Veille Technologique Sécurité

Transcription

APOGEE Communications
R
Raap
pp
poorrtt d
dee
V
Veeiillllee T
Teecch
hn
no
ollo
og
giiq
qu
uee S
Sééccu
urriittéé
N
N°°1
11
18
8
Mai 2008
Les informations fournies dans ce document ont été collectées et compilées à partir de
sources d'origines diverses et publiquement accessibles: listes de diffusion, newsgroups,
sites Web, ...
Ces informations sont fournies pour ce qu'elles valent sans garantie d'aucune sorte vis à vis
de l'exactitude, de la précision ou de la qualité de l'information. Les URL associées à certains
thèmes sont validées à la date de la rédaction du document.
Les symboles d’avertissement suivants seront éventuellement utilisés:
0
1
Site dont la consultation est susceptible de générer directement ou indirectement,
une attaque sur l’équipement de consultation, voire de faire encourir un risque sur
le système d’information associé.
Site susceptible d’héberger des informations ou des programmes dont l’utilisation
est répréhensible au titre de la Loi Française.
Aucune garantie ne peut être apportée sur l'innocuité de ces sites, et en particulier, sur la
qualité des applets et autres ressources présentées au navigateur WEB.
LLaa ddiiffffuussiioonn ddee ccee ddooccuum
meenntt eesstt rreessttrreeiinnttee aauuxx
cclliieennttss ddeess sseerrvviicceess
V
VTTS
S--R
RA
APPPPO
OR
RTT eett V
VTTS
S--EEN
NTTR
REEPPR
RIIS
SEE
Les marques et les produits cités dans ce rapport sont la propriété des dépositaires respectifs.
APOGEE Communications – Groupe DEVOTEAM
1, rue GALVANI
91300 Massy Palaiseau
Pour tous renseignements
Offre de veille: http://www.devoteam.fr/
Informations:
[email protected]
©DEVOTEAM Solutions - Tous droits réservés
C
O
N
N
E
C
T
I
N
G
B
U
S
I
N
E
S
S
&
T
E
C
H
N
O
L
O
G
Y
Mai 2008
Au sommaire de ce rapport …
PRODUITS ET TECHNOLOGIES
LES PRODUITS
7
7
VISTA
7
ERRATASEC – LOOKINGGLASS V1.1
7
INFORMATIONS ET LEGISLATION
LES INFORMATIONS
8
8
CONFERENCES
8
OWASP – APPSEC2008 / EU
8
MAGAZINE
8
ENISA - LA REVUE
ANYCAST – A SOLUTION FOR RELIABLE DNS SERVICES
SELF CLEANSING AND INTRUSION TOLERANCE
HNS - (IN)SECURE MAGAZINE N°16
PRODUCING SECURE SOFTWARE WITH SECURITY ENHANCED SOFTWARE DEVELOPMENT PROCESSES
RECOMMANDATIONS
8
9
10
11
12
12
CEN – BEST PRACTICES FOR THE DESIGN AND DEVELOPMENT OF CRITICAL INFORMATION SYSTEMS
ENISA – SECURE PRINTING
ATTAQUES
SSH – ANALYSE DES TECHNIQUES D’ATTAQUE
SECURISATION
NSA - BLUETOOTH SECURITY
NIST – SP800-123 / GUIDE TO GENERAL SERVER SECURITY
REFERENCES
CIS - CATALOGUE DE PROCEDURES ET DE TESTS
DISA – GUIDES ET CHECKLISTS DE SECURISATION
NIST – ETAT DES GUIDES DE LA SERIE SP800
NSA - CATALOGUE DES GUIDES DE SECURITE
LA LEGISLATION
DEMATERIALISATION
FNTC – VADEMECUM JURIDIQUE DE LA DEMATERIALISATION DES DOCUMENTS
DCSSI/DGME – REFERENTIEL GENERAL DE SECURITE DIT ‘RGS’
12
14
16
16
17
17
17
19
19
20
21
23
24
24
24
25
LOGICIELS LIBRES
LES SERVICES DE BASE
LES OUTILS
27
27
27
NORMES ET STANDARDS
LES PUBLICATIONS DE L’IETF
29
29
LES
LES
RFC
DRAFTS
NOS COMMENTAIRES
LES RFC
RFC5000
29
29
33
33
33
ALERTES ET ATTAQUES
ALERTES
37
37
AVIS OFFICIELS
39
GUIDE DE LECTURE
FORMAT DE LA PRESENTATION
SYNTHESE MENSUELLE
ALERTES DETAILLEES
ADOBE
ALCATEL/LUCENT
APPLE
CA
CISCO
CITRIX
CREATIVE LABS
DEBIAN
DJANGO
DRUPAL
Veille Technologique Sécurité N°118
© DEVOTEAM SOLUTIONS - Tous droits réservés
37
38
38
39
39
39
39
39
39
40
40
40
41
41
Page 2/63
Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Mai 2008
HP
IBM
LINUX
MICROSOFT
MOZILLA
MYSQL
NASA
NORTEL
PAM-PGSQL
PHP
RED HAT
STUNNEL
SUN
SYMANTEC
TYPO3
XEROX
ALERTES NON CONFIRMEES
AKAMAI
APACHE
APPLE
ARUBA NETWORKS
AUDACITY
B2EVOLUTION
BARRACUDA NETWORKS
BLENDER
BORLAND
CA
CASTLE ROCK
CBRPAGER
CERBERUS
CERULEAN STUDIOS
CISCO
CLAROLINE
CPANEL
EMC
F5 NETWORKS
FIREBIRD
FOXIT
GFORGE
GNOME
GNU
GRAPHICSMAGICK
HORDE
IBM
INTERCHANGE
INVENSYS
JELSOFT
JOOMLA!
LENOVO
LIBXSLT
LINUX
MANTIS
MICROSOFT
MOTOROLA
MOZILLA
MTR
NAGIOS
NET-SNMP
NOVELL
OPENSSL
ORACLE
PHP
PHP-NUKE
QEMU
RDESKTOP
SAMBA
SAP
SARG
SETROUBLESHOOT
SIPP
SNORT
SONICWALL
SWFDEC
SYSTEM-CONFIG-NETWORK
TYPO3
UNDERBIT
VSFTPD
WORDPRESS
XENSOURCE
XIPH
ZYXEL
41
41
42
42
43
43
43
43
43
43
43
43
44
44
44
45
45
45
45
45
45
45
46
46
46
46
46
46
46
46
47
47
47
47
47
47
48
48
48
48
48
48
48
49
49
49
49
49
50
50
50
51
51
51
51
51
51
51
52
52
52
52
52
52
52
52
53
53
53
53
53
53
53
53
54
54
54
54
54
55
55
Page 3/63
Mai 2008
AUTRES INFORMATIONS
55
REPRISES D’AVIS
55
ET
CORRECTIFS
ADOBE
APPLE
ATERM
AVAYA
CIAC
CISCO
HITACHI
HP
IBM
LINUX DEBIAN
LINUX FEDORA
LINUX MANDRIVA
LINUX REDHAT
LINUX SUSE
MOZILLA
MRXVT
NETBSD
RXVT
SUN
US-CERT
WTERM
XEMACS
55
55
55
55
56
57
57
57
58
58
58
59
60
60
60
60
60
61
61
61
61
62
CODES D’EXPLOITATION
62
BULLETINS ET NOTES
62
CREATIVE LABS
62
US-CERT
62
ATTAQUES
ANALYSES
63
63
SUR LES RISQUES ENCOURUS A PASSER LES FRONTIERES AMERICAINES AVEC DES DONNEES NUMERIQUES
63
Page 4/63
Mai 2008
Le mot de la rédaction …
Si un bogue devait se voir décerner la palme d’or, c’est bien celui qui vient
d’être découvert dans l’implémentation de la librairie OpenSSL faite par
Debian. Comme cela est très bien expliqué dans l’article publié par HD Moore,
le problème de sécurité qui découle de ce bogue trouve son origine dans la
correction d’un problème de codage – une variable non initialisée – signalé par
un outil d’analyse de code. En éliminant purement et simplement deux lignes
de code dont celle annoncée poser problème, le mainteneur du paquetage
DEBIAN a réduit la source d’entropie utilisée pour générer les clefs à
seulement 15 bits, la taille de l’identifiant d’un processus. Une attaque en force
fort efficace peut alors être mise en œuvre qui permettra de révéler une clef
privée.
L’impact de cette ‘petite erreur’ est conséquente: toutes les clefs privées ayant
été générées avec OpenSSL en environnement DEBIAN – et tous ses dérivés
– depuis septembre 2006 doivent être considérées comme compromises et
doivent être révoquées sans plus attendre, que ces clefs soient utilisées ou non
en environnement DEBIAN…
http://metasploit.com/users/hdm/tools/debian-openssl/
On peut même aller plus loin en considérant, comme le fait remarquer Cedric
Blanchet dans un billet qu’il faut lire, que sont potentiellement fragilisées, car
prédictibles, toutes les données générées par une application ayant fait appel à
l’environnement OpenSSL sous DEBIAN pour obtenir une séquence aléatoire.
Aïe…
http://sid.rstack.org/blog/index.php/275-du-hasard-et-de-ses-consequences
Le moins que l’on puisse dire est que les choses ne vont pas en s’améliorant
ces derniers temps et la lecture de l’interview de David Perry (Trend Micro) qui
nous parle de l’industrialisation de la production de codes malicieux – de 4000
à 5000 nouveaux codes produits par jour - ne renforce pas vraiment le
sentiment d’aller vers une société de l’information et de l’immatériel plus sure
et plus accueillante.
http://www.globalsecuritymag.fr/David-Perry-Trend-Micro-4-000-a-5,20080519,3086
Page 5/63
Mai 2008
On notera enfin la publication d’une version plus complète du papier proposé
par David Evans & all à l’occasion de la conférence 3C24 portant sur la retroanalyse d’une carte RFiD Mifare et de son algorithmique (Rapport N°114 –
Janvier 2008). Cette publication porte un coup fatal à un système réputé et très
largement utilisé.
http://www.cs.virginia.edu/~evans/pubs/usenix08/usenix08.pdf
Bonne lecture.
Bertrand VELLE
Page 6/63
Mai 2008
P
PR
RO
TEECCH
OD
DU
HN
UIIT
NO
OL
TS
LO
SE
OG
GIIE
ET
TT
ES
S
LES
PRODUITS
VISTA
ERRATASEC – LOOKINGGLASS V1.1
Description
Fondée en 2006 par Robert Graham – ex. Network ICE - et David Maynor – ex. ISS XForce - la
société ‘Errata Security’ intervient dans le domaine du conseil et de l’audit, et publie de temps à autre
divers utilitaires de sécurité dont ‘Ferret’ (Rapport N°114 – Janvier 2008) et ‘LookingGlass’ mis à
disposition en Février dernier et mis à jour en Avril.
Développé avec le Framework .NET 2.0 et exclusivement dédié à l’environnement Windows VISTA l’utilitaire
‘LookingGlass’ permet d’inspecter les ressources présentes sur le système et les processus en cours d’exécution à la
recherche d’éventuels problèmes de sécurité.
Analyse des ressources:
Les librairies et les fichiers
exécutables présents sur le
système audité sont analysés
un à un pour déterminer si:
- le mécanisme de protection
ASLR est activé. Il consiste à
modifier, lors du chargement
du code, l’organisation de la
mémoire afin de rendre celleci non prédictible (Address
Space Layout Randomization)
et ainsi complexifier la tâche
d’un éventuel code injecté
dans la pile du processus.
- le mécanisme d’interdiction
de l’exécution de code en pile
– dit NX ou No eXecute – est
activé.
- des fonctions à risque de la
librairie ‘C’ – dite CLib – sont
appelées par le code dont
notamment les fonctions de
manipulation de chaîne de caractères.
Analyse des processus:
Les mêmes analyses pourront
être effectuées sur tous les
processus qui sont chargés en
mémoire, permettant ainsi de
compléter le diagnostic établi
précédemment.
Cet outil permet d’obtenir un
état des lieux sans, hélas,
permettre de corriger les
problèmes identifiés sauf à
disposer
des
sources
des
applications.
Les informations ainsi obtenues
pourront toutefois être utilisées
pour déterminer le niveau de
vulnérabilité potentielle d’une
application et ainsi définir les
mesures à prendre: de la mise
en place d’un mécanisme de
protection auxiliaire à la mise à
l’index pure et simple de la dite
application.
Complément d’information
http://www.erratasec.com/lookingglass.html
Page 7/63
Mai 2008
IIN
NF
LEEG
FO
GIIS
OR
RM
SL
MA
LA
AT
AT
TIIO
TIIO
ON
ON
NS
N
SE
ET
TL
LES
INFORMATIONS
CONFERENCES
OWASP – APPSEC2008 / EU
Description
L’édition 2008 de la conférence sur la sécurité des applications WEB – AppSec – organisée par l’OWASP s’est
tenue du 19 au 22 mai dernier en Belgique à Gand avec quelques 29 présentations qui se sont déroulées sur
deux sessions tenues en parallèle. Les supports de la majorité des présentations sont désormais disponibles sur
le site de l’OWASP.
Agile Security - Breaking the Waterfall Mindset of the Security Industry
Best Practices Guide: Web Application Firewalls
Building and Stopping Next Generation XSS Worms
Client-side security
Detecting Security Vulnerabilities in Web Apps Using Dynamic Analysis
Dynamic Taint Propagation: Finding Vulnerabilities Without Attacking
Evaluation Criteria for Web Application Firewalls
Exploiting Online Games
Fundamental Application Security Building Blocks
Google-Hacking and Google-Shielding
Graph Analysis for WebApps: From Nodes to Edges
How Data Privacy affects Applications and Databases
HTML5 security
Input validation: the Good, the Bad and the Ugly
Know Thyself!
NTLM Relay Attacks
Office 2.0: Software as a Service, Security on the Sidelines?
PHPIDS Monitoring attack surface activity
Preventing SQL Injections in Online Applications
Remo presentation - Positive ModSecurity rulesets / Input validation
Scanstud: Evaluating static analysis tools
Security framework is not in the code
SHIELDS: metrics, tools and Internet services to improve security
SWF and the Malware Tragedy
The OWASP Anti-Samy project
The OWASP Education Project
The OWASP Orizon Project internals
Threat Modeling for Application Designers & Architects
Trends in Web Hacking: What's hot in 2008
Watch What You Write: Preventing XSS by Observing Program Output
http://www.owasp.org/index.php/AppSecEU08
Dave Wichers
Alexander Meisel
Arshan Dabirsiaghi
Pdp
Andrew Petukhov & all
Matias Madou
Ivan Ristic
Gary McGraw
Dave Wichers
Amichai Shulman
Simon Roses Femerling
Dirk De Maeyer
Thomas Roessler
Johan Peeters
Dieter Gollmann
Eric Rachner
John Heasman
Mario Heiderich
Etienne Janot
Christian Folini
Martin Johns & all
Sam Reghenzi
Domenico Rotondi
Ben Fuhrmannek
Jason Li
Martin Knobloch
Paolo Perego
Shay Zalalichin
Ofer Shezaf
Matias Madou & all
- Agenda des présentations
MAGAZINE
ENISA - LA REVUE
Description
Le premier numéro, pour l’année 2008, de la revue ‘ENISA Quarterly’, rebaptisé ‘ENISA Quarterly
Review’, est paru mi-Mai. Il a pour thème principal la Résilience des réseaux de communication.
La résilience est ici définie comme étant la capacité d’un réseau à fournir et à maintenir un niveau de
service acceptable tout en étant confronté à des fautes et à des dysfonctionnements. Plus précisément et
dans le contexte de la sécurité informatique, ce terme désignera la capacité d’un réseau à survivre à une
attaque ou à une faute, une exigence qui ne peut être atteinte sans respecter les quatre propriétés
fondamentales de la sûreté de fonctionnement couramment désignées par le sigle anglo-saxon RAMS
(FMDS en Français):
Page 8/63
Mai 2008
- Reliability (Fiabilité)
Aptitude d'un système à accomplir une fonction requise, dans des conditions données, pendant un intervalle de
temps déterminé.
- Availability (Disponibilité)
Aptitude d'un système à être en état d'accomplir une fonction requise, dans des conditions données, à un instant
donné, en supposant que la fourniture des moyens extérieurs soit assurée.
- Maintainability (Maintenabilité)
Aptitude d'un système à être maintenu ou rétabli, en un temps donné, dans un état de fonctionnement bien défini
lorsque les opérations de maintenance sont accomplies avec des moyens donnés, suivant un programme déterminé.
- Safety (Sécurité)
Aptitude d'un système à ne pas générer, dans des conditions données, des événements critiques ou catastrophiques.
Bien souvent présentée comme étant la science des ‘défaillances’, la sûreté de fonctionnement – SdF - a longtemps
été considérée comme n’étant applicable qu’à des systèmes industriels complexes. Bien que s’appuyant sur des
concepts, et des méthodologies d’analyse, similaires à ceux employés dans le domaine de la sécurité des systèmes
d’information, la SdF traite de l’impact des risques liés à des évènements spécifiques intervenant dans un contexte a
priori fermé et parfaitement défini. L’objectif est ici d’assurer la stabilité du système dans des conditions
opérationnelles données et connues, pour ne pas dire peu évolutives: une chaîne de fabrication, une centrale
nucléaire, un avion, un train ou une voiture.
De telles conditions sont rarement rencontrées dans le contexte des systèmes d’information tels que nous les
pratiquons au quotidien – ERP, BackOffice, Portails WEB, sites marchands… - lesquels sont majoritairement
constitués d’équipements informatiques et d’un assemblage de composants logiciels interconnectés selon des scénarios
fortement évolutifs.
Les réseaux de communication restent, eux, et pour un temps encore, susceptibles d’exhiber les conditions requises
pour une analyse de type ‘sûreté de fonctionnement’ visant à améliorer leur résilience pour reprendre le terme utilisé
en introduction de ce numéro de 28 pages de la revue de l’ENISA dont le sommaire est reproduit ci-dessous:
A Word from the Executive Director
A Word from the Editor
A Word from the Experts
Resilient eCommunication Networks
Towards an EU Policy Initiative on Critical CIIP
The ARECI Study
Improving Internet Resilience in Norway
Inter-domain Routing
.SE Celebrates its First Anniversary with DNSSEC
Anycast – A Solution for Reliable DNS Services
INTERSECTION – Resiliency and Security for Heterogeneous Communication Infrastructures
BUGYO – Building Security Assurance in Open Infrastructures
eMobility – Shaping the Future of Wireless Communications
Self Cleansing and Intrusion Tolerance
From our own Experts
ENISA Activities on Resilient Public eCommunications
The Economics of NIS
Food for Thought
What’s Cooking (or not)?
ENISA Short News
Comme toujours, parmi tous les articles intéressants de cette revue, quelques articles ont plus particulièrement attiré
notre attention.
Anycast – A Solution for Reliable DNS Services
Jörg Schweiger est le directeur technique du DENIC, l’organisme en charge de la gestion des noms de domaine
enregistrés sous le ccTLD Allemand ‘.de’. En France, ce rôle est tenu par l’AFNIC. L’article porte sur le procédé de
routage de proximité dit ‘Anycast’ appliqué au système DNS, un procédé que le DENIC a mis en pratique depuis
plusieurs années et maîtrise parfaitement. Responsable de l’une des instances du serveur racine ‘K’ depuis janvier
2004, cette organisation gère maintenant deux constellations Anycast constituées de quelques 10 serveurs situés à
Berlin, Francfort, Tokyo, Miami, Séoul et Sao Paulo pour la première constellation et à Amsterdam, Vienne,
Stockholm et Elmsford pour la seconde.
Le terme ‘Anycast’ désigne ici un procédé qui permet d’associer une même adresse IP à plusieurs serveurs
physiquement distincts, la sélection du serveur qui sera in fine sollicité étant effectuée sur un critère spécifique tel
que la connectivité du serveur ou la localisation géographique du client. Ce procédé est aisément mis en œuvre par
le biais du protocole de routage BGP – Border Gateway Protocol.
Ce protocole, utilisé pour annoncer les routes entre domaines de routage autonomes ou AS, autorise en effet la
déclaration d’une même adresse IP par plusieurs domaines distincts, c’est-à-dire de pouvoir attacher la même
adresse à plusieurs équipements sous réserve qu’ils appartiennent à des domaines différents. Ici, ce procédé ne sera
réellement intéressant que pour les services utilisant un protocole non connecté tel le protocole de requête du DNS
utilisant UDP, les modifications du routage BGP étant susceptibles d’impacter les sessions qui auraient été ouvertes
en mode connecté.
Correctement utilisé le procédé de routage ‘Anycast’ offrira une solution permettant de distribuer un service de
manière totalement transparente pour l’utilisateur mais aussi pour l’exploitant qui n’aura pas à déclarer une nouvelle
instance de ce service et à y associer une adresse IP spécifique. Ce procédé a donc naturellement trouvé sa place
dans les infrastructures de gestion des noms de domaine en offrant la possibilité d’amener le service au plus prés de
Page 9/63
Mai 2008
l’usager sans nécessiter aucune reconfiguration des serveurs de nom du niveau supérieur.
Le nombre des serveurs ‘racine’ de l’Internet (les serveurs ayant connaissance des serveurs DNS chargés de la
gestion du TLD, le champ le plus à droite d’un nom de domaine) est techniquement limité à treize. Ces serveurs
sont explicitement désignés, et accédés, par leur adresse IPV4. L’utilisation du procédé d’adressage ‘Anycast’ a
permis de lever cette contrainte en permettant de remplacer certains des clusters de serveurs gérant des ccTLD
par une constellation de serveurs géographiquement répartis.
Cette approche aura permis d’optimiser et d’adapter les ressources nécessaires au traitement de requêtes associées
à des domaines nationaux sans nécessiter aucune remise en cause de l’organisation imposée par l’ICANN mais aussi
dans une certaine mesure de renforcer sa robustesse face aux attaques en déni de service.
Les caractéristiques actuelles de ces treize serveurs ‘virtuels’ sont résumées ci-après:
Opérateur
Localisation
Adresse IPV4
Adresse IPV6
AnyC
A VeriSign, Inc
US VA
198.41.0.4
2001:503:BA3E::2:30
B Information Sciences Institute
US CA
192.228.79.201
2001:478:65::53
C Cogent Communications
US VA, CA, NY, IL 192.33.4.12
X
D University of Maryland
US MD
128.8.10.90
E NASA Ames Research Center
US CA
192.203.230.10
F Internet Systems Consortium, Inc.
*
43 sites
192.5.5.241
2001:500:2f::f
X
G US DOD NIC
US OH
192.112.36.4
H US Army Research Lab
US MD
128.63.2.53
2001:500:1::803f:235
I Autonomica/NORDUnet
*
31 sites
192.36.148.17
X
J VeriSign, Inc.
*
41 sites
192.58.128.30
2001:503:C27::2:30
X
K RIPE - NCC
*
17 sites
193.0.14.129
2001:7fd::1
X
L ICANN
US CA, FL
199.7.83.42
2001:500:3::42
X
M WIDE Project
*
6 sites
202.12.27.33
2001:dc3::35
X
L’AFNIC a annoncé en Janvier dernier avoir adopté le mécanisme ‘Anycast’ pour la gestion de ses propres ccTLD
dont principalement le ‘.fr’ et avoir engagé une coopération avec la société Autonomica déjà en charge de la
gestion du serveur racine ‘I’ et du nœud d’échange Internet ‘NetNOD’.
L’utilisation du procédé ‘Anycast’ dans le cadre de la gestion du DNS est encadrée par le RFC3258 ‘Distributing
Authoritative Name Servers via Shared Unicast Addresses’, le terme ‘Shared Unicast’ étant désormais
remplacé par le terme ‘AnyCast’.
Pour la petite histoire, l’adresse publique du serveur ‘L’ a été modifiée le 1er novembre 2007, passant de
198.32.64.12 à 199.7.83.42, opération théoriquement totalement transparente pour les utilisateurs finaux mais
qui semble avoir posée quelques soucis. L’ancienne adresse, qui n’appartenait pas à l’ICANN, a en effet été annoncée
par certains ISP avant la date du 2 mai 2008, date d’abandon officielle de l’ancienne adresse fixée par l’ICANN. En
conséquence, et durant quelques mois, la résolution de l’ancienne adresse pouvait conduire vers d’autres systèmes
que le serveur ‘L’ officiel.
La lecture de l’article ‘Identity theft hits the root name server’ publié à ce propos sur le blog de la société Renesys
s’avère être très intéressante car mettant en évidence les risques potentiels induits par la mise en œuvre d’un
serveur racine ‘bidon’. Il apparaît, à la lecture de cet article, que le(s) système(s) ayant réutilisé l’ancienne adresse
du serveur ‘L’ répondai(en)t correctement aux requêtes DNS en servant des enregistrements identiques au serveur
officiel mais cela aurait pu ne pas être le cas et personne ne s’en serait probablement aperçu. Ce qui nous amène
aussi à conseiller la lecture de l’article ‘.SE Celebrates its First Anniversary with DNSSEC’ publié dans ce numéro
de la lettre de l’ENISA.
http://www.caida.org/publications/papers/2007/dns_anycast/dns_anycast.pdf
- Etude de performance
Self Cleansing and Intrusion Tolerance
Arun Sood et Andy Purdy présente le résultat d’un travail innovant mené, en collaboration avec Lockheed
Martin, par le département informatique de l’université George Mason – Etats-Unis Virginie. L’idée à la base de ce
travail est qu’un système sera tôt ou tard compromis quoique l’on fasse, les systèmes les plus exposés étant ceux
accessibles depuis l’Internet, généralement regroupés dans un espace dédié dit Zone Démilitarisée ou DMZ.
Partant du constat de la vacuité de la protection apportée par les mécanismes de défense dits ‘périmétriques’ – sans
toutefois remettre en cause leur utilité pour combattre les menaces connues – les auteurs considèrent que les
guerres à venir ne pourront être gagnées en s’appuyant sur les approches classiques de la prévention et de la
détection et qu’il convient de considérer qu’un système connecté est de fait virtuellement compromis. Un système
moderne devra de fait, pour survivre, devenir ‘tolérant à l’intrusion’, c’est-à-dire être à même de fournir les
services pour lequel il a été conçu quand bien même un tiers en aurait pris, partiellement ou en totalité, le contrôle.
Cette prise de position n’est pas sans rappeler l’évolution de la doctrine militaire moderne laquelle considère que le
concept de défense en profondeur a vécu. ‘La défensive n'est somme toute que la résultante d'une position
d'infériorité qui sera utilisée dans le but de reprendre l'initiative’ nous rappelle le mémento ‘La défense en
profondeur appliquée aux systèmes d’information’ édité par la bureau Conseil de la DCSSI, mémento qui
rappelle que deux principes ont désormais pris une très grande importance: le renseignement et le mouvement.
C’est à ce dernier principe que l’on pourrait être tenté de rattacher le principe SCIT – Self Cleansing and Intrusion
Tolerance - développé par l’université George Mason: ne pouvant raisonnablement envisager de maintenir le
niveau de service attendu d’un système compromis, le concept de ‘tolérance à l’intrusion’ ne peut se concevoir qu’au
sens figuré, à savoir concevoir un système agile capable de se remettre en état par lui-même (le ‘Self Cleansing’ de
l’intitulé), et de fait ne laissant aucune latitude à l’agresseur pour en prendre totalement le contrôle.
Une dynamique de mouvement dans laquelle le système est systématiquement ramené à un état stable et connu
selon une périodicité compatible avec le service rendu, et la qualité de service associée, mais aussi avec la fenêtre
Page 10/63
Mai 2008
d’exposition du système, c-à-d le temps nécessaire à agresseur pour en prendre le contrôle total. Cette approche
n’est pas sans rappeler celle utilisée dans certains systèmes critiques où la logique classique de protection ‘a
posteriori’ – utilisation d’un système de réarmement, dit chien de garde, en cas de défaut constaté – est remplacée
par une logique préventive assurant le réinitialisation systématique du système.
L’objectif du principe SCIT est d’atteindre une durée d’exposition inférieure à la minute en s’appuyant sur des
mécanismes désormais parfaitement maîtrisés, dont la virtualisation et le partage de charge, pour assurer 1- le
rechargement d’un environnement connu et intègre, et 2- le maintien de l’accessibilité du service.
Une présentation plus détaillée du principe SCIT et des 6 règles permettant de garantir sa fiabilité pourra être
trouvée dans le papier ‘Secure, Resilient Computing Clusters: Self-Cleansing Intrusion Tolerance with
Hardware Enforced Security (SCIT/HES)’ présenté en avril 2007 à l’occasion de la conférence ARES
('Availability, Reliability and Security') et duquel est extrait le schéma de principe reproduit ci-dessous.
Une approche très intéressante qui s’appuie sur les axiomes de la sûreté de fonctionnement pour répondre à un
problème du domaine de la sécurité et de l’intégrité des SI.
http://cs.gmu.edu/~asood/scit/SCIT-HES2-IEEE-ARES2007-FINAL.pdf
http://www.ssi.gouv.fr/fr/confiance/documents/methodes/mementodep-v1.1.pdf
http://www.enisa.europa.eu/doc/pdf/publications/EQR_1Q08.pdf
- La revue de l’ENISA
HNS - (IN)SECURE MAGAZINE N°16
Description
Le seizième numéro du magazine ‘(IN)SECURE Magazine’ – fort de 110 pages - a été mis en ligne fin
avril.
Il ne traite d’aucun thème particulier contrairement aux numéros précédents mais aborde rapidement les
problèmes liés à l’élection présidentielle Américaine ainsi qu’aux mondes et environnements virtuels.
Au sommaire de ce nouveau numéro:
Corporate news
Security policy considerations for virtual worlds
US political elections and cybercrime
Using packet analysis for network troubleshooting
Latest addition to our bookshelf
The effectiveness of industry certifications
Building a secure futur: lessons learned from 2007’s highest profile security events
Advanced social engineering and human exploitation – part2
Events around the world
Interview with Nitesh Dhanjani, Senior Manager at Ernst & Young
Is your data safe? Secure your web apps
RSA Conference 2008
Producing secure software with security enhanced software development processes
Network event analysis with Net/FSE
Security risks for mobile computing on public WLANs: hotspot registration
3p
3p
3p
9p
3p
4p
3p
5p
1p
4p
2p
9p
11p
6p
3p
Page 11/63
Mai 2008
Security Software spotlight
Black Hat 2008 Europe
A Japanese perspective on Software Configuration Management
Windows log forensics: did you cover your tracks?
Traditional vs. non-tranditional database auditing
Payment card data: know your defense options
1p
4p
3p
10p
4p
9p
Nous avons particulièrement apprécié l’article suivant:
Producing secure software with security enhanced software development processes
Rédigé par Marco Morana, responsable de la sécurité chez CitiGroup mais aussi rédacteur du ‘Security Testing
Guide’ publié par l’OWASP, cet article nous propose une très intéressante analyse de l’impact de la mise en place
d’une méthodologie de gestion du cycle de vie du logiciel - ‘Software Development Life Cycle’ ou SDLC – sur la
sécurité des applications.
Après avoir rappelé que l’outil n’est pas tout et que l’on ne peut concevoir le développement d’applications sécurisées
sans disposer des compétences requises et de l’organisation ad hoc, l’auteur détaille les trois phases indispensables à
la mise en place d’un système de production d’applications sécurisées: Evaluation, Implémentation et Mesure.
La phase ‘Evaluation’ permettra de déterminer les besoins et les points à améliorer en tenant compte de la capacité
de l’organisation à évoluer mais aussi à intégrer les bonnes pratiques.
L’utilisation du modèle CMMI
– Capability Maturity Model
Integration – autorisera un
diagnostic fiable sur échelle
comportant 5 niveaux de
maturité:
1-Initial,
2-Projet,
3-Défini,
4-Géré et
5-Optimisé.
L’objectif pour toute société
oeuvrant dans le domaine de
la production de logiciels doit
être d’atteindre le plus haut
niveau tout en respectant les
exigences associées et augmentées des exigences spécifiques à la sécurité. Ces dernières sont déclinées dans le
modèle SSE-CMM (System Security Engineering CMM) (Rapport N°90 – Janvier 2006).
Une progression que l’auteur résume en trois étapes:
1- Faible maturité
(CMM 0-1)
Aucune exigence de sécurité n’est formalisée
Les problèmes sont identifiés au fil de l’eau suite à des incidents ou des tests d’intrusion
Les problèmes sont identifiés et corrigés tardivement dans le cycle de vie du logiciel
2- Maturité moyenne (CMM 2-3)
Une modélisation des menaces permet d’engager une recherche de vulnérabilités dans les applications
Une analyse du code source à la recherche de problème de sécurité est effectuée
Des tests d’intrusion valident la correction de problèmes de sécurité identifiés dans les phases précédentes du cycle
3- Maturité élevée
(CMM 4-5)
Une analyse des menaces est engagée à chaque phase du cycle de vie
Une métrique est définie et des mesures sont effectuées pour améliorer le processus de conception et de gestion
L’auteur détaille ensuite la phase ‘Implémentation’ et présente les avantages et inconvénients de trois modèles de
gestion du cycle de vie orientés sécurité:
- Le modèle élaboré par Microsoft pour ses propres développements, dit SDL (Secure Development Lifecycle) qui
peut se résumer par: la mise en place de points de contrôle, la formation des développeurs et l’utilisation d’outils.
- le modèle ouvert CLASP (Common Lightweight Application Security Process) proposé par l’OWASP qui met l’accent
sur les rôles et les responsabilités et sur la simplification des processus et des interactions,
- l’approche des ‘Touchpoints of Secure Software’ proposée par Gary McGraw qui se caractérise par la définition
de 7 points de validation incontournables, le recours à l’analyse de risque et aux bases de connaissances.
L’auteur conclut sur l’importance de la phase ‘Mesure’ dans le cadre du processus d’amélioration continue sans citer
toutefois de méthodes ou d’approches applicables à la définition des points de mesure et du référentiel associé.
http://www.net-security.org/dl/insecure/INSECURE-Mag-16.pdf
RECOMMANDATIONS
CEN – BEST PRACTICES FOR THE DESIGN AND DEVELOPMENT OF CRITICAL INFORMATION SYSTEMS
Description
Page 12/63
Mai 2008
Un groupe de travail du CEN/ISSS Workshop (Information Society Standardization
System) vient de mettre à disposition pour relecture et commentaire un document de
prise de position dit CWA (CEN Workshop Agreement) portant sur les bonnes pratiques
applicables à la conception et au développement de systèmes d’information critiques ou CIS (Critical Information
Systems).
L’introduction de ce document intitulé ‘Best Practices for the Design and Development of Critical Information
Systems’ précise que ne seront ici traités que les systèmes de gestion d’information critiques - ‘mission-critical
Management (or Business) Information Systems’ - à l’exclusion des systèmes critiques scientifiques, industriels ou
embarqués. Par ailleurs, ne seront couvertes que les deux premières phases d’un cycle de vie ici restreint aux seules
phases concourant à la mise à disposition du système: la conception, la construction et l’exploitation. On notera enfin
que les auteurs indiquent que ne seront ici adressées que les pratiques et recommandations concourrant à satisfaire
les spécifications techniques sans s’intéresser à celles liées aux spécifications fonctionnelles et exigences ‘métier’.
La définition d’un système d’information critique ou CIS, donnée puis commentée au second chapitre, s’appuie sur
l’exigence de fourniture de service(s) de qualité comme garantie du bon fonctionnement de l’organisation dans laquelle
il(s) est (sont) utilisé(s). Plus facile à appréhender est la définition corollaire suivante: toute déficience dans la qualité
des services rendus participera à la défaillance de l’ensemble du système d’information laquelle aura un impact
conséquent sur les opérations de l’organisation. Cette définition est, à notre avis, très justement traduite par les
auteurs sous la forme d’une contrainte forte portant sur les aspects techniques du projet: ‘Technical specifications
for CIS requirements demand just as much if not more effort than those for the functional requirements’.
Une illustration pertinente qu’il conviendra de méditer.
Un système d’information critique devra ainsi répondre aux huit exigences (certaines participent par ailleurs à la
définition classique – FMDS ou RAMS - de la sûreté de fonctionnement) définies par le CEN et formulées comme suit.
- Au titre des exigences de qualité de service
Integrity
Le système doit rendre le service sans erreurs et/ou perte ou
corruption de données
Availability
(le ‘A’ de RAMS)
Le système doit rendre le service au moment désiré
Performance
Le système doit rendre le service avec le meilleur temps de
réponse et dans les limites de temps fixées
Capacity
Le système doit rendre le service dans les limites fixées de
volume et de trafic
Security
La définition est celle donnée par l’ISO 27001 mais restreinte
aux contraintes de sécurité liées aux autres exigences
- Au titre des exigences de qualité du système
Resilience
(implique elle-même les exigences RAMS)
Le système doit résister automatiquement à des événements
inattendus tout en en contrôlant les conséquences
Maintainability (le ‘M’ de RAMS)
La maintenance corrective et palliative doit pouvoir être assurée
en accord avec les exigences de qualité de service
Usability
Le système doit rendre compte de son état et fournir la preuve
de son bon fonctionnement.
Concevoir et développer un CIS dans les règles
de l’art suppose de prendre en compte dés les
premières étapes de la conception les exigences
précédentes en les modulant éventuellement en
fonction des missions rendues par le système.
Le CEN propose une approche méthodologique
en sept étapes permettant de s’assurer que le
système final respectera bien les exigences
spécifiées.
Cette approche est complétée par 22 fiches –
dites BPS ou ‘Best Practice Sheets’ –
récapitulant chacune des bonnes pratiques
associées à l’approche méthodologique. Un
extrait de fiche est présenté ci-contre.
La table des matières de ce guide est reproduite
ci-dessous:
1. WORKSHOP CONTEXT AND DOCUMENT PURPOSE
2. TERMS AND DEFINITIONS
2.1. Definition of a critical information system (CIS)
2.2. Definition of CIS requirements
Page 13/63
Mai 2008
2.2.1. Integrity
2.2.2. Availability
2.2.3. Performance
2.2.4. Capacity
2.2.5. Security
2.2.6. Maintainability
2.2.7. Resilience
2.2.8. Usability
2.3. Additional comments and specific issues
3. GLOBAL MODEL OF CIS REQUIREMENTS
3.1. Overview
3.2. Basic assumptions
3.3. Economic dimension
3.4. Benefits of the model
3.5. Interdependencies of requirements
4. FUNDAMENTAL PRINCIPLES FOR DESIGNING AND BUILDING A CIS
4.1. Introduction
4.2. Identifying and agreeing upon service priorities with stakeholders
4.3. Defining service availability requirements
4.4. Identifying and agreeing upon what should be monitored
4.5. Setting up an iterative process
4.6. Assuming that problems will occur during the Run phase
4.7. Setting up a control system
4.8. Performing risk and requirement based testing
5. BEST PRACTICES FOR DESIGNING AND DEVELOPING A CIS
5.1. List of best practices
5.2. Mapping practices vs. project phases
5.3. Mapping practices vs. CIS requirements
6. ANNEX 1 - Best Practices Sheets
6.1. BPS # CIS-01 – Modularity
6.2. BPS # CIS-02 – Failure anticipation
6.3. BPS # CIS-03 – Error propagation prevention
6.4. BPS # CIS-04 – Bottleneck identification
6.5. BPS # CIS-05 – Defensive programming
6.6. BPS # CIS-06 – Execution time logging
6.7. BPS # CIS-07 – Resource consumption survey
6.8. BPS # CIS-08 – Early capacity planning
6.9. BPS # CIS-09 – Industrialized testing
6.10. BPS # CIS-10 – Friends and family probes
6.11. BPS # CIS-11 – Transaction ID
6.12. BPS # CIS-12 – Error case logging
6.13. BPS # CIS-13 – Data timestamping
6.14. BPS # CIS-14 – Service monitoring
6.15. BPS # CIS-15 – Shared log service
6.16. BPS # CIS-16 – Runtime reporting
6.17. BPS # CIS-17 – PKI-based traceability
6.18. BPS # CIS-18 – External security audit
6.19. BPS # CIS-19 – Crisis management
6.20. BPS # CIS-20 – Retention management
6.21. BPS # CIS-21 – Failure mode analysis
6.22. BPS # CIS-22 – Compliance with the relevant standards
7. ANNEX 2 - Life Cycle Processes
8. ANNEX 3 - References
9. ANNEX 4 - Workshop members
Un document de travail qui s’inscrit dans la ligne de réflexion par ailleurs engagée par l’ENISA et détaillée dans sa
lettre du mois de Mai. A lire, à méditer et à insérer – temporairement dans l’attente de la version finale – dans le
référentiel de sécurité.
http://www.cen.eu/cenorm/sectors/sectors/isss/activity/wscis.asp
http://www.cen.eu/cenorm/sectors/sectors/isss/activity/cwacisv5.pdf
- Annonce de l’appel à commentaires
- Document de travail
ENISA – SECURE PRINTING
Description
L’ENISA vient de publier un guide de 22 pages intitulé ‘Secure Printing’ fort intéressant car abordant
un domaine qui n’est pas toujours identifié comme étant susceptible de porter atteinte à la sécurité
d’une organisation, le domaine de l’impression et de la copie de documents, que ces actions soient
effectuées localement ou par un tiers de service.
L’ENISA nous propose la définition suivante du concept d’impression sécurisée:
1- Les équipements d’impression doivent rester sécurisés,
2- Les données imprimées ou transmises doivent rester confidentielles, intègres et disponibles.
La première condition peut sembler, a priori, simple à respecter au quotidien. Ce serait oublier que la majorité des
équipements actuels – qu’ils soient destinés au marché professionnel ou aux particuliers – disposent de fonctionnalités
Page 14/63
Mai 2008
avancées qui peuvent être détournées à d’autres fins que celles prévues à l’origine. Ces équipements regroupent ainsi
désormais plusieurs fonctions auparavant dissociées – numérisation, impression, transmission multi modes – gérées
par une unité centrale allant du simple contrôleur au système informatique tournant sous Windows ou LINUX,
disposent d’une capacité de communication n’ayant rien à envier à nos ordinateurs personnels et offrent des services
d’exploitation et d’administration accessibles à distance.
Il suffit pour s’en convaincre de parcourir les écrans consacrés aux fonctions avancées à l’aide de l’affichage tactile
proposé sur la plupart des équipements actuels ou encore de sonder les ports actifs de l’un de ces équipements
connecté au réseau pour découvrir qu’ils sont non seulement une mine d’informations sur la société et ses contacts –
via les journaux de transmission – mais qu’il est aussi fort probable que le système d’exploitation sous jacent soit
infiniment plus vulnérable que le poste de travail de l’utilisateur ‘lambda’.
Qui s’est jamais vraiment soucié de vérifier que les derniers correctifs ont bien été appliqués sur le système Windows
NT ou XP embarqué dans le photocopieur multifonctions du couloir d’à côté, ou encore que le disque dur de ce dernier
a bien été ‘stérilisé’ après qu’il ait été remplacé par le technicien de maintenance et que son remplaçant ne contient
bien que ce qu’il doit contenir ? Le disque dur de ces équipements héberge pourtant certainement une copie de tous
les documents imprimés ou faxés dans les dernières semaines voire dans les derniers mois. Le système d’exploitation
quant à lui, et après compromission, fournira un excellent environnement d’observation et d’attaque.
D’aucuns argumenteront que ces équipements sont connectés sur des réseaux dédiés et isolés, qu’ils sont installés
dans les locaux de l’entreprise à la vue de tous et qu’une intrusion si elle devait avoir lieu ne pourra provenir que de
l’intérieur. Ce à quoi l’on pourra objecter que les mesures d’isolation de ces équipements ne sont pas si fréquentes, du
moins lorsque aucune exigence de sécurité ne s’applique explicitement aux locaux, et que bien peu d’opérations de
maintenance sont supervisées par quelqu’un à même de valider ces opérations…
La seconde condition porte sur la sécurisation des documents sur l’intégralité de leur cycle de vie, de la création à la
destruction, et ceci quelque soit la forme que prennent ces données: documents imprimés mais aussi données
éventuellement formatées pour être télétransmises. La respecter nécessite que soit formalisé le flux de transmission
des documents au sein de l’organisation et que soit définie une politique de gestion ad hoc tenant compte de la durée
de vie et de la sensibilité de ces documents. Cette politique dictera les exigences de sécurité qui permettront d’établir
les règles de conception de l’infrastructure technique d’accueil des équipements de numérisation, d’impression et de
transmission.
Le guide publié par l’ENISA vise principalement à faire prendre conscience des risques liés au processus d’impression
des documents en rappelant que certaines normes de sécurité traitent plus ou moins précisément cette activité. Sont
ainsi présentés les standards ISO17799, PCI-DSS et COBIT et les recommandations ou obligations pouvant
s’appliquer à ce contexte.
La seconde partie du guide détaille une vingtaine de mesures dont l’application s’échelonnera en fonction de la taille de
l’organisation et de sa maturité, trois niveaux étant ici définis. Une check-list vient compléter ces préconisations en
précisant les actions à mener pour chacune des mesures identifiées.
La table des matières de ce guide est reproduite ci-dessous:
Executive Summary
Acknowledgements
Document Printing and Copying
A Growing Market
Secure Printing
A Definition
Security Standards
Identifyng Corporate Assets and Their Value
Major Dangers for Secure Printing Assets
Risks
Our Guidelines
Recommandations
Checklist
Conclusions
References and sources for further reading
Ce document a pour principal mérite de sensibiliser le lecteur et d’attirer son attention sur un problème réel mais
rarement traité à la hauteur du risque encouru en particulier dans une époque où l’intelligence économique n’est plus
un simple concept. On notera que certains copieurs - dont les copieurs Image Runner dotés d’un Kit de sécurité - ont
fait l’objet d’une évaluation Critères Communs avec des niveaux d’assurance allant de EAL2 à EAL3. Ce point n’est
hélas nullement abordé dans le document de l’ENISA.
http://enisa.europa.eu/doc/pdf/ENISA_secure_printing.pdf
http://www.bsi.bund.de/zertifiz/zert/7149.pdf
http://www.usa.canon.com/cpr/pdf/Brochures/SecurityKit.pdf
- Document de l’ENISA
- Liste établie par le BSI des produits évalués
- Kit de sécurité Canon
Page 15/63
Mai 2008
ATTAQUES
SSH – ANALYSE DES TECHNIQUES D’ATTAQUE
Description
Deux chercheurs de l’université de Clarkson, Jim Owens et Jeanna Matthews, viennent de publier les
résultats d’une étude qu’ils ont menée sur les techniques d’attaque en force du protocole SSH. Ils ont, pour
ce faire, conçu une plateforme d’analyse constituée de trois systèmes jouant le rôle de leurres – des pots de
miels dans le jargon - hébergeant une version de l’application SSH ayant été modifiée pour en améliorer les
fonctionnalités de journalisation.
Ces pots de miel ont été installés sur trois réseaux distincts et représentatifs d’un environnement d’utilisation précis:
- Réseau personnel raccordé à l’Internet par le biais d’une connexion ADSL,
- Réseau d’entreprise connecté à l’Internet,
- Réseau universitaire, en l’occurrence celui de l’université.
Cette diversification des conditions de test devait permettre de mettre en évidence l’éventuelle influence des
caractéristiques de l’environnement d’accueil – connectivité, débit, notoriété… - sur le comportement des agresseurs
et sur les techniques d’attaque utilisées par ces derniers, qu’ils soient humains ou programmés. Cette approche,
méthodique et rigoureuse, aura eu le mérite de prouver que les conditions de raccordement – et plus largement
l’environnement immédiat - du système cible n’ont aucune influence mesurable sur les méthodes d’attaque employées.
Ce résultat pourrait laisser supposer que toutes les attaques journalisées sur les deux périodes de 5 à 6 semaines
d’étude – Juillet/Août 2007 et Décembre 2007 /Février 2008 – ont été le fait de systèmes programmés sans grand
soucis d’efficacité en privilégiant, consciemment ou non, une stratégie d’attaque de masse à une stratégie d’attaque
sélective. Ceci étant, avec 103000 tentatives de logins et plus de 300 attaques séparées enregistrées sur les 11
semaines d’analyse, il y a de fortes probabilités que les traces d’éventuelles attaques sélectives n’aient pu être
détectées, noyées dans le bruit de fond.
Les auteurs de l’étude - laquelle se focalisait sur les seules attaques en force de la phase d’authentification par mot de
passe - se sont d’ailleurs plus principalement intéressés à démontrer que les attaques actuelles de ce type avaient
pour caractéristique principale d’utiliser un nombre réduit de dictionnaires et de stratégies de variation des couples
login/mot de passe testés. Le rapport publié ne fait d’ailleurs mention d’aucune étude statistique poussée qui aurait pu
permettre de mettre en évidence certains signaux sous le bruit.
Quoiqu’il en soit, les résultats ici publiés restent intéressants. Outre la confirmation de l’intérêt porté au protocole SSH
comme ce fût le cas il y a maintenant plusieurs années pour les protocoles ‘telnet’ et ‘ftp’, les chiffres publiés
démontrent la réalité du risque encouru à opérer un service ‘SSH’ en l’état, c’est-à-dire configuré sans tenir compte
des bonnes pratiques de sécurité applicables aux protocoles de sécurité, bonnes pratiques présentées par les auteurs
en conclusion de leur étude.
Nous passerons sur le détail des résultats statistiques – le nom ‘root’ intervient pour 25% des noms testés, 49% des
paires nom de compte / mot de passe sont formées à partir du nom de compte – et sur l’étude de certaines des
méthodes d’attaque identifiées – à faible débit et distribuées – pour rappeler l’essentiel: l’être humain est faillible
mieux vaut donc éviter de lui fournir un environnement propice à renforcer ses défauts. L’authentification par mots de
passe ne doit être utilisée qu’en dernier recours en lui privilégiant une authentification par clef publique, et à ceux qui
argueraient qu’une clef publique n’est pas aussi facile à manipuler qu’un mot de passe l’on pourra toujours répondre
qu’il existe nombre de supports de clef amovibles et portables, de la clef USB en passant par le lecteur MP3...
Le récent problème mis en évidence dans la génération de clefs par l’application OpenSSL sous Debian n’est qu’un
détail qui ne remet nullement en cause la nécessité d’abandonner certains moyens d’authentification, du moins quand
aucune méthode coercitive ne peut être mise en œuvre pour garantir le respect des recommandations et procédures
de création d’un authentifiant.
La seconde recommandation qu’il conviendra d’appliquer lorsque cela est possible est d’activer le service SSH sur un
port autre que celui défini par défaut, à savoir le port TCP/22. La grande majorité, si ce n’est, tous les codes
d’attaques automatisés ne perdent pas leur temps à sonder le système cible afin de déterminer le port susceptible
d’être utilisé par le service SSH quand celui ne répond pas sur le port 22. Peu contraignante – il faut informer les
usagers du port utilisé et leur demander de reconfigurer leur client favori et configurer les équipements de filtrage en
conséquence – cette stratégie s’avère réellement payante, nous en avons l’exemple au quotidien sur nos systèmes.
La table des matières de ce rapport qui mérite une lecture rapide est reproduite ci-dessous:
1. INTRODUCTION
2. PROJECT OVERVIEW
2.1 Experimental Setup
2.2 Overview Of Attack Activity
3. ATTACK PATTERNS
3.1 Passwords And Attack Dictionaries
3.1.1 Passwords
3.1.2 Attack Dictionaries
3.1.2.1 Dictionary-9
3.1.2.4 Dictionary-363 And Dictionary-373
3.2 Attack Methods
3.2.1 A Slow-Motion Brute-Force SSH Attack
Page 16/63
Mai 2008
3.2.2 A Distributed Brute-Force SSH Attack
4. EVALUATION OF COMMON DEFENSES AGAINST SSH ATTACKS
5. RELATED WORK
6. FUTURE WORK
7. CONCLUSIONS
8. ACKNOWLEDGEMENTS
9. REFERENCE
http://people.clarkson.edu/~owensjp/pubs/leet08.pdf
- Rapport d’étude
http://denyhosts.sourceforge.net/
- Base de données DenyHosts
SECURISATION
NSA - BLUETOOTH SECURITY
Description
Intitulé ‘BlueTooth Security’, ce mémento
technique de deux pages publié par la NSA
présente ce qu’il faut savoir a minima des
vulnérabilités spécifiques aux dispositifs dits
‘BlueTooth’, c’est-à-dire disposant d’une capacité de
communication avec l’extérieur par le biais du
protocole du même nom.
Ce guide nous apprends que le DoD Américain
annonce envisager autoriser l’utilisation de lecteurs de
cartes d’accès – CAC ou Common Access Card –
connectés via Bluetooth aux terminaux mobiles
BlackBerry, Windows Mobile et aux systèmes
Windows XP SP2. Cependant, et pour des raisons de
sécurité l’utilisation de tout autre forme d’équipement
BlueTooth du commerce reste strictement prohibée.
Une liste de recommandations et de bonnes pratiques
à l’attention des utilisateurs – mais aussi des développeurs - est proposée en conclusion du mémento. On pourra aussi
se reporter avec intérêt aux documents spécifiant les exigences fonctionnelles portant sur les lecteurs de cartes et
les oreillettes publiées par la DISA.
Complément d'information
http://www.nsa.gov/snac/wireless/I732-016R-07.pdf
- BlueTooth Security
http://iase.disa.mil/stigs/checklist/DoD-Bluetooth-Smart-Card-Reader-Security-Requirements-Matrix.pdf
- Exigences DISA
http://iase.disa.mil/stigs/checklist/dod_bluetooth_headset_security_requirements_matrix_v2-0_7april2008.pd f - Exigences DISA
NIST – SP800-123 / GUIDE TO GENERAL SERVER SECURITY
Description
Le ‘NIST’ propose à la relecture un tout nouveau guide de 54 pages publié dans la série des guides
spéciaux 800 et intitulé ‘Guide to General Server Security’.
Comme son titre le laisse entendre, ce guide est destiné à aider les exploitants d’un système d’information à mieux
appréhender les problèmes de sécurité susceptibles d’impacter les serveurs intégrés à leurs architectures sans
toutefois rentrer dans le détail des configurations spécifiques aux rôles joués par ces équipements, qu’ils soient
serveurs de fichiers, serveurs de messagerie, serveurs WEB ou encore serveurs de base de données.
Le lecteur ne trouvera donc ici qu’un ensemble de recommandations génériques permettant d’assurer une mise en
œuvre sécurisée – installation, configuration et maintenance – des plate-formes de traitement – matériel, système
d’exploitation et environnement applicatif - conformes aux meilleures pratiques.
Les recommandations spécifiques aux services hébergées sur ces plates-formes sont détaillées dans divers guides
complémentaires publiés par le NIST dont les guides SP800-44v2 ‘Guidelines on Securing Public Web Servers’
(Rapport N°107 – Juin 2007) et SP800-45v2 ‘Guide On Electronic Mail Security’ (Rapport N°98 – Septembre
2006) mais aussi par la NSA, guides qu’il conviendra de s’approprier.
Le guide s’ouvre sur un rappel du contexte lié à la sécurisation de ces équipements, des critères de classification
applicables aux systèmes fédéraux selon la grille spécifiée par le standard FIPS-199 ‘Standards for Security
Categorization of Federal Information and Information Systems’ et de onze principes fondamentaux de sécurité
énumérés ci-après :
- Simplicity / Simplicité
La complexité est à l’origine de nombreux problèmes,
- Fail-Safe / Sûreté intégrée
La sécurité doit être maintenue en cas de défaillance,
- Complete Mediation / Principe de Médiation
Le système de sécurité doit pouvoir intervenir à tous les niveaux d’accès au système,
Page 17/63
Mai 2008
- Open Design / Conception ouverte
La sécurité du système ne doit pas dépendre du secret de sa constitution et de ses constituants,
- Separation of Privilege / Séparation des privilèges
Une tâche sera accomplie par plusieurs fonctions ayant chacune un rôle spécifique,
- Least Privilege / Moindre privilège
Seuls les privilèges strictement nécessaires à l’accomplissement d’une tâche sont accordés,
- Psychological acceptability / Acceptation Psychologique
La sécurité, et les contraintes qui en découlent, doivent être comprises et acceptées des utilisateurs,
- Least Common Mechanism / Moindre mécanisme partagé
Les mécanismes partagés entre utilisateurs doivent être réduits au minimum,
- Defense in Depth / Défense en profondeur
Plusieurs techniques de sécurité indépendantes permettent de limiter la propagation d’une attaque,
- Work Factor / Espérance de Gain
Le travail à fournir pour traverser le système de sécurité doit largement excéder le gain attendu par l’attaquant,
- Compromise Recording / Traçabilité
Le système de sécurité doit conserver trace de toutes les activités du système.
La doctrine de sécurité établie par l’US-CERT énonce 13 principes fondamentaux très similaires à ceux ici énumérés,
les principes du ‘Renforcement de l’intimité’ (‘Promoting Privacy’), du ‘rejet de la confiance à priori’ (‘Reluctance to
Trust’), de ‘l’absence de sécurité absolue’ (‘Never Assuming that Your Secrets Are Safe’) et du ‘maillon faible’
(‘Weakest link’) étant ici absents.
Les quatre chapitres suivants détaillent successivement les exigences et recommandations liées à la planification du
déploiement d’un serveur, la sécurisation du système d’exploitation embarqué, la sécurisation de l’environnement
applicatif et enfin le maintien en conditions de sécurité de la plate-forme.
1. Introduction
2. Background
2.1 Server Vulnerabilities, Threats, and Environments
2.2 Security Categorization of Information and Information Systems
2.3 Basic Server Security Steps
2.4 Server Security Principles
3. Server Security Planning
3.1 Installation and Deployment Planning
3.2 Security Management Staff
3.3 Management Practices
3.4 System Security Plan
3.5 Human Resources Requirements
4. Securing the Server Operating System
4.1 Patch and Upgrade Operating System
4.2 Hardening and Securely Configuring the OS
4.3 Install and Configure Additional Security Controls
4.4 Security Testing the Operating System
5. Securing the Server Software
5.1 Securely Installing the Server Software
5.2 Configuring Access Controls
5.3 Server Resource Constraints
5.4 Selecting and Implementing Authentication and Encryption Technologies
6. Maintaining the Security of the Server
6.1 Logging
6.1.1 Identifying Logging Capabilities and Requirements
6.1.2 Reviewing and Retaining Log Files
6.1.3 Automated Log File Analysis Tools
6.2 Server Backup Procedures
6.2.1 Server Data Backup Policies
6.2.2 Server Backup Types
6.2.3 Maintain a Test Server
6.3 Recovering From a Security Compromise
6.4 Security Testing Servers
6.4.1 Vulnerability Scanning
6.4.2 Penetration Testing
6.5 Remotely Administering a Server
Appendix A— Glossary
Appendix B— Acronyms and Abbreviations
Appendix C— References
Appendix D— Resources
Le NIST nous propose ici un guide suffisamment générique tout en étant très complet. La trame proposée pourra être
reprise dans le cadre de la mise en place de procédures de sécurisation.
http://csrc.nist.gov/publications/drafts/800-123/Draft-SP800-123.pdf
- Guide SP800-123
Page 18/63
Mai 2008
http://csrc.nist.gov/publications/fips/fips199/FIPS-PUB-199-final.pdf
https://buildsecurityin.us-cert.gov/daisy/bsi/articles/knowledge/principles.html
- Standard FIPS-199
- Principes de sécurité
REFERENCES
CIS - CATALOGUE DE PROCEDURES ET DE TESTS
Description
Le CIS – Center for Internet Security – vient de publier les guides de test relatifs aux
environnements Mac OS X 10.5 et Xen server ainsi que la mise à jour des guides relatifs
aux environnements Mac OS X 10.4, LINUX SuSE, Red Hat et FedoraCore.
P1
N
Profil N°1 – minimal, conservateur
Nouvelle version
P2
M
Profil N°2 – étendu, protectionniste
Mise à jour
Recommandations Systèmes
M
M
M
M
Windows 2003 Domain controllers
Windows 2003 Member Servers
Windows XP Professional
Windows 2000 Professional
Windows 2000 Serveur
Windows 2000
Windows NT
Linux RedHat 5
Linux RedHat 4 et versions inférieures, Fedora Core 1, 2, 3, 5 et 5
Linux SuSE
Linux Slackware
Linux Debian
HP-UX
FreeBSD 4.8 et plus
Solaris 2.5.1 - 9
Solaris 10, 11/06 et 8/08
AIX 4.3.2, 4.3.3 et 5.1
Mac OS/X 10.4
N Mac OS/X 10.5
Novell OES:NetWare
P1
P1
P1
P1
P1
P1
P1
P1
P1
P1
P1
P1
P1
P1
P1
V2.0
V2.0
V2.01
V2.2.1
V2.2.1
V1.2.2
V1.0.5
V1.1.1
V1.0.5
V2.0.0
V1.1.0
V1.0
V1.4.0
V1.0.5
V1.3.0
V4.0
V1.0.1
V2.0
Outil existant
Outil existant
Outil existant
Outil existant
Outil existant
Aucun outil prévu
Aucun outil prévu
Outil existant
Outil existant
Outil existant
Aucune planification
Outil existant
Outil existant
Outil existant
Outil existant
P1
P1
V1.0
V1.0
Aucune information
V1.0
V2.2
V2.2
Aucun outil prévu
Outil existant
Outil existant
P2
P2
P2
Recommandations Equipements réseaux
Wireless Networks
CISCO IOS routeurs
CISCO PIX, ASA et FWSM
CISCO CAR
CheckPoint FW1/VPN1
P1
P1
P1
P1
P1
P2
P2
P2
P2
V1.0
Recommandations Applications
Apache WEB serveur toutes versions jusqu’à 2.2.6
Oracle base de donnée 8i
Oracle base de donnée 9i et 10g
Exchange Server 2003
Exchange Server 2007
Microsoft SQL Serveur 2000
Microsoft SQL Serveur 2005
MySQL 4.1, 5.0, et 5.1 Community Edition
Bind Version 9
Novell eDirectory version 8.7
Microsoft IIS Web Serveur
OpenLDAP
FreeRadius
Virtual Machines
N XEN Server 3.2
P1
P1
P1
P1
P1
P1
P1
P1
P1
P1
P1
P1
P1
P1
P2
P2
P2
P2
P2
P2
V2.1
V1.2
V2.0.1
V1.0
V1.0
V1.0
V1.0
V1.0
V1.0
V1.0
V1.0
V1.2
V1.0
V1.0
V1.0
Outil existant
Outil existant
Aucune information
Aucune information
Aucune information
Aucune information
Aucune information
Ces séries de tests sont déroulées à l’aide d’outils spécialisés pour la plate-forme cible à l’exception de la série de test
des équipements réseaux CISCO.
Outils d’application
Environnement
Environnement
Environnement
Environnement
Environnement
Environnement
Environnement
Environnement
Environnement
Windows 2K/XP/2003
RedHat et SuSE
FreeBSD
HP-UX
Solaris 10
Solaris 2.5.1- 9
CISCO
Oracle 8i
Apache
-
http://www.cisecurity.org/
http://www.cisecurity.org/bench_exchange.html
ng_scoring_tool-gui-1.0-win32
ng_scoring_tool-1.0
cis_score_tool_freebsd_v1.7.2
cis_score_tool_hpux_v1.5.0
cis_score_tool_solaris_v1.5.0
CISscan
CISRat
CISscan
cis_score_tool_apache_v2.10
exe
tar
tar
pkg
pkg
pkg
tar
java
tar
V1.0
V1.0
V1.7.2
V1.5.0
V1.5.0
WIN32
V2.2
WIN32
V2.10
LINUX+JAVA
FreeBSD
HP-UX
SOLARIS
SOLARIS
UNIX
LINUX
- Accès aux tests et outils associés
Page 19/63
Mai 2008
DISA – GUIDES ET CHECKLISTS DE SECURISATION
Description
La DISA a procédé à la mise à jour des listes de contrôle concernant les équipements réseaux
(Network), bureautique (Desktop), application, DNS, UNIX, IIS, Windows et Wireless.
[11 Mise(s) à jour, 0 Nouveau(x) document(s)]
APPLICATIONS
Applications
(Services)
ESM
ERP
(PeopleSoft, SAP)
Database
(Générique + Oracle, SQL Server)
(MS SQL Server 2005)
VoIP
ENVIRONNEMENTS
Access Control
Directory Service
Collaboration
(environnements collaboratifs)
Desktop
Enclave
(Périmètre)
.NET
(Draft)
Secure Remote Computing
PERIPHERIQUES RESEAUX
Sharing peripheral across the network
- Multi-Function Device (MFD) and Printer Checklist
- Keyboard, Video, and Mouse (KVM) Switch Checklist
- Storage Area Network (SAN) Checklist
- Universal Serial Bus (USB) Checklist
RESEAU
Network
Cisco
(Supplément)
Juniper
(Supplément)
IP WAN
Wireless
(Liste de contôle générique)
Wireless
BlackBerry
Wireless
Apriva
Wireless
Motorola
Wireless
Windows
Wireless LAN Security Framework Addendum
Wireless LAN Site Survey Addendum
Wireless LAN Secure Remote Access Addendum
Wireless Mobile Computing Addendum
SERVICES
DNS
Web Servers
(Générique)
(IIS)
(iPlanet)
(Apache)
(TomCAT)
(WebLogic)
SYSTEMES
OS/390 & z/OS
OS/390 Logical Partition
OS/390 RACF
OS/390 ACF2
OS/390 TSS
OS/390 Self assessment
MacOS X
TANDEM
UNISYS
UNIX
VM IBM
SOLARIS
(2.6 à 2.9)
VMS VAX
Windows VISTA
Windows 2003
Windows 2000
Windows XP
STIG
Checklist
1.1
1.2
1.1
8.1
17/01/06
05/06/06
10/04/07
19/10/07
PDF
PDF
PDF
PDF
2.2
21/04/06 PDF
2.1
1.1
1.1
3.1
4.2
17/10/07
10/03/06
28/03/07
09/03/07
31/03/08
1.2
10/08/05 DOC
1.1
29/07/05 PDF
PDF
PDF
ZIP
PDF
PDF
7.1
25/10/07 PDF
5.2.1
15/11/07 PDF
2.1
1.1
1.1
1.1
31/10/05
31/10/05
31/10/05
31/10/05
4.1
6.1
17/10/07 PDF
11/12/06 PDF
14/05/08 PDF
M
1.0
8.1
8.1.1
2.2.2
01/06/06
08/01/08
08/01/08
19/05/06
DOC
ZIP
ZIP
PDF
1.1.3
1.1
3.1.5
4.2
1.2
21/03/08
28/03/07
14/05/08
31/03/08
28/04/06
PDF
DOC
DOC
PDF
DOC
1.1.2
1.1.2
1.1.3
1.1.2
14/04/06
14/04/06
19/05/06
06/04/06
PDF
PDF
PDF
PDF
7.1.4
6.1
6.4
2.3
5.2.2
5.2.1
5.2.1
5.2.1
5.2.1
14/05/08
02/12/05
02/12/05
12/08/04
12/05/08
15/11/07
15/11/07
15/11/07
15/11/07
PDF
PDF
PDF
PDF
PDF
PDF
PDF
PDF
PDF
M
4.1.3
6.1.5
6.1.7
6.1.5
6.1.5
6.1.2
6.1.2
14/05/08
23/11/07
15/05/08
23/11/07
23/11/07
23/11/07
23/11/07
PDF
ZIP
ZIP
ZIP
ZIP
ZIP
ZIP
M
5.2.7
2.1.4
5.2.8
5.2.8
5.2.8
5.2.8
1.1.3
2.1.2
7.1.2
5.1.12
2.1.2
2.2.3
6.1.6
6.1.6
6.1.6
6.1.6
17/01/08
04/06
24/03/08
24/03/08
24/03/08
24/03/08
28/04/06
17/04/06
17/04/06
14/05/08
04/06
20/01/04
17/04/06
13/05/08
13/05/08
13/05/08
13/05/08
DOC
DOC
DOC
DOC
DOC
DOC
DOC
DOC
PDF
DOC
DOC
DOC
DOC
ZIP
ZIP
ZIP
ZIP
M
M
PDF
PDF
PDF
PDF
5.2
2.2
19/09/06 PDF
04/03/05 PDF
1.1
2.2
7.2
5.1
2.2
15/06/04
04/03/05
28/08/06
28/03/06
04/03/05
1.8
2.1.11
PDF
PDF
PDF
PDF
PDF
12/01/03 PDF
M
M
M
M
M
M
Page 20/63
Mai 2008
Windows NT
Windows 2000/XP/2003/Vista Addendum
TECHNOLOGIES
Biométrie
SPECIFIQUE DoD
Backbone transport
Defense switch network
Secure telecommunication Red switch network
DODI 8500.2 IA
N Nouveau
M Mis à jour
3.1
6.1
26/12/02 DOC
21/05/07 PDF
4.1.21
28/07/06 DOC
1.3
10/11/05 PDF
1.3.1
31/10/05 DOC
1.1
2.3
1.1
05/06/06 PDF
30/04/06 PDF
26/03/06 PDF
1.1.1
2.3.2
18/01/07 PDF
01/05/06
1.1.1
18/01/07 PDF
R
R
R
R
R Accès restreint
http://iase.disa.mil/stigs/index.html
http://iase.disa.mil/stigs/stig/index.html
http://iase.disa.mil/stigs/checklist/index.html
- Pages d’accueil
- STIG
- Checklists
NIST – ETAT DES GUIDES DE LA SERIE SP800
Description
SP800-12
SP800-18.1
SP800-21.1
SP800-26
SP800-26.1
SP800-27a
SP800-28V2
SP800-29
SP800-30
SP800-31
SP800-32
SP800-33
SP800-34
SP800-35
SP800-36
SP800-37
SP800-38A
SP800-38B
SP800-38C
SP800-38D
SP800-39
SP800-40
SP800-40-2
SP800-41
SP800-42
SP800-43
SP800-44V2
SP800-45V2
SP800-46
SP800-47
SP800-48r1
SP800-49
SP800-50
SP800-51
SP800-52
SP800-53-2
SP800-53A
SP800-54
SP800-55r1
SP800-56A
Le NIST publie pour relecture le pouveau guide SP800-123 ‘Guide to General Server Security’,
la première révision des guides SP800-66 ‘An Introductory Resource Guide for Implementing
the HIPAA Security Rule’ et SP800-108 ‘Recommendation for Key Derivation Using
Pseudorandom Functions’ ainsi que la version finale du guide SP800- 87 ‘Codes for the
Identification of Federal and Federally-Assisted Organizations’.
An Introduction to Computer Security: The NIST Handbook
[R]
10/1995
Guide for Developing Security Plans for Federal Information Systems
[R]
08/2005
Guideline for Implementing Cryptography in the Federal Government
[D]
09/2005
Security Self-Assessment Guide for Information Technology Systems
[F]
11/2001
Guide for Inform. Security Program Assessments & System Reporting Form
[R]
08/2005
Engineering Principles for Information Technology Security – Rev A
[F]
06/2004
Guidelines on Active Content and Mobile Code
[R]
09/2007
Comparison of Security Reqs for Cryptographic Modules in FIPS 140-1 & 140-2
[F]
10/2001
http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf
[F]
01/2004
Intrusion Detection Systems
[F]
11/2001
Introduction to Public Key Technology and the Federal PKI Infrastructure
[F]
02/2001
Underlying Technical Models for Information Technology Security
[F]
12/2001
Contingency Planning Guide for Information Technology Systems
[F]
06/2002
Guide to Selecting IT Security Products
[F]
10/2003
Guide to IT Security Services
[F]
10/2003
Guidelines for the Security C&A of Federal Information Technology Systems
[F]
04/2004
Recommendation for Block Cipher Modes of Operation – Method and Techniques
[F]
12/2001
Recommendation for Block Cipher Modes of Operation – RMAC
[D]
12/2001
Recommendation for Block Cipher Modes of Operation – CCM
[F]
05/2004
Recommendation for Block Cipher Modes of Operation – GCM
[R]
04/2006
Managing Risk from Information Systems: An Organizational Perspective
[R]
04/2008
Applying Security Patches
[F]
09/2002
Creating a Patch and Vulnerability Management Program
[F]
11/2005
Guidelines on Firewalls and Firewall Policy
[F]
01/2002
Guidelines on Network Security testing
[F]
10/2003
System Administration Guidance for Windows2000
[F]
11/2002
Guidelines on Securing Public Web Servers
[F]
09/2007
Guide On Electronic Mail Security
[F]
02/2007
Security for Telecommuting and Broadband Communications
[F]
11/2002
Security Guide for Interconnecting Information Technology Systems
[F]
09/2002
Wireless Network Security: 802.11, Bluetooth™ and Handheld Devices
[R]
08/2007
Federal S/MIME V3 Client Profile
[F]
11/2002
Building an Information Technology Security Awareness & Training Program
[F]
03/2003
Use of the Common Vulnerabilities and Exposures Vulnerability Naming Scheme
[F]
09/2002
Guidelines on the Selection and Use of Transport Layer Security
[D]
09/2004
Recommended Security Controls for Federal Information Systems
[R]
11/2007
Guide for Assessing the Security Controls in Federal Information Systems
[R]
12/2007
Border Gateway Protocol Security
[F]
07/2007
Security Metrics Guide for Information Technology Systems
[R]
09/2007
Pair-Wise Key Establishment Schemes Using Discrete Logarithm Cryptography
[M]
05/2006
Page 21/63
Mai 2008
SP800-57
SP800-58
SP800-59
SP800-60
SP800-60r1
SP800-61r1
SP800-63r1
SP800-64r2
SP800-65
SP800-66r1
SP800-67
SP800-68
SP800-69
SP800-70
SP800-72
SP800-73r2
SP800-73-2
SP800-76-1
SP800-77
SP800-78-1
SP800-79
SP800-80
SP800-81
SP800-82
SP800-83
SP800-84
SP800-85B
SP800-86
SP800-87r1
SP800-88
SP800-89
SP800-90
SP800-92
SP800-94
SP800-95
SP800-96
SP800-97
SP800-98
SP800-100
SP800-101
SP800-103
SP800-104
SP800-106
SP800-107
SP800-108
SP800-110
SP800-111
SP800-113
SP800-114
SP800-115
SP800-116
SP800-123
Recommendation for Key Management, Part 1: General Guideline
Recommendation for Key Management, Part 2: Best Practices
Security Considerations for Voice Over IP Systems
Guideline for Identifying an Information System as a National Security System
Guide for Mapping Types of Information & Information Systems to Security Categories
Guide for Mapping Types of Information & Information Systems to Security Categories
Computer Security Incident Handling Guide
Electronic Authentication Guidelines
Security Considerations in the Information System Development Life Cycle
Recommended Common Criteria Assurance Levels
An Introductory Resource Guide for Implementing the HIPAA Security Rule
Recommendation for the Triple Data Encryption Algorithm (TDEA) Block Cipher
Guidance for Securing Microsoft Windows XP Systems for IT Professionals
Guidance for Securing Microsoft Windows XP Home Edition
The NIST Security Configuration Checklists Program
Guidelines on PDA Forensics
Integrated Circuit Card for Personal Identity Verification
Interfaces to Personal Identity Verification
Biometric Data Specification for Personal Identity Verification
Guide to Ipsec VPNs
Cryptographic Algorithms and Key Sizes for Personal Identity Verification
Guidelines for Certification & Accreditation of PIV Card Issuing Organizations
Guide for Developing Performance Metrics for Information Security
Secure Domain Name System (DNS) Deployment Guide
Guide to SCADA and Industrial Control Systems Security
Guide to Malware Incident Prevention and Handling
Guide to Single-Organization IT Exercises
PIV Middleware and PIV Card Application Conformance Test Guidelines
Computer, Network Data Analysis: Forensic Techniques to Incident Response
Codes for the Identification of Federal and Federally-Assisted Organizations
Guidelines for Media Sanitization
Recommendation for Obtaining Assurances for Digital Signature Applications
Random Number Generation Using Deterministic Random Bit Generators
Guide to Computer Security Log Management
Guide to Intrusion Detection and Prevention (IDP) Systems
Guide to Secure Web Services
PIV Card / Reader Interoperability Guidelines
Guide to IEEE 802.11i: Robust Security Networks
Guidance for Securing Radio Frequency Identification (RFID) Systems
Information Security Handbook: A Guide for Managers
Guidelines on Cell Phone Forensics
An Ontology of Identity Credentials, Part I: Background and Formulation
A Scheme for PIV Visual Card Topography
Randomized Hashing Digital Signatures
Recommendation for Using Approved Hash Algorithms
Recommendation for Key Derivation Using Pseudorandom Functions
Information System Security Reference Data Model
Guide to Storage Encryption Technologies for End User Devices
Guide to SSL VPNs
User’s Guide to Securing External Devices for Telework and Remote Access
Technical Guide to Information Security Testing
A Recommendation for the Use of PIV Credentials in Physical Access Control Systems
Guide to General Server Security
[F] Finalisé
[R] Pour commentaire et relecture
[*] Récemment finalisé
[D] En cours de développement
08/2005
08/2005
03/2005
08/2003
06/2004
11/2007
03/2008
02/2008
03/2008
01/2005
05/2008
05/2004
10/2005
08/2006
05/2005
11/2004
10/2007
03/2008
01/2007
12/2005
07/2006
07/2005
05/2006
05/2006
09/2007
11/2005
08/2005
07/2006
08/2006
04/2008
08/2006
11/2006
06/2006
04/2006
02/2007
08/2007
07/2006
02/2007
04/2007
03/2007
05/2007
09/2006
06/2007
07/2007
07/2007
05/2008
09/2007
11/2007
08/2007
11/2007
11/2007
03/2008
05/2008
[M] Mise à jour
http://csrc.nist.gov/publications/PubsSPs.html
http://csrc.nist.gov/publications/drafts/800-66-Rev1/Draft_SP800-66-Rev1.pdf
http://csrc.nist.gov/publications/nistpubs/800-87-Rev1/SP800-87_Rev1-April2008Final.pdf
http://csrc.nist.gov/publications/PubsDrafts.html#SP-800-108
http://csrc.nist.gov/publications/PubsDrafts.html#SP-800-123
[F]
[F]
[F]
[F]
[F]
[R]
[R]
[R]
[R]
[F]
[R]
[F]
[F]
[R]
[F]
[F]
[R]
[R]
[F]
[F]
[R]
[F]
[R]
[D]
[R]
[F]
[R]
[F]
[F]
[F]
[M]
[F]
[F]
[R]
[F]
[F]
[M]
[F]
[F]
[M]
[F]
[R]
[F]
[R]
[R]
[R]
[R]
[R]
[R]
[F]
[R]
[R]
[R]
- Catalogue des publications
- SP800-66r1
- SP800-87r1
- SP800-108
- SP800-123
Page 22/63
Mai 2008
NSA - CATALOGUE DES GUIDES DE SECURITE
Description
Un nouveau mémento de 2 pages a été publié par la NSA qui porte sur la sécurité des dispositifs BlueTooth.
G
R
P
Guide de mise en œuvre et/ou manuel d’utilisation
Recommandations et principes élémentaires
Procédures et mise en application
N
O
Document nouvellement publié
Document obsolète
Windows VISTA
R Windows Vista Security Guide
How to Securely Configure Microsoft Windows Vista BitLocker
I
-
25/10/2006
15/09/2007
MIC
NSA
V2.1
V1.0
V2.1
V2.1
V2.1
V1.0
V1.0
26/04/2006
12/09/2006
26/04/2006
26/04/2006
26/04/2006
01/04/2005
-
MIC
NSA
MIC
MIC
MIC
NSA
CIS
V1.0
12/09/2006
NSA
V1.0
V1.08
19/04/2001
02/03/2001
NSA
NSA
V1.1
V1.22
V1.01
V1.0
V1.0
V1.1
V1.02
V1.02
13/10/2001
12/09/2006
26/11/2002
09/04/2001
01/01/2001
27/06/2001
01/05/2001
23/01/2001
NSA
NSA
NSA
NSA
NSA
NSA
NSA
NSA
V1.0
V1.0
06/03/2001
01/12/2000
NSA
NSA
V2.11
V2.02
V4.0
10/10/2001
10/10/2001
08/04/2002
NSA
NSA
NSA
V1.5
V1.3
V1.0
V1.0
V1.2
08/08/2002
19/07/2002
02/07/2001
13/08/2001
24/11/2003
NSA
NSA
NSA
NSA
NSA
Guide to Securing Microsoft Windows NT Networks
V4.2
18/09/2001
NSA
Guide to the Secure Configuration of Solaris 8
Guide to the Secure Configuration of Solaris 9
Apple Mac OS X v10.3.x Security configuration guide
Apple Mac OS X Server v10.3.x Security configuration guide
Apple Mac OS X v10.4.x Security configuration guide
Apple Mac OS X Server v10.4.x Security configuration guide
Guide to the Secure Configuration of Red Hat Enterprise Linux 5
V1.0
V1.0
V1.1
V1.0
Ed. 2
Ed. 2
-
09/09/2003 NSA
16/07/2004 NSA
21/12/2004 NSA
08/07/2005 NSA
12/03/2007 Apple
12/03/2007 Apple
19/11/2007 NSA
Router Security Configuration Guide - Executive Summary
Router Security Configuration Guide
Router Security Configuration Guide – Security for IPV6 Routers
Cisco IOS Switch Security Configuration Guide
Configuring a PC to Remotely Administer a Cisco Router Using the Router Console
Configuring a Cisco Router for Remote Administration Using the Router Console
Port Security on Cisco Access Switches
V1.1
V1.1c
V1.0
V1.0
03/03/2006
15/12/2005
23/05/2006
21/06/2004
18/05/2007
04/05/2007
08/01/2008
NSA
NSA
NSA
NSA
NSA
NSA
NSA
V1.1
-
01/10/2005
23/09/2005
26/09/2006
04/06/2007
NSA
NSA
NSA
NSA
V3.0
14/11/2003
NSA
Windows 2003
R
R
R
R
R
G
G
The Windows Server 2003 - Security Guide
NSA Windows Server 2003 Security Guide Addendum
Testing the Windows Server 2003 - Security Guide
Supporting the Windows Server 2003 - Security Guide
Delivering the Windows Server 2003 - Security Guide
Systems Management Server 2003 Security Guide
Exchange Server 2003 Benchmark
Windows XP
Système
N R NSA Windows XP Security Guide Addendum
Windows 2000
Références
I
I
Microsoft Windows 2000 Network Architecture Guide
Group Policy Reference
Systèmes
G
I
P
P
P
P
P
R
Guide to Securing Microsoft Windows 2000 Group Policy
Guide to Securing Microsoft Windows 2000 Group Policy: Security Configuration Tool
Guide to Securing Microsoft Windows 2000 File and Disk Resources
Guide to Securing Microsoft Windows 2000 DNS
Guide to Securing Microsoft Windows 2000 Encrypting File System
Guide to Windows 2000 Kerberos Settings
Microsoft Windows 2000 Router Configuration Guide
Guide to Securing Windows NT/9x Clients in a Windows 2000 Network
Annuaire
I
I
Guide to Securing Microsoft Windows 2000 Schema
Guide to Securing Microsoft Windows 2000 Active Directory
Certificats
R
R
R
Guide to the Secure Config. & Admin. of Microsoft Windows 2000 Certificate Services
Guide to the Secure Config. & Admin. of Microsoft Windows 2000 Certificate Services (check)
Guide to Using DoD PKI Certificates in Outlook 2000
Services annexes
I
P
P
P
P
Guide to Secure Configuration & Administration of Microsoft ISA Server 2000
Guide to Securing Microsoft Windows 2000 DHCP
Guide to Securing Microsoft Windows 2000 Terminal Services
Microsoft Windows 2000 IPsec Guide
Guide to the Secure Configuration and Administration of Microsoft Exchange 2000
Windows NT
P
Unix
P
P
P
P
P
P
P
Cisco
R
P
P
P
I
I
I
-
Sans-Fils
G
G
G
I
Guidelines for the Development and Evaluation of IEEE 802.11 IDS
Recommended 802.11 Wireless Local Area Network Architecture
Security Guidance for Bluetooth Wireless Keyboards and Mice
So Your Boss Bought you a New Laptop How do you identify & disable wireless capabilities
Contenus exécutables
O
Outlook E-mail Security in the Wake of Recent Malicious Code Incidents
Page 23/63
Mai 2008
O
O
R
R
I
Guide to the Secure Configuration and Administration of Microsoft Exchange 5
Microsoft Office 97 Executable Content Security Risks and Countermeasures
Data Execution Prevention (DEP)
Bases de données
R
R
G
G
R
Web
R
P
R
R
Guide to the Secure Configuration and Administration of Microsoft SQL Server 2000
Guide to the Secure Configuration and Administration of Oracle9i
Oracle Application Server on Windows 2003 Security Guide
Oracle Application Server Security Recommendations and DoDI 8500.2 IA Control
Benchmark for Oracle 9i/10g
BEA WebLogic Platform Security Guide
Guide to the Secure Configuration & Administration of Microsoft IIS 5.0
Guide to Securing Microsoft Internet Explorer 5.5 Using Group Policy
Guide to Securing Netscape Navigator 7.02
V3.0
V1.1
ND
ND
07/01/2002
20/12/1999
08/02/2002
05/02/2004
25/10/2007
NSA
NSA
NSA
NSA
NSA
V1.5
V1.2
V1.2
15/01/2003
30/10/2003
12/2006
12/2006
-
NSA
NSA
NSA
NSA
CIS
V1.0
04/04/2005
16/01/2004
07/2002
04/2003
NSA
NSA
NSA
NSA
ND
V1.73
V1.33
V1.33
V1.12
V1.14
V2.1
V1.0
V1.5
-
ND
03/07/2001
04/03/2002
04/03/2002
24/04/2001
05/10/2001
15/03/2006
01/04/2004
11/11/2005
01/08/2006
01/08/2006
01/08/2006
01/02/2007
01/02/2007
01/02/2007
01/04/2007
NSA
NSA
NSA
NSA
NSA
NSA
NSA
NSA
NSA
NSA
NSA
NSA
NSA
NSA
NSA
-
08/01/2008
03/10/2007
19/09/2007
21/08/2008
NSA
NSA
NSA
NSA
V1.0
-
14/02/2006
01/05/2006
19/09/2007
NSA
NSA
NSA
V2.0
V1.4
V1.0
V1.1
Documents de Support
I
O
O
O
O
R
R
R
R
I
I
I
I
I
I
I
I
P
P
P
N P
Defense in Depth
Guide to the Secure Configuration & Administration of iPlanet Web Serv Ent. Ed. 4.1
Guide to the Secure Conf. and Admin. of Microsoft IIS 4.0
Guide to the Secure Conf. and Admin. of Microsoft IIS 4.0 (Checklist Format)
Secure Config. of the Apache Web Server, Apache Server V1.3.3 on Red Hat Linux 5.1
Microsoft NetMeeting 3.0 Security Assessment and Configuration Guide
The 60 Minute Network Security Guide
Guide to Sun Microsystems Java Plug-in Security
Guide to Microsoft .NET Framework Security
Enterprise Firewall Types
Desktop or Enterprise Firewall ?
Enterprise Firewalls in Encrypted Environments
Security Guidance for Using Mail Clients
Mail Client Security Cheat Sheet
Secure Instant Messaging
Disabling USB Storage Drives
Biometrics Security Considerations
Internet Protocol Version 6
Firewall design consideration for IPV6
A filtering strategy for Mobile IPV6
Bluetooth Security
VoIP
R
R
P
Security Guidance for Deploying IP Telephony Systems
Recommended IP Telephony Architecture
Video Teleconferencing
http://www.nsa.gov/snac/
http://www.nsa.gov/snac/wireless/I732-016R-07.pdf
- Portail d’accès aux guides
- Memento Bluetooth
LA LEGISLATION
DEMATERIALISATION
FNTC – VADEMECUM JURIDIQUE
DE LA DEMATERIALISATION DES DOCUMENTS
Description
Réalisé avec le concours du cabinet d’avocats Caprioli & Associés, ce mémorandum de 32 pages
intitulé ‘Vademecum Juridique de la dématérialisation des documents’ nous est proposé par
la Fédération Nationale des Tiers de Confiance. Il vient compléter la collection ‘Des Guides de la
Confiance’ déjà forte de 3 documents de référence:
- le ‘Guide de la Dématérialisation des marchés publics’ publié en décembre 2006,
- le ‘Guide de l’horodatage’ publié en novembre 2004,
- le ‘Guide de la Signature Electronique’ publié en 2001, une révision étant annoncée pour le 2nd semestre 2008.
Bien que ne portant pas explicitement référence à la sécurité des systèmes d’information, hors quelques exigences
fonctionnelles et opérationnelles notamment en ce qui concerne l’archivage, le ‘Vademecum Juridique de la
dématérialisation des documents’ n’en est pas moins un document qu’il sera utile de conserver à portée de main
car contenant nombre d’informations utiles pour qui doit gérer contrats, factures ou offres de marchés publics dans
leur forme électronique.
1. LA DÉMATÉRIALISATION DANS LA SPHÈRE PRIVÉE ( B to C et B to B)
A. Le contrat sous forme électronique (acte juridique électronique)
Page 24/63
Mai 2008
1. La notion d’écrit sous forme électronique
2. La notion de signature électronique
3. La distinction entre l’original et la copie électroniques
4. La gestion de preuve
B. Le contrat par voie électronique (commande en ligne)
1. Le processus de contractualisation en ligne
2. Le paiement électronique
C. Dispositions communes
1. L’archivage électronique
2. Les conventions sur la preuve
D. Domaines d’application de la dématérialisation
1. Le droit social
2. La facture électronique
3. Les services de banques électroniques : l’exemple des relevés de compte
4. Les envois électroniques recommandés
5. Le vote électronique
II. LA DÉMATÉRIALISATION DANS LA SPHÈRE PUBLIQUE
A. L’ordonnance du 8 décembre 2005 et les décrets relatifs aux RGI et au RGS
B. Les téléprocédures
C. Les marchés publics passés par voie électronique
D. L’archivage électronique des archives publiques
Il sera nécessaire de s’inscrire sur le portail de la FNTC pour avoir accès à ce guide, une opération qui ne prendra que
quelques secondes et ouvrira l’accès à toute la documentation publiée par cette organisation.
http://www.fntc.org/
- Site de la Fédération Nationale des Tiers de Confiance
DCSSI/DGME – REFERENTIEL GENERAL DE SECURITE
DIT
‘RGS’
Description
Une version de travail du RGS, ou Référentiel Général de Sécurité, a été publiée pour commentaires à la mi-mai.
Rappelons que le RGS « spécifie l’ensemble des règles que doivent respecter les fonctions des systèmes
d’information contribuant à la sécurité des informations échangées par voie électronique entre les usagers et les
autorités administratives et entre les autorités administratives. »
Transmis dans sa version 0.96d pour commentaire aux Hauts Fonctionnaires de Défense (HFD) et aux Fonctionnaires
de Sécurité des Systèmes d’Information (FSSI) des ministères en Juin 2007, ce document de 40 pages est soumis à
un appel à commentaire plus large ouvert jusqu’au 13 Juin 2008.
En voici le sommaire:
1 - Introduction
1.1 - Présentation générale et guide d’usage
1.2 - Gestion du document
1.3 - Niveau de préconisation pour les règles
1.4 - Présentation détaillée
1.5 - Définitions et acronymes
2 - Gestion de la sécurité
2.1 - Introduction
2.2 - Convergence avec d’autres constructions pour la SSI
2.3 - Principes pour la gestion de la sécurité
2.4 - La sécurité dans un projet de système d’information
3 - Fonctions de sécurité
3.1 - Lien avec la PRIS
3.2 - Identification/Authentification
3.3 - Authentification: certificat de personne
3.4 - Authentification: certificat « Serveur »
3.5 - Authentification par système à mot de passe à usage unique
3.6 - Identification par identifiant et mot de passe statique
3.7 - Signature électronique: certificat de personne
3.8 - Signature électronique: certificat de Serveur
3.9 - Confidentialité : certificat de personne
3.10- Horodatage
4 - Services de confiance, autres fonctions de sécurité
4.1 - Personnalisation des dispositifs d’authentification, de signature et de chiffrement
4.2 - Autres services de confiance
5 - Accusé d’enregistrement et de réception
5.1 - Description
5.2 - Normes et standard
5.3 - Principes de mise en oeuvre
6 - Produits de sécurité
6.1 - Description
6.2 - Normes et standards
Page 25/63
Mai 2008
6.3 - Principes de mise en oeuvre
7 – Qualification
7.1 - Qualification des Prestataires de Service de Confiance PSCo
7.2 - Qualification des produits
8 - Référencement
8.1 - Référencement d’une offre d’un Prestataire de Service de Confiance
8.2 - Référencement des produits
9 - Validation des certificats avec l’IGC/A
10 Annexe 1 : Liste des Profils de Protection
11 Annexe 2 : liste des sigles
Une nouvelle version du RGS sera élaborée à partir de l’analyse de tous les commentaires reçus.
http://www.synergies-publiques.fr/article.php?id_article=935
- Annonce de la publication
http://www.synergies-publiques.fr/IMG/pdf/070531_RGS_draft_0_096e-2.pdf - RGS, Version 0.96e pour commentaire
http://www.synergies-publiques.fr/article.php?id_article=381
- PRIS, Version 2.1
Page 26/63
Mai 2008
L
LO
OG
LIIB
GIIC
BR
RE
CIIE
ES
S
EL
LS
SL
LES
SERVICES DE BASE
Les dernières versions des services de base sont rappelées dans les tableaux suivants. Nous conseillons
d’assurer rapidement la mise à jour de ces versions, après qualification préalable sur une plate-forme
dédiée.
RESEAU
Nom
BIND
DHCP
NTP4
OpenNTPD
Fonction
Ver.
Date
Source
Gestion de Nom (DNS)
Serveur d’adresse
Serveur de temps
Serveur de temps
9.4.2
4.0.0
4.2.4
4.3
21/11/07
19/12/07
10/09/07
01/05/08
http://www.isc.org/
http://www.isc.org/
http://ntp.isc.org/bin/view/Main/SoftwareDownloads
http://www.openntpd.org/
MESSAGERIE
Nom
Fonction
Ver.
Date
Source
Relevé courrier
Relevé courrier
Relevé courrier
Serveur de courrier
2007b
4.0.13
1.0.2
8.14.3
28/03/08
08/05/08
23/05/06
03/05/08
ftp://ftp.cac.washington.edu/imap/
ftp://ftp.qualcomm.com/eudora/servers/unix/popper/
http://www.openwall.com/popa3d/
http://www.sendmail.org/
Nom
Fonction
Ver.
Date
Source
APACHE
Serveur WEB
19/01/08
19/01/08
19/01/08
08/02/08
08/04/08
12/02/08
27/05/08
20/05/08
http://httpd.apache.org/dist
IMAP4
POP3
POPA3D
SENDMAIL
WEB
ModSSL
MySQL
SQUID
1.3.41
2.0.63
2.2.8
API SSL Apache 1.3.41 2.8.31
Base SQL
5.1.24
6.0.4
Cache WEB
2.7s1
3.0s6
http://www.modssl.org
http://dev.mysql.com/doc/refman/5.1/en/news.html
http://dev.mysql.com/doc/refman/6.0/en/news.html
http://www.squid-cache.org/Versions/
AUTRE
Nom
FreeRadius
INN
OpenCA
OpenLDAP
Samba
Tor
LES
Fonction
Ver.
Date
Source
Gestion de l’identité
Gestion des news
Gestion de certificats
Gestion de l’annuaire
Gestion de fichiers
Anonymat
2.0.4
2.4.4
0.9.3
2.4.9
3.0.29
0.1.2.19
30/04/08
09/05/08
10/10/06
07/05/08
21/05/08
29/12/08
http://www.freeradius.org/
http://www.isc.org/
http://pki.openca.org/projects/openca/downloads.shtml
ftp://ftp.openldap.org/pub/OpenLDAP/openldap-release/
http://us1.samba.org/samba/
http://tor.eff.org/download.html
OUTILS
Une liste, non exhaustive, des produits et logiciels de sécurité du domaine public est proposée dans les
tableaux suivants.
LANGAGES
Nom
Perl
Python
Ruby
PHP
Fonction
Ver.
Date
Source
Scripting
Scripting
Scripting
WEB Dynamique
5.8.8
2.5.2
1.8.6p114
5.2.6
10/02/06
22/02/08
01/03/07
01/05/08
http://www.cpan.org/src/README.html
http://www.python.org/download/
http://www.ruby-lang.org/en/downloads/
http://www.php.net/downloads.php
ANALYSE RESEAU
Nom
Fonction
Ver.
Date
Source
Dsniff
EtterCap
Ethereal
Nstreams
TcpDump
Libpcap
TcpFlow
WinPCap
Boîte à outils
Analyse & Modification
Analyse multiprotocole
Générateur de règles
Analyse multiprotocole
Acquisition Trame
Collecte données
Acquisition Trame
2.3
0.7.3
1.0.0
1.0.3
3.9.8
0.9.8
0.21
4.0.2
17/12/00
29/05/05
31/03/08
06/08/02
25/09/07
25/09/07
07/08/03
09/11/07
http://www.monkey.org/~dugsong/dsniff
http://ettercap.sourceforge.net/index.php?s=history
http://www.wireshark.org/
http://www.ethereal.com/
http://www.hsc.fr/ressources/outils/nstreams/download/
http://www.tcpdump.org/
http://www.tcpdump.org/
http://www.circlemud.org/~jelson/software/tcpflow/
http://www.winpcap.org/news.htm
Page 27/63
Mai 2008
ANALYSE DE JOURNAUX
Nom
Fonction
Ver.
Date
Source
Analog
AWStats
fwLogWatch
OSSIM
SnortSnarf
WebAlizer
Journaux serveur http
Analyse log
Analyse log
Console de gestion
Analyse Snort
Journaux serveur http
6.00
6.7
1.1
0.9.9
050314.1
2.01-10
19/12/04
03/07/07
17/04/06
22/02/08
05/03/05
24/04/02
http://www.analog.cx
http://awstats.sourceforge.net/
http://cert.uni-stuttgart.de/projects/fwlogwatch/
http://www.ossim.net/
http://www.snort.org/dl/contrib/data_analysis/snortsnarf/
http://www.mrunix.net/webalizer/download.html
ANALYSE DE SECURITE
Nom
Fonction
Ver.
Date
Source
BackTrack
curl
FIRE
Nessus
Boîte à outils
Analyse http et https
Boîte à outils
Vulnérabilité réseau
3.0beta
7.18.1
0.4a
2.2.11
3.2.0
1.9a
2.02
4.62
6.7.9
7.5.6
2.0.2924
2.4
14/12/07
30/03/08
14/05/03
27/07/07
12/03/08
13/07/07
10/01/08
03/05/08
14/05/08
01/05/08
03/01/08
03/07
http://www.remote-exploit.org/backtrack_download.html
http://curl.haxx.se/
http://sourceforge.net/projects/biatchux/
http://www.nessus.org/download/
http://www.nessus.org/download/
http://www.e-fense.com/helix/
http://www.cirt.net/nikto/
http://www.insecure.org/nmap/nmap_changelog.html
http://www.saintcorporation.com/resources/updates.html
http://www-arc.com/sara/
http://www.sensepost.com/research/wikto/
http://www.wiretrip.net/rfp/lw.asp
Helix
Nikto
nmap
Saint
Sara
Wikto
Whisker
Boîte à outils
LibWhisker
CONFIDENTIALITE
Nom
Fonction
Ver.
Date
Source
GPG
GPG4Win
GPG S/MIME
LibGCrypt
Signature/Chiffrement
2.0.8
1.0.6
1.9.20
1.2.3
20/12/07
29/08/06
20/12/05
29/08/06
http://www.gnupg.org/news.en.html
CONTROLE D’ACCES RESEAU
Nom
Fonction
Ver.
Date
Source
Xinetd
Inetd amélioré
2.3.14
24/10/05
http://www.xinetd.org/
CONTROLE D’INTEGRITE
Nom
Fonction
Ver.
Date
Source
RootKit hunt
ChkRootKit
RKRevealer
Compromission UNIX
Compromission UNIX
Compromission WIN
1.3.2
0.48
1.71
18/03/08
17/12/07
01/11/06
http://www.rootkit.nl/projects/rootkit_hunter.html
http://www.chkrootkit.org/
http://www.microsoft.com/technet/sysinternals/default.mspx
DETECTION D’INTRUSION
Nom
Fonction
Ver.
Date
Source
P0f
Snort
Identification passive
IDS Réseau
2.0.8
2.8.1
06/09/06
01/04/08
http://lcamtuf.coredump.cx/p0f.shtml
http://www.snort.org/dl/
GENERATEURS DE TEST
Nom
Fonction
Ver.
Date
Source
NetDude &all
Scapy
Rejeu de paquets
Génération de paquet
0.4.8a
1.2.0.2
24/06/07
09/04/07
http://netdude.sourceforge.net/download.html
http://hg.secdev.org/scapy/raw-file/tip/scapy.py
Fonction
Ver.
Date
Source
Filtre datagramme
Pare-Feu IpTables
4.1.29
1.4.0
12/08
22/12/07
http://coombs.anu.edu.au/ipfilter/ip-filter.html
http://www.netfilter.org/projects/iptables/downloads.html
Fonction
Ver.
Date
Source
Pile SSL
Pile SSH 1 et 2
Pile IPSec
Terminal SSH2
Proxy https
Tunnel TCP/UDP
0.9.8h
5.0
2.5.17
0.60
4.24
2.4.1a
28/05/08
03/04/08
27/02/07
30/04/07
04/05/08
06/09/05
http://www.openssl.org/
http://www.openssh.com/
http://www.openswan.org/code/
http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
http://www.stunnel.org
http://www.winton.org.uk/zebedee/
PARE-FEUX
Nom
IpFilter
NetFilter
TUNNELS
Nom
OpenSSL
OpenSSH
OpenSwan
PuTTY
Stunnel
Zebedee
Page 28/63
Mai 2008
N
NO
OR
STTA
RM
AN
ME
ND
ES
DA
SE
AR
RD
ET
DS
TS
S
LES
LES
PUBLICATIONS DE L’IETF
RFC
Du 18/04/2008 au 30/05/2008, 25 RFC ont été publiés dont 8 RFC ayant trait à la sécurité.
RFC TRAITANT DE LA SÉCURITÉ
Thème
GSS-API
PANA
HIP
PKI
Num Date Etat Titre
5178
5179
5191
5192
5193
5202
5207
5280
05/08
05/08
05/08
05/08
05/08
04/08
04/08
05/08
Pst
Pst
Pst
Pst
Inf
Exp
Inf
Pst
GSS-API Internationalization and Domain-Based Service Names and Name Type
GSS-API Domain-Based Service Names Mapping for the Kerberos V GSS Mechanism
Protocol for Carrying Authentication for Network Access (PANA)
DHCP Options for PANA Authentication Agents
Protocol for Carrying Authentication for Network Access (PANA) Framework
Using the Encapsulating Security Payload (ESP) Transport Format with the Host Identity Protocol
NAT and Firewall Traversal Issues of Host Identity Protocol (HIP) Communication
Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
RFC TRAITANT DE DOMAINES CONNEXES A LA SECURITE
Thème
HIP
IPV6
Num Date Etat Titre
5201
5203
5204
5205
5206
5180
04/08
04/08
04/08
04/08
04/08
05/08
Exp
Exp
Exp
Exp
Exp
Inf
Host Identity Protocol
Host Identity Protocol (HIP) Registration Extension
Host Identity Protocol (HIP) Rendezvous Extension
Host Identity Protocol (HIP) Domain Name System (DNS) Extensions
End-Host Mobility and Multihoming with the Host Identity Protocol
IPv6 Benchmarking Methodology for Network Interconnect Devices
AUTRES RFC
Thème
802.16
IETF
IPFIX
NEMO
OSPF
ROHC
SIEVE
UDLD
ULE
URN
LES
Num Date Etat Titre
5181
5000
5226
5153
5177
5185
5225
5173
5171
5163
5174
05/08
05/08
05/08
04/08
04/08
05/08
04/08
04/08
04/08
04/08
05/08
Inf
Inf
BCP
Inf
Pst
Pst
Pst
Pst
Inf
Pst
Inf
IPv6 Deployment Scenarios in 802.16 Networks
Internet Official Protocol Standards
Guidelines for Writing an IANA Considerations Section in RFCs
IPFIX Implementation Guidelines
Network Mobility (NEMO) Extensions for Mobile IPv4
OSPF Multi-Area Adjacency
RObust Header Compression Version 2 (ROHCv2): Profiles for RTP, UDP, IP, ESP and UDP-Lite
Sieve Email Filtering: Body Extension
Cisco Systems UniDirectional Link Detection (UDLD) Protocol
Extension Formats for ULE and the Generic Stream Encapsulation (GSE)
A Uniform Resource Name (URN) Namespace for the European Broadcasting Union (EBU)
DRAFTS
Du 18/04/2008 au 30/05/2008, 164 drafts ont été publiés : 122 drafts mis à jour, 42
nouveaux drafts, dont XX drafts ayant directement trait à la sécurité.
NOUVEAUX DRAFTS TRAITANT DE LA SECURITE
Thème
Nom du Draft
Date Titre
SIMPLE
SNDP
SNMP
TLS
draft-intoto-simple-mobility-ipsec-clients-00
draft-daley-csi-sndp-prob-00
draft-li-isms-svacm-00
draft-keromytis-tls-authz-keynote-00
19/05
28/05
26/05
28/08
Simple Mobility Solution for IPsec Clients
Securing Neighbour Discovery Proxy Problem Statement
Simplified View-based Access Control Model (SVACM) for SNMP
Transport Layer Security (TLS) Authorization Using KeyNote
MISE A JOUR DE DRAFTS TRAITANT DE LA SECURITE
Thème
Nom du Draft
Date Titre
DHCP
DIME
DNS
DSSC
IODEF
KERB
NETCONF
OPENPGP
PKIX
RSVP
draft-pruss-dhcp-auth-dsl-03
draft-ietf-dime-qos-parameters-06
draft-hayatnagarkar-dnsext-validator-api-06
draft-ietf-ltans-dssc-03
draft-cain-post-inch-phishingextns-04
draft-ietf-krb-wg-anon-06
draft-ietf-netconf-tls-02
draft-josefsson-openpgp-mailnews-header-06
draft-ietf-pkix-sha2-dsa-ecdsa-02
draft-ietf-ccamp-path-key-ero-01
18/05
26/05
27/05
19/05
21/05
15/05
27/05
20/05
22/05
14/05
Authentication Extensions for DHCP
Quality of Service Parameters for Usage with the AAA Framework
DNSSEC Validator API
Data Structure for Security Suitabilities of Cryptographic Alg.
IODEF-Document Class for Phishing, Fraud, and Other Crimeware
Anonymity Support for Kerberos
NETCONF over Transport Layer Security (TLS)
The "OpenPGP" mail and news header field
X.509 PKI: Additional Algorithms & Identifiers for DSA and ECDSA
RSVP Extensions for Path Key Support
Page 29/63
Mai 2008
SIP
SIV
SMIME
TLS
draft-stjohns-sipso-03
draft-ietf-sip-media-security-requirements-06
draft-dharkins-siv-aes-03
draft-ietf-smime-3850bis-02
draft-badra-hajjeh-mtls-04
draft-badra-tls-psk-new-mac-aes-gcm-03
21/05
12/05
20/05
12/05
19/05
17/05
Common Architecture Label IPv6 Security Option (CALIPSO)
Req. and Analysis of Media Security Management Protocols
SIV Authenticated Encryption using AES
S/MIME Version 3.2 Certificate Handling
MTLS: TLS Multiplexing
Key Cipher Suites for TLS with SHA-256/384 & AES GCM
DRAFTS TRAITANT DE DOMAINES CONNEXES A LA SECURITE
Thème
Nom du Draft
Date Titre
BGP
BMWG
draft-ietf-softwire-encaps-safi-01
draft-janovak-bmwg-ipflow-meth-00
draft-novak-bmwg-ipflow-meth-00
draft-ietf-dime-mip6-split-08
draft-ietf-dime-mip6-integrated-09
draft-ietf-dime-qos-attributes-06
draft-bambenek-doubleflux-01
draft-ietf-l1vpn-bgp-auto-discovery-05
draft-ietf-l1vpn-basic-mode-05
draft-ietf-l1vpn-ospf-auto-discovery-06
draft-mammoliti-l2tp-accessline-avp-03
draft-ietf-mipshop-mstp-solution-04
draft-ietf-netlmm-proxymip6-17
draft-ietf-netlmm-pmip6-ipv4-support-03
draft-ietf-syslog-tc-mib-08
28/05
21/05
21/05
28/05
26/05
26/05
21/05
14/05
27/05
13/05
12/05
14/05
27/05
22/05
22/05
DIME
DNS
L1VPN
L2TP
MIP
NETLMM
SYSLOG
BGP Encapsulation SAFI and BGP Tunnel Encapsulation Attribute
IP Flow Information Accounting and Export Bench. Methodology
IP Flow Information Accounting and Export Bench. Methodology
Support for Home Agent to Diameter Server Interaction
Support for Network Access Server to Diameter Server Interaction
Quality of Service Attributes for Diameter
Double Flux Defense in the DNS Protocol
BGP-based Auto-Discovery for Layer-1 VPNs
Layer 1 VPN Basic Mode
OSPF Based Layer 1 VPN Auto-Discovery
L2TP Access Line Information AVP Extensions
Mobility Services Framework Design
Proxy Mobile IPv6
IPv4 Support for Proxy Mobile IPv6
Textual Conventions for Syslog Management
AUTRES DRAFTS
Thème
Nom du Draft
ARK
ATOMLIN
BEEP
BEHAVE
BGP
BGP
DHCP
draft-kunze-ark-15
draft-saintandre-atomlink-discuss-00
draft-thomson-beep-async-00
draft-wing-behave-dynamic-tcp-port-reuse-00
draft-ietf-idr-bgp-identifier-09
draft-ietf-idr-rfc3392bis-00
draft-ietf-dhc-l2ra-01
draft-ietf-dhc-dhcpv6-bulk-leasequery-01
DIAP
draft-brasher-diap-01
DKIM
draft-otis-dkim-adsp-02
draft-levine-dkim-adsp-00
draft-otis-dkim-tpa-adsp-00
DNS
draft-hardaker-dnsops-name-server-m…-03
draft-dupont-dnsext-tsig-md5-deprecated-00
draft-nzrs-srs-00
DVMO
draft-ietf-manet-dymo-mib-00
ECRIT
draft-wolf-ecrit-lost-servicelistboundary-00
draft-forte-ecrit-service-classification-00
ENUM
draft-ietf-enum-enumservices-guide-10
draft-ietf-enum-x-service-regs-01
draft-hoeneisen-enum-enumservices-…-01
GEOPRIV draft-thomson-geopriv-location-quality-01
draft-mayrhofer-geopriv-geo-uri-00
draft-thomson-geopriv-wimax-measur…-00
iCAL
draft-ietf-calsify-rfc2447bis-04
draft-ietf-calsify-2446bis-06
IDNA
draft-ietf-idnabis-rationale-00
draft-ietf-idnabis-protocol-01
draft-ietf-idnabis-bidi-00
IETF
draft-jcurran-v6transitionplan-03
draft-rfc-editor-errata-process-02
draft-iab-protocol-success-04
draft-housley-internet-draft-sig-file-04
draft-krishnan-review-process-00
IP
draft-iab-ip-config-04
IPFIX
draft-ietf-ipfix-mediators-problem-state…-00
IPPM
draft-morton-ippm-reporting-metrics-05
IPSEC
draft-devarapalli-ipsec-ikev2-redirect-00
IPV6
draft-miyata-v6ops-trans-approach-01
draft-despres-v6ops-6rd-ipv6-rapid-…-01
draft-ietf-v6ops-addr-select-req-07
draft-ietf-v6ops-addr-select-ps-06
draft-ietf-v6ops-nat64-pb-statement-req-00
L2ISIS
draft-ward-l2isis-03
LEMONAD draft-ietf-lemonade-convert-20
draft-ietf-lemonade-architecture-02
LoST
draft-ietf-ecrit-lost-10
Date Titre
22/05
27/05
26/05
14/05
13/05
22/05
16/05
23/05
16/05
24/05
23/05
24/05
20/05
11/05
18/05
15/05
28/05
28/05
19/05
21/05
20/05
26/05
21/05
21/05
12/05
11/05
10/05
27/05
28/05
18/05
21/05
27/05
14/05
28/05
25/05
12/05
19/05
15/05
14/05
10/05
11/05
14/05
13/05
22/05
20/05
16/05
28/05
The ARK Persistent Identifier Scheme
Atom Link Relation: Discuss
Asynchronous Channels for BEEP
Dynamic TCP Port Reuse for Network Address and Port Translators
AS-wide Unique BGP Identifier for BGP-4
Capabilities Advertisement with BGP-4
Layer 2 Relay Agent Information
DHCPv6 Bulk Leasequery
Distributed Internet Archive Protocol (DIAP)
DKIM Author Domain Signing Practices (ADSP)
DKIM Author Domain Signing Practices (ADSP)
DKIM Third-Party Authorization for Author Domain Signing
Requirements for Management of Name Servers for the DNS
Deprecated HMAC MD5 in TSIG
System for Managing a Shared Domain Registry
Managed Objects for the DYMO Manet Routing Protocol
LoST Extension: ServiceListBoundary
Classification of Location-based Services
IANA Registration of Enumservices: Guide, Template
IANA Registration of Experimental and Trial Enumservices
Update of legacy IANA Registrations of Enumservices
Specifying Location Quality Constraints in Location Protocols
A Uniform Resource Identifier for Geographic Locations ('geo' URI)
Location Measurements for IEEE 802.16e Devices
iCalendar Message-Based Interoperability Protocol (iMIP)
iCalendar Transport-Independent Interoperability Protocol (iTIP)
IDNA: Definitions, Background and Rationale
IDNA: Protocol
An updated IDNA criterion for right-to-left scripts
An Internet Transition Plan
RFC Editor Proposal for Handling RFC Errata
What Makes For a Successful Protocol?
Digital Signatures on Internet-Draft Documents
Guidelines to authors & reviewers regarding IETF review process
Principles of Internet Host Configuration
IPFIX Mediation: Problem Statement
Reporting Metrics: Different Points of View
Re-direct Mechanism for IKEv2
Translator specification approach
IPv6 Rapid Deployment on IPv4 infrastructures (6rd)
Requirements for address selection mechanisms
Operational Issues of RFC3484 Default Rules
IPv4/IPv6 Coexistence and Transition: Requirements for solutions
Carrying Attached Addresses in IS-IS
IMAP CONVERT extension
LEMONADE Architecture - Supporting OMA Mobile Email
LoST: A Location-to-Service Translation Protocol
Page 30/63
Mai 2008
LOWPAN
LTRU
MIB
MIP4
MIP6
MMUSIC
MPLS
MSRP
NEMO
NETCONF
NETMOD
NFS
NTP
OSPF
PANA
PASSIVE
PCE
PCN
PIM
PWE3
RFC3330
RFC3534
ROLL
RSVP
RTP
SAVA
SDP
SEAL
SHAND
SIEVE
SIMPLE
SIP
SMIME
SMTP
SNMP
THOMAS
TRACER
TSVWG
TWAMP
draft-thubert-6lowpan-simple-fragment-…-01
draft-ietf-ltru-4646bis-14
draft-cole-manet-nhdp-mib-00
draft-korhonen-mip4-service-03
draft-ietf-mext-nemo-v4traversal-03
draft-ietf-mip6-hiopt-17
draft-whitehead-mmusic-sip-for-stream…-05
draft-ietf-ccamp-gmpls-mln-reqs-11
draft-ietf-ccamp-pc-and-sc-reqs-04
draft-ietf-ccamp-gr-description-03
draft-ietf-ccamp-rfc4420bis-03
draft-ietf-ccamp-wavelength-switched-…-00
draft-ietf-ccamp-gmpls-g-694-lambda-…-00
draft-ietf-mpls-cosfield-def-00
draft-blau-msrp-acm-00
draft-ietf-mext-aero-reqs-02
draft-ietf-mext-flow-binding-00
draft-iijima-netconf-soap-implementation-08
draft-schoenw-netmod-yang-types-00
draft-ietf-nfsv4-minorversion1-23
draft-ietf-nfsv4-pnfs-obj-08
draft-ietf-nfsv4-minorversion1-dot-x-06
draft-ietf-nfsv4-rpcsec-gss-v2-03
draft-ietf-ntp-dhcpv6-ntp-opt-00
draft-ietf-ospf-ospfv3-update-23
draft-morand-pana-panaoverdsl-02
draft-kikuchi-passive-measure-02
draft-yasukawa-pce-p2mp-req-05
draft-ietf-pce-path-key-03
draft-ietf-pce-dste-01
draft-sarker-pcn-ecn-pcn-usecases-01
draft-moncaster-pcn-baseline-encoding-00
draft-farinacci-pim-port-01
draft-ietf-pwe3-congestion-frmwk-01
draft-iana-rfc3330bis-02
draft-goncalves-rfc3534bis-06
draft-brandt-roll-home-routing-reqs-01
draft-ietf-roll-home-routing-reqs-00
draft-ietf-tsvwg-emergency-rsvp-08
draft-ietf-avt-rfc3047-bis-06
draft-ietf-avt-rtp-svc-09
draft-ietf-avt-rtcp-non-compound-05
draft-ietf-avt-rtp-h264-rcdo-01
draft-ietf-avt-rfc4749-dtx-update-01
draft-schmidt-avt-mps-00
draft-begen-avt-post-repair-rtcp-xr-01
draft-wu-sava-testbed-experience-06
draft-ietf-mipshop-mos-dns-discovery-01
draft-ietf-mmusic-file-transfer-mech-08
draft-ietf-mmusic-decoding-dependency-02
draft-johansson-mmusic-image-attributes-00
draft-templin-seal-14
draft-bryant-shand-lf-applicability-05
draft-martin-managesieve-09
draft-freed-sieve-ihave-02
draft-ietf-sieve-refuse-reject-07
draft-loreto-simple-im-srv-label-01
draft-ietf-simple-prescaps-ext-10
draft-ietf-bliss-ach-analysis-02
draft-shen-interaction-ind-04
draft-monrad-sipping-3gpp-urn-names…-02
draft-york-sipping-p-charge-info-03
draft-ietf-sip-connect-reuse-10
draft-ietf-sip-outbound-14
draft-ietf-sip-answermode-07
draft-ietf-sip-body-handling-02
draft-ietf-sip-199-00
draft-ietf-sipping-pending-additions-05
draft-ietf-sipping-overload-reqs-04
draft-ietf-sipping-update-pai-02
draft-ietf-smime-3851bis-02
draft-levine-smtp-batv-01
draft-irtf-nmrg-snmp-measure-05
draft-yousuf-thomas-hunter-rtgwg-bb-01
draft-ietf-ippm-storetraceroutes-09
draft-floyd-tsvwg-besteffort-04
draft-ietf-ippm-twamp-07
23/05
16/05
12/05
28/05
25/05
22/05
12/05
28/05
19/05
19/05
27/05
13/05
27/05
19/05
21/05
13/05
16/05
27/05
22/05
12/05
18/05
12/05
23/05
14/05
13/05
16/05
21/05
12/05
12/05
23/05
20/05
15/05
21/05
28/05
28/05
26/05
13/05
21/05
13/05
22/05
15/05
20/05
22/05
15/05
15/05
25/05
16/05
21/05
20/05
23/05
20/05
28/05
28/05
22/05
25/05
27/05
15/05
14/05
24/05
28/05
19/05
13/05
14/05
25/05
28/05
26/05
15/05
26/05
23/05
16/05
12/05
12/05
19/05
27/05
20/05
19/05
22/05
LoWPAN simple fragment Recovery
Tags for Identifying Languages
Managed Objects for the Neighborhood Discovery Protocol
Service Selection for Mobile IPv4
Mobile IPv6 Support for Dual Stack Hosts and Routers
DHCP Options for Home Information Discovery in MIPv6
Media Playback Control Protocol Requirements
Requirements for GMPLS-Based MRN/MLN
draft-ietf-ccamp-pc-and-sc-reqs-04.txt
Description of the RSVP-TE Graceful Restart Procedures
Encoding of Attributes for MPLS LSP Establishment Using RSVP-TE
Framework for GMPLS and PCE Control of WSON
Generalized Labels for G.694 Lambda-Switching Capable LSR
"EXP field" renamed to "CoS Field"
An Alternative Connection Model for the MSRP
NEMO Route Optimization Requirements for Operational Use
Flow Bindings in Mobile IPv6 and Nemo Basic Support
Experience of implementing NETCONF over SOAP
Common YANG Data Types
NFS Version 4 Minor Version 1
Object-based pNFS Operations
NFSv4 Minor Version 1 XDR Description
RPCSEC_GSS Version 2
Network Time Protocol (NTP) Server Option for DHCPv6
OSPF for IPv6
Application of PANA framework to DSL networks
One-way Passive Measurement of End-to-End Quality
PCC-PCE Communication Requirements for Point to MPLS-TE
Preserving Topology Confidentiality in Inter-Domain Path Comp.
Diff-Serv Aware Class Type Object for PCE Comm. Protocol
Usecases and Benefits of end to end ECN support in PCN Domains
Encoding and Transport of (Pre-)Congestion Information
A Reliable Transport Mechanism for PIM
Pseudowire Congestion Control Framework
Special Use IPv4 Addresses
Ogg Media Types
Home Automation Routing Re. in Low Power and Lossy Networks
Home Automation Routing Req. in Low Power and Lossy Networks
RSVP Extensions for Emergency Services
RTP Payload Format for ITU-T Recommendation G.722.1
RTP Payload Format for SVC Video
Support for reduced size RTCP, opportunities and consequences
RTP Payload Format for H.264 RCDO Video
G.729.1 RTP Payload Format update: DTX support
RTP Payload Format for Elementary Streams with MPEG Surround
Post-Repair Loss RLE Report Block Type for RTCP XR
SAVA Testbed and Experiences to Date
Locating Mobility Servers using DNS
A SDP Offer/Answer Mechanism to Enable File Transfer
Signaling media decoding dependency in SDP
Image attributes in SDP
The Subnetwork Encapsulation and Adaptation Layer (SEAL)
Applicability of Loop-free Convergence
A Protocol for Remotely Managing Sieve Scripts
Sieve Email Filtering: Ihave Extension
Sieve Email Filtering: Reject and Extended Reject Extensions
IANA Registration of IM SRV Protocol Label for SIP/SIMPLE
SIP User Agent Capability Extension to PIDF
Analysis of Automatic Call Handling Implementation Issues in SIP
Private Extensions to SIP for Service Interaction Indicator
URN Namespace for the 3rd Generation Partnership Project
P-Charge-Info - A Private Header Extension to SIP
Connection Reuse in the Session Initiation Protocol (SIP)
Managing Client Initiated Connections in SIP
Requesting Answering Modes for SIP
Message Body Handling in the Session Initiation Protocol (SIP)
Response Code for Indication of Terminated Dialog
The SIP Pending Additions Event Package
Requirements for Management of Overload in SIP
Updates to Asserted Identity in the Session Initiation Protocol
S/MIME Version 3.2 Message Specification
Bounce Address Tag Validation (BATV)
SNMP Traffic Measurements and Trace Exchange Formats
Chrysolite - a backbone bridging solution
Information Model, XML Data Model for Traceroute Measurements
Comments on the Usefulness of Simple Best-Effort Traffic
A Two-way Active Measurement Protocol (TWAMP)
Page 31/63
Mai 2008
UDP
draft-ietf-tsvwg-udp-guidelines-07
VCARDDA draft-ietf-vcarddav-carddav-00
draft-ietf-vcarddav-webdav-mkcol-00
WEBDAV
draft-sanchez-webdav-current-principal-00
21/05
28/05
14/05
13/05
Guidelines for Application Designers on Using Unicast UDP
vCard Extensions to WebDAV (CardDAV)
Extended MKCOL for WebDAV
WebDAV Current Principal Extension
Page 32/63
Mai 2008
NOS COMMENTAIRES
LES RFC
RFC5000
Avec le RFC5000, l’IETF renoue avec une tradition qui semblait avoir été abandonnée depuis 2004. En effet, tous
les ans, l’IETF publiait un récapitulatif de l’état d’avancement de la normalisation des différents protocoles et
mécanismes ayant fait l’objet d’un RFC (Request For Comment). Ce récapitulatif se voyait attribuer le premier
numéro de la centaine à venir.
Ont ainsi été publiés les RFC3300 (Novembre 2002), RFC 3600 (Novembre 2003) et RFC3700 (Septembre 2004)
avant qu’une période de 4 ans de silence ne s’instaure. Nous attendions donc avec impatience la publication d’une
mise à jour du dernier récapitulatif (Rapport N°74 – Septembre 2004). C’est désormais chose faite.
Nous pouvons en conséquence proposer à nos lecteurs, la dernière liste des 68 standards (STD) et des 135
recommandations d’usage (BCP).
Standard
STD
1
2
3
4
5
6
7
8
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
Identifiant
IP
ICMP
IGMP
UDP
TCP
TELNET
TELNET
FTP
SMTP-SIZE
MAIL
DOMAIN
DOMAIN
SMI
ConciseMI
MIB II
NETBIOS
NETBIOS
ECHO
DISCARD
CHARGEN
QUOTE
USERS
DAYTIME
TIME
TOPT BIN
TOPT ECHO
TOPT SUPP
TOPT STAT
TOPT TIM
TOPT EXTOP
TFTP
TP-TCP
IP-FDDI
Titre
Assigned Numbers
Requirements for Internet Hosts - Communication Layers
Requirements for Internet Hosts - Application and Support
Reserved for Router Requirements. See RFC 1812
Internet Protocol
Internet Control Message Protocol
Broadcasting Internet Datagrams
Broadcasting Internet datagrams in the presence of subnets
Internet Standard Subnetting Procedure
Host extensions for IP multicasting
User Datagram Protocol
Transmission Control Protocol
Telnet Protocol Specification
Telnet Option Specifications
File Transfer Protocol
SMTP Service Extension for Message Size Declaration
Standard for the format of ARPA Internet text messages
Reserved for Network Time Protocol (NTP)
Domain names - concepts and facilities
Domain names - implementation and specification
Mail Routing and the Domain System
Simple Network Management Protocol (SNMP) (Remplacé par le STD 62)
Structure & identification of management information for TCP/IP-based internets
Concise MIB definitions
MIB for Network Management of TCP/IP-based internets:MIB-II
Exterior Gateway Protocol
Protocol for a NetBIOS service on a TCP/UDP transport: Concepts and methods
Protocol for a NetBIOS service on a TCP/UDP transport: Detailed specifications
Echo Protocol
Discard Protocol
Character Generator Protocol
Quote of the Day Protocol
Active users
Daytime Protocol
Time Protocol
Telnet Binary Transmission
Telnet Echo Option
Telnet Suppress Go Ahead Option
Telnet Status Option
Telnet Timing Mark Option
Telnet Extended Options: List Option
The TFTP Protocol (Revision 2)
Routing Information Protocol (RIP) (Remplacé par le STD 56)
ISO transport services on top of the TCP: Version 3
Transmission of IP and ARP over FDDI Networks
RFC
5000
3232
1122
1123
1812
791
792
919
922
950
1112
768
793
854
855
959
1870
822
1305
1034
1035
historique
historique
1155
1212
1213
historique
1001
1002
862
863
864
865
866
867
868
856
857
858
859
860
861
1350
historique
1006
1390
Page 33/63
Mai 2008
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
ARP
RARP
IP-WB
IP-E
IP-EE
IP-IEEE
IP-DC
IP-HC
IP-ARC
IP-SLIP
IP-NETBIOS
IP-IPX
ETHER-MIB
PPP
PPP-HDLC
IP-SMDS
POP3
OSPF2
IP-DR
RIP2
RIP2-APP
SMIv2
CONV-MIB
CONF-MIB
RMON-MIB
SMTP-PIPE
ONE-PASS
SNMP
63 UTF-8
64 RTP
65 RTP-AV
66 URI
67 XDR
68 ABNF
Seuls trois nouveaux
Ethernet ARP: Or converting network protocol addresses to 48.bit
Reverse Address Resolution Protocol
BBN Report 1822 (IMP/Host Interface).
Host Access Protocol specification
Transmission of IP datagrams over Ethernet networks
Transmission of IP datagrams over experimental Ethernet networks
Transmission of IP datagrams over IEEE 802 networks
DCN local-network protocols
Internet Protocol on Network System's HYPERchannel : Protocol specification
Transmitting IP traffic over ARCNET networks
Nonstandard for transmission of IP datagrams over serial lines: SLIP
Transmission of IP datagrams over NetBIOS networks
Transmission of 802.2 packets over IPX networks
Definitions of Managed Objects for the Ethernet-like Interface Types
The Point-to-Point Protocol (PPP)
PPP in HDLC-like Framing
Transmission of IP datagrams over the SMDS Service
Post Office Protocol - Version 3
OSPF Version 2
Multiprotocol Interconnect over Frame Relay
RIP Version 2
RIP Version 2 Protocol Applicability Statement
Structure of Management Information Version 2 (SMIv2)
Textual Conventions for SMIv2
Conformance Statements for SMIv2
Remote Network Monitoring Management Information Base
SMTP Service Extension for Command Pipelining
A One-Time Password System
An Architecture for Describing SNMP Management Frameworks
Message Processing and Dispatching for the SNMP
Simple Network Management Protocol (SNMP) Applications
User-based Security Model (USM) for version 3 of the SNMPv3
View-based Access Control Model (VACM) for the SNMP
Version 2 of the Protocol Operations for the SNMP
Transport Mappings for the SNMP
Management Information Base (MIB) for the SNMP
UTF-8, a transformation format of ISO 10646
RTP: A Transport Protocol for Real-Time applications
RTP Profile for Audio and Video Conferences with Minimal Control
Uniform Resource Identifier (URI): Generic Syntax
XDR: External Data Representation Standard
Augmented BNF for Syntax Specifications: ABNF
standards – BCP66, BCP67 et BCP68 - auront vu le jour dans cette catégorie en 4
826
903
historique
907
894
895
1042
891
1044
1201
1055
1088
1132
3638
1661
1662
1209
1939
2328
2427
2453
1722
2578
2579
2580
2819
2920
2289
3411
3412
3413
3414
3415
3416
3417
3418
3629
3550
3551
3986
4506
5234
ans.
Best Current Practice
BCP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
Titre
Best Current Practices
Addendum to RFC 1602 -- Variance Procedure
Variance for The PPP Compression Control Protocol 1 The PPP ECP
An Appeal to the Internet Community to Return Unused IP Networks to the IANA
Address Allocation for Private Internets
Guidelines for creation, selection, and registration of an Autonomous System (AS)
Implications of Various Address Allocation Policies for Internet Routing
IRTF Research Group Guidelines and Procedures
The Internet Standards Process -- Revision 3
IAB & IESG Selection, Confirmation, & Recall Process: Operation of the Nominating & Recall
The Organizations Involved in the IETF Standards Process
Internet Registry IP Allocation Guidelines
Multipurpose Internet Mail Extensions (MIME) Part Four: Registration Procedures
Key words for use in RFCs to Indicate Requirement Levels
Deployment of the Internet White Pages Service
Selection and Operation of Secondary DNS Servers
Use of DNS Aliases for Network Services
IETF Policy on Character Sets and Languages
IANA Charset Registration Procedures
Classless IN-ADDR.ARPA delegation
Expectations for Computer Security Incident Response
Guide for Internet Standards Writers
RFC
1818
1871
1915
1917
1918
1930
2008
2014
2026
2727
2028
2050
2048
2119
2148
2182
2219
2277
2978
2317
2350
2360
Page 34/63
Mai 2008
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
Administratively Scoped IP Multicast
RSVP over ATM Implementation Guidelines
IETF Working Group Guidelines and Procedures
Guidelines for Writing an IANA Considerations Section in RFCs
Advancement of MIB specifications on the IETF Standards Track
Enhancing TCP Over Satellite Channels using Standard Mechanisms
Procedure for Defining New DHCP Options
Anti-Spam Recommendations for SMTP MTAs
Media Feature Tag Registration Procedure
Reserved Top Level DNS Names
URN Namespace Definition Mechanisms
Changing the Default for Directed Broadcasts in Routers
Registration Procedures for URL Scheme Names
Guidelines for Writers of RTP Payload Format Specifications
IANA Allocation Guidelines For Values In the Internet Protocol and Related Headers
Network Ingress Filtering: Defeating DOS Attacks which employ IP Source Address Spoofing
Charter of the Internet Architecture Board (IAB)
Root Name Server Operational Requirements
Congestion Control Principles
Domain Name System (DNS) IANA Considerations
Procedures and IANA Guidelines for Definition of New DHCP Options and Message Types
Use of HTTP State Management
IETF Discussion List Charter
Recommended Internet Service Provider Security Services and Procedures
Tags for the Identification of Languages
End-to-end Performance Implications of Slow Links
Delegation of IP6.ARPA
End-to-end Performance Implications of Links with Errors
IANA Guidelines for IPv4 Multicast Address Assignments
Management Guidelines & Operational Requirements for the ARPA Domain
GLOP Addressing in 233/8
IETF Guidelines for Conduct
Guidelines for Evidence Collection and Archiving
On the use of HTTP as a Substrate
IANA Considerations for IPv4 Internet Group Management Protocol (IGMP)
Defining the IETF
A Transient Prefix for Identifying Profiles under Development
Inappropriate TCP Resets Considered Harmful
Strong Security Requirements for Internet Engineering Task Force Standard Protocols
Advice to link designers on link Automatic Repeat reQuest (ARQ)
Session Initiation Protocol (SIP) for Telephones (SIP-T): Context and Architectures
IANA Considerations for the Lightweight Directory Access Protocol (LDAP)
Dynamic Delegation Discovery System (DDDS) Part Five: URI.ARPA Assignment Procedures
Uniform Resource Names (URN) Namespace Definition Mechanisms
Change Process for the Session Initiation Protocol (SIP)
Layer Two Tunneling Protocol (L2TP) IANA Considerations Update
TCP Performance Implications of Network Path Asymmetry
Guidelines for the Use of Extensible Markup Language (XML) within IETF Protocols
TCP over Second (2.5G) and Third (3G) Generation Wireless Networks
Guidelines for Writing RFC Text on Security Considerations
An IETF URN Sub-namespace for Registered Protocol Parameters
Coexistence between V1, V2, V3 of the Internet-standard Network Management Framework
Session Initiation Protocol (SIP) Basic Call Flow examples
Session Initiation Protocol (SIP) Public Switched telephone
IETF ISOC Board of Trustee Appointment Procedures
IETF Rights in Contributions
Intellectual Property Rights in IETF Technology
Delegation of E.F.F.3.IP6.ARPA
The IETF XML Registry
Assigning Experimental and Testing Numbers Considered Useful
A Practice for Revoking Posting Rights to IETF Mailing Lists
Ingress Filtering for Multihomed Networks
Best Current Practices for Third Party Call Control in the Session Initiation
Determining Strengths For Public Keys Used For Exchanging Symmetric Keys
Use of Interior Gateway Protocol (IGP) Metric as a second MPLS Traffic Engineering (TE) Metric
IANA Considerations for the Point-to-Point Protocol (PPP)
Advice for Internet Subnetwork Designers
2365
2379
2418
2434
2438
2488
2489
2505
2506
2606
2611
2644
2717
2736
2780
2827
2850
2870
2914
2929
2939
2964
3005
3013
3066
3150
3152
3155
3171
3172
3180
3184
3227
3205
3228
3233
3349
3360
3365
3366
3372
3383
3405
3406
3427
3438
3449
3470
3481
3552
3553
3584
3665
3666
3677
3667
3668
3681
3688
3692
3683
3704
3725
3766
3785
3818
3819
Page 35/63
Mai 2008
90
91
92
93
94
95
96
97
Registration Procedures for Message Header Fields
3864
DNS IPv6 Transport Operational Guidelines
3901
The IESG and RFC Editor Documents: Procedures
3932
A Model for IETF Process Experiments
3933
Updates to RFC 2418 Regarding the Management of IETF Mailing Lists
3934
A Mission Statement for the IETF
3935
Procedures for Modifying the Resource reSerVation Protocol (RSVP)
3936
Clarifying when Standards Track Documents may Refer Normatively
3967
Handling Normative References to Standards-Track Documents
4897
98 The IANA Header Field Parameter Registry for SIP
3968
99 The IANA URI Parameter Registry for SIP
3969
100 Early IANA Allocation of Standards Track Code Points
4020
101 Structure of the IETF Administrative Support Activity
4071
BCP 101 Update for IPR Trust
4371
102 IAB Processes for Management of IETF Liaison Relationships
4052
103 Procedures for Handling Liaison Statements to and from the IETF
4053
104 Terminology for Describing Internet Connectivity
4084
105 Embedding Globally-Routable Internet Addresses Considered Harmful
4085
106 Randomness Requirements for Security
4086
107 Guidelines for Cryptographic Key Management
4107
108 IP Performance Metrics (IPPM) Metrics Registry
4148
109 Deprecation of "ip6.int"
4159
110 Tunneling Multiplexed Compressed RTP (TCRTP)
4170
111 Guidelines for Authors and Reviewers of MIB Documents
4181
RFC 4181 Update to Recognize the IETF Trust
4841
112 Prioritized Treatment of Specific OSPF V2 Packets and Congestion Avoidance
4222
113 The IETF AOC Member Selection Guidelines and Process
4333
114 BGP Communities for Data Collection
4384
115 Guidelines and Registration Procedures for New URI Schemes
4395
116 IANA Allocations for Pseudowire Edge to Edge Emulation
4446
117 Interworking between SIP and QSIG
4497
118 Considerations for Lightweight Directory Access Protocol Extensions
4521
119 SIP Call Control Conferencing for User Agents
4579
120 Source-Specific Protocol Independent Multicast in 232/8
4608
121 Multicast Source Discovery Protocol (MSDP) Deployment Scenarios
4611
122 CIDR: The Internet Address Assignment and Aggregation Plan
4632
123 Observed DNS Resolution Misbehavior
4697
124 Specifying Alternate Semantics for the Explicit Congestion Notification (ECN) Field
4774
125 Procedures for Protocol Extensions and Variations
4775
126 Operation of Anycast Services
4786
127 Network Address Translation (NAT) Behavioral Requirements for Unicast UDP
4787
128 Avoiding Equal Cost Multipath Treatment in MPLS Networks
4928
129 Change Process for MPLS and Generalized MPLS Protocols and Procedures
4929
130 IANA Considerations for OSPF
4940
131 Symmetric RTP / RTP Control Protocol (RTCP)
4961
132 Guidance for Authentication, Authorization, and Accounting (AAA) Key Management
4962
133 Specifying New Congestion Control Algorithms
5033
134 Email Submission Operations: Access and Accountability Requirements
5068
135 IP Multicast Requirements for a NAT and NATP
5135
Les quatre dernières années auront vu la publication de 46 nouvelles recommandations d’usage - BCP 90 à 135 –
dont 10 recommandations portant sur l’organisation de l’IETF et des publications et 6 recommandations ayant trait à
la sécurité.
ftp://ftp.isi.edu/in-notes/rfc5000.txt
Page 36/63
Mai 2008
A
ALLEER
ATTTTA
RT
AQ
TE
QU
ES
UE
SE
ES
S
ET
TA
ALERTES
GUIDE DE LECTURE
La lecture des avis publiés par les différents organismes de surveillance ou par les constructeurs n’est pas
toujours aisée. En effet, les informations publiées peuvent être non seulement redondantes mais aussi
transmises avec un retard conséquent par certains organismes. Dès lors, deux alternatives de mise en
forme de ces informations peuvent être envisagées :
o Publier une synthèse des avis transmis durant la période de veille, en classant ceux-ci en fonction de
l’origine de l’avis,
o Publier une synthèse des avis transmis en classant ceux-ci en fonction des cibles.
La seconde alternative, pour séduisante quelle soit, ne peut être raisonnablement mise en œuvre étant
donné l’actuelle diversité des systèmes impactés. En conséquence, nous nous proposons de maintenir une
synthèse des avis classée par organisme émetteur de l’avis.
Afin de faciliter la lecture de ceux-ci, nous proposons un guide de lecture sous la forme d’un synoptique
résumant les caractéristiques de chacune des sources d’information ainsi que les relations existant entre
ces sources. Seules les organismes, constructeurs ou éditeurs, disposant d’un service de notification officiel
et publiquement accessible sont représentés.
Avis Spécifiques
Constructeurs
Réseaux
Systèmes
Avis Généraux
Editeurs
Systèmes
Indépendants
Editeurs
Hackers
Editeurs
Organismes
Autres
US
Autres
Cisco
Apple
Linux
Microsoft
K-Otik
ISS
BugTraq
USCERT
Juniper
HP
FreeBSD
Netscape
3aPaPa
Symantec
@Stake
CIAC
Nortel
IBM
NetBSD
SGI
OpenBSD
SUN
SCO
Aus-CERT
Typologies des informations publiées
Publication de techniques et de programmes d’attaques
Détails des alertes, techniques et programmes
Synthèses générales, pointeurs sur les sites spécifiques
Notifications détaillées et correctifs techniques
L’analyse des avis peut être ainsi menée selon les trois stratégies suivantes :
o Recherche d’informations générales et de tendances :
Lecture des avis du CERT et du CIAC
o Maintenance des systèmes :
Lecture des avis constructeurs associés
o Compréhension et anticipation des menaces :
Lecture des avis des groupes indépendants
Aus-CERT
US-CERT
Cisco
Apple
Microsoft
BugTraq
K-Otik
ISS
NetBSD
Juniper
HP
Netscape
@Stake
3aРaPa
Symantec
OpenBSD
IBM
Xfree86
SGI
Linux
SUN
FreeBSD
CIAC
Page 37/63
Mai 2008
FORMAT DE LA PRESENTATION
Les alertes et informations sont présentées classées par sources puis par niveau de gravité sous la forme
de tableaux récapitulatifs constitués comme suit :
Présentation des Alertes
EDITEUR
TITRE
Description sommaire
Informations concernant la plate-forme impactée
Gravité
Date
Produit visé par la vulnérabilité
Description rapide de la source du problème
Correction
URL pointant sur la source la plus pertinente
Référence
Référence(s) CVE si définie(s)
Présentation des Informations
SOURCE
TITRE
Description sommaire
URL pointant sur la source d’information
Référence(s) CVE si définie(s)
SYNTHESE MENSUELLE
Le tableau suivant propose un récapitulatif du nombre d’avis publiés pour la période courante, l’année en
cours et l’année précédente. Ces informations sont mises à jour à la fin de chaque période de veille.
L’attention du lecteur est attirée sur le fait que certains avis sont repris et rediffusés par les différents
organismes. Ces chiffres ne sont donc représentatifs qu’en terme de tendance et d’évolution.
Période du 02/05/2008 au 30/05/2008
Organisme
US-CERT TA
US-CERT ST
CIAC
Constructeurs
Cisco
HP
IBM
SGI
Sun
Editeurs
BEA
Oracle
Macromedia
Microsoft
Novell
Unix libres
Linux RedHat
Linux Fedora
Linux Debian
Linux Mandr.
Linux SuSE
FreeBSD
Autres
iDefense
eEye
NGS Soft.
Période
22
3
2
17
36
7
3
6
0
20
6
0
0
2
4
0
120
22
62
23
12
1
0
8
8
0
0
Cumul
2008
2007
230
324
18
39
11
23
201
262
168
482
22
43
18
45
34
35
0
11
94
348
75
165
22
51
1
4
18
38
29
62
5
10
681
1 164
97
257
283
409
152
175
108
232
36
82
5
9
69
215
68
173
0
11
1
31
Cumul 2008 - Constructeurs
Cumul 2007 - Constructeurs
Cisco
13%
Sun
56%
Cisco
9%
HP
11%
SGI
0%
HP
9%
IBM
7%
Sun
73%
IBM
20%
SGI
2%
Cumul 2007 - Editeurs
Cumul 20087 - Editeurs
Microsoft
39%
Novell
7%
BEA
29%
Novell
6%
Microsoft
38%
Macromedia
24%
Oracle
1%
BEA
31%
Macromedia
23%
Oracle
2%
Page 38/63
Mai 2008
ALERTES DETAILLEES
AVIS OFFICIELS
Les tables suivantes présentent une synthèse des principales alertes de sécurité émises par un organisme
fiable, par l’éditeur du produit ou par le constructeur de l’équipement. Ces informations peuvent être
considérées comme fiables et authentifiées. En conséquence, les correctifs proposés, s’il y en a, doivent
immédiatement être appliqués.
ADOBE
Exécution de code arbitraire dans 'Flash Player'
Une faille non documentée dans 'Flash Player' permet de provoquer l'exécution de code arbitraire.
Critique
27/05 Adobe 'Flash Player' versions 9.0.124.0, 9.0.115.0
Gestion des fichiers 'SWF'
Non disponible
Aucun correctif
http://www.kb.cert.org/vuls/id/395473
US-CERT
Exécution de code dans les produits Adobe
Deux failles dans les produits Adobe permettent d'exécuter du code arbitraire.
Forte
06/05 Adobe 'Acrobat 3D', 'Acrobat Professional', 'Acrobat Standard', 'Reader' version 8.1.1 et inférieures
Validation insuffisante des données
Correctif existant Méthode 'JavaScript'
http://www.adobe.com/support/security/bulletins/apsb08-13.html
Adobe
CVE-2007-4768, CVE-2008-2042
ALCATEL/LUCENT
Exécution de commandes dans 'OmniPCX Office'
Un manque de validation des données dans 'OmniPCX Office' permet d'exécuter des commandes arbitraires.
Moyenne 21/05 Alcatel/Lucent 'OmniPCX Office' versions 210/061.1 and above
Correctif existant Script CGI
http://www1.alcatel-lucent.com/psirt/statements/2008001/OXOrexec.htm
Alcatel/Lucent
CVE-2008-1331
APPLE
Multiples failles dans 'Mac OS X' et 'Mac OS X Server'
De nombreuses failles permettent de provoquer des dénis de service et l'exécution de code arbitraire.
Forte
28/05 Apple 'Mac OS X' et Mac OS X Server' versions 10.4.11 et 10.5 à 10.5.2
Multiples failles
Correctif existant Multiples
http://lists.apple.com/archives/security-announce/2008/May/msg00001.html
Apple
CVE-2007-6612, CVE-2008-1027, CVE-2008-1028, CVE-2008-1030, CVE-2008-1031, CVE-2008-1032, CVE-2008-1033, CVE-20081034, CVE-2008-1036, CVE-2008-1571, CVE-2008-1572, CVE-2008-1573, CVE-2008-1574, CVE-2008-1575, CVE-2008-1576, CVE2008-1577, CVE-2008-1578, CVE-2008-1579, CVE-2008-1580
CA
Exécution de code dans les produits 'ARCserve Backup'
Plusieurs failles permettent de provoquer l'exécution de code arbitraire et un déni de service.
Forte
19/05 Se référer à l’avis original
Validation insuffisante des données, Débordement de buffer
Correctif existant Service 'caloggerd'
https://support.ca.com/irj/portal/anonymous/phpsupcontent?contentID=176798
CA
CVE-2008-2241, CVE-2008-2242
CISCO
Déni de service dans Cisco 'IOS'
De multiples failles permettent de provoquer un déni de service d'un équipement vulnérable.
Forte
21/05 Cisco 'IOS' version 12.4
Non disponible
Correctif existant Fonctionnalité 'SSH'
http://www.cisco.com/warp/public/707/cisco-sa-20080521-ssh.shtml
Cisco
CVE-2008-1159
Déni de service de Cisco 'CSM' et 'CSM-S'
Une fuite mémoire permet de provoquer un déni de service.
Forte
14/05 Cisco 'CSM' versions 4.2(3) à 4.2(8) et 'CSM-S' versions 2.1(2) à 2.1(7)
Correctif existant Répartition de charge couche 7 Fuite mémoire
http://www.cisco.com/warp/public/707/cisco-sa-20080514-csm.shtml
Cisco
CVE-2008-1749
Page 39/63
Mai 2008
Déni de service de Cisco 'Unified Presence'
Des failles dans le produit Cisco 'Unified Presence' permettent de provoquer des dénis de service.
Forte
14/05 Cisco 'Unified Presence' versions inférieures à 6.0(3)
Correctif existant 'Presence Engine' et 'SIP Proxy' Erreur de conception
http://www.cisco.com/warp/public/707/cisco-sa-20080514-cup.shtml
Cisco
CVE-2008-1158, CVE-2008-1740, CVE-2008-1741
Dénis de service dans 'Service Control Engine'
Des failles permettent de provoquer des dénis de service.
Forte
21/05 Cisco 'SCE 1000 series' et 'SCE 2000 series' versions inférieures à 3.0.7, à 3.1.0, à 3.1.6
Non disponible
Correctif existant Serveur 'SSH'
http://www.cisco.com/warp/public/707/cisco-sa-20080521-sce.shtml
Cisco
CVE-2008-0534, CVE-2008-0535, CVE-2008-0536
Dénis de service de 'Unified Communications Manager'
De multiples failles permettent de provoquer des dénis de service des services voix.
Forte
Erreur de conception, Validation insuffisante des données
Correctif existant Se référer à l’avis original
http://www.cisco.com/warp/public/707/cisco-sa-20080514-cucmdos.shtml
Cisco
CVE-2008-1742, CVE-2008-1743, CVE-2008-1744, CVE-2008-1745, CVE-2008-1746, CVE-2008-1747, CVE-2008-1748
Exécution de code dans 'CiscoWorks Common Services'
Une faille dans 'CiscoWorks Common Services' permet d'exécuter du code arbitraire.
Forte
Non disponible
Correctif existant Non disponible
http://www.cisco.com/warp/public/707/cisco-sa-20080528-cw.shtml
Cisco
CVE-2008-2054
Elévation de privilèges dans Cisco 'CVP'
Une faille permet à un utilisateur d'obtenir des droits privilégiés.
Moyenne 21/05 Cisco 'CVP' versions inférieures à 4.0(2)_ES14, à 4.1(1)_ES11, à 7.0(1)
Non disponible
http://www.cisco.com/warp/public/707/cisco-sa-20080521-cvp.shtml
Cisco
CVE-2008-2053
CITRIX
Accès non autorisé dans 'Access Gateway'
Une faille non documentée permet à un attaquant d'obtenir un accès non autorisé au système.
Forte
14/05 Citrix 'Access Gateway Advanced et Standard Edition' versions inférieures à 4.5 HF2
Non disponible
Correctif existant 'Access Gateway'
http://support.citrix.com/article/CTX116930
Citrix
Accès non autorisé via Citrix 'Presentation Server'
Une faille permet à un utilisateur d'obtenir un accès à une session d'un bureau.
Moyenne 12/05 Citrix 'Access Essentials' V2.0 et inférieures, 'Desktop Server' V1.0, 'Presentation Server' V4.5 et inférieures
Non disponible
Citrix
Faiblesse dans la configuration cryptographique
Une faille non documentée dans Citrix 'Presentation Server' provoque une fausse impression de sécurité.
Moyenne 12/05 Citrix 'Access Essentials' V2.0 et inférieures, 'Desktop Server' V1.0, 'Presentation Server' V4.5 et inférieures
Non disponible
Citrix
CREATIVE LABS
Exécution de code via un contrôle ActiveX
Un débordement de pile permet d'exécuter du code arbitraire.
Forte
27/05 Creative Labs 'Creative Software AutoUpdate Engine'
'CTSUEng.ocx'
Débordement de pile
Palliatif proposé
US-CERT
DEBIAN
Prédiction des aléas du paquetage 'OpenSSL'
Une faille dans le paquetage 'OpenSSL' de Debian permet de prédire les nombres aléatoires qu'il génère.
Moyenne 13/05 Debian 'Debian GNU/Linux' version 4.0 (etch)
Erreur de conception
Correctif existant Paquetage 'OpenSSL'
http://www.debian.org/security/2008/dsa-1571
Debian
CVE-2008-0166
Page 40/63
Mai 2008
DJANGO
"Cross-Site Scripting" dans 'Django'
Un manque de validation permet à un attaquant de mener des attaques de type "Cross-Site Scripting".
Forte
15/05 django 'Django' version 0.91,' version 0.95, version 0.96
Manque de validation
Correctif existant Application d'administration
http://www.djangoproject.com/weblog/2008/may/14/security/
Django
DRUPAL
Elévation de privilèges via 'Site Documentation'
Une faille dans le module 'Site Documentation' permet à un utilisateur malveillant d'obtenir des droits privilégiés.
Forte
14/05 Drupal 'Site Documentation' versions inférieures à 5.x-1.8, versions inférieures à 6.x-1.1
Correctif existant Permission 'access content'
http://drupal.org/node/258547
Drupal
HP
Accès non autorisé via 'useradd'
Une faille permet à un utilisateur local d'obtenir un accès non autorisé à des fichiers ou des répertoires.
Moyenne 19/05 HP 'HP-UX' versions B.11.11 à B.11.31
Non disponible
Correctif existant Outil 'useradd'
HP (SSRT071454) http://www11.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01455884-1
CVE-2008-1660
Déni de service du serveur 'ftp' de 'HP-UX'
Le serveur 'ftp' de 'HP-UX' est vulnérable à un déni de service.
Forte
12/05 HP 'HP-UX' versions B.11.11 à B.11.31
Non disponible
Correctif existant Serveur 'ftp'
HP (SSRT071403) http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01446326
CVE-2008-0713
Vulnérabilité dans 'LDAP-UX'
Une faille non documentée dans 'LDAP-UX' permet d'obtenir un accès non autorisé.
Moyenne 06/05 HP 'HP-UX' version B.11.11, B.11.23 B.11.31 et 'LDAP-UX' versions B.04.10 à B.04.15
Non disponible
HP (SSRT080053) http://www11.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01447010-1
CVE-2008-1659
IBM
Contournement de la sécurité dans WebSphere
Une faille non documentée dans 'WebSphere Application Server' permet à un attaquant de contourner la sécurité.
Forte
02/05 IBM 'WebSphere Application Server' version 5.0.2
Non disponible
Correctif existant Greffon 'Java'
http://www-1.ibm.com/support/docview.wss?uid=swg1PK65161
IBM
"Cross-Site Scripting" dans 'Lotus Quickr'
Forte
14/05 IBM 'Lotus Quickr' versions inférieures à 8.1 with Hotfix 5
Correctif existant Editeur 'WYSIWYG'
http://www-1.ibm.com/support/docview.wss?uid=swg24018711
IBM
"Cross-Site Scripting" via 'Lotus Domino Web Access'
Une faille permet à un attaquant distant de mener des attaques de type "Cross-Site Scripting".
Forte
20/05 IBM 'Lotus Domino Web Access' versions 6.5 à 8.0.1
Non disponible
Correctif existant Moteur de 'servlet'
http://www-1.ibm.com/support/docview.wss?rs=463&uid=swg21303296
IBM
Débordement de pile dans 'Lotus Sametime'
Un débordement de pile aux conséquences inconnues affecte le produit 'Lotus Sametime'.
Forte
20/05 IBM 'Lotus Sametime' version 7.5.1
Correctif existant Composant 'Community
IBM
Déni de service du serveur Web de 'Lotus Domino'
Un débordement de pile dans le serveur Web de 'Lotus Domino' permet de provoquer un déni de service.
Forte
20/05 IBM 'Lotus Domino' version 6.0 à 8.0.1
Correctif existant En-têtes 'Accept-Language'
IBM
Page 41/63
Mai 2008
Déni de service via 'Rational Build Forge'
Une faille dans 'Rational Build Forge' permet de provoquer un déni de service d'une plate-forme vulnérable.
Forte
02/05 IBM 'Rational Build Forge' version 7.0.2
Agent 'Build Forge'
Aucun correctif
IBM
LINUX
Multiples failles dans le noyau Linux
De multiples failles dans le noyau Linux permettent de provoquer des dénis de service entre autres choses.
Moyenne 07/05 Linux 'Noyau 2.6'
Se référer à l’avis original
Validation insuffisante des données, Erreurs de conception, …
Aucun correctif
https://rhn.redhat.com/errata/RHSA-2008-0211.html
Red Hat
Red Hat
Red Hat
CVE-2007-5001, CVE-2007-5498, CVE-2007-6282, CVE-2008-1367, CVE-2008-1615, CVE-2008-1619, CVE-2008-1669
Faille dans le noyau Linux
Une faille non documentée et aux conséquences inconnues affecte le noyau Linux.
N/A
27/05 Linux 'Noyau 2.6' versions inférieures à 2.6.25.4
Non disponible
http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.25.4
Kernel.org
MICROSOFT
Exécution de code arbitraire dans 'Jet Database Engine'
Une faille dans le composant 'Jet Database Engine' des plate-formes Windows permet d'exécuter du code arbitraire.
Critique
Correctif existant Bibliothèque 'msjet40.dll'
http://www.microsoft.com/technet/security/Bulletin/MS08-028.mspx
Microsoft
CVE-2007-6026
Exécution de code arbitraire dans 'Publisher'
Une faille dans Microsoft 'Publisher' permet d'exécuter du code arbitraire.
Critique
13/05 Microsoft Publisher 2000 SP3, 2002 SP3, 2003 SP2, 2003 SP3, 2007 SP1 et inférieures
Correctif existant Données gestionnaire d'objet
Microsoft
CVE-2008-0119
Exécution de code dans Microsoft 'Word'
Deux failles dans Microsoft 'Word' permettent d'exécuter du code arbitraire.
Critique
Corruption de la mémoire
Correctif existant Fichiers '.rtf', Valeurs 'CSS'
Microsoft
CVE-2008-1091, CVE-2008-1434
Contournement de la sécurité dans 'Internet Explorer'
Une faille dans 'Internet Explorer' version 7 permet de contourner une option de sécurité.
Moyenne 12/05 Microsoft 'Internet Explorer' version 7
'DisableCachingOfSSLPages'
Non disponible
Aucun correctif
US-CERT
Dénis de service dans 'Malware Protection Engine'
Deux failles permettent de provoquer des dénis de service.
Moyenne 13/05 Se référer à l’avis original
Correctif existant Bibliothèque 'mpengine.dll'
Microsoft
CVE-2008-1437, CVE-2008-1438
Faille dans 'Outlook Web Access'
Une faille dans Microsoft 'Outlook Web Access' permet d'enregistrer sur le disque des données sensibles.
Faible
09/05 Microsoft 'Outlook Web Access'
Directive HTTP 1.1 'no-store'
Palliatif proposé
US-CERT
Multiples vulnérabilités dans 'Windows CE'
De multiples failles non documentées affectent la plate-forme 'Windows CE'.
N/A
12/05 Microsoft 'Windows CE' version 5.0
Non disponible
Correctif existant Composant 'GDI+'
http://support.microsoft.com/kb/948812
Microsoft
Page 42/63
Mai 2008
MOZILLA
Multiples failles dans 'Bugzilla'
Plusieurs failles permettent de mener des attaques "XSS" et de contourner certains mécanismes de sécurité.
Forte
06/05 'Bugzilla' versions 2.20.5 et inférieures, 2.22.3 et inférieures, 3.0.3 et inférieures, 3.1.3 et inférieures
Validation insuffisante des données, Erreur de conception
http://www.bugzilla.org/security/2.20.5/
Mozilla
MYSQL
Contournement de la sécurité dans 'MySQL'
Une faille permet à un utilisateur local de contourner certains mécanismes de sécurité.
Moyenne 09/05 MySQL 'MySQL' versions inférieures à 4.1.24, à 5.0.60, à 5.1.24, à 6.0.5
Correctif existant Table de type 'MyISAM'
http://bugs.mysql.com/bug.php?id=32167
MySQL
CVE-2008-2079
NASA
Débordement de pile dans la bibliothèque 'CDF'
Un débordement de pile permet de provoquer l'exécution de code ou un déni de service des applications l'utilisant.
Forte
06/05 NASA 'CDF' version 3.2 et inférieures
Correctif existant Fichier 'src/lib/cdfread64.c'
http://cdf.gsfc.nasa.gov/CDF32_buffer_overflow.html
NASA
CVE-2008-2080
NORTEL
Déni de service dans Multimedia Communication Server
Un débordement de buffer permet à un attaquant de provoquer un déni de service.
Forte
02/05 Nortel 'Multimedia Communication Server 5100' versions inférieures à 3.5.8.3, à 4.0.25.3
Débordement de buffer
Correctif existant Client multimédia PC
http://support.nortel.com/go/main.jsp?cscat=BLTNDETAIL&id=719698
Nortel
PAM-PGSQL
Contournement de l'authentification de 'pam-pgsql'
Une faille dans 'pam-pgsql' permet de contourner le processus d'authentification.
Moyenne 26/05 pam-pgsql 'pam-pgsql' versions inférieures à 0.6.4
Correctif existant Fichier 'pam_pgsql.c’
Debian Bug report http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=481970
PHP
Multiples failles dans 'PHP'
De multiples failles aux conséquences inconnues affectent 'PHP'.
Forte
01/05 PHP 'PHP' versions inférieures à 5.2.6
Débordement de pile, Erreur de conception
Correctif existant API 'FastCGI'
http://www.php.net/ChangeLog-5.php
PHP
CVE-2008-0599
RED HAT
Déni de service dans 'Red Hat Directory Server'
Un débordement de buffer permet de provoquer un déni de service du serveur LDAP et d'exécuter du code.
Forte
13/05 Red Hat 'Directory Server' version 7.1, version 8.0
Correctif existant Expression régulière
http://rhn.redhat.com/errata/RHSA-2008-0269.html http://rhn.redhat.com/errata/RHSA-2008-0268.html
Red Hat
CVE-2008-1677
STUNNEL
Elévation de privilèges via 'Stunnel'
Une faille permet d'exécuter du code arbitraire avec des droits privilégiés.
Moyenne 20/05 STUNNEL 'Stunnel' versions inférieures à 4.23
Non disponible
http://www.stunnel.org/news/
Stunnel
Contournement de la sécurité de 'Stunnel'
Une faille permet de contourner certains mécanismes de sécurité et d'obtenir ainsi un accès non autorisé.
Moyenne 22/05 STUNNEL 'Stunnel' versions inférieures à 4.24
Non disponible
Correctif existant Fonctionnalité 'OCSP'
http://stunnel.mirt.net/pipermail/stunnel-announce/2008-May/000035.html
Stunnel
Page 43/63
Mai 2008
SUN
"Cross-Site Scripting" dans Sun Java System Web Server
Forte
09/05 Sun 'Sun Java System Web Server' version 7.0 Update 2, version 6.1 Service Pack 9
Correctif existant 'lib/webapps/search/index.jps'
http://sunsolve.sun.com/search/document.do?assetkey=1-66-231467-1
Sun
"Cross-Site Scripting" dans Sun Java System Web Server
Une faille permet à un attaquant de mener des attaques de type "Cross-Site Scripting".
Forte
23/05 Sun 'Sun Java System Web Server' version 6.1, version 7.0
Non disponible
Correctif existant Mécanisme de recherche
Sun
Déni de service dans l'implémentation TCP pour Solaris
Une faille dans l'implémentation TCP des versions 8, 9 et 10 permet de provoquer un déni de service.
Forte
09/05 Sun 'Solaris' versions 8, 9 et 10
Non diponible
Correctif existant Implémentation TCP
Sun
Déni de service dans 'Solaris'
Une faille dans 'Solaris' versions 8, 9 et 10 permet de provoquer un déni de service et d'exécuter du code arbitraire.
Moyenne 13/05 Sun 'Solaris' versions 8, 9 et 10
Non disponible
Correctif existant Service d'impression
Sun
Déni de service dans 'Solaris' 10
Une faille non documentée dans 'Solaris' version 10 permet de provoquer un déni de service.
Moyenne 22/05 Sun 'Solaris' version 10
Correctif existant Pilote 'STREAMS Administrative' Non disponible
Sun
Dénis de service via 'SCTP'
Des failles dans 'Solaris' permettent de provoquer des dénis de service d'une plate-forme.
Forte
02/05 Sun 'Solaris' version 10
Non disponible
Correctif existant Protocole 'SCTP'
Sun
Exécution de commandes dans Sun Ray Server Software
Une élévation de privilèges permet à un attaquant d'exécuter des commandes arbitraires.
Forte
09/05 Sun 'Sun Ray Server Software' version 4.0
Elévation de privilèges
Correctif existant Mode 'Kiosk'
Sun
Exposition d'informations dans Sun
Une faille permet à un attaquant de voir les codes sources 'JSP'.
Forte
Non disponible
Sun
SYMANTEC
Multiples failles dans un produit Altiris
De multiples failles permettent de provoquer des dénis de service ou l'exécution de code, entre autres choses.
Forte
14/05 Symantec 'Altiris Deployment Solution' versions inférieures à 6.9.176
Injection de code SQL, Erreur de conception
Correctif existant Se référer à l’avis original
http://www.symantec.com/avcenter/security/Content/2008.05.14a.html
Symantec
Traversée de répertoire dans un produit Symantec
Une traversée de répertoire permet d'obtenir une élévation de privilèges et ainsi d'avoir accès à des fichiers.
Forte
29/05 Symantec 'Symantec Backup Exec System Recovery Manager' version 7.x, version 8.x
Traversée de répertoire
http://www.symantec.com/avcenter/security/Content/2008.05.28c.html
Symantec
TYPO3
Multiples failles dans l'extension 'sr_feuser_register'
Plusieurs failles permettent de mener des attaques de type "Cross-Site Scripting" et d'exécuter du code arbitraire.
Forte
Correctif existant Données utilisateur
http://typo3.org/teams/security/security-bulletins/typo3-20080515-1/
Typo3
Page 44/63
Mai 2008
"Cross-Site Scripting" via 'rlmp_eventdb'
Forte
14/05 Typo3 'rlmp_eventdb' versions inférieures à 1.1.2
Typo3
"Cross-Site Scripting" via 'wt_gallery'
Des manques de validation permettent de mener des attaques ‘XSS’ et de télécharger des images arbitraires.
Forte
14/05 Typo3 'wt_gallery' version 2.6.2 et inférieures, version 2.5.0 et inférieures
http://secunia.com/advisories/30217/
Secunia
Typo3
XEROX
"Cross-Site Scripting" dans les produits 'WorkCentre'
Une faille non documentée de Xerox permet à un attaquant de mener des attaques de type "Cross-Site Scripting".
Forte
19/05 Xerox 'WorkCentre' version 7132, 7228, 7235, 7245
Non disponible
Correctif existant Serveur 'Web'
http://www.xerox.com/downloads/usa/en/c/cert_XRX08_004.pdf
Xerox
ALERTES NON CONFIRMEES
Les alertes présentées dans les tables de synthèse suivantes ont été publiées dans diverses listes
d’information mais n’ont pas encore fait l’objet d’une annonce ou d’un correctif de la part de l’éditeur. Ces
alertes nécessitent la mise en place d’un processus de suivi et d’observation.
AKAMAI
Faille dans 'Akamai Download Manager'
Une faille dans les produits 'Akamai Download Manager' permet de provoquer l'exécution de code arbitraire.
Forte
30/04 Akamai 'Download Manager Java Applet' version 2.2.2.0, 'DownloadManagerV2.ocx' version 2.2.2.1
Correctif existant Gestion des paramètres
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=695
iDefense
CVE-2008-6339
APACHE
"Cross-Site Scripting" dans 'Apache'
Forte
08/05 Apache 'Apache' version 1.3.40-dev et inférieures, version 2.2.7-dev et inférieures
Pages d'erreur de type '403'
Non disponible
Aucun correctif
http://www.securityfocus.com/bid/29112
SecurityFocus
APPLE
Dénis de service dans Apple 'iCal'
Trois failles permettent de provoquer l'exécution potentielle de code arbitraire ou des dénis de service.
Forte
21/05 Apple 'iCal' version 3.0.1
Validation insuffisante des données, Déréférencement de pointeur NULL
Correctif existant Gestion des fichiers '.ics'
http://www.coresecurity.com/?action=item&id=2219
Core Security
CVE-2008-1035, CVE-2008-2006, CVE-2008-2007
ARUBA NETWORKS
Multiples failles dans 'Aruba Mobility Controller'
Des failles permettent de mener des attaques de type "XSS" et de contourner certains mécanismes de sécurité.
Forte
15/05 Aruba Networks 'Aruba Mobility Controller' versions 2.4.8.0-FIPS à 3.3.1.0
Correctif existant Interface Web utilisateur
http://securitytracker.com/id?1020032
SecurityTracker
SecurityTracker
AUDACITY
Déni de service dans 'Audacity'
Une erreur de traitement permet de provoquer un déni de service et d'effacer des fichiers et des répertoires.
Moyenne 13/05 Audacity 'Audacity' version 1.3.2
Erreur de traitement
Correctif existant 'AudacityApp::OnInit()'
http://secunia.com/advisories/27841
Secunia
CVE-2007-6061
Page 45/63
Mai 2008
B2EVOLUTION
"Cross-Site Scripting" dans 'b2evolution'
Forte
06/05 b2evolution 'b2evolution' version 1.8.6
Correctif existant Paramètre 'redirect_to'
Secunia
CVE-2007-0175
BARRACUDA NETWORKS
"Cross-Site Scripting" dans 'Barracuda Spam Firewall'
Forte
22/05 Barracuda Networks 'Barracuda Spam Firewall' versions inférieures à 3.5.11.025
Correctif existant Script CGI 'ldap_test.cgi'
http://lists.grok.org.uk/pipermail/full-disclosure/2008-May/062493.html
Full-Disclosure
CVE-2008-2333
BLENDER
Exécution de code arbitraire dans 'Blender'
Un débordement de buffer dans 'Blender' permet à un attaquant d'exécuter du code arbitraire.
Forte
06/05 Blender 'Blender' version 2.45
Correctif existant Fonction 'imb_loadhdr()'
Secunia
CVE-2008-1102
Corruption de fichiers via 'Blender'
Des failles dans 'Blender' permettent de corrompre des fichiers arbitraires ou d'obtenir des informations.
Moyenne 16/05 Blender 'Blender' version 2.45 et inférieures
Fichiers temporaires
Gestion non sécurisée de fichiers temporaires
Aucun correctif
Secunia
CVE-2008-1103
BORLAND
Débordement de buffer dans 'Interbase 2007'
Un débordement d'entier dans le produit 'Interbase 2007' permet d'exécuter du code arbitraire.
Forte
20/05 Borland 'Interbase 2007' version SP2
Gestion des paquets
Débordement d'entier
Aucun correctif
Core Security
CA
Corruption de fichiers via un contrôle ActiveX
Une faille dans un contrôle ActiveX permet de corrompre des fichiers arbitraires.
Forte
28/05 CA 'Internet Security Suite 2008'
Contrôle 'UmxEventCli.dll'
Aucun correctif
SecurityTracker
CASTLE ROCK
Déni de service dans 'SNMPc'
Un débordement de buffer dans 'SNMPc' permet à un attaquant de provoquer un déni de service.
Moyenne 02/05 CASTLE ROCK 'SNMPc' version 7.1
Correctif existant Paquets 'SNMP TRAP'
Secunia
CBRPAGER
Exécution de code arbitraire dans 'cbrpager'
Un manque de validation permet à un attaquant d'exécuter du code arbitraire.
Forte
29/05 cbrPager 'cbrpager' version 0.9.17-1.fc{10-7}
Correctif existant Fonction 'system()'
https://bugzilla.redhat.com/show_bug.cgi?id=448285
Red Hat Bugzilla
CERBERUS
Exposition d'informations dans 'Helpdesk'
Une erreur de conception dans 'Helpdesk' de Cerberus permet à un attaquant d'obtenir des informations sensibles.
Forte
26/05 CERBERUS 'Helpdesk' versions inférieures à 4.0 (Build 600)
Correctif existant Processus d'authentification
Secunia
Page 46/63
Mai 2008
CERULEAN STUDIOS
Exécution de code arbitraire dans 'Trillian'
De multiples débordements de buffer permettent à un attaquant d'exécuter du code arbitraire.
Forte
22/05 Cerulean Studios 'Trillian' versions inférieures à 3.1.10.0
SecurityFocus
CISCO
"Cross-Site Scripting" dans 'BBSM Captive Portal'
Forte
13/05 Cisco 'BBSM Captive Portal' versions inférieures à 5.3.3.2
Correctif existant Page 'AccessCodeStart.asp'
http://www.securityfocus.com/archive/1/492043
Bugtraq
CVE-2008-2165
CLAROLINE
Compromission d'application dans 'Claroline'
Un manque de validation dans 'Claroline' permet à un attaquant de compromettre l'application.
Moyenne 13/05 Claroline 'Claroline' version 1.7.5
Données utilisateur
Aucun correctif
SecurityFocus
CPANEL
"Cross-Site Request Forgery" dans 'cPanel'
Un manque de validation permet à un attaquant de mener des attaques de type "Cross-Site Request Forgery".
Forte
02/05 cPanel 'cPanel' version 11.18.3 build ID 21703
Requêtes HTTP
Aucun correctif
Secunia
"Cross-Site Request Forgery" dans 'cPanel'
Des manques de validation permettent de mener des attaques "XSS" et "CRSF".
Forte
14/05 cPanel 'cPanel' versions inférieures à 11.18.4-23888 et 'cPanel' versions inférieures à 11.22.2-23808
Correctif existant 'issue', 'user' et 'search'
Secunia
CVE-2008-2070, CVE-2008-2071
"Cross-Site Scripting" dans 'cPanel'
Forte
13/05 cPanel 'cPanel' versions 11.18.3 et inférieures
SecurityFocus
Exécution de code arbitraire dans 'cPanel'
Une faille permet à un attaquant d'obtenir des droits privilégiés et d'exécuter du code PHP arbitraire.
Forte
20/05 cPanel 'cPanel' versions 10 à 11.21-BETA
Fichier 'wwwact'
Non disponible
Aucun correctif
SecurityFocus
EMC
Exécution de code dans le produit 'AlphaStor'
Des failles dans le produit 'AlphaStor' permettent d'exécuter du code arbitraire avec des droits privilégiés.
Forte
27/05 EMC 'AlphaStor' version 3.1 SP1 et inférieures
Débordement de pile, Validation insuffisante des données
Correctif existant Composant 'Server Agent'
iDefense
iDefense
CVE-2008-2157, CVE-2008-2158
F5 NETWORKS
"Cross-Site Scripting" dans 'FirePass 4100'
Un manque de validation permet de mener des attaques de type "Cross-Site Scripting".
Forte
23/05 F5 Networks 'FirePass 4100'
Script 'my.logon.php3'
Aucun correctif
http://marc.info/?l=bugtraq&m=121155705527819&w=2
Bugtraq
Page 47/63
Mai 2008
FIREBIRD
Accès non autorisé dans 'Firebird'
Une faille dans la base de données 'Firebird' permet à un attaquant d'obtenir un accès utilisateur 'SYSDBA'.
Forte
13/05 Firebird 'Firebird' version 2.0.3.12981.0
Non disponible
Correctif existant Variable 'ISC_PASSWORD'
SecurityFocus
CVE-2008-1880
FOXIT
Exécution de code dans 'Foxit Reader'
Un débordement de buffer dans une fonction de 'Foxit Reader' permet d'exécuter du code arbitraire.
Forte
20/05 Foxit 'Foxit Reader' version 2.3 build 2825 et inférieures
Correctif existant Fonction 'util.printf()'
Secunia
CVE-2008-1104
GFORGE
Réécriture de fichiers dans 'GForge'
Une erreur de création des fichiers temporaires dans 'GForge' permet à un attaquant de réécrire des fichiers.
Moyenne 15/05 GForge 'GForge' version 4.5.14
Erreur de création
Correctif existant Fichiers temporaires
Secunia
CVE-2008-0167
GNOME
Déni de service dans 'PeerCast'
Un débordement de buffer dans 'PeerCast' permet à un attaquant de provoquer un déni de service.
Forte
02/05 Gnome 'PeerCast' version 0.1218
'HTTP::getAuthUserPass()'
Aucun correctif
Secunia
GNU
Exécution de code arbitraire dans 'Emacs'
Une erreur de traitement dans 'Emacs' permet à un attaquant d'exécuter du code arbitraire.
Forte
14/05 Gnu 'Emacs' version 21.3.1
Fichiers 'fast-lock' (.flc)
Aucun correctif
Secunia
CVE-2008-2142
Exposition d'informations dans 'Gallery'
Un manque de vérification dans l'application 'Gallery' permet à un attaquant d'obtenir des informations sensibles.
Forte
20/05 Gnu 'Gallery' version 1.1.1.0
Paramètre 'show'
Manque de vérification
Aucun correctif
Secunia
Multiples failles dans 'GnuTLS'
De multiples failles dans 'GnuTLS' permettent de provoquer l'exécution de code arbitraire et des dénis de service.
Forte
20/05 Gnu 'GnuTLS' version 2.2.4 et inférieures
Débordement de tas, Déréférencement de pointeur NULL, Erreur de codage
SecurityFocus
CVE-2008-1948, CVE-2008-1949, CVE-2008-1950
GRAPHICSMAGICK
Contournement de la sécurité dans 'GraphicsMagick'
Une erreur de traitement dans 'GraphicsMagick' permet à un attaquant de contourner la sécurité.
Forte
02/05 GraphicsMagick 'GraphicsMagick' versions inférieures à 1.1.12
Correctif existant Extensions de fichier
Secunia
HORDE
"Cross-Site Scripting" dans 'Kronolith'
Forte
27/05 Horde 'Kronolith'
Aucun correctif
SecurityFocus
Page 48/63
Mai 2008
"Cross-Site Scripting" dans 'Turba Contact Manager '
Forte
15/05 Horde 'Turba Contact Manager ' version 2.1.7
Aucun correctif
SecurityFocus
IBM
Exécution de code arbitraire dans 'AIX' ('errpt')
Un débordement de buffer via la commande 'errpt' permet à un attaquant d'exécuter du code arbitraire.
Moyenne 22/05 IBM 'AIX' version 5.2, 5.3, 6.1
Correctif existant Commande 'errpt'
SecurityFocus
Exécution de code arbitraire dans 'AIX' ('iostat')
Une élévation de privilèges dans 'AIX' permet à un attaquant d'exécuter du code arbitraire.
Elévation de privilèges
Correctif existant Commande 'iostat'
SecurityFocus
Exécution de code arbitraire dans le noyau de 'AIX'
Un débordement de buffer dans le noyau de 'AIX' permet à un attaquant d'exécuter du code arbitraire.
SecurityFocus
INTERCHANGE
Déni de service dans 'Interchange'
Une faille non documentée dans 'Interchange' permet à un attaquant de provoquer un déni de service.
Forte
02/05 Interchange 'Interchange' version 5.2.1
Non disponible
SecurityFocus
Déni de service dans 'Interchange'
Une faille dans 'Interchange' permet à un attaquant de provoquer un déni de service.
Forte
23/05 Interchange 'Interchange' versions inférieures à 5.6.0
Non disponible
Correctif existant Requête HTTP de type 'POST'
Secunia
INVENSYS
Déni de service de 'Wonderware SuiteLink'
Une vulnérabilité dans 'Wonderware SuiteLink' permet à un attaquant de provoquer un déni de service du produit.
Forte
05/05 Invensys 'Wonderware InTouch' version 8.0, 'WonderWare SuiteLink' versions inférieures à 2.0 Patch 01
Correctif existant Service 'slssvc.exe'
Core Security
CVE-2008-2005
JELSOFT
Injection SQL dans l'application 'vBulletin'
Une injection de code SQL permet à un attaquant de modifier des données et de corrompre l'application.
Moyenne 21/05 Jelsoft 'vBulletin' version 3.7.0 Gold
Fichier 'faq.php'
Injection de code SQL
Aucun correctif
SecurityFocus
JOOMLA!
Compromission d'application dans Joomla!
Moyenne 13/05 Joomla! 'Datsogallery' version 1.6 et 'xsstream-dm' version 0.01 Beta
Paramètre 'movie'
Aucun correctif
SecurityFocus
SecurityFocus
Compromission d'application via 'Webhosting'
Moyenne 02/05 Joomla! 'Webhosting'
Paramètre 'catid'
Aucun correctif
SecurityFocus
Page 49/63
Mai 2008
LENOVO
Usurpation d'informations via 'System Update'
Une faille permet à un attaquant de se faire passer pour un serveur via l'usurpation d'informations.
Forte
26/05 Lenovo 'System Update' version 3.13.0005
Correctif existant Bibliothèque non disponible
Full Disclosure
LIBXSLT
Déni de service via la bibliothèque 'libxslt'
Une erreur de conception permet de provoquer un déni de service ou l'exécution potentielle de code arbitraire.
Moyenne 21/05 libxslt 'libxslt' version 1.1.20
Correctif existant Processeur 'XLST'
http://bugzilla.gnome.org/show_bug.cgi?id=527297
Gnome Bugzilla
CVE-2008-1767
LINUX
Contournement de la sécurité dans le noyau de Linux
Une erreur de traitement dans le noyau de Linux permet à un attaquant de contourner la sécurité du système.
Moyenne 02/05 Linux 'Noyau' versions inférieures à 2.6.22
Correctif existant Limitations 'RLIMIT_CPU'
SecurityFocus
CVE-2008-1294
Déni de service dans le noyau de Linux
Une faille dans le noyau de Linux permet à un attaquant de provoquer un déni de service.
Moyenne 02/05 Linux 'Noyau' version 2.6.25 et inférieures
Non disponible
Correctif existant Fichier 'dnotify.c'
SecurityFocus
CVE-2008-1375
Une corruption de mémoire dans le noyau de Linux permet à un attaquant de provoquer un déni de service.
Moyenne 05/05 Linux 'Noyau' versions inférieures à 2.6.25.1
Corruption de mémoire
Correctif existant Pilote 'Tehuti'
http://www.securityfocus.com/bid/29014/
SecurityFocus
CVE-2008-1675
Une faille dans le noyau de Linux permet à un attaquant de provoquer un déni de service.
Moyenne 13/05 Linux 'Noyau' versions 2.6.22 à 2.6.25.2
Non disponible
Correctif existant Fonction 'sys_utimensat'
SecurityFocus
Une erreur de traitement dans le noyau de Linux permet à un attaquant de provoquer un déni de service.
Moyenne 21/05 Linux 'Noyau' version 2.6.21-rc4 et inférieures
Correctif existant Fonction 'hrtimer_forward()'
SecurityFocus
CVE-2007-6712
Déni de service dans le noyau Linux
Une erreur de codage permet de provoquer un déni de service d'une plate-forme vulnérable.
Forte
27/05 Linux 'Noyau 2.6' versions inférieures à 2.6.25.3
Erreur de codage
Correctif existant Fonction 'mmap()'
SecurityFocus
CVE-2008-2137
Multiples failles dans le noyau Linux
Deux failles dans le noyau Linux permettent de modifier des informations ou de provoquer un déni de service.
Moyenne 15/05 Linux 'Noyau 2.6' version 2.6.25.2 et inférieures
Erreur de conception, Fuite mémoire
Secunia
CVE-2008-2136, CVE-2008-2148
Page 50/63
Mai 2008
MANTIS
"Cross-Site Request Forgery" dans 'Mantis'
Une faille permet à un attaquant de mener des attaques de type "Cross-Site Request Forgery".
Forte
15/05 Mantis 'Mantis' version 1.1.1 et inférieures
Correctif existant Requêtes HTTP
Secunia
"Cross-Site Scripting" dans 'Mantis'
Forte
21/05 Mantis 'Mantis' version 1.1.1
SecurityFocus
MICROSOFT
Elévation de privilèges via 'i2omgmt.sys'
Une faille dans le pilote 'i2omgmt.sys' permet à un utilisateur local d'obtenir des droits privilégiés.
Moyenne 12/05 Microsoft 'Windows XP' version SP2
Erreur de conception, validation insuffisante des données
Correctif existant Pilote 'i2omgmt.sys'
iDefense
CVE-2008-0322
"Cross-Zone Scripting" dans 'Internet Explorer'
Une faille permet à un attaquant de mener des attaques de type "Cross-Zone Scripting".
Moyenne 14/05 Microsoft 'Internet Explorer' version 7.0
'Print Table of Links'
Aucun correctif
http://aviv.raffon.net/2008/05/14/InternetExplorerQuotPrintTableOfLinksquotCrossZoneScriptingVulnerability.
Aviv Raff
aspx
MOTOROLA
Exécution de code dans le téléphone 'RAZR'
Une faille permet à un attaquant distant de provoquer l'exécution de code arbitraire.
Forte
27/05 Motorola 'RAZR'
Correctif existant Images de type 'JPEG'
http://www.zerodayinitiative.com/advisories/ZDI-08-033/
Zero Day Init
MOZILLA
Déni de service de 'Firefox'
Une corruption de la mémoire dans 'Firefox' permet de provoquer un déni de service du navigateur.
Forte
21/05 Mozilla 'Firefox' version 2.0.0.14
'JavaScript', 'iFrame'
Aucun correctif
SecurityFocus
MTR
Exécution de code arbitraire dans 'mtr'
Un débordement de pile dans 'mtr' permet d'exécuter du code arbitraire.
Moyenne 20/05 MTR 'mtr' versions inférieures à 0.73
Correctif existant Fichier 'split.c'
SecurityFocus
CVE-2008-2357
NAGIOS
"Cross-Site Scripting" dans 'Nagios'
Forte
13/05 Nagios 'Nagios' versions inférieures à 2.9
SecurityFocus
CVE-2007-5803
NET-SNMP
Déni de service via le module 'Perl'
Un débordement de buffer permet à un attaquant de provoquer un déni de service.
Moyenne 15/05 Net-SNMP 'Net-snmp' version 5.4.1
Correctif existant Fonction '__snprint_value()'
Secunia
Page 51/63
Mai 2008
NOVELL
"Cross-Site Scripting" dans 'GroupWise'
Forte
05/05 Novell 'GroupWise' version 7
Pièces jointes '.JPG'
Aucun correctif
Secunia
Exécution de code arbitraire dans 'Novell Client'
Un débordement de pile permet de provoquer un déni de service ou l'exécution potentielle de code arbitraire.
Forte
14/05 Novell 'Novell Client' version 4.91 SP4 et inférieures
Lien 'forgotten password'
Aucun correctif
SecurityFocus
OPENSSL
Déni de service dans 'OpenSSL'
Des failles dans 'OpenSSL' permettent à un attaquant de provoquer des dénis de service.
Forte
29/05 OpenSSL 'OpenSSL' version 0.9.8f, 0.9.8g
Secunia
CVE-2008-0891, CVE-2008-1672
ORACLE
Faille dans 'Oracle Application Server Portal'
Une faille dans 'Oracle Application Server Portal' permet de contourner l'authentification à un répertoire.
Forte
09/05 Oracle 'Oracle Application Server Portal' version 10g
Répertoire '/dav_portal/portal/'
Aucun correctif
SecurityFocus
PHP
Faiblesse dans la génération des nombres aléatoires
Une erreur de conception dans 'PHP' provoque une faiblesse dans la génération des nombres aléatoires.
Moyenne 06/05 PHP 'PHP' version 5.2.5 et inférieures, version 4.4.8 et inférieures
Correctif existant Macro 'GENERATE_SEED()'
Full-Disclosure
PHP-NUKE
Compromission d'application via 'KuiraniKerim'
Une injection de code SQLpermet à un attaquant de modifier des données et de corrompre l'application.
Moyenne 19/05 PHP-NUKE 'KuiraniKerim'
Paramètre 'sid'
Aucun correctif
SecurityFocus
QEMU
Lecture de fichiers arbitraires dans 'QEMU'
Un contournement de la sécurité dans 'QEMU' permet à un utilisateur malveillant de lire des fichiers arbitraires.
Moyenne 09/05 QEMU 'QEMU' version 0.9.1
Contournement de la sécurité
Correctif existant Fonction 'drive_init()'
Secunia
CVE-2008-2004
RDESKTOP
Exécution de code dans 'rdesktop'
Des multiples failles dans le produit 'rdesktop' permettent de provoquer l'exécution de code arbitraire.
Forte
07/05 rdesktop 'rdesktop' version 1.5.0 et inférieures
Erreur de codage, Débordement de buffer
Correctif existant Fonctions diverses
697
696
iDefense
CVE-2008-1801, CVE-2008-1802, CVE-2008-1803
SAMBA
Exécution de code arbitraire dans 'Samba'
Un débordement de buffer dans 'Samba' permet à un attaquant d'exécuter du code arbitraire.
Forte
29/05 Samba 'Samba' version 3.0.28a, version 3.0.29
Fonction 'receive_smb_raw()'
Aucun correctif
Secunia
CVE-2008-1105
Page 52/63
Mai 2008
SAP
"Cross-Site Scripting" dans Internet Transaction Server
Forte
08/05 SAP 'Internet Transaction Server' version 6200.1017.50954.0
Correctif existant Bibliothèque 'wgate.dll'
http://www.portcullis-security.com/275.php
Porticullis
"Cross-Site Scripting" dans 'Web Application Server'
Forte
21/05 SAP 'Web Application Server' version 7.0
'/sap/bc/gui/sap/its/webgui/'
Aucun correctif
SecurityFocus
SARG
Débordement de buffer dans 'Sarg'
Un débordement de buffer, aux conséquences inconnues, affecte 'Sarg'.
N/A
13/05 Sarg 'Sarg'
Non disponible
Aucun correctif
Secunia
SETROUBLESHOOT
Multiples failles dans 'SETroubleShoot'
Des failles permettent d'injecter et d'exécuter du code arbitraire, ainsi que de corrompre des fichiers arbitraires.
Moyenne 21/05 SETroubleShoot 'SETroubleShoot' version non disponible
Fichiers temporaires, 'HTML'
Création non sécurisée de fichiers temporaires, Validation des données
Aucun correctif
SecurityFocus
CVE-2007-5495, CVE-2007-5496
SIPP
Déni de service dans 'SIPp'
Un débordement de buffer dans 'SIPp' permet à un attaquant de provoquer un déni de service.
Forte
13/05 SIPp 'SIPp' version 3.0
Correctif existant 'get_remote_video_port_media' Débordement de buffer
Secunia
CVE-2008-1959
SNORT
Contournement de la sécurité de 'Snort'
Une faille dans 'Snort' permet de contourner les règles de filtrages.
Forte
21/05 Snort 'Snort' version 2.6, version 2.8
Correctif existant Paquets IP fragmentés
iDefense
CVE-2008-1804
SONICWALL
"Cross-Site Scripting" dans 'Email Security'
Forte
08/05 Sonicwall 'Email Security' version 6.1.1
Pages d'erreurs
Aucun correctif
SecurityFocus
SWFDEC
Exposition d'informations dans 'swfdec'
Une faillepermet à un attaquant d'obtenir des informations à l'aide d'une animation Flash spécialement construite.
Moyenne 21/04 swfdec 'swfdec' versions inférieures à 0.6.4
Correctif existant Fichier 'swfdec_load_object.c'
SecurityFocus
SYSTEM-CONFIG-NETWORK
Contournement de la sécurité via system-config-network
Une erreur permet à un attaquant de contourner la sécurité et de changer la configuration du système.
Moyenne 29/05 system-config-network 'system-config-network'
Non disponible
Correctif existant Fichier 'consolehelper'
Secunia
CVE-2008-2359
Page 53/63
Mai 2008
TYPO3
"Cross-Site Scripting" dans 'TYPO3'
Forte
06/05 Typo3 'TYPO3' versions inférieures à 1.1.10
Correctif existant Extension 'powermail'
Secunia
"Cross-Site Scripting" via 'kj_imagelightbox2'
Forte
27/05 Typo3 'kj_imagelightbox2' version 1.4.2
Secunia
Injection de code SQL via 'sg_zfelib'
Un manque de validation permet à un attaquant d'injecter du code SQL et d'avoir accès à la base de données.
Forte
27/05 Typo3 'sg_zfelib' version 1.1.512
Correctif existant Requêtes SQL
Secunia
UNDERBIT
Déni de service dans 'libid3tag'
Une faille dans la bibliothèque 'libid3tag' permet à un attaquant de provoquer un déni de service.
Forte
14/05 underbit 'libid3tag'
Non disponible
Correctif existant Fonction 'id3_field_parse()'
http://www.mars.org/mailman/public/mad-dev/2008-January/001366.html
Mars.org
Bugzilla
VSFTPD
Déni de service de 'vsftpd'
Une faille dans le serveur FTP 'vsftpd' permet de provoquer un déni de service du produit.
Moyenne 21/05 Vsftpd 'vsftpd' version 2.0.5
Option 'deny_file'
Fuite mémoire
Aucun correctif
SecurityFocus
WORDPRESS
Compromission d'application via 'Upload File'
Moyenne 26/05 WordPress 'Upload File'
Fichier 'wp-uploadfile.php'
Aucun correctif
SecurityFocus
Compromission d'application via 'WP Photo Album'
Moyenne 13/05 WordPress 'WP Photo Album'
Paramètre 'photo'
Aucun correctif
SecurityFocus
Exposition d'informations dans WordPress
Une erreur de traitement dans WordPress permet à un attaquant d'obtenir des informations sensibles.
Forte
05/05 WordPress 'WordPress' versions inférieures à 2.1
Correctif existant "pingback"
Secunia
CVE-2007-0539, CVE-2007-0540, CVE-2007-0541
Téléchargement de fichier via le module 'Blog'
Un manque de validation dans le module 'Blog' de WordPress permet à un attaquant de télécharger des fichiers.
Forte
20/05 WordPress 'WordPress' version 2.5.1
Module 'Blog'
Manque de vérification
Aucun correctif
SecurityFocus
XENSOURCE
Déni de service et élévation de privilèges via 'PVFB'
Deux failles permettent de provoquer des dénis de service ou autorisent un utilisateur à obtenir des droits.
Moyenne 13/05 XenSource 'Xen' version non disponible
Composant 'PVFB'
Aucun correctif
SecurityTracker
SecurityTracker
Page 54/63
Mai 2008
XIPH
Multiples failles dans la bibliothèque 'libvorbis'
De multiples failles permettent de provoquer des dénis de service et d'exécuter du code arbitraire.
Moyenne 14/05 xiph 'libvorbis' version non disponible
Erreur de codage, Corruption de la mémoire Débordement d'entier
Red Hat Bugzilla
Red Hat Bugzilla
Red Hat Bugzilla
Red Hat Bugzilla
CVE-2008-1419, CVE-2008-1420, CVE-2008-1423, CVE-2008-2009
ZYXEL
"Cross-Site Scripting" dans 'ZyWALL 100'
Forte
08/05 ZyXEL 'ZYWall 100'
En-tête HTTP 'referer'
Aucun correctif
SecurityFocus
AUTRES INFORMATIONS
REPRISES D’AVIS
ET
CORRECTIFS
Les vulnérabilités suivantes, déjà publiées, ont été mises à jour, reprises par un autre organisme ou ont
donné lieu à la fourniture d’un correctif:
ADOBE
Publication du document APSA08-05
Adobe a publié le document APSA08-05 concernant la vulnérabilité du produit 'After Effects' version CS3 à la faille
décrite dans le document Adobe APSA08-04. Cette vulnérabilité, déclenchée par le traitement d'une image 'BMP'
spécialement construite, permet d'exécuter du code arbitraire. Un correctif sera inclus dans la prochaine version.
http://www.adobe.com/support/security/advisories/apsa08-05.html
Publication du document APSB08-13
Adobe a publié le document APSB08-13 concernant la vulnérabilité des produits 'Reader', 'Acrobat Professional',
'Acrobat 3D' et 'Acrobat Standard' aux failles discutées dans le document Adobe APSA08-01. Elles permettent
d'exécuter du code arbitraire, entre autres choses. Des correctifs sont disponibles.
http://www.adobe.com/support/security/bulletins/apsb08-13.html
CVE-2007-5659, CVE-2007-5663, CVE-2007-5666, CVE-2008-0655, CVE-2008-0667, CVE-2008-0726
APPLE
Correctif cumulatif pour les plate-formes Mac OS X
Apple a annoncé, dans le bulletin APPLE-SA-2008-05-28 Security Update 2008-003, la disponibilité d'un correctif
cumulatif pour les plate-formes 'Mac OS X' et 'Mac OS X Server' versions 10.4.11 et 10.5.2.
http://lists.apple.com/archives/security-announce/2008/May/msg00001.html
CVE-2005-3352, CVE-2005-3357, CVE-2006-3747, CVE-2007-0071, CVE-2007-1863, CVE-2007-3847, CVE-2007-4465, CVE-20075000, CVE-2007-5266, CVE-2007-5268, CVE-2007-5269, CVE-2007-5275, CVE-2007-6019, CVE-2007-6243, CVE-2007-6359, CVE2007-6388, CVE-2007-6637, CVE-2008-0177, CVE-2008-1035, CVE-2008-1654, CVE-2008-1655
ATERM
Elévation de privilèges dans 'aterm'
Une faille dans 'aterm' permet à un attaquant d'obtenir une élévation de privilèges. Cette faille est similaire à celle
précédemment discutée pour 'rxvt'.
CVE-2008-1142
AVAYA
Déni de service dans 'CMS'
Une faille dans 'CMS' permet à un attaquant de provoquer un déni de service. Cette faille est similaire à celle
précédemment discutée pour 'Solaris'.
CVE-2008-2121
Exposition d'informations dans 'CMS'
Une faille dans Avaya 'CMS' permet de détourner des connexions X11 et d'obtenir ainsi des informations. Cette
faille est similaire à celle précédemment discutée pour 'OpenSSH'.
http://support.avaya.com/elmodocs2/security/ASA-2008-205.htm
CVE-2008-1483
Page 55/63
Mai 2008
CIAC
Reprise de l'alerte Cisco 99725
Le CIAC a repris, sous la référence S-298, l'alerte Cisco 99725 concernant de multiples failles non documentées
dans l'implémentation 'SSH' de 'IOS' qui permettent de provoquer un déni de service d'un équipement vulnérable.
http://www.ciac.org/ciac/bulletins/s-298.shtml
CVE-2008-1159
Reprise de l'alerte HP HPSBMA02331 (SSRT080000)
Le CIAC a repris, sous la référence S-282, l'alerte HP HPSBMA02331 (SSRT080000) concernant la disponibilité de
correctifs pour 'WBEM Services' sur HP-UX versions B.11.11 à B.11.31. Ils corrigent deux failles dans 'OpenPegasus'
qui permettent de provoquer l'exécution de code arbitraire.
CVE-2007-5360, CVE-2008-0003
Reprise de l'alerte HP HPSBUX02332 (SSRT080056)
Le CIAC a repris, sous la référence S-295, l'alerte HP HPSBUX02332 (SSRT080056) concernant la vulnérabilité du
serveur 'Apache', avec PHP fourni sur 'HP-UX', à des failles qui permettent à un utilisateur d'exécuter du code
arbitraire et de provoquer un déni de service, entre autres choses.
CVE-2007-2872, CVE-2007-3378, CVE-2007-4783, CVE-2007-4840, CVE-2007-4887, CVE-2007-5898, CVE-2007-5899, CVE-20075900
Reprise de l'alerte Red Hat RHSA-2008:0201
Le CIAC a repris, sous la référence S-285, l'alerte Red Hat RHSA-2008:0201 concernant une faille dans Red Hat
'Directory Server' qui permet à un attaquant distant d'obtenir un accès au serveur d'administration. Il peut ainsi
obtenir des informations ou effectuer certaines tâches.
CVE-2008-0892, CVE-2008-0893
Le CIAC a repris, sous la référence S-297, l'alerte Red Hat RHSA-2008:0287 concernant la disponibilité de correctifs
pour le paquetage 'libxslt' sur RHEL versions 2.1, 3, 4 et 5. Ils corrigent une erreur de codage qui permet de
provoquer un déni de service ou l'exécution potentielle de code arbitraire.
CVE-2008-1767
Le CIAC a repris, sous la référence S-296, l'alerte Red Hat RHSA-2008:0489 concernant la disponibilité de
correctifs pour le paquetage 'gnutls' sur Red Hat Enterprise Linux 4 et 5. Ils corrigent de multiples failles dans
'GnuTLS' qui permettent de provoquer l'exécution de code arbitraire et des dénis de service.
CVE-2008-1948, CVE-2008-1949, CVE-2008-1950
Reprise de l'alerte US-CERT VU#584089
Le CIAC a repris, sous la référence S-283, l'alerte US-CERT VU#584089 concernant un manque de validation dans
'cPanel' qui permet à un attaquant de mener des attaques de type "Cross-Site Request Forgery".
Reprise de l'alerte US-CERT VU#929656
Le CIAC a repris, sous la référence S-284, l'alerte US-CERT VU#929656 concernant une erreur de traitement des
messages 'BGP UPDATE' qui affecte les routeurs GR2000 et GR44000 d'Hitachi et des dénis de service qui affectent
le système 'JUNOS' de Juniper.
CVE-2007-6372
Reprise de l'avis Debian DSA-1571
La CIAC a repris, sous la référence S-293, l'avis Debian DSA-1571 concernant une faille dans le paquetage
'OpenSSL' de Debian GNU/Linux qui permet à un attaquant de prédire les nombres aléatoires générés.
CVE-2008-0166
Reprise de l'avis Debian DSA-1573
Le CIAC a repris, sous la référence S-291, l'avis Debian DSA-1573 concernant de multiples failles dans 'rdesktop'
qui permettent d'exécuter du code arbitraire.
CVE-2008-1801, CVE-2008-1802, CVE-2008-1803
Reprise de l'avis Microsoft MS08-026
Le CIAC a repris, sous la référence S-288, l'avis Microsoft MS08-026 concernant deux failles dans 'Word' qui
permettent d'exécuter du code arbitraire.
CVE-2008-1091, CVE-2008-1434
Page 56/63
Mai 2008
Le CIAC a repris, sous la référence S-289, l'avis Microsoft MS08-027 concernant une faille dans 'Publisher' qui
permet d'exécuter du code arbitraire.
CVE-2008-0119
Le CIAC a repris, sous la référence S-290, l'avis Microsoft MS08-028 concernant une faille dans le composant 'Jet
Database Engine' des plate-formes Windows qui permet d'exécuter du code arbitraire.
CVE-2007-6026
Reprise de l'avis Red Hat RHSA-2008:0194
Le CIAC a repris, sous la référence S-292, l'avis Red Hat RHSA-2008:0194 concernant de multiples failles dans
'Xen' qui permettent d'exécuter du code arbitraire, entre autres choses.
Reprise de l'avis Red Hat RHSA-2008:0270
Le CIAC a repris, sous la référence S-294, l'avis Red Hat RHSA-2008:0270 concernant de multiples failles qui
permettent de provoquer des dénis de service et l'exécution de code arbitraire.
CVE-2008-1419, CVE-2008-1420, CVE-2008-1423
Reprise de l'avis US-CERT VU#147027
Le CIAC a repris, sous la référence S-286, l'avis US-CERT VU#147027 concernant une faille dans 'PHP' qui permet
d'exécuter du code arbitraire.
CVE-2008-0599
Reprise de l'avis US-CERT VU#684883
Le CIAC a repris, sous la référence S-287, l'avis US-CERT VU#684883 concernant une faille dans un contrôle
ActiveX des produits CA qui permet à un attaquant de provoquer un déni de service ou l'exécution de code
arbitraire.
CVE-2008-1786
CISCO
Révision du bulletin 99725
Cisco a révisé le bulletin 99725 concernant de multiples failles non documentées dans l'implémentation 'SSH' de
'IOS' qui permettent de provoquer un déni de service d'un équipement vulnérable. Cette révision met à jour les
sections "Summary", "Products Confirmed Not Vulnerable" et "Exploitation and Public Announcements".
http://www.cisco.com/warp/public/707/cisco-sa-20080521-ssh.shtml
CVE-2008-1159
HITACHI
Déni de service dans les routeurs Hitachi 'GR'
Une erreur de traitement des messages 'BGP UPDATE' affecte les routeurs GR2000 et GR4000 d'Hitachi. Cette faille
permet à un attaquant de provoquer un déni de service. Cette faille est similaire à celle précédemment discutée
pour 'JUNOS' de Juniper.
CVE-2007-6372
HP
Faille Microsoft dans HP 'SMA'
HP a annoncé, dans le bulletin HPSBST02336 (SSRT080071), la vulnérabilité de 'Storage Management Appliance' I,
II et III ('SMA') à la faille Microsoft annoncée dans l'avis MS08-028. Cette faille permet d'exécuter du code
arbitraire. HP préconise d'installer le correctif Microsoft disponible.
http://www11.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01460710-1
CVE-2007-6026
Publication du bulletin HPSBUX02324 (SSRT080034)
HP a publié le bulletin HPSBUX02324 (SSRT080034) concernant la vulnérabilité de 'Netscape Directory Server'
(NDS) fourni avec 'HP-UX' à la faille référencée CVE-2008-0892. Elle permet à un utilisateur d'exécuter des
commandes arbitraires avec des droits privilégiés. Les versions B.11.11, B.11.23 et B.11.31 de 'HP-UX' fournies
avec les versions vB.06.21.40 ou inférieures et vB.07.10.40 ou inférieures de 'Netscape Directory Server' (NDS)
sont vulnérables.
CVE-2008-0892
Page 57/63
Mai 2008
Publication du bulletin HPSBUX02332 (SSRT080056)
HP a publié le bulletin HPSBUX02332 (SSRT080056) concernant la vulnérabilité du serveur 'Apache' avec PHP fourni
avec 'HP-UX' aux failles référencées CVE-2007-2872, CVE-2007-3378, CVE-2007-4783, CVE-2007-4840, CVE2007-4887, CVE-2007-5898, CVE-2007-5899 et CVE-2007-5900. Elles permettent à un utilisateur d'exécuter du
code arbitraire et de provoquer un déni de service, entre autres choses. Les versions B.11.11, B.11.23 et B.11.31
de 'HP-UX' fournies avec les versions v2.18 avec PHP v5.25.4 ou inférieures de 'Apache' sont vulnérables.
Publication du document HPSBUX02337 (SSRT080072)
HP a publié le document HPSBUX02337 (SSRT080072) concernant la vulnérabilité du serveur 'SSH' de la plateforme 'HP-UX' versions B.11.11, B.11.23 et B.11.31 à la faille référencée CVE-2008-1483. Elle permet de détourner
des connexions X11 et d'obtenir ainsi des informations. Des correctifs sont disponibles.
CVE-2008-1483
Révision du bulletin HPSBUX02332 (SSRT080056)
HP a révisé le bulletin HPSBUX02332 (SSRT080056) concernant la vulnérabilité du serveur 'Apache' avec 'PHP' sur
'HP-UX' aux failles CVE-2007-2872, CVE-2007-3378, CVE-2007-4783, CVE-2007-4840, CVE-2007-4887, CVE-20075898, CVE-2007-5899 et CVE-2007-5900. Cette révision met à jour plusieurs informations.
Révision du bulletin HPSBUX02334 (SSRT071403)
HP a révisé le bulletin HPSBUX02334 (SSRT071403) concernant une faille dans le serveur 'ftp' de 'HP-UX' qui
permet de provoquer un déni de service. Cette révision annonce la disponibilité d'un correctif pour la version
B.11.31 de 'HP-UX'.
CVE-2008-0713
IBM
Correctif pour IBM 'HTTP Server'
IBM a annoncé, dans le bulletin 4019245, la disponibilité d'un correctif pour IBM 'HTTP Server' version 2.0.47. Il
corrige plusieurs failles qui permettent à un attaquant distant de mener des attaques de type "Cross-Site Scripting".
CVE-2007-5000, CVE-2007-6203, CVE-2007-6388
LINUX DEBIAN
Disponibilité de nombreux correctifs
Debian annonce la disponibilité des correctifs corrigeant les
openoffice
DSA-1547
xpdf
suphp
DSA-1550
pyhton2.4
ikiwiki
DSA-1553
roundup
perl
DSA-1556
phpmyadmin
phpgedview
DSA-1559
kronolith2
iceape
DSA-1562
asterisk
linux-2.6
DSA-1565
cpio
b2evolution
DSA-1568
cacti
openssl
DSA-1571
php5
icedove
DSA-1574
libux2.6
gforge
DSA-1577
php4
phpgedview
DSA-1580
gnutls13
gnome-peercast DSA-1583
libfishsound
xine-lib
DSA-1586
mtr
libxslt
DSA-1589
vulnérabilités présentes dans les paquetages:
DSA-1548
clamav
DSA-1549
DSA-1551
mplayer
DSA-1542
DSA-1554
iceweasel
DSA-1555
DSA-1557
xulrunner
DSA-1558
DSA-1560
ldm
DSA-1561
DSA-1563
wordpress
DSA-1564
DSA-1566
blender
DSA-1567
DSA-1569
kazehakase
DSA-1570
DSA-1572
rdesktop
DSA-1573
DSA-1575
openssh
DSA-1576
DSA-1578
netpbm-free
DSA-1579
DSA-1581
peercast
DSA-1582
DSA-1584
speex
DSA-1585
DSA-1587
linux2.6
DSA-1588
http://www.debian.org/security/2008/
LINUX FEDORA
Fedora annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages:
fedora-ds-admin
F7 FEDORA-2008:3214
F8
FEDORA-2008:3220
navigateurs
F7 FEDORA-2008:3249
F8
FEDORA-2008:3229
seamonkey
F7 FEDORA-2008:3231
F8
FEDORA-2008:3264
mtdaap
F8
FEDORA-2008:3250
openoffice
F8
FEDORA-2008:3251
navigateurs
F8
FEDORA-2008:3283
moin
F7 FEDORA-2008:3328
F8
FEDORA-2008:3301
poppler
F7 FEDORA-2008:3312
wordpress
F7 FEDORA-2008:3319
F8
FEDORA-2008:3397
Page 58/63
Mai 2008
xine
dbmail
squid
lighthttpd
perl-imager
clamav
asterisk
kde
perl
webkit, midori
util-linux
sipp
bugzilla
thunderbird
cups
audicity
zoneminder
tkimg
libid3tag
licq
blender
kernel
libid3tag
libvorbis
rdesktop
clamav
libfishsound
openoffice
mt-daapd
gnutls
django
dbmail
vsftpd
kvm
libpng
cbrpager
stunnel
system-config-net
F7
F7
FEDORA-2008:3326
FEDORA-2008:3371
F8
F8
F8
F8
F8
F8
F8
F8
F8
FEDORA-2008:3353
FEDORA-2008:3333
FEDORA-2008:2740
FEDORA-2008:3376
FEDORA-2008:3352
FEDORA-2008:3420
FEDORA-2008:3390
FEDORA-2008:3412
FEDORA-2008:3392
F7
F7
F7
F7
F7
F7
F7
F7
F7
F7
F7
F7
F7
F7
F7
FEDORA-2008:3343
FEDORA-2008:3920
FEDORA-2008:3358
FEDORA-2008:3365
FEDORA-2008:3379
FEDORA-2008:3399
FEDORA-2008:3415
FEDORA-2008:3419
FEDORA-2008:3508
FEDORA-2008:3488
FEDORA-2008:3519
FEDORA-2008:3449
FEDORA-2008:3511
FEDORA-2008:3516
FEDORA-2008:3545
F8
F8
F8
F8
F8
F8
F8
F8
FEDORA-2008:3229
F7
F7
F7
F7
F7
F7
FEDORA-2008:3909
FEDORA-2008:3862
FEDORA-2008:4043
FEDORA-2008:3874
FEDORA-2008:3898
FEDORA-2008:3985
F8
F8
F8
F8
F8
F8
FEDORA-2008:3969
FEDORA-2008:3875
FEDORA-2008:3873
FEDORA-2008:3976
FEDORA-2008:3934
FEDORA-2008:3917
F7
F7
FEDORA-2008:3117
FEDORA-2008:4104
F7
F7
FEDORA-2008:4274
FEDORA-2008:4191
F7
FEDORA-2008:4373
F7
F7
F7
FEDORA-2008:3979
FEDORA-2008:4440
FEDORA-2008:4606
F8
F8
F8
F8
F8
F8
F8
F8
F8
F8
F8
F8
FEDORA-2008:xxxx
FEDORA-2008:4183
FEDORA-2008:4248
FEDORA-2008:xxxx
FEDORA-2008:4347
FEDORA-2008:4604
FEDORA-2008:3937
FEDORA-2008:4528
FEDORA-2008:4579
FEDORA-2008:4633
FEDORA-2008:3442
FEDORA-2008:3557
FEDORA-2008:3586
FEDORA-2008:3456
FEDORA-2008:3462
F9 FEDORA-2008:4119
F9 FEDORA-2008:4003
F9 FEDORA-2008:3690
F9 FEDORA-2008:3668
F9 FEDORA-2008:3756
F9
F9
F9
F9
F9
F9
F9
F9
F9
F9
FEDORA-2008:3601
FEDORA-2008:3621
FEDORA-2008:3757
FEDORA-2008:3812
FEDORA-2008:xxxx
FEDORA-2008:3949
FEDORA-2008:xxxx
FEDORA-2008:3910
FEDORA-2008:3886
FEDORA-2008:3900
F9
F9
F9
F9
F9
F9
F9
F9
F9
FEDORA-2008:4126
FEDORA-2008:4259
FEDORA-2008:4267
FEDORA-2008:4245
FEDORA-2008:4362
FEDORA-2008:4386
FEDORA-2008:3683
FEDORA-2008:4501
FEDORA-2008:4531
https://www.redhat.com/archives/fedora-package-announce/index.html
LINUX MANDRIVA
Mandrake annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les
clamav
MDVSA-2008:088
2007.0 2007.1 2008
2008.1 CS3.0
poppler
MDVSA-2008:089
openoffice
MDVSA-2008:090
CS3.0
wireshark
MDVSA-2008:091
2007.1 2008
gstreamer
MDVSA-2008:092
2008
2008.1
vorbis-tools
MDVSA-2008:093
2008
2008.1 CS3.0
speex
MDVSA-2008:094
2007.1 2008
2008.1 CS3.0
openoffice
MDVSA-2008:095
2008
emacs
MDVSA-2008:096
2007.0 2007.1 2008
2008.1 CS3.0
kdelibs
MDVSA-2008:097
2008
2008.1
openssh
MDVSA-2008:098
2007.1 2008
2008.1
ImageMagick
MDVSA-2008:099
2007.1 2008
CS3.0
perl
MDVSA-2008:100
2007.1 2008
CS3.0
rdesktop
MDVSA-2008:101
2007.1 2008
2008.1
libvorbis
MDVSA-2008:102
2007.1 2008
2008.1
libid3tag
MDVSA-2008:103
2008
2008.1 CS3.0
kernel
MDVSA-2008:104
2008
2008.1 CS3.0
kernel
MDVSA-2008:105
2007.1
gnutls
MDVSA-2008:106
2007.1 2008
2008.1
openssl
MDVSA-2008:107
2008.1
samba
MDVSA-2008:108
2007.0 2007.1 2008
2008.1 CS3.0
paquetages:
CS4.0
CS4.0
CS4.0
CS4.0
CS4.0
CS4.0
CS4.0
CS4.0
MNF2.0
CS4.0
MNF2.0
MNF2.0
CS4.0
CS4.0
http://www.mandriva.com/en/security/advisories
Page 59/63
Mai 2008
LINUX REDHAT
RedHat annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages:
tomcat
RHSA-2008:0195-01
AS.ES.WS 3.0
java1.4.2
RHSA-2008:0243-01
AS.ES.WS 3.0
AS.ES.WS 4.0
AS.ES.WS
java1.5.0
RHSA-2008:0244-01
AS.ES.WS 4.0
AS.ES.WS
java1.6.0
RHSA-2008:0245-01
AS.ES.WS
thunderbird
RHSA-2008:0224-01
AS.ES.WS 4.0
AS.ES.WS
---- 5 Avril ---kernel
kernel
kernel
gpdf
xen
libvorbis
libvorbis
java-1.6.0-ibm
kernel
gnutls
gnutls
libxslt
setroubleshoot
vsftpd
dovecot
bind
mysql
nss_ldap
compiz
samba
samba
samba
RHSA-2008:0211-01
RHSA-2008:0233-01
RHSA-2008:0237-01
RHSA-2008:0262-01
RHSA-2008:0194-01
RHSA-2008:0270-01
RHSA-2008:0271-01
RHSA-2008:0267-01
RHSA-2008:0275-01
RHSA-2008:0489-01
RHSA-2008:0492-01
RHSA-2008:0287-01
RHSA-2008:0061-02
RHSA-2008:0295-01
RHSA-2008:0297-02
RHSA-2008:0300-02
RHSA-2008:0364-01
RHSA-2008:0389-02
RHSA-2008:0485-02
RHSA-2008: 0288-01
RHSA-2008: 0289-01
RHSA-2008: 0290-01
5.0
5.0
5.0
5.0
AS.ES.WS 3.0
AS.ES.WS 5.0
AS.ES.WS 4.0
AS.ES.WS 4.0
AS.ES.WS 3.0
AS.ES.WS 4.0
AS.ES.WS 5.0
AS.ES.WS 5.0
AS.ES.WS 2.1
AS.ES.WS 5.0
AS.ES.WS 5.0
AS.ES.WS 5.0
AS.ES.WS 2.1
AS.ES.WS 3.0
AS.ES.WS 2.1
AS.ES.WS 3.0
AS.ES.WS 4.0
AS.ES.WS 4.0
AS.ES.WS
AS.ES.WS
AS.ES.WS
AS.ES.WS
AS.ES.WS
AS.ES.WS
AS.ES.WS
AS.ES.WS
5.0
5.0
5.0
5.0
5.0
5.0
5.0
5.0
AS.ES.WS 4.0
AS.ES.WS 4.5
AS.ES.WS 5.0
https://www.redhat.com/archives/enterprise-watch-list/
LINUX SuSE
SuSE annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages:
openoffice
SUSE-SA:2008:023
clamav
SUSE-SA:2008:024
ibm java
SUSE-SA:2008:025
Security Report
SUSE-SR:2008:010
Security Report
SUSE-SR:2008:011
http://www.novell.com/linux/security/advisories.html
MOZILLA
Disponibilité de la version 2.0.0.14 de 'Thunderbird'
La version 2.0.0.14 de 'Thunderbird' est disponible. Elle corrige des failles qui permettent d'exécuter du code
arbitraire.
http://www.mozilla-europe.org/fr/products/thunderbird/
CVE-2008-1233, CVE-2008-1234, CVE-2008-1235, CVE-2008-1236, CVE-2008-1237
MRXVT
Elévation de privilèges dans 'mrxvt'
Une faille dans 'mrxvt' permet à un attaquant d'obtenir une élévation de privilèges. Cette faille est similaire à celle
CVE-2008-1142
NETBSD
Correctifs pour 'OpenSSL'
Le projet NetBSD a annoncé, dans le bulletin NetBSD-SA2008-007, la disponibilité d'un correctif pour 'OpenSSL' sur
NetBSD versions 3-1 et 3-0. Ils corrigent de multiples failles dans 'OpenSSL' qui permettent de provoquer des dénis
de service et l'exécution de code arbitraire à distance.
ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2008-007.txt.asc
CVE-2006-2937, CVE-2006-2940, CVE-2006-3738, CVE-2006-4343, CVE-2007-5135
Correctifs pour 'RSA' dans 'OpenSSL'
Le projet NetBSD a annoncé, dans le bulletin NetBSD-SA2008-008, la disponibilité d'un correctif pour 'RSA' dans
'OpenSSL' sur NetBSD versions 4 et 4-0. Ils corrigent une vulnérabilité dans l'implémentation de l'algorithme 'RSA'
utilisé dans 'OpenSSL' qui peut entraîner une exposition d'information.
ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2008-008.txt.asc
CVE-2007-3108
Page 60/63
Mai 2008
RXVT
Elévation de privilèges dans 'rxvt-unicode'
Une faille dans 'rxvt-unicode' permet à un attaquant d'obtenir une élévation de privilèges. Cette faille est similaire à
celle précédemment discutée pour 'rxvt'.
CVE-2008-1142
SUN
Publication du document 237444
Sun a publié le document 237444 concernant la vulnérabilité de Sun 'Solaris' versions 9 et 10 à la faille référencée
CVE-2008-1483. Cette faille, dans 'OpenSSH', permet de détourner des connexions X11 et d'obtenir ainsi des
informations. Il n'y a pas de correctif officiel disponible, cependant une parade est fournie par Sun.
CVE-2008-1483
Publication du document 237465
Sun a publié le document 237465 concernant la vulnérabilité de Sun 'Solaris' versions 9 et 10 aux failles
référencées CVE-2007-5378 et CVE-2008-0553. Ces failles, dans 'Tcl/Tk', permettent de povoquer un déni de
service et l'exécution de code arbitraire.
CVE-2007-5378, CVE-2008-0553
Sun a révisé le bulletin 231642 concernant un débordement de tas qui permet d'exécuter du code arbitraire. Cette
révision met à jour les sections "Contributing Factors" et "Resolution" et clos le bulletin.
CVE-2008-0320
Sun a révisé le bulletin 235421 concernant une faille non documentée dans les services 'Trusted Extensions' qui
permet à des applications inscrites dans des zones de labels différents d'échanger des données. Cette révision met
à jour les sections "Contributing Factors", "Workaround" et "Resolution" et clos le bulletin.
Révision du bulletin Sun 231526
Sun a révisé le bulletin 231526 concernant une faille dans 'Sun Java Web Console' qui permet à un attaquant
d'obtenir des informations. Cette révision annonce la mise à jour de la section "Contributing Factors".
Sun a révisé le bulletin 236321 concernant des failles dans 'Solaris' qui permettent de provoquer des dénis de
service d'une plate-forme. Cette révision annonce la mise à jour de la section "Contributing Factors".
Sun a révisé le bulletin 237444 concernant la vulnérabilité de Sun 'Solaris' versions 9 et 10 à la faille référencée
CVE-2008-1483. Cette faille, dans 'OpenSSH', permet de détourner des connexions X11 et d'obtenir ainsi des
informations. Cette révision annonce la mise à jour des sections "Contributing Factors" et "Resolution".
CVE-2008-1483
US-CERT
Reprise de l'alerte Debian DSA-1571
L'US-CERT a repris, sous la référence TA08-137A, l'alerte Debian DSA-1571 concernant une faille dans le paquetage
'OpenSSL' de Debian qui permet de prédire les nombres aléatoires qu'il génère.
http://www.us-cert.gov/cas/techalerts/TA08-137A.html
CVE-2008-0166
Reprise des bulletins Microsoft de Mai 2008
L'US-CERT a repris, sous la référence TA08-134A, les bulletins Microsoft de Mai 2008 (MS08-026 à MS08-029)
concernant de multiples failles qui permettent d'exécuter du code arbitraire et de provoquer un déni de service,
entre autres choses.
WTERM
Elévation de privilèges dans 'wterm'
Une faille dans 'wterm' permet à un attaquant d'obtenir une élévation de privilèges. Cette faille est similaire à celle
CVE-2008-1142
Page 61/63
Mai 2008
XEMACS
Faille CVE-2008-2142 dans 'XEmacs'
Secunia a publié une alerte annonçant la vulnérabilité du produit 'XEmacs' à la faille CVE-2008-2142. Elle permet à
un attaquant d'exécuter du code arbitraire. Il n'y a pas de correctif officiel disponible à notre connaissance.
CVE-2008-2142
CODES D’EXPLOITATION
Les codes d’exploitation des vulnérabilités suivantes ont fait l’objet d’une large diffusion :
CREATIVE LABS
Code d'exploitation pour la faille CVE-2008-0955
Un code a été publié sur le site Web Milw0rm. Il exploite la faille CVE-2008-0955 dans le contrôle ActiveX 'Creative
Software AutoUpdate Engine' de Creative Labs. Ce code permet d'exécuter la calculatrice Windows.
http://milw0rm.com/exploits/5681
CVE-2008-0955
BULLETINS ET NOTES
Les bulletins d’information suivants ont été publiés par les organismes officiels de surveillance et les
éditeurs :
US-CERT
Publication du document TA08-149A
L'US-CERT a publié le document TA08-149A concernant l'exploitation en cours d'une vulnérabilité dans 'Flash
Player' qui permet d'exécuter du code arbitraire afin d'installer du code malicieux. L'US-CERT recommande
d'installer la version 9.0.124.0 de 'Flash Player' qui semble corriger le problème. Des parades sont également
proposées dans ce document.
Page 62/63
Mai 2008
ATTAQUES
ANALYSES
SUR LES RISQUES ENCOURUS A PASSER LES FRONTIERES AMERICAINES AVEC DES DONNEES NUMERIQUES
Description
Le problème de la sécurisation des données hébergées sur des équipements mobiles pourrait
devenir la priorité N°1 de tous les voyageurs en partance vers les USA depuis qu’une cour
d’appel Américaine a confirmé, le mois dernier, que les douaniers avaient le droit de fouiller le
disque des ordinateurs portables en incluant la possibilité de copier le contenu de ces disques
à des fins d’analyse ultérieure.
Cette décision a été prise dans le cadre d’une affaire de suspicion de pédophilie mais de telles
pratiques, déjà admises depuis 2006 à la suite d’une décision de justice liée à une affaire très
similaire, semblent se généraliser à la lecture des nombreux articles publiés à ce propos ces
Emprunté à Franquin
dernières semaines.
Dans sa dernière lettre d’information, et comme bien d’autres experts dans le monde, Bruce Schneier pose la
question des risques liés à ces nouvelles pratiques qui considèrent les supports de stockage électroniques comme de
simples valises dont on peut exiger l’ouverture sans autre forme de procès.
Qui n’a rien à se reprocher n’à rien à cacher, dit un vieux dicton qui hélas ne s’applique plus dans ces temps modernes
où la vie privée d’une personne réside désormais pour part croissante dans les informations conservées par tous ces
gadgets devenus indispensables à notre quotidien: téléphone, PDA, lecteur MP3, portable, …
Autoriser la fouille des données contenues dans ces équipements – et plus encore leur copie – sans aucune réelle
justification conduit à une intrusion dans l’intimité de l’individu bien plus conséquente qu’une fouille des bagages à la
recherche d’objets interdits. Dans bien des cas le problème va au-delà de la simple nuisance personnelle, les
informations contenues dans nombres d’équipements étant la propriété de l’employeur et non du détenteur de
l’équipement.
Quelques sociétés, principalement Canadiennes du fait de la proximité avec la frontière américaine facilitant les
échanges au quotidien, ont déjà réagit - dont un cabinet d’avocats - face à la menace de se voir mis dans l’obligation
de divulguer des données extrêmement sensibles appartenant de plein droit à leurs clients.
Plusieurs parades peuvent être envisagées pour contrer cette menace. Idéalement, et dans le cas d’une informatique
nomade, un portable ‘stérilisé’ pourra être utilisé qui ne contiendra aucune donnée autre que celles requises pour le
bon fonctionnement de l’équipement. Les données de travail seront téléchargées une fois dans le pays par le biais d’un
accès sécurisé sur un serveur d’hébergement distant. L’équipement sera de nouveau ‘stérilisé’ avant de quitter le
pays. Cette procédure, aisée de mise en oeuvre dans le cas d’un ordinateur portable – à condition toutefois de
disposer des privilèges requis pour les opérations de stérilisation – l’est moins pour d’autres équipements mobiles
pourtant susceptibles d’héberger des données sensibles, et en particulier les téléphones intelligent et les PDA.
Une alternative applicable aux équipements informatiques, et aux supports de données amovibles, consisterait à
stocker les données indispensables dans un ‘container’ chiffré et caché, une clef robuste devant bien entendu être
utilisée. Cette clef ne sera jamais être divulguée, ni sous la menace, ni sous la contrainte, rien n’imposant encore
qu’elle dût être révélée à des douaniers.
L’outil de chiffrement ‘TrueCrypt’ est plébiscité comme offrant, à l’heure actuelle, le meilleur
compromis robustesse/portabilité et simplicité d’emploi. Il y aura lieu d’ajouter dans la trousse de
voyage un CD contenant le remarquable outil d’effacement ‘DBAN’ (Rapport N°74 – Septembre 2004)
et pourquoi pas la distribution ‘LiberKey’ dans la forme qui conviendra le mieux au voyageur:
• LiberKey Ultimate (134Mo installés) avec ses 212 logiciels portables préinstallés,
• LiberKey Standard (231Mo installés) et ses 100 applications portables préinstallés,
• LiberKey Basic (347Mo installés) et ses 32 applications portables indispensables.
On notera que l’outil ‘TrueCrypt’ n’est livré qu’à partir du paquetage standard dans sa version 5.1,
paquetage qui contient aussi l’outil d’effacement sécurisé ‘WipeFile’ en version 1.5.1. Un tableau
comparatif est proposé sur le site qui permet de différencier d’un seul coup d’œil les logiciels proposés
par chaque paquetage.
http://www.guardian.co.uk/technology/2008/may/15/computing.security
http://searchsecurity.techtarget.com/originalContent/0,289142,sid14_gci1286808,00.html
http://www.liberkey.com
http://www.liberkey.com/liste-des-logiciels-comparaison.html
Page 63/63

Veille Technologique Sécurité

Transcription

Documents pareils

Télécharger

Hiring Process

AUX ETATS-UNIS Social Security 401k, 403b EN FRANCE Régime

Télécharger autant PDF - AV-Test

HEBERGEMENT WEB LUXEMBOURG

Data - Stormshield

Ayse Alyzée CEYHAN

couverture étendue de correctifs de fonctionnalité