Veille Technologique Sécurité
Transcription
Veille Technologique Sécurité
APOGEE Communications R Raap pp poorrtt d dee V Veeiillllee T Teecch hn no ollo og giiq qu uee S Sééccu urriittéé N N°°1 11 18 8 Mai 2008 Les informations fournies dans ce document ont été collectées et compilées à partir de sources d'origines diverses et publiquement accessibles: listes de diffusion, newsgroups, sites Web, ... Ces informations sont fournies pour ce qu'elles valent sans garantie d'aucune sorte vis à vis de l'exactitude, de la précision ou de la qualité de l'information. Les URL associées à certains thèmes sont validées à la date de la rédaction du document. Les symboles d’avertissement suivants seront éventuellement utilisés: 0 1 Site dont la consultation est susceptible de générer directement ou indirectement, une attaque sur l’équipement de consultation, voire de faire encourir un risque sur le système d’information associé. Site susceptible d’héberger des informations ou des programmes dont l’utilisation est répréhensible au titre de la Loi Française. Aucune garantie ne peut être apportée sur l'innocuité de ces sites, et en particulier, sur la qualité des applets et autres ressources présentées au navigateur WEB. LLaa ddiiffffuussiioonn ddee ccee ddooccuum meenntt eesstt rreessttrreeiinnttee aauuxx cclliieennttss ddeess sseerrvviicceess V VTTS S--R RA APPPPO OR RTT eett V VTTS S--EEN NTTR REEPPR RIIS SEE Les marques et les produits cités dans ce rapport sont la propriété des dépositaires respectifs. APOGEE Communications – Groupe DEVOTEAM 1, rue GALVANI 91300 Massy Palaiseau Pour tous renseignements Offre de veille: http://www.devoteam.fr/ Informations: [email protected] ©DEVOTEAM Solutions - Tous droits réservés C O N N E C T I N G B U S I N E S S & T E C H N O L O G Y Mai 2008 Au sommaire de ce rapport … PRODUITS ET TECHNOLOGIES LES PRODUITS 7 7 VISTA 7 ERRATASEC – LOOKINGGLASS V1.1 7 INFORMATIONS ET LEGISLATION LES INFORMATIONS 8 8 CONFERENCES 8 OWASP – APPSEC2008 / EU 8 MAGAZINE 8 ENISA - LA REVUE ANYCAST – A SOLUTION FOR RELIABLE DNS SERVICES SELF CLEANSING AND INTRUSION TOLERANCE HNS - (IN)SECURE MAGAZINE N°16 PRODUCING SECURE SOFTWARE WITH SECURITY ENHANCED SOFTWARE DEVELOPMENT PROCESSES RECOMMANDATIONS 8 9 10 11 12 12 CEN – BEST PRACTICES FOR THE DESIGN AND DEVELOPMENT OF CRITICAL INFORMATION SYSTEMS ENISA – SECURE PRINTING ATTAQUES SSH – ANALYSE DES TECHNIQUES D’ATTAQUE SECURISATION NSA - BLUETOOTH SECURITY NIST – SP800-123 / GUIDE TO GENERAL SERVER SECURITY REFERENCES CIS - CATALOGUE DE PROCEDURES ET DE TESTS DISA – GUIDES ET CHECKLISTS DE SECURISATION NIST – ETAT DES GUIDES DE LA SERIE SP800 NSA - CATALOGUE DES GUIDES DE SECURITE LA LEGISLATION DEMATERIALISATION FNTC – VADEMECUM JURIDIQUE DE LA DEMATERIALISATION DES DOCUMENTS DCSSI/DGME – REFERENTIEL GENERAL DE SECURITE DIT ‘RGS’ 12 14 16 16 17 17 17 19 19 20 21 23 24 24 24 25 LOGICIELS LIBRES LES SERVICES DE BASE LES OUTILS 27 27 27 NORMES ET STANDARDS LES PUBLICATIONS DE L’IETF 29 29 LES LES RFC DRAFTS NOS COMMENTAIRES LES RFC RFC5000 29 29 33 33 33 ALERTES ET ATTAQUES ALERTES 37 37 AVIS OFFICIELS 39 GUIDE DE LECTURE FORMAT DE LA PRESENTATION SYNTHESE MENSUELLE ALERTES DETAILLEES ADOBE ALCATEL/LUCENT APPLE CA CISCO CITRIX CREATIVE LABS DEBIAN DJANGO DRUPAL Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés 37 38 38 39 39 39 39 39 39 40 40 40 41 41 Page 2/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 HP IBM LINUX MICROSOFT MOZILLA MYSQL NASA NORTEL PAM-PGSQL PHP RED HAT STUNNEL SUN SYMANTEC TYPO3 XEROX ALERTES NON CONFIRMEES AKAMAI APACHE APPLE ARUBA NETWORKS AUDACITY B2EVOLUTION BARRACUDA NETWORKS BLENDER BORLAND CA CASTLE ROCK CBRPAGER CERBERUS CERULEAN STUDIOS CISCO CLAROLINE CPANEL EMC F5 NETWORKS FIREBIRD FOXIT GFORGE GNOME GNU GRAPHICSMAGICK HORDE IBM INTERCHANGE INVENSYS JELSOFT JOOMLA! LENOVO LIBXSLT LINUX MANTIS MICROSOFT MOTOROLA MOZILLA MTR NAGIOS NET-SNMP NOVELL OPENSSL ORACLE PHP PHP-NUKE QEMU RDESKTOP SAMBA SAP SARG SETROUBLESHOOT SIPP SNORT SONICWALL SWFDEC SYSTEM-CONFIG-NETWORK TYPO3 UNDERBIT VSFTPD WORDPRESS XENSOURCE XIPH ZYXEL Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés 41 41 42 42 43 43 43 43 43 43 43 43 44 44 44 45 45 45 45 45 45 45 46 46 46 46 46 46 46 46 47 47 47 47 47 47 48 48 48 48 48 48 48 49 49 49 49 49 50 50 50 51 51 51 51 51 51 51 52 52 52 52 52 52 52 52 53 53 53 53 53 53 53 53 54 54 54 54 54 55 55 Page 3/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 AUTRES INFORMATIONS 55 REPRISES D’AVIS 55 ET CORRECTIFS ADOBE APPLE ATERM AVAYA CIAC CISCO HITACHI HP IBM LINUX DEBIAN LINUX FEDORA LINUX MANDRIVA LINUX REDHAT LINUX SUSE MOZILLA MRXVT NETBSD RXVT SUN US-CERT WTERM XEMACS 55 55 55 55 56 57 57 57 58 58 58 59 60 60 60 60 60 61 61 61 61 62 CODES D’EXPLOITATION 62 BULLETINS ET NOTES 62 CREATIVE LABS 62 US-CERT 62 ATTAQUES ANALYSES 63 63 SUR LES RISQUES ENCOURUS A PASSER LES FRONTIERES AMERICAINES AVEC DES DONNEES NUMERIQUES Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés 63 Page 4/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 Le mot de la rédaction … Si un bogue devait se voir décerner la palme d’or, c’est bien celui qui vient d’être découvert dans l’implémentation de la librairie OpenSSL faite par Debian. Comme cela est très bien expliqué dans l’article publié par HD Moore, le problème de sécurité qui découle de ce bogue trouve son origine dans la correction d’un problème de codage – une variable non initialisée – signalé par un outil d’analyse de code. En éliminant purement et simplement deux lignes de code dont celle annoncée poser problème, le mainteneur du paquetage DEBIAN a réduit la source d’entropie utilisée pour générer les clefs à seulement 15 bits, la taille de l’identifiant d’un processus. Une attaque en force fort efficace peut alors être mise en œuvre qui permettra de révéler une clef privée. L’impact de cette ‘petite erreur’ est conséquente: toutes les clefs privées ayant été générées avec OpenSSL en environnement DEBIAN – et tous ses dérivés – depuis septembre 2006 doivent être considérées comme compromises et doivent être révoquées sans plus attendre, que ces clefs soient utilisées ou non en environnement DEBIAN… http://metasploit.com/users/hdm/tools/debian-openssl/ On peut même aller plus loin en considérant, comme le fait remarquer Cedric Blanchet dans un billet qu’il faut lire, que sont potentiellement fragilisées, car prédictibles, toutes les données générées par une application ayant fait appel à l’environnement OpenSSL sous DEBIAN pour obtenir une séquence aléatoire. Aïe… http://sid.rstack.org/blog/index.php/275-du-hasard-et-de-ses-consequences Le moins que l’on puisse dire est que les choses ne vont pas en s’améliorant ces derniers temps et la lecture de l’interview de David Perry (Trend Micro) qui nous parle de l’industrialisation de la production de codes malicieux – de 4000 à 5000 nouveaux codes produits par jour - ne renforce pas vraiment le sentiment d’aller vers une société de l’information et de l’immatériel plus sure et plus accueillante. http://www.globalsecuritymag.fr/David-Perry-Trend-Micro-4-000-a-5,20080519,3086 Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 5/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 On notera enfin la publication d’une version plus complète du papier proposé par David Evans & all à l’occasion de la conférence 3C24 portant sur la retroanalyse d’une carte RFiD Mifare et de son algorithmique (Rapport N°114 – Janvier 2008). Cette publication porte un coup fatal à un système réputé et très largement utilisé. http://www.cs.virginia.edu/~evans/pubs/usenix08/usenix08.pdf Bonne lecture. Bertrand VELLE Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 6/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 P PR RO TEECCH OD DU HN UIIT NO OL TS LO SE OG GIIE ET TT ES S LES PRODUITS VISTA ERRATASEC – LOOKINGGLASS V1.1 Description Fondée en 2006 par Robert Graham – ex. Network ICE - et David Maynor – ex. ISS XForce - la société ‘Errata Security’ intervient dans le domaine du conseil et de l’audit, et publie de temps à autre divers utilitaires de sécurité dont ‘Ferret’ (Rapport N°114 – Janvier 2008) et ‘LookingGlass’ mis à disposition en Février dernier et mis à jour en Avril. Développé avec le Framework .NET 2.0 et exclusivement dédié à l’environnement Windows VISTA l’utilitaire ‘LookingGlass’ permet d’inspecter les ressources présentes sur le système et les processus en cours d’exécution à la recherche d’éventuels problèmes de sécurité. Analyse des ressources: Les librairies et les fichiers exécutables présents sur le système audité sont analysés un à un pour déterminer si: - le mécanisme de protection ASLR est activé. Il consiste à modifier, lors du chargement du code, l’organisation de la mémoire afin de rendre celleci non prédictible (Address Space Layout Randomization) et ainsi complexifier la tâche d’un éventuel code injecté dans la pile du processus. - le mécanisme d’interdiction de l’exécution de code en pile – dit NX ou No eXecute – est activé. - des fonctions à risque de la librairie ‘C’ – dite CLib – sont appelées par le code dont notamment les fonctions de manipulation de chaîne de caractères. Analyse des processus: Les mêmes analyses pourront être effectuées sur tous les processus qui sont chargés en mémoire, permettant ainsi de compléter le diagnostic établi précédemment. Cet outil permet d’obtenir un état des lieux sans, hélas, permettre de corriger les problèmes identifiés sauf à disposer des sources des applications. Les informations ainsi obtenues pourront toutefois être utilisées pour déterminer le niveau de vulnérabilité potentielle d’une application et ainsi définir les mesures à prendre: de la mise en place d’un mécanisme de protection auxiliaire à la mise à l’index pure et simple de la dite application. Complément d’information http://www.erratasec.com/lookingglass.html Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 7/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 IIN NF LEEG FO GIIS OR RM SL MA LA AT AT TIIO TIIO ON ON NS N SE ET TL LES INFORMATIONS CONFERENCES OWASP – APPSEC2008 / EU Description L’édition 2008 de la conférence sur la sécurité des applications WEB – AppSec – organisée par l’OWASP s’est tenue du 19 au 22 mai dernier en Belgique à Gand avec quelques 29 présentations qui se sont déroulées sur deux sessions tenues en parallèle. Les supports de la majorité des présentations sont désormais disponibles sur le site de l’OWASP. Agile Security - Breaking the Waterfall Mindset of the Security Industry Best Practices Guide: Web Application Firewalls Building and Stopping Next Generation XSS Worms Client-side security Detecting Security Vulnerabilities in Web Apps Using Dynamic Analysis Dynamic Taint Propagation: Finding Vulnerabilities Without Attacking Evaluation Criteria for Web Application Firewalls Exploiting Online Games Fundamental Application Security Building Blocks Google-Hacking and Google-Shielding Graph Analysis for WebApps: From Nodes to Edges How Data Privacy affects Applications and Databases HTML5 security Input validation: the Good, the Bad and the Ugly Know Thyself! NTLM Relay Attacks Office 2.0: Software as a Service, Security on the Sidelines? PHPIDS Monitoring attack surface activity Preventing SQL Injections in Online Applications Remo presentation - Positive ModSecurity rulesets / Input validation Scanstud: Evaluating static analysis tools Security framework is not in the code SHIELDS: metrics, tools and Internet services to improve security SWF and the Malware Tragedy The OWASP Anti-Samy project The OWASP Education Project The OWASP Orizon Project internals Threat Modeling for Application Designers & Architects Trends in Web Hacking: What's hot in 2008 Watch What You Write: Preventing XSS by Observing Program Output Complément d’information http://www.owasp.org/index.php/AppSecEU08 Dave Wichers Alexander Meisel Arshan Dabirsiaghi Pdp Andrew Petukhov & all Matias Madou Ivan Ristic Gary McGraw Dave Wichers Amichai Shulman Simon Roses Femerling Dirk De Maeyer Thomas Roessler Johan Peeters Dieter Gollmann Eric Rachner John Heasman Mario Heiderich Etienne Janot Christian Folini Martin Johns & all Sam Reghenzi Domenico Rotondi Ben Fuhrmannek Jason Li Martin Knobloch Paolo Perego Shay Zalalichin Ofer Shezaf Matias Madou & all - Agenda des présentations MAGAZINE ENISA - LA REVUE Description Le premier numéro, pour l’année 2008, de la revue ‘ENISA Quarterly’, rebaptisé ‘ENISA Quarterly Review’, est paru mi-Mai. Il a pour thème principal la Résilience des réseaux de communication. La résilience est ici définie comme étant la capacité d’un réseau à fournir et à maintenir un niveau de service acceptable tout en étant confronté à des fautes et à des dysfonctionnements. Plus précisément et dans le contexte de la sécurité informatique, ce terme désignera la capacité d’un réseau à survivre à une attaque ou à une faute, une exigence qui ne peut être atteinte sans respecter les quatre propriétés fondamentales de la sûreté de fonctionnement couramment désignées par le sigle anglo-saxon RAMS (FMDS en Français): Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 8/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 - Reliability (Fiabilité) Aptitude d'un système à accomplir une fonction requise, dans des conditions données, pendant un intervalle de temps déterminé. - Availability (Disponibilité) Aptitude d'un système à être en état d'accomplir une fonction requise, dans des conditions données, à un instant donné, en supposant que la fourniture des moyens extérieurs soit assurée. - Maintainability (Maintenabilité) Aptitude d'un système à être maintenu ou rétabli, en un temps donné, dans un état de fonctionnement bien défini lorsque les opérations de maintenance sont accomplies avec des moyens donnés, suivant un programme déterminé. - Safety (Sécurité) Aptitude d'un système à ne pas générer, dans des conditions données, des événements critiques ou catastrophiques. Bien souvent présentée comme étant la science des ‘défaillances’, la sûreté de fonctionnement – SdF - a longtemps été considérée comme n’étant applicable qu’à des systèmes industriels complexes. Bien que s’appuyant sur des concepts, et des méthodologies d’analyse, similaires à ceux employés dans le domaine de la sécurité des systèmes d’information, la SdF traite de l’impact des risques liés à des évènements spécifiques intervenant dans un contexte a priori fermé et parfaitement défini. L’objectif est ici d’assurer la stabilité du système dans des conditions opérationnelles données et connues, pour ne pas dire peu évolutives: une chaîne de fabrication, une centrale nucléaire, un avion, un train ou une voiture. De telles conditions sont rarement rencontrées dans le contexte des systèmes d’information tels que nous les pratiquons au quotidien – ERP, BackOffice, Portails WEB, sites marchands… - lesquels sont majoritairement constitués d’équipements informatiques et d’un assemblage de composants logiciels interconnectés selon des scénarios fortement évolutifs. Les réseaux de communication restent, eux, et pour un temps encore, susceptibles d’exhiber les conditions requises pour une analyse de type ‘sûreté de fonctionnement’ visant à améliorer leur résilience pour reprendre le terme utilisé en introduction de ce numéro de 28 pages de la revue de l’ENISA dont le sommaire est reproduit ci-dessous: A Word from the Executive Director A Word from the Editor A Word from the Experts Resilient eCommunication Networks Towards an EU Policy Initiative on Critical CIIP The ARECI Study Improving Internet Resilience in Norway Inter-domain Routing .SE Celebrates its First Anniversary with DNSSEC Anycast – A Solution for Reliable DNS Services INTERSECTION – Resiliency and Security for Heterogeneous Communication Infrastructures BUGYO – Building Security Assurance in Open Infrastructures eMobility – Shaping the Future of Wireless Communications Self Cleansing and Intrusion Tolerance From our own Experts ENISA Activities on Resilient Public eCommunications The Economics of NIS Food for Thought What’s Cooking (or not)? ENISA Short News Comme toujours, parmi tous les articles intéressants de cette revue, quelques articles ont plus particulièrement attiré notre attention. Anycast – A Solution for Reliable DNS Services Jörg Schweiger est le directeur technique du DENIC, l’organisme en charge de la gestion des noms de domaine enregistrés sous le ccTLD Allemand ‘.de’. En France, ce rôle est tenu par l’AFNIC. L’article porte sur le procédé de routage de proximité dit ‘Anycast’ appliqué au système DNS, un procédé que le DENIC a mis en pratique depuis plusieurs années et maîtrise parfaitement. Responsable de l’une des instances du serveur racine ‘K’ depuis janvier 2004, cette organisation gère maintenant deux constellations Anycast constituées de quelques 10 serveurs situés à Berlin, Francfort, Tokyo, Miami, Séoul et Sao Paulo pour la première constellation et à Amsterdam, Vienne, Stockholm et Elmsford pour la seconde. Le terme ‘Anycast’ désigne ici un procédé qui permet d’associer une même adresse IP à plusieurs serveurs physiquement distincts, la sélection du serveur qui sera in fine sollicité étant effectuée sur un critère spécifique tel que la connectivité du serveur ou la localisation géographique du client. Ce procédé est aisément mis en œuvre par le biais du protocole de routage BGP – Border Gateway Protocol. Ce protocole, utilisé pour annoncer les routes entre domaines de routage autonomes ou AS, autorise en effet la déclaration d’une même adresse IP par plusieurs domaines distincts, c’est-à-dire de pouvoir attacher la même adresse à plusieurs équipements sous réserve qu’ils appartiennent à des domaines différents. Ici, ce procédé ne sera réellement intéressant que pour les services utilisant un protocole non connecté tel le protocole de requête du DNS utilisant UDP, les modifications du routage BGP étant susceptibles d’impacter les sessions qui auraient été ouvertes en mode connecté. Correctement utilisé le procédé de routage ‘Anycast’ offrira une solution permettant de distribuer un service de manière totalement transparente pour l’utilisateur mais aussi pour l’exploitant qui n’aura pas à déclarer une nouvelle instance de ce service et à y associer une adresse IP spécifique. Ce procédé a donc naturellement trouvé sa place dans les infrastructures de gestion des noms de domaine en offrant la possibilité d’amener le service au plus prés de Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 9/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 l’usager sans nécessiter aucune reconfiguration des serveurs de nom du niveau supérieur. Le nombre des serveurs ‘racine’ de l’Internet (les serveurs ayant connaissance des serveurs DNS chargés de la gestion du TLD, le champ le plus à droite d’un nom de domaine) est techniquement limité à treize. Ces serveurs sont explicitement désignés, et accédés, par leur adresse IPV4. L’utilisation du procédé d’adressage ‘Anycast’ a permis de lever cette contrainte en permettant de remplacer certains des clusters de serveurs gérant des ccTLD par une constellation de serveurs géographiquement répartis. Cette approche aura permis d’optimiser et d’adapter les ressources nécessaires au traitement de requêtes associées à des domaines nationaux sans nécessiter aucune remise en cause de l’organisation imposée par l’ICANN mais aussi dans une certaine mesure de renforcer sa robustesse face aux attaques en déni de service. Les caractéristiques actuelles de ces treize serveurs ‘virtuels’ sont résumées ci-après: Opérateur Localisation Adresse IPV4 Adresse IPV6 AnyC A VeriSign, Inc US VA 198.41.0.4 2001:503:BA3E::2:30 B Information Sciences Institute US CA 192.228.79.201 2001:478:65::53 C Cogent Communications US VA, CA, NY, IL 192.33.4.12 X D University of Maryland US MD 128.8.10.90 E NASA Ames Research Center US CA 192.203.230.10 F Internet Systems Consortium, Inc. * 43 sites 192.5.5.241 2001:500:2f::f X G US DOD NIC US OH 192.112.36.4 H US Army Research Lab US MD 128.63.2.53 2001:500:1::803f:235 I Autonomica/NORDUnet * 31 sites 192.36.148.17 X J VeriSign, Inc. * 41 sites 192.58.128.30 2001:503:C27::2:30 X K RIPE - NCC * 17 sites 193.0.14.129 2001:7fd::1 X L ICANN US CA, FL 199.7.83.42 2001:500:3::42 X M WIDE Project * 6 sites 202.12.27.33 2001:dc3::35 X L’AFNIC a annoncé en Janvier dernier avoir adopté le mécanisme ‘Anycast’ pour la gestion de ses propres ccTLD dont principalement le ‘.fr’ et avoir engagé une coopération avec la société Autonomica déjà en charge de la gestion du serveur racine ‘I’ et du nœud d’échange Internet ‘NetNOD’. L’utilisation du procédé ‘Anycast’ dans le cadre de la gestion du DNS est encadrée par le RFC3258 ‘Distributing Authoritative Name Servers via Shared Unicast Addresses’, le terme ‘Shared Unicast’ étant désormais remplacé par le terme ‘AnyCast’. Pour la petite histoire, l’adresse publique du serveur ‘L’ a été modifiée le 1er novembre 2007, passant de 198.32.64.12 à 199.7.83.42, opération théoriquement totalement transparente pour les utilisateurs finaux mais qui semble avoir posée quelques soucis. L’ancienne adresse, qui n’appartenait pas à l’ICANN, a en effet été annoncée par certains ISP avant la date du 2 mai 2008, date d’abandon officielle de l’ancienne adresse fixée par l’ICANN. En conséquence, et durant quelques mois, la résolution de l’ancienne adresse pouvait conduire vers d’autres systèmes que le serveur ‘L’ officiel. La lecture de l’article ‘Identity theft hits the root name server’ publié à ce propos sur le blog de la société Renesys s’avère être très intéressante car mettant en évidence les risques potentiels induits par la mise en œuvre d’un serveur racine ‘bidon’. Il apparaît, à la lecture de cet article, que le(s) système(s) ayant réutilisé l’ancienne adresse du serveur ‘L’ répondai(en)t correctement aux requêtes DNS en servant des enregistrements identiques au serveur officiel mais cela aurait pu ne pas être le cas et personne ne s’en serait probablement aperçu. Ce qui nous amène aussi à conseiller la lecture de l’article ‘.SE Celebrates its First Anniversary with DNSSEC’ publié dans ce numéro de la lettre de l’ENISA. http://www.caida.org/publications/papers/2007/dns_anycast/dns_anycast.pdf - Etude de performance Self Cleansing and Intrusion Tolerance Arun Sood et Andy Purdy présente le résultat d’un travail innovant mené, en collaboration avec Lockheed Martin, par le département informatique de l’université George Mason – Etats-Unis Virginie. L’idée à la base de ce travail est qu’un système sera tôt ou tard compromis quoique l’on fasse, les systèmes les plus exposés étant ceux accessibles depuis l’Internet, généralement regroupés dans un espace dédié dit Zone Démilitarisée ou DMZ. Partant du constat de la vacuité de la protection apportée par les mécanismes de défense dits ‘périmétriques’ – sans toutefois remettre en cause leur utilité pour combattre les menaces connues – les auteurs considèrent que les guerres à venir ne pourront être gagnées en s’appuyant sur les approches classiques de la prévention et de la détection et qu’il convient de considérer qu’un système connecté est de fait virtuellement compromis. Un système moderne devra de fait, pour survivre, devenir ‘tolérant à l’intrusion’, c’est-à-dire être à même de fournir les services pour lequel il a été conçu quand bien même un tiers en aurait pris, partiellement ou en totalité, le contrôle. Cette prise de position n’est pas sans rappeler l’évolution de la doctrine militaire moderne laquelle considère que le concept de défense en profondeur a vécu. ‘La défensive n'est somme toute que la résultante d'une position d'infériorité qui sera utilisée dans le but de reprendre l'initiative’ nous rappelle le mémento ‘La défense en profondeur appliquée aux systèmes d’information’ édité par la bureau Conseil de la DCSSI, mémento qui rappelle que deux principes ont désormais pris une très grande importance: le renseignement et le mouvement. C’est à ce dernier principe que l’on pourrait être tenté de rattacher le principe SCIT – Self Cleansing and Intrusion Tolerance - développé par l’université George Mason: ne pouvant raisonnablement envisager de maintenir le niveau de service attendu d’un système compromis, le concept de ‘tolérance à l’intrusion’ ne peut se concevoir qu’au sens figuré, à savoir concevoir un système agile capable de se remettre en état par lui-même (le ‘Self Cleansing’ de l’intitulé), et de fait ne laissant aucune latitude à l’agresseur pour en prendre totalement le contrôle. Une dynamique de mouvement dans laquelle le système est systématiquement ramené à un état stable et connu selon une périodicité compatible avec le service rendu, et la qualité de service associée, mais aussi avec la fenêtre Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 10/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 d’exposition du système, c-à-d le temps nécessaire à agresseur pour en prendre le contrôle total. Cette approche n’est pas sans rappeler celle utilisée dans certains systèmes critiques où la logique classique de protection ‘a posteriori’ – utilisation d’un système de réarmement, dit chien de garde, en cas de défaut constaté – est remplacée par une logique préventive assurant le réinitialisation systématique du système. L’objectif du principe SCIT est d’atteindre une durée d’exposition inférieure à la minute en s’appuyant sur des mécanismes désormais parfaitement maîtrisés, dont la virtualisation et le partage de charge, pour assurer 1- le rechargement d’un environnement connu et intègre, et 2- le maintien de l’accessibilité du service. Une présentation plus détaillée du principe SCIT et des 6 règles permettant de garantir sa fiabilité pourra être trouvée dans le papier ‘Secure, Resilient Computing Clusters: Self-Cleansing Intrusion Tolerance with Hardware Enforced Security (SCIT/HES)’ présenté en avril 2007 à l’occasion de la conférence ARES ('Availability, Reliability and Security') et duquel est extrait le schéma de principe reproduit ci-dessous. Une approche très intéressante qui s’appuie sur les axiomes de la sûreté de fonctionnement pour répondre à un problème du domaine de la sécurité et de l’intégrité des SI. http://cs.gmu.edu/~asood/scit/SCIT-HES2-IEEE-ARES2007-FINAL.pdf http://www.ssi.gouv.fr/fr/confiance/documents/methodes/mementodep-v1.1.pdf Complément d’information http://www.enisa.europa.eu/doc/pdf/publications/EQR_1Q08.pdf - La revue de l’ENISA HNS - (IN)SECURE MAGAZINE N°16 Description Le seizième numéro du magazine ‘(IN)SECURE Magazine’ – fort de 110 pages - a été mis en ligne fin avril. Il ne traite d’aucun thème particulier contrairement aux numéros précédents mais aborde rapidement les problèmes liés à l’élection présidentielle Américaine ainsi qu’aux mondes et environnements virtuels. Au sommaire de ce nouveau numéro: Corporate news Security policy considerations for virtual worlds US political elections and cybercrime Using packet analysis for network troubleshooting Latest addition to our bookshelf The effectiveness of industry certifications Building a secure futur: lessons learned from 2007’s highest profile security events Advanced social engineering and human exploitation – part2 Events around the world Interview with Nitesh Dhanjani, Senior Manager at Ernst & Young Is your data safe? Secure your web apps RSA Conference 2008 Producing secure software with security enhanced software development processes Network event analysis with Net/FSE Security risks for mobile computing on public WLANs: hotspot registration Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés 3p 3p 3p 9p 3p 4p 3p 5p 1p 4p 2p 9p 11p 6p 3p Page 11/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 Security Software spotlight Black Hat 2008 Europe A Japanese perspective on Software Configuration Management Windows log forensics: did you cover your tracks? Traditional vs. non-tranditional database auditing Payment card data: know your defense options 1p 4p 3p 10p 4p 9p Nous avons particulièrement apprécié l’article suivant: Producing secure software with security enhanced software development processes Rédigé par Marco Morana, responsable de la sécurité chez CitiGroup mais aussi rédacteur du ‘Security Testing Guide’ publié par l’OWASP, cet article nous propose une très intéressante analyse de l’impact de la mise en place d’une méthodologie de gestion du cycle de vie du logiciel - ‘Software Development Life Cycle’ ou SDLC – sur la sécurité des applications. Après avoir rappelé que l’outil n’est pas tout et que l’on ne peut concevoir le développement d’applications sécurisées sans disposer des compétences requises et de l’organisation ad hoc, l’auteur détaille les trois phases indispensables à la mise en place d’un système de production d’applications sécurisées: Evaluation, Implémentation et Mesure. La phase ‘Evaluation’ permettra de déterminer les besoins et les points à améliorer en tenant compte de la capacité de l’organisation à évoluer mais aussi à intégrer les bonnes pratiques. L’utilisation du modèle CMMI – Capability Maturity Model Integration – autorisera un diagnostic fiable sur échelle comportant 5 niveaux de maturité: 1-Initial, 2-Projet, 3-Défini, 4-Géré et 5-Optimisé. L’objectif pour toute société oeuvrant dans le domaine de la production de logiciels doit être d’atteindre le plus haut niveau tout en respectant les exigences associées et augmentées des exigences spécifiques à la sécurité. Ces dernières sont déclinées dans le modèle SSE-CMM (System Security Engineering CMM) (Rapport N°90 – Janvier 2006). Une progression que l’auteur résume en trois étapes: 1- Faible maturité (CMM 0-1) Aucune exigence de sécurité n’est formalisée Les problèmes sont identifiés au fil de l’eau suite à des incidents ou des tests d’intrusion Les problèmes sont identifiés et corrigés tardivement dans le cycle de vie du logiciel 2- Maturité moyenne (CMM 2-3) Une modélisation des menaces permet d’engager une recherche de vulnérabilités dans les applications Une analyse du code source à la recherche de problème de sécurité est effectuée Des tests d’intrusion valident la correction de problèmes de sécurité identifiés dans les phases précédentes du cycle 3- Maturité élevée (CMM 4-5) Une analyse des menaces est engagée à chaque phase du cycle de vie Une métrique est définie et des mesures sont effectuées pour améliorer le processus de conception et de gestion L’auteur détaille ensuite la phase ‘Implémentation’ et présente les avantages et inconvénients de trois modèles de gestion du cycle de vie orientés sécurité: - Le modèle élaboré par Microsoft pour ses propres développements, dit SDL (Secure Development Lifecycle) qui peut se résumer par: la mise en place de points de contrôle, la formation des développeurs et l’utilisation d’outils. - le modèle ouvert CLASP (Common Lightweight Application Security Process) proposé par l’OWASP qui met l’accent sur les rôles et les responsabilités et sur la simplification des processus et des interactions, - l’approche des ‘Touchpoints of Secure Software’ proposée par Gary McGraw qui se caractérise par la définition de 7 points de validation incontournables, le recours à l’analyse de risque et aux bases de connaissances. L’auteur conclut sur l’importance de la phase ‘Mesure’ dans le cadre du processus d’amélioration continue sans citer toutefois de méthodes ou d’approches applicables à la définition des points de mesure et du référentiel associé. Complément d’information http://www.net-security.org/dl/insecure/INSECURE-Mag-16.pdf RECOMMANDATIONS CEN – BEST PRACTICES FOR THE DESIGN AND DEVELOPMENT OF CRITICAL INFORMATION SYSTEMS Description Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 12/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 Un groupe de travail du CEN/ISSS Workshop (Information Society Standardization System) vient de mettre à disposition pour relecture et commentaire un document de prise de position dit CWA (CEN Workshop Agreement) portant sur les bonnes pratiques applicables à la conception et au développement de systèmes d’information critiques ou CIS (Critical Information Systems). L’introduction de ce document intitulé ‘Best Practices for the Design and Development of Critical Information Systems’ précise que ne seront ici traités que les systèmes de gestion d’information critiques - ‘mission-critical Management (or Business) Information Systems’ - à l’exclusion des systèmes critiques scientifiques, industriels ou embarqués. Par ailleurs, ne seront couvertes que les deux premières phases d’un cycle de vie ici restreint aux seules phases concourant à la mise à disposition du système: la conception, la construction et l’exploitation. On notera enfin que les auteurs indiquent que ne seront ici adressées que les pratiques et recommandations concourrant à satisfaire les spécifications techniques sans s’intéresser à celles liées aux spécifications fonctionnelles et exigences ‘métier’. La définition d’un système d’information critique ou CIS, donnée puis commentée au second chapitre, s’appuie sur l’exigence de fourniture de service(s) de qualité comme garantie du bon fonctionnement de l’organisation dans laquelle il(s) est (sont) utilisé(s). Plus facile à appréhender est la définition corollaire suivante: toute déficience dans la qualité des services rendus participera à la défaillance de l’ensemble du système d’information laquelle aura un impact conséquent sur les opérations de l’organisation. Cette définition est, à notre avis, très justement traduite par les auteurs sous la forme d’une contrainte forte portant sur les aspects techniques du projet: ‘Technical specifications for CIS requirements demand just as much if not more effort than those for the functional requirements’. Une illustration pertinente qu’il conviendra de méditer. Un système d’information critique devra ainsi répondre aux huit exigences (certaines participent par ailleurs à la définition classique – FMDS ou RAMS - de la sûreté de fonctionnement) définies par le CEN et formulées comme suit. - Au titre des exigences de qualité de service Integrity Le système doit rendre le service sans erreurs et/ou perte ou corruption de données Availability (le ‘A’ de RAMS) Le système doit rendre le service au moment désiré Performance Le système doit rendre le service avec le meilleur temps de réponse et dans les limites de temps fixées Capacity Le système doit rendre le service dans les limites fixées de volume et de trafic Security La définition est celle donnée par l’ISO 27001 mais restreinte aux contraintes de sécurité liées aux autres exigences - Au titre des exigences de qualité du système Resilience (implique elle-même les exigences RAMS) Le système doit résister automatiquement à des événements inattendus tout en en contrôlant les conséquences Maintainability (le ‘M’ de RAMS) La maintenance corrective et palliative doit pouvoir être assurée en accord avec les exigences de qualité de service Usability Le système doit rendre compte de son état et fournir la preuve de son bon fonctionnement. Concevoir et développer un CIS dans les règles de l’art suppose de prendre en compte dés les premières étapes de la conception les exigences précédentes en les modulant éventuellement en fonction des missions rendues par le système. Le CEN propose une approche méthodologique en sept étapes permettant de s’assurer que le système final respectera bien les exigences spécifiées. Cette approche est complétée par 22 fiches – dites BPS ou ‘Best Practice Sheets’ – récapitulant chacune des bonnes pratiques associées à l’approche méthodologique. Un extrait de fiche est présenté ci-contre. La table des matières de ce guide est reproduite ci-dessous: 1. WORKSHOP CONTEXT AND DOCUMENT PURPOSE 2. TERMS AND DEFINITIONS 2.1. Definition of a critical information system (CIS) 2.2. Definition of CIS requirements Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 13/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 2.2.1. Integrity 2.2.2. Availability 2.2.3. Performance 2.2.4. Capacity 2.2.5. Security 2.2.6. Maintainability 2.2.7. Resilience 2.2.8. Usability 2.3. Additional comments and specific issues 3. GLOBAL MODEL OF CIS REQUIREMENTS 3.1. Overview 3.2. Basic assumptions 3.3. Economic dimension 3.4. Benefits of the model 3.5. Interdependencies of requirements 4. FUNDAMENTAL PRINCIPLES FOR DESIGNING AND BUILDING A CIS 4.1. Introduction 4.2. Identifying and agreeing upon service priorities with stakeholders 4.3. Defining service availability requirements 4.4. Identifying and agreeing upon what should be monitored 4.5. Setting up an iterative process 4.6. Assuming that problems will occur during the Run phase 4.7. Setting up a control system 4.8. Performing risk and requirement based testing 5. BEST PRACTICES FOR DESIGNING AND DEVELOPING A CIS 5.1. List of best practices 5.2. Mapping practices vs. project phases 5.3. Mapping practices vs. CIS requirements 6. ANNEX 1 - Best Practices Sheets 6.1. BPS # CIS-01 – Modularity 6.2. BPS # CIS-02 – Failure anticipation 6.3. BPS # CIS-03 – Error propagation prevention 6.4. BPS # CIS-04 – Bottleneck identification 6.5. BPS # CIS-05 – Defensive programming 6.6. BPS # CIS-06 – Execution time logging 6.7. BPS # CIS-07 – Resource consumption survey 6.8. BPS # CIS-08 – Early capacity planning 6.9. BPS # CIS-09 – Industrialized testing 6.10. BPS # CIS-10 – Friends and family probes 6.11. BPS # CIS-11 – Transaction ID 6.12. BPS # CIS-12 – Error case logging 6.13. BPS # CIS-13 – Data timestamping 6.14. BPS # CIS-14 – Service monitoring 6.15. BPS # CIS-15 – Shared log service 6.16. BPS # CIS-16 – Runtime reporting 6.17. BPS # CIS-17 – PKI-based traceability 6.18. BPS # CIS-18 – External security audit 6.19. BPS # CIS-19 – Crisis management 6.20. BPS # CIS-20 – Retention management 6.21. BPS # CIS-21 – Failure mode analysis 6.22. BPS # CIS-22 – Compliance with the relevant standards 7. ANNEX 2 - Life Cycle Processes 8. ANNEX 3 - References 9. ANNEX 4 - Workshop members Un document de travail qui s’inscrit dans la ligne de réflexion par ailleurs engagée par l’ENISA et détaillée dans sa lettre du mois de Mai. A lire, à méditer et à insérer – temporairement dans l’attente de la version finale – dans le référentiel de sécurité. Complément d’information http://www.cen.eu/cenorm/sectors/sectors/isss/activity/wscis.asp http://www.cen.eu/cenorm/sectors/sectors/isss/activity/cwacisv5.pdf - Annonce de l’appel à commentaires - Document de travail ENISA – SECURE PRINTING Description L’ENISA vient de publier un guide de 22 pages intitulé ‘Secure Printing’ fort intéressant car abordant un domaine qui n’est pas toujours identifié comme étant susceptible de porter atteinte à la sécurité d’une organisation, le domaine de l’impression et de la copie de documents, que ces actions soient effectuées localement ou par un tiers de service. L’ENISA nous propose la définition suivante du concept d’impression sécurisée: 1- Les équipements d’impression doivent rester sécurisés, 2- Les données imprimées ou transmises doivent rester confidentielles, intègres et disponibles. La première condition peut sembler, a priori, simple à respecter au quotidien. Ce serait oublier que la majorité des équipements actuels – qu’ils soient destinés au marché professionnel ou aux particuliers – disposent de fonctionnalités Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 14/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 avancées qui peuvent être détournées à d’autres fins que celles prévues à l’origine. Ces équipements regroupent ainsi désormais plusieurs fonctions auparavant dissociées – numérisation, impression, transmission multi modes – gérées par une unité centrale allant du simple contrôleur au système informatique tournant sous Windows ou LINUX, disposent d’une capacité de communication n’ayant rien à envier à nos ordinateurs personnels et offrent des services d’exploitation et d’administration accessibles à distance. Il suffit pour s’en convaincre de parcourir les écrans consacrés aux fonctions avancées à l’aide de l’affichage tactile proposé sur la plupart des équipements actuels ou encore de sonder les ports actifs de l’un de ces équipements connecté au réseau pour découvrir qu’ils sont non seulement une mine d’informations sur la société et ses contacts – via les journaux de transmission – mais qu’il est aussi fort probable que le système d’exploitation sous jacent soit infiniment plus vulnérable que le poste de travail de l’utilisateur ‘lambda’. Qui s’est jamais vraiment soucié de vérifier que les derniers correctifs ont bien été appliqués sur le système Windows NT ou XP embarqué dans le photocopieur multifonctions du couloir d’à côté, ou encore que le disque dur de ce dernier a bien été ‘stérilisé’ après qu’il ait été remplacé par le technicien de maintenance et que son remplaçant ne contient bien que ce qu’il doit contenir ? Le disque dur de ces équipements héberge pourtant certainement une copie de tous les documents imprimés ou faxés dans les dernières semaines voire dans les derniers mois. Le système d’exploitation quant à lui, et après compromission, fournira un excellent environnement d’observation et d’attaque. D’aucuns argumenteront que ces équipements sont connectés sur des réseaux dédiés et isolés, qu’ils sont installés dans les locaux de l’entreprise à la vue de tous et qu’une intrusion si elle devait avoir lieu ne pourra provenir que de l’intérieur. Ce à quoi l’on pourra objecter que les mesures d’isolation de ces équipements ne sont pas si fréquentes, du moins lorsque aucune exigence de sécurité ne s’applique explicitement aux locaux, et que bien peu d’opérations de maintenance sont supervisées par quelqu’un à même de valider ces opérations… La seconde condition porte sur la sécurisation des documents sur l’intégralité de leur cycle de vie, de la création à la destruction, et ceci quelque soit la forme que prennent ces données: documents imprimés mais aussi données éventuellement formatées pour être télétransmises. La respecter nécessite que soit formalisé le flux de transmission des documents au sein de l’organisation et que soit définie une politique de gestion ad hoc tenant compte de la durée de vie et de la sensibilité de ces documents. Cette politique dictera les exigences de sécurité qui permettront d’établir les règles de conception de l’infrastructure technique d’accueil des équipements de numérisation, d’impression et de transmission. Le guide publié par l’ENISA vise principalement à faire prendre conscience des risques liés au processus d’impression des documents en rappelant que certaines normes de sécurité traitent plus ou moins précisément cette activité. Sont ainsi présentés les standards ISO17799, PCI-DSS et COBIT et les recommandations ou obligations pouvant s’appliquer à ce contexte. La seconde partie du guide détaille une vingtaine de mesures dont l’application s’échelonnera en fonction de la taille de l’organisation et de sa maturité, trois niveaux étant ici définis. Une check-list vient compléter ces préconisations en précisant les actions à mener pour chacune des mesures identifiées. La table des matières de ce guide est reproduite ci-dessous: Executive Summary Acknowledgements Document Printing and Copying A Growing Market Secure Printing A Definition Security Standards Identifyng Corporate Assets and Their Value Major Dangers for Secure Printing Assets Risks Our Guidelines Recommandations Checklist Conclusions References and sources for further reading Ce document a pour principal mérite de sensibiliser le lecteur et d’attirer son attention sur un problème réel mais rarement traité à la hauteur du risque encouru en particulier dans une époque où l’intelligence économique n’est plus un simple concept. On notera que certains copieurs - dont les copieurs Image Runner dotés d’un Kit de sécurité - ont fait l’objet d’une évaluation Critères Communs avec des niveaux d’assurance allant de EAL2 à EAL3. Ce point n’est hélas nullement abordé dans le document de l’ENISA. Complément d’information http://enisa.europa.eu/doc/pdf/ENISA_secure_printing.pdf http://www.bsi.bund.de/zertifiz/zert/7149.pdf http://www.usa.canon.com/cpr/pdf/Brochures/SecurityKit.pdf Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés - Document de l’ENISA - Liste établie par le BSI des produits évalués - Kit de sécurité Canon Page 15/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 ATTAQUES SSH – ANALYSE DES TECHNIQUES D’ATTAQUE Description Deux chercheurs de l’université de Clarkson, Jim Owens et Jeanna Matthews, viennent de publier les résultats d’une étude qu’ils ont menée sur les techniques d’attaque en force du protocole SSH. Ils ont, pour ce faire, conçu une plateforme d’analyse constituée de trois systèmes jouant le rôle de leurres – des pots de miels dans le jargon - hébergeant une version de l’application SSH ayant été modifiée pour en améliorer les fonctionnalités de journalisation. Ces pots de miel ont été installés sur trois réseaux distincts et représentatifs d’un environnement d’utilisation précis: - Réseau personnel raccordé à l’Internet par le biais d’une connexion ADSL, - Réseau d’entreprise connecté à l’Internet, - Réseau universitaire, en l’occurrence celui de l’université. Cette diversification des conditions de test devait permettre de mettre en évidence l’éventuelle influence des caractéristiques de l’environnement d’accueil – connectivité, débit, notoriété… - sur le comportement des agresseurs et sur les techniques d’attaque utilisées par ces derniers, qu’ils soient humains ou programmés. Cette approche, méthodique et rigoureuse, aura eu le mérite de prouver que les conditions de raccordement – et plus largement l’environnement immédiat - du système cible n’ont aucune influence mesurable sur les méthodes d’attaque employées. Ce résultat pourrait laisser supposer que toutes les attaques journalisées sur les deux périodes de 5 à 6 semaines d’étude – Juillet/Août 2007 et Décembre 2007 /Février 2008 – ont été le fait de systèmes programmés sans grand soucis d’efficacité en privilégiant, consciemment ou non, une stratégie d’attaque de masse à une stratégie d’attaque sélective. Ceci étant, avec 103000 tentatives de logins et plus de 300 attaques séparées enregistrées sur les 11 semaines d’analyse, il y a de fortes probabilités que les traces d’éventuelles attaques sélectives n’aient pu être détectées, noyées dans le bruit de fond. Les auteurs de l’étude - laquelle se focalisait sur les seules attaques en force de la phase d’authentification par mot de passe - se sont d’ailleurs plus principalement intéressés à démontrer que les attaques actuelles de ce type avaient pour caractéristique principale d’utiliser un nombre réduit de dictionnaires et de stratégies de variation des couples login/mot de passe testés. Le rapport publié ne fait d’ailleurs mention d’aucune étude statistique poussée qui aurait pu permettre de mettre en évidence certains signaux sous le bruit. Quoiqu’il en soit, les résultats ici publiés restent intéressants. Outre la confirmation de l’intérêt porté au protocole SSH comme ce fût le cas il y a maintenant plusieurs années pour les protocoles ‘telnet’ et ‘ftp’, les chiffres publiés démontrent la réalité du risque encouru à opérer un service ‘SSH’ en l’état, c’est-à-dire configuré sans tenir compte des bonnes pratiques de sécurité applicables aux protocoles de sécurité, bonnes pratiques présentées par les auteurs en conclusion de leur étude. Nous passerons sur le détail des résultats statistiques – le nom ‘root’ intervient pour 25% des noms testés, 49% des paires nom de compte / mot de passe sont formées à partir du nom de compte – et sur l’étude de certaines des méthodes d’attaque identifiées – à faible débit et distribuées – pour rappeler l’essentiel: l’être humain est faillible mieux vaut donc éviter de lui fournir un environnement propice à renforcer ses défauts. L’authentification par mots de passe ne doit être utilisée qu’en dernier recours en lui privilégiant une authentification par clef publique, et à ceux qui argueraient qu’une clef publique n’est pas aussi facile à manipuler qu’un mot de passe l’on pourra toujours répondre qu’il existe nombre de supports de clef amovibles et portables, de la clef USB en passant par le lecteur MP3... Le récent problème mis en évidence dans la génération de clefs par l’application OpenSSL sous Debian n’est qu’un détail qui ne remet nullement en cause la nécessité d’abandonner certains moyens d’authentification, du moins quand aucune méthode coercitive ne peut être mise en œuvre pour garantir le respect des recommandations et procédures de création d’un authentifiant. La seconde recommandation qu’il conviendra d’appliquer lorsque cela est possible est d’activer le service SSH sur un port autre que celui défini par défaut, à savoir le port TCP/22. La grande majorité, si ce n’est, tous les codes d’attaques automatisés ne perdent pas leur temps à sonder le système cible afin de déterminer le port susceptible d’être utilisé par le service SSH quand celui ne répond pas sur le port 22. Peu contraignante – il faut informer les usagers du port utilisé et leur demander de reconfigurer leur client favori et configurer les équipements de filtrage en conséquence – cette stratégie s’avère réellement payante, nous en avons l’exemple au quotidien sur nos systèmes. La table des matières de ce rapport qui mérite une lecture rapide est reproduite ci-dessous: 1. INTRODUCTION 2. PROJECT OVERVIEW 2.1 Experimental Setup 2.2 Overview Of Attack Activity 3. ATTACK PATTERNS 3.1 Passwords And Attack Dictionaries 3.1.1 Passwords 3.1.2 Attack Dictionaries 3.1.2.1 Dictionary-9 3.1.2.2 Dictionary-66 3.1.2.3 Dictionary-168 3.1.2.4 Dictionary-363 And Dictionary-373 3.2 Attack Methods 3.2.1 A Slow-Motion Brute-Force SSH Attack Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 16/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 3.2.2 A Distributed Brute-Force SSH Attack 4. EVALUATION OF COMMON DEFENSES AGAINST SSH ATTACKS 5. RELATED WORK 6. FUTURE WORK 7. CONCLUSIONS 8. ACKNOWLEDGEMENTS 9. REFERENCE Complément d’information http://people.clarkson.edu/~owensjp/pubs/leet08.pdf - Rapport d’étude http://denyhosts.sourceforge.net/ - Base de données DenyHosts SECURISATION NSA - BLUETOOTH SECURITY Description Intitulé ‘BlueTooth Security’, ce mémento technique de deux pages publié par la NSA présente ce qu’il faut savoir a minima des vulnérabilités spécifiques aux dispositifs dits ‘BlueTooth’, c’est-à-dire disposant d’une capacité de communication avec l’extérieur par le biais du protocole du même nom. Ce guide nous apprends que le DoD Américain annonce envisager autoriser l’utilisation de lecteurs de cartes d’accès – CAC ou Common Access Card – connectés via Bluetooth aux terminaux mobiles BlackBerry, Windows Mobile et aux systèmes Windows XP SP2. Cependant, et pour des raisons de sécurité l’utilisation de tout autre forme d’équipement BlueTooth du commerce reste strictement prohibée. Une liste de recommandations et de bonnes pratiques à l’attention des utilisateurs – mais aussi des développeurs - est proposée en conclusion du mémento. On pourra aussi se reporter avec intérêt aux documents spécifiant les exigences fonctionnelles portant sur les lecteurs de cartes et les oreillettes publiées par la DISA. Complément d'information http://www.nsa.gov/snac/wireless/I732-016R-07.pdf - BlueTooth Security http://iase.disa.mil/stigs/checklist/DoD-Bluetooth-Smart-Card-Reader-Security-Requirements-Matrix.pdf - Exigences DISA http://iase.disa.mil/stigs/checklist/dod_bluetooth_headset_security_requirements_matrix_v2-0_7april2008.pd f - Exigences DISA NIST – SP800-123 / GUIDE TO GENERAL SERVER SECURITY Description Le ‘NIST’ propose à la relecture un tout nouveau guide de 54 pages publié dans la série des guides spéciaux 800 et intitulé ‘Guide to General Server Security’. Comme son titre le laisse entendre, ce guide est destiné à aider les exploitants d’un système d’information à mieux appréhender les problèmes de sécurité susceptibles d’impacter les serveurs intégrés à leurs architectures sans toutefois rentrer dans le détail des configurations spécifiques aux rôles joués par ces équipements, qu’ils soient serveurs de fichiers, serveurs de messagerie, serveurs WEB ou encore serveurs de base de données. Le lecteur ne trouvera donc ici qu’un ensemble de recommandations génériques permettant d’assurer une mise en œuvre sécurisée – installation, configuration et maintenance – des plate-formes de traitement – matériel, système d’exploitation et environnement applicatif - conformes aux meilleures pratiques. Les recommandations spécifiques aux services hébergées sur ces plates-formes sont détaillées dans divers guides complémentaires publiés par le NIST dont les guides SP800-44v2 ‘Guidelines on Securing Public Web Servers’ (Rapport N°107 – Juin 2007) et SP800-45v2 ‘Guide On Electronic Mail Security’ (Rapport N°98 – Septembre 2006) mais aussi par la NSA, guides qu’il conviendra de s’approprier. Le guide s’ouvre sur un rappel du contexte lié à la sécurisation de ces équipements, des critères de classification applicables aux systèmes fédéraux selon la grille spécifiée par le standard FIPS-199 ‘Standards for Security Categorization of Federal Information and Information Systems’ et de onze principes fondamentaux de sécurité énumérés ci-après : - Simplicity / Simplicité La complexité est à l’origine de nombreux problèmes, - Fail-Safe / Sûreté intégrée La sécurité doit être maintenue en cas de défaillance, - Complete Mediation / Principe de Médiation Le système de sécurité doit pouvoir intervenir à tous les niveaux d’accès au système, Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 17/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 - Open Design / Conception ouverte La sécurité du système ne doit pas dépendre du secret de sa constitution et de ses constituants, - Separation of Privilege / Séparation des privilèges Une tâche sera accomplie par plusieurs fonctions ayant chacune un rôle spécifique, - Least Privilege / Moindre privilège Seuls les privilèges strictement nécessaires à l’accomplissement d’une tâche sont accordés, - Psychological acceptability / Acceptation Psychologique La sécurité, et les contraintes qui en découlent, doivent être comprises et acceptées des utilisateurs, - Least Common Mechanism / Moindre mécanisme partagé Les mécanismes partagés entre utilisateurs doivent être réduits au minimum, - Defense in Depth / Défense en profondeur Plusieurs techniques de sécurité indépendantes permettent de limiter la propagation d’une attaque, - Work Factor / Espérance de Gain Le travail à fournir pour traverser le système de sécurité doit largement excéder le gain attendu par l’attaquant, - Compromise Recording / Traçabilité Le système de sécurité doit conserver trace de toutes les activités du système. La doctrine de sécurité établie par l’US-CERT énonce 13 principes fondamentaux très similaires à ceux ici énumérés, les principes du ‘Renforcement de l’intimité’ (‘Promoting Privacy’), du ‘rejet de la confiance à priori’ (‘Reluctance to Trust’), de ‘l’absence de sécurité absolue’ (‘Never Assuming that Your Secrets Are Safe’) et du ‘maillon faible’ (‘Weakest link’) étant ici absents. Les quatre chapitres suivants détaillent successivement les exigences et recommandations liées à la planification du déploiement d’un serveur, la sécurisation du système d’exploitation embarqué, la sécurisation de l’environnement applicatif et enfin le maintien en conditions de sécurité de la plate-forme. La table des matières de ce guide est reproduite ci-dessous: 1. Introduction 2. Background 2.1 Server Vulnerabilities, Threats, and Environments 2.2 Security Categorization of Information and Information Systems 2.3 Basic Server Security Steps 2.4 Server Security Principles 3. Server Security Planning 3.1 Installation and Deployment Planning 3.2 Security Management Staff 3.3 Management Practices 3.4 System Security Plan 3.5 Human Resources Requirements 4. Securing the Server Operating System 4.1 Patch and Upgrade Operating System 4.2 Hardening and Securely Configuring the OS 4.3 Install and Configure Additional Security Controls 4.4 Security Testing the Operating System 5. Securing the Server Software 5.1 Securely Installing the Server Software 5.2 Configuring Access Controls 5.3 Server Resource Constraints 5.4 Selecting and Implementing Authentication and Encryption Technologies 6. Maintaining the Security of the Server 6.1 Logging 6.1.1 Identifying Logging Capabilities and Requirements 6.1.2 Reviewing and Retaining Log Files 6.1.3 Automated Log File Analysis Tools 6.2 Server Backup Procedures 6.2.1 Server Data Backup Policies 6.2.2 Server Backup Types 6.2.3 Maintain a Test Server 6.3 Recovering From a Security Compromise 6.4 Security Testing Servers 6.4.1 Vulnerability Scanning 6.4.2 Penetration Testing 6.5 Remotely Administering a Server Appendix A— Glossary Appendix B— Acronyms and Abbreviations Appendix C— References Appendix D— Resources Le NIST nous propose ici un guide suffisamment générique tout en étant très complet. La trame proposée pourra être reprise dans le cadre de la mise en place de procédures de sécurisation. Complément d'information http://csrc.nist.gov/publications/drafts/800-123/Draft-SP800-123.pdf Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés - Guide SP800-123 Page 18/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 http://csrc.nist.gov/publications/fips/fips199/FIPS-PUB-199-final.pdf https://buildsecurityin.us-cert.gov/daisy/bsi/articles/knowledge/principles.html - Standard FIPS-199 - Principes de sécurité REFERENCES CIS - CATALOGUE DE PROCEDURES ET DE TESTS Description Le CIS – Center for Internet Security – vient de publier les guides de test relatifs aux environnements Mac OS X 10.5 et Xen server ainsi que la mise à jour des guides relatifs aux environnements Mac OS X 10.4, LINUX SuSE, Red Hat et FedoraCore. P1 N Profil N°1 – minimal, conservateur Nouvelle version P2 M Profil N°2 – étendu, protectionniste Mise à jour Recommandations Systèmes M M M M Windows 2003 Domain controllers Windows 2003 Member Servers Windows XP Professional Windows 2000 Professional Windows 2000 Serveur Windows 2000 Windows NT Linux RedHat 5 Linux RedHat 4 et versions inférieures, Fedora Core 1, 2, 3, 5 et 5 Linux SuSE Linux Slackware Linux Debian HP-UX FreeBSD 4.8 et plus Solaris 2.5.1 - 9 Solaris 10, 11/06 et 8/08 AIX 4.3.2, 4.3.3 et 5.1 Mac OS/X 10.4 N Mac OS/X 10.5 Novell OES:NetWare P1 P1 P1 P1 P1 P1 P1 P1 P1 P1 P1 P1 P1 P1 P1 V2.0 V2.0 V2.01 V2.2.1 V2.2.1 V1.2.2 V1.0.5 V1.1.1 V1.0.5 V2.0.0 V1.1.0 V1.0 V1.4.0 V1.0.5 V1.3.0 V4.0 V1.0.1 V2.0 Outil existant Outil existant Outil existant Outil existant Outil existant Aucun outil prévu Aucun outil prévu Outil existant Outil existant Outil existant Aucune planification Aucune planification Outil existant Outil existant Outil existant Outil existant Aucune planification Aucune planification P1 P1 V1.0 V1.0 Aucune planification Aucune information V1.0 V2.2 V2.2 Aucun outil prévu Outil existant Outil existant P2 P2 P2 Recommandations Equipements réseaux Wireless Networks CISCO IOS routeurs CISCO PIX, ASA et FWSM CISCO CAR CheckPoint FW1/VPN1 P1 P1 P1 P1 P1 P2 P2 P2 P2 V1.0 Recommandations Applications Apache WEB serveur toutes versions jusqu’à 2.2.6 Oracle base de donnée 8i Oracle base de donnée 9i et 10g Exchange Server 2003 Exchange Server 2007 Microsoft SQL Serveur 2000 Microsoft SQL Serveur 2005 MySQL 4.1, 5.0, et 5.1 Community Edition Bind Version 9 Novell eDirectory version 8.7 Microsoft IIS Web Serveur OpenLDAP FreeRadius Virtual Machines N XEN Server 3.2 P1 P1 P1 P1 P1 P1 P1 P1 P1 P1 P1 P1 P1 P1 P2 P2 P2 P2 P2 P2 V2.1 V1.2 V2.0.1 V1.0 V1.0 V1.0 V1.0 V1.0 V1.0 V1.0 V1.0 V1.2 V1.0 V1.0 V1.0 Outil existant Outil existant Aucune planification Aucune planification Aucune planification Aucune planification Aucune planification Aucune planification Aucune planification Aucune information Aucune planification Aucune information Aucune information Aucune information Aucune information Ces séries de tests sont déroulées à l’aide d’outils spécialisés pour la plate-forme cible à l’exception de la série de test des équipements réseaux CISCO. Outils d’application Environnement Environnement Environnement Environnement Environnement Environnement Environnement Environnement Environnement Windows 2K/XP/2003 RedHat et SuSE FreeBSD HP-UX Solaris 10 Solaris 2.5.1- 9 CISCO Oracle 8i Apache - Complément d’information http://www.cisecurity.org/ http://www.cisecurity.org/bench_exchange.html Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés ng_scoring_tool-gui-1.0-win32 ng_scoring_tool-1.0 cis_score_tool_freebsd_v1.7.2 cis_score_tool_hpux_v1.5.0 cis_score_tool_solaris_v1.5.0 CISscan CISRat CISscan cis_score_tool_apache_v2.10 exe tar tar pkg pkg pkg tar java tar V1.0 V1.0 V1.7.2 V1.5.0 V1.5.0 WIN32 V2.2 WIN32 V2.10 LINUX+JAVA FreeBSD HP-UX SOLARIS SOLARIS UNIX LINUX - Accès aux tests et outils associés Page 19/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 DISA – GUIDES ET CHECKLISTS DE SECURISATION Description La DISA a procédé à la mise à jour des listes de contrôle concernant les équipements réseaux (Network), bureautique (Desktop), application, DNS, UNIX, IIS, Windows et Wireless. [11 Mise(s) à jour, 0 Nouveau(x) document(s)] APPLICATIONS Applications (Services) ESM ERP (PeopleSoft, SAP) Database (Générique + Oracle, SQL Server) (MS SQL Server 2005) VoIP ENVIRONNEMENTS Access Control Directory Service Collaboration (environnements collaboratifs) Desktop Enclave (Périmètre) .NET (Draft) Secure Remote Computing PERIPHERIQUES RESEAUX Sharing peripheral across the network - Multi-Function Device (MFD) and Printer Checklist - Keyboard, Video, and Mouse (KVM) Switch Checklist - Storage Area Network (SAN) Checklist - Universal Serial Bus (USB) Checklist RESEAU Network Cisco (Supplément) Juniper (Supplément) IP WAN Wireless (Liste de contôle générique) Wireless BlackBerry Wireless Apriva Wireless Motorola Wireless Windows Wireless LAN Security Framework Addendum Wireless LAN Site Survey Addendum Wireless LAN Secure Remote Access Addendum Wireless Mobile Computing Addendum SERVICES DNS Web Servers (Générique) (IIS) (iPlanet) (Apache) (TomCAT) (WebLogic) SYSTEMES OS/390 & z/OS OS/390 Logical Partition OS/390 RACF OS/390 ACF2 OS/390 TSS OS/390 Self assessment MacOS X TANDEM UNISYS UNIX VM IBM SOLARIS (2.6 à 2.9) VMS VAX Windows VISTA Windows 2003 Windows 2000 Windows XP Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés STIG Checklist 1.1 1.2 1.1 8.1 17/01/06 05/06/06 10/04/07 19/10/07 PDF PDF PDF PDF 2.2 21/04/06 PDF 2.1 1.1 1.1 3.1 4.2 17/10/07 10/03/06 28/03/07 09/03/07 31/03/08 1.2 10/08/05 DOC 1.1 29/07/05 PDF PDF PDF ZIP PDF PDF 7.1 25/10/07 PDF 5.2.1 15/11/07 PDF 2.1 1.1 1.1 1.1 31/10/05 31/10/05 31/10/05 31/10/05 4.1 6.1 17/10/07 PDF 11/12/06 PDF 14/05/08 PDF M 1.0 8.1 8.1.1 2.2.2 01/06/06 08/01/08 08/01/08 19/05/06 DOC ZIP ZIP PDF 1.1.3 1.1 3.1.5 4.2 1.2 21/03/08 28/03/07 14/05/08 31/03/08 28/04/06 PDF DOC DOC PDF DOC 1.1.2 1.1.2 1.1.3 1.1.2 14/04/06 14/04/06 19/05/06 06/04/06 PDF PDF PDF PDF 7.1.4 6.1 6.4 2.3 5.2.2 5.2.1 5.2.1 5.2.1 5.2.1 14/05/08 02/12/05 02/12/05 12/08/04 12/05/08 15/11/07 15/11/07 15/11/07 15/11/07 PDF PDF PDF PDF PDF PDF PDF PDF PDF M 4.1.3 6.1.5 6.1.7 6.1.5 6.1.5 6.1.2 6.1.2 14/05/08 23/11/07 15/05/08 23/11/07 23/11/07 23/11/07 23/11/07 PDF ZIP ZIP ZIP ZIP ZIP ZIP M 5.2.7 2.1.4 5.2.8 5.2.8 5.2.8 5.2.8 1.1.3 2.1.2 7.1.2 5.1.12 2.1.2 2.2.3 6.1.6 6.1.6 6.1.6 6.1.6 17/01/08 04/06 24/03/08 24/03/08 24/03/08 24/03/08 28/04/06 17/04/06 17/04/06 14/05/08 04/06 20/01/04 17/04/06 13/05/08 13/05/08 13/05/08 13/05/08 DOC DOC DOC DOC DOC DOC DOC DOC PDF DOC DOC DOC DOC ZIP ZIP ZIP ZIP M M PDF PDF PDF PDF 5.2 2.2 19/09/06 PDF 04/03/05 PDF 1.1 2.2 7.2 5.1 2.2 15/06/04 04/03/05 28/08/06 28/03/06 04/03/05 1.8 2.1.11 PDF PDF PDF PDF PDF 12/01/03 PDF M M M M M M Page 20/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 Windows NT Windows 2000/XP/2003/Vista Addendum TECHNOLOGIES Biométrie SPECIFIQUE DoD Backbone transport Defense switch network Secure telecommunication Red switch network DODI 8500.2 IA N Nouveau M Mis à jour 3.1 6.1 26/12/02 DOC 21/05/07 PDF 4.1.21 28/07/06 DOC 1.3 10/11/05 PDF 1.3.1 31/10/05 DOC 1.1 2.3 1.1 05/06/06 PDF 30/04/06 PDF 26/03/06 PDF 1.1.1 2.3.2 18/01/07 PDF 01/05/06 1.1.1 18/01/07 PDF R R R R R Accès restreint Complément d’information http://iase.disa.mil/stigs/index.html http://iase.disa.mil/stigs/stig/index.html http://iase.disa.mil/stigs/checklist/index.html - Pages d’accueil - STIG - Checklists NIST – ETAT DES GUIDES DE LA SERIE SP800 Description SP800-12 SP800-18.1 SP800-21.1 SP800-26 SP800-26.1 SP800-27a SP800-28V2 SP800-29 SP800-30 SP800-31 SP800-32 SP800-33 SP800-34 SP800-35 SP800-36 SP800-37 SP800-38A SP800-38B SP800-38C SP800-38D SP800-39 SP800-40 SP800-40-2 SP800-41 SP800-42 SP800-43 SP800-44V2 SP800-45V2 SP800-46 SP800-47 SP800-48r1 SP800-49 SP800-50 SP800-51 SP800-52 SP800-53-2 SP800-53A SP800-54 SP800-55r1 SP800-56A Le NIST publie pour relecture le pouveau guide SP800-123 ‘Guide to General Server Security’, la première révision des guides SP800-66 ‘An Introductory Resource Guide for Implementing the HIPAA Security Rule’ et SP800-108 ‘Recommendation for Key Derivation Using Pseudorandom Functions’ ainsi que la version finale du guide SP800- 87 ‘Codes for the Identification of Federal and Federally-Assisted Organizations’. An Introduction to Computer Security: The NIST Handbook [R] 10/1995 Guide for Developing Security Plans for Federal Information Systems [R] 08/2005 Guideline for Implementing Cryptography in the Federal Government [D] 09/2005 Security Self-Assessment Guide for Information Technology Systems [F] 11/2001 Guide for Inform. Security Program Assessments & System Reporting Form [R] 08/2005 Engineering Principles for Information Technology Security – Rev A [F] 06/2004 Guidelines on Active Content and Mobile Code [R] 09/2007 Comparison of Security Reqs for Cryptographic Modules in FIPS 140-1 & 140-2 [F] 10/2001 http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf [F] 01/2004 Intrusion Detection Systems [F] 11/2001 Introduction to Public Key Technology and the Federal PKI Infrastructure [F] 02/2001 Underlying Technical Models for Information Technology Security [F] 12/2001 Contingency Planning Guide for Information Technology Systems [F] 06/2002 Guide to Selecting IT Security Products [F] 10/2003 Guide to IT Security Services [F] 10/2003 Guidelines for the Security C&A of Federal Information Technology Systems [F] 04/2004 Recommendation for Block Cipher Modes of Operation – Method and Techniques [F] 12/2001 Recommendation for Block Cipher Modes of Operation – RMAC [D] 12/2001 Recommendation for Block Cipher Modes of Operation – CCM [F] 05/2004 Recommendation for Block Cipher Modes of Operation – GCM [R] 04/2006 Managing Risk from Information Systems: An Organizational Perspective [R] 04/2008 Applying Security Patches [F] 09/2002 Creating a Patch and Vulnerability Management Program [F] 11/2005 Guidelines on Firewalls and Firewall Policy [F] 01/2002 Guidelines on Network Security testing [F] 10/2003 System Administration Guidance for Windows2000 [F] 11/2002 Guidelines on Securing Public Web Servers [F] 09/2007 Guide On Electronic Mail Security [F] 02/2007 Security for Telecommuting and Broadband Communications [F] 11/2002 Security Guide for Interconnecting Information Technology Systems [F] 09/2002 Wireless Network Security: 802.11, Bluetooth™ and Handheld Devices [R] 08/2007 Federal S/MIME V3 Client Profile [F] 11/2002 Building an Information Technology Security Awareness & Training Program [F] 03/2003 Use of the Common Vulnerabilities and Exposures Vulnerability Naming Scheme [F] 09/2002 Guidelines on the Selection and Use of Transport Layer Security [D] 09/2004 Recommended Security Controls for Federal Information Systems [R] 11/2007 Guide for Assessing the Security Controls in Federal Information Systems [R] 12/2007 Border Gateway Protocol Security [F] 07/2007 Security Metrics Guide for Information Technology Systems [R] 09/2007 Pair-Wise Key Establishment Schemes Using Discrete Logarithm Cryptography [M] 05/2006 Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 21/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 SP800-57 SP800-58 SP800-59 SP800-60 SP800-60r1 SP800-61r1 SP800-63r1 SP800-64r2 SP800-65 SP800-66r1 SP800-67 SP800-68 SP800-69 SP800-70 SP800-72 SP800-73r2 SP800-73-2 SP800-76-1 SP800-77 SP800-78-1 SP800-79 SP800-80 SP800-81 SP800-82 SP800-83 SP800-84 SP800-85B SP800-86 SP800-87r1 SP800-88 SP800-89 SP800-90 SP800-92 SP800-94 SP800-95 SP800-96 SP800-97 SP800-98 SP800-100 SP800-101 SP800-103 SP800-104 SP800-106 SP800-107 SP800-108 SP800-110 SP800-111 SP800-113 SP800-114 SP800-115 SP800-116 SP800-123 Recommendation for Key Management, Part 1: General Guideline Recommendation for Key Management, Part 2: Best Practices Security Considerations for Voice Over IP Systems Guideline for Identifying an Information System as a National Security System Guide for Mapping Types of Information & Information Systems to Security Categories Guide for Mapping Types of Information & Information Systems to Security Categories Computer Security Incident Handling Guide Electronic Authentication Guidelines Security Considerations in the Information System Development Life Cycle Recommended Common Criteria Assurance Levels An Introductory Resource Guide for Implementing the HIPAA Security Rule Recommendation for the Triple Data Encryption Algorithm (TDEA) Block Cipher Guidance for Securing Microsoft Windows XP Systems for IT Professionals Guidance for Securing Microsoft Windows XP Home Edition The NIST Security Configuration Checklists Program Guidelines on PDA Forensics Integrated Circuit Card for Personal Identity Verification Interfaces to Personal Identity Verification Biometric Data Specification for Personal Identity Verification Guide to Ipsec VPNs Cryptographic Algorithms and Key Sizes for Personal Identity Verification Guidelines for Certification & Accreditation of PIV Card Issuing Organizations Guide for Developing Performance Metrics for Information Security Secure Domain Name System (DNS) Deployment Guide Guide to SCADA and Industrial Control Systems Security Guide to Malware Incident Prevention and Handling Guide to Single-Organization IT Exercises PIV Middleware and PIV Card Application Conformance Test Guidelines Computer, Network Data Analysis: Forensic Techniques to Incident Response Codes for the Identification of Federal and Federally-Assisted Organizations Guidelines for Media Sanitization Recommendation for Obtaining Assurances for Digital Signature Applications Random Number Generation Using Deterministic Random Bit Generators Guide to Computer Security Log Management Guide to Intrusion Detection and Prevention (IDP) Systems Guide to Secure Web Services PIV Card / Reader Interoperability Guidelines Guide to IEEE 802.11i: Robust Security Networks Guidance for Securing Radio Frequency Identification (RFID) Systems Information Security Handbook: A Guide for Managers Guidelines on Cell Phone Forensics An Ontology of Identity Credentials, Part I: Background and Formulation A Scheme for PIV Visual Card Topography Randomized Hashing Digital Signatures Recommendation for Using Approved Hash Algorithms Recommendation for Key Derivation Using Pseudorandom Functions Information System Security Reference Data Model Guide to Storage Encryption Technologies for End User Devices Guide to SSL VPNs User’s Guide to Securing External Devices for Telework and Remote Access Technical Guide to Information Security Testing A Recommendation for the Use of PIV Credentials in Physical Access Control Systems Guide to General Server Security [F] Finalisé [R] Pour commentaire et relecture [*] Récemment finalisé [D] En cours de développement © DEVOTEAM SOLUTIONS - Tous droits réservés 08/2005 08/2005 03/2005 08/2003 06/2004 11/2007 03/2008 02/2008 03/2008 01/2005 05/2008 05/2004 10/2005 08/2006 05/2005 11/2004 10/2007 03/2008 01/2007 12/2005 07/2006 07/2005 05/2006 05/2006 09/2007 11/2005 08/2005 07/2006 08/2006 04/2008 08/2006 11/2006 06/2006 04/2006 02/2007 08/2007 07/2006 02/2007 04/2007 03/2007 05/2007 09/2006 06/2007 07/2007 07/2007 05/2008 09/2007 11/2007 08/2007 11/2007 11/2007 03/2008 05/2008 [M] Mise à jour Complément d’information http://csrc.nist.gov/publications/PubsSPs.html http://csrc.nist.gov/publications/drafts/800-66-Rev1/Draft_SP800-66-Rev1.pdf http://csrc.nist.gov/publications/nistpubs/800-87-Rev1/SP800-87_Rev1-April2008Final.pdf http://csrc.nist.gov/publications/PubsDrafts.html#SP-800-108 http://csrc.nist.gov/publications/PubsDrafts.html#SP-800-123 Veille Technologique Sécurité N°118 [F] [F] [F] [F] [F] [R] [R] [R] [R] [F] [R] [F] [F] [R] [F] [F] [R] [R] [F] [F] [R] [F] [R] [D] [R] [F] [R] [F] [F] [F] [M] [F] [F] [R] [F] [F] [M] [F] [F] [M] [F] [R] [F] [R] [R] [R] [R] [R] [R] [F] [R] [R] [R] - Catalogue des publications - SP800-66r1 - SP800-87r1 - SP800-108 - SP800-123 Page 22/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 NSA - CATALOGUE DES GUIDES DE SECURITE Description Un nouveau mémento de 2 pages a été publié par la NSA qui porte sur la sécurité des dispositifs BlueTooth. G R P Guide de mise en œuvre et/ou manuel d’utilisation Recommandations et principes élémentaires Procédures et mise en application N O Document nouvellement publié Document obsolète Windows VISTA R Windows Vista Security Guide How to Securely Configure Microsoft Windows Vista BitLocker I - 25/10/2006 15/09/2007 MIC NSA V2.1 V1.0 V2.1 V2.1 V2.1 V1.0 V1.0 26/04/2006 12/09/2006 26/04/2006 26/04/2006 26/04/2006 01/04/2005 - MIC NSA MIC MIC MIC NSA CIS V1.0 12/09/2006 NSA V1.0 V1.08 19/04/2001 02/03/2001 NSA NSA V1.1 V1.22 V1.01 V1.0 V1.0 V1.1 V1.02 V1.02 13/10/2001 12/09/2006 26/11/2002 09/04/2001 01/01/2001 27/06/2001 01/05/2001 23/01/2001 NSA NSA NSA NSA NSA NSA NSA NSA V1.0 V1.0 06/03/2001 01/12/2000 NSA NSA V2.11 V2.02 V4.0 10/10/2001 10/10/2001 08/04/2002 NSA NSA NSA V1.5 V1.3 V1.0 V1.0 V1.2 08/08/2002 19/07/2002 02/07/2001 13/08/2001 24/11/2003 NSA NSA NSA NSA NSA Guide to Securing Microsoft Windows NT Networks V4.2 18/09/2001 NSA Guide to the Secure Configuration of Solaris 8 Guide to the Secure Configuration of Solaris 9 Apple Mac OS X v10.3.x Security configuration guide Apple Mac OS X Server v10.3.x Security configuration guide Apple Mac OS X v10.4.x Security configuration guide Apple Mac OS X Server v10.4.x Security configuration guide Guide to the Secure Configuration of Red Hat Enterprise Linux 5 V1.0 V1.0 V1.1 V1.0 Ed. 2 Ed. 2 - 09/09/2003 NSA 16/07/2004 NSA 21/12/2004 NSA 08/07/2005 NSA 12/03/2007 Apple 12/03/2007 Apple 19/11/2007 NSA Router Security Configuration Guide - Executive Summary Router Security Configuration Guide Router Security Configuration Guide – Security for IPV6 Routers Cisco IOS Switch Security Configuration Guide Configuring a PC to Remotely Administer a Cisco Router Using the Router Console Configuring a Cisco Router for Remote Administration Using the Router Console Port Security on Cisco Access Switches V1.1 V1.1c V1.0 V1.0 03/03/2006 15/12/2005 23/05/2006 21/06/2004 18/05/2007 04/05/2007 08/01/2008 NSA NSA NSA NSA NSA NSA NSA V1.1 - 01/10/2005 23/09/2005 26/09/2006 04/06/2007 NSA NSA NSA NSA V3.0 14/11/2003 NSA Windows 2003 R R R R R G G The Windows Server 2003 - Security Guide NSA Windows Server 2003 Security Guide Addendum Testing the Windows Server 2003 - Security Guide Supporting the Windows Server 2003 - Security Guide Delivering the Windows Server 2003 - Security Guide Systems Management Server 2003 Security Guide Exchange Server 2003 Benchmark Windows XP Système N R NSA Windows XP Security Guide Addendum Windows 2000 Références I I Microsoft Windows 2000 Network Architecture Guide Group Policy Reference Systèmes G I P P P P P R Guide to Securing Microsoft Windows 2000 Group Policy Guide to Securing Microsoft Windows 2000 Group Policy: Security Configuration Tool Guide to Securing Microsoft Windows 2000 File and Disk Resources Guide to Securing Microsoft Windows 2000 DNS Guide to Securing Microsoft Windows 2000 Encrypting File System Guide to Windows 2000 Kerberos Settings Microsoft Windows 2000 Router Configuration Guide Guide to Securing Windows NT/9x Clients in a Windows 2000 Network Annuaire I I Guide to Securing Microsoft Windows 2000 Schema Guide to Securing Microsoft Windows 2000 Active Directory Certificats R R R Guide to the Secure Config. & Admin. of Microsoft Windows 2000 Certificate Services Guide to the Secure Config. & Admin. of Microsoft Windows 2000 Certificate Services (check) Guide to Using DoD PKI Certificates in Outlook 2000 Services annexes I P P P P Guide to Secure Configuration & Administration of Microsoft ISA Server 2000 Guide to Securing Microsoft Windows 2000 DHCP Guide to Securing Microsoft Windows 2000 Terminal Services Microsoft Windows 2000 IPsec Guide Guide to the Secure Configuration and Administration of Microsoft Exchange 2000 Windows NT P Unix P P P P P P P Cisco R P P P I I I - Sans-Fils G G G I Guidelines for the Development and Evaluation of IEEE 802.11 IDS Recommended 802.11 Wireless Local Area Network Architecture Security Guidance for Bluetooth Wireless Keyboards and Mice So Your Boss Bought you a New Laptop How do you identify & disable wireless capabilities Contenus exécutables O Outlook E-mail Security in the Wake of Recent Malicious Code Incidents Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 23/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 O O R R I Guide to the Secure Configuration and Administration of Microsoft Exchange 5 Microsoft Office 97 Executable Content Security Risks and Countermeasures Microsoft Office 2000 Executable Content Security Risks and Countermeasures Microsoft Office 2003 Executable Content Security Risks and Countermeasures Data Execution Prevention (DEP) Bases de données R R G G R Web R P R R Guide to the Secure Configuration and Administration of Microsoft SQL Server 2000 Guide to the Secure Configuration and Administration of Oracle9i Oracle Application Server on Windows 2003 Security Guide Oracle Application Server Security Recommendations and DoDI 8500.2 IA Control Benchmark for Oracle 9i/10g BEA WebLogic Platform Security Guide Guide to the Secure Configuration & Administration of Microsoft IIS 5.0 Guide to Securing Microsoft Internet Explorer 5.5 Using Group Policy Guide to Securing Netscape Navigator 7.02 V3.0 V1.1 ND ND 07/01/2002 20/12/1999 08/02/2002 05/02/2004 25/10/2007 NSA NSA NSA NSA NSA V1.5 V1.2 V1.2 15/01/2003 30/10/2003 12/2006 12/2006 - NSA NSA NSA NSA CIS V1.0 04/04/2005 16/01/2004 07/2002 04/2003 NSA NSA NSA NSA ND V1.73 V1.33 V1.33 V1.12 V1.14 V2.1 V1.0 V1.5 - ND 03/07/2001 04/03/2002 04/03/2002 24/04/2001 05/10/2001 15/03/2006 01/04/2004 11/11/2005 01/08/2006 01/08/2006 01/08/2006 01/02/2007 01/02/2007 01/02/2007 01/04/2007 NSA NSA NSA NSA NSA NSA NSA NSA NSA NSA NSA NSA NSA NSA NSA - 08/01/2008 03/10/2007 19/09/2007 21/08/2008 NSA NSA NSA NSA V1.0 - 14/02/2006 01/05/2006 19/09/2007 NSA NSA NSA V2.0 V1.4 V1.0 V1.1 Documents de Support I O O O O R R R R I I I I I I I I P P P N P Defense in Depth Guide to the Secure Configuration & Administration of iPlanet Web Serv Ent. Ed. 4.1 Guide to the Secure Conf. and Admin. of Microsoft IIS 4.0 Guide to the Secure Conf. and Admin. of Microsoft IIS 4.0 (Checklist Format) Secure Config. of the Apache Web Server, Apache Server V1.3.3 on Red Hat Linux 5.1 Microsoft NetMeeting 3.0 Security Assessment and Configuration Guide The 60 Minute Network Security Guide Guide to Sun Microsystems Java Plug-in Security Guide to Microsoft .NET Framework Security Enterprise Firewall Types Desktop or Enterprise Firewall ? Enterprise Firewalls in Encrypted Environments Security Guidance for Using Mail Clients Mail Client Security Cheat Sheet Secure Instant Messaging Disabling USB Storage Drives Biometrics Security Considerations Internet Protocol Version 6 Firewall design consideration for IPV6 A filtering strategy for Mobile IPV6 Bluetooth Security VoIP R R P Security Guidance for Deploying IP Telephony Systems Recommended IP Telephony Architecture Video Teleconferencing Complément d'information http://www.nsa.gov/snac/ http://www.nsa.gov/snac/wireless/I732-016R-07.pdf - Portail d’accès aux guides - Memento Bluetooth LA LEGISLATION DEMATERIALISATION FNTC – VADEMECUM JURIDIQUE DE LA DEMATERIALISATION DES DOCUMENTS Description Réalisé avec le concours du cabinet d’avocats Caprioli & Associés, ce mémorandum de 32 pages intitulé ‘Vademecum Juridique de la dématérialisation des documents’ nous est proposé par la Fédération Nationale des Tiers de Confiance. Il vient compléter la collection ‘Des Guides de la Confiance’ déjà forte de 3 documents de référence: - le ‘Guide de la Dématérialisation des marchés publics’ publié en décembre 2006, - le ‘Guide de l’horodatage’ publié en novembre 2004, - le ‘Guide de la Signature Electronique’ publié en 2001, une révision étant annoncée pour le 2nd semestre 2008. Bien que ne portant pas explicitement référence à la sécurité des systèmes d’information, hors quelques exigences fonctionnelles et opérationnelles notamment en ce qui concerne l’archivage, le ‘Vademecum Juridique de la dématérialisation des documents’ n’en est pas moins un document qu’il sera utile de conserver à portée de main car contenant nombre d’informations utiles pour qui doit gérer contrats, factures ou offres de marchés publics dans leur forme électronique. La table des matières de ce guide est reproduite ci-dessous: 1. LA DÉMATÉRIALISATION DANS LA SPHÈRE PRIVÉE ( B to C et B to B) A. Le contrat sous forme électronique (acte juridique électronique) Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 24/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 1. La notion d’écrit sous forme électronique 2. La notion de signature électronique 3. La distinction entre l’original et la copie électroniques 4. La gestion de preuve B. Le contrat par voie électronique (commande en ligne) 1. Le processus de contractualisation en ligne 2. Le paiement électronique C. Dispositions communes 1. L’archivage électronique 2. Les conventions sur la preuve D. Domaines d’application de la dématérialisation 1. Le droit social 2. La facture électronique 3. Les services de banques électroniques : l’exemple des relevés de compte 4. Les envois électroniques recommandés 5. Le vote électronique II. LA DÉMATÉRIALISATION DANS LA SPHÈRE PUBLIQUE A. L’ordonnance du 8 décembre 2005 et les décrets relatifs aux RGI et au RGS B. Les téléprocédures C. Les marchés publics passés par voie électronique D. L’archivage électronique des archives publiques Il sera nécessaire de s’inscrire sur le portail de la FNTC pour avoir accès à ce guide, une opération qui ne prendra que quelques secondes et ouvrira l’accès à toute la documentation publiée par cette organisation. Complément d’information http://www.fntc.org/ - Site de la Fédération Nationale des Tiers de Confiance DCSSI/DGME – REFERENTIEL GENERAL DE SECURITE DIT ‘RGS’ Description Une version de travail du RGS, ou Référentiel Général de Sécurité, a été publiée pour commentaires à la mi-mai. Rappelons que le RGS « spécifie l’ensemble des règles que doivent respecter les fonctions des systèmes d’information contribuant à la sécurité des informations échangées par voie électronique entre les usagers et les autorités administratives et entre les autorités administratives. » Transmis dans sa version 0.96d pour commentaire aux Hauts Fonctionnaires de Défense (HFD) et aux Fonctionnaires de Sécurité des Systèmes d’Information (FSSI) des ministères en Juin 2007, ce document de 40 pages est soumis à un appel à commentaire plus large ouvert jusqu’au 13 Juin 2008. En voici le sommaire: 1 - Introduction 1.1 - Présentation générale et guide d’usage 1.2 - Gestion du document 1.3 - Niveau de préconisation pour les règles 1.4 - Présentation détaillée 1.5 - Définitions et acronymes 2 - Gestion de la sécurité 2.1 - Introduction 2.2 - Convergence avec d’autres constructions pour la SSI 2.3 - Principes pour la gestion de la sécurité 2.4 - La sécurité dans un projet de système d’information 3 - Fonctions de sécurité 3.1 - Lien avec la PRIS 3.2 - Identification/Authentification 3.3 - Authentification: certificat de personne 3.4 - Authentification: certificat « Serveur » 3.5 - Authentification par système à mot de passe à usage unique 3.6 - Identification par identifiant et mot de passe statique 3.7 - Signature électronique: certificat de personne 3.8 - Signature électronique: certificat de Serveur 3.9 - Confidentialité : certificat de personne 3.10- Horodatage 4 - Services de confiance, autres fonctions de sécurité 4.1 - Personnalisation des dispositifs d’authentification, de signature et de chiffrement 4.2 - Autres services de confiance 5 - Accusé d’enregistrement et de réception 5.1 - Description 5.2 - Normes et standard 5.3 - Principes de mise en oeuvre 6 - Produits de sécurité 6.1 - Description 6.2 - Normes et standards Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 25/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 6.3 - Principes de mise en oeuvre 7 – Qualification 7.1 - Qualification des Prestataires de Service de Confiance PSCo 7.2 - Qualification des produits 8 - Référencement 8.1 - Référencement d’une offre d’un Prestataire de Service de Confiance 8.2 - Référencement des produits 9 - Validation des certificats avec l’IGC/A 10 Annexe 1 : Liste des Profils de Protection 11 Annexe 2 : liste des sigles Une nouvelle version du RGS sera élaborée à partir de l’analyse de tous les commentaires reçus. Complément d’information http://www.synergies-publiques.fr/article.php?id_article=935 - Annonce de la publication http://www.synergies-publiques.fr/IMG/pdf/070531_RGS_draft_0_096e-2.pdf - RGS, Version 0.96e pour commentaire http://www.synergies-publiques.fr/article.php?id_article=381 - PRIS, Version 2.1 Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 26/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 L LO OG LIIB GIIC BR RE CIIE ES S EL LS SL LES SERVICES DE BASE Les dernières versions des services de base sont rappelées dans les tableaux suivants. Nous conseillons d’assurer rapidement la mise à jour de ces versions, après qualification préalable sur une plate-forme dédiée. RESEAU Nom BIND DHCP NTP4 OpenNTPD Fonction Ver. Date Source Gestion de Nom (DNS) Serveur d’adresse Serveur de temps Serveur de temps 9.4.2 4.0.0 4.2.4 4.3 21/11/07 19/12/07 10/09/07 01/05/08 http://www.isc.org/ http://www.isc.org/ http://ntp.isc.org/bin/view/Main/SoftwareDownloads http://www.openntpd.org/ MESSAGERIE Nom Fonction Ver. Date Source Relevé courrier Relevé courrier Relevé courrier Serveur de courrier 2007b 4.0.13 1.0.2 8.14.3 28/03/08 08/05/08 23/05/06 03/05/08 ftp://ftp.cac.washington.edu/imap/ ftp://ftp.qualcomm.com/eudora/servers/unix/popper/ http://www.openwall.com/popa3d/ http://www.sendmail.org/ Nom Fonction Ver. Date Source APACHE Serveur WEB 19/01/08 19/01/08 19/01/08 08/02/08 08/04/08 12/02/08 27/05/08 20/05/08 http://httpd.apache.org/dist IMAP4 POP3 POPA3D SENDMAIL WEB ModSSL MySQL SQUID 1.3.41 2.0.63 2.2.8 API SSL Apache 1.3.41 2.8.31 Base SQL 5.1.24 6.0.4 Cache WEB 2.7s1 3.0s6 http://www.modssl.org http://dev.mysql.com/doc/refman/5.1/en/news.html http://dev.mysql.com/doc/refman/6.0/en/news.html http://www.squid-cache.org/Versions/ AUTRE Nom FreeRadius INN OpenCA OpenLDAP Samba Tor LES Fonction Ver. Date Source Gestion de l’identité Gestion des news Gestion de certificats Gestion de l’annuaire Gestion de fichiers Anonymat 2.0.4 2.4.4 0.9.3 2.4.9 3.0.29 0.1.2.19 30/04/08 09/05/08 10/10/06 07/05/08 21/05/08 29/12/08 http://www.freeradius.org/ http://www.isc.org/ http://pki.openca.org/projects/openca/downloads.shtml ftp://ftp.openldap.org/pub/OpenLDAP/openldap-release/ http://us1.samba.org/samba/ http://tor.eff.org/download.html OUTILS Une liste, non exhaustive, des produits et logiciels de sécurité du domaine public est proposée dans les tableaux suivants. LANGAGES Nom Perl Python Ruby PHP Fonction Ver. Date Source Scripting Scripting Scripting WEB Dynamique 5.8.8 2.5.2 1.8.6p114 5.2.6 10/02/06 22/02/08 01/03/07 01/05/08 http://www.cpan.org/src/README.html http://www.python.org/download/ http://www.ruby-lang.org/en/downloads/ http://www.php.net/downloads.php ANALYSE RESEAU Nom Fonction Ver. Date Source Dsniff EtterCap Ethereal Nstreams TcpDump Libpcap TcpFlow WinPCap Boîte à outils Analyse & Modification Analyse multiprotocole Générateur de règles Analyse multiprotocole Acquisition Trame Collecte données Acquisition Trame 2.3 0.7.3 1.0.0 1.0.3 3.9.8 0.9.8 0.21 4.0.2 17/12/00 29/05/05 31/03/08 06/08/02 25/09/07 25/09/07 07/08/03 09/11/07 http://www.monkey.org/~dugsong/dsniff http://ettercap.sourceforge.net/index.php?s=history http://www.wireshark.org/ http://www.ethereal.com/ http://www.hsc.fr/ressources/outils/nstreams/download/ http://www.tcpdump.org/ http://www.tcpdump.org/ http://www.circlemud.org/~jelson/software/tcpflow/ http://www.winpcap.org/news.htm Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 27/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 ANALYSE DE JOURNAUX Nom Fonction Ver. Date Source Analog AWStats fwLogWatch OSSIM SnortSnarf WebAlizer Journaux serveur http Analyse log Analyse log Console de gestion Analyse Snort Journaux serveur http 6.00 6.7 1.1 0.9.9 050314.1 2.01-10 19/12/04 03/07/07 17/04/06 22/02/08 05/03/05 24/04/02 http://www.analog.cx http://awstats.sourceforge.net/ http://cert.uni-stuttgart.de/projects/fwlogwatch/ http://www.ossim.net/ http://www.snort.org/dl/contrib/data_analysis/snortsnarf/ http://www.mrunix.net/webalizer/download.html ANALYSE DE SECURITE Nom Fonction Ver. Date Source BackTrack curl FIRE Nessus Boîte à outils Analyse http et https Boîte à outils Vulnérabilité réseau 3.0beta 7.18.1 0.4a 2.2.11 3.2.0 1.9a 2.02 4.62 6.7.9 7.5.6 2.0.2924 2.4 14/12/07 30/03/08 14/05/03 27/07/07 12/03/08 13/07/07 10/01/08 03/05/08 14/05/08 01/05/08 03/01/08 03/07 http://www.remote-exploit.org/backtrack_download.html http://curl.haxx.se/ http://sourceforge.net/projects/biatchux/ http://www.nessus.org/download/ http://www.nessus.org/download/ http://www.e-fense.com/helix/ http://www.cirt.net/nikto/ http://www.insecure.org/nmap/nmap_changelog.html http://www.saintcorporation.com/resources/updates.html http://www-arc.com/sara/ http://www.sensepost.com/research/wikto/ http://www.wiretrip.net/rfp/lw.asp Helix Nikto nmap Saint Sara Wikto Whisker Boîte à outils Analyse http et https Vulnérabilité réseau Vulnérabilité réseau Vulnérabilité réseau Analyse http et https LibWhisker CONFIDENTIALITE Nom Fonction Ver. Date Source GPG GPG4Win GPG S/MIME LibGCrypt Signature/Chiffrement Signature/Chiffrement Signature/Chiffrement Signature/Chiffrement 2.0.8 1.0.6 1.9.20 1.2.3 20/12/07 29/08/06 20/12/05 29/08/06 http://www.gnupg.org/news.en.html http://www.gnupg.org/news.en.html http://www.gnupg.org/news.en.html http://www.gnupg.org/news.en.html CONTROLE D’ACCES RESEAU Nom Fonction Ver. Date Source Xinetd Inetd amélioré 2.3.14 24/10/05 http://www.xinetd.org/ CONTROLE D’INTEGRITE Nom Fonction Ver. Date Source RootKit hunt ChkRootKit RKRevealer Compromission UNIX Compromission UNIX Compromission WIN 1.3.2 0.48 1.71 18/03/08 17/12/07 01/11/06 http://www.rootkit.nl/projects/rootkit_hunter.html http://www.chkrootkit.org/ http://www.microsoft.com/technet/sysinternals/default.mspx DETECTION D’INTRUSION Nom Fonction Ver. Date Source P0f Snort Identification passive IDS Réseau 2.0.8 2.8.1 06/09/06 01/04/08 http://lcamtuf.coredump.cx/p0f.shtml http://www.snort.org/dl/ GENERATEURS DE TEST Nom Fonction Ver. Date Source NetDude &all Scapy Rejeu de paquets Génération de paquet 0.4.8a 1.2.0.2 24/06/07 09/04/07 http://netdude.sourceforge.net/download.html http://hg.secdev.org/scapy/raw-file/tip/scapy.py Fonction Ver. Date Source Filtre datagramme Pare-Feu IpTables 4.1.29 1.4.0 12/08 22/12/07 http://coombs.anu.edu.au/ipfilter/ip-filter.html http://www.netfilter.org/projects/iptables/downloads.html Fonction Ver. Date Source Pile SSL Pile SSH 1 et 2 Pile IPSec Terminal SSH2 Proxy https Tunnel TCP/UDP 0.9.8h 5.0 2.5.17 0.60 4.24 2.4.1a 28/05/08 03/04/08 27/02/07 30/04/07 04/05/08 06/09/05 http://www.openssl.org/ http://www.openssh.com/ http://www.openswan.org/code/ http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html http://www.stunnel.org http://www.winton.org.uk/zebedee/ PARE-FEUX Nom IpFilter NetFilter TUNNELS Nom OpenSSL OpenSSH OpenSwan PuTTY Stunnel Zebedee Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 28/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 N NO OR STTA RM AN ME ND ES DA SE AR RD ET DS TS S LES LES PUBLICATIONS DE L’IETF RFC Du 18/04/2008 au 30/05/2008, 25 RFC ont été publiés dont 8 RFC ayant trait à la sécurité. RFC TRAITANT DE LA SÉCURITÉ Thème GSS-API PANA HIP PKI Num Date Etat Titre 5178 5179 5191 5192 5193 5202 5207 5280 05/08 05/08 05/08 05/08 05/08 04/08 04/08 05/08 Pst Pst Pst Pst Inf Exp Inf Pst GSS-API Internationalization and Domain-Based Service Names and Name Type GSS-API Domain-Based Service Names Mapping for the Kerberos V GSS Mechanism Protocol for Carrying Authentication for Network Access (PANA) DHCP Options for PANA Authentication Agents Protocol for Carrying Authentication for Network Access (PANA) Framework Using the Encapsulating Security Payload (ESP) Transport Format with the Host Identity Protocol NAT and Firewall Traversal Issues of Host Identity Protocol (HIP) Communication Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile RFC TRAITANT DE DOMAINES CONNEXES A LA SECURITE Thème HIP IPV6 Num Date Etat Titre 5201 5203 5204 5205 5206 5180 04/08 04/08 04/08 04/08 04/08 05/08 Exp Exp Exp Exp Exp Inf Host Identity Protocol Host Identity Protocol (HIP) Registration Extension Host Identity Protocol (HIP) Rendezvous Extension Host Identity Protocol (HIP) Domain Name System (DNS) Extensions End-Host Mobility and Multihoming with the Host Identity Protocol IPv6 Benchmarking Methodology for Network Interconnect Devices AUTRES RFC Thème 802.16 IETF IPFIX NEMO OSPF ROHC SIEVE UDLD ULE URN LES Num Date Etat Titre 5181 5000 5226 5153 5177 5185 5225 5173 5171 5163 5174 05/08 05/08 05/08 04/08 04/08 05/08 04/08 04/08 04/08 04/08 05/08 Inf Inf BCP Inf Pst Pst Pst Pst Inf Pst Inf IPv6 Deployment Scenarios in 802.16 Networks Internet Official Protocol Standards Guidelines for Writing an IANA Considerations Section in RFCs IPFIX Implementation Guidelines Network Mobility (NEMO) Extensions for Mobile IPv4 OSPF Multi-Area Adjacency RObust Header Compression Version 2 (ROHCv2): Profiles for RTP, UDP, IP, ESP and UDP-Lite Sieve Email Filtering: Body Extension Cisco Systems UniDirectional Link Detection (UDLD) Protocol Extension Formats for ULE and the Generic Stream Encapsulation (GSE) A Uniform Resource Name (URN) Namespace for the European Broadcasting Union (EBU) DRAFTS Du 18/04/2008 au 30/05/2008, 164 drafts ont été publiés : 122 drafts mis à jour, 42 nouveaux drafts, dont XX drafts ayant directement trait à la sécurité. NOUVEAUX DRAFTS TRAITANT DE LA SECURITE Thème Nom du Draft Date Titre SIMPLE SNDP SNMP TLS draft-intoto-simple-mobility-ipsec-clients-00 draft-daley-csi-sndp-prob-00 draft-li-isms-svacm-00 draft-keromytis-tls-authz-keynote-00 19/05 28/05 26/05 28/08 Simple Mobility Solution for IPsec Clients Securing Neighbour Discovery Proxy Problem Statement Simplified View-based Access Control Model (SVACM) for SNMP Transport Layer Security (TLS) Authorization Using KeyNote MISE A JOUR DE DRAFTS TRAITANT DE LA SECURITE Thème Nom du Draft Date Titre DHCP DIME DNS DSSC IODEF KERB NETCONF OPENPGP PKIX RSVP draft-pruss-dhcp-auth-dsl-03 draft-ietf-dime-qos-parameters-06 draft-hayatnagarkar-dnsext-validator-api-06 draft-ietf-ltans-dssc-03 draft-cain-post-inch-phishingextns-04 draft-ietf-krb-wg-anon-06 draft-ietf-netconf-tls-02 draft-josefsson-openpgp-mailnews-header-06 draft-ietf-pkix-sha2-dsa-ecdsa-02 draft-ietf-ccamp-path-key-ero-01 18/05 26/05 27/05 19/05 21/05 15/05 27/05 20/05 22/05 14/05 Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Authentication Extensions for DHCP Quality of Service Parameters for Usage with the AAA Framework DNSSEC Validator API Data Structure for Security Suitabilities of Cryptographic Alg. IODEF-Document Class for Phishing, Fraud, and Other Crimeware Anonymity Support for Kerberos NETCONF over Transport Layer Security (TLS) The "OpenPGP" mail and news header field X.509 PKI: Additional Algorithms & Identifiers for DSA and ECDSA RSVP Extensions for Path Key Support Page 29/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 SIP SIV SMIME TLS draft-stjohns-sipso-03 draft-ietf-sip-media-security-requirements-06 draft-dharkins-siv-aes-03 draft-ietf-smime-3850bis-02 draft-badra-hajjeh-mtls-04 draft-badra-tls-psk-new-mac-aes-gcm-03 21/05 12/05 20/05 12/05 19/05 17/05 Common Architecture Label IPv6 Security Option (CALIPSO) Req. and Analysis of Media Security Management Protocols SIV Authenticated Encryption using AES S/MIME Version 3.2 Certificate Handling MTLS: TLS Multiplexing Key Cipher Suites for TLS with SHA-256/384 & AES GCM DRAFTS TRAITANT DE DOMAINES CONNEXES A LA SECURITE Thème Nom du Draft Date Titre BGP BMWG draft-ietf-softwire-encaps-safi-01 draft-janovak-bmwg-ipflow-meth-00 draft-novak-bmwg-ipflow-meth-00 draft-ietf-dime-mip6-split-08 draft-ietf-dime-mip6-integrated-09 draft-ietf-dime-qos-attributes-06 draft-bambenek-doubleflux-01 draft-ietf-l1vpn-bgp-auto-discovery-05 draft-ietf-l1vpn-basic-mode-05 draft-ietf-l1vpn-ospf-auto-discovery-06 draft-mammoliti-l2tp-accessline-avp-03 draft-ietf-mipshop-mstp-solution-04 draft-ietf-netlmm-proxymip6-17 draft-ietf-netlmm-pmip6-ipv4-support-03 draft-ietf-syslog-tc-mib-08 28/05 21/05 21/05 28/05 26/05 26/05 21/05 14/05 27/05 13/05 12/05 14/05 27/05 22/05 22/05 DIME DNS L1VPN L2TP MIP NETLMM SYSLOG BGP Encapsulation SAFI and BGP Tunnel Encapsulation Attribute IP Flow Information Accounting and Export Bench. Methodology IP Flow Information Accounting and Export Bench. Methodology Support for Home Agent to Diameter Server Interaction Support for Network Access Server to Diameter Server Interaction Quality of Service Attributes for Diameter Double Flux Defense in the DNS Protocol BGP-based Auto-Discovery for Layer-1 VPNs Layer 1 VPN Basic Mode OSPF Based Layer 1 VPN Auto-Discovery L2TP Access Line Information AVP Extensions Mobility Services Framework Design Proxy Mobile IPv6 IPv4 Support for Proxy Mobile IPv6 Textual Conventions for Syslog Management AUTRES DRAFTS Thème Nom du Draft ARK ATOMLIN BEEP BEHAVE BGP BGP DHCP draft-kunze-ark-15 draft-saintandre-atomlink-discuss-00 draft-thomson-beep-async-00 draft-wing-behave-dynamic-tcp-port-reuse-00 draft-ietf-idr-bgp-identifier-09 draft-ietf-idr-rfc3392bis-00 draft-ietf-dhc-l2ra-01 draft-ietf-dhc-dhcpv6-bulk-leasequery-01 DIAP draft-brasher-diap-01 DKIM draft-otis-dkim-adsp-02 draft-levine-dkim-adsp-00 draft-otis-dkim-tpa-adsp-00 DNS draft-hardaker-dnsops-name-server-m…-03 draft-dupont-dnsext-tsig-md5-deprecated-00 draft-nzrs-srs-00 DVMO draft-ietf-manet-dymo-mib-00 ECRIT draft-wolf-ecrit-lost-servicelistboundary-00 draft-forte-ecrit-service-classification-00 ENUM draft-ietf-enum-enumservices-guide-10 draft-ietf-enum-x-service-regs-01 draft-hoeneisen-enum-enumservices-…-01 GEOPRIV draft-thomson-geopriv-location-quality-01 draft-mayrhofer-geopriv-geo-uri-00 draft-thomson-geopriv-wimax-measur…-00 iCAL draft-ietf-calsify-rfc2447bis-04 draft-ietf-calsify-2446bis-06 IDNA draft-ietf-idnabis-rationale-00 draft-ietf-idnabis-protocol-01 draft-ietf-idnabis-bidi-00 IETF draft-jcurran-v6transitionplan-03 draft-rfc-editor-errata-process-02 draft-iab-protocol-success-04 draft-housley-internet-draft-sig-file-04 draft-krishnan-review-process-00 IP draft-iab-ip-config-04 IPFIX draft-ietf-ipfix-mediators-problem-state…-00 IPPM draft-morton-ippm-reporting-metrics-05 IPSEC draft-devarapalli-ipsec-ikev2-redirect-00 IPV6 draft-miyata-v6ops-trans-approach-01 draft-despres-v6ops-6rd-ipv6-rapid-…-01 draft-ietf-v6ops-addr-select-req-07 draft-ietf-v6ops-addr-select-ps-06 draft-ietf-v6ops-nat64-pb-statement-req-00 L2ISIS draft-ward-l2isis-03 LEMONAD draft-ietf-lemonade-convert-20 draft-ietf-lemonade-architecture-02 LoST draft-ietf-ecrit-lost-10 Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Date Titre 22/05 27/05 26/05 14/05 13/05 22/05 16/05 23/05 16/05 24/05 23/05 24/05 20/05 11/05 18/05 15/05 28/05 28/05 19/05 21/05 20/05 26/05 21/05 21/05 12/05 11/05 10/05 27/05 28/05 18/05 21/05 27/05 14/05 28/05 25/05 12/05 19/05 15/05 14/05 10/05 11/05 14/05 13/05 22/05 20/05 16/05 28/05 The ARK Persistent Identifier Scheme Atom Link Relation: Discuss Asynchronous Channels for BEEP Dynamic TCP Port Reuse for Network Address and Port Translators AS-wide Unique BGP Identifier for BGP-4 Capabilities Advertisement with BGP-4 Layer 2 Relay Agent Information DHCPv6 Bulk Leasequery Distributed Internet Archive Protocol (DIAP) DKIM Author Domain Signing Practices (ADSP) DKIM Author Domain Signing Practices (ADSP) DKIM Third-Party Authorization for Author Domain Signing Requirements for Management of Name Servers for the DNS Deprecated HMAC MD5 in TSIG System for Managing a Shared Domain Registry Managed Objects for the DYMO Manet Routing Protocol LoST Extension: ServiceListBoundary Classification of Location-based Services IANA Registration of Enumservices: Guide, Template IANA Registration of Experimental and Trial Enumservices Update of legacy IANA Registrations of Enumservices Specifying Location Quality Constraints in Location Protocols A Uniform Resource Identifier for Geographic Locations ('geo' URI) Location Measurements for IEEE 802.16e Devices iCalendar Message-Based Interoperability Protocol (iMIP) iCalendar Transport-Independent Interoperability Protocol (iTIP) IDNA: Definitions, Background and Rationale IDNA: Protocol An updated IDNA criterion for right-to-left scripts An Internet Transition Plan RFC Editor Proposal for Handling RFC Errata What Makes For a Successful Protocol? Digital Signatures on Internet-Draft Documents Guidelines to authors & reviewers regarding IETF review process Principles of Internet Host Configuration IPFIX Mediation: Problem Statement Reporting Metrics: Different Points of View Re-direct Mechanism for IKEv2 Translator specification approach IPv6 Rapid Deployment on IPv4 infrastructures (6rd) Requirements for address selection mechanisms Operational Issues of RFC3484 Default Rules IPv4/IPv6 Coexistence and Transition: Requirements for solutions Carrying Attached Addresses in IS-IS IMAP CONVERT extension LEMONADE Architecture - Supporting OMA Mobile Email LoST: A Location-to-Service Translation Protocol Page 30/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 LOWPAN LTRU MIB MIP4 MIP6 MMUSIC MPLS MSRP NEMO NETCONF NETMOD NFS NTP OSPF PANA PASSIVE PCE PCN PIM PWE3 RFC3330 RFC3534 ROLL RSVP RTP SAVA SDP SEAL SHAND SIEVE SIMPLE SIP SMIME SMTP SNMP THOMAS TRACER TSVWG TWAMP draft-thubert-6lowpan-simple-fragment-…-01 draft-ietf-ltru-4646bis-14 draft-cole-manet-nhdp-mib-00 draft-korhonen-mip4-service-03 draft-ietf-mext-nemo-v4traversal-03 draft-ietf-mip6-hiopt-17 draft-whitehead-mmusic-sip-for-stream…-05 draft-ietf-ccamp-gmpls-mln-reqs-11 draft-ietf-ccamp-pc-and-sc-reqs-04 draft-ietf-ccamp-gr-description-03 draft-ietf-ccamp-rfc4420bis-03 draft-ietf-ccamp-wavelength-switched-…-00 draft-ietf-ccamp-gmpls-g-694-lambda-…-00 draft-ietf-mpls-cosfield-def-00 draft-blau-msrp-acm-00 draft-ietf-mext-aero-reqs-02 draft-ietf-mext-flow-binding-00 draft-iijima-netconf-soap-implementation-08 draft-schoenw-netmod-yang-types-00 draft-ietf-nfsv4-minorversion1-23 draft-ietf-nfsv4-pnfs-obj-08 draft-ietf-nfsv4-minorversion1-dot-x-06 draft-ietf-nfsv4-rpcsec-gss-v2-03 draft-ietf-ntp-dhcpv6-ntp-opt-00 draft-ietf-ospf-ospfv3-update-23 draft-morand-pana-panaoverdsl-02 draft-kikuchi-passive-measure-02 draft-yasukawa-pce-p2mp-req-05 draft-ietf-pce-path-key-03 draft-ietf-pce-dste-01 draft-sarker-pcn-ecn-pcn-usecases-01 draft-moncaster-pcn-baseline-encoding-00 draft-farinacci-pim-port-01 draft-ietf-pwe3-congestion-frmwk-01 draft-iana-rfc3330bis-02 draft-goncalves-rfc3534bis-06 draft-brandt-roll-home-routing-reqs-01 draft-ietf-roll-home-routing-reqs-00 draft-ietf-tsvwg-emergency-rsvp-08 draft-ietf-avt-rfc3047-bis-06 draft-ietf-avt-rtp-svc-09 draft-ietf-avt-rtcp-non-compound-05 draft-ietf-avt-rtp-h264-rcdo-01 draft-ietf-avt-rfc4749-dtx-update-01 draft-schmidt-avt-mps-00 draft-begen-avt-post-repair-rtcp-xr-01 draft-wu-sava-testbed-experience-06 draft-ietf-mipshop-mos-dns-discovery-01 draft-ietf-mmusic-file-transfer-mech-08 draft-ietf-mmusic-decoding-dependency-02 draft-johansson-mmusic-image-attributes-00 draft-templin-seal-14 draft-bryant-shand-lf-applicability-05 draft-martin-managesieve-09 draft-freed-sieve-ihave-02 draft-ietf-sieve-refuse-reject-07 draft-loreto-simple-im-srv-label-01 draft-ietf-simple-prescaps-ext-10 draft-ietf-bliss-ach-analysis-02 draft-shen-interaction-ind-04 draft-monrad-sipping-3gpp-urn-names…-02 draft-york-sipping-p-charge-info-03 draft-ietf-sip-connect-reuse-10 draft-ietf-sip-outbound-14 draft-ietf-sip-answermode-07 draft-ietf-sip-body-handling-02 draft-ietf-sip-199-00 draft-ietf-sipping-pending-additions-05 draft-ietf-sipping-overload-reqs-04 draft-ietf-sipping-update-pai-02 draft-ietf-smime-3851bis-02 draft-levine-smtp-batv-01 draft-irtf-nmrg-snmp-measure-05 draft-yousuf-thomas-hunter-rtgwg-bb-01 draft-ietf-ippm-storetraceroutes-09 draft-floyd-tsvwg-besteffort-04 draft-ietf-ippm-twamp-07 Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés 23/05 16/05 12/05 28/05 25/05 22/05 12/05 28/05 19/05 19/05 27/05 13/05 27/05 19/05 21/05 13/05 16/05 27/05 22/05 12/05 18/05 12/05 23/05 14/05 13/05 16/05 21/05 12/05 12/05 23/05 20/05 15/05 21/05 28/05 28/05 26/05 13/05 21/05 13/05 22/05 15/05 20/05 22/05 15/05 15/05 25/05 16/05 21/05 20/05 23/05 20/05 28/05 28/05 22/05 25/05 27/05 15/05 14/05 24/05 28/05 19/05 13/05 14/05 25/05 28/05 26/05 15/05 26/05 23/05 16/05 12/05 12/05 19/05 27/05 20/05 19/05 22/05 LoWPAN simple fragment Recovery Tags for Identifying Languages Managed Objects for the Neighborhood Discovery Protocol Service Selection for Mobile IPv4 Mobile IPv6 Support for Dual Stack Hosts and Routers DHCP Options for Home Information Discovery in MIPv6 Media Playback Control Protocol Requirements Requirements for GMPLS-Based MRN/MLN draft-ietf-ccamp-pc-and-sc-reqs-04.txt Description of the RSVP-TE Graceful Restart Procedures Encoding of Attributes for MPLS LSP Establishment Using RSVP-TE Framework for GMPLS and PCE Control of WSON Generalized Labels for G.694 Lambda-Switching Capable LSR "EXP field" renamed to "CoS Field" An Alternative Connection Model for the MSRP NEMO Route Optimization Requirements for Operational Use Flow Bindings in Mobile IPv6 and Nemo Basic Support Experience of implementing NETCONF over SOAP Common YANG Data Types NFS Version 4 Minor Version 1 Object-based pNFS Operations NFSv4 Minor Version 1 XDR Description RPCSEC_GSS Version 2 Network Time Protocol (NTP) Server Option for DHCPv6 OSPF for IPv6 Application of PANA framework to DSL networks One-way Passive Measurement of End-to-End Quality PCC-PCE Communication Requirements for Point to MPLS-TE Preserving Topology Confidentiality in Inter-Domain Path Comp. Diff-Serv Aware Class Type Object for PCE Comm. Protocol Usecases and Benefits of end to end ECN support in PCN Domains Encoding and Transport of (Pre-)Congestion Information A Reliable Transport Mechanism for PIM Pseudowire Congestion Control Framework Special Use IPv4 Addresses Ogg Media Types Home Automation Routing Re. in Low Power and Lossy Networks Home Automation Routing Req. in Low Power and Lossy Networks RSVP Extensions for Emergency Services RTP Payload Format for ITU-T Recommendation G.722.1 RTP Payload Format for SVC Video Support for reduced size RTCP, opportunities and consequences RTP Payload Format for H.264 RCDO Video G.729.1 RTP Payload Format update: DTX support RTP Payload Format for Elementary Streams with MPEG Surround Post-Repair Loss RLE Report Block Type for RTCP XR SAVA Testbed and Experiences to Date Locating Mobility Servers using DNS A SDP Offer/Answer Mechanism to Enable File Transfer Signaling media decoding dependency in SDP Image attributes in SDP The Subnetwork Encapsulation and Adaptation Layer (SEAL) Applicability of Loop-free Convergence A Protocol for Remotely Managing Sieve Scripts Sieve Email Filtering: Ihave Extension Sieve Email Filtering: Reject and Extended Reject Extensions IANA Registration of IM SRV Protocol Label for SIP/SIMPLE SIP User Agent Capability Extension to PIDF Analysis of Automatic Call Handling Implementation Issues in SIP Private Extensions to SIP for Service Interaction Indicator URN Namespace for the 3rd Generation Partnership Project P-Charge-Info - A Private Header Extension to SIP Connection Reuse in the Session Initiation Protocol (SIP) Managing Client Initiated Connections in SIP Requesting Answering Modes for SIP Message Body Handling in the Session Initiation Protocol (SIP) Response Code for Indication of Terminated Dialog The SIP Pending Additions Event Package Requirements for Management of Overload in SIP Updates to Asserted Identity in the Session Initiation Protocol S/MIME Version 3.2 Message Specification Bounce Address Tag Validation (BATV) SNMP Traffic Measurements and Trace Exchange Formats Chrysolite - a backbone bridging solution Information Model, XML Data Model for Traceroute Measurements Comments on the Usefulness of Simple Best-Effort Traffic A Two-way Active Measurement Protocol (TWAMP) Page 31/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 UDP draft-ietf-tsvwg-udp-guidelines-07 VCARDDA draft-ietf-vcarddav-carddav-00 draft-ietf-vcarddav-webdav-mkcol-00 WEBDAV draft-sanchez-webdav-current-principal-00 Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés 21/05 28/05 14/05 13/05 Guidelines for Application Designers on Using Unicast UDP vCard Extensions to WebDAV (CardDAV) Extended MKCOL for WebDAV WebDAV Current Principal Extension Page 32/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 NOS COMMENTAIRES LES RFC RFC5000 Internet Official Protocol Standards Avec le RFC5000, l’IETF renoue avec une tradition qui semblait avoir été abandonnée depuis 2004. En effet, tous les ans, l’IETF publiait un récapitulatif de l’état d’avancement de la normalisation des différents protocoles et mécanismes ayant fait l’objet d’un RFC (Request For Comment). Ce récapitulatif se voyait attribuer le premier numéro de la centaine à venir. Ont ainsi été publiés les RFC3300 (Novembre 2002), RFC 3600 (Novembre 2003) et RFC3700 (Septembre 2004) avant qu’une période de 4 ans de silence ne s’instaure. Nous attendions donc avec impatience la publication d’une mise à jour du dernier récapitulatif (Rapport N°74 – Septembre 2004). C’est désormais chose faite. Nous pouvons en conséquence proposer à nos lecteurs, la dernière liste des 68 standards (STD) et des 135 recommandations d’usage (BCP). Standard STD 1 2 3 4 5 6 7 8 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 Identifiant IP ICMP IGMP UDP TCP TELNET TELNET FTP SMTP-SIZE MAIL DOMAIN DOMAIN SMI ConciseMI MIB II NETBIOS NETBIOS ECHO DISCARD CHARGEN QUOTE USERS DAYTIME TIME TOPT BIN TOPT ECHO TOPT SUPP TOPT STAT TOPT TIM TOPT EXTOP TFTP TP-TCP IP-FDDI Titre Internet Official Protocol Standards Assigned Numbers Requirements for Internet Hosts - Communication Layers Requirements for Internet Hosts - Application and Support Reserved for Router Requirements. See RFC 1812 Internet Protocol Internet Control Message Protocol Broadcasting Internet Datagrams Broadcasting Internet datagrams in the presence of subnets Internet Standard Subnetting Procedure Host extensions for IP multicasting User Datagram Protocol Transmission Control Protocol Telnet Protocol Specification Telnet Option Specifications File Transfer Protocol SMTP Service Extension for Message Size Declaration Standard for the format of ARPA Internet text messages Reserved for Network Time Protocol (NTP) Domain names - concepts and facilities Domain names - implementation and specification Mail Routing and the Domain System Simple Network Management Protocol (SNMP) (Remplacé par le STD 62) Structure & identification of management information for TCP/IP-based internets Concise MIB definitions MIB for Network Management of TCP/IP-based internets:MIB-II Exterior Gateway Protocol Protocol for a NetBIOS service on a TCP/UDP transport: Concepts and methods Protocol for a NetBIOS service on a TCP/UDP transport: Detailed specifications Echo Protocol Discard Protocol Character Generator Protocol Quote of the Day Protocol Active users Daytime Protocol Time Protocol Telnet Binary Transmission Telnet Echo Option Telnet Suppress Go Ahead Option Telnet Status Option Telnet Timing Mark Option Telnet Extended Options: List Option The TFTP Protocol (Revision 2) Routing Information Protocol (RIP) (Remplacé par le STD 56) ISO transport services on top of the TCP: Version 3 Transmission of IP and ARP over FDDI Networks Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés RFC 5000 3232 1122 1123 1812 791 792 919 922 950 1112 768 793 854 855 959 1870 822 1305 1034 1035 historique historique 1155 1212 1213 historique 1001 1002 862 863 864 865 866 867 868 856 857 858 859 860 861 1350 historique 1006 1390 Page 33/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 ARP RARP IP-WB IP-E IP-EE IP-IEEE IP-DC IP-HC IP-ARC IP-SLIP IP-NETBIOS IP-IPX ETHER-MIB PPP PPP-HDLC IP-SMDS POP3 OSPF2 IP-DR RIP2 RIP2-APP SMIv2 CONV-MIB CONF-MIB RMON-MIB SMTP-PIPE ONE-PASS SNMP 63 UTF-8 64 RTP 65 RTP-AV 66 URI 67 XDR 68 ABNF Seuls trois nouveaux Ethernet ARP: Or converting network protocol addresses to 48.bit Reverse Address Resolution Protocol BBN Report 1822 (IMP/Host Interface). Host Access Protocol specification Transmission of IP datagrams over Ethernet networks Transmission of IP datagrams over experimental Ethernet networks Transmission of IP datagrams over IEEE 802 networks DCN local-network protocols Internet Protocol on Network System's HYPERchannel : Protocol specification Transmitting IP traffic over ARCNET networks Nonstandard for transmission of IP datagrams over serial lines: SLIP Transmission of IP datagrams over NetBIOS networks Transmission of 802.2 packets over IPX networks Definitions of Managed Objects for the Ethernet-like Interface Types The Point-to-Point Protocol (PPP) PPP in HDLC-like Framing Transmission of IP datagrams over the SMDS Service Post Office Protocol - Version 3 OSPF Version 2 Multiprotocol Interconnect over Frame Relay RIP Version 2 RIP Version 2 Protocol Applicability Statement Structure of Management Information Version 2 (SMIv2) Textual Conventions for SMIv2 Conformance Statements for SMIv2 Remote Network Monitoring Management Information Base SMTP Service Extension for Command Pipelining A One-Time Password System An Architecture for Describing SNMP Management Frameworks Message Processing and Dispatching for the SNMP Simple Network Management Protocol (SNMP) Applications User-based Security Model (USM) for version 3 of the SNMPv3 View-based Access Control Model (VACM) for the SNMP Version 2 of the Protocol Operations for the SNMP Transport Mappings for the SNMP Management Information Base (MIB) for the SNMP UTF-8, a transformation format of ISO 10646 RTP: A Transport Protocol for Real-Time applications RTP Profile for Audio and Video Conferences with Minimal Control Uniform Resource Identifier (URI): Generic Syntax XDR: External Data Representation Standard Augmented BNF for Syntax Specifications: ABNF standards – BCP66, BCP67 et BCP68 - auront vu le jour dans cette catégorie en 4 826 903 historique 907 894 895 1042 891 1044 1201 1055 1088 1132 3638 1661 1662 1209 1939 2328 2427 2453 1722 2578 2579 2580 2819 2920 2289 3411 3412 3413 3414 3415 3416 3417 3418 3629 3550 3551 3986 4506 5234 ans. Best Current Practice BCP 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 Titre Best Current Practices Addendum to RFC 1602 -- Variance Procedure Variance for The PPP Compression Control Protocol 1 The PPP ECP An Appeal to the Internet Community to Return Unused IP Networks to the IANA Address Allocation for Private Internets Guidelines for creation, selection, and registration of an Autonomous System (AS) Implications of Various Address Allocation Policies for Internet Routing IRTF Research Group Guidelines and Procedures The Internet Standards Process -- Revision 3 IAB & IESG Selection, Confirmation, & Recall Process: Operation of the Nominating & Recall The Organizations Involved in the IETF Standards Process Internet Registry IP Allocation Guidelines Multipurpose Internet Mail Extensions (MIME) Part Four: Registration Procedures Key words for use in RFCs to Indicate Requirement Levels Deployment of the Internet White Pages Service Selection and Operation of Secondary DNS Servers Use of DNS Aliases for Network Services IETF Policy on Character Sets and Languages IANA Charset Registration Procedures Classless IN-ADDR.ARPA delegation Expectations for Computer Security Incident Response Guide for Internet Standards Writers Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés RFC 1818 1871 1915 1917 1918 1930 2008 2014 2026 2727 2028 2050 2048 2119 2148 2182 2219 2277 2978 2317 2350 2360 Page 34/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 Administratively Scoped IP Multicast RSVP over ATM Implementation Guidelines IETF Working Group Guidelines and Procedures Guidelines for Writing an IANA Considerations Section in RFCs Advancement of MIB specifications on the IETF Standards Track Enhancing TCP Over Satellite Channels using Standard Mechanisms Procedure for Defining New DHCP Options Anti-Spam Recommendations for SMTP MTAs Media Feature Tag Registration Procedure Reserved Top Level DNS Names URN Namespace Definition Mechanisms Changing the Default for Directed Broadcasts in Routers Registration Procedures for URL Scheme Names Guidelines for Writers of RTP Payload Format Specifications IANA Allocation Guidelines For Values In the Internet Protocol and Related Headers Network Ingress Filtering: Defeating DOS Attacks which employ IP Source Address Spoofing Charter of the Internet Architecture Board (IAB) Root Name Server Operational Requirements Congestion Control Principles Domain Name System (DNS) IANA Considerations Procedures and IANA Guidelines for Definition of New DHCP Options and Message Types Use of HTTP State Management IETF Discussion List Charter Recommended Internet Service Provider Security Services and Procedures Tags for the Identification of Languages End-to-end Performance Implications of Slow Links Delegation of IP6.ARPA End-to-end Performance Implications of Links with Errors IANA Guidelines for IPv4 Multicast Address Assignments Management Guidelines & Operational Requirements for the ARPA Domain GLOP Addressing in 233/8 IETF Guidelines for Conduct Guidelines for Evidence Collection and Archiving On the use of HTTP as a Substrate IANA Considerations for IPv4 Internet Group Management Protocol (IGMP) Defining the IETF A Transient Prefix for Identifying Profiles under Development Inappropriate TCP Resets Considered Harmful Strong Security Requirements for Internet Engineering Task Force Standard Protocols Advice to link designers on link Automatic Repeat reQuest (ARQ) Session Initiation Protocol (SIP) for Telephones (SIP-T): Context and Architectures IANA Considerations for the Lightweight Directory Access Protocol (LDAP) Dynamic Delegation Discovery System (DDDS) Part Five: URI.ARPA Assignment Procedures Uniform Resource Names (URN) Namespace Definition Mechanisms Change Process for the Session Initiation Protocol (SIP) Layer Two Tunneling Protocol (L2TP) IANA Considerations Update TCP Performance Implications of Network Path Asymmetry Guidelines for the Use of Extensible Markup Language (XML) within IETF Protocols TCP over Second (2.5G) and Third (3G) Generation Wireless Networks Guidelines for Writing RFC Text on Security Considerations An IETF URN Sub-namespace for Registered Protocol Parameters Coexistence between V1, V2, V3 of the Internet-standard Network Management Framework Session Initiation Protocol (SIP) Basic Call Flow examples Session Initiation Protocol (SIP) Public Switched telephone IETF ISOC Board of Trustee Appointment Procedures IETF Rights in Contributions Intellectual Property Rights in IETF Technology Delegation of E.F.F.3.IP6.ARPA The IETF XML Registry Assigning Experimental and Testing Numbers Considered Useful A Practice for Revoking Posting Rights to IETF Mailing Lists Ingress Filtering for Multihomed Networks Best Current Practices for Third Party Call Control in the Session Initiation Determining Strengths For Public Keys Used For Exchanging Symmetric Keys Use of Interior Gateway Protocol (IGP) Metric as a second MPLS Traffic Engineering (TE) Metric IANA Considerations for the Point-to-Point Protocol (PPP) Advice for Internet Subnetwork Designers Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés 2365 2379 2418 2434 2438 2488 2489 2505 2506 2606 2611 2644 2717 2736 2780 2827 2850 2870 2914 2929 2939 2964 3005 3013 3066 3150 3152 3155 3171 3172 3180 3184 3227 3205 3228 3233 3349 3360 3365 3366 3372 3383 3405 3406 3427 3438 3449 3470 3481 3552 3553 3584 3665 3666 3677 3667 3668 3681 3688 3692 3683 3704 3725 3766 3785 3818 3819 Page 35/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 90 91 92 93 94 95 96 97 Registration Procedures for Message Header Fields 3864 DNS IPv6 Transport Operational Guidelines 3901 The IESG and RFC Editor Documents: Procedures 3932 A Model for IETF Process Experiments 3933 Updates to RFC 2418 Regarding the Management of IETF Mailing Lists 3934 A Mission Statement for the IETF 3935 Procedures for Modifying the Resource reSerVation Protocol (RSVP) 3936 Clarifying when Standards Track Documents may Refer Normatively 3967 Handling Normative References to Standards-Track Documents 4897 98 The IANA Header Field Parameter Registry for SIP 3968 99 The IANA URI Parameter Registry for SIP 3969 100 Early IANA Allocation of Standards Track Code Points 4020 101 Structure of the IETF Administrative Support Activity 4071 BCP 101 Update for IPR Trust 4371 102 IAB Processes for Management of IETF Liaison Relationships 4052 103 Procedures for Handling Liaison Statements to and from the IETF 4053 104 Terminology for Describing Internet Connectivity 4084 105 Embedding Globally-Routable Internet Addresses Considered Harmful 4085 106 Randomness Requirements for Security 4086 107 Guidelines for Cryptographic Key Management 4107 108 IP Performance Metrics (IPPM) Metrics Registry 4148 109 Deprecation of "ip6.int" 4159 110 Tunneling Multiplexed Compressed RTP (TCRTP) 4170 111 Guidelines for Authors and Reviewers of MIB Documents 4181 RFC 4181 Update to Recognize the IETF Trust 4841 112 Prioritized Treatment of Specific OSPF V2 Packets and Congestion Avoidance 4222 113 The IETF AOC Member Selection Guidelines and Process 4333 114 BGP Communities for Data Collection 4384 115 Guidelines and Registration Procedures for New URI Schemes 4395 116 IANA Allocations for Pseudowire Edge to Edge Emulation 4446 117 Interworking between SIP and QSIG 4497 118 Considerations for Lightweight Directory Access Protocol Extensions 4521 119 SIP Call Control Conferencing for User Agents 4579 120 Source-Specific Protocol Independent Multicast in 232/8 4608 121 Multicast Source Discovery Protocol (MSDP) Deployment Scenarios 4611 122 CIDR: The Internet Address Assignment and Aggregation Plan 4632 123 Observed DNS Resolution Misbehavior 4697 124 Specifying Alternate Semantics for the Explicit Congestion Notification (ECN) Field 4774 125 Procedures for Protocol Extensions and Variations 4775 126 Operation of Anycast Services 4786 127 Network Address Translation (NAT) Behavioral Requirements for Unicast UDP 4787 128 Avoiding Equal Cost Multipath Treatment in MPLS Networks 4928 129 Change Process for MPLS and Generalized MPLS Protocols and Procedures 4929 130 IANA Considerations for OSPF 4940 131 Symmetric RTP / RTP Control Protocol (RTCP) 4961 132 Guidance for Authentication, Authorization, and Accounting (AAA) Key Management 4962 133 Specifying New Congestion Control Algorithms 5033 134 Email Submission Operations: Access and Accountability Requirements 5068 135 IP Multicast Requirements for a NAT and NATP 5135 Les quatre dernières années auront vu la publication de 46 nouvelles recommandations d’usage - BCP 90 à 135 – dont 10 recommandations portant sur l’organisation de l’IETF et des publications et 6 recommandations ayant trait à la sécurité. ftp://ftp.isi.edu/in-notes/rfc5000.txt Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 36/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 A ALLEER ATTTTA RT AQ TE QU ES UE SE ES S ET TA ALERTES GUIDE DE LECTURE La lecture des avis publiés par les différents organismes de surveillance ou par les constructeurs n’est pas toujours aisée. En effet, les informations publiées peuvent être non seulement redondantes mais aussi transmises avec un retard conséquent par certains organismes. Dès lors, deux alternatives de mise en forme de ces informations peuvent être envisagées : o Publier une synthèse des avis transmis durant la période de veille, en classant ceux-ci en fonction de l’origine de l’avis, o Publier une synthèse des avis transmis en classant ceux-ci en fonction des cibles. La seconde alternative, pour séduisante quelle soit, ne peut être raisonnablement mise en œuvre étant donné l’actuelle diversité des systèmes impactés. En conséquence, nous nous proposons de maintenir une synthèse des avis classée par organisme émetteur de l’avis. Afin de faciliter la lecture de ceux-ci, nous proposons un guide de lecture sous la forme d’un synoptique résumant les caractéristiques de chacune des sources d’information ainsi que les relations existant entre ces sources. Seules les organismes, constructeurs ou éditeurs, disposant d’un service de notification officiel et publiquement accessible sont représentés. Avis Spécifiques Constructeurs Réseaux Systèmes Avis Généraux Editeurs Systèmes Indépendants Editeurs Hackers Editeurs Organismes Autres US Autres Cisco Apple Linux Microsoft K-Otik ISS BugTraq USCERT Juniper HP FreeBSD Netscape 3aPaPa Symantec @Stake CIAC Nortel IBM NetBSD SGI OpenBSD SUN SCO Aus-CERT Typologies des informations publiées Publication de techniques et de programmes d’attaques Détails des alertes, techniques et programmes Synthèses générales, pointeurs sur les sites spécifiques Notifications détaillées et correctifs techniques L’analyse des avis peut être ainsi menée selon les trois stratégies suivantes : o Recherche d’informations générales et de tendances : Lecture des avis du CERT et du CIAC o Maintenance des systèmes : Lecture des avis constructeurs associés o Compréhension et anticipation des menaces : Lecture des avis des groupes indépendants Aus-CERT US-CERT Cisco Apple Microsoft BugTraq K-Otik ISS NetBSD Juniper HP Netscape @Stake 3aРaPa Symantec OpenBSD IBM Xfree86 SGI Linux SUN FreeBSD CIAC Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 37/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 FORMAT DE LA PRESENTATION Les alertes et informations sont présentées classées par sources puis par niveau de gravité sous la forme de tableaux récapitulatifs constitués comme suit : Présentation des Alertes EDITEUR TITRE Description sommaire Informations concernant la plate-forme impactée Gravité Date Produit visé par la vulnérabilité Description rapide de la source du problème Correction URL pointant sur la source la plus pertinente Référence Référence(s) CVE si définie(s) Présentation des Informations SOURCE TITRE Description sommaire URL pointant sur la source d’information Référence(s) CVE si définie(s) SYNTHESE MENSUELLE Le tableau suivant propose un récapitulatif du nombre d’avis publiés pour la période courante, l’année en cours et l’année précédente. Ces informations sont mises à jour à la fin de chaque période de veille. L’attention du lecteur est attirée sur le fait que certains avis sont repris et rediffusés par les différents organismes. Ces chiffres ne sont donc représentatifs qu’en terme de tendance et d’évolution. Période du 02/05/2008 au 30/05/2008 Organisme US-CERT TA US-CERT ST CIAC Constructeurs Cisco HP IBM SGI Sun Editeurs BEA Oracle Macromedia Microsoft Novell Unix libres Linux RedHat Linux Fedora Linux Debian Linux Mandr. Linux SuSE FreeBSD Autres iDefense eEye NGS Soft. Période 22 3 2 17 36 7 3 6 0 20 6 0 0 2 4 0 120 22 62 23 12 1 0 8 8 0 0 Cumul 2008 2007 230 324 18 39 11 23 201 262 168 482 22 43 18 45 34 35 0 11 94 348 75 165 22 51 1 4 18 38 29 62 5 10 681 1 164 97 257 283 409 152 175 108 232 36 82 5 9 69 215 68 173 0 11 1 31 Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Cumul 2008 - Constructeurs Cumul 2007 - Constructeurs Cisco 13% Sun 56% Cisco 9% HP 11% SGI 0% HP 9% IBM 7% Sun 73% IBM 20% SGI 2% Cumul 2007 - Editeurs Cumul 20087 - Editeurs Microsoft 39% Novell 7% BEA 29% Novell 6% Microsoft 38% Macromedia 24% Oracle 1% BEA 31% Macromedia 23% Oracle 2% Page 38/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 ALERTES DETAILLEES AVIS OFFICIELS Les tables suivantes présentent une synthèse des principales alertes de sécurité émises par un organisme fiable, par l’éditeur du produit ou par le constructeur de l’équipement. Ces informations peuvent être considérées comme fiables et authentifiées. En conséquence, les correctifs proposés, s’il y en a, doivent immédiatement être appliqués. ADOBE Exécution de code arbitraire dans 'Flash Player' Une faille non documentée dans 'Flash Player' permet de provoquer l'exécution de code arbitraire. Critique 27/05 Adobe 'Flash Player' versions 9.0.124.0, 9.0.115.0 Gestion des fichiers 'SWF' Non disponible Aucun correctif http://www.kb.cert.org/vuls/id/395473 US-CERT Exécution de code dans les produits Adobe Deux failles dans les produits Adobe permettent d'exécuter du code arbitraire. Forte 06/05 Adobe 'Acrobat 3D', 'Acrobat Professional', 'Acrobat Standard', 'Reader' version 8.1.1 et inférieures Validation insuffisante des données Correctif existant Méthode 'JavaScript' http://www.adobe.com/support/security/bulletins/apsb08-13.html Adobe CVE-2007-4768, CVE-2008-2042 ALCATEL/LUCENT Exécution de commandes dans 'OmniPCX Office' Un manque de validation des données dans 'OmniPCX Office' permet d'exécuter des commandes arbitraires. Moyenne 21/05 Alcatel/Lucent 'OmniPCX Office' versions 210/061.1 and above Validation insuffisante des données Correctif existant Script CGI http://www1.alcatel-lucent.com/psirt/statements/2008001/OXOrexec.htm Alcatel/Lucent CVE-2008-1331 APPLE Multiples failles dans 'Mac OS X' et 'Mac OS X Server' De nombreuses failles permettent de provoquer des dénis de service et l'exécution de code arbitraire. Forte 28/05 Apple 'Mac OS X' et Mac OS X Server' versions 10.4.11 et 10.5 à 10.5.2 Multiples failles Correctif existant Multiples http://lists.apple.com/archives/security-announce/2008/May/msg00001.html Apple CVE-2007-6612, CVE-2008-1027, CVE-2008-1028, CVE-2008-1030, CVE-2008-1031, CVE-2008-1032, CVE-2008-1033, CVE-20081034, CVE-2008-1036, CVE-2008-1571, CVE-2008-1572, CVE-2008-1573, CVE-2008-1574, CVE-2008-1575, CVE-2008-1576, CVE2008-1577, CVE-2008-1578, CVE-2008-1579, CVE-2008-1580 CA Exécution de code dans les produits 'ARCserve Backup' Plusieurs failles permettent de provoquer l'exécution de code arbitraire et un déni de service. Forte 19/05 Se référer à l’avis original Validation insuffisante des données, Débordement de buffer Correctif existant Service 'caloggerd' https://support.ca.com/irj/portal/anonymous/phpsupcontent?contentID=176798 CA CVE-2008-2241, CVE-2008-2242 CISCO Déni de service dans Cisco 'IOS' De multiples failles permettent de provoquer un déni de service d'un équipement vulnérable. Forte 21/05 Cisco 'IOS' version 12.4 Non disponible Correctif existant Fonctionnalité 'SSH' http://www.cisco.com/warp/public/707/cisco-sa-20080521-ssh.shtml Cisco CVE-2008-1159 Déni de service de Cisco 'CSM' et 'CSM-S' Une fuite mémoire permet de provoquer un déni de service. Forte 14/05 Cisco 'CSM' versions 4.2(3) à 4.2(8) et 'CSM-S' versions 2.1(2) à 2.1(7) Correctif existant Répartition de charge couche 7 Fuite mémoire http://www.cisco.com/warp/public/707/cisco-sa-20080514-csm.shtml Cisco CVE-2008-1749 Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 39/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 Déni de service de Cisco 'Unified Presence' Des failles dans le produit Cisco 'Unified Presence' permettent de provoquer des dénis de service. Forte 14/05 Cisco 'Unified Presence' versions inférieures à 6.0(3) Correctif existant 'Presence Engine' et 'SIP Proxy' Erreur de conception http://www.cisco.com/warp/public/707/cisco-sa-20080514-cup.shtml Cisco CVE-2008-1158, CVE-2008-1740, CVE-2008-1741 Dénis de service dans 'Service Control Engine' Des failles permettent de provoquer des dénis de service. Forte 21/05 Cisco 'SCE 1000 series' et 'SCE 2000 series' versions inférieures à 3.0.7, à 3.1.0, à 3.1.6 Non disponible Correctif existant Serveur 'SSH' http://www.cisco.com/warp/public/707/cisco-sa-20080521-sce.shtml Cisco CVE-2008-0534, CVE-2008-0535, CVE-2008-0536 Dénis de service de 'Unified Communications Manager' De multiples failles permettent de provoquer des dénis de service des services voix. Forte 14/05 Se référer à l’avis original Erreur de conception, Validation insuffisante des données Correctif existant Se référer à l’avis original http://www.cisco.com/warp/public/707/cisco-sa-20080514-cucmdos.shtml Cisco CVE-2008-1742, CVE-2008-1743, CVE-2008-1744, CVE-2008-1745, CVE-2008-1746, CVE-2008-1747, CVE-2008-1748 Exécution de code dans 'CiscoWorks Common Services' Une faille dans 'CiscoWorks Common Services' permet d'exécuter du code arbitraire. Forte 28/05 Se référer à l’avis original Non disponible Correctif existant Non disponible http://www.cisco.com/warp/public/707/cisco-sa-20080528-cw.shtml Cisco CVE-2008-2054 Elévation de privilèges dans Cisco 'CVP' Une faille permet à un utilisateur d'obtenir des droits privilégiés. Moyenne 21/05 Cisco 'CVP' versions inférieures à 4.0(2)_ES14, à 4.1(1)_ES11, à 7.0(1) Non disponible Correctif existant Non disponible http://www.cisco.com/warp/public/707/cisco-sa-20080521-cvp.shtml Cisco CVE-2008-2053 CITRIX Accès non autorisé dans 'Access Gateway' Une faille non documentée permet à un attaquant d'obtenir un accès non autorisé au système. Forte 14/05 Citrix 'Access Gateway Advanced et Standard Edition' versions inférieures à 4.5 HF2 Non disponible Correctif existant 'Access Gateway' http://support.citrix.com/article/CTX116930 Citrix Accès non autorisé via Citrix 'Presentation Server' Une faille permet à un utilisateur d'obtenir un accès à une session d'un bureau. Moyenne 12/05 Citrix 'Access Essentials' V2.0 et inférieures, 'Desktop Server' V1.0, 'Presentation Server' V4.5 et inférieures Non disponible Correctif existant Non disponible http://support.citrix.com/article/CTX116941 Citrix Faiblesse dans la configuration cryptographique Une faille non documentée dans Citrix 'Presentation Server' provoque une fausse impression de sécurité. Moyenne 12/05 Citrix 'Access Essentials' V2.0 et inférieures, 'Desktop Server' V1.0, 'Presentation Server' V4.5 et inférieures Non disponible Correctif existant Non disponible http://support.citrix.com/article/CTX114893 Citrix CREATIVE LABS Exécution de code via un contrôle ActiveX Un débordement de pile permet d'exécuter du code arbitraire. Forte 27/05 Creative Labs 'Creative Software AutoUpdate Engine' 'CTSUEng.ocx' Débordement de pile Palliatif proposé http://www.kb.cert.org/vuls/id/501843 US-CERT DEBIAN Prédiction des aléas du paquetage 'OpenSSL' Une faille dans le paquetage 'OpenSSL' de Debian permet de prédire les nombres aléatoires qu'il génère. Moyenne 13/05 Debian 'Debian GNU/Linux' version 4.0 (etch) Erreur de conception Correctif existant Paquetage 'OpenSSL' http://www.debian.org/security/2008/dsa-1571 Debian CVE-2008-0166 Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 40/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 DJANGO "Cross-Site Scripting" dans 'Django' Un manque de validation permet à un attaquant de mener des attaques de type "Cross-Site Scripting". Forte 15/05 django 'Django' version 0.91,' version 0.95, version 0.96 Manque de validation Correctif existant Application d'administration http://www.djangoproject.com/weblog/2008/may/14/security/ Django DRUPAL Elévation de privilèges via 'Site Documentation' Une faille dans le module 'Site Documentation' permet à un utilisateur malveillant d'obtenir des droits privilégiés. Forte 14/05 Drupal 'Site Documentation' versions inférieures à 5.x-1.8, versions inférieures à 6.x-1.1 Erreur de conception Correctif existant Permission 'access content' http://drupal.org/node/258547 Drupal HP Accès non autorisé via 'useradd' Une faille permet à un utilisateur local d'obtenir un accès non autorisé à des fichiers ou des répertoires. Moyenne 19/05 HP 'HP-UX' versions B.11.11 à B.11.31 Non disponible Correctif existant Outil 'useradd' HP (SSRT071454) http://www11.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01455884-1 CVE-2008-1660 Déni de service du serveur 'ftp' de 'HP-UX' Le serveur 'ftp' de 'HP-UX' est vulnérable à un déni de service. Forte 12/05 HP 'HP-UX' versions B.11.11 à B.11.31 Non disponible Correctif existant Serveur 'ftp' HP (SSRT071403) http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01446326 CVE-2008-0713 Vulnérabilité dans 'LDAP-UX' Une faille non documentée dans 'LDAP-UX' permet d'obtenir un accès non autorisé. Moyenne 06/05 HP 'HP-UX' version B.11.11, B.11.23 B.11.31 et 'LDAP-UX' versions B.04.10 à B.04.15 Non disponible Correctif existant Non disponible HP (SSRT080053) http://www11.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01447010-1 CVE-2008-1659 IBM Contournement de la sécurité dans WebSphere Une faille non documentée dans 'WebSphere Application Server' permet à un attaquant de contourner la sécurité. Forte 02/05 IBM 'WebSphere Application Server' version 5.0.2 Non disponible Correctif existant Greffon 'Java' http://www-1.ibm.com/support/docview.wss?uid=swg1PK65161 IBM "Cross-Site Scripting" dans 'Lotus Quickr' Un manque de validation permet à un attaquant de mener des attaques de type "Cross-Site Scripting". Forte 14/05 IBM 'Lotus Quickr' versions inférieures à 8.1 with Hotfix 5 Manque de validation Correctif existant Editeur 'WYSIWYG' http://www-1.ibm.com/support/docview.wss?uid=swg24018711 IBM "Cross-Site Scripting" via 'Lotus Domino Web Access' Une faille permet à un attaquant distant de mener des attaques de type "Cross-Site Scripting". Forte 20/05 IBM 'Lotus Domino Web Access' versions 6.5 à 8.0.1 Non disponible Correctif existant Moteur de 'servlet' http://www-1.ibm.com/support/docview.wss?rs=463&uid=swg21303296 IBM Débordement de pile dans 'Lotus Sametime' Un débordement de pile aux conséquences inconnues affecte le produit 'Lotus Sametime'. Forte 20/05 IBM 'Lotus Sametime' version 7.5.1 Débordement de pile Correctif existant Composant 'Community http://www-1.ibm.com/support/docview.wss?rs=477&uid=swg21303920 IBM Déni de service du serveur Web de 'Lotus Domino' Un débordement de pile dans le serveur Web de 'Lotus Domino' permet de provoquer un déni de service. Forte 20/05 IBM 'Lotus Domino' version 6.0 à 8.0.1 Débordement de pile Correctif existant En-têtes 'Accept-Language' http://www-1.ibm.com/support/docview.wss?rs=463&uid=swg21303057 IBM Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 41/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 Déni de service via 'Rational Build Forge' Une faille dans 'Rational Build Forge' permet de provoquer un déni de service d'une plate-forme vulnérable. Forte 02/05 IBM 'Rational Build Forge' version 7.0.2 Agent 'Build Forge' Erreur de conception Aucun correctif http://www-1.ibm.com/support/docview.wss?uid=swg21303877 IBM LINUX Multiples failles dans le noyau Linux De multiples failles dans le noyau Linux permettent de provoquer des dénis de service entre autres choses. Moyenne 07/05 Linux 'Noyau 2.6' Se référer à l’avis original Validation insuffisante des données, Erreurs de conception, … Aucun correctif https://rhn.redhat.com/errata/RHSA-2008-0211.html Red Hat https://rhn.redhat.com/errata/RHSA-2008-0233.html Red Hat https://rhn.redhat.com/errata/RHSA-2008-0237.html Red Hat CVE-2007-5001, CVE-2007-5498, CVE-2007-6282, CVE-2008-1367, CVE-2008-1615, CVE-2008-1619, CVE-2008-1669 Faille dans le noyau Linux Une faille non documentée et aux conséquences inconnues affecte le noyau Linux. N/A 27/05 Linux 'Noyau 2.6' versions inférieures à 2.6.25.4 Non disponible Correctif existant Non disponible http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.25.4 Kernel.org MICROSOFT Exécution de code arbitraire dans 'Jet Database Engine' Une faille dans le composant 'Jet Database Engine' des plate-formes Windows permet d'exécuter du code arbitraire. Critique 13/05 Se référer à l’avis original Débordement de pile Correctif existant Bibliothèque 'msjet40.dll' http://www.microsoft.com/technet/security/Bulletin/MS08-028.mspx Microsoft CVE-2007-6026 Exécution de code arbitraire dans 'Publisher' Une faille dans Microsoft 'Publisher' permet d'exécuter du code arbitraire. Critique 13/05 Microsoft Publisher 2000 SP3, 2002 SP3, 2003 SP2, 2003 SP3, 2007 SP1 et inférieures Validation insuffisante des données Correctif existant Données gestionnaire d'objet http://www.microsoft.com/technet/security/Bulletin/MS08-027.mspx Microsoft CVE-2008-0119 Exécution de code dans Microsoft 'Word' Deux failles dans Microsoft 'Word' permettent d'exécuter du code arbitraire. Critique 13/05 Se référer à l’avis original Corruption de la mémoire Correctif existant Fichiers '.rtf', Valeurs 'CSS' http://www.microsoft.com/technet/security/Bulletin/MS08-026.mspx Microsoft CVE-2008-1091, CVE-2008-1434 Contournement de la sécurité dans 'Internet Explorer' Une faille dans 'Internet Explorer' version 7 permet de contourner une option de sécurité. Moyenne 12/05 Microsoft 'Internet Explorer' version 7 'DisableCachingOfSSLPages' Non disponible Aucun correctif http://www.kb.cert.org/vuls/id/468843 US-CERT Dénis de service dans 'Malware Protection Engine' Deux failles permettent de provoquer des dénis de service. Moyenne 13/05 Se référer à l’avis original Validation insuffisante des données Correctif existant Bibliothèque 'mpengine.dll' http://www.microsoft.com/technet/security/Bulletin/MS08-029.mspx Microsoft CVE-2008-1437, CVE-2008-1438 Faille dans 'Outlook Web Access' Une faille dans Microsoft 'Outlook Web Access' permet d'enregistrer sur le disque des données sensibles. Faible 09/05 Microsoft 'Outlook Web Access' Directive HTTP 1.1 'no-store' Erreur de conception Palliatif proposé http://www.kb.cert.org/vuls/id/829876 US-CERT Multiples vulnérabilités dans 'Windows CE' De multiples failles non documentées affectent la plate-forme 'Windows CE'. N/A 12/05 Microsoft 'Windows CE' version 5.0 Non disponible Correctif existant Composant 'GDI+' http://support.microsoft.com/kb/948812 Microsoft Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 42/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 MOZILLA Multiples failles dans 'Bugzilla' Plusieurs failles permettent de mener des attaques "XSS" et de contourner certains mécanismes de sécurité. Forte 06/05 'Bugzilla' versions 2.20.5 et inférieures, 2.22.3 et inférieures, 3.0.3 et inférieures, 3.1.3 et inférieures Validation insuffisante des données, Erreur de conception Correctif existant Multiples http://www.bugzilla.org/security/2.20.5/ Mozilla MYSQL Contournement de la sécurité dans 'MySQL' Une faille permet à un utilisateur local de contourner certains mécanismes de sécurité. Moyenne 09/05 MySQL 'MySQL' versions inférieures à 4.1.24, à 5.0.60, à 5.1.24, à 6.0.5 Erreur de conception Correctif existant Table de type 'MyISAM' http://bugs.mysql.com/bug.php?id=32167 MySQL CVE-2008-2079 NASA Débordement de pile dans la bibliothèque 'CDF' Un débordement de pile permet de provoquer l'exécution de code ou un déni de service des applications l'utilisant. Forte 06/05 NASA 'CDF' version 3.2 et inférieures Débordement de pile Correctif existant Fichier 'src/lib/cdfread64.c' http://cdf.gsfc.nasa.gov/CDF32_buffer_overflow.html NASA CVE-2008-2080 NORTEL Déni de service dans Multimedia Communication Server Un débordement de buffer permet à un attaquant de provoquer un déni de service. Forte 02/05 Nortel 'Multimedia Communication Server 5100' versions inférieures à 3.5.8.3, à 4.0.25.3 Débordement de buffer Correctif existant Client multimédia PC http://support.nortel.com/go/main.jsp?cscat=BLTNDETAIL&id=719698 Nortel PAM-PGSQL Contournement de l'authentification de 'pam-pgsql' Une faille dans 'pam-pgsql' permet de contourner le processus d'authentification. Moyenne 26/05 pam-pgsql 'pam-pgsql' versions inférieures à 0.6.4 Erreur de conception Correctif existant Fichier 'pam_pgsql.c’ Debian Bug report http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=481970 PHP Multiples failles dans 'PHP' De multiples failles aux conséquences inconnues affectent 'PHP'. Forte 01/05 PHP 'PHP' versions inférieures à 5.2.6 Débordement de pile, Erreur de conception Correctif existant API 'FastCGI' http://www.php.net/ChangeLog-5.php PHP CVE-2008-0599 RED HAT Déni de service dans 'Red Hat Directory Server' Un débordement de buffer permet de provoquer un déni de service du serveur LDAP et d'exécuter du code. Forte 13/05 Red Hat 'Directory Server' version 7.1, version 8.0 Débordement de buffer Correctif existant Expression régulière http://rhn.redhat.com/errata/RHSA-2008-0269.html http://rhn.redhat.com/errata/RHSA-2008-0268.html Red Hat CVE-2008-1677 STUNNEL Elévation de privilèges via 'Stunnel' Une faille permet d'exécuter du code arbitraire avec des droits privilégiés. Moyenne 20/05 STUNNEL 'Stunnel' versions inférieures à 4.23 Non disponible Correctif existant Non disponible http://www.stunnel.org/news/ Stunnel Contournement de la sécurité de 'Stunnel' Une faille permet de contourner certains mécanismes de sécurité et d'obtenir ainsi un accès non autorisé. Moyenne 22/05 STUNNEL 'Stunnel' versions inférieures à 4.24 Non disponible Correctif existant Fonctionnalité 'OCSP' http://stunnel.mirt.net/pipermail/stunnel-announce/2008-May/000035.html Stunnel Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 43/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 SUN "Cross-Site Scripting" dans Sun Java System Web Server Un manque de validation permet à un attaquant de mener des attaques de type "Cross-Site Scripting". Forte 09/05 Sun 'Sun Java System Web Server' version 7.0 Update 2, version 6.1 Service Pack 9 Manque de validation Correctif existant 'lib/webapps/search/index.jps' http://sunsolve.sun.com/search/document.do?assetkey=1-66-231467-1 Sun "Cross-Site Scripting" dans Sun Java System Web Server Une faille permet à un attaquant de mener des attaques de type "Cross-Site Scripting". Forte 23/05 Sun 'Sun Java System Web Server' version 6.1, version 7.0 Non disponible Correctif existant Mécanisme de recherche http://sunsolve.sun.com/search/document.do?assetkey=1-66-236481-1 Sun Déni de service dans l'implémentation TCP pour Solaris Une faille dans l'implémentation TCP des versions 8, 9 et 10 permet de provoquer un déni de service. Forte 09/05 Sun 'Solaris' versions 8, 9 et 10 Non diponible Correctif existant Implémentation TCP http://sunsolve.sun.com/search/document.do?assetkey=1-66-200864-1 Sun Déni de service dans 'Solaris' Une faille dans 'Solaris' versions 8, 9 et 10 permet de provoquer un déni de service et d'exécuter du code arbitraire. Moyenne 13/05 Sun 'Solaris' versions 8, 9 et 10 Non disponible Correctif existant Service d'impression http://sunsolve.sun.com/search/document.do?assetkey=1-66-236884-1 Sun Déni de service dans 'Solaris' 10 Une faille non documentée dans 'Solaris' version 10 permet de provoquer un déni de service. Moyenne 22/05 Sun 'Solaris' version 10 Correctif existant Pilote 'STREAMS Administrative' Non disponible http://sunsolve.sun.com/search/document.do?assetkey=1-66-237584-1 Sun Dénis de service via 'SCTP' Des failles dans 'Solaris' permettent de provoquer des dénis de service d'une plate-forme. Forte 02/05 Sun 'Solaris' version 10 Non disponible Correctif existant Protocole 'SCTP' http://sunsolve.sun.com/search/document.do?assetkey=1-66-236521-1 Sun Exécution de commandes dans Sun Ray Server Software Une élévation de privilèges permet à un attaquant d'exécuter des commandes arbitraires. Forte 09/05 Sun 'Sun Ray Server Software' version 4.0 Elévation de privilèges Correctif existant Mode 'Kiosk' http://sunsolve.sun.com/search/document.do?assetkey=1-66-236944-1 Sun Exposition d'informations dans Sun Une faille permet à un attaquant de voir les codes sources 'JSP'. Forte 09/05 Se référer à l’avis original Non disponible Correctif existant Non disponible http://sunsolve.sun.com/search/document.do?assetkey=1-66-201255-1 Sun SYMANTEC Multiples failles dans un produit Altiris De multiples failles permettent de provoquer des dénis de service ou l'exécution de code, entre autres choses. Forte 14/05 Symantec 'Altiris Deployment Solution' versions inférieures à 6.9.176 Injection de code SQL, Erreur de conception Correctif existant Se référer à l’avis original http://www.symantec.com/avcenter/security/Content/2008.05.14a.html Symantec Traversée de répertoire dans un produit Symantec Une traversée de répertoire permet d'obtenir une élévation de privilèges et ainsi d'avoir accès à des fichiers. Forte 29/05 Symantec 'Symantec Backup Exec System Recovery Manager' version 7.x, version 8.x Traversée de répertoire Correctif existant Non disponible http://www.symantec.com/avcenter/security/Content/2008.05.28c.html Symantec TYPO3 Multiples failles dans l'extension 'sr_feuser_register' Plusieurs failles permettent de mener des attaques de type "Cross-Site Scripting" et d'exécuter du code arbitraire. Forte 15/05 Se référer à l’avis original Validation insuffisante des données Correctif existant Données utilisateur http://typo3.org/teams/security/security-bulletins/typo3-20080515-1/ Typo3 Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 44/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 "Cross-Site Scripting" via 'rlmp_eventdb' Un manque de validation permet à un attaquant de mener des attaques de type "Cross-Site Scripting". Forte 14/05 Typo3 'rlmp_eventdb' versions inférieures à 1.1.2 Manque de validation Correctif existant Données utilisateur http://typo3.org/teams/security/security-bulletins/typo3-20080513-3/ Typo3 "Cross-Site Scripting" via 'wt_gallery' Des manques de validation permettent de mener des attaques ‘XSS’ et de télécharger des images arbitraires. Forte 14/05 Typo3 'wt_gallery' version 2.6.2 et inférieures, version 2.5.0 et inférieures Manque de validation Correctif existant Données utilisateur http://secunia.com/advisories/30217/ Secunia http://typo3.org/teams/security/security-bulletins/typo3-20080513-1/ Typo3 XEROX "Cross-Site Scripting" dans les produits 'WorkCentre' Une faille non documentée de Xerox permet à un attaquant de mener des attaques de type "Cross-Site Scripting". Forte 19/05 Xerox 'WorkCentre' version 7132, 7228, 7235, 7245 Non disponible Correctif existant Serveur 'Web' http://www.xerox.com/downloads/usa/en/c/cert_XRX08_004.pdf Xerox ALERTES NON CONFIRMEES Les alertes présentées dans les tables de synthèse suivantes ont été publiées dans diverses listes d’information mais n’ont pas encore fait l’objet d’une annonce ou d’un correctif de la part de l’éditeur. Ces alertes nécessitent la mise en place d’un processus de suivi et d’observation. AKAMAI Faille dans 'Akamai Download Manager' Une faille dans les produits 'Akamai Download Manager' permet de provoquer l'exécution de code arbitraire. Forte 30/04 Akamai 'Download Manager Java Applet' version 2.2.2.0, 'DownloadManagerV2.ocx' version 2.2.2.1 Erreur de conception Correctif existant Gestion des paramètres http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=695 iDefense CVE-2008-6339 APACHE "Cross-Site Scripting" dans 'Apache' Une faille permet à un attaquant de mener des attaques de type "Cross-Site Scripting". Forte 08/05 Apache 'Apache' version 1.3.40-dev et inférieures, version 2.2.7-dev et inférieures Pages d'erreur de type '403' Non disponible Aucun correctif http://www.securityfocus.com/bid/29112 SecurityFocus APPLE Dénis de service dans Apple 'iCal' Trois failles permettent de provoquer l'exécution potentielle de code arbitraire ou des dénis de service. Forte 21/05 Apple 'iCal' version 3.0.1 Validation insuffisante des données, Déréférencement de pointeur NULL Correctif existant Gestion des fichiers '.ics' http://www.coresecurity.com/?action=item&id=2219 Core Security CVE-2008-1035, CVE-2008-2006, CVE-2008-2007 ARUBA NETWORKS Multiples failles dans 'Aruba Mobility Controller' Des failles permettent de mener des attaques de type "XSS" et de contourner certains mécanismes de sécurité. Forte 15/05 Aruba Networks 'Aruba Mobility Controller' versions 2.4.8.0-FIPS à 3.3.1.0 Validation insuffisante des données Correctif existant Interface Web utilisateur http://securitytracker.com/id?1020032 SecurityTracker http://securitytracker.com/id?1020033 SecurityTracker AUDACITY Déni de service dans 'Audacity' Une erreur de traitement permet de provoquer un déni de service et d'effacer des fichiers et des répertoires. Moyenne 13/05 Audacity 'Audacity' version 1.3.2 Erreur de traitement Correctif existant 'AudacityApp::OnInit()' http://secunia.com/advisories/27841 Secunia CVE-2007-6061 Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 45/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 B2EVOLUTION "Cross-Site Scripting" dans 'b2evolution' Un manque de validation permet à un attaquant de mener des attaques de type "Cross-Site Scripting". Forte 06/05 b2evolution 'b2evolution' version 1.8.6 Manque de validation Correctif existant Paramètre 'redirect_to' http://secunia.com/advisories/23656 Secunia CVE-2007-0175 BARRACUDA NETWORKS "Cross-Site Scripting" dans 'Barracuda Spam Firewall' Un manque de validation permet à un attaquant de mener des attaques de type "Cross-Site Scripting". Forte 22/05 Barracuda Networks 'Barracuda Spam Firewall' versions inférieures à 3.5.11.025 Validation insuffisante des données Correctif existant Script CGI 'ldap_test.cgi' http://lists.grok.org.uk/pipermail/full-disclosure/2008-May/062493.html Full-Disclosure CVE-2008-2333 BLENDER Exécution de code arbitraire dans 'Blender' Un débordement de buffer dans 'Blender' permet à un attaquant d'exécuter du code arbitraire. Forte 06/05 Blender 'Blender' version 2.45 Débordement de buffer Correctif existant Fonction 'imb_loadhdr()' http://secunia.com/advisories/29818 Secunia CVE-2008-1102 Corruption de fichiers via 'Blender' Des failles dans 'Blender' permettent de corrompre des fichiers arbitraires ou d'obtenir des informations. Moyenne 16/05 Blender 'Blender' version 2.45 et inférieures Fichiers temporaires Gestion non sécurisée de fichiers temporaires Aucun correctif http://secunia.com/advisories/29842/ Secunia CVE-2008-1103 BORLAND Débordement de buffer dans 'Interbase 2007' Un débordement d'entier dans le produit 'Interbase 2007' permet d'exécuter du code arbitraire. Forte 20/05 Borland 'Interbase 2007' version SP2 Gestion des paquets Débordement d'entier Aucun correctif http://www.coresecurity.com/?action=item&id=2278 Core Security CA Corruption de fichiers via un contrôle ActiveX Une faille dans un contrôle ActiveX permet de corrompre des fichiers arbitraires. Forte 28/05 CA 'Internet Security Suite 2008' Contrôle 'UmxEventCli.dll' Erreur de conception Aucun correctif http://securitytracker.com/id?1020129 SecurityTracker CASTLE ROCK Déni de service dans 'SNMPc' Un débordement de buffer dans 'SNMPc' permet à un attaquant de provoquer un déni de service. Moyenne 02/05 CASTLE ROCK 'SNMPc' version 7.1 Débordement de buffer Correctif existant Paquets 'SNMP TRAP' http://secunia.com/advisories/30036/ Secunia CBRPAGER Exécution de code arbitraire dans 'cbrpager' Un manque de validation permet à un attaquant d'exécuter du code arbitraire. Forte 29/05 cbrPager 'cbrpager' version 0.9.17-1.fc{10-7} Manque de validation Correctif existant Fonction 'system()' https://bugzilla.redhat.com/show_bug.cgi?id=448285 Red Hat Bugzilla CERBERUS Exposition d'informations dans 'Helpdesk' Une erreur de conception dans 'Helpdesk' de Cerberus permet à un attaquant d'obtenir des informations sensibles. Forte 26/05 CERBERUS 'Helpdesk' versions inférieures à 4.0 (Build 600) Erreur de conception Correctif existant Processus d'authentification http://secunia.com/advisories/30344/ Secunia Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 46/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 CERULEAN STUDIOS Exécution de code arbitraire dans 'Trillian' De multiples débordements de buffer permettent à un attaquant d'exécuter du code arbitraire. Forte 22/05 Cerulean Studios 'Trillian' versions inférieures à 3.1.10.0 Débordement de buffer Correctif existant Non disponible http://www.securityfocus.com/bid/29330 SecurityFocus CISCO "Cross-Site Scripting" dans 'BBSM Captive Portal' Un manque de validation permet à un attaquant de mener des attaques de type "Cross-Site Scripting". Forte 13/05 Cisco 'BBSM Captive Portal' versions inférieures à 5.3.3.2 Validation insuffisante des données Correctif existant Page 'AccessCodeStart.asp' http://www.securityfocus.com/archive/1/492043 Bugtraq CVE-2008-2165 CLAROLINE Compromission d'application dans 'Claroline' Un manque de validation dans 'Claroline' permet à un attaquant de compromettre l'application. Moyenne 13/05 Claroline 'Claroline' version 1.7.5 Données utilisateur Manque de validation Aucun correctif http://www.securityfocus.com/bid/29162 SecurityFocus CPANEL "Cross-Site Request Forgery" dans 'cPanel' Un manque de validation permet à un attaquant de mener des attaques de type "Cross-Site Request Forgery". Forte 02/05 cPanel 'cPanel' version 11.18.3 build ID 21703 Requêtes HTTP Manque de validation Aucun correctif http://secunia.com/advisories/30027/ Secunia "Cross-Site Request Forgery" dans 'cPanel' Des manques de validation permettent de mener des attaques "XSS" et "CRSF". Forte 14/05 cPanel 'cPanel' versions inférieures à 11.18.4-23888 et 'cPanel' versions inférieures à 11.22.2-23808 Manque de validation Correctif existant 'issue', 'user' et 'search' http://secunia.com/advisories/30166/ Secunia CVE-2008-2070, CVE-2008-2071 "Cross-Site Scripting" dans 'cPanel' Un manque de validation permet à un attaquant de mener des attaques de type "Cross-Site Scripting". Forte 13/05 cPanel 'cPanel' versions 11.18.3 et inférieures Manque de validation Correctif existant Données utilisateur http://www.securityfocus.com/bid/29125 SecurityFocus Exécution de code arbitraire dans 'cPanel' Une faille permet à un attaquant d'obtenir des droits privilégiés et d'exécuter du code PHP arbitraire. Forte 20/05 cPanel 'cPanel' versions 10 à 11.21-BETA Fichier 'wwwact' Non disponible Aucun correctif http://www.securityfocus.com/bid/29277 SecurityFocus EMC Exécution de code dans le produit 'AlphaStor' Des failles dans le produit 'AlphaStor' permettent d'exécuter du code arbitraire avec des droits privilégiés. Forte 27/05 EMC 'AlphaStor' version 3.1 SP1 et inférieures Débordement de pile, Validation insuffisante des données Correctif existant Composant 'Server Agent' http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=702 iDefense http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=703 iDefense CVE-2008-2157, CVE-2008-2158 F5 NETWORKS "Cross-Site Scripting" dans 'FirePass 4100' Un manque de validation permet de mener des attaques de type "Cross-Site Scripting". Forte 23/05 F5 Networks 'FirePass 4100' Script 'my.logon.php3' Validation insuffisante des données Aucun correctif http://marc.info/?l=bugtraq&m=121155705527819&w=2 Bugtraq Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 47/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 FIREBIRD Accès non autorisé dans 'Firebird' Une faille dans la base de données 'Firebird' permet à un attaquant d'obtenir un accès utilisateur 'SYSDBA'. Forte 13/05 Firebird 'Firebird' version 2.0.3.12981.0 Non disponible Correctif existant Variable 'ISC_PASSWORD' http://www.securityfocus.com/bid/29123 SecurityFocus CVE-2008-1880 FOXIT Exécution de code dans 'Foxit Reader' Un débordement de buffer dans une fonction de 'Foxit Reader' permet d'exécuter du code arbitraire. Forte 20/05 Foxit 'Foxit Reader' version 2.3 build 2825 et inférieures Débordement de buffer Correctif existant Fonction 'util.printf()' http://secunia.com/advisories/29941/ Secunia CVE-2008-1104 GFORGE Réécriture de fichiers dans 'GForge' Une erreur de création des fichiers temporaires dans 'GForge' permet à un attaquant de réécrire des fichiers. Moyenne 15/05 GForge 'GForge' version 4.5.14 Erreur de création Correctif existant Fichiers temporaires http://www.securityfocus.com/bid/29215 Secunia CVE-2008-0167 GNOME Déni de service dans 'PeerCast' Un débordement de buffer dans 'PeerCast' permet à un attaquant de provoquer un déni de service. Forte 02/05 Gnome 'PeerCast' version 0.1218 'HTTP::getAuthUserPass()' Débordement de buffer Aucun correctif http://secunia.com/advisories/30020/ Secunia GNU Exécution de code arbitraire dans 'Emacs' Une erreur de traitement dans 'Emacs' permet à un attaquant d'exécuter du code arbitraire. Forte 14/05 Gnu 'Emacs' version 21.3.1 Fichiers 'fast-lock' (.flc) Erreur de traitement Aucun correctif http://secunia.com/advisories/30199/ Secunia CVE-2008-2142 Exposition d'informations dans 'Gallery' Un manque de vérification dans l'application 'Gallery' permet à un attaquant d'obtenir des informations sensibles. Forte 20/05 Gnu 'Gallery' version 1.1.1.0 Paramètre 'show' Manque de vérification Aucun correctif http://secunia.com/advisories/30301/ Secunia Multiples failles dans 'GnuTLS' De multiples failles dans 'GnuTLS' permettent de provoquer l'exécution de code arbitraire et des dénis de service. Forte 20/05 Gnu 'GnuTLS' version 2.2.4 et inférieures Débordement de tas, Déréférencement de pointeur NULL, Erreur de codage Correctif existant Multiples http://www.securityfocus.com/bid/29292 SecurityFocus CVE-2008-1948, CVE-2008-1949, CVE-2008-1950 GRAPHICSMAGICK Contournement de la sécurité dans 'GraphicsMagick' Une erreur de traitement dans 'GraphicsMagick' permet à un attaquant de contourner la sécurité. Forte 02/05 GraphicsMagick 'GraphicsMagick' versions inférieures à 1.1.12 Erreur de traitement Correctif existant Extensions de fichier http://secunia.com/advisories/30008/ Secunia HORDE "Cross-Site Scripting" dans 'Kronolith' Un manque de validation permet à un attaquant de mener des attaques de type "Cross-Site Scripting". Forte 27/05 Horde 'Kronolith' Données utilisateur Manque de validation Aucun correctif http://www.securityfocus.com/bid/29365 SecurityFocus Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 48/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 "Cross-Site Scripting" dans 'Turba Contact Manager ' Un manque de validation permet à un attaquant de mener des attaques de type "Cross-Site Scripting". Forte 15/05 Horde 'Turba Contact Manager ' version 2.1.7 Données utilisateur Manque de validation Aucun correctif http://www.securityfocus.com/bid/29213 SecurityFocus IBM Exécution de code arbitraire dans 'AIX' ('errpt') Un débordement de buffer via la commande 'errpt' permet à un attaquant d'exécuter du code arbitraire. Moyenne 22/05 IBM 'AIX' version 5.2, 5.3, 6.1 Débordement de buffer Correctif existant Commande 'errpt' http://www.securityfocus.com/bid/29323 SecurityFocus Exécution de code arbitraire dans 'AIX' ('iostat') Une élévation de privilèges dans 'AIX' permet à un attaquant d'exécuter du code arbitraire. Moyenne 22/05 IBM 'AIX' version 5.2, 5.3, 6.1 Elévation de privilèges Correctif existant Commande 'iostat' http://www.securityfocus.com/bid/29325 SecurityFocus Exécution de code arbitraire dans le noyau de 'AIX' Un débordement de buffer dans le noyau de 'AIX' permet à un attaquant d'exécuter du code arbitraire. Moyenne 22/05 IBM 'AIX' version 5.2, 5.3, 6.1 Débordement de buffer Correctif existant Non disponible http://www.securityfocus.com/bid/29329 SecurityFocus INTERCHANGE Déni de service dans 'Interchange' Une faille non documentée dans 'Interchange' permet à un attaquant de provoquer un déni de service. Forte 02/05 Interchange 'Interchange' version 5.2.1 Non disponible Correctif existant Non disponible http://www.securityfocus.com/bid/28987 SecurityFocus Déni de service dans 'Interchange' Une faille dans 'Interchange' permet à un attaquant de provoquer un déni de service. Forte 23/05 Interchange 'Interchange' versions inférieures à 5.6.0 Non disponible Correctif existant Requête HTTP de type 'POST' http://secunia.com/advisories/30346/ Secunia INVENSYS Déni de service de 'Wonderware SuiteLink' Une vulnérabilité dans 'Wonderware SuiteLink' permet à un attaquant de provoquer un déni de service du produit. Forte 05/05 Invensys 'Wonderware InTouch' version 8.0, 'WonderWare SuiteLink' versions inférieures à 2.0 Patch 01 Erreur de conception Correctif existant Service 'slssvc.exe' http://www.coresecurity.com/?action=item&id=2187 Core Security CVE-2008-2005 JELSOFT Injection SQL dans l'application 'vBulletin' Une injection de code SQL permet à un attaquant de modifier des données et de corrompre l'application. Moyenne 21/05 Jelsoft 'vBulletin' version 3.7.0 Gold Fichier 'faq.php' Injection de code SQL Aucun correctif http://www.securityfocus.com/bid/29293 SecurityFocus JOOMLA! Compromission d'application dans Joomla! Une injection de code SQL permet à un attaquant de modifier des données et de corrompre l'application. Moyenne 13/05 Joomla! 'Datsogallery' version 1.6 et 'xsstream-dm' version 0.01 Beta Paramètre 'movie' Injection de code SQL Aucun correctif http://www.securityfocus.com/bid/29138 SecurityFocus http://www.securityfocus.com/bid/29144 SecurityFocus Compromission d'application via 'Webhosting' Une injection de code SQL permet à un attaquant de modifier des données et de corrompre l'application. Moyenne 02/05 Joomla! 'Webhosting' Paramètre 'catid' Injection de code SQL Aucun correctif http://www.securityfocus.com/bid/29000 SecurityFocus Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 49/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 LENOVO Usurpation d'informations via 'System Update' Une faille permet à un attaquant de se faire passer pour un serveur via l'usurpation d'informations. Forte 26/05 Lenovo 'System Update' version 3.13.0005 Validation insuffisante des données Correctif existant Bibliothèque non disponible http://lists.grok.org.uk/pipermail/full-disclosure/2008-May/062533.html Full Disclosure LIBXSLT Déni de service via la bibliothèque 'libxslt' Une erreur de conception permet de provoquer un déni de service ou l'exécution potentielle de code arbitraire. Moyenne 21/05 libxslt 'libxslt' version 1.1.20 Erreur de conception Correctif existant Processeur 'XLST' http://bugzilla.gnome.org/show_bug.cgi?id=527297 Gnome Bugzilla CVE-2008-1767 LINUX Contournement de la sécurité dans le noyau de Linux Une erreur de traitement dans le noyau de Linux permet à un attaquant de contourner la sécurité du système. Moyenne 02/05 Linux 'Noyau' versions inférieures à 2.6.22 Erreur de traitement Correctif existant Limitations 'RLIMIT_CPU' http://www.securityfocus.com/bid/29004 SecurityFocus CVE-2008-1294 Déni de service dans le noyau de Linux Une faille dans le noyau de Linux permet à un attaquant de provoquer un déni de service. Moyenne 02/05 Linux 'Noyau' version 2.6.25 et inférieures Non disponible Correctif existant Fichier 'dnotify.c' http://www.securityfocus.com/bid/29003 SecurityFocus CVE-2008-1375 Déni de service dans le noyau de Linux Une corruption de mémoire dans le noyau de Linux permet à un attaquant de provoquer un déni de service. Moyenne 05/05 Linux 'Noyau' versions inférieures à 2.6.25.1 Corruption de mémoire Correctif existant Pilote 'Tehuti' http://www.securityfocus.com/bid/29014/ SecurityFocus CVE-2008-1675 Déni de service dans le noyau de Linux Une faille dans le noyau de Linux permet à un attaquant de provoquer un déni de service. Moyenne 13/05 Linux 'Noyau' versions 2.6.22 à 2.6.25.2 Non disponible Correctif existant Fonction 'sys_utimensat' http://www.securityfocus.com/bid/29134 SecurityFocus Déni de service dans le noyau de Linux Une erreur de traitement dans le noyau de Linux permet à un attaquant de provoquer un déni de service. Moyenne 21/05 Linux 'Noyau' version 2.6.21-rc4 et inférieures Erreur de traitement Correctif existant Fonction 'hrtimer_forward()' http://www.securityfocus.com/bid/29294 SecurityFocus CVE-2007-6712 Déni de service dans le noyau Linux Une erreur de codage permet de provoquer un déni de service d'une plate-forme vulnérable. Forte 27/05 Linux 'Noyau 2.6' versions inférieures à 2.6.25.3 Erreur de codage Correctif existant Fonction 'mmap()' http://www.securityfocus.com/bid/29397 SecurityFocus CVE-2008-2137 Multiples failles dans le noyau Linux Deux failles dans le noyau Linux permettent de modifier des informations ou de provoquer un déni de service. Moyenne 15/05 Linux 'Noyau 2.6' version 2.6.25.2 et inférieures Erreur de conception, Fuite mémoire Correctif existant Multiples http://secunia.com/advisories/30241/ Secunia CVE-2008-2136, CVE-2008-2148 Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 50/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 MANTIS "Cross-Site Request Forgery" dans 'Mantis' Une faille permet à un attaquant de mener des attaques de type "Cross-Site Request Forgery". Forte 15/05 Mantis 'Mantis' version 1.1.1 et inférieures Validation insuffisante des données Correctif existant Requêtes HTTP http://secunia.com/advisories/30270/ Secunia "Cross-Site Scripting" dans 'Mantis' Un manque de validation permet à un attaquant de mener des attaques de type "Cross-Site Scripting". Forte 21/05 Mantis 'Mantis' version 1.1.1 Manque de validation Correctif existant Données utilisateur http://www.securityfocus.com/bid/29297 SecurityFocus MICROSOFT Elévation de privilèges via 'i2omgmt.sys' Une faille dans le pilote 'i2omgmt.sys' permet à un utilisateur local d'obtenir des droits privilégiés. Moyenne 12/05 Microsoft 'Windows XP' version SP2 Erreur de conception, validation insuffisante des données Correctif existant Pilote 'i2omgmt.sys' http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=699 iDefense CVE-2008-0322 "Cross-Zone Scripting" dans 'Internet Explorer' Une faille permet à un attaquant de mener des attaques de type "Cross-Zone Scripting". Moyenne 14/05 Microsoft 'Internet Explorer' version 7.0 'Print Table of Links' Validation insuffisante des données Aucun correctif http://aviv.raffon.net/2008/05/14/InternetExplorerQuotPrintTableOfLinksquotCrossZoneScriptingVulnerability. Aviv Raff aspx MOTOROLA Exécution de code dans le téléphone 'RAZR' Une faille permet à un attaquant distant de provoquer l'exécution de code arbitraire. Forte 27/05 Motorola 'RAZR' Corruption de la mémoire Correctif existant Images de type 'JPEG' http://www.zerodayinitiative.com/advisories/ZDI-08-033/ Zero Day Init MOZILLA Déni de service de 'Firefox' Une corruption de la mémoire dans 'Firefox' permet de provoquer un déni de service du navigateur. Forte 21/05 Mozilla 'Firefox' version 2.0.0.14 'JavaScript', 'iFrame' Corruption de la mémoire Aucun correctif http://www.securityfocus.com/bid/29318 SecurityFocus MTR Exécution de code arbitraire dans 'mtr' Un débordement de pile dans 'mtr' permet d'exécuter du code arbitraire. Moyenne 20/05 MTR 'mtr' versions inférieures à 0.73 Débordement de pile Correctif existant Fichier 'split.c' http://www.securityfocus.com/bid/29290 SecurityFocus CVE-2008-2357 NAGIOS "Cross-Site Scripting" dans 'Nagios' Un manque de validation permet à un attaquant de mener des attaques de type "Cross-Site Scripting". Forte 13/05 Nagios 'Nagios' versions inférieures à 2.9 Manque de validation Correctif existant Données utilisateur http://www.securityfocus.com/bid/29140 SecurityFocus CVE-2007-5803 NET-SNMP Déni de service via le module 'Perl' Un débordement de buffer permet à un attaquant de provoquer un déni de service. Moyenne 15/05 Net-SNMP 'Net-snmp' version 5.4.1 Débordement de buffer Correctif existant Fonction '__snprint_value()' http://secunia.com/advisories/30187/ Secunia Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 51/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 NOVELL "Cross-Site Scripting" dans 'GroupWise' Un manque de validation permet à un attaquant de mener des attaques de type "Cross-Site Scripting". Forte 05/05 Novell 'GroupWise' version 7 Pièces jointes '.JPG' Manque de validation Aucun correctif http://secunia.com/advisories/29969/ Secunia Exécution de code arbitraire dans 'Novell Client' Un débordement de pile permet de provoquer un déni de service ou l'exécution potentielle de code arbitraire. Forte 14/05 Novell 'Novell Client' version 4.91 SP4 et inférieures Lien 'forgotten password' Débordement de pile Aucun correctif http://www.securityfocus.com/bid/29109 SecurityFocus OPENSSL Déni de service dans 'OpenSSL' Des failles dans 'OpenSSL' permettent à un attaquant de provoquer des dénis de service. Forte 29/05 OpenSSL 'OpenSSL' version 0.9.8f, 0.9.8g Erreur de traitement Correctif existant Multiples http://secunia.com/advisories/30405/ Secunia CVE-2008-0891, CVE-2008-1672 ORACLE Faille dans 'Oracle Application Server Portal' Une faille dans 'Oracle Application Server Portal' permet de contourner l'authentification à un répertoire. Forte 09/05 Oracle 'Oracle Application Server Portal' version 10g Répertoire '/dav_portal/portal/' Erreur de conception Aucun correctif http://www.securityfocus.com/bid/29119 SecurityFocus PHP Faiblesse dans la génération des nombres aléatoires Une erreur de conception dans 'PHP' provoque une faiblesse dans la génération des nombres aléatoires. Moyenne 06/05 PHP 'PHP' version 5.2.5 et inférieures, version 4.4.8 et inférieures Erreur de conception Correctif existant Macro 'GENERATE_SEED()' http://lists.grok.org.uk/pipermail/full-disclosure/2008-May/062030.html Full-Disclosure PHP-NUKE Compromission d'application via 'KuiraniKerim' Une injection de code SQLpermet à un attaquant de modifier des données et de corrompre l'application. Moyenne 19/05 PHP-NUKE 'KuiraniKerim' Paramètre 'sid' Injection de code SQL Aucun correctif http://www.securityfocus.com/bid/29261 SecurityFocus QEMU Lecture de fichiers arbitraires dans 'QEMU' Un contournement de la sécurité dans 'QEMU' permet à un utilisateur malveillant de lire des fichiers arbitraires. Moyenne 09/05 QEMU 'QEMU' version 0.9.1 Contournement de la sécurité Correctif existant Fonction 'drive_init()' http://secunia.com/advisories/30111/ Secunia CVE-2008-2004 RDESKTOP Exécution de code dans 'rdesktop' Des multiples failles dans le produit 'rdesktop' permettent de provoquer l'exécution de code arbitraire. Forte 07/05 rdesktop 'rdesktop' version 1.5.0 et inférieures Erreur de codage, Débordement de buffer Correctif existant Fonctions diverses http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=698 697 696 iDefense CVE-2008-1801, CVE-2008-1802, CVE-2008-1803 SAMBA Exécution de code arbitraire dans 'Samba' Un débordement de buffer dans 'Samba' permet à un attaquant d'exécuter du code arbitraire. Forte 29/05 Samba 'Samba' version 3.0.28a, version 3.0.29 Fonction 'receive_smb_raw()' Débordement de buffer Aucun correctif http://secunia.com/advisories/30228/ Secunia CVE-2008-1105 Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 52/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 SAP "Cross-Site Scripting" dans Internet Transaction Server Un manque de validation permet de mener des attaques de type "Cross-Site Scripting". Forte 08/05 SAP 'Internet Transaction Server' version 6200.1017.50954.0 Validation insuffisante des données Correctif existant Bibliothèque 'wgate.dll' http://www.portcullis-security.com/275.php Porticullis "Cross-Site Scripting" dans 'Web Application Server' Une faille permet à un attaquant de mener des attaques de type "Cross-Site Scripting". Forte 21/05 SAP 'Web Application Server' version 7.0 '/sap/bc/gui/sap/its/webgui/' Validation insuffisante des données Aucun correctif http://www.securityfocus.com/bid/29317 SecurityFocus SARG Débordement de buffer dans 'Sarg' Un débordement de buffer, aux conséquences inconnues, affecte 'Sarg'. N/A 13/05 Sarg 'Sarg' Non disponible Débordement de buffer Aucun correctif http://secunia.com/advisories/30156/ Secunia SETROUBLESHOOT Multiples failles dans 'SETroubleShoot' Des failles permettent d'injecter et d'exécuter du code arbitraire, ainsi que de corrompre des fichiers arbitraires. Moyenne 21/05 SETroubleShoot 'SETroubleShoot' version non disponible Fichiers temporaires, 'HTML' Création non sécurisée de fichiers temporaires, Validation des données Aucun correctif http://www.securityfocus.com/bid/29324 http://www.securityfocus.com/bid/29320 SecurityFocus CVE-2007-5495, CVE-2007-5496 SIPP Déni de service dans 'SIPp' Un débordement de buffer dans 'SIPp' permet à un attaquant de provoquer un déni de service. Forte 13/05 SIPp 'SIPp' version 3.0 Correctif existant 'get_remote_video_port_media' Débordement de buffer http://secunia.com/advisories/29890 Secunia CVE-2008-1959 SNORT Contournement de la sécurité de 'Snort' Une faille dans 'Snort' permet de contourner les règles de filtrages. Forte 21/05 Snort 'Snort' version 2.6, version 2.8 Erreur de conception Correctif existant Paquets IP fragmentés http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=701 iDefense CVE-2008-1804 SONICWALL "Cross-Site Scripting" dans 'Email Security' Un manque de validation permet de mener des attaques de type "Cross-Site Scripting". Forte 08/05 Sonicwall 'Email Security' version 6.1.1 Pages d'erreurs Validation insuffisante des données Aucun correctif http://www.securityfocus.com/bid/29107 SecurityFocus SWFDEC Exposition d'informations dans 'swfdec' Une faillepermet à un attaquant d'obtenir des informations à l'aide d'une animation Flash spécialement construite. Moyenne 21/04 swfdec 'swfdec' versions inférieures à 0.6.4 Erreur de conception Correctif existant Fichier 'swfdec_load_object.c' http://www.securityfocus.com/bid/28881 SecurityFocus SYSTEM-CONFIG-NETWORK Contournement de la sécurité via system-config-network Une erreur permet à un attaquant de contourner la sécurité et de changer la configuration du système. Moyenne 29/05 system-config-network 'system-config-network' Non disponible Correctif existant Fichier 'consolehelper' http://secunia.com/advisories/30399/ Secunia CVE-2008-2359 Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 53/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 TYPO3 "Cross-Site Scripting" dans 'TYPO3' Un manque de validation permet à un attaquant de mener des attaques de type "Cross-Site Scripting". Forte 06/05 Typo3 'TYPO3' versions inférieures à 1.1.10 Manque de validation Correctif existant Extension 'powermail' http://secunia.com/advisories/30079/ Secunia "Cross-Site Scripting" via 'kj_imagelightbox2' Un manque de validation permet à un attaquant de mener des attaques de type "Cross-Site Scripting". Forte 27/05 Typo3 'kj_imagelightbox2' version 1.4.2 Manque de validation Correctif existant Données utilisateur http://secunia.com/advisories/30386/ Secunia Injection de code SQL via 'sg_zfelib' Un manque de validation permet à un attaquant d'injecter du code SQL et d'avoir accès à la base de données. Forte 27/05 Typo3 'sg_zfelib' version 1.1.512 Manque de validation Correctif existant Requêtes SQL http://secunia.com/advisories/30400/ Secunia UNDERBIT Déni de service dans 'libid3tag' Une faille dans la bibliothèque 'libid3tag' permet à un attaquant de provoquer un déni de service. Forte 14/05 underbit 'libid3tag' Non disponible Correctif existant Fonction 'id3_field_parse()' http://www.mars.org/mailman/public/mad-dev/2008-January/001366.html Mars.org https://bugzilla.redhat.com/show_bug.cgi?id=445812 Bugzilla VSFTPD Déni de service de 'vsftpd' Une faille dans le serveur FTP 'vsftpd' permet de provoquer un déni de service du produit. Moyenne 21/05 Vsftpd 'vsftpd' version 2.0.5 Option 'deny_file' Fuite mémoire Aucun correctif http://www.securityfocus.com/bid/29322 SecurityFocus WORDPRESS Compromission d'application via 'Upload File' Une injection de code SQL permet à un attaquant de modifier des données et de corrompre l'application. Moyenne 26/05 WordPress 'Upload File' Fichier 'wp-uploadfile.php' Injection de code SQL Aucun correctif http://www.securityfocus.com/bid/29352 SecurityFocus Compromission d'application via 'WP Photo Album' Une injection de code SQL permet à un attaquant de modifier des données et de corrompre l'application. Moyenne 13/05 WordPress 'WP Photo Album' Paramètre 'photo' Injection de code SQL Aucun correctif http://www.securityfocus.com/bid/29148 SecurityFocus Exposition d'informations dans WordPress Une erreur de traitement dans WordPress permet à un attaquant d'obtenir des informations sensibles. Forte 05/05 WordPress 'WordPress' versions inférieures à 2.1 Erreur de traitement Correctif existant "pingback" http://secunia.com/advisories/23912/ Secunia CVE-2007-0539, CVE-2007-0540, CVE-2007-0541 Téléchargement de fichier via le module 'Blog' Un manque de validation dans le module 'Blog' de WordPress permet à un attaquant de télécharger des fichiers. Forte 20/05 WordPress 'WordPress' version 2.5.1 Module 'Blog' Manque de vérification Aucun correctif http://www.securityfocus.com/bid/29276 SecurityFocus XENSOURCE Déni de service et élévation de privilèges via 'PVFB' Deux failles permettent de provoquer des dénis de service ou autorisent un utilisateur à obtenir des droits. Moyenne 13/05 XenSource 'Xen' version non disponible Composant 'PVFB' Validation insuffisante des données Aucun correctif http://securitytracker.com/id?1020008 SecurityTracker http://securitytracker.com/id?1020009 SecurityTracker Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 54/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 XIPH Multiples failles dans la bibliothèque 'libvorbis' De multiples failles permettent de provoquer des dénis de service et d'exécuter du code arbitraire. Moyenne 14/05 xiph 'libvorbis' version non disponible Erreur de codage, Corruption de la mémoire Débordement d'entier Correctif existant Multiples https://bugzilla.redhat.com/show_bug.cgi?id=440700 Red Hat Bugzilla https://bugzilla.redhat.com/show_bug.cgi?id=440706 Red Hat Bugzilla https://bugzilla.redhat.com/show_bug.cgi?id=440709 Red Hat Bugzilla https://bugzilla.redhat.com/show_bug.cgi?id=444443 Red Hat Bugzilla CVE-2008-1419, CVE-2008-1420, CVE-2008-1423, CVE-2008-2009 ZYXEL "Cross-Site Scripting" dans 'ZyWALL 100' Un manque de validation permet à un attaquant de mener des attaques de type "Cross-Site Scripting". Forte 08/05 ZyXEL 'ZYWall 100' En-tête HTTP 'referer' Validation insuffisante des données Aucun correctif http://www.securityfocus.com/bid/29110 SecurityFocus AUTRES INFORMATIONS REPRISES D’AVIS ET CORRECTIFS Les vulnérabilités suivantes, déjà publiées, ont été mises à jour, reprises par un autre organisme ou ont donné lieu à la fourniture d’un correctif: ADOBE Publication du document APSA08-05 Adobe a publié le document APSA08-05 concernant la vulnérabilité du produit 'After Effects' version CS3 à la faille décrite dans le document Adobe APSA08-04. Cette vulnérabilité, déclenchée par le traitement d'une image 'BMP' spécialement construite, permet d'exécuter du code arbitraire. Un correctif sera inclus dans la prochaine version. http://www.adobe.com/support/security/advisories/apsa08-05.html Publication du document APSB08-13 Adobe a publié le document APSB08-13 concernant la vulnérabilité des produits 'Reader', 'Acrobat Professional', 'Acrobat 3D' et 'Acrobat Standard' aux failles discutées dans le document Adobe APSA08-01. Elles permettent d'exécuter du code arbitraire, entre autres choses. Des correctifs sont disponibles. http://www.adobe.com/support/security/bulletins/apsb08-13.html CVE-2007-5659, CVE-2007-5663, CVE-2007-5666, CVE-2008-0655, CVE-2008-0667, CVE-2008-0726 APPLE Correctif cumulatif pour les plate-formes Mac OS X Apple a annoncé, dans le bulletin APPLE-SA-2008-05-28 Security Update 2008-003, la disponibilité d'un correctif cumulatif pour les plate-formes 'Mac OS X' et 'Mac OS X Server' versions 10.4.11 et 10.5.2. http://lists.apple.com/archives/security-announce/2008/May/msg00001.html CVE-2005-3352, CVE-2005-3357, CVE-2006-3747, CVE-2007-0071, CVE-2007-1863, CVE-2007-3847, CVE-2007-4465, CVE-20075000, CVE-2007-5266, CVE-2007-5268, CVE-2007-5269, CVE-2007-5275, CVE-2007-6019, CVE-2007-6243, CVE-2007-6359, CVE2007-6388, CVE-2007-6637, CVE-2008-0177, CVE-2008-1035, CVE-2008-1654, CVE-2008-1655 ATERM Elévation de privilèges dans 'aterm' Une faille dans 'aterm' permet à un attaquant d'obtenir une élévation de privilèges. Cette faille est similaire à celle précédemment discutée pour 'rxvt'. http://secunia.com/advisories/30225/ CVE-2008-1142 AVAYA Déni de service dans 'CMS' Une faille dans 'CMS' permet à un attaquant de provoquer un déni de service. Cette faille est similaire à celle précédemment discutée pour 'Solaris'. http://secunia.com/advisories/30125/ CVE-2008-2121 Exposition d'informations dans 'CMS' Une faille dans Avaya 'CMS' permet de détourner des connexions X11 et d'obtenir ainsi des informations. Cette faille est similaire à celle précédemment discutée pour 'OpenSSH'. http://support.avaya.com/elmodocs2/security/ASA-2008-205.htm http://secunia.com/advisories/30230/ CVE-2008-1483 Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 55/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 CIAC Reprise de l'alerte Cisco 99725 Le CIAC a repris, sous la référence S-298, l'alerte Cisco 99725 concernant de multiples failles non documentées dans l'implémentation 'SSH' de 'IOS' qui permettent de provoquer un déni de service d'un équipement vulnérable. http://www.ciac.org/ciac/bulletins/s-298.shtml CVE-2008-1159 Reprise de l'alerte HP HPSBMA02331 (SSRT080000) Le CIAC a repris, sous la référence S-282, l'alerte HP HPSBMA02331 (SSRT080000) concernant la disponibilité de correctifs pour 'WBEM Services' sur HP-UX versions B.11.11 à B.11.31. Ils corrigent deux failles dans 'OpenPegasus' qui permettent de provoquer l'exécution de code arbitraire. http://www.ciac.org/ciac/bulletins/s-282.shtml CVE-2007-5360, CVE-2008-0003 Reprise de l'alerte HP HPSBUX02332 (SSRT080056) Le CIAC a repris, sous la référence S-295, l'alerte HP HPSBUX02332 (SSRT080056) concernant la vulnérabilité du serveur 'Apache', avec PHP fourni sur 'HP-UX', à des failles qui permettent à un utilisateur d'exécuter du code arbitraire et de provoquer un déni de service, entre autres choses. http://www.ciac.org/ciac/bulletins/s-295.shtml CVE-2007-2872, CVE-2007-3378, CVE-2007-4783, CVE-2007-4840, CVE-2007-4887, CVE-2007-5898, CVE-2007-5899, CVE-20075900 Reprise de l'alerte Red Hat RHSA-2008:0201 Le CIAC a repris, sous la référence S-285, l'alerte Red Hat RHSA-2008:0201 concernant une faille dans Red Hat 'Directory Server' qui permet à un attaquant distant d'obtenir un accès au serveur d'administration. Il peut ainsi obtenir des informations ou effectuer certaines tâches. http://www.ciac.org/ciac/bulletins/s-285.shtml CVE-2008-0892, CVE-2008-0893 Reprise de l'alerte Red Hat RHSA-2008:0287 Le CIAC a repris, sous la référence S-297, l'alerte Red Hat RHSA-2008:0287 concernant la disponibilité de correctifs pour le paquetage 'libxslt' sur RHEL versions 2.1, 3, 4 et 5. Ils corrigent une erreur de codage qui permet de provoquer un déni de service ou l'exécution potentielle de code arbitraire. http://www.ciac.org/ciac/bulletins/s-297.shtml CVE-2008-1767 Reprise de l'alerte Red Hat RHSA-2008:0489 Le CIAC a repris, sous la référence S-296, l'alerte Red Hat RHSA-2008:0489 concernant la disponibilité de correctifs pour le paquetage 'gnutls' sur Red Hat Enterprise Linux 4 et 5. Ils corrigent de multiples failles dans 'GnuTLS' qui permettent de provoquer l'exécution de code arbitraire et des dénis de service. http://www.ciac.org/ciac/bulletins/s-296.shtml CVE-2008-1948, CVE-2008-1949, CVE-2008-1950 Reprise de l'alerte US-CERT VU#584089 Le CIAC a repris, sous la référence S-283, l'alerte US-CERT VU#584089 concernant un manque de validation dans 'cPanel' qui permet à un attaquant de mener des attaques de type "Cross-Site Request Forgery". http://www.ciac.org/ciac/bulletins/s-283.shtml Reprise de l'alerte US-CERT VU#929656 Le CIAC a repris, sous la référence S-284, l'alerte US-CERT VU#929656 concernant une erreur de traitement des messages 'BGP UPDATE' qui affecte les routeurs GR2000 et GR44000 d'Hitachi et des dénis de service qui affectent le système 'JUNOS' de Juniper. http://www.ciac.org/ciac/bulletins/s-284.shtml CVE-2007-6372 Reprise de l'avis Debian DSA-1571 La CIAC a repris, sous la référence S-293, l'avis Debian DSA-1571 concernant une faille dans le paquetage 'OpenSSL' de Debian GNU/Linux qui permet à un attaquant de prédire les nombres aléatoires générés. http://www.ciac.org/ciac/bulletins/s-293.shtml CVE-2008-0166 Reprise de l'avis Debian DSA-1573 Le CIAC a repris, sous la référence S-291, l'avis Debian DSA-1573 concernant de multiples failles dans 'rdesktop' qui permettent d'exécuter du code arbitraire. http://www.ciac.org/ciac/bulletins/s-291.shtml CVE-2008-1801, CVE-2008-1802, CVE-2008-1803 Reprise de l'avis Microsoft MS08-026 Le CIAC a repris, sous la référence S-288, l'avis Microsoft MS08-026 concernant deux failles dans 'Word' qui permettent d'exécuter du code arbitraire. http://www.ciac.org/ciac/bulletins/s-288.shtml CVE-2008-1091, CVE-2008-1434 Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 56/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 Reprise de l'avis Microsoft MS08-027 Le CIAC a repris, sous la référence S-289, l'avis Microsoft MS08-027 concernant une faille dans 'Publisher' qui permet d'exécuter du code arbitraire. http://www.ciac.org/ciac/bulletins/s-289.shtml CVE-2008-0119 Reprise de l'avis Microsoft MS08-028 Le CIAC a repris, sous la référence S-290, l'avis Microsoft MS08-028 concernant une faille dans le composant 'Jet Database Engine' des plate-formes Windows qui permet d'exécuter du code arbitraire. http://www.ciac.org/ciac/bulletins/s-290.shtml CVE-2007-6026 Reprise de l'avis Red Hat RHSA-2008:0194 Le CIAC a repris, sous la référence S-292, l'avis Red Hat RHSA-2008:0194 concernant de multiples failles dans 'Xen' qui permettent d'exécuter du code arbitraire, entre autres choses. http://www.ciac.org/ciac/bulletins/s-292.shtml CVE-2007-3919, CVE-2007-5730, CVE-2008-0928, CVE-2008-1943, CVE-2008-1944, CVE-2008-2004 Reprise de l'avis Red Hat RHSA-2008:0270 Le CIAC a repris, sous la référence S-294, l'avis Red Hat RHSA-2008:0270 concernant de multiples failles qui permettent de provoquer des dénis de service et l'exécution de code arbitraire. http://www.ciac.org/ciac/bulletins/s-294.shtml CVE-2008-1419, CVE-2008-1420, CVE-2008-1423 Reprise de l'avis US-CERT VU#147027 Le CIAC a repris, sous la référence S-286, l'avis US-CERT VU#147027 concernant une faille dans 'PHP' qui permet d'exécuter du code arbitraire. http://www.ciac.org/ciac/bulletins/s-286.shtml CVE-2008-0599 Reprise de l'avis US-CERT VU#684883 Le CIAC a repris, sous la référence S-287, l'avis US-CERT VU#684883 concernant une faille dans un contrôle ActiveX des produits CA qui permet à un attaquant de provoquer un déni de service ou l'exécution de code arbitraire. http://www.ciac.org/ciac/bulletins/s-287.shtml CVE-2008-1786 CISCO Révision du bulletin 99725 Cisco a révisé le bulletin 99725 concernant de multiples failles non documentées dans l'implémentation 'SSH' de 'IOS' qui permettent de provoquer un déni de service d'un équipement vulnérable. Cette révision met à jour les sections "Summary", "Products Confirmed Not Vulnerable" et "Exploitation and Public Announcements". http://www.cisco.com/warp/public/707/cisco-sa-20080521-ssh.shtml CVE-2008-1159 HITACHI Déni de service dans les routeurs Hitachi 'GR' Une erreur de traitement des messages 'BGP UPDATE' affecte les routeurs GR2000 et GR4000 d'Hitachi. Cette faille permet à un attaquant de provoquer un déni de service. Cette faille est similaire à celle précédemment discutée pour 'JUNOS' de Juniper. http://secunia.com/advisories/30028/ CVE-2007-6372 HP Faille Microsoft dans HP 'SMA' HP a annoncé, dans le bulletin HPSBST02336 (SSRT080071), la vulnérabilité de 'Storage Management Appliance' I, II et III ('SMA') à la faille Microsoft annoncée dans l'avis MS08-028. Cette faille permet d'exécuter du code arbitraire. HP préconise d'installer le correctif Microsoft disponible. http://www11.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01460710-1 CVE-2007-6026 Publication du bulletin HPSBUX02324 (SSRT080034) HP a publié le bulletin HPSBUX02324 (SSRT080034) concernant la vulnérabilité de 'Netscape Directory Server' (NDS) fourni avec 'HP-UX' à la faille référencée CVE-2008-0892. Elle permet à un utilisateur d'exécuter des commandes arbitraires avec des droits privilégiés. Les versions B.11.11, B.11.23 et B.11.31 de 'HP-UX' fournies avec les versions vB.06.21.40 ou inférieures et vB.07.10.40 ou inférieures de 'Netscape Directory Server' (NDS) sont vulnérables. http://marc.info/?l=bugtraq&m=121009032425420&w=2 CVE-2008-0892 Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 57/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 Publication du bulletin HPSBUX02332 (SSRT080056) HP a publié le bulletin HPSBUX02332 (SSRT080056) concernant la vulnérabilité du serveur 'Apache' avec PHP fourni avec 'HP-UX' aux failles référencées CVE-2007-2872, CVE-2007-3378, CVE-2007-4783, CVE-2007-4840, CVE2007-4887, CVE-2007-5898, CVE-2007-5899 et CVE-2007-5900. Elles permettent à un utilisateur d'exécuter du code arbitraire et de provoquer un déni de service, entre autres choses. Les versions B.11.11, B.11.23 et B.11.31 de 'HP-UX' fournies avec les versions v2.18 avec PHP v5.25.4 ou inférieures de 'Apache' sont vulnérables. http://marc.info/?l=bugtraq&m=121009228229576&w=2 CVE-2007-2872, CVE-2007-3378, CVE-2007-4783, CVE-2007-4840, CVE-2007-4887, CVE-2007-5898, CVE-2007-5899, CVE-20075900 Publication du document HPSBUX02337 (SSRT080072) HP a publié le document HPSBUX02337 (SSRT080072) concernant la vulnérabilité du serveur 'SSH' de la plateforme 'HP-UX' versions B.11.11, B.11.23 et B.11.31 à la faille référencée CVE-2008-1483. Elle permet de détourner des connexions X11 et d'obtenir ainsi des informations. Des correctifs sont disponibles. http://www12.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01462841-1 CVE-2008-1483 Révision du bulletin HPSBUX02332 (SSRT080056) HP a révisé le bulletin HPSBUX02332 (SSRT080056) concernant la vulnérabilité du serveur 'Apache' avec 'PHP' sur 'HP-UX' aux failles CVE-2007-2872, CVE-2007-3378, CVE-2007-4783, CVE-2007-4840, CVE-2007-4887, CVE-20075898, CVE-2007-5899 et CVE-2007-5900. Cette révision met à jour plusieurs informations. http://www11.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01438646-2 CVE-2007-2872, CVE-2007-3378, CVE-2007-4783, CVE-2007-4840, CVE-2007-4887, CVE-2007-5898, CVE-2007-5899, CVE-20075900 Révision du bulletin HPSBUX02334 (SSRT071403) HP a révisé le bulletin HPSBUX02334 (SSRT071403) concernant une faille dans le serveur 'ftp' de 'HP-UX' qui permet de provoquer un déni de service. Cette révision annonce la disponibilité d'un correctif pour la version B.11.31 de 'HP-UX'. http://www11.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01446326-2 CVE-2008-0713 IBM Correctif pour IBM 'HTTP Server' IBM a annoncé, dans le bulletin 4019245, la disponibilité d'un correctif pour IBM 'HTTP Server' version 2.0.47. Il corrige plusieurs failles qui permettent à un attaquant distant de mener des attaques de type "Cross-Site Scripting". http://www-1.ibm.com/support/docview.wss?uid=swg24019245 CVE-2007-5000, CVE-2007-6203, CVE-2007-6388 LINUX DEBIAN Disponibilité de nombreux correctifs Debian annonce la disponibilité des correctifs corrigeant les openoffice DSA-1547 xpdf suphp DSA-1550 pyhton2.4 ikiwiki DSA-1553 roundup perl DSA-1556 phpmyadmin phpgedview DSA-1559 kronolith2 iceape DSA-1562 asterisk linux-2.6 DSA-1565 cpio b2evolution DSA-1568 cacti openssl DSA-1571 php5 icedove DSA-1574 libux2.6 gforge DSA-1577 php4 phpgedview DSA-1580 gnutls13 gnome-peercast DSA-1583 libfishsound xine-lib DSA-1586 mtr libxslt DSA-1589 vulnérabilités présentes dans les paquetages: DSA-1548 clamav DSA-1549 DSA-1551 mplayer DSA-1542 DSA-1554 iceweasel DSA-1555 DSA-1557 xulrunner DSA-1558 DSA-1560 ldm DSA-1561 DSA-1563 wordpress DSA-1564 DSA-1566 blender DSA-1567 DSA-1569 kazehakase DSA-1570 DSA-1572 rdesktop DSA-1573 DSA-1575 openssh DSA-1576 DSA-1578 netpbm-free DSA-1579 DSA-1581 peercast DSA-1582 DSA-1584 speex DSA-1585 DSA-1587 linux2.6 DSA-1588 http://www.debian.org/security/2008/ LINUX FEDORA Disponibilité de nombreux correctifs Fedora annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages: fedora-ds-admin F7 FEDORA-2008:3214 F8 FEDORA-2008:3220 navigateurs F7 FEDORA-2008:3249 F8 FEDORA-2008:3229 seamonkey F7 FEDORA-2008:3231 F8 FEDORA-2008:3264 mtdaap F8 FEDORA-2008:3250 openoffice F8 FEDORA-2008:3251 navigateurs F8 FEDORA-2008:3283 moin F7 FEDORA-2008:3328 F8 FEDORA-2008:3301 poppler F7 FEDORA-2008:3312 wordpress F7 FEDORA-2008:3319 F8 FEDORA-2008:3397 Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 58/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 xine dbmail squid lighthttpd perl-imager clamav asterisk kde perl webkit, midori util-linux sipp bugzilla thunderbird cups audicity zoneminder tkimg libid3tag licq blender kernel libid3tag libvorbis rdesktop clamav libfishsound openoffice mt-daapd gnutls django dbmail vsftpd kvm libpng cbrpager stunnel system-config-net F7 F7 FEDORA-2008:3326 FEDORA-2008:3371 F8 F8 F8 F8 F8 F8 F8 F8 F8 FEDORA-2008:3353 FEDORA-2008:3333 FEDORA-2008:2740 FEDORA-2008:3376 FEDORA-2008:3352 FEDORA-2008:3420 FEDORA-2008:3390 FEDORA-2008:3412 FEDORA-2008:3392 F7 F7 F7 F7 F7 F7 F7 F7 F7 F7 F7 F7 F7 F7 F7 FEDORA-2008:3343 FEDORA-2008:3920 FEDORA-2008:3358 FEDORA-2008:3365 FEDORA-2008:3379 FEDORA-2008:3399 FEDORA-2008:3415 FEDORA-2008:3419 FEDORA-2008:3508 FEDORA-2008:3488 FEDORA-2008:3519 FEDORA-2008:3449 FEDORA-2008:3511 FEDORA-2008:3516 FEDORA-2008:3545 F8 F8 F8 F8 F8 F8 F8 F8 FEDORA-2008:3229 F7 F7 F7 F7 F7 F7 FEDORA-2008:3909 FEDORA-2008:3862 FEDORA-2008:4043 FEDORA-2008:3874 FEDORA-2008:3898 FEDORA-2008:3985 F8 F8 F8 F8 F8 F8 FEDORA-2008:3969 FEDORA-2008:3875 FEDORA-2008:3873 FEDORA-2008:3976 FEDORA-2008:3934 FEDORA-2008:3917 F7 F7 FEDORA-2008:3117 FEDORA-2008:4104 F7 F7 FEDORA-2008:4274 FEDORA-2008:4191 F7 FEDORA-2008:4373 F7 F7 F7 FEDORA-2008:3979 FEDORA-2008:4440 FEDORA-2008:4606 F8 F8 F8 F8 F8 F8 F8 F8 F8 F8 F8 F8 FEDORA-2008:xxxx FEDORA-2008:4183 FEDORA-2008:4248 FEDORA-2008:xxxx FEDORA-2008:4347 FEDORA-2008:4604 FEDORA-2008:3937 FEDORA-2008:4528 FEDORA-2008:4579 FEDORA-2008:4633 FEDORA-2008:3442 FEDORA-2008:3557 FEDORA-2008:3586 FEDORA-2008:3456 FEDORA-2008:3462 F9 FEDORA-2008:4119 F9 FEDORA-2008:4003 F9 FEDORA-2008:3690 F9 FEDORA-2008:3668 F9 FEDORA-2008:3756 F9 F9 F9 F9 F9 F9 F9 F9 F9 F9 FEDORA-2008:3601 FEDORA-2008:3621 FEDORA-2008:3757 FEDORA-2008:3812 FEDORA-2008:xxxx FEDORA-2008:3949 FEDORA-2008:xxxx FEDORA-2008:3910 FEDORA-2008:3886 FEDORA-2008:3900 F9 F9 F9 F9 F9 F9 F9 F9 F9 FEDORA-2008:4126 FEDORA-2008:4259 FEDORA-2008:4267 FEDORA-2008:4245 FEDORA-2008:4362 FEDORA-2008:4386 FEDORA-2008:3683 FEDORA-2008:4501 FEDORA-2008:4531 https://www.redhat.com/archives/fedora-package-announce/index.html LINUX MANDRIVA Disponibilité de nombreux correctifs Mandrake annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les clamav MDVSA-2008:088 2007.0 2007.1 2008 2008.1 CS3.0 poppler MDVSA-2008:089 openoffice MDVSA-2008:090 CS3.0 wireshark MDVSA-2008:091 2007.1 2008 gstreamer MDVSA-2008:092 2008 2008.1 vorbis-tools MDVSA-2008:093 2008 2008.1 CS3.0 speex MDVSA-2008:094 2007.1 2008 2008.1 CS3.0 openoffice MDVSA-2008:095 2008 emacs MDVSA-2008:096 2007.0 2007.1 2008 2008.1 CS3.0 kdelibs MDVSA-2008:097 2008 2008.1 openssh MDVSA-2008:098 2007.1 2008 2008.1 ImageMagick MDVSA-2008:099 2007.1 2008 CS3.0 perl MDVSA-2008:100 2007.1 2008 CS3.0 rdesktop MDVSA-2008:101 2007.1 2008 2008.1 libvorbis MDVSA-2008:102 2007.1 2008 2008.1 libid3tag MDVSA-2008:103 2008 2008.1 CS3.0 kernel MDVSA-2008:104 2008 2008.1 CS3.0 kernel MDVSA-2008:105 2007.1 gnutls MDVSA-2008:106 2007.1 2008 2008.1 openssl MDVSA-2008:107 2008.1 samba MDVSA-2008:108 2007.0 2007.1 2008 2008.1 CS3.0 paquetages: CS4.0 CS4.0 CS4.0 CS4.0 CS4.0 CS4.0 CS4.0 CS4.0 MNF2.0 CS4.0 MNF2.0 MNF2.0 CS4.0 CS4.0 http://www.mandriva.com/en/security/advisories Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 59/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 LINUX REDHAT Disponibilité de nombreux correctifs RedHat annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages: tomcat RHSA-2008:0195-01 AS.ES.WS 3.0 java1.4.2 RHSA-2008:0243-01 AS.ES.WS 3.0 AS.ES.WS 4.0 AS.ES.WS java1.5.0 RHSA-2008:0244-01 AS.ES.WS 4.0 AS.ES.WS java1.6.0 RHSA-2008:0245-01 AS.ES.WS thunderbird RHSA-2008:0224-01 AS.ES.WS 4.0 AS.ES.WS ---- 5 Avril ---kernel kernel kernel gpdf xen libvorbis libvorbis java-1.6.0-ibm kernel gnutls gnutls libxslt setroubleshoot vsftpd dovecot bind mysql nss_ldap compiz samba samba samba RHSA-2008:0211-01 RHSA-2008:0233-01 RHSA-2008:0237-01 RHSA-2008:0262-01 RHSA-2008:0194-01 RHSA-2008:0270-01 RHSA-2008:0271-01 RHSA-2008:0267-01 RHSA-2008:0275-01 RHSA-2008:0489-01 RHSA-2008:0492-01 RHSA-2008:0287-01 RHSA-2008:0061-02 RHSA-2008:0295-01 RHSA-2008:0297-02 RHSA-2008:0300-02 RHSA-2008:0364-01 RHSA-2008:0389-02 RHSA-2008:0485-02 RHSA-2008: 0288-01 RHSA-2008: 0289-01 RHSA-2008: 0290-01 5.0 5.0 5.0 5.0 AS.ES.WS 3.0 AS.ES.WS 5.0 AS.ES.WS 4.0 AS.ES.WS 4.0 AS.ES.WS 3.0 AS.ES.WS 4.0 AS.ES.WS 5.0 AS.ES.WS 5.0 AS.ES.WS 2.1 AS.ES.WS 5.0 AS.ES.WS 5.0 AS.ES.WS 5.0 AS.ES.WS 2.1 AS.ES.WS 3.0 AS.ES.WS 2.1 AS.ES.WS 3.0 AS.ES.WS 4.0 AS.ES.WS 4.0 AS.ES.WS AS.ES.WS AS.ES.WS AS.ES.WS AS.ES.WS AS.ES.WS AS.ES.WS AS.ES.WS 5.0 5.0 5.0 5.0 5.0 5.0 5.0 5.0 AS.ES.WS 4.0 AS.ES.WS 4.5 AS.ES.WS 5.0 https://www.redhat.com/archives/enterprise-watch-list/ LINUX SuSE Disponibilité de nombreux correctifs SuSE annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages: openoffice SUSE-SA:2008:023 clamav SUSE-SA:2008:024 ibm java SUSE-SA:2008:025 Security Report SUSE-SR:2008:010 Security Report SUSE-SR:2008:011 http://www.novell.com/linux/security/advisories.html MOZILLA Disponibilité de la version 2.0.0.14 de 'Thunderbird' La version 2.0.0.14 de 'Thunderbird' est disponible. Elle corrige des failles qui permettent d'exécuter du code arbitraire. http://www.mozilla-europe.org/fr/products/thunderbird/ CVE-2008-1233, CVE-2008-1234, CVE-2008-1235, CVE-2008-1236, CVE-2008-1237 MRXVT Elévation de privilèges dans 'mrxvt' Une faille dans 'mrxvt' permet à un attaquant d'obtenir une élévation de privilèges. Cette faille est similaire à celle précédemment discutée pour 'rxvt'. http://secunia.com/advisories/30227/ CVE-2008-1142 NETBSD Correctifs pour 'OpenSSL' Le projet NetBSD a annoncé, dans le bulletin NetBSD-SA2008-007, la disponibilité d'un correctif pour 'OpenSSL' sur NetBSD versions 3-1 et 3-0. Ils corrigent de multiples failles dans 'OpenSSL' qui permettent de provoquer des dénis de service et l'exécution de code arbitraire à distance. ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2008-007.txt.asc CVE-2006-2937, CVE-2006-2940, CVE-2006-3738, CVE-2006-4343, CVE-2007-5135 Correctifs pour 'RSA' dans 'OpenSSL' Le projet NetBSD a annoncé, dans le bulletin NetBSD-SA2008-008, la disponibilité d'un correctif pour 'RSA' dans 'OpenSSL' sur NetBSD versions 4 et 4-0. Ils corrigent une vulnérabilité dans l'implémentation de l'algorithme 'RSA' utilisé dans 'OpenSSL' qui peut entraîner une exposition d'information. ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2008-008.txt.asc CVE-2007-3108 Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 60/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 RXVT Elévation de privilèges dans 'rxvt-unicode' Une faille dans 'rxvt-unicode' permet à un attaquant d'obtenir une élévation de privilèges. Cette faille est similaire à celle précédemment discutée pour 'rxvt'. http://secunia.com/advisories/30224/ CVE-2008-1142 SUN Publication du document 237444 Sun a publié le document 237444 concernant la vulnérabilité de Sun 'Solaris' versions 9 et 10 à la faille référencée CVE-2008-1483. Cette faille, dans 'OpenSSH', permet de détourner des connexions X11 et d'obtenir ainsi des informations. Il n'y a pas de correctif officiel disponible, cependant une parade est fournie par Sun. http://sunsolve.sun.com/search/document.do?assetkey=1-66-237444-1 CVE-2008-1483 Publication du document 237465 Sun a publié le document 237465 concernant la vulnérabilité de Sun 'Solaris' versions 9 et 10 aux failles référencées CVE-2007-5378 et CVE-2008-0553. Ces failles, dans 'Tcl/Tk', permettent de povoquer un déni de service et l'exécution de code arbitraire. http://sunsolve.sun.com/search/document.do?assetkey=1-66-237465-1 CVE-2007-5378, CVE-2008-0553 Révision du bulletin 231642 Sun a révisé le bulletin 231642 concernant un débordement de tas qui permet d'exécuter du code arbitraire. Cette révision met à jour les sections "Contributing Factors" et "Resolution" et clos le bulletin. http://sunsolve.sun.com/search/document.do?assetkey=1-66-231642-1 CVE-2008-0320 Révision du bulletin 235421 Sun a révisé le bulletin 235421 concernant une faille non documentée dans les services 'Trusted Extensions' qui permet à des applications inscrites dans des zones de labels différents d'échanger des données. Cette révision met à jour les sections "Contributing Factors", "Workaround" et "Resolution" et clos le bulletin. http://sunsolve.sun.com/search/document.do?assetkey=1-66-235421-1 Révision du bulletin Sun 231526 Sun a révisé le bulletin 231526 concernant une faille dans 'Sun Java Web Console' qui permet à un attaquant d'obtenir des informations. Cette révision annonce la mise à jour de la section "Contributing Factors". http://sunsolve.sun.com/search/document.do?assetkey=1-66-231526-1 Révision du bulletin Sun 236321 Sun a révisé le bulletin 236321 concernant des failles dans 'Solaris' qui permettent de provoquer des dénis de service d'une plate-forme. Cette révision annonce la mise à jour de la section "Contributing Factors". http://sunsolve.sun.com/search/document.do?assetkey=1-66-236321-1 Révision du bulletin Sun 237444 Sun a révisé le bulletin 237444 concernant la vulnérabilité de Sun 'Solaris' versions 9 et 10 à la faille référencée CVE-2008-1483. Cette faille, dans 'OpenSSH', permet de détourner des connexions X11 et d'obtenir ainsi des informations. Cette révision annonce la mise à jour des sections "Contributing Factors" et "Resolution". http://sunsolve.sun.com/search/document.do?assetkey=1-66-237444-1 CVE-2008-1483 US-CERT Reprise de l'alerte Debian DSA-1571 L'US-CERT a repris, sous la référence TA08-137A, l'alerte Debian DSA-1571 concernant une faille dans le paquetage 'OpenSSL' de Debian qui permet de prédire les nombres aléatoires qu'il génère. http://www.us-cert.gov/cas/techalerts/TA08-137A.html CVE-2008-0166 Reprise des bulletins Microsoft de Mai 2008 L'US-CERT a repris, sous la référence TA08-134A, les bulletins Microsoft de Mai 2008 (MS08-026 à MS08-029) concernant de multiples failles qui permettent d'exécuter du code arbitraire et de provoquer un déni de service, entre autres choses. http://www.us-cert.gov/cas/techalerts/TA08-134A.html CVE-2007-6026, CVE-2008-0119, CVE-2008-1091, CVE-2008-1434, CVE-2008-1437, CVE-2008-1438 WTERM Elévation de privilèges dans 'wterm' Une faille dans 'wterm' permet à un attaquant d'obtenir une élévation de privilèges. Cette faille est similaire à celle précédemment discutée pour 'rxvt'. http://secunia.com/advisories/30226/ CVE-2008-1142 Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 61/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 XEMACS Faille CVE-2008-2142 dans 'XEmacs' Secunia a publié une alerte annonçant la vulnérabilité du produit 'XEmacs' à la faille CVE-2008-2142. Elle permet à un attaquant d'exécuter du code arbitraire. Il n'y a pas de correctif officiel disponible à notre connaissance. http://secunia.com/advisories/30216/ CVE-2008-2142 CODES D’EXPLOITATION Les codes d’exploitation des vulnérabilités suivantes ont fait l’objet d’une large diffusion : CREATIVE LABS Code d'exploitation pour la faille CVE-2008-0955 Un code a été publié sur le site Web Milw0rm. Il exploite la faille CVE-2008-0955 dans le contrôle ActiveX 'Creative Software AutoUpdate Engine' de Creative Labs. Ce code permet d'exécuter la calculatrice Windows. http://milw0rm.com/exploits/5681 CVE-2008-0955 BULLETINS ET NOTES Les bulletins d’information suivants ont été publiés par les organismes officiels de surveillance et les éditeurs : US-CERT Publication du document TA08-149A L'US-CERT a publié le document TA08-149A concernant l'exploitation en cours d'une vulnérabilité dans 'Flash Player' qui permet d'exécuter du code arbitraire afin d'installer du code malicieux. L'US-CERT recommande d'installer la version 9.0.124.0 de 'Flash Player' qui semble corriger le problème. Des parades sont également proposées dans ce document. http://www.us-cert.gov/cas/techalerts/TA08-149A.html Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 62/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2008 ATTAQUES ANALYSES SUR LES RISQUES ENCOURUS A PASSER LES FRONTIERES AMERICAINES AVEC DES DONNEES NUMERIQUES Description Le problème de la sécurisation des données hébergées sur des équipements mobiles pourrait devenir la priorité N°1 de tous les voyageurs en partance vers les USA depuis qu’une cour d’appel Américaine a confirmé, le mois dernier, que les douaniers avaient le droit de fouiller le disque des ordinateurs portables en incluant la possibilité de copier le contenu de ces disques à des fins d’analyse ultérieure. Cette décision a été prise dans le cadre d’une affaire de suspicion de pédophilie mais de telles pratiques, déjà admises depuis 2006 à la suite d’une décision de justice liée à une affaire très similaire, semblent se généraliser à la lecture des nombreux articles publiés à ce propos ces Emprunté à Franquin dernières semaines. Dans sa dernière lettre d’information, et comme bien d’autres experts dans le monde, Bruce Schneier pose la question des risques liés à ces nouvelles pratiques qui considèrent les supports de stockage électroniques comme de simples valises dont on peut exiger l’ouverture sans autre forme de procès. Qui n’a rien à se reprocher n’à rien à cacher, dit un vieux dicton qui hélas ne s’applique plus dans ces temps modernes où la vie privée d’une personne réside désormais pour part croissante dans les informations conservées par tous ces gadgets devenus indispensables à notre quotidien: téléphone, PDA, lecteur MP3, portable, … Autoriser la fouille des données contenues dans ces équipements – et plus encore leur copie – sans aucune réelle justification conduit à une intrusion dans l’intimité de l’individu bien plus conséquente qu’une fouille des bagages à la recherche d’objets interdits. Dans bien des cas le problème va au-delà de la simple nuisance personnelle, les informations contenues dans nombres d’équipements étant la propriété de l’employeur et non du détenteur de l’équipement. Quelques sociétés, principalement Canadiennes du fait de la proximité avec la frontière américaine facilitant les échanges au quotidien, ont déjà réagit - dont un cabinet d’avocats - face à la menace de se voir mis dans l’obligation de divulguer des données extrêmement sensibles appartenant de plein droit à leurs clients. Plusieurs parades peuvent être envisagées pour contrer cette menace. Idéalement, et dans le cas d’une informatique nomade, un portable ‘stérilisé’ pourra être utilisé qui ne contiendra aucune donnée autre que celles requises pour le bon fonctionnement de l’équipement. Les données de travail seront téléchargées une fois dans le pays par le biais d’un accès sécurisé sur un serveur d’hébergement distant. L’équipement sera de nouveau ‘stérilisé’ avant de quitter le pays. Cette procédure, aisée de mise en oeuvre dans le cas d’un ordinateur portable – à condition toutefois de disposer des privilèges requis pour les opérations de stérilisation – l’est moins pour d’autres équipements mobiles pourtant susceptibles d’héberger des données sensibles, et en particulier les téléphones intelligent et les PDA. Une alternative applicable aux équipements informatiques, et aux supports de données amovibles, consisterait à stocker les données indispensables dans un ‘container’ chiffré et caché, une clef robuste devant bien entendu être utilisée. Cette clef ne sera jamais être divulguée, ni sous la menace, ni sous la contrainte, rien n’imposant encore qu’elle dût être révélée à des douaniers. L’outil de chiffrement ‘TrueCrypt’ est plébiscité comme offrant, à l’heure actuelle, le meilleur compromis robustesse/portabilité et simplicité d’emploi. Il y aura lieu d’ajouter dans la trousse de voyage un CD contenant le remarquable outil d’effacement ‘DBAN’ (Rapport N°74 – Septembre 2004) et pourquoi pas la distribution ‘LiberKey’ dans la forme qui conviendra le mieux au voyageur: • LiberKey Ultimate (134Mo installés) avec ses 212 logiciels portables préinstallés, • LiberKey Standard (231Mo installés) et ses 100 applications portables préinstallés, • LiberKey Basic (347Mo installés) et ses 32 applications portables indispensables. On notera que l’outil ‘TrueCrypt’ n’est livré qu’à partir du paquetage standard dans sa version 5.1, paquetage qui contient aussi l’outil d’effacement sécurisé ‘WipeFile’ en version 1.5.1. Un tableau comparatif est proposé sur le site qui permet de différencier d’un seul coup d’œil les logiciels proposés par chaque paquetage. Complément d’information http://www.guardian.co.uk/technology/2008/may/15/computing.security http://searchsecurity.techtarget.com/originalContent/0,289142,sid14_gci1286808,00.html http://www.liberkey.com http://www.liberkey.com/liste-des-logiciels-comparaison.html Veille Technologique Sécurité N°118 © DEVOTEAM SOLUTIONS - Tous droits réservés Page 63/63 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE