Veille Technologique Sécurité

Transcription

APOGEE Communications
R
Raap
pp
poorrtt d
dee
V
Veeiillllee T
Teecch
hn
no
ollo
og
giiq
qu
uee S
Sééccu
urriittéé
N
N°°1
10
01
1
Décembre 2006
Les informations fournies dans ce document ont été collectées et compilées à partir de
sources d'origines diverses et publiquement accessibles: listes de diffusion, newsgroups,
sites Web, ...
Ces informations sont fournies pour ce qu'elles valent sans garantie d'aucune sorte vis à vis
de l'exactitude, de la précision ou de la qualité de l'information. Les URL associées à certains
thèmes sont validées à la date de la rédaction du document.
Les symboles d’avertissement suivants seront éventuellement utilisés:
!
"
Site dont la consultation est susceptible de générer directement ou indirectement,
une attaque sur l’équipement de consultation, voire de faire encourir un risque sur
le système d’information associé.
Site susceptible d’héberger des informations ou des programmes dont l’utilisation
est répréhensible au titre de la Loi Française.
Aucune garantie ne peut être apportée sur l'innocuité de ces sites, et en particulier, sur la
qualité des applets et autres ressources présentées au navigateur WEB.
LLaa ddiiffffuussiioonn ddee ccee ddooccuum
meenntt eesstt rreessttrreeiinnttee aauuxx
cclliieennttss ddeess sseerrvviicceess
V
VTTS
S--R
RA
APPPPO
OR
RTT eett V
VTTS
S--EEN
NTTR
REEPPR
RIIS
SEE
Les marques et les produits cités dans ce rapport sont la propriété des dépositaires respectifs.
APOGEE Communications – Groupe DEVOTEAM
15, Avenue du Cap Horn
ZA de Courtaboeuf
91940 Les ULIS
Pour tous renseignements
Offre de veille: http://www.devoteam.fr/
Informations:
[email protected]
©DEVOTEAM Solutions - Tous droits réservés
C
O
N
N
E
C
T
I
N
G
B
U
S
I
N
E
S
S
&
T
E
C
H
N
O
L
O
G
Y
Décembre 2006
Au sommaire de ce rapport …
PRODUITS ET TECHNOLOGIES
LES PRODUITS
7
7
AUDIT
7
PHP - PHPSECINFO
LES TECHNOLOGIES
RFID – GUARDIAN UN PAREFEU INDIVIDUEL
7
8
8
PHISHING
8
CMU - EVALUATION DES BARRES ANTI-PHISHING
8
INFORMATIONS ET LEGISLATION
LES INFORMATIONS
12
12
HNS - (IN)SECURE MAGAZINE N°9
12
PACSEC - 2006
16
VEILLE
12
DO PORTABLE STORAGE SOLUTIONS COMPROMISE BUSINESS SECURITY ?
WEB 2.0 DEFENSE WITH AJAX FINGERPRINTING AND FILTERING
RECOVERING USER PASSWORDS FROM CACHED DOMAIN RECORDS
EFFECTIVENESS OF SECURITY BY ADMONITION
12
13
14
14
HOW TO SECURE A NETWORKING STACK: IPV6 AND NETIO
GACKING FINGERPRINT RECOGNITION SYSTEMS
OPENOFFICE/OPENDOCUMENT AND MS OPENXML SECURITY
IPV6 MAPPING
LINUX KERNEL == SECURITY NIGHTMARE
16
16
17
17
18
SUPPORT
19
ENISA – WHO IS WHO DIRECTORY - SECONDE EDITION
19
METHODES
20
NIST – ETAT DES GUIDES DE LA SERIE SP800
20
REFERENCES
22
CIS - CATALOGUE DE PROCEDURES ET DE TESTS
NSA - CATALOGUE DES GUIDES DE SECURITE
DISA – GUIDES ET CHECKLISTS DE SECURISATION
LA LEGISLATION
FR – SUR LES INFRACTIONS COMMISES PAR UN MOYEN DE COMMUNICATION ELECTRONIQUE
CISSI - ORIENTATION DES TRAVAUX DE RECHERCHE ET DEVELOPPEMENT EN MATIERE DE SECURITE DES SI
22
22
24
25
25
25
LOGICIELS LIBRES
LES SERVICES DE BASE
LES OUTILS
27
27
27
NORMES ET STANDARDS
LES PUBLICATIONS DE L’IETF
29
29
LES
LES
RFC
DRAFTS
NOS COMMENTAIRES
LES RFC
RFC4742
RFC4777
29
29
33
33
33
33
ALERTES ET ATTAQUES
ALERTES
35
35
AVIS OFFICIELS
37
GUIDE DE LECTURE
FORMAT DE LA PRESENTATION
SYNTHESE MENSUELLE
ALERTES DETAILLEES
ADOBE
APPLE
BUSINESSOBJECT
CA
CITRIX
FILEZILLA
FREEDESKTOP
GNOME
Veille Technologique Sécurité N°101
© DEVOTEAM SOLUTIONS - Tous droits réservés
35
36
36
37
37
37
37
37
37
38
38
38
Page 2/64
Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Décembre 2006
GNUPG
HITACHI
HP
IBM
INTEL
KDE
KERIO
LINUX
MADWIFI
MAILENABLE
MANDIANT
MCAFEE
MICROSOFT
MONO
MOZILLA
NEOSCALE
NETBSD
NOVELL
RUBY
SOFTWIN
SOPHOS
SQL-LEDGER
SQUIRRELMAIL
SSMTP
SUN
TREND MICRO
XEROX
XINE
YAHOO!
ALERTES NON CONFIRMEES
2X SOFTWARE
ADOBE
AGNITUM
ALLIED TELESYN
ANTIVIRUS
APPLE
BLUESOCKET
BORLAND
CA
CHETCPASSWD
CLAMAV
CPANEL
DENYHOSTS
D-LINK
EOC
ESET
FAIL2BAN
FIREWALL
GNOME
GNU
GOOGLE
HILGRAEVE
HITACHI
HORDE
HP
IBM
INTEL
KDE
KERIO
L2TPNS
LINKSYS
LINUX
MAILENABLE
MCAFEE
MICROSOFT
MOZILLA
NETSCAPE
NET-SNMP
NORTEL
NOVELL
OPENLDAP
ORACLE
OSTICKET
PALM
PHP
PHPMYADMIN
PROFTPD
REALNETWORKS
SAP
SYMANTEC
TYPO3
38
38
38
38
39
39
39
39
40
40
40
40
40
41
41
41
41
41
42
42
42
42
42
43
43
43
43
43
44
44
44
44
44
44
44
44
45
45
45
45
45
46
46
46
46
46
46
46
47
47
47
47
47
47
47
47
47
48
48
48
48
48
48
49
49
49
50
50
50
50
50
50
51
51
51
51
51
51
51
51
52
Page 3/64
Décembre 2006
W3M
52
AUTRES INFORMATIONS
52
REPRISES D’AVIS
52
CODES D’EXPLOITATION
62
BULLETINS ET NOTES
62
ET CORRECTIFS
ADOBE
APPLE
AVAYA
BARRACUDA NETWORKS
CIAC
CISCO
FREEBSD
FRISK
F-SECURE
HP
ISS
KDE
LINUX DEBIAN
LINUX FEDORA
LINUX MANDRIVA
LINUX REDHAT
LINUX SUSE
MICROSOFT
NETSCAPE
NOVELL
OPENOFFICE
SGI
SUN
SYMANTEC
VMWARE
XINE
ORACLE
VIRUS
52
52
52
53
53
56
57
57
57
57
57
58
58
58
58
59
59
59
59
59
60
60
60
61
61
61
62
62
ATTAQUES
63
PSIPHON
63
OUTILS
63
Page 4/64
Décembre 2006
Le mot de la rédaction …
Quelle meilleure illustration pourrait-on donner de la difficulté qu’il y a à faire coexister
gadgets et protection de la vie privée que l’étude menée par des chercheurs de
l’université de Washington sur l’utilisation détournée des informations transmises par le
capteur livré avec le kit Apple ‘Nike+iPod’. Installé sur les chaussures d’un sportif, ce
capteur transmet différentes données permettant à ce dernier de visualiser ses
performances sur son iPod.
Aucun mécanisme de protection n’est installé, le numéro d’identification du capteur est
unique et les données transmises peuvent être acquises jusqu’à une distance d’environ
2 mètres. Peut-on imaginer meilleur moyen de suivre un individu ?
Que l’on se rassure, ce kit n’est pas le seul disponible sur le marché qui diffuse sans
grande protection des données a priori anodines mais susceptibles, non seulement de
faciliter la tracabilité d’un individu mais aussi de révéler des informations sur son état de
santé. Il va falloir s’habituer à vivre dans un monde où l’anonymat sera une valeur rare.
http://www.cs.washington.edu/research/systems/privacy.html
Deux nouveaux cas de phishing ont touché ce mois-ci deux banques françaises, la
Caisse d’Epargne le 16 décembre et Axa Banque le 18. Dans les deux cas de figure,
les requêtes aboutissent in fine à un même serveur dont l’adresse IP se trouve dans un
bloc d’adresses attribué au «Cairo Educational District network».
Si les courriers d’invitation sont encore rédigés dans un français approximatif, et
certainement pas dans la forme attendue de la part d’une banque, les faux sites sont
remarquablement bien reproduits.
A cela rien d’étonnant puisque l’escroc s’est contenté de copier le site original en le
modifiant pour retransmettre les authentifiants vers un site tiers hébergé, lui, au EtatsUnis, les images et autres ressources annexes étant toujours chargées depuis le site
original.
http://www.websense.com/securitylabs/alerts/alert.php?AlertID=717
Signe des temps, et résultat de la mise en œuvre de techniques de diffusion de courriers
en masse n’ayant même plus besoin de s’appuyer sur des relais de messagerie ouverts nous pensons aux réseaux de robots – la célèbre base ‘ORDB’ ou Open Relay DataBase
sera arrêtée le 31 décembre. Utilisateurs de cette base, pensez à mettre à jour la
configuration de vos outils anti-spam.
http://www.ordb.org/news/?id=38
Autre signe des temps, Belgacom a annoncé l’arrêt définitif de son service de TELEX,
200 personnes utilisant encore celui-ci, l’annuaire comptant quelques 350 adresses. Une
performance remarquable pour un système conçu dans les années 20 et un réseau
d’une fiabilité exemplaire.
http://www.fr.datanews.be/news/network_and_telecom/networks/20061221016
Page 5/64
Décembre 2006
Enfin, pour terminer cette année 2006, nous nous permettons de présenter quelques
graphiques utiles pour comparer l’évolution des alertes et des avis de sécurité traités par
notre service de veille entre 2005 et 2006.
Suivi 2006
Suivi 2005
Reprises
d'avis
11%
Reprises
d'avis
10%
Alertes
43%
Alertes
45%
Informations
44%
Informations
47%
Alertes
Informations
Reprises d'avis
Alertes
Informations
Reprises d'avis
La répartition des informations dans les trois catégories de regroupement que nous
utilisons reste assez constante. En 2006 nous aurons ainsi diffusé 1564 alertes (1452 en
2005), 1521 informations (1610 en 2005) et 372 reprises d’avis (339 en 2005) soit une
moyenne de 6,2 alertes par jour ouvrable (5,8 en 2005).
Nombres d'alertes mensuelles (2006)
Nombres d'alertes mensuelles (2005)
200
152
143
128
119
130
151
139
144
136
125
139
126
130
101
98
100
147
148
130
133
131
125
93
Nombre d'alertes
120
107
100
152
118
121
129
146
138
152
98
113
113
132
113
140
80
80
35
29
31
42
29
26
30
27
28
30
27
22
29
39
25
36
40
20
14
25
30
33
18
31
37
20
38
60
60
Decembre
Novembre
Octobre
Septembre
Août
Juillet
Juin
Mai
Mars
Janvier
Decembre
Novembre
Octobre
Septembre
Août
Juillet
Juin
Mai
Avril
Mars
Février
Janvier
Avril
0
0
Février
40
Nombre de reprises d'avis
160
86
100
Nombre d'alertes
Nombre d'informations
180
110
121
122
140
127
120
102
Nombre d'alertes
140
123
160
146
180
131
135
200
194
Nombre d'alertes
M i
200
Nombre d'alertes
Polynomial (Nombre d'alertes)
175
150
125
100
75
50
25
nov-06
sept-06
juil-06
mai-06
mars-06
janv-06
nov-05
juil-05
sept-05
mai-05
mars-05
janv-05
nov-04
sept-04
juil-04
mai-04
mars-04
janv-04
nov-03
sept-03
juil-03
mai-03
janv-03
mars-03
nov-02
juil-02
sept-02
mai-02
mars-02
nov-01
janv-02
sept-01
juil-01
mai-01
mars-01
janv-01
0
## L’équipe de veille technologique souhaite à tous ses lecteurs de très ##
## bonnes fêtes de fin d’année et une excellente nouvelle année 2007 ##
Page 6/64
Décembre 2006
P
PR
RO
TEECCH
OD
DU
HN
UIIT
NO
OL
TS
LO
SE
OG
GIIE
ET
TT
ES
S
LES
PRODUITS
AUDIT
PHP - PHPSECINFO
$ Description
Proposé par le consortium PHP
Security, l’utilitaire PhpSecInfo
prend la forme d’un paquetage
prêt à l’emploi et destiné à évaluer la qualité de la
configuration d’un environnement PHP.
Son utilisation est on ne peut plus simple: le
paquetage livré sous la forme d’un fichier d’archive
est décompressé sous l’arborescence WEB du site à
auditer. Il suffira ensuite d’accéder simplement, via
un quelconque navigateur, au fichier ‘index.php’
présent à la racine du paquetage pour obtenir un
état des lieux immédiat et complet du niveau de
sécurité de la configuration courante.
Les problèmes éventuels sont organisés par
catégories et mis en évidence à l’aide d’un code de
couleur comme cela peut être vu sur la copie d’écran
présentée ci-contre.
L’approche ici retenue, similaire à celle proposée par
la célèbre fonction ‘phpinfo()’ laquelle affiche la
configuration complète de l’environnement, autorise
une mise en œuvre immédiate et aisée.
La taille très réduite du paquetage décompressé –
moins de 80Ko - permet d’intégrer celui-ci sur une
clef USB, ou sur tout autre support amovible - qui
sera simplement installé sous le répertoire ad hoc le
temps du test.
Un très intéressant guide consacré à la sécurisation
de l’environnement PHP est par ailleurs proposé sur
le site du PHP Security Consortium.
La table des matières de cet ouvrage est la suivante:
1. Overview
1.1 What Is Security?
1.2 Basic Steps
1.3 Register Globals
1.4 Data Filtering
1.5 Error Reporting
2. Form Processing
2.1 Spoofed Form Submissions
2.2 Spoofed HTTP Requests
2.3 Cross-Site Scripting
2.4 Cross-Site Request Forgeries
3. Databases and SQL
3.1 Exposed Access Credentials
3.2 SQL Injection
4. Sessions
4.1 Session Fixation
4.2 Session Hijacking
5. Shared Hosts
5.1 Exposed Session Data
5.2 Browsing the Filesystem
6. About
6.1 This Guide
6.2 The PHP Security Consortium
6.3 More Information
Page 7/64
Décembre 2006
Ce guide est disponible en accès en ligne mais aussi aux formats HTML, PDF et DocBook Lite en langues Anglaise,
Française, Roumaine et Serbe.
Les auteurs du paquetage ‘PhpSecInfo’ lancent un appel à contribution auprès des bonnes volontés pour les aider à
intégrer de nouveaux tests et à compléter la documentation. Une liste de diffusion dédiée a été activée pour favoriser
les échanges d’idées.
$ Complément d’information
http://phpsec.org/projects/phpsecinfo/
http://phpsec.org/projects/guide/
LES
- Outil PHPSecInfo
- PHP Security Guide
TECHNOLOGIES
RFID – GUARDIAN UN PAREFEU INDIVIDUEL
$ Description
Sous le titre ‘A Platform for RFID Security and Privacy Administration’, deux chercheurs de
l’université de Delft et de l’université Vrije d’Amsterdam nous présentent les résultats du développement
d’un équipement destiné à filtrer et à contrôler les accès effectués sur les dispositifs RFID de l’utilisateur.
On notera que ce rapport d’étude a été récompensé lors de sa présentation à la vingtième conférence
‘USENIX/SAGE Large Installation System Administration’ ou ‘LISA’.
L’idée des auteurs est assez remarquable et s’inspire des développements
effectués par certains bidouilleurs pour mettre en place des attaques de type
Guardian
‘Man-in-The-Middle’: un dispositif joue le rôle d’une passerelle entre l’étiquette
et le lecteur.
e
Brouillage
ns
po
Dans le cas du développement ici présenté et dénommé ‘Guardian’, l’approche
Ré
retenue consiste, non pas à mettre en place une passerelle interceptant et
RFID
TAG1
Requête
relayant si besoin les requêtes - éventuellement modifiées - de part et d’autre,
Reader
mais un dispositif de médiation assurant la validation de la requête émise par le
TAG2
lecteur et bloquant, si nécessaire, toute réponse de la part de l’étiquette
interrogée. Pour se faire, la réponse de l’étiquette sera brouillée sélectivement
TAGi
interdisant ainsi son acquisition par le lecteur RFID à l’origine de la requête.
Cette approche, simple et efficace bien qu’assez complexe à implémenter, permet de disposer d’un mécanisme de
protection sélectif tout en étant conforme à la norme ISO-15693.
S’appuyant sur un lecteur RFID du
commerce et un émulateur d’étiquette
électronique conçu par l’équipe et
destiné à être alimenté sur batterie et
miniaturisé, le prototype – dont une
photographie est reproduite ci-contre fonctionne actuellement avec des
étiquettes 13.56Mhz au standard
ISO-15693.
Le rapport d’étude précise les choix
techniques en matière d’architecture
matérielle et logicielle ainsi que les
performances du procédé de brouillage.
Un tableau de synthèse permet de comparer les principales caractéristiques de ce dispositif avec celles de six projets
plus ou moins similaires: la technologie ‘NFC’ (Near Field Communication), le dispositif ‘Data Pivatizer’ de FoeBuD
une organisation allemande pour la protection de la vie privée, les projets ‘Blocker Tag’ et ‘RFID Enhancer proxy’
de la société RSA, le logiciel ‘Field Probe’ du MIT et enfin les superbes dispositifs de copie ‘ProxCard Cloner’
réalisés par un amateur.
http://www.cs.vu.nl/~melanie/rfid_guardian/
http://www.cs.vu.nl/~melanie/rfid_guardian/papers/lisa.06.pdf
- Présentation du projet
- Rapport d’étude
PHISHING
CMU - EVALUATION DES BARRES ANTI-PHISHING
$ Description
Publié dans le cadre d’un travail de recherche effectué au laboratoire ‘CyLab’ de l’université de
Carnegie-Mellon, le rapport de recherche CMU-CYLab-06-018 ‘Phinding Phish: An
Evaluation of Anti-Phishing Toolbars’ nous présente les résultats de l’évaluation de dix outils
de protection contre le Phishing s’intégrant dans la barre d’outils d’un navigateur.
Après une rapide présentation des fonctionnalités et de l’interface graphique des 10 outils objets de l’évaluation, les
auteurs détaillent les conditions d’expérimentation qui les ont conduit à devoir procéder en trois étapes:
Page 8/64
Décembre 2006
- Une évaluation manuelle de la capacité de cinq des outils à détecter faiblement un site de Phishing. Une plateforme
constituée d’un portable MacIntosh et de quatre PC a été mise en place pour tester simultanément la capacité de
détection de cinq outils sur une durée de 36 heures. Une liste statique de 50 sites identifiés depuis moins de 36
heures par un éditeur de produits de filtrage a été utilisée comme source de test. On notera ici que les auteurs se
sont heurtés à un problème de fond lié à la très grande volatilité de ces sites – durée de vie inférieure à la semaine
voire même désormais à la demi-journée – et à l’absence de source d’identification indépendante.
Ce premier test met en évidence la très forte réactivité de l’outil NetCraft qui s’appuie sur la base de données du
site éponyme par ailleurs bien souvent citée comme étant l’une des premières sources d’informations contrairement
à la majorité des outils qui mettent en œuvre une approche heuristique. Ainsi, l’outil NetCraft a été à même
d’identifier 48 des 50 sites de la liste de test, suivi des outils TrustWatch (société GeoTrust) avec 34 sites
identifiés et SpoofGuard (Université de Stanford) avec 31 sites identifiés. A l’opposé, l’outil proposé par
CloudMark n’a pu identifier un seul site.
- La réévaluation des cinq outils précédents par le biais d’une plate-forme automatisée. La charge de travail liée au
nombre d’outils à évaluer et le cycle de vie extrêmement court des sites de référence a imposée la mise en place
d’un système permettant d’automatiser les tests.
Dans cette expérience, les 100 sites de référence ont été fournis
par l’association APWG (Anti-Phishing Working Group) puis
examinés dans l’heure de leur apparition avant d’être soumis une
première fois aux outils puis de nouveau 2h, 12h et 24h après.
Cette approche permet de prendre en compte la mise à jour des
bases de données utilisées par les outils ainsi que le cycle de vie
des sites retenus comme référence. Pour mesurer, la qualité des
procédés heuristiques utilisés par certains outils, 100 sites
légitimes - dont un bon tiers appartenant à des banques connues ont aussi été testés.
Ce second test démontre tout d’abord l’extrême volatilité des sites
de phishing: si 98 URL étaient encore actives après qu’une heure se
soit écoulée, 73 l’étaient encore au bout de 12 heures et seulement
40 au bout de 24 heures. Soit une période de vie de moins de 24
heures.
En ce qui concerne les outils, Trustwatch laisse la position de tête
aux outils SpoofGuard (moteur heuristique) et Netcraft (base de
référence), la différence de performances entre ces deux devenant
insignifiante au bout de 2 heures.
- L’extension de l’évaluation automatisée aux dix outils à l’aide de la plate-forme précédemment qualifiée mais en
s’appuyant des sites de phishing identifiés par le projet
PhishTank et traités comme précédemment.
La mesure du taux d’erreur a été effectuée à partir
d’une partie de la liste utilisée dans le test précédent à
laquelle 510 nouveaux sites légitimes extraits d’une liste
publiée par 3Sharp ont été ajoutés.
Les résultats de ce test font apparaître en bonne place
les outils EarthLink (base de référence), Google Safe
Browsing (moteur heuristique et base de référence) et
IE7 (moteur heuristique et base de référence).
L’outil SpoofGuard conserve la tête du classement. On
admirera la performance de cet outil universitaire
entièrement conçu autour d’un mécanisme heuristique
lequel ne nécessite aucune interaction avec une base de
données tierce.
On notera par ailleurs que ces résultats contredisent
ceux de l’étude menée en septembre dernier par la
société 3Sharp laquelle annonçait:
« The overall results of these tests show that Internet
Explorer 7 Beta 3 with Phishing Filter had the best overall accuracy, resulting in an overall composite score of
172 out of a possible 200. The Netcraft Toolbar was close behind Internet Explorer 7 with a composite score of
168. »
L’étude du laboratoire ‘CyLab’ ne serait pas complète si elle n’abordait pas un point trop rarement traité, celui de la
susceptibilité de ces outils aux agressions externes, et notamment leur robustesse en terme d’intégrité et de fiabilité
des résultats. Les auteurs ont étudié deux cas de figures.
Le premier cas consiste à proposer une adresse de site modifiée mais toujours valide afin de contourner les
mécanismes de listes noires utilisés par au moins huit des dix produits testés. Pour ce faire un service de redirection
est utilisé, en l’occurrence, le service proposé par le projet de réseau de distribution de contenu (ou ‘CDN’) Coral
Projet lequel intègre l’adresse du site original dans l’adresse d’accès. Il suffit en effet de post-fixer n’importe quelle
URL par ‘.nyud.net:8090’ pour faire transiter une requête WEB par l’un des nombreux serveurs de ce projet. Cette
approche met en difficulté les outils ‘Cloudmark’, ‘Google’, ‘McAfee’, ‘TrustWatch’, ‘NetCraft’ et ‘NetScape’, outils
qui tous utilisent une base de données externe de type ‘liste noire’.
Le second cas tire parti de la conception de certains outils, qui utilisant une approche heuristique, attendent d’avoir
reçu l’intégralité de la page pour prendre une décision. En ralentissant la fin du chargement de la page, il est possible
Page 9/64
Décembre 2006
d’induire l’usager en erreur tout en lui présentant une page HTML a priori complète et exploitable. Les outils
‘SpoofGuard’ et ‘eBay Toolbar’ peuvent ainsi être manipulés.
Nous proposons ci-après, un tableau récapitulatif des outils testés, tableau hélas absent du rapport d’étude.
Nom
Phishing Filter
Google Safe Browsing
SiteAdvisor
eBay Toolbar
Anti-Fraud ToolBar
SpoofGuard
EarthLink Toobar
NetCraft Toolbar
TrustWatch
Browser 8.1
Editeur
Microsoft
Google
McAfee
eBay
CloudMark
Standford
EarthLink
NetCraft
GeoTrust
Netscape
Accès
Free
Free
Free
Free
NA
Free
Free
Free
Free
Free
IE
IE7.0
X
X
X
X
X
X
X
X
Firefox
X
X
X
X
X
Heuristique
X
Probable
X
X
X
X
Base vérifiée
X
Probable
X
X
Probable
User Report
Probable
X
X
Probable
X
X
X
Probable
Note: la barre CloudMark ne semble plus être disponible au téléchargement à l’heure de l’écriture de ce rapport.
La table des matières de ce rapport d’étude est la suivante :
1. INTRODUCTION
2. OVERVIEW OF ANTI-PHISHING TOOLBARS
2.1 Cloudmark Anti-Fraud Toolbar
2.2 EarthLink Toolbar
2.3 eBay Toolbar
2.4 GeoTrust TrustWatch Toolbar
2.5 Google Safe Browsing
2.6 McAfee SiteAdvisor
2.7 Microsoft Phishing Filter in Windows Internet Explorer 7
2.8 Netcraft Anti-Phishing Toolbar
2.9 Netscape Browser 8.1
2.10 SpoofGuard
3. ANTI-PHISHING TOOLBAR EVALUATION
3.1 Experiment #1 – Manual Evaluation of Anti-Phishing Toolbars
3.2 Design and Implementation of an Automated Anti-Phishing Test Bed
3.3 Experiment #2 – Automated Evaluation of Five Anti-Phishing Toolbars
3.4 Experiment #3 – Automated Evaluation of Ten Anti-Phishing Toolbars
4. TOOLBAR EXPLOITS
5. DISCUSSION
5.1 Toolbar Performance
5.2 Testing Methodology
5.3 User Interfaces
6. CONCLUSIONS
7. ACKNOWLEDGEMENTS
Un second rapport ayant trait au Phishing, et intitulé ‘The Design and Evaluation of an Embedded Training
Email System’, a été publié début novembre par une autre équipe du CyLab dont le thème était la réalisation d’un
environnement d’enseignement destiné à éduquer les usagers de l’Internet. Un tel enseignement peut intervenir à
deux niveaux lesquels correspondent aux deux supports actuellement utilisés par les escrocs: le service de messagerie
en tant que moyen de prise de contact avec les cibles, les services WEB en tant que supports proprement dits de
l’escroquerie.
Les auteurs de l’étude ont décidé d’intervenir au premier niveau en concevant un système d’enseignement destiné à
être intégré à une messagerie existante et ceci dans l’optique d’éduquer les usagers à identifier rapidement les
messages frauduleux et à gérer correctement la situation.
L’approche retenue consiste à envoyer assez régulièrement de faux messages frauduleux – et donc générés
localement - aux usagers de la messagerie en dirigeant les personnes tombées dans le piège vers une page à
caractère éducatif. A ce niveau, trois formes de présentation ont été étudiées: la première sous la forme d’une simple
notification de sécurité, la seconde interactive et prenant la forme d’un questionnaire accompagné d’illustrations, la
dernière statique mais ludique sous la forme d’une bande dessinée.
Page 10/64
Décembre 2006
Le message pédagogique associé aux deux dernières présentations visait à enseigner quatre automatismes:
- ne jamais cliquer sur un lien présent dans un message,
- initier le contact manuellement (en tapant manuellement l’URL dans le barre d’adresse du navigateur),
- toujours en référer au service support
- ne jamais fournir d’informations personnelles.
Des tests ont été menés sur trois groupes de 10 utilisateurs ‘type’ en présentant à ceux-ci respectivement l’une des
trois formes précédemment décrites, pour mémoire: la notification de sécurité (présentation classiquement utilisée par
les outils du commerce), le questionnaire et ses illustrations, la bande dessinée.
Les résultats mettent prioritairement en évidence un manque d’éducation des personnes testées vis-à-vis de leur
environnement de travail: 80% d’entres-elles ne savent pas identifier l’URL sous-jacente à un lien cliquable par le
simple passage du curseur sur ce lien. Sur les 30 personnes testées, 9 ont cliqué sur un lien associé à un service sur
lequel elles n’avaient pas (et ne pouvaient avoir) de comptes d’accès. Sur ces 9 personnes, 4 ont tout de même
immédiatement fermé la page après avoir activé le lien. Le syndrome de l’action préalable, et de la réflexion a
posteriori, semble bien être une caractéristique de l’espèce humaine.
En terme de qualité de l’enseignement, la troisième approche – bande dessinée - semble être la plus efficace. En effet,
quand toutes les personnes du dernier groupe sont tombées dans le piège du tout premier message frauduleux seules
30% d’entres-elles se faisaient piéger par le tout dernier message. Dans le premier groupe – notification de sécurité –
8 personnes tombaient encore dans le panneau sur les 9 s’étant fait piéger en début d’entraînement. Enfin, dans le cas
du second groupe – questionnaire et illustrations – 5 personnes étaient toujours abusées par le dernier message sur
les 8 piégées en début de test.
Qui oserait encore prétendre que la bande dessinée n’a aucune valeur éducative ? Peut-être verrons-nous ainsi un
épisode de South Park traiter de ce sujet avec une imagination comparable à celle des épisodes ‘Trapper Keeper’
(sur les dangers des assistants personnels) et ‘Make love, not Warcraft’ (sur le danger des jeux en ligne).
http://www.cylab.cmu.edu/files/cmucylab06017.pdf
http://www.cylab.cmu.edu/files/cmucylab06018.pdf
- Rapport - Etude d’un outil d’enseignement intégré
- Rapport - Evaluation des outils anti-phising
Page 11/64
Décembre 2006
IIN
NF
LEEG
FO
GIIS
OR
RM
SL
MA
LA
AT
AT
TIIO
TIIO
ON
ON
NS
N
SE
ET
TL
LES
INFORMATIONS
VEILLE
HNS - (IN)SECURE MAGAZINE N°9
$ Description
Le neuvième numéro du magazine ‘(IN)SECURE Magazine’ a été mis en ligne à la fin du mois de
novembre. Comportant 78 pages et 9 articles, ce numéro traite de quelques thèmes d’actualité dont la
protection des architectures dites ‘WEB 2.0’ et le protocole iSCSI.
La rubrique Corporate News est, ce mois-ci, particulièrement fournie avec l’annonce du rachat de la
société ‘Counterpane’ (fondée par B.Schneier) par British Telecom, le quinzième anniversaire de la
création de PGP et les annonces de nouveaux produits eEye, Mac Afee, Secure Computing, Spy
Dynamics ou encore d’un service hébergé par Adobe.
Au sommaire de ce numéro:
Corporate news
A case study of security warnings in a web browser setting
Interview with Kurt Sauer, CSO at Skype
Latest addition to our bookshelf
Web 2.0 defense with AJAX fingerprinting and filtering
Hack In The Box Security Conference 2006
Where iSCSI fits in enterprise storage networking
Software spotligth
Recovering user passwords from cached domain records
Do portable storage solutions compromise business security?
Events around the world
Enterprise data security - a case study
Creating business through virtual trust
5p
8p
3p
2p
10p
3p
2p
1p
8p
6p
1p
8p
14p
R
S
C
R
T
C
G
R
T
G
R
G
R
R: Rubrique mensuelle
G: Synthèse généraliste
S: Synthèse technique
C: Présentation publicitaire
T: Présentation technique
Nous avons particulièrement apprécié les 4 articles suivants:
Do portable storage solutions compromise business security ?
Rob Faber
Rob Faber, un architecte des SI travaillant pour une société d’assurance néerlandaise, nous propose ici un tour
d’horizon des solutions permettant d’assurer la protection des données stockées sur des supports amovibles. Bien que
ce qualificatif puisse s’appliquer à de nombreux dispositifs – lecteurs mp3, disques durs amovibles, téléphones
portables voir appareils photos – les clefs USB sont plus particulièrement désignées du doigt comme faisant peser une
réelle menace sur les actifs des sociétés.
Avec un prix défiant toute concurrence pour une capacité mémoire sans cesse augmentée, de plus en plus de fonctions
embarquées et une taille tellement réduite qu’il est très facile de les égarer, ces dispositifs posent d’autant plus un
problème de sécurité qu’ils offrent par ailleurs tout le confort attendu d’un support d’information: facilité d’utilisation,
universalité du support et du format de stockage et, ce n’est pas le moindre de leurs atouts, une fiabilité assez
exceptionnelle au regard des traitements qu’ils subissent !
Vouloir interdire l’utilisation de ces dispositifs est une gageure sauf peut-être dans le cas de systèmes critiques pour
les fonctions qu’ils remplissent ou pour les données qu’ils hébergent. Ici, l’invalidation physique et logique des ports
USB devra être envisagée. Dans tous les autres cas, outre l’intégration d’un volet spécifique à l’utilisation de ces
dispositifs dans la politique de sécurité, l’application de consignes strictes dans le choix des clefs USB et la mise en
œuvre d’outils de renforcement et de contrôle doivent être impérativement envisagées.
L’auteur de l’article traite ces deux approches complémentaires en détaillant tout d’abord les fonctionnalités offertes
par les clefs USB dites ‘de sécurité’ lesquelles embarquent des fonctions de chiffrement des données pour en garantir
la confidentialité mais aussi d’authentification biométrique de l’utilisateur pour en contrôler l’accès. Il présente ensuite
quelques logiciels assurant le contrôle d’accès aux ports USB d’un quelconque poste de travail.
Une liste de dispositifs et de logiciels est proposée dans l’article, liste que nous avons été amené à corriger et
compléter. Le rapide tour du marché a mis en évidence une réelle explosion du marché des clefs USB biométriques qui
nous a quelque peu étonnés au regard de l’état de ce même marché il y a moins d’un an.
Clefs chiffrantes
Kingston
Data-Traveler Elite
Kobil
mIDentity
Lexar
Jumpdrive Secure II
SafeBoot
Phantom
Contrôle des périphériques
Centennial
DeviceWall
Clefs avec authentification biométrique
AData
MyFlash USB Fingerprint
Atmel
Finger Gear
Axiom
BioDrive
CardMedia
BioDisk Biometric
Edge
DiskGo Biometric
HLS
HLS Biometric USB
Page 12/64
Décembre 2006
GFI
Safeboot
SecureWave
Smartline
UBM
Utimaco
Endpoint Security
PortControl
Sanctuary
Devicelock
Drivelock
Safeguard Advanced Security
Kanguru
Lexar
MXI
RiTech
SafeBoot
San-Disk
Sony
Transcend
Bio Slider II
Jumpdrive TouchGuard
MXP Stealth et ClipDrive Bio
BioSlimDisk 2.0 et BioSlimDisk iCool
Silhouette
Cruzer Profile
Micro Vault
Jetflash 210
Cette technologie semble désormais être mature et les
composants spécialisés assurant cette fonctionnalité sont
en passe d’être intégrés dans de multiples équipements domestiques dont, par exemple, les verrous de porte.
Web 2.0 defense with AJAX fingerprinting and filtering
Shreeraj Shah
Contraction des termes ‘Asynchronous JavaScript And XML’, AJAX désigne une approche très en vogue depuis
quelque temps ayant pour objectif d’améliorer l’interactivité des applications WEB. L’idée générale de cette approche
est de générer le code HTML au plus près du navigateur en s’appuyant sur le langage Java, les données dynamiques
étant acquises par le biais d’appels distants utilisant le langage XML et des procédures Ad’hoc.
Pour mémoire, cette approche fût utilisée avec succès dans d’autres environnements bien avant l’émergence du WEB
mais elle prend toute sa valeur dans le contexte fortement hétérogène, évolutif et interconnecté des systèmes
d’information actuels. Derrière le terme inapproprié de WEB 2.0 se cache en réalité un assemblage opportun de
technologies mises en œuvre pour parer à l’inadéquation du modèle client/serveur tel qu’il est implémenté avec les
technologies WEB usuelles. L’approche AJAX permet ainsi de résoudre le problème fondamental posé par
l’inadéquation du modèle ‘state-less’ (ou sans maintien d’état sur le serveur) avec les besoins des applications
fortement interactives.
Un article intitulé ‘Advantages of the Ajax/REST architectural style for immersive Web applications’ publié
début octobre sur l’un des sites WEB de la société IBM propose, entre autres, un historique de l’évolution de
l’architecture client/serveur WEB illustré à l’aide des dessins suivants:
Architecture de base
Pages statiques
Architecture dynamique
Pages statiques
Violation du principe ‘state-less server’
Application AJAX respectant le principe
La clef de voûte de ce nouvel édifice prend la forme d’un objet spécifique – un stub dans le jargon issu du monde des
RPC (appels de procédures distantes) – offrant toutes les méthodes nécessaires pour transférer des données entre un
serveur WEB et le code de la page active invoquant cet objet sans utiliser d’autres protocoles que le protocole natif du
WEB, le protocole HTTP. Plusieurs implémentations, principalement liées au langage de programmation utilisé, sont
actuellement disponibles. Ainsi, en environnement ‘Java’ on utilisera l’objet ‘JSONRequest’ et la structure de données
JSON associée quand, dans l’environnement Microsoft, l’objet ‘XMLHttpRequest’ permettra de manipuler des
structures de données XML en s’appuyant sur le protocole SOAP (Simple Object Access Protocol). Rien n’est encore
simple …
A nos lecteurs qui souhaiteraient comprendre l’utilisation de l’objet ‘XMLHttpRequest’, et les interactions entre celuici et l’environnement extérieur, nous conseillons fortement la lecture du très intéressant article interactif intitulé
‘Using the XML HTTP Request object’. Le lecteur prendra soin d’activer préalablement l’indispensable outil de
débogage ‘Fidler’ afin de disposer d’une trace détaillée de tous les échanges et de pouvoir rejouer à volonté ceux-ci.
La lecture de l’excellente présentation ‘Why AJAX Applications are far more likely to be insecure, and What to
do about it’ effectuée par Dave Wichers durant la conférence AppSec 2006 est également conseillée.
L’utilisation d’un protocole de transport non dédié (le protocole http et les méthodes associées) pour transférer aussi
bien les requêtes de l’utilisateur final que celles issues des traitements effectués par le code chargé dans le navigateur
simplifie fortement la conception des applications et des services sous-jacents. Cette approche pose en revanche de
réels problèmes en matière de sécurité dont celui de la séparation des flux en vue de l’application d’une politique de
filtrage adaptée.
L’auteur de l’article publié dans la revue HNS, Shreeraj Shah le fondateur de la société ‘NetSquare’, pose le
Page 13/64
Décembre 2006
problème de la possibilité d’identifier les requêtes (et les réponses) en provenance d’un composant AJAX à partir des
seules informations présentes dans celles-ci. Si cette distinction ne peut être nativement opérée, il reste possible de
concevoir une architecture dans laquelle les modules AJAX rajoutent un en-tête spécifique dans chacune des requêtes
qu’ils génèrent.
L’auteur propose ainsi l’utilisation d’un en-tête ‘Ajax-TimeStamp’ inséré par le client et contrôlé par le serveur via un
module de filtrage tel le fameux ‘mod-security’ en environnement Apache. Outre un horodatage, cet en-tête pourra
contenir un élément cryptographique indéniable et vérifiable. Plusieurs stratégies pourront alors être mises en place, la
plus simple consistant à rejeter toute requête ne contenant pas cet identifiant en considérant ici qu’il ne pourra être
forgé par un tiers. L’auteur présente différents exemples pratiques accompagnés d’extraits de code.
On notera que la technologie AJAX vient à point pour relancer le développement d’outils d’analyse et d’audit. Citons
ainsi l’annonce récente du projet ‘SPAJAX’ par l’OWASP et celle du support par la version 3.0 de l’outil DevInspect
de la société SpyDynamics des extensions AJAX intégrées à l’environnement .NET 2.0.
http://www.owasp.org/images/0/0d/OWASPAppSec2006Seattle_Why_AJAX_Applications_More_Likely_Insecure.ppt
http://www.w3.org/TR/XMLHttpRequest
http://www.jibbering.com/2002/4/httprequest.html
Recovering user passwords from cached domain records
Dmitry Nefedov
Ce très intéressant article technique est rédigé par le responsable des développements de la société ElcomSoft. Cette
société est probablement déjà connue de nos lecteurs pour les outils de ‘récupération’ de mots de passe qu’elle
développe mais aussi pour avoir été poursuivie en justice en 2002 pour avoir développé un lecteur compatible avec le
format eBook de la société Adobe.
L’auteur intervient donc ici dans son domaine de spécialisation en nous détaillant le mécanisme de gestion des crédits
d’authentification des utilisateurs en environnement Windows, et plus particulièrement le mécanisme de maintien en
mémoire dit ‘Domain Cached Credential’ ou ‘DCC’. Ce mécanisme – qui fait d’ailleurs indirectement l’objet d’un billet
intitulé ‘The Case of the Delayed Windows Vista File Open Dialogs’ par Mark Russinovitch – permet de maintenir la
capacité d’authentification de l’utilisateur dans l’hypothèse où le serveur serait devenu indisponible.
Après avoir exploré les mécanismes internes mis en œuvre, plus ou moins bien documentés par Microsoft, l’auteur
aborde un sujet plus délicat, celui des techniques permettant de récupérer les condensés de mots de passe présents –
Hash dans le jargon - en mémoire à des fins théoriquement parfaitement légales, la recherche d’un mot de passe
oublié. On notera que l’auteur suggère fortement de pas utiliser certains logiciels ou techniques permettant de
réinitialiser les mots de passe perdus, les opérations associées pouvant conduire à la perte des ressources qui étaient
attachées au compte dont les certificats, données privées et autres informations personnelles parfois critiques.
Il apparaît en pratique que, bien que toute l’information utilise soit présente dans le cache y compris la forme la plus
simple du condensé héritée du système Windows NT, aucune erreur majeure ne soit présente dans la conception du
mécanisme: l’enregistrement maintenu dans le cache est sauvegardé sous une clef de la base de registre correctement
protégée (‘HKLM|\SECURITY\Cache’) et inaccessible sans manipulations complexes. Cet enregistrement est
d’ailleurs lui-même chiffré, la fonction de déchiffrement étant cependant fournie dans l’article.
En considérant que l’on puisse obtenir la clef de déchiffrement nécessaire – opération qui n’est pas détaillée – cet
enregistrement dévoilera non seulement le nom de l’utilisateur, son identifiant et autres informations contextuelles
mais aussi une séquence de vérification irréversible obtenue à partir du nom de l’utilisateur et du condensé du mot de
passe.
Il pourrait apparaître illusoire d’opérer une attaque en force pour découvrir le mot de passe donnant cette séquence de
vérification si l’on ne tenait compte de la présence de la toute première forme du condensé dont le procédé d’attaque a
été notablement améliorée avec l’arrivée des tables pré calculées dites ‘Rainbow Tables’. C’est donc cette forme de
condensé qui sera prioritairement attaquée. Il faudra ensuite vérifier que le mot de passe révélé génère une séquence
de vérification identique à celle contenue dans l’enregistrement en cache.
L’auteur fait à ce niveau remarquer que l’implémentation Windows native des différents algorithmes n’est pas des plus
optimisée pour les processeurs récents et qu’un gain conséquent en terme de performances peut être obtenu à l’aide
d’optimisations spécifiques. Il annonce ainsi atteindre 4.6 millions de calculs de Hash par seconde sur un AMD 2500+
avec un code optimisé, un gain de 50% pouvant encore être visé.
Sa conclusion est classique: le maillon le plus faible reste et restera toujours le mot de passe lui-même qui mal choisi
sera très rapidement révélé et mettra à son tour en péril les ressources tierces gérées ou accédées par l’utilisateur.
http://blogs.technet.com/markrussinovich/archive/2006/11/27/532465.aspx
Effectiveness of security by admonition
C.Seifert and all
Sous-titré ‘A case study of security warnings in a web browser setting’, cet article traite des interactions
pouvant avoir lieu entre l’utilisateur et les mécanismes implémentant une politique de sécurité dans un système
d’information, et dans le cas particulier ici traité, dans un navigateur WEB.
Le terme ‘admonition’ ici employé s’avère avoir été utilisé en français mais semble être tombé en désuétude. Le TLFi
indique à son propos qu’il s’agit de « l’action de donner un avertissement; de la manifestation concrète de
cette action.». Cette définition qui colle parfaitement avec le thème central de l’article, celui des avertissements de
sécurité transmis à l’utilisateur lorsqu’une action contraire à la politique de sécurité est sur le point d’être engagée, la
décision finale étant laissée à ce dernier.
La question posée tout au long de l’article par l’auteur est de savoir si cette approche est réellement efficace, et ceci à
long terme. Tout un chacun a probablement encore en mémoire l’un de ces produits de sécurité qui interpellait
l’utilisateur à tout bout de champ conduisant ce dernier à finir par systématiquement acquitter la notification sans
même la lire, et dans certains cas, à autoriser l’action sans même plus se demander s’il y a bien lieu de le faire.
Force est de constater que l’intrusion – pour reprendre le terme utilisé par l’auteur et parfaitement adapté à la
situation - de ces notifications dans le champ de travail ne peut qu’aboutir à réduire le niveau de sécurité. L’une des
Page 14/64
Décembre 2006
parades mises en œuvre par Microsoft avec le SP2 d’Internet Explorer a été d’abandonner le mécanisme de notification
par boîte de dialogue au profit d’une barre de notification tout aussi interactive mais n’imposant plus une réponse
immédiate de la part de l’utilisateur qui peut ainsi terminer le travail en cours.
Pour étudier la réaction d’utilisateurs faisant face
à une notification de sécurité conduisant à devoir
choisir entre plusieurs options dont certains sont
susceptibles d’atteindre à la sécurité de leur
poste de travail, l’auteur a mis en place une
expérience assez astucieuse.
Un questionnaire a été établi, la page WEB
présentant ce questionnaire faisant appel à un
contrôle ActiveX créé pour l’occasion.
Dûment signé, ce contrôle ActiveX n’a aucune
autre fonction que celle d’enregistrer la réponse
de l’utilisateur lorsqu’il se trouve confronté à la
boîte de dialogue lui demandant la conduite à
tenir: installer le contrôle ou refuser son
Fenêtre de notification présentée par IE 6.0 SP2 dans le cadre de l’expérience
installation.
Pour éviter de biaiser l’expérience en induisant trop rapidement le doute dans l’esprit de l’utilisateur, le contrôle
ActiveX utilisé a préalablement été signé. L’utilisateur est ainsi mis en confiance. L’auteur d’un programme malveillant
n’irait tout de même pas jusqu’à aller signer son «forfait» ! En pratique, et comme l’auteur de l’article le fait
remarquer, le niveau de confiance qu’il faut accorder à un ActiveX signé reste relativement peu élevé même lorsque
cela est le fait d’une autorité de certification réputée. Dans le cas présent, l’auteur aura simplement eu à transmettre
par fax une copie de son permis de conduire établi en Nouvelle-Zélande pour obtenir en moins de deux jours un
certificat valide 90 jours. On imagine alors parfaitement qu’il soit possible de faire signer un ActiveX sans pour autant
réellement dévoiler son identité…
Une invitation à participer à une enquête sur l’usage des navigateurs WEB contenant un lien vers le questionnaire a
été transmise à de nombreux forums WEB et listes de diffusion de langue anglaise ne traitant pas, de près ou de loin,
de sujets liés à la sécurité. Dans le cas de l’utilisation d’un navigateur WEB Internet Explorer, l’utilisateur se voyait
préalablement demander l’autorisation d’installation du contrôle ActiveX, lequel en cas d’acceptation présentait à
l’utilisateur une fenêtre l’informant du bon déroulement de l’opération dont le résultat était par ailleurs transmis sur le
site pour comptabilisation. Le questionnaire lui était ensuite présenté tout comme cela était aussi le cas si un autre
type de navigateur était utilisé.
Le dépouillement des réponses reçues et de
la journalisation de l’installation du contrôle
ActiveX a permis de mettre en évidence
divers
phénomènes
intéressants
ainsi
qu’une cartographie de l’utilisation des
différentes versions du navigateur Internet
Explorer.
Sur les 114 utilisateurs ayant participé, 65
utilisaient un navigateur Internet Explorer.
Ces derniers sont plus nombreux à quitter
l’expérience (13 sur 65 utilisateurs contre 4
sur 49). Ce résultat est directement, et
statistiquement, corrélé à la présentation
de la fenêtre d’alerte. Cependant, l’étude
détaillée des résultats dans le groupe des
utilisateurs ayant employé un navigateur Internet Explorer tend à prouver que la seule présentation d’une option
permettant d’outrepasser une politique d’interdiction par défaut encouragera l’engagement d’actions à risque. La
complexité des opérations à effectuer pour outrepasser la politique par défaut semble aussi devoir être prise en
compte. Sur les 11 utilisateurs ayant installé le contrôle ActiveX, 3 d’entres eux utilisaient la version 6.0 (sur les 10
utilisant cette version au total) soit 30%, les 8 restants utilisant une version plus évoluée (sur 55 au total) soit 14%.
Rappelons qu’à ce niveau, la différence entre la version 6.0 et les autres réside dans la procédure d’activation de
l’installation d’un contrôle ActiveX, simple clic dans la boîte de dialogue affichée à l’écran dans le premier cas, sélection
de la barre de notification puis sélection de l’option d’installation et enfin confirmation de l’installation dans les versions
ultérieures.
L’auteur conclut son article en proposant plusieurs solutions qui permettraient de limiter le risque qu’un utilisateur
n’engage inconsidérément une action susceptible de porter atteinte à la sécurité de son environnement de travail sans
pour autant sacrifier à l’ergonomie de celui-ci. Pour notre part, nous continuons à préférer les solutions de
cloisonnement – Sand-Boxing dans le jargon – externes dont le produit libre CoreForce en environnement Windows
XP et 2000 (Rapport N°90 – Janvier 2006) ou encore le remarquable produit BufferZone parfaitement adapté à cet
usage (Rapport N°91 – Février 2006).
http://www.insecuremagazine.com/INSECURE-Mag-9.pdf
Page 15/64
Décembre 2006
PACSEC - 2006
$ Description
La 4ième édition de la conférence PACSEC 2006 qui s’est tenue à Tokyo en novembre dernier a
accueilli quinze présentations effectuées par des conférenciers Japonais, Américains mais aussi
Allemands et Français.
Rappelons que cette conférence s’inscrit dans un cycle plus large de conférences dédiées à la sécurité comprenant la
célèbre conférence CanSecWest, se tenant à Vancouver depuis 2000 et EuSecWest dont la première édition a vu le
jour en 2005 à Londres.
La liste de toutes les présentations, classées par ordre alphabétique, est reproduite ci-après:
Evolving Windows Shellcode
Masaki Suenaga
Symantec
PPS
Gacking fingerprint recognition systems
Jan Krissler
Fraunhofer
PDF
How to secure a networking stack: IPv6 and NetIO
Abolade Gbadegesin
Microsoft
PPT
IPTV: Triple Play Triple Threats
YM Chen
McAfee
PDF
IPV6 Mapping
Yuji Ukai
eEye
PPT
Linux Kernel == Security Nightmare
Marcel Holtmann
RedHat
PDF
Methods of increasing source code security automatically
Ben Chelf
Coverity
PPT
Mobile IPV6, Les Problemes
A.Ebalard & G.Valadon EADS
(F)
PPT
MSKK Security Fundamental
Yuji Okuten
Microsoft
PPT
On XSRF(Cross Site Request Forgery) and why you should care
Martin Johns
Un. Hamburg
PDF
OpenOffice/OpenDocument and MS OpenXML security
Philippe Lagadec
CELAR (F)
PDF
Smashing Heap by Free Simulation
Sandip Chaudhari
PPS
Strong cryptographic payload obfuscation and encryption
Ariel Waissbein
Core Sec.
PDF
Undermining Security in Vista WCF
Marc Schoenefeld
Un. Bamberg
PPT
Nous nous proposons de détailler ci-après les présentations qui nous ont paru, à la lecture des supports, les plus
intéressantes ou innovantes.
How to secure a networking stack: IPv6 and NetIO
Abolade Gbadegesin
Avec un support de plus de 50 pages et d’un volume de 17Mo Abolade Gbadegesin, le principal architecte des
piles réseaux Microsoft, nous propose une intéressante présentation des nouveaux mécanismes de
communication, mais aussi de sécurité, ayant été intégrés sous Vista via la nouvelle architecture dite ‘NetIO’.
L’architecture de communication jusqu’alors utilisée dans les systèmes Windows devait être considérée comme
monolithique et opaque notamment vis-à-vis des mécanismes de sécurité pouvant être associés à certaines
opérations. Ainsi s’il était possible de sécuriser un descripteur d’entrée/sortie, la même opération était
difficilement applicable à un ‘socket’ réseau quand bien même celui-ci pouvait être rattaché à ce même
descripteur d’entrée/sortie sécurisé.
Avec sa nouvelle architecture NetIO, Microsoft se propose de séparer les fonctions de sécurité des fonctions de
traitement, fonctions jusqu’alors intimement mêlées. Il deviendra alors possible d’appliquer une politique de
sécurité sur les fonctions réseaux avec une granularité jamais atteinte par le biais des mécanismes regroupés
dans le nouveau composant ‘WFP’ (Windows Filtering Platform).
C’est en pratique toute la logique classiquement utilisée qui est revue avec l’addition de nombreuses
fonctionnalités aussi bien dans la gestion des ports réseaux (réservation de ports, fonctions d’ouverture étendues
des sockets, …) que dans celle des protocoles (fonctions d’optimisation des paramètres réseaux, gestion de la
qualité de service, …).
Le lecteur intéressé par ce sujet pourra lire l’excellent article ‘New Networking Features in Windows Server
"Longhorn" and Windows Vista’ accessible sur le site Microsoft Technet et suivre les dernières nouveautés
via le blog ‘Windows Core Networking’ hébergé sur MSDN.
http://www.microsoft.com/technet/network/evaluate/new_network.mspx
http://blogs.msdn.com/wndp/default.aspx
- Article
- Blog
Gacking fingerprint recognition systems
Jan Krissler
Avec cette présentation intitulée ‘Gacking fingerprint recognition systems’ Jan Krissler du Fraunhofer
Institute allemand aborde un sujet que nous apprécions particulièrement: la mise en défaut des systèmes de
reconnaissance d’empreintes digitales.
Il nous propose ainsi une véritable étude de sécurité en analysant les points de
faiblesse de chacun des quatre sous-ensembles d’un système de reconnaissance
d’empreintes classiquement utilisé pour authentifier l’usager d’un poste informatique:
le capteur, l’interface de raccordement, le logiciel d’analyse et la base de référence.
Chacune des techniques permettant d’induire en erreur le système est étudiée:
contrefaçon d’une empreinte, réactivation d’une empreinte latente sur le capteur,
acquisition des données brutes transférées entre ce dernier et le logiciel de traitement,
manipulation des références, …
Il apparaît cependant que l’attaque la plus simple et la plus efficace reste celle
consistant à induire en erreur le capteur et ceci quelque soit la technique d’acquisition
de l’empreinte utilisée: capacitive, optique, électrique ou thermique.
Le contournement des protections annexes visant à vérifier que l’empreinte présentée est bien celle d’un être
vivant ne semble pas non plus poser de grandes difficultés. L’auteur annonce ainsi avoir réussi à biaiser les
capteurs des systèmes de reconnaissance d’empreintes suivants:
Page 16/64
Décembre 2006
- Capteurs capacitifs
Infineon (utilisé sur les souris Siemens) et UPek (utilisé sur les portables IBM),
- Capteurs thermiques Dermalog, Microsoft UareU (Rapport N°92 - Mars 2006) et Identix
- Capteur électrique
Atmel (capteur utilisé par les systèmes eKey et sur les iPAQ)
- Capteur électrique
Authentec
Un clin d’œil aux amateurs de ces petites sucreries prenant la forme d’un nounours en
gélatine est proposé en première page de la présentation. Ces délicieux nounours ont en
effet pour caractéristique secondaire d’offrir un excellent support pour la reproduction d’une
empreinte. Le lecteur intéressé par les procédés de contrefaçon d’empreintes digitales pourra
à ce sujet lire avec intérêt l’article ‘How to fake fingerprints ?’ publié en octobre dernier
sur le site du Chaos Computer Club Allemand.
Cet article décrit, en 12 illustrations, un procédé applicable sans nécessiter aucun matériel ou matériau qui ne
soit présent dans la trousse à outil de tout bon bricoleur: colle à bois, colle cyanoacrylate et glycérine.
http://www.ccc.de/biometrie/fingerabdruck_kopieren.xml?language=en
OpenOffice/OpenDocument and MS OpenXML security
Philippe Lagadec
En Juin dernier, à l’occasion de la conférence SSTIC 2006, Eric Filiol abordait à travers sa présentation
‘Analyse du risque viral sous OpenOffice.org’ un sujet ‘tabou’ pour beaucoup, celui de la qualité des
développement et de la sécurité d’un environnement bien souvent présenté comme étant la seule alternative
viable à la suite Microsoft Office voire par certains ‘puristes’ comme étant sans discussion possible le seul
environnement bureautique acceptable.
Avec la présentation de 79 pages effectuée par Philippe Lagadec du CELAR, il semble que le seul avantage
encore opposable soit celui de la gratuité, le niveau de sécurité et la qualité des développements étant ici encore
gravement mis en défaut.
Cette présentation débute par un rappel des caractéristiques des formats utilisés par les deux concurrents,
OpenOffice avec le format OpenDocument normalisé ISO et Office 2007 avec le format OpenXML en cours
de normalisation par l’ECMA. L’auteur précise à sujet que bien qu’un standard ouvert simplifie fortement
l’analyse de sécurité, le volume croissant des spécifications pose un problème: 700 pages pour OpenDocument
et plus de 6000 pages pour OpenXML.
Les problèmes usuels de sécurité associés aux ressources de type fichiers sont ensuite brièvement rappelés à
savoir, l’hébergement de code malicieux et la divulgation d’informations cachées.
L’auteur aborde le premier volet du sujet en étudiant en détail le format des différentes ressources OpenOffice,
les modes de protection des macro-commandes et les risques en terme de sécurité. Sa conclusion a le mérite de
d’être claire et impartiale:
« OpenOffice n’est absolument pas plus (ou moins) sûr que MS Office en ce qui concerne les codes
malicieux ou les données cachés. Les deux ont des problèmes de sécurité similaires avec de subtiles
différences. Le format OpenDocument fournit cependant plus de moyens d’embarquer du code malicieux
mais certaines fonctionnalités sont plus sûres. Cependant le format OpenDocument fait qu’il est plus simple
de détecter et de filtrer du contenu actif ou des données masquées. »
Le second volet est consacré à la sécurité d’Office 2007 (dans sa version béta) et du format OpenXML , un plan
d’analyse identique étant suivi. La conclusion est ici encore sans équivoque:
« Ms Office 2007 a globalement les mêmes problèmes de sécurité que les versions précédentes. Le mode
de protection des macro-commandes activé par défaut semble être moins strict et autorise le lancement de
macro non signées. Le format OpenXML peut contenir des fichiers binaires utilisant un format propriétaire et
non décrit dans les spécifications. Le nouveau format XML distingue les documents normaux des documents
pour lesquels les macro sont autorisée par leurs noms. Cependant, Office 2007 offre des fonctionnalités
améliorées pour éliminer les données masquées dans les documents. Le format OpenXML simplifie la
détection et des contenus actifs. »
Aucun des deux environnements ne sort vainqueur de cette confrontation …
Le troisième volet liste les différents moyens pouvant être utilisés pour se protéger des problèmes de sécurité, en
optimisant tout d’abord la configuration de l’environnement OpenOffice ou Office 2007 mais aussi en mettant
en place un mécanisme destiné à filtrer les documents entrants et sortants.
Les procédés de filtrage pouvant être mis en oeuvre pour l’un et l’autre des formats sont détaillés dans le dernier
volet, l’auteur proposant plusieurs exemples pratiques et des extraits de code. On notera, en annexe de la
présentation, la référence à la classe .NET ‘System.IO.Packaging’ laquelle délivre les méthodes d’accès aux
documents utilisant les formats Open XML et XMS. Dans le cas du format OpenDocument, le paquetage Python
‘OOoPy’ pourra être employé.
Avec cette présentation, Philippe Lagadec nous offre une remarquable étude du sujet, ce qui n’a rien
d’étonnant au regard de son rattachement à un centre d’étude spécialisé dans le domaine de l’analyse de
sécurité.
http://actes.sstic.org/SSTIC06/Rump_sessions/SSTIC06-rump-Filiol-Risque_viral_sous_OpenOffice.pdf
IPV6 Mapping
Yuji Ukai
Cosignées par trois membres de l’équipe de développement du scanner de vulnérabilité Retina de la société
eEye Security, cette présentation aborde un sujet d’actualité s’il en est: l’inventaire et l’analyse des ressources
utilisant la version 6 du protocole IP.
Les auteurs rappellent tout d’abord qu’après une phase de déploiement pour la moins confidentielle, certaines
prises de position dont celle des USA pourraient conduire à accélérer le déploiement du protocole IP V6 et à
généraliser celui-ci.
Page 17/64
Décembre 2006
Il est en conséquence primordial de disposer des ressources nécessaires pour non seulement accompagner ce
développement mais aussi en garantir la sécurité ainsi que le respect des bonnes pratiques en matière de
configuration.
S’il apparaît aisé de manipuler une adresse IP V4 dont l’espace d’adressage est, somme toute contraint et simple
à appréhender, il n’en va plus du tout de même avec l’adressage IP V6 et sa capacité d’adressage de 128bits. Les
ordres de grandeur changent totalement d’échelle et l’idée de d’inventorier et identifier toutes les ressources d’un
réseau par sondage comme cela est aisément effectué à l‘heure actuelle sur une ou plusieurs classes ‘C’ devient
simplement irréalisable.
Il convient alors de développer d’autres approches facilitant l’inventaire dont celle consistant à n’utiliser que des
adresses vérifiables, authentifiables et, par conséquent, impossibles à deviner ou à usurper. Les auteurs citent
deux schémas dont CGA ou Cryptographically Generated Addresses (Rapport N°78 – Janvier 2005). Celles-ci ne
satisfont hélas pas aux critères qui permettraient de faire l’économie du parcours complet de l’espace d’adressage
à la recherche d’adresses illicites ou non conformes.
Plusieurs approches, plus conventionnelles car s’appuyant sur une caractéristique ou une fonctionnalité du
protocole, sont donc passées en revue: mécanisme de multicast, service de découverte du voisin intégré au
protocole ICMPv6, identifiant du vendeur de la carte Ethernet, tables d’état DHCPv6, contenu du cache de
voisinage.
L’analyse du système d’exploitation présent derrière une adresse IPv6 découverte active – par le biais d’un
service TCP ou UDP lui-même actif – utilisera des procédés similaires à ceux déjà employés avec la version 4 du
protocole, procédés majoritairement basés sur l’étude des réponses à certaines sollicitations.
Les auteurs ont ainsi étudiés les caractéristiques des
implémentations ICMP v6 des principaux systèmes
d’exploitation, et notamment, les spécificités des
réponses reçues pour différentes requêtes. Cette
approche est démontrée parfaitement efficace pour la
détection des systèmes Windows XP et Vista,
Solaris, Linux et FreeBSD, les auteurs proposant une
méthode d’élaboration d’une signature unique.
Cette méthode devrait être
étendue prochainement à
d’autres systèmes et très
certainement intégrée dans
l’analyseur Retina.
Eléments des réponses ICMPv6 pris en considération
http://www.eeye.com/html/Products/Retina/index.html
Linux Kernel == Security Nightmare
Marcel Holtmann
Sous un intitulé se voulant provocateur, Marcel Holtmann nous propose un aperçu de l’organisation et du
travail de l’équipe de traitement des incidents touchant le noyau LINUX mise en place par l’éditeur Red Hat dont
il est membre.
Après avoir listé les quatre principales sources d’information qu’ils utilisent – une liste d’information fermée
regroupant les experts de plusieurs éditeurs, les informations fournies par le groupe kernel.org et les listes
ouvertes Full Disclosure et Bugtraq – l’auteur rappelle que l’éditeur Red Hat utilise une échelle de
classification des gravités similaire à celle définie par Microsoft (et très proche de celle que nous avons nous
même mis en place dans le cadre de nos bulletins d’alerte).
L’échelle utilisée par Red Hat et mesurant l’impact de la vulnérabilité est définie – traduction au mot près comme suit:
Critique
Ce niveau est associé aux failles qui pourraient être aisément exploitées par un attaquant
distant et conduire à une compromission du système – exécution de code arbitraire – sans
nécessiter aucune intervention de la part d’un utilisateur. Ces vulnérabilités sont typiquement
exploitées par les vers. Les failles nécessitant (pour être exploitées) un utilisateur distant
authentifié, un utilisateur local ou une configuration spécifique ne sont pas classées critiques.
Important
Ce niveau est associé aux failles qui peuvent atteindre à l’intégrité, à la confidentialité ou à la
disponibilité des ressources. Ces failles autorisent typiquement un utilisateur local à
augmenter ses privilèges, un accédant distant non authentifié à voir des ressources qui
devraient être normalement protégées par une authentification, un utilisateur distant
authentifié à exécuter des codes arbitraires ou encore un utilisateur local ou distant à
provoquer un déni de service.
Modéré
Ce niveau est associé aux failles qui pourraient être plus difficilement exploitables ou auraient
peu de chance d’être exploitées mais qui, étant donné les circonstances, pourraient conduire à
compromettre l’intégrité, la confidentialité ou la disponibilité des ressources.
Faible
Ce niveau est associé à tous les autres problèmes qui pourraient avoir un impact sur la
sécurité.
Page 18/64
Décembre 2006
La présentation se poursuit par un rappel de la stratégie d’intégration des noyaux Linux chez Red Hat, de la
politique d’information mise en place laquelle dépend principalement de la gravité des failles et du cycle de mise
à jour des noyaux. L’auteur conclut son propos par une très intéressante analyse de l’historique et du traitement
des huit failles listées ci-après et ayant été rencontrées sur les noyaux LINUX cette année.
CVE-2006-0457 Assigné 27/01/06
Denial of service or information leak in keyring handling
Candidat
Race condition in the (1) add_key, (2) request_key, and (3) keyctl functions in Linux
kernel 2.6.x allows local users to cause a denial of service (crash) or read sensitive
kernel memory by modifying the length of a string argument between the time that the
kernel calculates the length and when it copies the data into kernel memory.
CVE-2006-1864 Assigné: 19/04/06
Breaking chroot on SMB share
Candidat
Directory traversal vulnerability in smbfs in Linux 2.6.16 and earlier allows local users to
escape chroot restrictions for an SMB-mounted filesystem via "..\\" sequences, a similar
vulnerability to CVE-2006-1863.
CVE-2006-2274 Assigné: 09/05/06
Remote denial of service attack against the SCTP stack
Candidat
Linux SCTP (lksctp) before 2.6.17 allows remote attackers to cause a denial of service
(infinite recursion and crash) via a packet that contains two or more DATA fragments,
which causes an skb pointer to refer back to itself when the full message is reassembled,
leading to infinite recursion in the sctp_skb_pull function.
CVE-2006-2451 Assigné: 18/05/06
Privilege escalation through prctl()
Candidat
The suid_dumpable support in Linux kernel 2.6.13 up to versions before 2.6.17.4, and
2.6.16 before 2.6.16.24, allows a local user to cause a denial of service (disk
consumption) and possibly gain privileges via the PR_SET_DUMPABLE argument of the
prctl function and a program that causes a core dump file to be created in a directory for
which the user does not have permissions.
CVE-2006-3468 Assigné: 10/07/06
Bogus NFS request causes denial of service
Candidat
Linux kernel 2.6.x, when using both NFS and EXT3, allows remote attackers to cause a
denial of service (file system panic) via a crafted UDP packet with a V2 lookup procedure
that specifies a bad file handle (inode number), which triggers an error and causes an
exported directory to be remounted read-only.
CVE-2006-3626 Assigné: 14/07/06
Privilege escalation through /proc
Candidat
Race condition in Linux kernel 2.6.17.4 and earlier allows local users to gain root
privileges by using prctl with PR_SET_DUMPABLE in a way that causes /proc/self/environ
to become setuid root.
CVE-2006-3635 Assigné: 17/07/06
Candidat
This candidate has been reserved by an organization or individual that will use it when
announcing a new security problem. When the candidate has been publicized, the details
for this candidate will be provided
CVE-2006-4813 Assigné: 15/09/06
Information leak
Candidat
The __block_prepare_write function in fs/buffer.c for Linux kernel 2.6.x before 2.6.13
does not properly clear buffers during certain error conditions, which allows local users to
read portions of files that have been unlinked.
Mais le plus intéressant est peut être l’enseignement que tire l’auteur de ces analyses: la grande majorité de ces
vulnérabilités, exploitées localement, conduisent à un déni de service, un problème dont l’importance peut être
réduite quand seuls des utilisateurs de confiance disposent d’un compte local. Des dénis de services peuvent être
provoqués à distance ce qui conduit à un réel problème de sécurité si aucun autre mécanisme de protection n’est
mis en œuvre en amont. Les failles autorisant un gain de privilèges ou une fuite d’information posent, elles, un
réel problème sur les systèmes accueillant des utilisateurs locaux ou de ‘non confiance’.
Red Hat annonce poursuivre sa démarche de réduction des vecteurs d’attaque engagée en 2001 avec l’intégration
par défaut d’un pare-feu, de l’activation du mécanisme NoExec (NX) en 2004, de la mise en place du test de la
pile et de l’activation de SELinux en 2005 et de l’intégration de la GLibc en 2006.
http://www.redhat.com/security/updates/classification/
- Classification
http://www.pacsec.jp/psj06archive.html
- Archive des présentations 2006
SUPPORT
ENISA – WHO IS WHO DIRECTORY - SECONDE EDITION
$ Description
Un an après la première publication de son annuaire des organisations chargées de traiter les problèmes
liés à la sécurité des SI dans les différents états membres de l’Europe, l’ENISA en propose une mise à
jour (Rapport N°89 – Décembre 2005). Publiée au format PDF et dénommée ‘Who is Who Directory
on Network and Information Security’, cette nouvelle version de l’annuaire étend sa couverture aux
associations de consommateurs et aux acteurs chargés de la sensibilisation à la sécurité. Elle comporte désormais ainsi
156 pages contre 108 pour la précédente édition.
Pour la France, sont référencés les services gouvernementaux fondamentaux suivants:
Page 19/64
Décembre 2006
la DCSSI, le CFSSI, le CERTA, l’OCLCTIC ainsi que la DGME/SDAE (Direction Générale de la Modernisation de
l’Etat/Service pour le Développement de l’Administration Electronique).
Ont par ailleurs été intégrés à cette nouvelle version:
l’ARCEP, la CNIL, la DDM pour les services d’état et le CLUSIF, l’UFC Que Choisir, le CLCV, l’OR.GE.CO pour les
associations de défense des consommateurs ainsi que le projet CONFIANCE.
Sa table des matières est la suivante:
Foreword
European Time Zone Map
EU member states
Austria
France
Lithuania
Spain
Belgium
Germany
Luxembourg
Sweden
Cyprus
Greece
Malta
The Netherlands
Czech Republic
Hungary
Poland
United Kingdom
Denmark
Ireland
Portugal
Estonia
Italy
Slovakia
Finland
Latvia
Slovenia
EEA member states
Iceland
Liechtenstein
Norway
EU Institutions And Bodies
International Organisations
Country Pages On ENISA Website
ENISA Calendar Of Events
ENISA Quarterly
Updates, Comments, Corrections And Suggestions
ENISA Contacts
http://www.enisa.eu.int/pages/02_01_press_2006_12_08_who_is_who_v2.htm
http://www.enisa.eu.int/doc/pdf/deliverables/wiw_v2_2006.pdf
- Annonce de presse
- Annuaire V2.0
METHODES
NIST – ETAT DES GUIDES DE LA SERIE SP800
$ Description
Fin novembre, le NIST a publié la version finale du guide ‘Recommendation for Obtaining
Assurances for Digital Signature Applications’. Nous mettons en conséquence à jour notre liste
des documents de la série SP800.
SP800-12
SP800-18.1
SP800-21.1
SP800-26
SP800-26.1
SP800-27a
SP800-28
SP800-29
SP800-30
SP800-31
SP800-32
SP800-33
SP800-34
SP800-35
SP800-36
SP800-37
SP800-38A
SP800-38B
SP800-38C
SP800-38D
SP800-40
SP800-40-2
SP800-41
SP800-42
SP800-43
SP800-44
SP800-45A
An Introduction to Computer Security: The NIST Handbook
Guide for Developing Security Plans for Federal Information Systems
Guideline for Implementing Cryptography in the Federal Government
Security Self-Assessment Guide for Information Technology Systems
Guide for Inform. Security Program Assessments & System Reporting Form
Engineering Principles for Information Technology Security – Rev A
Guidelines on Active Content and Mobile Code
Comparison of Security Reqs for Cryptographic Modules in FIPS 140-1 & 140-2
Underlying Technical Models for Information Technology Security – Rev A
Intrusion Detection Systems
Introduction to Public Key Technology and the Federal PKI Infrastructure
Underlying Technical Models for Information Technology Security
Contingency Planning Guide for Information Technology Systems
Guide to Selecting IT Security Products
Guide to IT Security Services
Guidelines for the Security C&A of Federal Information Technology Systems
Recommendation for Block Cipher Modes of Operation – Method and Techniques
Recommendation for Block Cipher Modes of Operation – RMAC
Recommendation for Block Cipher Modes of Operation – CCM
Recommendation for Block Cipher Modes of Operation – GCM
Applying Security Patches
Creating a Patch and Vulnerability Management Program
Guidelines on Firewalls and Firewall Policy
Guidelines on Network Security testing
System Administration Guidance for Windows2000
Guidelines on Securing Public Web Servers
Guide On Electronic Mail Security
[R]
[R]
[D]
[F]
[R]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[D]
[F]
[D]
[F]
[F]
[F]
[F]
[F]
[F]
[R]
10/1995
08/2005
09/2005
11/2001
08/2005
06/2004
10/2001
10/2001
01/2004
11/2001
02/2001
12/2001
06/2002
10/2003
10/2003
04/2004
12/2001
12/2001
05/2004
04/2006
09/2002
11/2005
01/2002
10/2003
11/2002
09/2002
09/2006
Page 20/64
Décembre 2006
SP800-46
SP800-47
SP800-48
SP800-49
SP800-50
SP800-51
SP800-52
SP800-53-1
SP800-53A
SP800-54
SP800-55
SP800-56A
SP800-57
Security for Telecommuting and Broadband Communications
Security Guide for Interconnecting Information Technology Systems
Wireless Network Security: 802.11, Bluetooth™ and Handheld Devices
Federal S/MIME V3 Client Profile
Building an Information Technology Security Awareness & Training Program
Use of the Common Vulnerabilities and Exposures Vulnerability Naming Scheme
Guidelines on the Selection and Use of Transport Layer Security
Recommended Security Controls for Federal Information Systems
Guide for Assessing the Security Controls in Federal Information Systems
Border Gateway Protocol Security
Security Metrics Guide for Information Technology Systems
Pair-Wise Key Establishment Schemes Using Discrete Logarithm Cryptography
Recommendation for Key Management, Part 1: General Guideline
Recommendation for Key Management, Part 2: Best Practices
SP800-58
Security Considerations for Voice Over IP Systems
SP800-59
Guideline for Identifying an Information System as a National Security System
SP800-60
Guide for Mapping Types of Information & Information Systems to Security Categories
SP800-61
Computer Security Incident Handling Guide
SP800-63
Recommendation for Electronic Authentication
SP800-64
Security Considerations in the Information System Development Life Cycle
SP800-65
Recommended Common Criteria Assurance Levels
SP800-66
An Introductory Resource Guide for Implementing the HIPAA Security Rule
SP800-67
Recommendation for the Triple Data Encryption Algorithm (TDEA) Block Cipher
SP800-68
Guidance for Securing Microsoft Windows XP Systems for IT Professionals
SP800-69
Guidance for Securing Microsoft Windows XP Home Edition
SP800-70
The NIST Security Configuration Checklists Program
SP800-72
Guidelines on PDA Forensics
SP800-73
Integrated Circuit Card for Personal Identity Verification
SP800-73-1 Interfaces to Personal Identity Verification
SP800-76-1 Biometric Data Specification for Personal Identity Verification
SP800-77
Guide to Ipsec VPNs
SP800-78-1 Cryptographic Algorithms and Key Sizes for Personal Identity Verification
SP800-79
Guidelines for Certification & Accreditation of PIV Card Issuing Organizations
SP800-80
Guide for Developing Performance Metrics for Information Security
SP800-81
Secure Domain Name System (DNS) Deployment Guide
SP800-82
Guide to SCADA and Industrial Control Systems Security
SP800-83
Guide to Malware Incident Prevention and Handling
SP800-84
Guide to Single-Organization IT Exercises
SP800-85B PIV Middleware and PIV Card Application Conformance Test Guidelines
SP800-86
Computer, Network Data Analysis: Forensic Techniques to Incident Response
SP800-87
Codes for the Identification of Federal and Federally-Assisted Organizations
SP800-88
Guidelines for Media Sanitization
SP800-89
Recommendation for Obtaining Assurances for Digital Signature Applications
SP800-90
Random Number Generation Using Deterministic Random Bit Generators
SP800-92
Guide to Computer Security Log Management
SP800-94
Guide to Intrusion Detection and Prevention (IDP) Systems
SP800-95
Guide to Secure Web Services
SP800-96
PIV Card / Reader Interoperability Guidelines
SP800-97
Guide to IEEE 802.11i: Robust Security Networks
SP800-98
Guidance for Securing Radio Frequency Identification (RFID) Systems
SP800-100 Information Security Handbook: A Guide for Managers
SP800-101 Guidelines on Cell Phone Forensics
SP800-103 An Ontology of Identity Credentials, Part I: Background and Formulation
[F] Finalisé
[R] Pour commentaire et relecture
[*] Récemment finalisé
[D] En cours de développement
[F]
[F]
[F]
[F]
[F]
[F]
[D]
[M]
[R]
[R]
[F]
[M]
[F]
[F]
[F]
[F]
[F]
[F]
[M]
[F]
[F]
[F]
[F]
[F]
[R]
[F]
[F]
[R]
[R]
[M]
[F]
[R]
[F]
[R]
[D]
[R]
[F]
[R]
[F]
[F]
[F]
[M]
[F]
[F]
[R]
[R]
[R]
[M]
[R]
[R]
[F]
[R]
[R]
09/2002
09/2002
11/2002
11/2002
03/2003
09/2002
09/2004
12/2006
04/2006
09/2006
07/2003
05/2006
08/2005
08/2005
03/2005
08/2003
06/2004
01/2004
04/2006
07/2004
01/2005
03/2005
05/2004
10/2005
08/2006
05/2005
11/2004
01/2005
03/2006
09/2006
12/2005
07/2006
07/2005
05/2006
05/2006
09/2006
11/2005
08/2005
07/2006
08/2006
01/2006
08/2006
11/2006
06/2006
04/2006
09/2006
09/2006
07/2006
06/2006
09/2006
10/2006
09/2006
09/2006
[M] Mise à jour
http://csrc.nist.gov/publications/nistpubs/index.html
http://csrc.nist.gov/publications/nistpubs/800-89/SP-800-89_November2006.pdf
- Catalogue
- SP800-89
Page 21/64
Décembre 2006
REFERENCES
CIS - CATALOGUE DE PROCEDURES ET DE TESTS
$ Description
Le CIS – Center for Internet Security – vient d’annoncer la disponibilité d’une première
version de l’outil de validation des environnements Linux RedHat et SuSE. Le support de
l’environnement SlackWare est annoncé en cours de développement.
P1
V
Profil N°1 – minimal, conservateur
Nouvelle version
P2
M
Profil N°2 – étendu, protectionniste
Mise à jour
Recommandations Systèmes
Windows 2003 Domain controllers
Windows 2003 Member Servers
Windows XP Professional
Windows 2000 Professional
Windows 2000 Serveur
Windows 2000
Windows NT
Linux RedHat
Linux SuSE
Linux Slackware
HP-UX
FreeBSD 4.8 et plus
Solaris 2.5.1 - 9
Solaris 10
AIX 4.3.2, 4.3.3 et 5.1
Mac OS/X 10.3 et sup.
Novell OES:NetWare
P1
P1
P2
P2
P2
P1
P1
P1
P1
P1
P1
P1
P1
P1
P1
P1
P1
V1.2
V1.2
V2.01
V2.2.1
V2.2.1
V1.2.2
V1.0.5
V1.0.5
V1.0.0
V1.1.0
V1.3.1
V1.0.5
V1.3.0
V2.1.1
V1.0.1
V2.0
V1.0
Outil existant
Outil existant
Outil existant
Outil existant
Outil existant
Aucun outil prévu
Aucun outil prévu
Outil existant
Outil existant
Aucune planification
Outil existant
Outil existant
Outil existant
Outil publié
Aucune information
V1.0
V2.2
V2.2
Aucun outil prévu
Outil existant
Outil existant
V1.6
V1.1
V2.0.1
V1.0
V1.0
V1.0
V1.0
Outil existant
Outil existant
Aucune information
Recommandations Equipements réseaux
Wireless Networks
CISCO IOS routeurs
CISCO PIX
CISCO CAR
CheckPoint FW1/VPN1
P1
P1
P1
P1
P1
P2
P2
P2
P2
Recommandations Applications
Apache WEB serveur
Oracle base de donnée 8i
Oracle base de donnée 9i et 10g
Exchange Server 2003
Microsoft SQL Serveur
Bind Version 9
Novell eDirectory version 8.7
Microsoft IIS Web Serveur
P1
P1
P1
P1
P2
P2
P2
P2
P2
P1
P1
P2
Ces séries de tests sont déroulées à l’aide d’outils spécialisés pour la plate-forme cible à l’exception de la série de test
des équipements réseaux CISCO.
Outils d’application
Environnement Windows 2K/XP/2003
V Environnement RedHat et SuSE
Environnement FreeBSD
Environnement HP-UX
Environnement Solaris 10
Environnement Solaris 2.5.1- 9
Environnement CISCO
Environnement Oracle 8i
Environnement Apache
-
ng_scoring_tool-gui-1.0-win32
ng_scoring_tool-1.0
cis_score_tool_freebsd_v1.7.2
cis_score_tool_hpux_v1.5.0
cis_score_tool_solaris_v1.5.0
CISscan
CISRat
CISscan
cis_score_tool_apache_v2.0.8
exe
tar
tar
pkg
pkg
pkg
tar
java
tar
http://www.cisecurity.org/
http://www.cisecurity.org/tools2/linux/readme-public.txt
http://www.cisecurity.org/cgi-bin/cis_benchmark2.pl
V1.0
V1.0
V1.7.2
V1.5.0
V1.5.0
WIN32
V2.2
WIN32
V2.08
LINUX+JAVA
FreeBSD
HP-UX
SOLARIS
SOLARIS
UNIX
LINUX
- Accès aux tests et outils associés
- Procédure d’installation de l’outil V1.0 build 137
NSA - CATALOGUE DES GUIDES DE SECURITE
$ Description
La NSA a publié une mise à jour du guide ‘Microsoft .NET Framework Security’. Cette nouvelle version
couvre aussi la version 2.0 de l’environnement ‘.NET’ en plus des versions 1.0 et 1.1.
I
G
R
P
Document d’information et/ou de synthèse
Guide de mise en œuvre et/ou manuel d’utilisation
Recommandations et principes élémentaires
Procédures et mise en application
%
&
O
Document récemment mis à jour
Document nouvellement publié
Document obsolète
Windows 2003
Page 22/64
Décembre 2006
R
R
R
R
G
G
The Windows Server 2003 - Security Guide
Testing the Windows Server 2003 - Security Guide
Supporting the Windows Server 2003 - Security Guide
Delivering the Windows Server 2003 - Security Guide
Systems Management Server 2003 Security Guide
Exchange Server 2003 Benchmark
V2.1
V2.1
V2.1
V2.1
V1.0
V1.0
26/04/2006
26/04/2006
26/04/2006
26/04/2006
01/04/2005
-
MIC
MIC
MIC
MIC
NSA
CIS
V1.1
01/12/2003
NSA
V1.0
V1.08
19/04/2001
02/03/2001
NSA
NSA
V1.1
V1.21
V1.01
V1.0
V1.0
V1.1
V1.02
V1.02
13/10/2001
01/12/2003
26/11/2002
09/04/2001
01/01/2001
27/06/2001
01/05/2001
23/01/2001
NSA
NSA
NSA
NSA
NSA
NSA
NSA
NSA
V1.0
V1.0
06/03/2001
01/12/2000
NSA
NSA
V2.11
V2.02
V4.0
10/10/2001
10/10/2001
08/04/2002
NSA
NSA
NSA
V1.5
V1.3
V1.0
V1.0
V1.2
08/08/2002
19/07/2002
02/07/2001
13/08/2001
24/11/2003
NSA
NSA
NSA
NSA
NSA
Guide to Securing Microsoft Windows NT Networks
V4.2
18/09/2001
NSA
Guide to the Secure Configuration of Solaris 8
Guide to the Secure Configuration of Solaris 9
Apple Mac OS X v10.3.x Security configuration guide
Apple Mac OS X Server v10.3.x Security configuration guide
V1.0
V1.0
V1.1
V1.0
09/09/2003
16/07/2004
21/12/2004
08/07/2005
NSA
NSA
NSA
NSA
Router Security Configuration Guide - Executive Summary
Router Security Configuration Guide
Router Security Configuration Guide – Security for IPV6 Routers
Cisco IOS Switch Security Configuration Guide
V1.1
V1.1c
V1.0
V1.0
03/03/2006
15/12/2005
23/05/2006
21/06/2004
NSA
NSA
NSA
NSA
V1.1
-
01/10/2005
23/09/2005
NSA
NSA
V3.0
V3.0
V1.1
ND
ND
14/11/2003
07/01/2002
20/12/1999
08/02/2002
05/02/2004
NSA
NSA
NSA
NSA
NSA
Guide to the Secure Configuration and Administration of Microsoft SQL Server 2000
Guide to the Secure Configuration and Administration of Oracle9i
Benchmark for Oracle 9i/10g
V1.5
V1.2
V2.0
15/01/2003
30/10/2003
-
NSA
NSA
CIS
BEA WebLogic Platform Security Guide
Guide to the Secure Configuration & Administration of Microsoft IIS 5.0
Guide to Securing Microsoft Internet Explorer 5.5 Using Group Policy
Guide to Securing Netscape Navigator 7.02
V1.4
V1.0
V1.1
V1.0
04/04/2005
16/01/2004
07/2002
04/2003
NSA
NSA
NSA
NSA
ND
V1.73
V1.33
V1.33
V1.12
ND
03/07/2001
04/03/2002
04/03/2002
24/04/2001
NSA
NSA
NSA
NSA
Windows XP
Système
G
Guide to Securing Microsoft Windows XP
Windows 2000
Références
I
I
Microsoft Windows 2000 Network Architecture Guide
Group Policy Reference
Systèmes
G
I
P
P
P
P
P
R
Guide to Securing Microsoft Windows 2000 Group Policy
Guide to Securing Microsoft Windows 2000 Group Policy: Security Configuration Tool
Guide to Securing Microsoft Windows 2000 File and Disk Resources
Guide to Securing Microsoft Windows 2000 DNS
Guide to Securing Microsoft Windows 2000 Encrypting File System
Guide to Windows 2000 Kerberos Settings
Microsoft Windows 2000 Router Configuration Guide
Guide to Securing Windows NT/9x Clients in a Windows 2000 Network
Annuaire
I
I
Guide to Securing Microsoft Windows 2000 Schema
Guide to Securing Microsoft Windows 2000 Active Directory
Certificats
R
R
R
Guide to the Secure Config. & Admin. of Microsoft Windows 2000 Certificate Services
Guide to the Secure Config. & Admin. of Microsoft Windows 2000 Certificate Services (check)
Guide to Using DoD PKI Certificates in Outlook 2000
Services annexes
I
P
P
P
P
Guide to Secure Configuration & Administration of Microsoft ISA Server 2000
Guide to Securing Microsoft Windows 2000 DHCP
Guide to Securing Microsoft Windows 2000 Terminal Services
Microsoft Windows 2000 IPsec Guide
Guide to the Secure Configuration and Administration of Microsoft Exchange 2000
Windows NT
P
Unix
P
P
P
P
Cisco
R
P
P
P
Sans-Fils
G
G
Guidelines for the Development and Evaluation of IEEE 802.11 IDS
Recommended 802.11 Wireless Local Area Network Architecture
Contenus exécutables
O
O
O
R
R
Outlook E-mail Security in the Wake of Recent Malicious Code Incidents
Guide to the Secure Configuration and Administration of Microsoft Exchange 5
Microsoft Office 97 Executable Content Security Risks and Countermeasures
Base de données
R
R
R
Web
R
P
R
R
Documents de Support
I
O
O
O
O
Defense in Depth
Guide to the Secure Configuration & Administration of iPlanet Web Serv Ent. Ed. 4.1
Guide to the Secure Conf. and Admin. of Microsoft IIS 4.0
Guide to the Secure Conf. and Admin. of Microsoft IIS 4.0 (Checklist Format)
Secure Config. of the Apache Web Server, Apache Server V1.3.3 on Red Hat Linux 5.1
Page 23/64
Décembre 2006
R
R
R
%R
I
I
I
Microsoft NetMeeting 3.0 Security Assessment and Configuration Guide
The 60 Minute Network Security Guide
Guide to Sun Microsystems Java Plug-in Security
Guide to Microsoft .NET Framework Security
Enterprise Firewall Types
Desktop or Enterprise Firewall ?
Enterprise Firewalls in Encrypted Environments
V1.14
V2.1
V1.0
V1.5
-
05/10/2001
15/03/2006
01/04/2004
11/11/2005
01/08/2006
01/08/2006
01/08/2006
NSA
NSA
NSA
NSA
NSA
NSA
NSA
Security Guidance for Deploying IP Telephony Systems
Recommended IP Telephony Architecture
V1.0
14/02/2006
01/05/2006
NSA
NSA
VoIP
R
R
$ Complément d'information
http://www.nsa.gov/snac/
- Portail d’accès aux guides
DISA – GUIDES ET CHECKLISTS DE SECURISATION
$ Description
La DISA a publié la mise à jour des listes de contrôle Desktop, ADS, Applications, OS390, et
Windows XP, 2000 et 2003 ainsi que la checklist associée à la liste de contrôle DNS.
[11 Mise(s) à jour, 0 Nouveau(x) document(s)]
APPLICATIONS
Applications
(Services)
(s)
ESM
ERP
(PeopleSoft, SAP)
Database
(Générique + Oracle, SQL Server)
VoIP
ENVIRONNEMENTS
Access Control
Active Directory Service
Desktop
Enclave
(Périmètre)
.NET
(Draft)
Secure Remote Computing
PERIPHERIQUES RESEAUX
Sharing peripheral across the network
- Multi-Function Device (MFD) and Printer Checklist
- Keyboard, Video, and Mouse (KVM) Switch Checklist
- Storage Area Network (SAN) Checklist
- Universal Serial Bus (USB) Checklist
RESEAU
Network
Cisco
(Supplément)
Juniper
(Supplément)
IP WAN
Wireless
(Liste de contôle générique)
(Liste de contôle dédiée BlackBerry)
Wireless LAN Security Framework Addendum
Wireless LAN Site Survey Addendum
Wireless LAN Secure Remote Access Addendum
Wireless Mobile Computing Addendum
SERVICES
DNS
Web Servers
(Générique + IIS, Netscape, Apache)
SYSTEMES
OS/390 & z/OS
OS/390 Logical Partition
OS/390 RACF
OS/390 ACF2
OS/390 TSS
MacOS X
TANDEM
UNISYS
UNIX
VM IBM
SOLARIS
(2.6 à 2.9)
VMS VAX
Windows 2000
STIG
Checklist
1.1
17/01/06 PDF
1.1
1.0
7.2
2.2
05/06/06
23/06/06
30/11/05
21/04/06
PDF
PDF
PDF
PDF
1.1
1.1
3.0
3.1
05/06/06
10/03/06
01/02/06
28/07/05
PDF
PDF
PDF
PDF
1.2
10/08/05 DOC
1.1
29/07/05 PDF
2.1.9
1.1.1
21/11/06 PDF
26/09/06 PDF
1.0
7.2.1
2.2.2
01/06/06 DOC
30/06/06 ZIP
19/05/06 PDF
1.1.3
2.1.5
3.1.6
1.2
21/11/06
22/09/06
09/07/06
28/04/06
PDF
ZIP
PDF
DOC
1.1.2
1.1.2
1.1.3
1.1.2
14/04/06
14/04/06
19/05/06
06/04/06
PDF
PDF
PDF
PDF
6.4.4
6.1
6.4
2.3
4.2.1
4.2.1
21/07/06
02/12/05
02/12/05
12/08/04
25/08/06
25/08/06
PDF
PDF
PDF
PDF
DOC
DOC
6.4
16/12/05 PDF
4.2
25/08/06 PDF
2.1
1.1
1.1
1.1
31/10/05
31/10/05
31/10/05
31/10/05
3.1
6.0
19/09/06 PDF
15/07/06 PDF
3.1
5.1.3
08/12/06 PDF
17/04/06 DOC
5.2
2.2
19/09/06 PDF
04/03/05 PDF
5.1.1
2.1.4
5.2.1
5.2.1
5.2.1
1.1.3
2.1.2
7.1.2
5.1
2.1.2
2.2.3
5.1.6
04/06
04/06
21/11/06
21/11/06
21/11/06
28/04/06
17/04/06
17/04/06
15/09/06
04/06
20/01/04
17/04/06
29/09/06
1.1
2.2
7.2
5.1
2.2
15/06/04
04/03/05
28/08/06
28/03/06
04/03/05
M
M
M
PDF
PDF
PDF
PDF
PDF
PDF
PDF
PDF
PDF
DOC
DOC
DOC
DOC
DOC
DOC
DOC
PDF
DOC
DOC
DOC
DOC
DOC
M
M
M
M
M
Page 24/64
Décembre 2006
Windows 2003
Windows XP
Windows NT
Windows NT/2000/XP Addendum
TECHNOLOGIES
Biométrie
SPECIFIQUE DoD
Backbone transport
Secure telecommunication Red switch network
Defense switch network
N Nouveau
M Mis à jour
1.8
3.1
5.1
12/01/03 PDF
26/12/02 DOC
21/09/05 PDF
1.3
10/11/05 PDF
1.1
1.1
2.3
05/06/06 PDF
26/03/06 PDF
30/04/06 PDF
29/09/06 DOC
29/09/06 DOC
28/07/06 DOC
1.3.1
31/10/05 DOC
2.3.2
01/05/06
M
M
R
R
R
R Accès restreint
http://iase.disa.mil/stigs/index.html
http://iase.disa.mil/stigs/stig/index.html
http://iase.disa.mil/stigs/checklist/index.html
LA
5.1.6
5.1.6
4.1.21
- Pages d’accueil
- STIG
- Checklists
LEGISLATION
FR – SUR LES INFRACTIONS COMMISES PAR UN MOYEN DE COMMUNICATION ELECTRONIQUE
$ Description
Le projet de loi relatif à la prévention de la délinquance voté en septembre dernier par le Sénat a été
adopté par l’Assemblé Nationale le 5 décembre. Le texte modifié en première lecture de ce projet de loi est
renvoyé en seconde lecture au Sénat. Il porte modification d’articles présents dans plus de douze codes
dont le code pénal et le code civil mais aussi de plusieurs lois dont la loi n°78-17 du 6 janvier 1978 relative
à l'informatique, aux fichiers et aux libertés
Contrairement à ce que l’intitulé - ‘Infractions sur internet : davantage de pouvoirs à la police et la justice’ de l’article publié par le site Legalis pourrait laisser entendre, le terme Internet n’apparaît nullement dans la dernière
version du texte du projet de loi. Tout au plus est-il fait mention de ‘communications électroniques’ ou
‘d’échanges électroniques’.
Les modifications, ou ajouts d’articles intéressant le domaine de la sécurité de l’information, et plus largement le
domaine des systèmes d’information, sont:
- Concernant la liberté de la presse (loi du 29 juillet 1881):
Un nouvel article spécifiant la possibilité pour le ministère public, et de toute personne physique ou morale ayant
intérêt à agir, de faire prononcer par le juge des référés l'arrêt d'un service de communication au public en ligne
mettant à disposition des messages ou informations constituant un trouble manifestement illicite au titre des
infractions définies par les articles 24 et 24bis - Provocation aux crimes et délits - de la loi sur la liberté de la
presse.
- Concernant l'économie numérique (loi 2004-575 du 21 juin 200):
Un nouvel article imposant la signalisation, par les fournisseurs d’accès à leurs abonnés, des services de
communication au public tenus pour répréhensibles par les autorités publiques compétentes en la matière et leur
information vis-à-vis des risques encourus par eux du fait d'actes de jeux réalisés en violation de la loi.
- Concernant le code de procédure pénale:
Deux nouveaux articles autorisant les officiers ou agents de police judiciaire agissant au cours d’un enquête, ou sur
commission rogatoire, à participer aux échanges électroniques sous un pseudonyme, d’entrer en contact avec des
auteurs potentiels d’infraction et d’extraire et conserver les contenus illicites dans le cas d’infractions (1) liées à la
traite des êtres humains (art. 225-4-1 à -4-9) et au proxénétisme (art. 225-5 à -12 et 225-12-1 à -12-4)
mais aussi (2) à la mise en péril des mineurs (art. 227-18 à -24)
http://www.assemblee-nationale.fr/12/dossiers/prevention_delinquance.asp
http://www.senat.fr/dossierleg/pjl05-433.html
http://www.assemblee-nationale.fr/12/cra/2006-2007/079.asp
http://www.assemblee-nationale.fr/12/ta/ta0623.asp
- Dossier Assemblée Nationale
- Dossier au SENAT
- Compte-rendu analytique, séance du 05/12
- Texte modifié en 1ere lecture
CISSI - ORIENTATION DES TRAVAUX DE RECHERCHE ET DEVELOPPEMENT EN MATIERE DE SECURITE DES SI
$ Description
Fin novembre, la DCSSI rendait publique l’édition 2006 du rapport « Orientation Des Travaux De
Recherche et Développement en Matière de Sécurité des Systèmes d’information » établi par
la Commission Interministérielle pour la Sécurité des Systèmes d'Information (CISSI).
Ce rapport est destiné à fournir les éléments de réflexion nécessaires à l’établissement de l’orientation
des choix stratégiques de R&D dans le domaine de la sécurité des systèmes d’information.
L’analyse des domaines techniques devant être maîtrisés s’appuie sur l’analyse préalable des enjeux actuels de la
sécurité des SI et des évolutions susceptibles d’avoir un impact conséquent sur la sécurité. Quatre enjeux sont ainsi
Page 25/64
Décembre 2006
listés dans le premier volet du rapport:
- la souveraineté nécessaire à la conservation du contrôle du développement de la société de l’information par l’Etat
et conduisant à devoir «maîtriser les différents aspects de la conception et de l’évaluation de la sécurité des
échanges électroniques»,
- la protection de la vie privée condition fondamentale à l’acceptation du développement des actes électroniques et
à l’amélioration de la confiance de la société dans le numérique,
- la disponibilité ici entendue au sens large en y incluant les besoins d’intégrité et d’authenticité des services
constituant avec les réseaux informatiques le fondement des sociétés modernes,
- l’imputabilité des accès aux réseaux téléphoniques et informatiques qui permettra de remonter aux utilisateurs
mal intentionnés lesquels ne pourront plus impunément atteindre aux services proposés sur l’Internet.
Le rapport détaille plus particulièrement, dans le second volet, cinq évolutions qu’il convient de prendre en compte:
l’archivage des données, l’administration et la supervision, l’identité numérique et le nomadisme, les flux multi
médias et enfin les dispositifs sans fil ou sans contact.
Le dernier volet propose une analyse des technologies importantes en matière de sécurité qu’il conviendrait de
maîtriser, technologies organisées en quatre domaines: fondation de la sécurité des systèmes d’information,
architecture des systèmes, nouvelles technologies et outils théoriques.
La table des matières de ce rapport de 12 pages est la suivante:
1 Introduction
2 Les enjeux actuels de la sécurité des systèmes d’information
2.1 la souveraineté
2.2 la protection de la vie privée
2.4 la disponibilité
2.4 l’imputabilité des accès
3 Evolutions en cours ayant un impact sur la sécurité
3.1 Archivage de données
3.2 Administration et Supervision
3.3 Identité numérique et Nomadisme
3.4 les Flux multimédia
3.5 les Dispositifs «Sans fils» ou «Sans contact»
4 L’analyse des domaines techniques à maîtriser
4.1 Fondation de la sécurité des systèmes d’information
4.1.1 Système d’exploitation
4.1.2 Format des données – protocoles – interopérabilité de la sécurité
4.1.3 Cryptographie et architectures de gestion de clés
4.2 Architectures des systèmes
4.2.1 Architectures des produits
4.2.2 Architectures diversifiées
4.2.3 Sécurité des systèmes auto-organisants
4.2.4 Evolution des paradigmes de sécurité
4.2.5 Fédération d’identités
4.3 Nouvelles technologies
4.3.1 Electronique et micro-électronique
4.3.2 Stéganographie
4.3.3 Biométrie
4.4 Outils théoriques
4.4.1 Sûreté de fonctionnement
4.4.2 Ergonomie de la sécurité
4.4.3 Méthodes formelles et certification
4.4.4 Supervision
http://www.ssi.gouv.fr/fr/index.html
http://www.legifrance.gouv.fr/texteconsolide/PRHGW.htm
http://www.ssi.gouv.fr/fr/sciences/fichiers/rapports/rapport_orientation_ssi_2006.pdf
http://www.csti.pm.gouv.fr/elements/RappCGTI30mars06_Suivi_AvisCSTI30mars05.pdf
- Annonce
- Rôle de la CISSI
- Rapport CISSI
- Rapport CSTI
Page 26/64
Décembre 2006
L
LO
OG
LIIB
GIIC
BR
RE
CIIE
ES
S
EL
LS
SL
LES
SERVICES DE BASE
Les dernières versions des services de base sont rappelées dans les tableaux suivants. Nous conseillons
d’assurer rapidement la mise à jour de ces versions, après qualification préalable sur une plate-forme
dédiée.
RESEAU
Nom
' BIND
DHCP
NTP4
OpenNTPD
Fonction
Ver.
Gestion de Nom (DNS) 9.3.3
8.4.7
Serveur d’adresse
3.0.4
Serveur de temps
4.2.2
Serveur de temps
3.9
Date
Source
05/12/06
21/12/05
05/05/06
08/06/06
15/05/06
http://www.isc.org/
http://www.isc.org/
http://ntp.isc.org/bin/view/Main/SoftwareDownloads
http://www.openntpd.org/
MESSAGERIE
Nom
Fonction
Ver.
Relevé courrier
Relevé courrier
Relevé courrier
Serveur de courrier
2006d
4.0.9
1.0.2
8.13.8
Nom
Fonction
Ver.
APACHE
1.3.37
2.0.59
2.2.3
API SSL Apache 1.3.36 2.8.28
Base SQL
5.1.14
Cache WEB
2.6s6
' IMAP4
POP3
POPA3D
SENDMAIL
Date
Source
13/12/06
21/03/06
23/05/06
09/08/06
ftp://ftp.cac.washington.edu/imap/
ftp://ftp.qualcomm.com/eudora/servers/unix/popper/
http://www.openwall.com/popa3d/
ftp://ftp.sendmail.org/pub/sendmail/
WEB
ModSSL
' MySQL
' SQUID
Serveur WEB
Date
Source
27/07/06
27/07/06
27/06/06
28/08/06
05/12/06
12/12/06
http://httpd.apache.org/dist
http://www.modssl.org
http://dev.mysql.com/doc/refman/5.1/en/news.html
http://www.squid-cache.org
AUTRE
Nom
INN
OpenCA
' OpenLDAP
Samba
' Tor
LES
Fonction
Ver.
Gestion des news
Gestion de certificats
Gestion de l’annuaire
Gestion de fichiers
Anonymat
2.4.3
0.9.3
2.3.31
3.0.23d
0.1.1.26
Date
Source
22/03/06
10/10/06
17/12/06
15/11/06
17/12/06
http://www.isc.org/
http://pki.openca.org/projects/openca/downloads.shtml
ftp://ftp.openldap.org/pub/OpenLDAP/openldap-release/
http://us1.samba.org/samba/
http://tor.eff.org/download.html
OUTILS
Une liste, non exhaustive, des produits et logiciels de sécurité du domaine public est proposée dans les
tableaux suivants.
LANGAGES
Nom
Fonction
Ver.
Perl
Python
Ruby
PHP
Scripting
Scripting
Scripting
WEB Dynamique
5.8.8
2.5
1.8.5
4.4.4
5.2.0
Date
Source
10/02/06
19/09/06
25/08/06
17/08/06
02/11/06
http://www.cpan.org/src/README.html
http://www.python.org/download/
http://www.ruby-lang.org/en/downloads/
http://www.php.net/downloads.php
ANALYSE RESEAU
Nom
Fonction
Ver.
Dsniff
EtterCap
Ethereal
Nstreams
SamSpade
TcpDump
Libpcap
TcpFlow
WinPCap
Boîte à outils
Analyse & Modification
Analyse multiprotocole
Générateur de règles
Boîte à outils
Analyse multiprotocole
Acquisition Trame
Collecte données
Acquisition Trame
2.3
0.7.3
0.99.4
1.0.3
1.14
3.9.5
0.9.5
0.21
3.1
Date
Source
17/12/00
29/05/05
31/10/06
06/08/02
10/12/99
19/09/06
19/09/06
07/08/03
05/08/05
http://www.monkey.org/~dugsong/dsniff
http://ettercap.sourceforge.net/index.php?s=history
http://www.wireshark.org/
http://www.ethereal.com/
http://www.hsc.fr/ressources/outils/nstreams/download/
http://www.samspade.org/ssw/
http://www.tcpdump.org/
http://www.tcpdump.org/
http://www.circlemud.org/~jelson/software/tcpflow/
http://www.winpcap.org/news.htm
Page 27/64
Décembre 2006
ANALYSE DE JOURNAUX
Nom
Fonction
Ver.
Analog
fwLogWatch
OSSIM
SnortSnarf
WebAlizer
Journaux serveur http
Analyse log
Console de gestion
Analyse Snort
Journaux serveur http
6.00
1.1
0.9.9rc3
050314.1
2.01-10
Date
Source
19/12/04
17/04/06
22/09/06
05/03/05
24/04/02
http://www.analog.cx
http://cert.uni-stuttgart.de/projects/fwlogwatch/
http://www.ossim.net/
http://www.snort.org/dl/contrib/data_analysis/snortsnarf/
http://www.mrunix.net/webalizer/download.html
ANALYSE DE SECURITE
Nom
Fonction
Ver.
curl
FIRE
Nessus
Analyse http et https
Boîte à outils
Vulnérabilité réseau
7.16
0.4a
2.2.9
3.0.4
1.8
1.35
4.20
6.3.3
7.0.4a
1.63.1
1.0
2.3
Helix
Nikto
' nmap
' Saint
' Sara
Wikto
Whax
Whisker
Boîte à outils
Boîte à outils
LibWhisker
Date
Source
30/10/06
14/05/03
30/10/06
30/10/06
06/10/06
20/05/05
11/12/06
13/12/06
22/12/06
29/03/06
26/05/06
22/08/05
http://curl.haxx.se/
http://sourceforge.net/projects/biatchux/
http://www.nessus.org
http://www.nessus.org
http://www.e-fense.com/helix/
http://www.cirt.net/nikto/
http://www.insecure.org/nmap/nmap_changelog.html
http://www.saintcorporation.com/resources/updates.html
http://www.www-arc.com/sara/downloads/
http://www.sensepost.com/research/wikto/
http://www.remote-exploit.org/index.php/BackTrack
http://www.wiretrip.net/rfp/lw.asp
CONFIDENTIALITE
Nom
' GPG
GPG4Win
GPG S/MIME
LibGCrypt
Fonction
Ver.
Signature/Chiffrement
2.0.1
1.0.6
1.9.20
1.2.3
Date
Source
06/12/06
29/08/06
20/12/05
29/08/06
http://www.gnupg.org/(fr)/news.html
CENT D’ACCES RESEAU
Nom
Fonction
Ver.
Date
Xinetd
Inetd amélioré
2.3.14
24/10/05 http://www.xinetd.org/
Source
Date
CENT D’INTEGRITE
Nom
Fonction
Ver.
RootKit hunt
ChkRootKit
RKRevealer
Compromission UNIX
Compromission UNIX
Compromission WIN
1.2.7
0.47
1.71
Source
24/05/05 http://www.rootkit.nl
10/10/06 http://www.chkrootkit.org/
01/11/06 http://www.microsoft.com/technet/sysinternals/default.mspx
DETECTION D’INTRUSION
Nom
P0f
' Snort
Shadow
Fonction
Ver.
Identification passive
IDS Réseau
IDS Réseau
2.0.8
2.6.1.2
1.8
Date
Source
06/09/06 http://lcamtuf.coredump.cx/p0f.shtml
07/12/06 http://www.snort.org/dl/
30/04/03 http://www.nswc.navy.mil/ISSEC/CID/
GENERATEURS DE TEST
Nom
' NetDude &all
' Scapy
Fonction
Ver.
Rejeu de paquets
Génération de paquet
0.4.7
1.0.5.20
Fonction
Ver.
PareFeu FreeBsd
Filtre datagramme
Pare-Feu IpTables
4.0
4.1.16
1.3.7
Date
Source
16/11/06 http://netdude.sourceforge.net/download.html
12/12/06 http://www.secdev.org/projects/scapy/files/scapy.py
PARE-FEUX
Nom
DrawBridge
' IpFilter
' NetFilter
Date
Source
23/04/04 http://drawbridge.tamu.edu
12/12/06 http://coombs.anu.edu.au/ipfilter/ip-filter.html
04/12/06 http://www.netfilter.org/projects/iptables/downloads.html
TUNNELS
Nom
CIPE
http-tunnel
OpenSSL
OpenSSH
OpenSwan
PuTTY
' Stunnel
TeraTerm Pro
Zebedee
Fonction
Ver.
Pile Crypto IP (CIPE)
Encapsulation http
Pile SSL
Pile SSH 1 et 2
Pile IPSec
Terminal SSH2
Proxy https
Terminal SSH2
Tunnel TCP/UDP
1.6
3.0.5
0.9.8d
4.5
2.4.7
0.58
4.20
3.1.3
2.4.1a
Date
Source
04/08/04
06/12/00
28/09/06
07/11/06
14/11/06
05/04/05
30/11/06
08/10/02
06/09/05
http://sites.inka.de/sites/bigred/devel/cipe.html
http://www.nocrew.org/software/httptunnel.html
http://www.openssl.org/
http://www.openssh.com/
http://www.openswan.org/code/
http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
http://www.stunnel.org
http://www.ayera.com/teraterm/
http://www.winton.org.uk/zebedee/
Page 28/64
Décembre 2006
N
NO
OR
STTA
RM
AN
ME
ND
ES
DA
SE
AR
RD
ET
DS
TS
S
LES
LES
PUBLICATIONS DE L’IETF
RFC
Du 29/11/2006 au 27/12/2006, 37 RFC ont été publiés dont 10 RFC ayant trait à la sécurité.
RFC TRAITANT DE LA SECURITE
Thème
CRYPTO
CT-KIP
DoS
EAP
IKE
KERB
SSH
Num Date Etat Titre
4757
4772
4758
4732
4746
4763
4739
4752
4768
4742
12/06
12/06
11/06
12/06
11/06
11/06
11/06
11/06
12/06
12/06
Inf
Inf
Inf
Inf
Inf
Inf
Exp
Pst
Inf
Pst
The RC4-HMAC Kerberos Encryption Types Used by Microsoft Windows
Security Implications of Using the Data Encryption Standard (DES)
Cryptographic Token Key Initialization Protocol (CT-KIP) Version 1.0 Revision 1
Internet Denial-of-Service Considerations
Extensible Authentication Protocol (EAP) Password Authenticated Exchange
Extensible Authentication Protocol Method for Shared-secret Authentication and Key Establishment
Multiple Authentication Exchanges in the Internet Key Exchange (IKEv2) Protocol
The Kerberos V5 ("GSSAPI") Simple Authentication and Security Layer (SASL) Mechanism
Desired Enhancements to Generic Security Services Application Program Interface Version 3 Naming
Using the NETCONF Configuration Protocol over Secure SHell (SSH)
RFC TRAITANT DE DOMAINES CONNEXES A LA SECURITE
Thème
SIP
Num Date Etat Titre
4740
11/06 Pst
Diameter Session Initiation Protocol (SIP) Application
AUTRES RFC
Thème
ECN
ENUM
Num Date Etat Titre
4774
4725
4759
IANA
4769
4773
4775
4786
IBM
4777
IP
4727
4737
4755
MIB
4639
4682
4706
4747
MIME
4723
MPLS
4717
4783
NETCONF 4741
4743
4744
OSPF
4750
RFC1264 4794
RTP
4733
SDP
4756
SIP
4734
SNMP
4789
URN
4729
LES
11/06
11/06
12/06
11/06
12/06
12/06
12/06
11/06
11/06
11/06
12/06
12/06
12/06
11/06
11/06
12/06
12/06
12/06
12/06
12/06
12/06
12/06
12/06
12/06
11/06
12/06
11/06
11/06
BCP
Inf
Pst
Pst
Inf
BCP
BCP
Inf
Pst
Pst
Pst
Pst
Pst
Pst
Pst
Inf
Pst
Pst
Pst
Pst
Pst
Pst
Inf
Pst
Pst
Pst
Pst
Inf
Specifying Alternate Semantics for the Explicit Congestion Notification (ECN) Field
ENUM Validation Architecture
The ENUM Dip Indicator Parameter for the "tel" URI
IANA Registration for an Enumservice Containing PSTN Signaling Information
Administration of the IANA Special Purpose IPv6 Address Block
Procedures for Protocol Extensions and Variations
Operation of Anycast Services
IBM's iSeries Telnet Enhancements
Experimental Values In IPv4, IPv6, ICMPv4, ICMPv6, UDP, and TCP Headers
Packet Reordering Metrics
IP over InfiniBand: Connected Mode
Cable Device MIB for DOCSIS Compliant Cable Modems and Cable Modem Termination Systems
MTAMIB for PacketCable- and IPCablecom-Compliant Devices
Definitions of Managed Objects for Asymmetric Digital Subscriber Line 2 (ADSL2)
The Virtual Fabrics MIB
Registration of Media Type audio/mobile-xmf
Encapsulation Methods for Transport of Asynchronous Transfer Mode (ATM) over MPLS Networks
GMPLS - Communication of Alarm Information
NETCONF Configuration Protocol
Using NETCONF over the Simple Object Access Protocol (SOAP)
Using the NETCONF Protocol over the Blocks Extensible Exchange Protocol (BEEP)
OSPF Version 2 Management Information Base
RFC 1264 Is Obsolete
RTP Payload for DTMF Digits, Telephony Tones, and Telephony Signals
Forward Error Correction Grouping Semantics in Session Description Protocol
Definition of Events for Modem, Fax, and Text Telephony Signals
Simple Network Management Protocol (SNMP) over IEEE 802 Networks
A Uniform Resource Name (URN) Namespace for the Near Field Communication (NFC) Forum
DRAFTS
Du 29/11/2006au 27/12/2006, 166 drafts ont été publiés : 123 drafts mis à jour, 43
nouveaux drafts, dont 9 drafts ayant directement trait à la sécurité.
NOUVEAUX DRAFTS TRAITANT DE LA SECURITE
Thème
Nom du Draft
Date Titre
CAPWAP
HOKEY
IKE
draft-ye-capwap-fbsskey-distribution-ps-00
draft-clancy-hokey-reauth-ps-00
draft-friedman-ike-short-term-certs-00
21/12 Problem statement of key distribution for 802.11r using CAPWAP
19/12 Handover Key Management Re-authentication Problem Statement
29/11 Short-Term Certificates
Page 29/64
Décembre 2006
RFC4285
SIP
SMIME
SRTP
TLS
TLS
draft-vidya-rfc4285-security-analysis-00
draft-ietf-sipping-ipv6-torture-tests-00
draft-ietf-smime-multisig-00
draft-smahajan-srtp-selective-encryption-00
draft-rescorla-tls-suiteb-00
draft-rescorla-tls-opaque-prf-input-00
19/12
29/11
19/12
21/12
14/12
14/12
Security Analysis of RFC4285
SIP Torture Test Messages for Internet Protocol Version 6 (IPv6)
Multiple Signatures in S/MIME
Selective Encryption Support in SRTP
SuiteB CipherSuites for TLS
Opaque PRF Inputs for TLS
MISE A JOUR DE DRAFTS TRAITANT DE LA SECURITE
Thème
Nom du Draft
Date Titre
DHCP
DNS
draft-ietf-dhc-paa-option-05
draft-ietf-dnsext-trustupdate-timers-05
draft-ietf-dnsext-rollover-requirements-04
draft-barany-eap-gee-04
draft-ietf-geopriv-policy-09
draft-ietf-rtgwg-rfc3682bis-08
draft-martin-ibcs-02
draft-ietf-mip6-ikev2-ipsec-08
draft-ietf-opes-smtp-security-02
draft-ietf-opsec-efforts-05
draft-ietf-pkix-scvp-29
draft-ietf-pkix-srvsan-04
draft-zorn-radius-keywrap-11
draft-siemborski-rfc1734bis-07
draft-siemborski-rfc2554bis-06
draft-ietf-smime-ibearch-02
draft-ietf-tcpm-syn-flood-01
draft-altman-telnet-starttls-02
draft-altman-telnet-rfc2941bis-02
draft-altman-tls-channel-bindings-01
draft-santesson-tls-gssapi-01
draft-ietf-tls-srp-13
18/12
30/11
29/11
20/12
11/12
14/12
21/12
18/12
18/12
22/12
22/12
12/12
14/12
15/12
13/12
20/12
11/12
15/12
15/12
15/12
18/12
13/12
19/12
18/12
EAP
GEOPRIV
GTSM
IBCS
IPV6
OPES
OPSEC
PKIX
RADIUS
RFC1734
RFC2554
SMIME
TCP
TELNET
TLS
DHCP options for PANA Authentication Agents
Automated Updates of DNSSEC Trust Anchors
Requirements related to DNSSEC Trust Anchor Rollover
3GPP2 Generic EAP Encapsulation (GEE) Protocol
Format for Expressing Privacy Preferences for Location Inform.
The Generalized TTL Security Mechanism (GTSM)
Supersingular Curve Implement. of the BF & BB1 Cryptosystems
Mobile IPv6 Operation with IKEv2 and the revised IPsec Arch.
Integrity, privacy and security in OPES for SMTP
Security Best Practices Efforts and Documents
Server-based Certificate Validation Protocol (SCVP)
PKI Subject Alternative Name for expression of service name
RADIUS Attributes for Key Delivery
POP3 SASL Authentication Mechanism
SMTP Service Extension for Authentication
Identity-based Encryption Architecture
TCP SYN Flooding Attacks and Common Mitigations
Telnet START-TLS Option
Telnet Authentication Option
Telnet Authentication: Kerberos Version 5
Telnet Authentication: SRP
On the Use of Channel Bindings to Secure Channels
GSS-API Extension for Transport Layer Security (TLS)
Using SRP for TLS Authentication
DRAFTS TRAITANT DE DOMAINES CONNEXES A LA SECURITE
Thème
Nom du Draft
Date Titre
DHCP
DIAMETER
IDR
IPV6
LDAP
draft-shen-dhc-block-alloc-03
draft-ietf-dime-rfc3588bis-00
draft-adan-idr-tidr-01
draft-padmakumar-mip6-mipv…creditcards-00
draft-wahl-ldap-p3p-03
draft-wahl-ldap-subtree-source-01
draft-akhter-bmwg-mpls-meth-02
draft-ietf-syslog-sign-20
draft-ietf-syslog-device-mib-12
draft-ietf-syslog-protocol-19
21/12
12/12
11/12
21/12
12/12
12/12
11/12
11/12
21/12
30/11
MPLS
SYSLOG
DHCP Proxy Server Micro-block Allocation Scheme For IP Address
Diameter Base Protocol
Tunneled Inter-domain Routing (TIDR)
Multi-homed VPN Model for Automating Credit / Debit Cards
P3P Policy Attributes for LDAP
LDAP Subtree Data Source URI Attribute
MPLS Benchmarking Methodology
Signed syslog Messages
Syslog Management Information Base
The syslog Protocol
AUTRES DRAFTS
Thème
Nom du Draft
Date Titre
ASN.X
draft-legg-xed-asd-07
draft-legg-xed-rxer-07
draft-legg-xed-rxer-ei-04
draft-legg-xed-asd-xerei-03
draft-legg-xed-asd-gserei-03
draft-terrell-cidr-net-desc...-iptx-add-spc-12
draft-ietf-dhc-dhcpv6-opt-dnsdomain-04
draft-ietf-dhc-dhcpv6-agentopt-delegate-02
draft-ietf-dhc-timezone-option-05
draft-ietf-ecrit-dhc-lost-discovery-00
draft-farah-adntf-adns-guidelines-02
draft-ietf-tsvwg-admitted-realtime-dscp-00
draft-irtf-dtnrg-arch-08
draft-ietf-eai-framework-04
draft-ietf-ecrit-mapping-arch-01
draft-diao-eipv4-01
draft-ietf-enum-branch-location-record-02
draft-ietf-enum-combined-03
draft-kalin-geant-urn-namespace-01
draft-thomson-geopriv-geo-shape-03
draft-schulzrinne-geopriv-relo-02
draft-thomson-geopriv-3825bis-00
draft-iab-raws-report-00
draft-iab-publication-00
22/12
22/12
22/12
22/12
22/12
22/12
13/12
30/11
29/11
11/12
20/12
15/12
15/12
13/12
18/12
29/11
12/12
15/12
29/11
13/12
18/12
13/12
15/12
22/12
CIDR
DHCP
DNS
DSCP
DTNRG
EAI
ECRIT
EIPV4
ENUM
GEANT
GEOPRIV
IAB
Abstract Syntax Notation X (ASN.X)
RXER for Abstract Syntax Notation One (ASN.1)
Encoding Instructions for the Robust XML Encoding Rules (RXER)
ASN.X Representation of Encoding Instructions for XER
ASN.X Representation of Encoding Instructions for GSER
CIDR Network Descriptor expands the size of the IPtX Address
Domain Suffix Option for DHCPv6
DHCPv6 Relay Agent Assignment Notification (RAAN) Option
A Timezone Option for DHCP
DHCP based LoST Discovery Procedure
Guidelines for an Arabic Domain Name System (ADNS)
An EF DSCP for Capacity-Admitted Traffic
Delay-Tolerant Networking Architecture
Overview and Framework for Internationalized Email
Location-to-URL Mapping Architecture and Framework
Source Route Based Extensible IP Network (EIPv4)
The ENUM Branch Location Record
Combined User and Infrastructure ENUM in the e164.arpa tree
A URN Namespace for GEANT
Geodetic Shapes for the Representation of Uncertainty in PIDF-LO
RELO: Retrieving End System Location Information
DHCP Option for Geodetic Location Information
Report from the IAB Workshop on Routing and Addressing
Process for Publication of IAB RFCs
Page 30/64
Décembre 2006
draft-klensin-norm-ref-02
draft-klensin-rfc-independent-05
draft-crispin-comparator-unicode-00
draft-jpbedell-information-currency-trading-00
IANA
draft-eddy-dtn-sdnv-02
ICMP
draft-bonica-internet-icmp-14
IDR
draft-lefaucheur-idr-v4nlri-v6nh-01
IMAP
draft-ietf-imapext-i18n-08
draft-karp-imap-comment-00
IMG
draft-greifenberg-mmusic-img-urn-03
IPFIX
draft-muenz-ipfix-configuration-01
IPPM
draft-ietf-ippm-bw-capacity-04
draft-ietf-ippm-twamp-02
draft-morton-ippm-delay-var-as-01
IPV4
draft-antoine-mip4-lowlatency-...s-00
IPV6
draft-ietf-16ng-ipv6-over-ipv6cs-03
draft-ietf-16ng-ip-over-....-802.16-00
draft-ietf-6lowpan-format-08
draft-ietf-6lowpan-problem-06
draft-ooms-v6ops-bgp-tunnel-07
draft-ietf-mip6-bootstrapping-split-04
draft-ietf-mip6-ha-switch-02
draft-ietf-mip6-experimental-messages-00
draft-ietf-mip6-vsm-00
draft-ietf-mipshop-cga-cba-02
draft-xia-16ng-end-01
draft-zengxing-ipng-00
draft-ietf-shim6-failure-detection-07
draft-ietf-v6ops-ent-analysis-07
iSCSI
draft-ietf-ips-iwarp-da-05
ISMS
draft-ietf-isms-tmsm-05
L2TP
draft-ietf-l2tpext-failover-11
LTANS
draft-ietf-ltans-reqs-10
LTRU
draft-ietf-ltru-4646bis-02
MANET
draft-templin-autoconf-dhcp-03
MBONED
draft-ietf-mboned-lightweight-igmpv3-...-00
MPLS
draft-ietf-ccamp-automesh-03
draft-ietf-ccamp-te-node-cap-04
draft-ietf-ccamp-pc-and-sc-reqs-00
draft-ietf-ccamp-mpls-gmpls-...-reqts-00
draft-ietf-ccamp-inter-...-recovery-analysis-00
draft-ietf-mpls-icmp-07
draft-ietf-mpls-upstream-label-01
draft-ietf-mpls-number-0-bw-te-lsps-05
draft-ietf-mpls-p2mp-te-mib-01
draft-eusebio-mpls-els-00
MULLINK draft-iab-multilink-subnet-issues-02
NAME
draft-kyungsoo-name-urn-01
NETCONF draft-ietf-netconf-notification-05
NS
draft-regnauld-ns-communication-00
NSIS
draft-ietf-nsis-qspec-13
OSPF
draft-ietf-ospf-mt-07
draft-ietf-ospf-ospfv3-update-14
PCE
draft-ietf-pce-pcep-04
draft-ietf-pce-brpc-02
draft-ietf-pce-disco-proto-isis-01
draft-ietf-pce-disco-proto-ospf-01
draft-ietf-pce-disc-mib-00
draft-ietf-pce-tc-mib-00
PIM
draft-ietf-pim-mib-v2-09
RBRIDGES draft-ietf-trill-rbridge-protocol-01
RFC
draft-iab-rfc-editor-02
RFC2413 draft-kunze-rfc2413bis-05
ROHC
draft-ietf-rohc-tcp-15
draft-ietf-rohc-formal-notation-13
draft-ietf-rohc-rfc3095bis-framework-04
RTG
draft-andersson-rtg-gmpls-change-07
RTGWG
draft-ietf-rtgwg-ordered-fib-00
draft-ietf-rtgwg-ipfrr-notvia-addresses-00
draft-ietf-rtgwg-lf-conv-frmwk-00
RTP
draft-ietf-avt-rtp-hdrext-08
draft-ietf-avt-smpte-rtp-07
draft-ietf-avt-rtp-howto-01
draft-ietf-avt-rtp-toffset-04
draft-hdesinen-avt-rtp-evrc-wb-00
RTSP
draft-einarsson-mmusic-rtsp-macuri-01
draft-lohmar-mmusic-rtsp-flute-01
19/12
22/12
29/11
20/12
11/12
12/12
19/12
20/12
30/11
19/12
21/12
30/11
30/11
29/11
15/12
18/12
14/12
13/12
11/12
12/12
19/12
20/12
20/12
20/12
12/12
11/12
14/12
13/12
11/12
12/12
14/12
30/11
14/12
19/12
22/12
20/12
11/12
19/12
19/12
21/12
22/12
12/12
12/12
12/12
29/11
19/12
12/12
22/12
20/12
19/12
13/12
30/11
20/12
13/12
15/12
12/12
12/12
11/12
11/12
19/12
14/12
22/12
18/12
11/12
12/12
30/11
29/11
12/12
13/12
13/12
15/12
15/12
15/12
15/12
29/11
21/12
19/12
A Process Experiment in Normative Reference Handling
Independent Submissions to the RFC Editor
Internet Application Protocol Simple Unicode Comparator
Information Currency Trading Documents and Operations
Using Self-Delimiting Numeric Values in Protocols
Modifying ICMP to Support Multi-part Messages
Advertising an IPv4 NLRI with an IPv6 Next Hop
Internet Message Access Protocol Internationalization
The IMAP COMMENT Extension
Identifiers for Internet Media Guides (IMG)
Configuration Data Model for IPFIX and PSAMP
Defining Network Capacity
A Two-way Active Measurement Protocol (TWAMP)
Packet Delay Variation Applicability Statement
Using Higher Layer Triggers for Low Latency Handoffs in MIPv4
IPv6 Over the IP Specific part of the Packet Convergence sublayer
Transmission of IP over Ethernet over IEEE 802.16 Networks
Transmission of IPv6 Packets over IEEE 802.15.4 Networks
6LoWPAN: Overview, Assumptions, Problem Statement and Goals
Connecting IPv6 Islands over IPv4 MPLS using 6PE
Mobile IPv6 bootstrapping in split scenario
Mobility Header Home Agent Switch Message
Mobile IPv6 Experimental Messages
Mobile IPv6 Vendor Specific Option
Enhanced Route Optimization for Mobile IPv6
Duplicate Address Detection Optimization Using END
Internet Protocol, Version 6 (IPv6) Specification
Failure Detection and Locator Pair Exploration Protocol for IPv6
IPv6 Enterprise Network Analysis - IP Layer 3 Focus
Datamover Architecture for iSCSI (DA)
Transport Subsystem for the Simple Net Management Protocol
Fail Over extensions for L2TP "failover"
Long-Term Archive Service Requirements
Tags for Identifying Languages
MANET Autoconfiguration
Lightweight IGMPv3 and MLDv2 Protocols
MPLS LSR Traffic Engineering (TE) mesh membership
IGP Routing Protocol Ext. for Discovery of TE Node Capabilities
Permanent Connections and Switched Connections in a GMPLS
Support operation of MPLS-TE over GMPLS networks
Analysis of Inter-domain Label Switched Path (LSP) Recovery
ICMP Extensions for MultiProtocol Label Switching
MPLS Upstream Label Assignment & Context Specific Label Space
A Link-Type sub-TLV to convey the number of TE LSP signalled
MPLS TE Management Information Base (MIB) module
Ethernet Label Switching (ELS)
Multilink Subnet Issues
A URN Namespace for the Name Identification Service
NETCONF Event Notifications
Requirments for the Nameserver Communication protocol
QoS NSLP QSPEC Template
Multi-Topology (MT) Routing in OSPF
OSPF for IPv6
PCE communication Protocol (PCEP) - Version 1
BRPC procedure to compute shortest inter-domain TE LSP
IS-IS protocol extensions for PCE Discovery
OSPF protocol extensions for PCE Discovery
Definitions of Managed Objects for PCE Discovery
Definitions of Textual Conventions for PCE
Protocol Independent Multicast MIB
Rbridges: Base Protocol Specification
The RFC Series and RFC Editor
The Dublin Core Metadata Element Set
ROHC: A Profile for TCP/IP (ROHC-TCP)
Formal Notation for Robust Header Compression (ROHC-FN)
The RObust Header Compression (ROHC) Framework
Change Process for MPLS and GMPLS Protocols and Procedures
Loop-free convergence using oFIB
IP Fast Reroute Using Not-via Addresses
A Framework for Loop-free Convergence
A general mechanism for RTP Header Extensions
Associating Time-codes with RTP streams
How to Write an RTP Payload Format
Transmission Time offsets in RTP streams
RTP payload for EVRC-WB codec and MIME for EVRC-B codec
Multiple aggregated control URIs for RTSP
Controlling FLUTE sessions with Real-Time Streaming Protocol
Page 31/64
Décembre 2006
SCTP
SDP
SIEVE
SIMPLE
SIP
SMIME
SNMP
SOCKET
STRINGS
TCP
TCP
TMRG
TTNED
VRRP
draft-ietf-tsvwg-addip-sctp-17
draft-ietf-mmusic-sdp-...-negotiation-reqts-00
draft-ietf-mmusic-file-transfer-mech-00
draft-andreasen-mmusic-sdp-capability-...-00
draft-ietf-sieve-notify-05
draft-garcia-simple-presence-dictionary-01
draft-ietf-simple-message-sessions-18
draft-ietf-simple-msrp-relays-09
draft-garcia-sipping-resource-event-...-01
draft-garcia-sipping-resource-sharing-...-01
draft-fries-sip-identity-usage-bcp-01
draft-garcia-sipping-resource-desc-pidf-00
draft-ietf-sipping-race-examples-00
draft-ietf-smime-escertid-03
draft-schoenw-snmp-discover-00
draft-ietf-tsvwg-sctpsocket-14
draft-suignard-stringprep-bis-00
draft-leith-tcp-htcp-03
draft-allman-rto-backoff-04
draft-irtf-tmrg-tools-03
draft-stapleton-ttned-01
draft-ietf-vrrp-unified-mib-06
29/11
18/12
18/12
11/12
30/11
19/12
14/12
22/12
20/12
20/12
11/12
20/12
11/12
22/12
13/12
12/12
21/12
19/12
12/12
15/12
12/12
15/12
SCTP Dynamic Address Reconfiguration
Requirements and Review of Existing Work
SDP Offer/Answer Mechanism to Enable File Transfer
Requirements and Review of Existing Work
Sieve Extension: Notifications
The Presence-specific Dictionary for Sigcomp Framework
The Message Session Relay Protocol
Relay Extensions for the Message Sessions Relay Protocol (MSRP)
SIP Event Package and Data Format for Generic Resources
A Framework for Sharing Resources with SIP
SIP Identity Usage BCP
Resource Descriptions Extension to PIDF
Examples call flow in race condition on Session Initiation Protocol
ESS Update: Adding CertID Algorithm Agility
Simple Network Management Protocol (SNMP) EngineID Discovery
Sockets API Extensions for Stream Control Transmission Protocol
Preparation of Internationalized Strings (stringprep)
TCP Congestion Control for High Bandwidth-Delay Product Paths
Spurious Retransmissions to Adapt the Retransmission Timeout
Tools for the Evaluation of Simulation and Testbed Scenarios
Trusted Transactions for Network-Enabled Devices
Definitions of Managed Objects for the VRRP over IPv4 and IPv6
Page 32/64
Décembre 2006
NOS COMMENTAIRES
LES RFC
RFC4742
Using the NETCONF Configuration Protocol over Secure SHell (SSH)
Ce très court RFC – 8 pages – détaille une méthode pratique permettant d’utiliser le protocole NetConf sur une
session SSH préalablement établie. La méthode proposée est classique et fait appel au mécanisme dit de
‘subsystem’ présent dans la version 2 du protocole SSH.
L’invocation de ce mécanisme est effectuée à l’aide de l’option ‘-s’ passée sur la ligne de commande du client SSH,
l’utilisateur ne devant pas oublier d’indiquer le port TCP à utiliser, en l’occurrence et dans le cas du protocole
NetConf, le port 830 assigné à cet usage le IANA. Tout se résume donc, en ce qui concerne l’ouverture de la
session, à passer la simple commande suivante:
ssh -s server.example.org -p 830 netconf
Celle-ci provoque la création du sous-système SSH ‘netconf’ sur le serveur distant et l’attachement des
entrées/sorties de la session SSH sur les entrées/sorties de l’agent netconf exécuté dans ce sous-système. La
session ne sera ouverte qu’à la condition préalable que l’utilisateur se soit correctement authentifié. Le protocole
SSH joue ici le rôle d’un tunnel applicatif transportant, et chiffrant, toutes les données échangées entre l’interface
SSH et l’agent distant.
La commande proposée précédemment n’a cependant pas grand intérêt puisque les requêtes et les réponses – au
format XML – seront transmises sur l’interface du client SSH à savoir le clavier et l’écran de la console. Sauf à être
un virtuose de l’encodage XML capable de transmettre sans erreur des séquences semblables à celles proposées en
exemple dans le RFC, il vaudra mieux s’appuyer sur un gestionnaire dédié que l’on connectera sur l’interface SSH par
une simple redirection des entrées/sorties.
La commande suivante, proposée dans la très intéressante contribution ‘Notes on Implementing NETCONF over
SSH’ pourra être utilisée avec profit:
netconf-manager | ssh -s server.example.org -p 830 netconf
Il sera par ailleurs nécessaire de configurer le sous-système ‘netconf’ sur le serveur distant en déclarant celui-ci dans
le fichier de configuration du service SSH (en général le fichier ‘/etc/ssh/sshd_config’) et d’autoriser l’utilisation
du port TCP/830 sur les dispositifs de filtrage présents entre le système de gestion et les agents netconf.
La table des matières de ce RFC est reproduite ci-après :
1. Introduction
2. Requirements Terminology
3. Starting NETCONF over SSH
3.1. Capabilities Exchange
4. Using NETCONF over SSH
5. Exiting the NETCONF Subsystem
6. Security Considerations
7. IANA Considerations
8. Acknowledgements
9. References
9.1. Normative References
9.2. Informative References
http://www.ietf.org/rfc/rfc4742.txt
http://en.wikipedia.org/wiki/Netconf
http://www.flowmon.org/flowmon-probe/devel/config/netconf-ssh-notes
- RFC
- Présentation du protocole NetConf
- Compléments d’information
RFC4777
IBM's iSeries Telnet Enhancements
Ce RFC est publié à titre purement informationnel et n’est pas destiné à devenir un standard de l’IETF. Cette
publication s’explique par le sujet traité, à savoir, les extensions Telnet spécifiées par la société IBM et utilisées par
les systèmes de la gamme iSeries.
Implémentées sous la forme de variables négociées conformément à la spécification ‘Telnet Environment Option’
RFC1572, ces extensions sont utilisées par les clients Telnet mais aussi par les dispositifs d’impression pour requérir
une ressource spécifique, désignée par son nom, ou un profil utilisateur auprès d’un service Telnet actif sur un
serveur iSeries.
Le RFC4777 ‘IBM's iSeries Telnet Enhancements’ – 47 pages - détaille par le menu chacun des échanges et des
codes utilisés par ces extensions offrant un document de référence fort précieux pour toute personne ayant à
analyser ces échanges. Souhaitons que la prochaine version du dissecteur Telnet WireShark intègre le décodage de
ces extensions, propriétaires certes mais utilisées par des équipements couramment rencontrés.
La table des matières de ce RFC est reproduite ci-après :
1. Introduction
Page 33/64
Décembre 2006
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
Standard Telnet Option Negotiation
Enhanced Telnet Option Negotiation
Enhanced Display Emulation Support
Enhanced Display Auto-Sign-On and Password Encryption
5.1. Data Encryption Standard (DES) Password Substitutes
5.2. Secure Hash Algorithm (SHA) Password Substitutes
Kerberos Services Ticket Automatic Sign-On Support
Device Name Collision Processing
Enhanced Printer Emulation Support
Telnet Printer Terminal Types
Startup Response Record for Printer and Display Devices
10.1. Example of a Success Response Record
10.2. Example of an Error Response Record
10.3. Example of a Response Record with Device Name Retry
10.4. Response Codes
Printer Steady-State Pass-Through Interface
11.1. Example of a Print Record
11.2. Example of a Print Complete Record
11.3. Example of a Null Print Record
End-to-End Print Example
Security Considerations
IANA Considerations
Normative References
Informative References
Relation to Other RFCs
http://www.ietf.org/rfc/rfc4777.txt
http://en.wikipedia.org/wiki/TELNET
http://www.wireshark.org/docs/dfref/t/telnet.html
- Présentation du protocole Telnet
- Dissecteur Telnet WireShark
Page 34/64
Décembre 2006
A
ALLEER
ATTTTA
RT
AQ
TE
QU
ES
UE
SE
ES
S
ET
TA
ALERTES
GUIDE DE LECTURE
La lecture des avis publiés par les différents organismes de surveillance ou par les constructeurs n’est pas
toujours aisée. En effet, les informations publiées peuvent être non seulement redondantes mais aussi
transmises avec un retard conséquent par certains organismes. Dès lors, deux alternatives de mise en
forme de ces informations peuvent être envisagées :
o Publier une synthèse des avis transmis durant la période de veille, en classant ceux-ci en fonction de
l’origine de l’avis,
o Publier une synthèse des avis transmis en classant ceux-ci en fonction des cibles.
La seconde alternative, pour séduisante quelle soit, ne peut être raisonnablement mise en œuvre étant
donné l’actuelle diversité des systèmes impactés. En conséquence, nous nous proposons de maintenir une
synthèse des avis classée par organisme émetteur de l’avis.
Afin de faciliter la lecture de ceux-ci, nous proposons un guide de lecture sous la forme d’un synoptique
résumant les caractéristiques de chacune des sources d’information ainsi que les relations existant entre
ces sources. Seules les organismes, constructeurs ou éditeurs, disposant d’un service de notification officiel
et publiquement accessible sont représentés.
Avis Spécifiques
Constructeurs
Réseaux
Systèmes
Avis Généraux
Editeurs
Systèmes
Indépendants
Editeurs
Hackers
Editeurs
Organismes
Autres
US
Autres
Cisco
Apple
Linux
Microsoft
K-Otik
ISS
BugTraq
USCERT
Juniper
HP
FreeBSD
Netscape
3aPaPa
Symantec
@Stake
CIAC
Nortel
IBM
NetBSD
SGI
OpenBSD
SUN
SCO
Aus-CERT
Typologies des informations publiées
Publication de techniques et de programmes d’attaques
Détails des alertes, techniques et programmes
Synthèses générales, pointeurs sur les sites spécifiques
Notifications détaillées et correctifs techniques
L’analyse des avis peut être ainsi menée selon les trois stratégies suivantes :
o Recherche d’informations générales et de tendances :
Lecture des avis du CERT et du CIAC
o Maintenance des systèmes :
Lecture des avis constructeurs associés
o Compréhension et anticipation des menaces :
Lecture des avis des groupes indépendants
Aus-CERT
US-CERT
Cisco
Apple
Microsoft
BugTraq
K-Otik
ISS
NetBSD
Juniper
HP
Netscape
@Stake
3aРaPa
Symantec
OpenBSD
IBM
Xfree86
SGI
Linux
SUN
FreeBSD
CIAC
Page 35/64
Décembre 2006
FORMAT DE LA PRESENTATION
Les alertes et informations sont présentées classées par sources puis par niveau de gravité sous la forme
de tableaux récapitulatifs constitués comme suit :
Présentation des Alertes
EDITEUR
TITRE
Description sommaire
Informations concernant la plate-forme impactée
Gravité
Date
Produit visé par la vulnérabilité
Description rapide de la source du problème
Correction
URL pointant sur la source la plus pertinente
Référence
Référence(s) CVE si définie(s)
Présentation des Informations
SOURCE
TITRE
Description sommaire
URL pointant sur la source d’information
Référence(s) CVE si définie(s)
SYNTHESE MENSUELLE
Le tableau suivant propose un récapitulatif du nombre d’avis publiés pour la période courante, l’année en
cours et l’année précédente. Ces informations sont mises à jour à la fin de chaque période de veille.
L’attention du lecteur est attirée sur le fait que certains avis sont repris et rediffusés par les différents
organismes. Ces chiffres ne sont donc représentatifs qu’en terme de tendance et d’évolution.
Période du 29/11/2006 au 27/12/2006
Organisme
US-CERT TA
US-CERT ST
CIAC
Constructeurs
Cisco
HP
IBM
SGI
Sun
Editeurs
BEA
Oracle
Macromedia
Microsoft
Novell
Unix libres
Linux RedHat
Linux Fedora
Linux Debian
Linux Mandr.
Linux SuSE
FreeBSD
Autres
iDefense
eEye
NGS Soft.
Période
40
3
0
37
38
0
5
7
2
24
14
0
0
2
7
5
79
7
26
20
14
10
2
14
12
2
0
Cumul
2006 2005
351
337
39
22
9
19
303
296
324
302
34
33
49
49
38
43
22
8
181
169
162
142
32
39
4
4
24
11
78
55
24
33
994 1 154
151
273
207
282
311
305
225
202
74
71
26
21
111
191
80
159
21
15
10
17
Cumul 2006 - Constructeurs
Cisco
10%
Sun
56%
HP
15%
Cumul 2005 - Constructeurs
HP
16%
SGI
3%
IBM
12%
SGI
7%
BEA
20%
Oracle
2%
Microsoft
48%
Macromedia
15%
IBM
14%
Cumul 2005 - Editeurs
Cumul 2006 - Editeurs
Novell
15%
Cisco
11%
Sun
56%
Novell
23%
Microsoft
39%
BEA
27%
Oracle
Macromedia 3%
8%
Page 36/64
Décembre 2006
ALERTES DETAILLEES
AVIS OFFICIELS
Les tables suivantes présentent une synthèse des principales alertes de sécurité émises par un organisme
fiable, par l’éditeur du produit ou par le constructeur de l’équipement. Ces informations peuvent être
considérées comme fiables et authentifiées. En conséquence, les correctifs proposés, s’il y en a, doivent
immédiatement être appliqués.
ADOBE
Exécution de code via 'Download Manager'
Un débordement de buffer autorise un attaquant à prendre le contrôle d'une machine vulnérable.
Critique
05/12 Adobe 'Download Manager' version 2.1 et inférieures
Débordement de buffer
Correctif existant Non disponible
http://www.adobe.com/support/security/bulletins/apsb06-19.html
Adobe
CVE-2006-5856
APPLE
Exécution de code arbitraire dans 'Mac OS X'
De multiples failles peuvent entraîner l'exécution de code arbitraire avec des droits privilégiés et des dénis de
service.
Critique
28/11 Apple 'Mac OS X' et 'Mac OS X Server' version 10.3.9 et inférieures et version 10.4.8 et inférieures
Se reporter à l’avis original
Correctif existant Se reporter à l’avis original
http://lists.apple.com/archives/security-announce/2006/Nov/msg00001.html
Apple
CVE-2006-4396, CVE-2006-4398, CVE-2006-4400, CVE-2006-4401, CVE-2006-4402, CVE-2006-4403, CVE-2006-4404, CVE-20064406, CVE-2006-4407, CVE-2006-4408, CVE-2006-4409, CVE-2006-4410, CVE-2006-4411, CVE-2006-4412
Exposition d'informations via 'QuickTime for Java'
Une faille autorise un attaquant distant à obtenir des informations.
Forte
19/12 Apple 'Mac OS X' et 'Mac OS X Server' version 10.4.8 et inférieures
Erreur de conception
Correctif existant 'QuickTime for Java'
http://lists.apple.com/archives/security-announce/2006/Dec/msg00000.html
Apple
CVE-2006-5681
BUSINESSOBJECT
Contournement de la sécurité de 'Crystal Enterprise'
Une erreur de conception autorise un attaquant distant à contourner certains mécanismes de sécurité.
Forte
28/11 Business Objects 'Crystal Enterprise' version 9 et version 10
Correctif existant Interface 'Web'
http://www.niscc.gov.uk/niscc/docs/re-20061128-00818.pdf?lang=en
NISCC
CVE-2006-4099
CA
Exécution de code dans 'BrightStor ARCserve Backup'
Un débordement de buffer exploitable à distance autorise un attaquant à exécuter du code avec des droits
privilégiés.
Critique
07/12 Se reporter à l’avis original
Correctif existant Service 'Discovery'
http://supportconnectw.ca.com/public/storage/infodocs/babsecurity-notice.asp
CA
Vol de session utilisateur via 'CleverPath Portal'
Une faille dans 'CleverPath Portal' peut permettre à un attaquant distant de voler la session d'un utilisateur.
Forte
http://www3.ca.com/securityadvisor/vulninfo/vuln.aspx?id=34876
CA
CVE-2006-6641
CITRIX
Exécution de code via un contrôle ActiveX Citrix
Un débordement de tas dans un contrôle ActiveX provoque l'exécution de code arbitraire.
Forte
06/12 Citrix 'Presentation Server Client for Windows' versions inférieures à 9.230
Débordement de tas
Correctif existant Contrôle ActiveX 'Wfica.ocx',
http://support.citrix.com/article/CTX111827
Citrix
CVE-2006-6334
Page 37/64
Décembre 2006
FILEZILLA
Déni de service du serveur FTP 'FileZilla Server'
Un déréférencement de pointeur NULL dans le serveur 'FileZilla Server' entraîne un déni de service du produit.
Forte
11/12 FileZilla 'FileZilla Server' versions inférieures à 0.9.22
Déréférencement de pointeur NULL
http://sourceforge.net/project/shownotes.php?release_id=470364&group_id=21558
FileZilla
FREEDESKTOP
Déni de service local dans 'D-BUS'
Une faille dans 'D-BUS' peut être exploitée localement afin de provoquer un déni de service du produit.
Moyenne 13/12 Freedesktop 'D-BUS' version 1.01 et inférieures
Erreur de codage
Correctif existant Fichier 'signals.c'
https://bugs.freedesktop.org/show_bug.cgi?id=9142
Freedesktop
CVE-2006-6107
GNOME
Débordement de buffer dans 'libgsf'
Une faille non documentée dans la bibliothèque GNOME 'libgsf' peut permettre l'exécution de code arbitraire.
Forte
30/11 Gnome 'libgfs'
Non disponible
Aucun correctif
http://www.fr.debian.org/security/2006/dsa-1221
Debian
Déni de service dans 'GConf'
Une erreur de conception autorise un utilisateur local malveillant à provoquer un déni de service de l'outil.
Moyenne 12/12 Gnome 'GConf' version 2.8.x et inférieures
Gestion répertoires temporaires Erreur de conception
Aucun correctif
https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=219279
Red Hat Bugzilla
CVE-2006-6698
GNUPG
Exécution de code arbitraire via 'GnuPG'
Une faille dans 'GnuPG' peut être exploitée par un attaquant afin d'exécuter du code arbitraire.
Forte
07/12 GnuPG 'GnuPG' versions inférieures à 1.4.6, versions inférieures à 2.0.2
Corruption de la mémoire
Correctif existant Messages 'OpenPGP'
http://lists.gnupg.org/pipermail/gnupg-announce/2006q4/000246.html
GnuPG
CVE-2006-6235
HITACHI
Exécution de code dans 'Hitachi Directory Server'
De multiples failles autorisent un attaquant distant à exécuter du code et à provoquer un DoS du produit.
Forte
20/12 Hitachi 'Hitachi Directory Server' version 2
Débordement de buffer, fuite mémoire
Correctif existant Gestion des requêtes 'LDAP'
http://www.hitachi-support.com/security_e/vuls_e/HS06-018_e/index-e.html
Hitachi
HP
Elévation de privilèges dans 'Integrated Lights Out'
Une faille non documentée peut être exploitée à distance afin d'obtenir un accès non autorisé au système.
Forte
13/12 HP 'Integrated Lights Out' version 1 et version 2
Non disponible
Correctif existant Authentification par clés 'SSH'
HP (SSRT061230) http://www5.itrc.hp.com/service/cki/docDisplay.do?docId=c00800677
IBM
Débordements de buffer dans 'Tivoli Storage Manager'
Le produit IBM 'Tivoli Storage Manager' est vulnérable à de multiples débordements de buffer.
Forte
05/12 IBM 'Tivoli Storage Manager' versions inférieures à 5.2.9 et inférieures à 5.3.4
Correctif existant Mécanisme d'authentification
http://www-1.ibm.com/support/docview.wss?uid=swg21250261
IBM
CVE-2006-5855
Déni de service d'IBM 'DB2 Universal Database'
Un déréférencement de pointeur NULL dans la base 'DB2 Universal Database' provoque un déni de service.
Forte
18/12 IBM 'DB2 Universal Database' versions inférieures à 8.2 FixPak 7et à 8.1 FixPak 14
Déréférencement de pointeur NULL
Correctif existant Paquet 'SQLJRA'
http://www-1.ibm.com/support/docview.wss?uid=swg1IY86917
IBM
http://www-1.ibm.com/support/docview.wss?uid=swg1IY91847
IBM
Page 38/64
Décembre 2006
Exposition d'informations dans WebSphere
Deux failles peuvent entraîner, entre autres choses, l'exposition du code source des pages 'JSP'.
Forte
19/12 IBM 'WebSphere Application Server' versions inférieures à 6.0.2.17
Non disponible
Correctif existant 'Servlet Engine', 'General'
http://www-1.ibm.com/support/docview.wss?rs=180&uid=swg24014306
IBM
http://www-1.ibm.com/support/docview.wss?rs=180&uid=swg27006876
IBM
Exposition d'information dans 'Tivoli Identity Manager'
Une faille dans 'Tivoli Identity Manager' autorise un utilisateur local à obtenir des informations.
Moyenne 12/12 IBM 'Tivoli Identity Manager' version 4.6
Mot de passe 'JKS'
Palliatif proposé
IBM
Faille dans l'utilitaire 'Utility Classes'
Une faille aux conséquences inconnues affecte l'utilitaire 'Utility Classes' de 'WebSphere Application Server'.
N/A
15/12 IBM 'WebSphere Application Server' version 5.1.1.13 et inférieures
Non disponible
Correctif existant Utilitaire 'Utility Classes'
IBM
INTEL
Elévation de privilèges via les pilotes 'LAN'
Un débordement de buffer dans les pilotes 'LAN' d'Intel autorise un utilisateur local à élever ses privilèges.
Forte
06/12 Intel 'PRO/1000 Adapters', ‘ PCIe Adapters', 'PRO 10/100 Adapters', 'PRO/10GbE Adapters'
Correctif existant Pilote 'LAN'
http://www.intel.com/support/network/sb/CS-023726.htm
Intel
KDE
Déni de service via le composant 'kdegraphics'
Une erreur de codage dans un plugin de 'kdegraphics' provoque un déni de service d'une plate-forme vulnérable.
Forte
29/11 KDE 'KDE' versions 3.1.0 à 3.5.5
Erreur de codage
Correctif existant Composant 'kdegraphics'
http://www.kde.org/info/security/advisory-20061129-1.txt
KDE
Exécution de code et déni de service dans 'KOffice'
Un débordement d'entier peut entraîner un DoS ou l'exécution de code avec les droits de l'utilisateur courant.
Forte
29/11 KDE 'KOffice' version 1.6 et inférieures
Débordement d'entier
Correctif existant Code de filtrage
http://www.ubuntu.com/usn/usn-388-1
Ubuntu
CVE-2006-6120
KERIO
Déni de service de 'MailServer'
Une faille non documentée dans Kerio 'MailServer' peut entraîner un déni de service du produit.
Forte
14/12 Kerio 'MailServer' versions inférieures à 6.3.1
Non disponible
Correctif existant Gestion des requêtes 'LDAP'
http://www.kerio.com/kms_history.html
Kerio
CVE-2006-6554
LINUX
Multiples failles du noyau Linux 2.6
De multiples failles autorisent un attaquant à provoquer des dénis de service et à exécuter du code arbitraire.
Forte
11/12 Linux 'Noyau 2.6'
Erreur de codage, Validation insuffisante des données, Corruption mémoire
https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=207463
Red Hat Bugzilla
http://lists.debian.org/debian-security-announce/debian-security-announce-2006/msg00334.html
Debian
CVE-2006-4538, CVE-2006-4813, CVE-2006-5649, CVE-2006-5871, CVE-2006-6333
Exécution de code via la pile 'bluetooth'
Un débordement de buffer provoque un déni de service ou l'exécution de code arbitraire avec des droits privilégiés.
Forte
14/12 Linux 'Noyau 2.4' version 2.4.33.4 et inférieures
Correctif existant Pile 'bluetooth’
http://www.kernel.org/pub/linux/kernel/v2.4/ChangeLog-2.4.33.5
Kernel.org
CVE-2006-6106
Page 39/64
Décembre 2006
Déni de service dans le noyau Linux
Deux failles dans le noyau Linux peuvent entraîner un déni de service.
Moyenne 21/12 Linux 'Noyau 2.6'
'sys_(g|s)et_robust_list()'
Aucun correctif
http://lists.suse.com/archive/suse-security-announce/2006-Dec/0009.html
SuSE
CVE-2006-5173, CVE-2006-5648
MADWIFI
Exécution de code arbitraire dans les pilotes 'MADWiFi'
Un faille peut autoriser l'exécution de code arbitraire.
Forte
08/12 MADWiFi 'MADWiFi' versions inférieures à 0.9.2.1
Correctif existant Fichier 'ieee80211_wireless.c'
http://madwifi.org/wiki/news/20061207/release-0-9-2-1-fixes-critical-security-issue
MADWiFi
CVE-2006-6332
MAILENABLE
Multiples failles des produits MailEnable
Deux failles autorisent un attaquant à provoquer des dénis de service et l'exécution de code.
Forte
01/12 ‘Enterprise Edition' V1.1 à 1.41et V2.0 à 2.35 et 'Professional Edition' V1.6 à 1.84 et V2.0 à 2.35
Débordement de pile, validation insuffisante des données
Correctif existant Service 'IMAP'
http://www.mailenable.com/hotfix/
MailEnable
MANDIANT
Multiples failles dans 'Mandiant First Response'
Des failles peuvent entraîner, entre autres choses, des dénis de service.
Forte
18/12 MANDIANT 'Mandiant First Response' version 1.1
Correctif existant Agent 'First Response'
http://www.symantec.com/enterprise/research/SYMSA-2006-013.txt
Symantec
CVE-2006-6475, CVE-2006-6476, CVE-2006-6477
MCAFEE
Exécution de code via 'VirusScan for Linux'
Une faille dans 'VirusScan for Linux' de McAfee entraîne l'exécution de code arbitraire.
Forte
14/12 McAfee 'VirusScan for Linux' version 4510e
Variable 'DT_RPATH'
Validation insuffisante des données
Aucun correctif
http://www.gentoo.org/security/en/glsa/glsa-200612-15.xml
Gentoo
CVE-2006-6474
MICROSOFT
Débordement de buffer dans 'Windows Media Format'
Un débordement de buffer peut être exploité par un attaquant distant afin d'exécuter du code arbitraire.
Forte
13/12 'Windows Media Format' V 7.1 à 9.5, 'Windows Media Format' V 9.5, 'Windows Media Player' V 6.4
Correctif existant Traitements des fichiers '.ASF'
http://www.microsoft.com/france/technet/security/bulletin/ms06-078.mspx
MICROSOFT
CVE-2006-6134
Elévation de privilèges via des manifestes de fichiers
Une faille peut permettre à un utilisateur malveillant d'élever ses privilèges.
Forte
13/12 Microsoft 'Windows Server 2003', Microsoft 'Windows XP' version SP2
Non disponible
Correctif existant Manifestes de fichiers
MICROSOFT
CVE-2006-5585
Exécution de code arbitraire dans 'Outlook Express'
Une faille peut autoriser un attaquant distant à exécuter du code et prendre le contrôle d'une station.
Forte
13/12 Microsoft 'Outlook Express' version 6SP0, 'Outlook Express' version 6SP1
Non disponible
Correctif existant Carnet d'adresses
MICROSOFT
CVE-2006-2386
Exécution de code arbitraire via 'SNMP'
Une faille peut être exploitée par un attaquant distant afin de prendre le contrôle d'une station vulnérable.
Forte
Correctif existant Service 'SNMP'
MICROSOFT
CVE-2006-5583
Page 40/64
Décembre 2006
Multiples vulnérabilités dans 'Internet Explorer'
De multiples failles peuvent autoriser un attaquant distant à exécuter du code et obtenir des informations sensibles.
Forte
13/12 Microsoft 'Internet Explorer' versions 5.01 (SP4) à 6(SP1)
MICROSOFT
CVE-2006-5577, CVE-2006-5578, CVE-2006-5579, CVE-2006-5581
Suppression de fichiers arbitraires via 'RIS'
Une faille peut autoriser un attaquant distant à supprimer des fichiers arbitraires.
Forte
13/12 Microsoft 'Windows 2000' version SP4
Correctif existant Service 'RIS', service 'TFTP'
MICROSOFT
CVE-2006-5584
MONO
Exposition d'information via Mono 'XSP'
Une faille dans Mono 'XSP' autorise un attaquant à obtenir le code source de certains fichiers.
Forte
20/12 Mono 'Mono' version 1.2.1, 'XSP' version 1.1, 'XSP' version 2.0
Correctif existant Gestion du caractère '%20'
http://www.mandriva.com/security/advisories?name=MDKSA-2006:234
Mandriva
CVE-2006-6104
MOZILLA
Multiples failles dans les produits Mozilla
De multiples failles peuvent entraîner des dénis de service, l'exécution de code arbitraire et une élévation de
privilèges.
Forte
http://www.mozilla.org/security/announce/2006/mfsa2006-68.html
mfsa2006-69.html
Mozilla
mfsa2006-71.html
Mozilla
mfsa2006-73.html
Mozilla
mfsa2006-75.html
Mozilla
Mozilla
CVE-2006-6497, CVE-2006-6498, CVE-2006-6499, CVE-2006-6500, CVE-2006-6501, CVE-2006-6502, CVE-2006-6503, CVE-20066504, CVE-2006-6505, CVE-2006-6506, CVE-2006-6507
NEOSCALE
Contournement de la sécurité dans CryptoStor
Une erreur de conception peut permettre à un utilisateur malveillant de contourner certains mécanismes de
sécurité.
Forte
19/12 NeoScale 'CryptoStor Tape 700 series' versions inférieures à 2.6
Correctif existant Authentification par 'smartcard' Erreur de conception
http://www.kb.cert.org/vuls/id/339004
US-CERT
CVE-2006-3896
NETBSD
Exécution de code arbitraire dans 'NetBSD'
Un débordement de buffer dans la bibliothèque 'libc' de 'NetBSD' peut entraîner l'exécution de code arbitraire.
Forte
15/12 NetBSD 'NetBSD' version 3.1 et inférieures
Correctif existant Bibliothèque 'libc'
ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2006-027.txt.asc
NetBSD
NOVELL
Exécution de code via Novell 'Netware Client'
Deux débordements de buffer peuvent entraîner l'exécution de code arbitraire sur une plate-forme vulnérable.
Forte
29/11 Novell 'Netware Client' versions 4.91 à 4.91 SP2
Correctif existant Bibliothèque 'nwspool.dll'
http://www.novell.com/support/search.do?cmd=displayKC&externalId=3125538&sliceId=SAL_Public
Novell
CVE-2006-5854
Contournement de la sécurité dans 'novell-lum'
Une faille peut permettre à un utilisateur malveillant de contourner le mécanisme d'authentification.
Forte
20/12 Novell 'novell-lum'
Non disponible
http://support.novell.com/techcenter/psdb/4285aca7bc9e398695f9cacc63e5c939.html
Novell
Page 41/64
Décembre 2006
"Cross-Site Scripting" dans 'NetWare'
Une faille peut permettre à un attaquant distant de mener des attaques de types "Cross-Site Scripting".
Forte
21/12 Novell 'NetWare 6.5' version SP5 et SP6
Module 'Welcome Web-App'
Palliatif proposé
https://secure-support.novell.com/KanisaPlatform/Publishing/514/3319127_f.SAL_Public.html
Novell
Déni de service de 'Novell Client'
Une faille non documentée dans 'Novell Client' autorise un attaquant distant à provoquer un déni de service du
produit.
Forte
05/12 Novell 'Novell Client' version 4.91 SP2 et inférieures
Non disponible
Correctif existant Pilote 'srvloc.sys'
Novell
Débordement de buffer dans 'Novell Client'
Un débordement de buffer, aux conséquences inconnues, affecte le produit 'Novell Client'.
N/A
04/12 Novell 'Novell Client' version 4.91 SP3 et inférieures
Correctif existant Bibliothèque 'NDPPNT.DLL'
http://support.novell.com/cgi-bin/search/searchtid.cgi?/2974843.htm
Novell
RUBY
Déni de service via 'Ruby'
Une faille dans 'Ruby' peut être exploitée par un attaquant distant dans le but de provoquer un déni de service.
Forte
06/12 Ruby 'Ruby' version 1.8.5 et inférieures
Erreur de codage
Correctif existant Script 'cgi.rb'
http://www.ruby-lang.org/en/news/2006/12/04/another-dos-vulnerability-in-cgi-library/
Ruby
SOFTWIN
Exécution de code dans les anti-virus BitDefender
Un débordement de tas dans les anti-virus BitDefender peut entraîner l'exécution de code arbitraire.
Forte
Débordement de tas
Correctif existant Fichiers au format 'PE'
http://www.bitdefender.com/KB323-en--cevakrnl.xmd-vulnerability.html
BitDefender
SOPHOS
Multiples vulnérabilités dans les anti-virus Sophos
Deux failles dans les produits Sophos peuvent entraîner l'exécution de code arbitraire et un déni de service.
Forte
Corruption de la mémoire, Débordement de tas
http://www.sophos.com/support/knowledgebase/article/17609.html
Sophos
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=451
iDefense
iDefense
CVE-2006-5647
Multiples vulnérabilités dans les anti-virus Sophos
Deux failles dans les produits Sophos peuvent entraîner l'exécution de code arbitraire.
Forte
14/12 Sophos 'Sophos Anti-Virus' toute versions
Débordement de tas et de pile
Sophos
Sophos
CVE-2006-6335
SQL-LEDGER
Multiples failles dans 'SQL-Ledger'
De multiples failles peuvent autoriser un attaquant à voler des sessions et exécuter des scripts Perl arbitraires.
Forte
18/12 SQL-Ledger 'SQL-Ledger'
Erreur de conception, Traversée de répertoire
Aucun correctif
http://www.debian.org/security/2006/dsa-1239
Debian
CVE-2006-4244, CVE-2006-4731, CVE-2006-5872
SQUIRRELMAIL
"Cross-Site Scripting" dans 'Squirrelmail'
De multiples failles permettent à un attaquant distant de mener des attaques de type "Cross-Site Scripting".
Forte
04/12 SquirrelMail 'Squirrelmail' versions 1.4.0 à 1.4.9
Non disponible
http://www.squirrelmail.org/security/issue/2006-12-02
SquirrelMail
CVE-2006-6142
Page 42/64
Décembre 2006
Faille de 'Squirrelmail' sous 'Internet Explorer'
Une faille peut permettre l'exécution de script arbitraire.
Forte
04/12 SquirrelMail 'Squirrelmail'
Correctif existant Gestion des contenus 'MIME'
http://www.squirrelmail.org/security/issue/2006-12-03
SquirrelMail
SSMTP
Exposition d'informations sensibles dans 'ssmtp'
Une erreur de conception entraîne l'exposition d'informations sensibles.
Forte
30/05 ssmtp 'ssmtp' version 2.61
Phase 'AUTH LOGIN'
Aucun correctif
Debian Bug report http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=369542
SUN
Attaques de type "HTTP Request Smuggling"
L'utilisation de plusieurs produits Sun en même temps autorise des attaques "HTTP Request Smuggling".
Forte
Non disponible
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102733-1
Sun
Déni de service de la plate-forme Sun 'Solaris'
Une faille dans le noyau de Sun 'Solaris' peut entraîner un déni de service d'une plate-forme vulnérable.
Forte
30/11 Sun 'Solaris' version 8,version 9 et version 10
Conflit d'accès aux ressources
Sun
Elévation de privilèges dans 'Java'
Des failles autorisent une applet non privilégiée à élever ses privilèges et à accéder à des données.
Forte
Correctif existant 'serialisation'
Sun
Sun
Sun
Multiples failles de 'ld.so' sur Sun 'Solaris'
Deux failles dans la bibliothèque 'ld.so' peuvent permettre à un attaquant distant d'exécuter du code arbitraire.
Forte
13/12 Sun 'Solaris' version 8, version 9, version 10
Traversée de répertoire, Débordement de buffer
Correctif existant Variables d'environnement
SUN
iDefense
iDefense
TREND MICRO
Débordements de buffer dans 'OfficeScan'
Deux débordements de buffer peuvent autoriser un attaquant distant à exécuter du code arbitraire.
Forte
05/12 Trend Micro 'OfficeScan' version 7.3 et inférieures
Correctif existant Wizard.exe, CgiRemoteInstall
http://esupport.trendmicro.com/support/viewxml.do?ContentID=EN-1031702
Trend Micro
http://esupport.trendmicro.com/support/viewxml.do?ContentID=EN-1031753
Trend Micro
CVE-2006-6178, CVE-2006-6179
XEROX
Multiples failles dans Xerox WorkCentre
De multiples failles autorisent, entre autres choses, un attaquant à prendre le contrôle d'un équipement vulnérable.
Critique
30/11 Xerox 'WorkCentre' et 'WorkCentre Pro' versions 232 à 275
Multiples vulnérabilités
Correctif existant Fimware 'ESS/Network'
http://a1851.g.akamaitech.net/f/1851/2996/24h/cacheB.xerox.com/downloads/usa/en/c/cert_XRX06_006_v1
Xerox
.pdf
XINE
Déni de service dans 'xine-lib'
Un débordement de buffer peut autoriser un attaquant à provoquer un DoS et à exécuter potentiellement du code.
Forte
26/11 Xine 'xine-lib' versions inférieures à 1.1.3
Correctif existant Plugin 'Real Media'
http://sourceforge.net/project/shownotes.php?release_id=468432
Xine
CVE-2006-6172
Page 43/64
Décembre 2006
YAHOO!
Exécution de code via 'Yahoo! Messenger'
Un débordement de buffer peut entraîner l'exécution de code arbitraire.
Forte
18/12 Yahoo! 'Yahoo! Messenger' version 8.0.0.863 et inférieures
Correctif existant Contrôle ActiveX 'YMailAttach'
http://messenger.yahoo.com/security_update.php?id=120806
Yahoo!
ALERTES NON CONFIRMEES
Les alertes présentées dans les tables de synthèse suivantes ont été publiées dans diverses listes
d’information mais n’ont pas encore fait l’objet d’une annonce ou d’un correctif de la part de l’éditeur. Ces
alertes nécessitent la mise en place d’un processus de suivi et d’observation.
2X SOFTWARE
Création de compte administrateur dans ThinClientServer
Une erreur de conception peut permettre à un utilisateur malveillant de créer un compte administrateur.
Critique
07/12 2X Software 'ThinClientServer Enterprise Edition' version v3_sp2-r1865
Correctif existant Procédure d'installation
http://www.securityfocus.com/bid/21300
SecurityFocus
CVE-2006-6221
ADOBE
Multiples vulnérabilités dans 'ColdFusion MX'
Trois failles autorisent un attaquant distant à obtenir des informations et à contourner des mécanismes de sécurité.
Forte
10/12 Adobe 'ColdFusion MX' version 7
Erreur de conception, Validation insuffisante des données
Aucun correctif
http://lists.grok.org.uk/pipermail/full-disclosure/2006-December/051225.html
Full Disclosure
AGNITUM
Contournement de la sécurité de 'Outpost Firewall Pro'
Une erreur de conception autorise le contournement des mécanismes de sécurité et l’exécution de code arbitraire.
Moyenne 01/12 Agnitum 'Outpost Firewall PRO' version 4.0
Exécutable 'services.exe'
Aucun correctif
http://www.matousec.com/info/advisories/Outpost-Bypassing-Self-Protection-via-Advanced-DLL-injectionMatousec
with-handle-stealing.php
ALLIED TELESYN
Accès non autorisé au VLAN de gestion
Une faille non documentée permet d'obtenir un accès non autorisé au VLAN de gestion.
Moyenne 16/12 Allied Telesyn 'AT-9000/24 Ethernet switch'
Non disponible
Correctif existant VLAN de gestion
SecurityFocus
ANTIVIRUS
Contournement de l'analyse de plusieurs anti-virus
Une erreur de conception dans plusieurs anti-virus peut provoquer le contournement de l'analyse d'un code
malicieux.
Forte
Moteur d'analyse
Aucun correctif
http://www.quantenblog.net/security/virus-scanner-bypass
Quantenblog
Déni de service de plusieurs anti-virus
Une faille provoque un déni de service de ces produits et/ou d'une plate-forme vulnérable.
Forte
08/12 Trend Micro Office Scan V7.3, PC Cillin, Server Protect V5.58, Sophos Anti-Virus versions inférieures à 6.0.5
Non disponible
Correctif existant Gestion des archives 'RAR'
iDefense
CVE-2006-5645
APPLE
Exécution de code arbitraire via 'ftpd'
Un débordement de buffer dans le serveur FTP 'ftpd' de 'Mac OS X' peut être exploité afin de provoquer l'exécution
de code arbitraire.
Forte
05/12 Apple 'Mac OS X' version 10.3.9 et inférieures et version 10.4.8 et inférieures
Serveur 'ftpd’
Aucun correctif
http://secunia.com/advisories/23178/
Secunia
Page 44/64
Décembre 2006
Déni de service de 'BOMArchiveHelper'
Une faille non documentée dans 'Mac OS X' provoque un déni de service de l'outil 'BOMArchiveHelper'.
Forte
05/12 Apple 'Mac OS X' version 10.3.9 et inférieures et version 10.4.8 et inférieures
Application 'BOMArchiveHelper'
Non disponible
Aucun correctif
SecurityFocus
Security-Protocols http://security-protocols.com/2006/12/04/bomarchivehelper-needs-some-lovin/
Déni de service via le pilote 'AirPort Extreme'
Une faille non documentée dans le pilote 'AirPort Extreme' de 'Mac OS X' peut entraîner un déni de service.
Forte
30/11 Apple 'Mac OS X' version 10.4.8 et inférieures
Pilote 'AirPort Extreme'
Non disponible
Aucun correctif
http://projects.info-pull.com/mokb/MOKB-30-11-2006.html
MoKB
Exécution de code et déni de service dans 'Mac OS X'
Une faille de type corruption de la mémoire peut entraîner l'exécution de code arbitraire ou un déni de service.
Forte
28/11 Apple 'Mac OS X' version 10.4.8 et inférieures
Fonction système
Aucun correctif
MoKB
Exposition d'informations dans 'Safari'
Une faille affecte le navigateur 'Safari'. Elle peut être exploitée afin d'obtenir des informations sensibles.
Forte
28/11 Apple 'Safari' version 2.0.4
Gestionnaire de mots de passe
Erreur de conception, validation insuffisante des données
Aucun correctif
SecurityFocus
BLUESOCKET
"Cross-Site Scripting" dans le produit 'BSC 2100'
L'interface d'administration Web est vulnérable à des attaques de type "Cross-Site Scripting".
Forte
05/12 BlueSocket 'BSC 2100' versions inférieures à 5.2
Validation insuffisante des données en entrée
Correctif existant Script 'Admin.PL'
SecurityFocus
BORLAND
Exécution de code arbitraire dans les produits Borland
Un débordement de buffer dans une bibliothèque peut entraîner l'exécution de code arbitraire sur un poste
vulnérable.
Forte
Bibliothèque 'idsql32.dll'
Aucun correctif
Secunia
CA
Déni de service via les anti-virus CA
Des failles dans les pilotes autorisent un utilisateur local à provoquer un déni de service d'une plate-forme
vulnérable.
Forte
13/12 CA 'Anti-Virus 2007' V 8.1, 'Anti-Virus for Vista Beta' V 8.2, 'Internet Security Suite 2007' V 3.0
'vetmonnt.sys'
et Erreur de codage
Correctif existant Pilotes
Full Disclosure
'vetfddnt.sys'
CVE-2006-6496
CHETCPASSWD
Elévation de privilèges dans 'chetcpasswd'
Une faille dans 'chetcpasswd’ peut être exploitée par un utilisateur malveillant afin d'élever ses privilèges.
Forte
20/12 chetcpasswd 'chetcpasswd' version 2.4.1
Changement de mot de passe
Aucun correctif
Secunia
CLAMAV
Déni de service dans 'ClamAV'
Une erreur de conception peut permettre à un attaquant distant de provoquer un déni de service.
Forte
11/12 ClamAV 'ClamAV' version 0.88.4-2 et inférieures
Gestion des contenus 'MIME'
Non disponible
Non défini
SecurityFocus
CVE-2006-5874
Page 45/64
Décembre 2006
Déni de service dans 'ClamAV'
Une faille non documentée peut être exploitée par un attaquant distant afin de provoquer un déni de service.
Forte
18/12 ClamAV 'ClamAV' version 0.88.6 et inférieures
Non disponible
Correctif existant Gestion des pièces jointes
SecurityFocus
CVE-2006-6481
CPANEL
"Cross-Site Scripting" dans 'cPanel'
Un manque de validation autorise un attaquant distant à mener des attaques de type "Cross-Site Scripting".
Forte
11/12 cPanel 'cPanel' version 10.x
Page 'manage.html'
Aucun correctif
Secunia
DENYHOSTS
Déni de service dans 'DenyHosts'
Une faille dans 'DenyHosts' peut autoriser un utilisateur malveillant à provoquer des dénis de service.
Forte
07/12 DenyHosts 'DenyHosts' version 2.5
Fichiers de journalisation
Non disponible
Aucun correctif
Secunia
CVE-2006-6301
D-LINK
Déni de service du produit 'DWL-2000AP+'
Deux faille peuvent être exploitées afin de provoquer un déni de service.
Forte
12/12 D-Link 'DWL-2000AP+' version 2.11
Gestion des requêtes 'ARP'
Non disponible
Aucun correctif
http://marc.theaimsgroup.com/?l=bugtraq&m=116585824415736&w=2
Bugtraq
EOC
Exécution de commandes arbitraires dans 'EoC'
Une faille peut permettre à un attaquant d'exécuter des commandes arbitraires.
Forte
14/12 EoC 'Enemies of Carlotta' version 1.2.3 et inférieures
SecurityFocus
CVE-2006-5875
ESET
Exécution de code arbitraire dans 'NOD32 Antivirus'
Deux failles dans le produit 'NOD32 Antivirus' peuvent entraîner un déni de service et l'exécution de code arbitraire.
Forte
20/12 Eset 'NOD32 Antivirus' versions inférieures à v.1.1743
Erreur de codage, Débordement de buffer
Correctif existant Fichiers '.CHM' et '.DOC'
SecurityFocus
Exécution de code arbitraire dans 'NOD32 Antivirus'
Le produit 'NOD32 Antivirus' est vulnérable à un débordement de buffer qui peut entraîner l'exécution de code.
Forte
21/12 Eset 'NOD32 Antivirus' versions inférieures à v.1.1743
Correctif existant Gestion des fichiers '.CAB'
Full Disclosure
FAIL2BAN
Déni de service dans 'Fail2ban'
Une faille peut autoriser un utilisateur malveillant à provoquer des dénis de service.
Forte
07/12 fail2ban 'Fail2ban' version 0.6.1
Fichiers de journalisation
Non disponible
Aucun correctif
Secunia
CVE-2006-6302
FIREWALL
Contournement de la sécurité des pare-feux personnels
Une erreur de conception autorise le contournement de certains mécanismes de sécurité qu'ils peuvent offrir.
Moyenne 15/12 Se reporter à l’avis original
Correctif existant Gestion des processus
http://www.matousec.com/info/advisories/Bypassing-process-identification-serveral-personal-firewallsMatousec
HIPS.php
Page 46/64
Décembre 2006
GNOME
Exécution de code via 'Gnome Display Manager'
Une erreur de chaîne de formatage dans 'Gnome Display Manager' autorise un utilisateur à exécuter du code
arbitraire.
Moyenne 14/12 'Gnome Display Manager' versions inférieures à 2.14.11, inférieures à 2.16.4, inférieures à 2.17.4
Erreur de chaîne de formatage
Correctif existant Application 'gdmchooser'
iDefense
CVE-2006-6105
GNU
Déni de service dans 'Wget'
Une faille non documentée dans 'Wget' peut provoquer un déni de service de l'application.
Forte
19/12 Gnu 'Wget' version 1.10.2
Fonction 'FTP_Syst()'
Non disponible
Aucun correctif
SecurityFocus
GOOGLE
"Cross-Site Scripting" dans les équipements Google
Une faille peut être exploitée afin de mener des attaques de type "Cross-Site Scripting".
Forte
30/11 Google 'Mini Search Appliance' et 'Search Appliance'
URL encodées 'UTF-7'
Aucun correctif
http://securitytracker.com/id?1017317
SecurityTracker
HILGRAEVE
Multiples failles dans 'HyperACCESS'
Deux failles peuvent permettre à un attaquant distant d'exécuter des commandes arbitraires.
Forte
14/12 Hilgraeve 'HyperACCESS' version 8.4 et inférieures
Fichiers '.HAW', 'Telnet URL'
Aucun correctif
Full Disclosure
HITACHI
Contournement de la sécurité dans les produits Soumu
Des failles autorisent un attaquant distant à contourner certains mécanismes de sécurité et à injecter du code SQL
dans la base de données sous-jacente.
Forte
Non disponible
SecurityFocus
HORDE
Exécution de code via 'Kronolith'
Une erreur de codage autorise un utilisateur distant authentifié à exécuter du code PHP arbitraire.
Forte
29/11 Horde 'Kronolith' versions inférieures à 2.0.7 et versions inférieures à 2.1.4
Erreur de codage
Correctif existant Fichier 'lib/FBView.php'
iDefense
HP
Déni de service des imprimantes HP via 'FTP'
Un débordement de buffer provoque un déni de service de ces équipements.
Forte
19/12 HP ''LaserJet 5000 Series''
Serveur 'FTP' d'impression
Aucun correctif
Full Disclosure
IBM
Contournement de la sécurité dans WebSphere
Une faille peut être exploitée par un utilisateur dans le but de contourner certaines restrictions de sécurité.
Forte
12/12 IBM 'WebSphere Host On-Demand' version 6.0, 7.0, 8.0 et 9.0
Gestion de l'authentification
Non disponible
Palliatif proposé
Secunia
INTEL
Exécution de code arbitraire via le pilote 'W29N51.SYS'
Un conflit d'accès aux ressources autorise un attaquant à provoquer l'exécution de code avec des droits privilégiés.
Forte
19/12 Intel 'PROSet/Wireless 2200BG Network Connection' version 9.0.3.9
Pilote 'W29N51.SYS'
Conflit d'accès aux ressources
Aucun correctif
Secunia
Page 47/64
Décembre 2006
KDE
Déni de service dans 'libkHTML'
Une faille non documentée dans la bibliothèque 'libkHTML' provoque un déni de service des applications l'utilisant.
Forte
19/12 KDE 'kmail' version 1.9.1, 'Konqueror' version 3.5.2, 'Libkhtml' version 4.2
Fonction 'NodeType()'
Non disponible
Aucun correctif
SecurityFocus
KERIO
Déni de service de Kerio 'MailServer'
Une faille non documentée autorise un attaquant distant à provoquer un déni de service du produit.
Forte
13/12 Kerio 'MailServer' versions inférieures à 6.3.1
Non disponible
Correctif existant Requêtes 'LDAP'
Secunia
L2TPNS
Débordement de buffer dans 'l2tpns'
Un débordement de buffer, aux conséquences inconnues, affecte 'l2tpns'.
Forte
06/12 l2tpns 'l2tpns' versions inférieures à 2.1.21
Correctif existant Fichier 'cluster.c'
Secunia
LINKSYS
Déni de service du produit 'WIP 330'
Une faille non documentée dans le téléphone Linksys 'WIP 330' peut provoquer un déni de service de ce produit.
Forte
07/12 Linksys 'WIP 330' version 1.00.06A
Fichier 'PhoneCtrl.exe'
Non disponible
Aucun correctif
Secunia
LINUX
Exécution de code arbitraire dans le noyau Linux
Un débordement d'entier dans une fonction du noyau Linux peut entraîner l'exécution de code arbitraire.
Forte
29/11 Linux 'Noyau 2.6' versions 2.6.7 à 2.6.18.3
Débordement d'entier
Correctif existant Fichier 'net/bridge/br_ioctl.c'
MoKB
CVE-2006-5751
Contournement de la sécurité dans le noyau Linux
Une faille dans une fonction du noyau Linux autorise un attaquant à contourner la sécurité qu'elle offre.
Forte
14/12 Linux 'Noyau 2.6' version 2.6.19 et inférieures
Erreur de codage
Correctif existant Fonction 'do_coredump()'
SecurityFocus
CVE-2006-6304
Déni de service dans le noyau Linux
Une faille autorise un utilisateur local à provoquer un déni de service d'une plate-forme vulnérable.
Forte
19/12 Linux 'Noyau 2.4' versions inférieures à 2.4.33.6
Erreur de codage
Correctif existant Fonction 'mincore()'
SecurityFocus
CVE-2006-4814
Déni de service de 'LockD'
Une faille dans le démon 'NFS' 'LockD' du noyau Linux peut entraîner un déni de service de celui-ci.
Forte
14/12 Linux 'Noyau 2.6' versions inférieures à 2.6.16
Erreur de codage
Correctif existant Démon 'NFS' 'LockD'
SecurityFocus
CVE-2006-5158
MAILENABLE
Exécution de code dans les produits MailEnable
Un débordement de buffer peut être exploité afin de provoquer l'exécution de code arbitraire.
Forte
18/12 MailEnable 'MailEnable Enterprise Edition' et 'MailEnable Professional Edition' version 2.35
Correctif existant Service 'POP', commande 'PASS' Débordement de buffer
Secunia
CVE-2006-6605
Page 48/64
Décembre 2006
Multiples failles dans le service 'IMAP' de MailEnable
Deux failles peuvent être exploitées afin de provoquer un déni de service ou l'exécution de code.
Forte
08/12 ‘Enterprise Edition' V1.1 à 1.41et V2.0 à 2.35 et 'Professional Edition' V1.6 à 1.84 et V2.0 à 2.35
Débordement de buffer, Déréférencement de pointeur NULL
Correctif existant Service 'IMAP'
Secunia
MCAFEE
Débordement de buffer dans 'NeoTrace'
Un débordement de buffer dans les produits 'NeoTrace' peut être exploité afin d'exécuter du code arbitraire.
Forte
22/12 McAfee 'NeoTrace Express' version 3.25 et 'NeoTrace Professional' version 3.25
Contrôle ActiveX
Aucun correctif
Secunia
MICROSOFT
Exécution de code arbitraire dans Word
Une vulnérabilité dans Word peut entraîner l'exécution de code arbitraire ou un déni de service.
Forte
12/12 Microsoft 'Word 2000', 'Word 2002', 'Word 2003' et 'Word Viewer 2003'
Gestion des fichiers '.doc'
Erreur de codage
Aucun correctif
http://research.eeye.com/html/alerts/zeroday/20061212.html
eEye
Déni de service dans 'Internet Explorer'
Une faille dans la gestion de certaines pages Web peut entraîner un déni de service du navigateur.
Forte
05/12 'Internet Explorer' V 6.0, 'Internet Explorer' V 6.0 SP1, 'Internet Explorer' V 7.0
Gestion des 'CSS'
Non disponible
Aucun correctif
SecurityFocus
Déni de service dans Microsoft Windows
Une faille dans les produits Microsoft Windows peut provoquer un déni de service d'un système vulnérable.
Forte
22/12 'Windows 2000' toutes versions, 'Server 2003' toutes versions, 'Vista' toutes versions 'XP' toutes versions
Fonction 'MessageBox()'
Aucun correctif
SecurityFocus
Déni de service via le service 'Workstation'
Une faille autorise un attaquant à provoquer un déni de service.
Moyenne 25/12 Microsoft 'Windows 2000' version SP4 et inférieures et 'Windows XP' version SP2 et inférieures
Service 'Workstation'
Non disponible
Aucun correctif
http://milw0rm.com/exploits/3013
Milw0rm
Déni de service via les fichiers '.wmv' et '.mid'
Une faille dans la gestion de certains fichiers provoque un déni de service d'une plate-forme Windows vulnérable.
Forte
15/12 'Windows 2000' version SP4, 'XP' version SP2 et inférieures, 'Media Player' V 6.4, 'Media Player' V 10.0
Fichiers '.wmv' et '.mid'
Non disponible
Aucun correctif
SecurityFocus
Déni de service via un contrôle ActiveX Outlook
Une faille non documentée dans un contrôle ActiveX d'Outlook peut entraîner un déni de service.
Forte
18/12 'Internet Explorer' version 6, 'Internet Explorer' version 7, 'Windows XP' version SP2 et inférieures
Contrôle ActiveX 'ole32.dll'
Non disponible
Aucun correctif
SecurityFocus
Exposition de crédences dans 'Project Server 2003'
Une erreur de conception peut permettre d'obtenir les crédences correspondant au compte 'MSProjectUser'.
Forte
15/12 Microsoft 'Project server 2003'
Client léger, requêtes 'XML'
Aucun correctif
Full Disclosure
Déni de service dans 'Windows 2000'
Une faille autorise un attaquant distant à provoquer un déni de service du service d'impression.
Moyenne 02/12 Microsoft 'Windows 2000' version SP4
Service d'impression
Non disponible
Aucun correctif
SecurityFocus
MOZILLA
Faille des extensions dans 'Firefox'
Une erreur de conception peut permettre à un attaquant de compromettre l'application.
Moyenne 12/12 Mozilla 'Firefox' version 2
Gestionnaire des extensions
Aucun correctif
Bugtraq
Page 49/64
Décembre 2006
NETSCAPE
Déni de service du navigateur 'Netscape Browser'
Une faille non documentée dans 'Netscape Browser' peut entraîner un déni de service du produit.
Forte
13/12 Netscape 'Netscape Browser' version 8.1.2
Traitement des 'URI'
Non disponible
Aucun correctif
SecurityFocus
NET-SNMP
Contournement de la sécurité dans 'Net-SNMP'
Une faille dans 'Net-SNMP' autorise un attaquant à corrompre des informations.
Forte
08/12 Net-SNMP 'Net-SNMP' version 5.3
Correctif existant Jetons 'rocommunity' et 'rouser' Erreur de codage
http://securitytracker.com/id?1017355
SecurityTracker
NORTEL
Vulnérabilité dans Nortel 'CallPilot'
Une faille non documentée, et aux conséquences inconnues, affecte le produit Nortel 'CallPilot'.
N/A
19/12 Nortel 'CallPilot' version 4.0
Non disponible
SecurityFocus
NOVELL
Exécution de code dans 'NetMail'
De multiples failles dans 'NetMail' peuvent entraîner l'exécution de code arbitraire ou un déni de service.
Forte
22/12 Novell 'NetMail' versions inférieures à 3.52e ftf 2
Débordement de pile, de buffer et de tas
Correctif existant Serveur 'IMAP'
Full Disclosure
iDefense
http://www.zerodayinitiative.com/advisories/ZDI-06-052.html
Zero Day Init.
Zero Day Init.
Zero Day Init.
CVE-2006-6424, CVE-2006-6425
Exécution de code dans 'ZENworks Asset Management'
Deux débordements peuvent autoriser un attaquant distant à exécuter du code avec des droits privilégiés sur un
poste.
Critique
01/12 Novell 'ZENworks Asset Management' versions inférieures à 7SP1 IR11
Débordement de tas
iDefense
iDefense
Déni de service de 'Novell Client'
Une erreur autorise un attaquant distant à provoquer un déni de service ou à obtenir des informations.
Forte
01/12 Novell 'Novell Client' version 4.91 SP2, SP2 Patch Kit et SP3
Fenêtre de message de 'NMAS'
Aucun correctif
Full Disclosure
OPENLDAP
Débordement de buffer via 'kbind'
Une faille peut provoquer un débordement de buffer.
Moyenne 14/12 OpenLDAP 'OpenLDAP' toute versions
Fichier 'kerberos.c'
Aucun correctif
http://www.phreedom.org/solar/exploits/openldap-kbind/
Phreedom
ORACLE
"Cross-Site Scripting" dans Oracle Portal
Forte
22/12 Oracle 'Oracle Portal 10g' et 'Oracle Portal 9i'
Script 'Container_Tabs.JSP'
Aucun correctif
Securityfocus
"HTTP Response Spliting" dans 'Oracle Portal 10g'
Une faille autorise un attaquant à mener des attaques de type "HTTP Response Splitting".
Forte
20/12 Oracle 'Oracle Portal 10g'
Script 'calendar.jsp'
Aucun correctif
Full Disclosure
Page 50/64
Décembre 2006
OSTICKET
"Cross-Site Scripting" dans 'osTicket'
Forte
19/12 osTicket 'osTicket' version 1.2.7 et version 1.3 beta
Script 'view.php'
Aucun correctif
SecurityFocus
PALM
Exposition d'informations via 'Palm Desktop'
Une erreur de conception autorise un utilisateur local à obtenir des informations sensibles stockées par le produit.
Moyenne 01/12 Palm 'Palm Desktop' version 4.1.4
Données utilisateurs
Aucun correctif
Secunia
PHP
Contournement de la sécurité dans 'PHP'
Une erreur de codage autorise un attaquant à contourner des restrictions de sécurité.
Forte
11/12 PHP 'PHP' version 5.2
Erreur de codage
Correctif existant 'safe_mode' et 'open_basedir'
SecurityFocus
CVE-2006-6383
PHPMYADMIN
Fausses impressions de sécurité dans 'phpMyAdmin'
Une faille dans 'phpMyAdmin' peut autoriser un attaquant distant à mettre en place de fausses impressions de
sécurité.
Forte
05/12 phpMyAdmin 'phpMyAdmin' version 2.7.0-pl2
Non disponible
Aucun correctif
SecurityFocus
PROFTPD
Débordement de buffer dans 'ProFTPd'
Un débordement de buffer dans le serveur FTP 'ProFTPd' autorise un utilisateur local à obtenir les droits de "root".
Forte
13/12 ProFTPd 'ProFTPd' version 1.3.0 et version 1.3.0a
Correctif existant Module 'mod_ctrls'
http://www.coresecurity.com/?module=ContentMod&action=item&id=1594
Core Security
REALNETWORKS
Déni de service via un contrôle ActiveX 'RealPlayer'
Une faille provoque un déni de service du navigateur d'un client vulnérable.
Forte
20/12 Real Networks 'RealPlayer' version 10.5
Contrôle ActiveX 'rpau3260.dll'
Non disponible
Aucun correctif
SecurityFocus
SAP
Multiples vulnérabilités de SAP 'IGS'
De multiples failles permettent de provoquer d'obtenir des informations et de supprimer des fichiers.
Forte
06/12 SAP 'Internet Graphics Service' version 6.40 et version 7.00
Non disponible
CYBSEC Security http://www.cybsec.com/vuln/CYBSEC-Security_Pre-Advisory_SAP_IGS_Remote_Arbitrary_File_Removal.pdf
CYBSEC Security http://www.cybsec.com/vuln/CYBSEC-Security_Pre-Advisory_SAP_IGS_Undocumented_Features.pdf
SYMANTEC
Exécution de code arbitraire dans Veritas NetBackup
De multiples vulnérabilités autorisent un attaquant à obtenir un accès non autorisé à une machine vulnérable.
Critique
13/12 Symantec 'Veritas NetBackup' version 6.0 et inférieures
Débordement de buffer, Erreur de codage
Correctif existant Démon 'bpcd'
http://www.symantec.com/avcenter/security/Content/2006.12.13a.html
Symantec
CVE-2006-4902, CVE-2006-5822, CVE-2006-6222
Elévation de privilèges dans 'LiveState'
Une erreur de conception dans le produit Symantec 'Livestate' peut permettre une élévation de privilèges.
Forte
05/12 Symantec 'LiveState'
Exécutable 'shstart.exe'
Aucun correctif
Bugtraq
Page 51/64
Décembre 2006
TYPO3
Exécution de commandes dans 'Typo3'
Un manque de validation dans une extension de 'Typo3' autorise un attaquant à exécuter des commandes
arbitraires.
Forte
20/12 Typo3 'Typo3' versions 4.0.0 à 4.0.3, version 3.7, version 3.8, version 4.1beta
Validation insuffisante de données
Correctif existant Extension 'rtehtmlarea'
http://www.sec-consult.com/272.html
SEC Consult
W3M
Exécution de code dans 'w3m'
Une erreur de chaîne de formatage dans le navigateur 'w3m' peut entraîner l'exécution de code arbitraire.
Forte
25/12 w3m 'w3m' version 0.5.1
Gestion des certificats 'SSL'
Aucun correctif
SecurityFocus
AUTRES INFORMATIONS
REPRISES D’AVIS
ET
CORRECTIFS
Les vulnérabilités suivantes, déjà publiées, ont été mises à jour, reprises par un autre organisme ou ont
donné lieu à la fourniture d’un correctif :
ADOBE
Correctifs Adobe pour la faille CVE-2006-6027
Adobe a publié le document APSB06-20 concernant la faille CVE-2006-6027 récemment discutée dans plusieurs
produits Acrobat qui peut provoquer un déni de service et l'exécution de code arbitraire via un contrôle ActiveX
malicieux. Adobe annonce que la version 8 d'Adobe 'Reader' corrige cette faille.
http://www.adobe.com/support/security/bulletins/apsb06-20.html
CVE-2006-6027
Informations pour la faille 'Acrobat Reader'
Adobe a publié l'avis APSA06-02 concernant une faille récemment discutée dans 'Acrobat Reader'. Elle autorise un
attaquant distant à provoquer un déni de service et à exécuter du code arbitraire via un contrôle ActiveX malicieux.
Adobe annonce que 'Reader', 'Acrobat Standard' et 'Acrobat Professional' versions 7.0.0 à 7.0.8 sont vulnérables.
La référence CVE CVE-2006-6027 a été attribuée à cette faille.
http://www.adobe.com/support/security/advisories/apsa06-02.html
CVE-2006-6027
APPLE
Correctif Security Update 2006-007 pour 'Mac OS X'
Apple a annoncé, dans le bulletin APPLE-SA-2006-11-28, la disponibilité du correctif Security Update 2006-007 pour
les plate-formes 'Mac OS X' et 'Mac OS X Server' versions 10.3.9 et inférieures, et 10.4.8 et inférieures. Ils
corrigent de nombreuses failles dans les composants 'AirPort', 'ClamAV', 'gunzip', 'OpenSSL', 'perl', 'PHP' et
'Samba'. Ces problèmes peuvent entraîne des dénis de service et l'exécution de code arbitraire.
http://lists.apple.com/archives/security-announce/2006/Nov/msg00001.html
CVE-2005-3962, CVE-2006-1490, CVE-2006-1990, CVE-2006-2937, CVE-2006-2940, CVE-2006-3403, CVE-2006-3738, CVE-20064182, CVE-2006-4334, CVE-2006-4335, CVE-2006-4336, CVE-2006-4337, CVE-2006-4338, CVE-2006-4339, CVE-2006-4343, CVE2006-5465, CVE-2006-5710
AVAYA
Déni de service dans les produits 'CMS' et 'IR'
Avaya a annoncé, dans le document ASA-2006-263, la vulnérabilité des produits 'CMS' (Call Management System)
versions V9, V11, R12 et R13, et 'IR' (Interactive Response) sur 'Solaris' version 8 à une faille identifiée dans le
noyau de Sun 'Solaris' qui peut entraîner un déni de service d'une plate-forme vulnérable. Avaya annonce la mise à
disposition prochaine de correctifs pour ces produits.
http://support.avaya.com/elmodocs2/security/ASA-2006-263.htm
Multiples vulnérabilités Microsoft des produits Avaya
Avaya a annoncé, dans les bulletins ASA-2006-271, ASA-2006-272, ASA-2006-273, ASA-2006-274, ASA-2006-275,
ASA-2006-277 et ASA-2006-278, la vulnérabilité de nombreux produits aux récentes failles Microsoft MS06-072,
MS06-073, MS06-074, MS06-075, MS06-076, MS06-077 et MS06-078. Les listes complètes des produits affectés
sont disponibles dans les différents bulletins Avaya.
ASA-2006-272.htm
ASA-2006-274.htm
ASA-2006-277.htm
Page 52/64
Décembre 2006
Vulnérabilité de 'mod_auth_kerb' dans 'MSS'
Avaya a annoncé, dans le bulletin ASA-2006-270, la vulnérabilité du produit Avaya 'MSS' (Messaging Storage
Server) version 3.0 à une faille identifiée dans le module Apache 'mod_auth_kerb' qui peut être exploitée par un
attaquant distant afin de provoquer un déni de service. Un correctif devrait être disponible dans une future mise à
jour majeure du produit.
CVE-2006-5989
Vulnérabilité 'Freetype' des produits 'CMS' et 'IR'
Avaya a annoncé, dans le bulletin ASA-2006-284, la vulnérabilité des produits 'CMS' (Call Management System)
versions V9, V11, R12, R13 et R13.1, et 'IR' (Interactive Response) versions 2.0 à la faille référencée CVE-20063467 qui affecte la bibliothèque 'FreeType' présente dans les serveurs X 'Xsun' et 'Xorg' sur Sun 'Solaris' versions 8,
9 et 10. Cette faille peut permettre à un utilisateur local non autorisé d'exécuter des commandes arbitraires avec
des droits privilégiés ou de provoquer un déni de service du système. Il n'y a pas de correctif disponible pour les
produits 'CMS' et 'IR'.
CVE-2006-3467
BARRACUDA NETWORKS
Faille CVE-2005-1349 de 'Barracuda Spam Firewall'
Barracuda Networks a annoncé, dans l'alerte 20061205, que le produit 'Barracuda Spam Firewall' est vulnérable à
une faille identifiée dans la bibliothèque de conversion 'Convert-UUlib'. Elle permet de provoquer l'exécution de
code arbitraire. Barracuda Networks nous informe également que Mr. Guay-Leroux, qui est à l'origine de la
découverte de cette vulnérabilité, propose un code d'exploitation permettant d'obtenir un interpréteur de
commandes (PIRANA framework).
http://www.barracudanetworks.com/ns/resources/tech_alert.php
http://www.guay-leroux.com/projects/barracuda-advisory-convert-uulib.txt
http://www.guay-leroux.com/projects/pirana-0.3.1.tar.gz
CVE-2005-1349
CIAC
Reprise de l'avis Adobe APSA06-02
Le CIAC a repris, sous la référence R-058, l'avis Adobe APSA06-02 concernant une faille dans Adobe 'Reader',
'Acrobat Standard' et 'Acrobat Professional' versions 7.0.0 à 7.0.8. Elle autorise un attaquant distant à provoquer
un déni de service et à exécuter du code arbitraire via un contrôle ActiveX malicieux.
http://www.ciac.org/ciac/bulletins/r-058.shtml
CVE-2006-6027
Reprise de l'avis Adobe APSB06-19
Le CIAC a repris, sous la référence R-066, l'avis Adobe APSB06-19 concernant un débordement de buffer dans
Adobe 'Download Manager' qui autorise un attaquant à prendre le contrôle d'une machine vulnérable.
CVE-2006-5856
Reprise de l'avis Apple Security Update 2006-007
Le CIAC a repris, sous la référence R-057, le bulletin Apple Security Update 2006-007 concernant de multiples
failles dans 'Mac OS X' et 'Mac OS X Server' qui peuvent entraîner l'exécution de code arbitraire avec des droits
privilégiés et des dénis de service.
CVE-2006-1490, CVE-2006-1990, CVE-2006-2937, CVE-2006-2940, CVE-2006-3403, CVE-2006-3738, CVE-2006-3962, CVE-20064182, CVE-2006-4334, CVE-2006-4335, CVE-2006-4336, CVE-2006-4337, CVE-2006-4338, CVE-2006-4339, CVE-2006-4343, CVE2006-4396, CVE-2006-4398, CVE-2006-4400, CVE-2006-4401, CVE-2006-4402, CVE-2006-4403, CVE-2006-4404, CVE-2006-4406,
CVE-2006-4407, CVE-2006-4408, CVE-2006-4409, CVE-2006-4410, CVE-2006-4411, CVE-2006-4412, CVE-2006-5465, CVE-20065710
Reprise de l'avis CA (BrightStor ARCserve Backup)
Le CIAC a repris, sous la référence R-070, l'avis CA concernant un débordement de buffer dans les produits
'BrightStor ARCserve Backup' qui autorise un attaquant à exécuter du code arbitraire avec des droits privilégiés.
Reprise de l'avis Cisco 71954
Le CIAC a repris, sous la référence R-071, l'avis Cisco 71954 concernant une faille dans la gestion des
authentifications via 'LDAP' par le produit Cisco 'Cisco Security Agent Management Center' (CSAMC). Elle autorise
un attaquant distant à obtenir un accès non autorisé avec des privilèges élevés.
Reprise de l'avis Debian DSA-1219
Le CIAC a repris, sous la référence R-059, l'avis Debian DSA-1219 concernant de multiples failles dans l'outil
'texinfo' qui autorisent un attaquant à corrompre des fichiers arbitraires, à provoquer un déni de service et à
exécuter du code arbitraire.
CVE-2005-3011, CVE-2006-4810
Page 53/64
Décembre 2006
Le CIAC a repris, sous la référence R-056, l'avis Debian DSA-1220 concernant une faille dans 'pstotext' qui peut
autoriser un attaquant à exécuter des commandes arbitraires.
CVE-2006-5869
Le CIAC a repris, sous la référence R-060, l'avis Debian DSA-1221 concernant un débordement de buffer dans
'libgsf' qui peut entraîner une exécution de code arbitraire.
Le CIAC a repris, sous la référence R-062, l'avis Debian DSA-1222 concernant de multiples failles dans 'ProFTPd' qui
peuvent entraîner l'exécution de code arbitraire.
CVE-2006-5815, CVE-2006-6170, CVE-2006-6171
Le CIAC a repris, sous la référence R-067, l'avis Debian DSA-1230 concernant un débordement de buffer dans
'l2tpns' qui peut permettre l'exécution de code arbitraire.
CVE-2006-5873
Le CIAC a repris, sous la référence R-082, l'avis Debian DSA-1238 concernant deux failles dans l'anti-virus 'ClamAV'
sur Debian GNU/Linux V3.1 qui peuvent provoquer un DoS et autoriser le contournement du mécanisme d'analyse.
CVE-2006-6406, CVE-2006-6481
Reprise de l'avis iDefense 453
Le CIAC a repris, sous la référence R-081, l'avis iDefense 453 concernant une erreur de chaîne de formatage dans
'Gnome Display Manager' qui peut entraîner l'exécution de code arbitraire.
CVE-2006-6105
Reprise de l'avis Microsoft 929433
Le CIAC a repris, sous la référence R-063, l'avis Microsoft 929433 concernant une faille non documentée dans
'Word' qui peut entraîner l'exécution de code arbitraire.
CVE-2006-5994
Reprise de l'avis Microsoft MS06-072 (925454)
Le CIAC a repris, sous la référence R-074, l'avis Microsoft MS06-072 (925454) concernant de multiples failles dans
le navigateur Web 'Internet Explorer' qui peuvent autoriser un attaquant distant à exécuter du code arbitraire et
obtenir des informations sensibles.
CVE-2006-5577, CVE-2006-5579, CVE-2006-5581
Le CIAC a repris, sous la référence R-075, l'avis Microsoft MS06-073 (925674) concernant une faille dans le
contrôle ActiveX 'WmiScriptUtils.dll' fourni avec Microsoft 'Visual Studio 2005' qui peut être exploitée par un
attaquant distant afin de provoquer l'exécution de code arbitraire avec des droits privilégiés.
CVE-2006-4704
Le CIAC a repris, sous la référence R-073, l'avis Microsoft MS06-074 (926247) concernant une faille dans le service
'SNMP' des plate-formes Windows qui peut être exploitée par un attaquant afin de prendre le contrôle d'une station.
CVE-2006-5583
Le CIAC a repris, sous la référence R-077, l'avis Microsoft MS06-075 (926255) concernant une faille dans les plateformes Microsoft Windows XP et Windows 2003. Elle autorise un utilisateur malveillant à élever ses privilèges lors
de l'installation d'applications avec des manifestes de fichiers spécialement construits.
CVE-2006-5585
Le CIAC a repris, sous la référence R-078, l'avis Microsoft MS06-076 (923694) concernant une faille non
documentée dans 'Outlook Express' qui peut autoriser un attaquant distant à exécuter du code arbitraire et prendre
potentiellement le contrôle d'une station vulnérable.
CVE-2006-2386
Page 54/64
Décembre 2006
Le CIAC a repris, sous la référence R-079, l'avis Microsoft MS06-077 (926121) concernant une faille dans le service
'RIS' (Remote Installation Service) qui peut autoriser un attaquant distant à supprimer des fichiers arbitraires.
CVE-2006-5584
Le CIAC a repris, sous la référence R-076, l'avis Microsoft MS06-078 (923689) concernant deux débordements de
buffer dans 'Windows Media Format' liés au traitement de fichiers '.ASF' et '.asx' qui peuvent entraîner l'exécution
de code arbitraire.
CVE-2006-4702, CVE-2006-6134
Reprise de l'avis Mozilla MFSA 2006-68
Le CIAC a repris, sous la référence R-094, l'avis Mozilla MFSA 2006-68 concernant des corruptions de la mémoire
dans les produits 'firefox', 'thunderbird' et 'seamonkey' qui peuvent entraîner l'exécution de code arbitraire.
CVE-2006-6497, CVE-2006-6498, CVE-2006-6499
Le CIAC a repris, sous la référence R-084, l'avis Mozilla MFSA 2006-69 concernant un débordement de tas dans
plusieurs produits Mozilla. Cette faille est déclenchée via un paramètre 'cursor' spécialement construit dans un
script 'CSS' et peut permettre à un attaquant distant de provoquer un déni de service des applications vulnérables
et d'exécuter du code arbitraire.
CVE-2006-6500
Le CIAC a repris, sous la référence R-085, l'avis Mozilla MFSA 2006-70 concernant une faille non documentée dans
la fonction Javascript 'watch()' de plusieurs produits Mozilla qui peut autoriser un attaquant distant à élever ses
privilèges et à installer un code malicieux.
CVE-2006-6501
Le CIAC a repris, sous la référence R-086, l'avis Mozilla MFSA 2006-71 concernant une erreur de conception dans le
composant 'LiveConnect', fourni dans plusieurs produits Mozilla, qui peut permettre à un attaquant distant de
provoquer un déni de service des applications vulnérables.
CVE-2006-6502
Le CIAC a repris, sous la référence R-087, l'avis Mozilla MFSA 2006-72 concernant une faille dans plusieurs produits
Mozilla qui permet à un attaquant distant de contourner le mécanisme de protection contre les attaques de type
"Cross-Site Scripting" en affectant à l'attribut 'src' d'un élément 'IMG' une 'URI' javascript spécialement construite.
CVE-2006-6503
Le CIAC a repris, sous la référence R-088, l'avis Mozilla MFSA 2006-73 concernant une corruption de la mémoire
dans plusieurs produits Mozilla qui peut être déclenchée lors du traitement d'un commentaire 'DOM' de 'SVG'
spécialement construit. Ceci peut être exploité par un attaquant distant afin d'exécuter du code arbitraire.
CVE-2006-6504
Le CIAC a repris, sous la référence R-089, l'avis Mozilla MFSA 2006-74 concernant de multiples débordements de
buffer dans plusieurs produits Mozilla qui peuvent être déclenchés lors du traitement de messages externes
possédant des en-têtes 'Content-Type' ou 'RFC2047-encoded' spécialement construits. Ceci peut permettre à un
attaquant distant d'exécuter du code arbitraire.
CVE-2006-6505
Le CIAC a repris, sous la référence R-090, l'avis Mozilla MFSA 2006-76 concernant une erreur de conception qui
affecte le composant 'Feed Preview' présent dans plusieurs produits Mozilla.
CVE-2006-6507
Reprise de l'avis Red Hat RHSA-2006:0749
Le CIAC a repris, sous la référence R-091, l'avis Red Hat RHSA-2006:0749 concernant une faille dans le paquetage
'tar' qui peut autoriser une traversée de répertoire et entraîner ainsi la corruption de données arbitraires.
CVE-2006-6097
Page 55/64
Décembre 2006
Reprise de l'avis Red Hat RHSA:2006-0754
Le CIAC a repris, sous la référence R-064, l'avis Red Hat Red Hat RHSA:2006-0754 concernant deux failles dans
'GnuPG' qui peuvent entraîner l'exécution de code arbitraire.
CVE-2006-6169, CVE-2006-6235
Reprise de l'avis Sun 102724
Le CIAC a repris, sous la référence R-072, l'avis Sun 102724 concernant deux failles dans la bibliothèque 'ld.so' qui
peuvent permettre à un attaquant distant d'exécuter du code arbitraire.
Le CIAC a repris, sous la référence R-093, l'avis Sun 102731 concernant de multiples failles dans Java qui
autorisent une applet non privilégiée à élever ses privilèges et à accéder à des données appartenant à d'autres
applets.
Le CIAC a repris, sous la référence R-061, l'avis Sun 102733 concernant une faille dans de nombreux produits qui
autorise un attaquant distant à mener des attaques de type "HTTP Request Smuggling".
Reprise de l'avis Symantec SYM06-024
Le CIAC a repris, sous la référence R-080, l'avis Symantec SYM06-024 concernant de multiples vulnérabilités dans
les produits Symantec Veritas NetBackup qui autorisent un attaquant à obtenir un accès non autorisé à une
machine vulnérable et à exécuter du code arbitraire.
CVE-2006-4902, CVE-2006-5822, CVE-2006-6222
Reprise de l'avis TippingPoint TSRT-06-14
Le CIAC a repris, sous la référence R-069, l'avis TippingPoint TSRT-06-14 concernant de multiples débordements de
buffer dans IBM 'Tivoli Storage Manager' qui peuvent entraîner l'exécution de code arbitraire.
CVE-2006-5855
Reprise de l'avis US-CERT VU#208769
Le CIAC a repris, sous la référence R-068, l'avis US-CERT VU#208769 concernant une faille dans le lecteur
multimedia 'Windows Media' qui peut entraîner un déni de service de l'application et l'exécution de code arbitraire.
Le CIAC a repris, sous la référence R-092, l'avis US-CERT VU#300636 concernant deux débordements de buffer
dans une bibliothèque fournie avec Novell 'Netware Client' qui peuvent entraîner l'exécution de code arbitraire.
CVE-2006-6114
Le CIAC a repris, sous la référence R-083, l'avis US-CERT VU#339004 concernant une faille dans le produit
NeoScale 'CryptoStor Tape 700 series', qui peut permettre à un utilisateur malveillant de contourner certains
mécanismes de sécurité.
CVE-2006-3896
Le CIAC a repris, sous la référence R-065, l'avis US-CERT VU#989144 concernant un manque de validation de
certaines URL par les produits Google 'Search Appliance' et 'Mini Search Appliance'. Cette faille permet de mener
des attaques de type "Cross-Site Scripting".
CVE-2006-6223
CISCO
Révision du bulletin Cisco 71992 ('OpenSSL')
Cisco a révisé le bulletin 71992 concernant la vulnérabilité de plusieurs produits aux failles 'OpenSSL' référencées
CVE-2006-4339, CVE-2006-2937, CVE-2006-2940, CVE-2006-3738 et CVE-2006-4343. Cette révision met à jour la
liste des produits vulnérables.
http://www.cisco.com/warp/public/707/cisco-sr-20061108-openssl.shtml
Révision du bulletin Cisco 71992 ('OpenSSL')
Cisco a révisé le bulletin 71992 concernant la vulnérabilité de plusieurs produits aux failles 'OpenSSL' référencées
CVE-2006-4339, CVE-2006-2937, CVE-2006-2940, CVE-2006-3738 et CVE-2006-4343. Cette révision met à jour la
liste des versions corrigées de Cisco Secure ACS.
http://www.cisco.com/warp/public/707/cisco-sr-20061108-openssl.shtml
Page 56/64
Décembre 2006
FREEBSD
Disponibilité de plusieurs correctifs
FreeBSD annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages :
kmem
FreeBSD-SA-06:25
gtar
FreeBSD-SA-06:26
http://www.freebsd.org/security/index.html#adv
FRISK
Nouvelle version de l'antivirus 'F-Prot'
Frisk a annoncé la disponibilité de la version 4.6.7 de l'antivirus 'F-Prot' sur toutes les plate-formes de type UNIX.
Cette nouvelle version corrige notamment des débordements de buffer qui peuvent être déclenchés lors du
traitement de fichier 'ACE' et 'CHM'.
http://www.f-prot.com/news/gen_news/061201_release_unix467.html
F-SECURE
Faille 'OpenSSL' dans les produits F-Secure
F-Secure a annoncé, dans le bulletin FSC-2006-6, la vulnérabilité des produits 'F-Secure Anti-Virus for Microsoft
Exchange' et 'F-Secure Internet Gatekeeper' à la faille 'OpenSSL' référencée CVE-2006-2937. Cette vulnérabilité
dans le traitement des structures 'ASN.1' peut entraîner un déni de service.
http://www.f-secure.com/security/fsc-2006-6.shtml
CVE-2006-2937
HP
Correctifs pour 'HP-UX Secure Shell'
HP a annoncé, dans le bulletin HPSBUX02178 (SSRT061267), la disponibilité de correctifs pour 'HP-UX Secure Shell'
sur 'HP-UX' versions B.11.00, B.11.11 et B.11.23. Ils corrigent deux failles qui peuvent entraîner des dénis de
service et l'exécution de code arbitraire.
http://www4.itrc.hp.com/service/cki/docDisplay.do?docId=c00815112
CVE-2006-0225, CVE-2006-4924
Failles Microsoft dans 'Storage Management Appliance'
HP a annoncé, dans le bulletin HPSBST02180 (SSRT061288), la vulnérabilité de 'Storage Management Appliance'
version I, II et III aux failles Microsoft MS06-072, MS06-074, MS06-076 et MS06-078. HP préconise d'installer les
différents correctifs Microsoft disponibles.
CVE-2006-2386, CVE-2006-5577, CVE-2006-5578, CVE-2006-5579, CVE-2006-5581, CVE-2006-5583, CVE-2006-6134
Révision du bulletin HPSBUX02153 (SSRT061181)
HP a révisé le bulletin HPSBUX02153 (SSRT061181) concernant de multiples failles dans 'Firefox' fourni sur 'HP-UX'
versions B.11.11 et B.11.23. Ces failles pouvaient entraîner des dénis de service, des élévations de privilèges et des
accès non autorisés. La version préliminaire 1.5.0.8 de 'Firefox' est maintenant disponible.
HP a révisé le bulletin HPSBUX02174 (SSRT061239) concernant de multiples failles dans 'OpenSSL' sur 'HP-UX'
version B.11.11 et B.11.23 qui peuvent entraîner des dénis de service, l'exécution de code arbitraire et une
élévation de privilèges. Cette révision apporte de nouvelles informations, notamment dans la section "Affected
Versions".
HP a révisé le bulletin HPSBUX02178 (SSRT061267) concernant deux failles dans 'HP-UX Secure Shell' qui peuvent
entraîner des dénis de service et l'exécution de code arbitraire. Cette révision met à jour les versions vulnérables de
'HP-UX'. La version B.11.00 a été supprimée de cette liste.
CVE-2006-0225, CVE-2006-4924
ISS
Problèmes avec une mise à jour pour les produits ISS
ISS a publié un document sur sa base de connaissance annonçant que l'application de la mise à jour pour les
produits Proventia et RealSecure, publiée le 13/12/2006, entraîne certains problèmes de fonctionnement avec ces
produits. Cette mise à jour a été supprimée du centre de téléchargement d'ISS et il est recommandé de ne pas
l'installer. ISS annonce qu'une nouvelle mise à jour corrigeant ces problèmes devrait être publiée le 14/12/2006.
http://isc.sans.org/diary.php?storyid=1941
https://iss.custhelp.com/cgi-bin/iss.cfg/php/enduser/std_adp.php?p_faqid=3819
Page 57/64
Décembre 2006
KDE
Information complémentaire pour la faille CVE-2006-6120
KDE a publié le bulletin advisory-20061204 concernant la faille récemment discutée dans 'KOffice', référencée CVE2006-6120. Cette faille permet de provoquer l'exécution de code arbitraire. Ce bulletin nous informe que les
versions 1.4.x et 1.6.0 de 'KOffice' sont vulnérables, et qu'un correctif pour ces versions est disponible.
http://www.kde.org/info/security/advisory-20061205-1.txt
CVE-2006-6120
LINUX DEBIAN
Disponibilité de nombreux correctifs
Debian annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages :
libgsf
DSA-1221
proftpd
DSA-1222
tar
DSA-1223
mozilla
DSA-1224
firefox
DSA-1225
links
DSA-1226
thunderbird
DSA-1227
elinks
DSA-1228
asterisk
DSA-1229
l2tpns
DSA-1230
gnupg
DSA-1231
clamav
DSA-1232
kernel
DSA-1233
ruby
DSA-1234
ruby
DSA-1235
carlotta
DSA-1236
kernel
DSA-1237
sql-clamav
DSA-1238
sql-ledger
DSA-1239
link2
DSA-1240
http://www.debian.org/security/2006/
LINUX FEDORA
Fedora annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages :
avahi
Core5 FEDORA-2006:1339
mod_auth_kerb
cups
libgsf
gnupg
avahi
evince
ruby
dbus
gdm
dovecot
kernel
thunderbird
firefox
epiphany
Core6 FEDORA-2006:149x
yelp
devhelp
firefox
https://www.redhat.com/archives/fedora-package-announce/index.html
LINUX MANDRIVA
Mandrake annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages :
tar
MDKSA-2006:219
2006
2007
CS3.0 CS4.0 MNF2.0
libgsf
MDKSA-2006:220
2007
CS3.0
gnupg
MDKSA-2006:221
2006
2007
CS3.0 CS4.0 MNF2.0
koffice
MDKSA-2006:222
2007
ImageMagick
MDKSA-2006:223
2006
CS3.0 CS4.0
xine-lib
MDKSA-2006:224
2007
CS3.0
ruby
MDKSA-2006:225
2006
2007
CS3.0 CS4.0
squirrelmail
MDKSA-2006:226
CS3.0 CS4.0
kdegraphics
MDKSA-2006:227
2007
CS3.0 CS4.0
gnupg
MDKSA-2006:228
2006
2007
CS3.0 CS4.0 MNF2.0
evince
MDKSA-2006:229
2007
clamav
MDKSA-2006:230
2006
2007
CS3.0 CS4.0
gdm
MDKSA-2006:231
2007
proftpd
MDKSA-2006:232
2007
http://www.mandriva.com/security
Page 58/64
Décembre 2006
LINUX REDHAT
RedHat annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages :
jbossas
RHSA-2006:0743-01
AS.ES.WS 4.0
gnupg
RHSA-2006:0754-01
AS.ES.WS 2.1
AS.ES.WS 3.0
AS.ES.WS 4.0
mod_auth_kerb RHSA-2006:0746-01
AS.ES.WS 4.0
thunderbird
RHSA-2006:0760-01
AS.ES.WS 4.0
seamonkey
RHSA-2006:0759-01
AS.ES.WS 2.1
AS.ES.WS 3.0
AS.ES.WS 4.0
firefox
RHSA-2006:0758-01
AS.ES.WS 4.0
tar
RHSA-2006:0759-01
AS.ES.WS 2.1
AS.ES.WS 3.0
AS.ES.WS 4.0
http://www.linuxsecurity.com/content/blogcategory/98/110/
LINUX SuSE
SuSE annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages :
mono
SUSE-SA:2006:073
madwifi
SUSE-SA:2006:074
gpg
SUSE-SA:2006:075
libgsf
SUSE-SA:2006:076
flashplayer
SUSE-SA:2006:077
clamav
SUSE-SA:2006:078
kernel
SUSE-SA:2006:079
Summary Report 27
SR_2006_27
Summary Report 28
SR_2006_28
Summary Report 29
SR_2006_29
http://www.novell.com/linux/security/advisories.html
MICROSOFT
Correctif pour 'Visual Studio 2005'
Microsoft a annoncé, dans le bulletin MS06-073 (925674), la disponibilité d'un correctif pour 'Visual Studio 2005'. Il
corrige une faille dans le contrôle ActiveX 'WmiScriptUtils.dll' fourni avec Microsoft 'Visual Studio 2005'. Cette faille
peut être exploitée par un attaquant distant, à l'aide d'une page Web spécialement construite, afin de provoquer
l'exécution de code arbitraire avec des droits privilégiés.
CVE-2006-4704
Correctifs pour 'Windows Media Format'
Microsoft a annoncé, dans le bulletin MS06-078 (923689), la disponibilité de correctifs pour 'Windows Media
Format'. Ils corrigent deux failles liées au traitement de fichiers '.ASF' et '.asx' qui peuvent entraîner l'exécution de
code arbitraire.
CVE-2006-4702, CVE-2006-6134
Révision du bulletin MS06-078 (923689)
Microsoft a révisé le bulletin MS06-078 (923689) concernant un débordement de buffer dans 'Windows Media
Format' qui peut entraîner l'exécution du code arbitraire. Cette révision met à jour plusieurs informations et
annonce la disponibilité d'un nouveau correctif pour la version Coréenne.
CVE-2006-4702, CVE-2006-6134
NETSCAPE
Faille CVE-2006-6077 dans le navigateur 'Netscape'
Secunia a publié une alerte annonçant que le navigateur 'Netscape' est vulnérable à la faille récemment discutée
dans 'Firefox', référencée CVE-2006-6077. Cette vulnérabilité, dans le gestionnaire de mots de passe, autorise un
attaquant distant à obtenir des informations sensibles. Il est annoncé que la version 8.1.2 de 'Netscape' est
vulnérable. Il n'y a pas de correctif officiel disponible mais une parade est fournie dans l'avis Secunia .
CVE-2006-6077
NOVELL
Correctifs pour 'Novell Client for Windows'
Novell a annoncé, dans le document 3546910, la disponibilité de correctifs pour le produit 'Novell Client for
Windows'. Ils corrigent une erreur de chaîne de formatage qui autorise un attaquant distant à provoquer un déni de
service ou à lire une portion arbitraire de la mémoire d'une machine vulnérable.
Page 59/64
Décembre 2006
OPENOFFICE
Vulnérabilité Word dans OpenOffice
Des messages postés sur la liste de diffusion Bugtraq nous informent que la faille récemment discutée dans Word
provoque un débordement d'entier dans le produit OpenOffice version 2.1. Cette faille affecte la fonction
'WW8PLCF::GeneratePLCF()' du produit, et permet l'exécution de code arbitraire ainsi qu'un déni de service.
Aucune information disponible ne nous permet d'affirmer que cette faille est identique à celle affectant Microsoft
Word. Il n'y a pas de correctif disponible à notre connaissance.
http://www.securityfocus.com/archive/1/454514
SGI
Correctif cumulatif #68 pour SGI ProPack 3 SP6
SGI a annoncé, dans le bulletin 20061202-01-P, la disponibilité du correctif cumulatif "Security Update #68"
(correctif 10359) pour SGI ProPack 3 SP6 sur plate-forme Altix. Ils corrigent plusieurs failles dans les applications
'seamonkey' et 'tar' qui peuvent entraîner, entre autres choses, des dénis de service et l'exécution de code
arbitraire.
ftp://patches.sgi.com/support/free/security/advisories/20061202-01-P.asc
CVE-2006-6097, CVE-2006-6497, CVE-2006-6498, CVE-2006-6501, CVE-2006-6502, CVE-2006-6503, CVE-2006-6504, CVE-20066505
Correctifs cumulatif #67 pour SGI ProPack 3 SP6
SGI a annoncé, dans le bulletin 20061201-01-P, la disponibilité du correctif cumulatif "Security Update #67"
(correctif 10357) pour SGI ProPack 3 SP6 sur plate-forme Altix. Ils corrigent de multiples failles dans les
paquetages 'gnupg' et 'openssh' qui pouvaient autoriser, entre autres choses, l'exécution de code arbitraire et le
contournement de certains mécanismes de sécurité.
ftp://patches.sgi.com/support/free/security/advisories/20061201-01-P.asc
CVE-2006-5794, CVE-2006-6169, CVE-2006-6235
SUN
Révision du bulletin 101658
Sun a révisé le bulletin 101658 concernant des faiblesses dans la conception du protocole 'ICMP' qui permettaient à
un attaquant distant de provoquer l'interruption de connexions réseau. Cette révision annonce la mise à jour des
sections "Contributing Factors" et "Resolution", et clos l'alerte.
CVE-2004-0790, CVE-2004-0791
Sun a révisé le bulletin 102550 concernant de multiples failles dans la suite Mozilla qui permettaient en particulier
de provoquer des dénis de services et l'exécution de code arbitraire, et d'obtenir une élévation de ses privilèges.
Cette révision annonce la mise à jour des sections "Contributing Factors" et "Resolution sections".
CVE-2006-1742, CVE-2006-1790
Sun a révisé le bulletin 102648 concernant la vulnérabilité de plusieurs produits Sun, ainsi que des produits tiers
fournis avec des produits Sun, à la faille 'OpenSSL' CVE-2006-4339. Cette révision annonce la mise à jour de la
section "Contributing Factors".
CVE-2006-4339
Sun a révisé le bulletin 102648 concernant la vulnérabilité de plusieurs produits Sun, ainsi que des produits tiers
fournis avec des produits Sun, à la faille 'OpenSSL' CVE-2006-4339. Cette révision annonce la mise à jour de la
section "Contributing Factors".
CVE-2006-4339
Sun a révisé le bulletin 102652 concernant une faille dans 'XDM' sur Sun 'Solaris' qui peut entraîner l'exposition
d'informations. Cette révision annonce la mise à jour des sections "Contributing Factors" et "Resolution".
CVE-2006-5214
Sun a révisé le bulletin 102657 concernant la vulnérabilité du produit Sun Secure Global Desktop version 4.2
(Solaris et Linux) à la faille 'OpenSSL' CVE-2006-4339. Cette vulnérabilité permet à un attaquant de forger des
signatures 'RSA' de type 'PKCS #1 v1.5'. Cette révision annonce la disponibilité d'un correctif et clos l'alerte.
CVE-2006-4339
Page 60/64
Décembre 2006
Sun a révisé le bulletin 102722 concernant la vulnérabilité de la bibliothèque 'libike' à la faille 'OpenSSL' référencée
CVE-2006-4339 qui permet à un attaquant de forger des signatures de type 'PKCS #1 v1.5'. Cette révision annonce
la mise à jour des sections "Contributing Factors" et "Relief/Workaround".
CVE-2006-4339
Sun a révisé le bulletin 102725 concernant une faille dans le démon 'snmpd' de Sun 'Solaris', qui peut entraîner un
déni de service. Cette révision annonce la mise à jour de la section "Impact".
CVE-2006-5941
Révision du bulletin Sun 102663
Sun a révisé le bulletin 102663 concernant deux failles dans les modules 'mod_rewrite' et 'mod_imap' du serveur
Web 'Apache', sur Sun 'Solaris' versions 8, 9 et 10. Cette révision annonce la mise à jour des sections "Updated
Contributing Factors" et "Resolution", et clos le bulletin.
CVE-2005-3352, CVE-2006-3747
Vulnérabilité CVE-2006-4339 dans 'Solaris WAN Boot'
Sun a annoncé, dans le bulletin 102759, la vulnérabilité de 'Solaris WAN Boot' sur 'Solaris' versions 9 et 10 à la
faille 'OpenSSL' référencée CVE-2006-4339. Cette vulnérabilité permet à un attaquant de forger des signatures de
type 'PKCS #1 v1.5'. Il n'y a pas de correctif officiel actuellement disponible.
CVE-2006-4339
Vulnérabilité 'OpenSSL' dans 'Solaris' version 10
Sun a publié le document 102744 concernant la vulnérabilité de Sun 'Solaris' version 10 à la faille 'OpenSSL'
référencée CVE-2006-4339. Elle autorise un attaquant à forger des signatures de type 'PKCS #1 v1.5'. Il n'y a pas
de correctif officiel disponible.
CVE-2006-4339
Vulnérabilités 'OpenSSL' de Sun 'Solaris' 10
Sun a annoncé, dans le bulletin 102747, la vulnérabilité du système Sun 'Solaris' version 10 aux failles 'OpenSLL'
référencées CVE-2006-2937 et CVE-2006-2940. Ces failles peuvent entraîner des dénis de services du système.
CVE-2006-2937, CVE-2006-2940
SYMANTEC
Correctif pour NetBackup
Symantec a annoncé, dans le bulletin SYM06-023, la vulnérabilité de 'NetBackup PureDisk Remote Office Edition'
version 6.0 à la faille 'PHP' référencée CVE-2006-5465. Elle peut être exploitée par un attaquant distant afin
d'exécuter du code arbitraire avec les droits de l'application courante. La version 6.1 de 'NetBackup PureDisk
Remote Office Edition' corrige cette faille.
http://seer.support.veritas.com/docs/285984.htm
http://securityresponse.symantec.com/avcenter/security/Content/2006.11.28.html
CVE-2006-5465
VMWARE
Faille CVE-2006-3918 dans 'VMware ESX Server'
VMware a annoncé la vulnérabilité du produit 'VMware ESX Server' à la faille 'Apache' référencée CVE-2006-3918,
qui autorise un attaquant distant à mener des attaques de type "Cross-Site Scripting". Les versions 2.0.2 à 3.0.1
sont vulnérables. Un correctif sera inclus dans la prochaine version du produit.
http://kb.vmware.com/KanisaPlatform/Publishing/466/5915871_f.SAL_Public.html
CVE-2006-3918
Vulnérabilité CVE-2006-4980 dans 'VMware ESX Server'
VMware a annoncé la vulnérabilité du produit 'VMware ESX Server' versions 3.0.x à la faille Python référencée CVE2006-4980. Elle permet l'exécution de code arbitraire via la fonction 'repr()'. Un correctif sera inclus dans la
prochaine version du produit.
http://kb.vmware.com/KanisaPlatform/Publishing/882/5120103_f.SAL_Public.html
CVE-2006-4980
XINE
Correctif pour la faille CVE-2006-2200
La version 1.1.3 de 'xine-lib' a été publiée. Cette nouvelle version corrige la faille référencée CVE-2006-2200,
permettant l'exécution de code arbitraire via un flux MMS spécialement construit.
http://sourceforge.net/project/shownotes.php?release_id=468432
CVE-2006-2200
Page 61/64
Décembre 2006
CODES D’EXPLOITATION
Les codes d’exploitation des vulnérabilités suivantes ont fait l’objet d’une large diffusion :
ORACLE
Code d'exploitation pour la faille CVE-2004-1364
Un code d'exploitation a été publié sur le site Web de Packet Storm Security exploitant la faille Oracle référencée
CVE-2004-1364. Cette vulnérabilité, une traversée de répertoire dans le composant 'extproc' de 'Oracle 9i' et
'Oracle 10g', autorise un attaquant distant à accéder à des bibliothèques arbitraires. Ce code d'exploitation, écrit en
PL/SQL, permet d'exécuter des commandes arbitraires sur une machine vulnérable, avec les droits de l'utilisateur
"DBMS".
http://packetstormsecurity.org/0612-exploits/raptor_oraextproc.sql.txt
CVE-2004-1364
BULLETINS ET NOTES
Les bulletins d’information suivants ont été publiés par les organismes officiels de surveillance et les
éditeurs :
VIRUS
Exploitation de la faille Symantec SYM06-010
La société eEye nous informe de l'apparition d'un ver exploitant la faille Symantec SYM06-010 afin de se propager.
Cette faille, un débordement de pile dans les anti-virus Symantec, peut entraîner l'exécution de code arbitraire.
eEye et le SANS fournissent une analyse complète de ce code malicieux. Il est fortement recommandé de mettre à
jour vos produits Symantec, ainsi que vos signatures d'anti-virus.
http://www.incidents.org/diary.php?storyid=1945
http://www.incidents.org/diary.php?storyid=1947
http://research.eeye.com/html/alerts/AL20061215.html
Page 62/64
Décembre 2006
ATTAQUES
OUTILS
PSIPHON
$ Description
Développé dans le cadre du projet ‘CiviSec’ géré par l’université de Toronto et financé par l’institut
‘Open Society’ de la fondation Soros, le système ‘Psiphon’ a pour objet d’offrir un accès sécurisé
et libre de toute censure à l’Internet. Le principe retenu est somme toute assez classique: un système tiers – dit
‘PsiNode’ - situé dans un pays où aucun filtrage ne s’applique joue le rôle de passerelle WEB entre un client dit
‘PsiPhonite’ et des services dont l’accès est interdit à ce client. La page de présentation du projet cite notamment le
cas de l’encyclopédie Wikipédia inaccessible depuis certains pays.
Les concepteurs ont volontairement choisi une solution
technique n’imposant aucune contrainte sur le client tout
en garantissant la totale confidentialité de flux échangé
entre celui-ci et le monde extérieur.
Ainsi, après s’être connecté à l’aide d’un quelconque
navigateur sur un ‘PsiNode’ puis s’être authentifié par son
login et mot de passe, l’utilisateur se verra proposer une
barre de navigation lui permettant d’accéder à l’Internet
sans plus aucun filtrage.
L’utilisation du protocole HTTPS permet garantir la totale
confidentialité du trafic échangé et d’échapper à certains
mécanismes de détection qui pourraient être mis en place
aux points d’interconnexion du réseau.
La solidité de l’architecture ici proposée repose sur la totale
indépendance des nœuds d’accès. Ces derniers sont opérés
par les détenteurs des systèmes sur lesquels est installé le
logiciel serveur PsyPhon qui distribuent comme ils l’entendent l’adresse d’accès au nœud et les authentifiants,
généralement à des connaissances - amis ou membre de la famille – habitant dans un pays où l’accès est censuré.
Une première version du logiciel serveur est disponible sur
le site du projet depuis le 1er décembre, le code source
n’étant cependant pas encore disponible.
Page 63/64
Décembre 2006
Fonctionnant uniquement en environnement Windows, ce logiciel prend la forme d’un paquetage compressé de
presque 2Mo qu’il faudra simplement extraire dans un répertoire. La configuration est d’une extrême simplicité et ne
requiert d’autres actions que la déclaration des utilisateurs autorisés ainsi que le paramétrage d’un éventuel certificat.
Il est fort probable que l’on puisse trouver d’autres applications à cet environnement dont certaines pourraient bien
poser quelques problèmes de sécurité en facilitant le contournement des règles de filtrage mises en œuvre sur les
sorties des réseaux d’entreprise.
http://www.psiphon.ca
http://psiphon.civisec.org/PsiphonAug232006.html
- Portail d’accès
- Présentation du mode de fonctionnement
Page 64/64

Veille Technologique Sécurité

Transcription

Documents pareils