réseau. La solidité de l’architecture ici proposée repose sur la totale indépendance des nœuds d’accès. Ces derniers sont opérés par les détenteurs des systèmes sur lesquels est installé le logiciel serveur PsyPhon qui distribuent comme ils l’entendent l’adresse d’accès au nœud et les authentifiants, généralement à des connaissances - amis ou membre de la famille – habitant dans un pays où l’accès est censuré. Une première version du logiciel serveur est disponible sur le site du projet depuis le 1er décembre, le code source n’étant cependant pas encore disponible. Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 63/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Décembre 2006 Fonctionnant uniquement en environnement Windows, ce logiciel prend la forme d’un paquetage compressé de presque 2Mo qu’il faudra simplement extraire dans un répertoire. La configuration est d’une extrême simplicité et ne requiert d’autres actions que la déclaration des utilisateurs autorisés ainsi que le paramétrage d’un éventuel certificat. Il est fort probable que l’on puisse trouver d’autres applications à cet environnement dont certaines pourraient bien poser quelques problèmes de sécurité en facilitant le contournement des règles de filtrage mises en œuvre sur les sorties des réseaux d’entreprise. $ Complément d’information http://www.psiphon.ca http://psiphon.civisec.org/PsiphonAug232006.html Veille Technologique Sécurité N°101 © DEVOTEAM SOLUTIONS - Tous droits réservés - Portail d’accès - Présentation du mode de fonctionnement Page 64/64 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE