Veille Technologique Sécurité

Transcription

APOGEE Communications
R
dee
orrtt d
po
pp
Raap
Veille Technologique Sécurité
N
1
61
N°°6
Août 2003
Les informations fournies dans ce document ont été collectées et compilées à partir de
sources d'origines diverses et publiquement accessibles: mailing-lists, newsgroups, sites
Web, ...
Ces informations sont fournies pour ce qu'elles valent sans garantie d'aucune sorte vis à vis
de l'exactitude, de la précision ou de la qualité de l'information. Les URL associées à certains
thèmes sont validées à la date de la rédaction du document.
Les symboles d’avertissement suivants seront éventuellement utilisés:
!
"
Site dont la consultation est susceptible de générer directement ou indirectement,
une attaque sur l’équipement de consultation, voire de faire encourir un risque sur
le système d’information associé.
Site susceptible d’héberger des informations ou des programmes dont l’utilisation
est répréhensible au titre de la Loi Française.
Aucune garantie ne peut être apportée sur l'innocuité de ces sites, et en particulier, sur la
qualité des applets et autres ressources présentées au navigateur WEB.
LLaa ddiiffffuussiioonn ddee ccee ddooccuum
meenntt eesstt rreessttrreeiinnttee aauuxx
cclliieennttss ddeess sseerrvviicceess
V
VTTS
S--R
RA
APPPPO
OR
RTT eett V
VTTS
S--EEN
NTTR
REEPPR
RIIS
SEE
Les marques et les produits cités dans ce rapport sont la propriété des dépositaires respectifs.
APOGEE Communications
1, Rue Jean Rostand
91893 ORSAY CEDEX
Pour tous renseignements
Offre de veille:
http://www.apogee-com.fr/veille
Informations:
[email protected]
© APOGEE Communications - Tous droits réservés
Août 2003
Au sommaire de ce rapport …
PRODUITS ET TECHNOLOGIES
LES PRODUITS
WEB
5
IISSHIELD
PARE-FEU
IPCOP V1.3
LES
5
5
TECHNOLOGIES
MÉDIATION
WINDOWS SOFTWARE UPDATE SERVICE
WEB
SAML
INFORMATIONS ET LÉGISLATION
LES INFORMATIONS
CONFÉRENCES
5
6
6
9
9
9
11
11
12
12
12
BLACKHAT 2003
12
LOGICIELS LIBRES
LES SERVICES DE BASE
LES OUTILS
19
19
19
NORMES ET STANDARDS
LES PUBLICATIONS DE L’IETF
21
21
LES
LES
RFC
DRAFTS
NOS COMMENTAIRES
LES RFC
RFC 3552
ALERTES ET ATTAQUES
ALERTES
GUIDE DE LECTURE
FORMAT DE LA PRÉSENTATION
SYNTHÈSE MENSUELLE
ALERTES DÉTAILLÉES
AVIS OFFICIELS
ALT-N
BEA
CISCO
DCE
FREEBSD
HP
KDE
KISMAC
LINUX
LINUX DEBIAN
LINUX REDHAT
LINUX/UNIX
MACROMEDIA
MICROSOFT
NAI
NETSCREEN
NOVELL
NETBSD
ORACLE
OPENBSD
POSTFIX
REALNETWORKS
SCO
SENDMAIL
SGI
SUN
SUSTWORKS
SYMANTEC
VIRUS
Veille Technologique Sécurité N°61
21
21
26
26
26
28
28
28
29
29
30
30
30
30
30
31
31
31
31
31
32
32
34
34
34
34
35
35
35
35
36
36
36
36
36
36
37
37
37
37
38
Page 2/57
Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Août 2003
WU-FTPD
38
ALERTES NON CONFIRMÉES
38
COMPAQ/HP
CASTLE ROCK
D-LINK
ECARTIS
GECAD
HORDE
IBM
MICROSOFT
MICROSOFT/RSA
MYSQL
NAVIGATEURS
NORTON
SAP
SUN
WIDZ
ZONELABS
38
38
38
39
39
39
39
39
39
39
40
40
40
40
40
40
AUTRES INFORMATIONS
40
REPRISES D’AVIS
40
ET
CORRECTIFS
APPLE
CERT
CIAC
CISCO
HP
FREEBSD
LINUX DEBIAN
LINUX MANDRAKE
LINUX REDHAT
MICROSOFT
NOVELL
NETBSD
ORACLE
OPENBSD
SCO
SGI
SUN
40
40
41
42
42
43
43
43
43
44
44
44
44
44
44
44
45
CODES D’EXPLOITATION
45
BULLETINS ET NOTES
46
MICROSOFT
WU-FTPD
45
45
CERT
VIRUS
46
46
ATTAQUES
47
OUTILS
47
THC AMAP V4.0
HTTPRINT
47
50
TECHNIQUES
SÉCURITÉ DANS LES RÉSEAUX SANS FILS :
52
UN PANORAMA DES TECHNIQUES ET OUTILS D’ATTAQUE
52
Page 3/57
Août 2003
Le mot de la rédaction …
Le défi mensuel proposé par le projet ‘Honeynet’, initialement annoncé pour
Juillet, puis pour Août est finalement encore repoussé au mois de Septembre.
L’annonce faite sur le site du projet laisse entendre que le défi à venir pourrait
être fort intéressant.
05 August, 2003
So, when in the hell is the next Honeynet Scan of the Month challenge? We know everyone is desperately
waiting. To ensure we maintain the quality of the challenges, we simply don't release them until they are
ready. Unfortunately, we have ran into some problems with the next one, as we are attempting a
challenge never done before. Please give us a couple more weeks, we are looking to kick it off 01
September. We like to think it will be worth the wait :)
Nous aurons peut être droit à un exemple concret d’exploitation de la
vulnérabilité RPC DCOM capturé ‘in the field’ ?
A ce propos, les craintes exprimées par tous les experts du domaine le mois
dernier se sont, hélas, révélées fondées. Quelques semaines après la divulgation
d’un code d’exploitation – ‘dcom.c’ – tirant parti de cette vulnérabilité, le ver
‘msblast’ commençait à sérieusement impacter les services Internet mais aussi
les Intranet de nombreuses entreprises hébergés sur des serveurs n’ayant pas
été mis à jour !
Si lors des quelques grandes attaques perpétrées par le passé les exploitants et
administrateurs pouvaient encore invoquer un manque d’information, il paraît
aujourd’hui difficile de leur trouver une quelconque excuse ! D’aucuns
argumenteront de la difficulté de mettre à jour un système en production,
d’autres de l’impossibilité de connaître avec précision l’état du parc installé mais
tous devront admettre qu’ils avaient largement le temps d’installer les correctifs
ad’hoc sur les systèmes les plus exposés.
Pour modérer nos propos, et bien qu’aucun chiffre fiable ne soit disponible, il
apparaît qu'une part non négligeable de systèmes ‘personnels’ aient leur part de
responsabilité dans cette nouvelle attaque.
L’équipe de Veille Technologique
Page 4/57
Août 2003
PR
RO
OD
DU
UIIT
TS
SE
ET
T TE
EC
CH
HN
NO
OL
LO
OG
GIIE
ES
S
LES
PRODUITS
WEB
IISSHIELD
# Description
Le site portugais ‘KodeIT’ propose un très intéressant module de filtrage HTTP destiné à l’environnement Microsoft
IIS. Libre d’accès, ce module dénommé ‘IISShield’ s’installe très simplement en tant qu’extension générale ‘ISAPI’.
Après décompression du paquetage dans un répertoire
spécifique, l’exploitant devra configurer les paramètres de
filtrage puis activer ce filtre en le déclarant dans les
propriétés générales du service WWW.
Il sera alors nécessaire de redémarrer le serveur ‘IIS’ pour
que celui prenne en compte cette nouvelle extension.
Le bon fonctionnement de celle-ci pourra être vérifié en
prenant connaissance du contenu du journal localisé, par
défaut, dans un sous-répertoire du répertoire d’installation
du filtre.
Les tests que nous avons menés en environnement
Windows 2000 SP4 et IIS5.0 ont donné toute
satisfaction, les seuls problèmes rencontrés étant dus aux
oublis de redémarrage du service après modification des
paramètres.
La logique de configuration est déroutante au premier abord
mais se révèle bien pratique à l’usage d'autant que cette
configuration devra être réalisée avec un simple éditeur de
texte.
Ainsi, un paramètre ‘X’ indiquera si oui ou non l’option
associée est activée, la section ‘[X]’ précisant quant à elle
les éléments associés à cette option.
Un extrait du fichier de configuration ‘IISShield.ini’ est proposé ci-dessous pour illustrer notre propos :
;0 or 1
; Used if ExtensionAllow=1
ExtensionAllow=1
[ExtensionAllow]
.htm
.html
.txt
Offrant quelques 26 paramètres de configuration allant de la taille maximale d’une URL à la liste des commandes
autorisées sans oublier le contrôle des extensions autorisées ou interdites, le filtre ‘IIShield’ n’a rien à envier aux
versions commerciales dont en particulier celles éditées par Microsoft et son outil ‘URLScan’ ou encore par la société
eEye avec son produit ‘SecureIIS’. On notera à ce propos la présence sur le site des auteurs d’un tableau de
comparaison entre les fonctionnalités proposées par ‘IIShield’ et ‘URLScan’.
Les trois seuls reproches qui pourraient éventuellement être formulés à l’encontre de cet utilitaire (gratuit nous le
rappelons) sont l’absence d’une interface de configuration graphique, l’impossibilité d’utiliser des expressions
régulières pour spécifier certains paramètres de filtrage, et enfin, la non disponibilité des sources.
Le distribution de la version courante, la version 1.0.2, contient en tout et pour tout 6 fichiers dont le module ISAPI
d’une taille de 40Ko et un fichier HTML documentant les paramètres.
# Complément d'information
http://www.kodeit.org/tools/iisshield.htm
http://www.kodeit.org/tools/iisshield_config.htm
http://www.kodeit.org/tools/iisshield_compare.htm
http://groups.yahoo.com/group/IISShield/
http://www.eeye.com/html/Products/SecureIIS/index.html
http://technet/security/tools/tools/urlscan.asp
- Site de téléchargement
- Exemples de configuration
- Grille de comparaison avec URLScan
- Liste de discussion
- SecureIIS de la société eEye
- URLScan de la société Microsoft
Page 5/57
Août 2003
PARE-FEU
IPCOP V1.3
# Description
‘IPCop’ fait partie de ces distributions LINUX spécifiquement conçues et optimisées pour assurer un rôle déterminé,
ici celui d’un équipement de filtrage réseau. Cette distribution permet de ‘recycler’ rapidement un vieux système de
type PC et de transformer celui-ci en une ‘appliance’ destinée à protéger le réseau d’un particulier, d’une petite PME
voire d’une filiale d’une grande organisation.
Bien que fonctionnellement limité à trois DMZ (quatre dans la prochaine version), ‘IPCop’ offre tous les services
attendus d’un pare-feu et intègre même divers paquetages complémentaires fort utiles: fonction de détection
d’intrusion s’appuyant sur le système ‘snort’, serveur ‘DHCP’, proxy HTTP ‘Squid’, accès ‘IPSec’ via ‘FreeSwann’ et
enfin statistiques utilisant l’outil ‘MRTG’. La plate-forme d’accès sécurisés ainsi constituée est administrable par
l’intermédiaire d’une interface graphique unique accessible par un simple navigateur Web !
On notera que les fonctionnalités de filtrage s’appuient sur ‘IPTables’, le mécanisme natif de filtrage implémenté dans
le noyau LINUX.
La première version de cette distribution a vu le jour au début de l’année 2002 sous la forme d’une évolution de la
version libre de la distribution firewall ‘Smoothwall’ (version 0.9.9).
A l’origine, le projet ‘IPCop’ fut initialisé à la suite de la tournure que prenait le développement de la distribution
‘Smoothwall’, distribution à la fois libre et commerciale. Le projet ‘IPCop’ fut ainsi engagé dans l’optique de fournir
un support sous licence GPL complet portant sur l’ensemble des fonctionnalités offertes par la distribution
‘Smoothwall’ et ce pour les deux types de fourniture.
Les différences entre les 2 distributions sont peu à peu devenus notables. Le lecteur pourra s’en rendre compte en
étudiant le comparatif des versions IPCop 1.2, Smoothwall GPL 1.0 et Smoothwall Corporate Server 2.0
proposé sur le site http://www.zorg.org/linux/ipcop.shtml.
Avec la version 1.3 sortie en Avril 2003, il semblerait que la branche ‘IPCop’ ait fait preuve d’une certaine vitalité en
comparaison de la branche GPL de ‘Smoothwall’, les développeurs du monde libre y étant certainement pour quelque
chose.
L’installation de la distribution IPCop est incroyablement simple et s’effectue en moins de 5 minutes à partir d’un
simple CDROM mais aussi par réseau à partir d’un serveur FTP ou HTTP après avoir préalablement démarré le système
à partir d’une disquette.
La liste des pré-requis et du matériel supporté pourra être trouvée sur le site http://www.ipcop.org/cgibin/twiki/view/IPCop/IPCopHCLv01fr. L’ensemble des composants matériels sur lequel peut être installé ce
produit ne se limite heureusement pas à cette liste. Ainsi, ‘IPCop’ a pu être installé sur une toute petite configuration
à base de Pentium 120 et disposant seulement de 32 Mo de RAM et de 1 GO de disque. Seuls regrets, les disques
SCSI ne sont pas encore pris en compte et le partitionnement du disque est imposé, 3 partitions sont
systématiquement créées.
La configuration réseau prend en compte trois
interfaces au maximum, définies de la façon
suivante :
# Rouge:
interface
externe
(adaptateur
Ethernet ou modem ISDN/ADSL)
# Orange:
interface DMZ (adaptateur Ethernet)
# Vert:
interface
interne
(adaptateur
Ethernet)
Ces interfaces déterminent les quatre options
d’installation qui peuvent être sélectionnées.
Les modems supportés sont de type série ou USB.
La fin de l’installation se termine par la saisie des trois mots de passe associés aux trois utilisateurs définis par défaut
sur ‘IPCop’ : le compte ‘root’, le compte ‘setup’ dédié à la configuration du matériel et le compte ‘admin’ utilisé pour
la configuration de l’ensemble via l’interface WEB.
Un simple navigateur WEB permet ensuite d’accéder en
http (port TCP/81) ou en https (port TCP/445) à
l’interface graphique d’administration; interface qui
s’avèrera très conviviale à l’utilisation. Il est aussi possible
d’accéder au système en mode console à l’aide du
protocole SSH (port TCP/222 par défaut) si le service
associé est lancé sur ‘IPCop’.
On notera que la bannière d’accueil proposée nous permet
de voir l’état de la connexion externe sans pour autant
s’être authentifié !
Le paramètrage d’IPCop pourra être effectué après s’être
authentifié sur le compte ‘admin’.
Page 6/57
Août 2003
A cette fin, sept menus généraux sont proposés
# Accueil :
Etat de la connexion externe
# Information : Etat de services réseau, du système et
des interfaces réseau
# Connexion : Paramétrage
des
modem
et
des
connexion PPP
# Services :
Configuration des différents services
(proxy, DHCP, règles de filtrage, etc…)
# RPV :
Paramétrage des VPN
# Journaux :
Consultation des différents journaux
# Système :
Paramétrage du système (langues, mots
de passe, sauvegarde, etc…)
Menu ‘Information’ 4 onglets
# Statut :
Etat des services, informations sur l’OS
et sur les interfaces réseau
# Trafic :
Trafic des différentes interfaces réseau
(Rouge, Orange et Vert) sur les 5
dernières minutes. Ces données sont
présentées à l’aide de l’outil MRTG
# Proxy :
Statistiques d’utilisation du proxy ‘Squid’
sur 24 heures,
# Connexions : Suivi des connexions journalisées par
‘Iptables’.
Au cours de nos différents tests, nous avons pu constater
que le service de détection d’intrusion ne s’appliquait que
sur l’interface externe Rouge lorsque celle-ci était activée.
Menu ‘Connexion’
3 onglets
# Paramètres PPP:
Plusieurs profil de connexion peuvent être créés en
fonction du modem utilisé (modem ISDN ou ADSL) et
des paramètres associés au fournisseur d’accès. La
déconnexion des lignes ADSL est aussi prise en
compte par cet outil.
# Télécharger pilote matériel :
Téléchargement des derniers gestionnaires pour les
modems ADSL. Trois modèles sont actuellement
supportés: Alcatel USB, Pulsar et ECI.
# Modem :
Configuration
matérielle
des
modems
ISDN
sélectionnés.
Menu ‘Service’
7 onglets
# Mandataire :
Configuration du proxy ‘Squid’. Le paramétrage permet
la définition d’un mode transparent ou explicite du proxy
ainsi que le relais vers un autre proxy.
Il n’est cependant pas possible de modifier le port utilisé
par le proxy (par défaut 800) ni même de le paramétrer
en mode reverse.
# DHCP :
Les options possibles de paramétrage DHCP sont
limitées à celle les plus couramment utilisées:
réservation statique, durée du bail, @IP DNS, @IP Wins,
domaine DNS, …
# Transfert de ports:
Définition des accès externes grâce aux mécanismes de
translation (adresses et ports TCP/UDP/GRE) vers des
serveurs internes. Il est possible de définir plusieurs
adresses IP externes à l’aide d’alias si l’adresse IP
externe est statique.
# Alias externes:
Définition des alias externes si le fournisseur d’accès
fournit plusieurs adresses IP statiques.
# Accès aux services externes :
Permet d’ouvrir les accès externes sur le Firewall luimême. Ceci peut être utile pour administrer à partir du
réseau externe IPCop avec tous les risques associés !
Page 7/57
Août 2003
# Accès à la DMZ :
Définition des accès de la DMZ Orange vers le réseau
interne Vert.
# Dns dynamique :
Définition des enregistrements dynamique DNS sur
l’Internet.
Le menu général est globalement convivial. Il est
cependant regrettable que le filtrage du réseau interne
Vert vers l’extérieur Rouge ne soit pas paramétrable à
l’aide de cette interface.
Ceci est d’autant plus gênant que tous les accès sont
autorisés par défaut vers l’extérieur.
La solution consistera donc à interdire les accès non indispensables en modifiant manuellement les configurations
‘Iptables’.
3 onglets
Menu ‘RPV’
# Contrôle : Définition de l’adresse IP locale du VPN.
# Connexions : Définition des connexions VPN (réseau droit et gauche, clés de chiffrement, etc…) .
Nous n’avons pas testé cette fonctionnalité. Pour
http://www.ipcop.org/1.2.0/en/vpn/html/.
plus
d’informations,
le
lecteur
pourra
consulter
l’URL
Menu ‘Journaux’
4 onglets
# Mandataire (proxy) :
Journaux du ‘proxy’: il est possible d’appliquer des filtres
sur les adresses IP et sur des expressions rationnelles.
# Pare-feu :
Journaux du filtre: une recherche DNS sur les adresses
IP rejetées est possible.
# Système de détection des intrusions :
Journaux provenant de snort: un simple scan du port de
l’interface externe permet de confirmer le bon
fonctionnement du système IDS.
# Autres :
Journaux de type ‘syslog’ pouvant être sélectionnés via
le champ ‘utility’.
Ce menu a le mérite de présenter sur une seule page l’ensemble des journaux. Quel que soit l’onglet utilisé, il est
possible de retrouver les journaux associés à une date (Mois / Jour). Il ne nous a cependant pas était possible de les
exporter.
8 onglets
Menu ‘Système’
# Mises à jour :
Deux mises à jour sont actuellement disponibles pour la
distribution V1.3 de ‘IPCop’. Les mises à jour se sont
correctement effectuées sans imposer un redémarrage
du système.
# Heure :
Configuration du service de synchronisation de temps
NTP.
# Mots de passe :
Définition du mot de passe des utilisateurs ‘Admin’
(administrateur ‘IPCop’ via l’interface graphique) et ‘Dial’
(utilisateur dédié au lancement de la connexion modem
via l’interface graphique).
# SSH :
Lancement du service SSH.
# Système de détection des intrusions :
Lancement du service ‘Snort’. Malheureusement, aucun menu ne permet de mettre à jour les signatures.
# Langues :
Paramétrage de la langue d’affichage parmi 11 langues possibles.
# Sauvegarde :
Sauvegarde disquette de la configuration IPCop.
# Arrêter :
Arrêt ou redémarrage du système
Page 8/57
Août 2003
La distribution ‘IPCop’ semble prometteuse si l’on se réfère aux nombreuses fonctionnalités supplémentaires de
sécurité qu’elle intègre au delà du simple filtrage IP mais aussi grâce à la convivialité de son interface graphique. Elle
est particulièrement intéressante pour des particuliers ou des PME et pourrait aisément remplacer un routeur ADSL.
Nombres de modules complémentaires – officiellement intégrés ou non à la distribution – font régulièrement leur
apparition. Les fonctionnalités absentes dont notamment la mise à jour des signatures ‘snort’ et le contrôle d’accès en
sortie - seront probablement intégrées dans l’une des prochaines versions. Un produit a suivre …
http://www.ipcop.org/cgi-bin/twiki/view/IPCop/WebHome
http://www.securityfocus.com/infocus/1556
http://www.zorg.org/linux/ipcop.shtml
http://www.smoothwall.co.uk/
http://www.smoothwall.org/
LES
- Page d’accueil IPCop
- Une présentation du produit
- Comparatif IPCop / SmoothWall
- Produit SmoothWall version commerciale
- Produit SmoothWall version libre
TECHNOLOGIES
MEDIATION
WINDOWS SOFTWARE UPDATE SERVICE
# Description
John Ives, dans le document intitulé ‘Using and Evaluating Windows Software Update Service’ décrit les
résultats d’une évaluation de SUS (Software Update Service), une solution destinée à rendre le processus de
sécurisation d’un environnement Windows plus souple, plus rapide, tout en demandant un minimum de connaissances.
La nécessité d’appliquer rapidement un correctif a été illustrée par le ver SQL Slammer qui exploitait une vulnérabilité
pourtant corrigée par Microsoft sept mois auparavant. Il n’est pas rare de constater que bon nombre d’entreprises
consacrent peu de temps et de budget à l’installation, souvent au cas par cas, de correctifs de sécurité.
La fonction d’un serveur SUS est donc de donner la possibilité aux postes Windows de rapatrier automatiquement un
correctif auprès d’un site central, le serveur SUS, afin de l’installer. En simplifiant à outrance, SUS est une version
destinée à un réseau local du service de mise à jour Microsoft ‘Windows Update’.
Le serveur SUS s’installe sur un système Windows 2000 ou Windows Serveur 2003 sur lequel le service IIS
(Internet Information Services) sera actif. Le client requiert quant à lui Windows 2000 Service Pack 2 ou supérieur,
Windows XP ou Windows Serveur 2003. Il est à noter qu’au moins une partition NTFS est nécessaire à l’installation du
serveur.
L’utilisation de SUS doit donc se traduire par un gain de temps pour les équipes d’exploitation et de sécurité. Chaque
poste est mis à jour automatiquement, et en accord avec la configuration, dès qu’un correctif est disponible et validé
au niveau du serveur SUS. L’automatisation des tâches permet de déclencher la mise à jour dans des plages horaires
judicieusement choisies afin d’éviter une rupture de service, celle-ci restant malgré tout inévitable. Un historique des
mises à jour permet de vérifier que l’installation des correctifs s’est correctement déroulée. Il est à noter que
l’ensemble des correctif est signé, ce qui offre une garantie au niveau de leur intégrité
Microsoft recommande d’installer SUS sur un serveur dédié et de désactiver les autres sites WEB gérés par IIS sur ce
même serveur. Cette précaution permet de réduire les vulnérabilités potentielles inhérentes à IIS.
Le service déployé constitue une cible privilégiée pour d’éventuels agresseurs. Il héberge en effet les correctifs
destinés à immuniser les postes clients des nouvelles vulnérabilités. Dans ces conditions, Microsoft renforce la sécurité
de ce serveur en installant par défaut les outils ‘Lockdown’ et ‘URLScan’ mais aussi en signant les correctifs afin d’en
garantir l’intégrité.
L’outil ‘Lockdown’ permet de désactiver tous les services et fonctionnalités non utilisées d’un serveur IIS, l’outil
‘URLScan’ permettant de filtrer les requêtes destinées au serveur IIS afin de ne traiter que celles considérées valides.
Il est important de noter que ces outils sont installés en écrasant la version éventuellement déjà présente sur le
système.
La méthode d’authentification protégeant l’accès administratif au serveur SUS repose sur un schéma de type ‘Basic
Authentication’. Cette protection semble insuffisante au regard du contexte et de la criticité des données manipulées.
Il est donc recommandé d’accéder au serveur en utilisant le protocole sécurisé HTTPS. Une méthode moins coûteuse
consisterait à interdire l’administration distante en n’autorisant que l’adresse locale du serveur (127.0.0.1
correspondant au localhost) à se connecter.
Le serveur nécessite un minimum de configuration. Il possède plusieurs options permettant notamment :
• de configurer SUS afin de pointer vers un proxy permettant d’accéder à Internet,
• de donner un nom au serveur qui sera utilisé par les clients pour s’y connecter,
• de sélectionner un serveur avec lequel SUS synchronisera les données,
• de choisir la manière dont seront approuvées les nouvelles mises à jour,
• de spécifier l’emplacement où seront stockées les mises à jour.
Une option indépendante permet de gérer la manière dont seront effectuées les synchronisations, soit manuellement,
soit à une heure donnée, chaque jour ou un jour précis de la semaine.
Il est aussi nécessaire de configurer les synchronisations du client et de spécifier si les mises à jour doivent être
Page 9/57
Août 2003
installées ou simplement téléchargées. Il peut sembler fastidieux de configurer un par un les clients, mais ce temps
passé devra être comparé à celui qui aurait été nécessaire pour déployer l’ensemble des correctifs.
Il est cependant possible d’automatiser cette tâche en utilisant Active Directory Group Policy (Stratégie de groupe).
Concernant les systèmes ne faisant pas partie d’un environnement utilisant Active Directory, il est possible de définir
des stratégies locales ou des fichiers de registre (.reg). Les options proposées permettent :
• de configurer l’automatisation des mises à jour,
• de spécifier l’adresse du serveur hébergeant les mises à jour.
Une fois la configuration effectuée, le serveur SUS est apte à se synchroniser et à télécharger les mises à jour
disponibles depuis le site Windows Update de Microsoft.
L’administrateur doit cependant intervenir afin de procéder à l’approbation des mises à jour. Toutes ces étapes se
déroulent en accord avec la configuration spécifiée :
• Synchronisation du serveur SUS,
• Approbation ou non approbation de chaque correctif,
• Distribution des correctifs.
A partir de cet instant, les clients SUS entrent en action. Cependant, plusieurs situations peuvent contrarier le
téléchargement et l’installation des correctifs. Un utilisateur peut être en train de travailler ou bien, plus simplement,
la machine peut être éteinte.
Le comportement du client se réfèrera donc à la configuration : si une notification est demandée, l’installation ne
s’effectuera que lorsqu’un administrateur aura acquitté positivement la demande, au contraire, si un horaire
d’installation automatique a été fixé, le premier administrateur s’authentifiant sur la machine cliente se verra proposer
l’installation des correctifs. S’il refuse, les correctifs seront installés au prochain horaire fixé. Encore une fois
l’administrateur peut refuser, retardant une fois de plus le processus d’installation.
Les utilisateurs seront simplement notifiés de la nécessité de redémarrer éventuellement le poste de travail,
l’administrateur ayant quant à lui l’option de stopper le redémarrage.
Le serveur SUS s’appuyant sur un serveur IIS, celui-ci journalise les évènements de la même façon qu’un serveur
WEB. Malheureusement, ces données sont noyées dans les entrées correspondantes aux requêtes à destination du
serveur IIS. Il sera cependant possible d’analyser le fichier de journalisation en se basant sur l’adresse IP de la
machine ou son Ping ID.
En complément, les clients SUS ont la faculté de journaliser leurs propres évènements. Mais cette technique ne
permet pas d’obtenir une vision globale et les données doivent être visualisées au cas par cas. En revanche, les
événements journalisés sont plus complets car ils indiquent les échecs de synchronisation, de connexion ou les
problèmes liés aux signatures des correctifs.
Hélas, les données fournies par le serveur et par les clients sont difficilement exploitables. D’une part, les journaux
prennent la forme d’une URL dont la partie utile devra être disséquée au niveau de la requête et d’autre part, les
évènements liés à chaque client sont conservés sur chaque poste et nécessiteront donc d’être préalablement récupérés
pour être analysés.
Quelques outils externes permettent cependant de faciliter la lecture des journaux en fournissant un rapport généré à
partir des informations issues du serveur SUS. Un récent sondage engagé par Microsoft ayant révélé cette carence,
la version 2.0 de SUS, annoncée disponible fin 2003, intégrera un outil de visualisation et d’analyse des journaux.
Le système SUS étant l’élément centralisant les mises à jour, il va de soit qu’il sera probablement une des premières
cibles lors d’une attaque. Malgré la signature des correctifs et toutes les protections mises en œuvre, il reste
nécessaire de garder à l’esprit qu’un système n’est jamais totalement sécurisé. Une attention particulière doit donc
être réservée au serveur SUS et notamment aux opérations critiques telles que la mise à jour des correctifs ou la
sauvegarde régulière du serveur. Malheureusement, les serveurs IIS 5.0 ne permettent pas de récupérer les
configurations IIS et SUS lorsque le système est complètement réinstallé, ce problème ayant été résolu sur IIS 6.0.
C’est pourquoi d’autres outils complémentaires de sauvegardes devront probablement être déployés.
En dépit des avantages certains offerts par le déploiement d’un serveur SUS, deux restrictions majeures sont à noter:
- les correctifs sont limités aux environnements Windows 2000 et supérieurs,
- les correctifs concernant Microsoft Office, et donc Outlook, ne sont pas gérés,
- enfin, seuls les correctifs annoncés comme critiques par Microsoft pourront être distribués par SUS excluant ainsi
la possibilité d’automatiser la distribution des Service Packs pour le système d’exploitation et pour Internet
Explorer.
On constate donc que Software Update Service version 1 est loin d’être complet. Par ailleurs, il nécessite un effort
de déploiement peu intéressant pour les très petites structures qui devront investir un système IIS dédié. On notera
qu’une société n’ayant jamais eu à installer un serveur IIS risque d’introduire de nouvelles faille au sein de son
réseau. A l’inverse, pour les grosses structures, un tel produit se révèlera peu efficace car les limitations actuelles du
serveur SUS obligeront les administrateurs à effectuer une seconde passe de correctifs.
Une autre carence de ce produit réside dans le support exclusif des derniers systèmes d’exploitation éliminant ainsi les
systèmes Windows NT et 98 encore couramment utilisés.
SUS reste un produit orienté pour les moyennes entreprises ayant déjà des notions de sécurité et dont les
administrateurs ont déjà manipulé un serveur IIS. Son principal avantage est celui de la réactivité d’installation, car
les correctifs étant disponibles depuis le réseau local, il n’est plus nécessaire de joindre le site Windows Update, les
demandes étant redirigées vers le serveur SUS.
La lecture de l’article intitulé ‘Using and Evaluating Windows Software Update Service’ disponible sur le site du
Sans Institute est très fortement recommandé à tout exploitant ou administrateur envisageant la mise en place d’un
système de mise à jour automatisée.
Page 10/57
Août 2003
http://www.sans.org/rr/papers/66/1104.pdf
http://www.microsoft.com/windows2000/windowsupdate/sus/default.asp
http://www.microsoft.com/windows2000/docs/SUS_Deployguide_sp1.doc
http://www.microsoft.com/smserver/default.asp
- Article et résultats de l’évaluation
- Présentation de SUS
- Guide de déploiement de SUS
- Présensation de SMS
WEB
SAML
# Description
Dans un court article (5 pages) intitulé ‘Debunking SAML myths and misunderstandings - Getting to know the
Security Assertion Markup Language’, Franck Cohen fondateur de la société ‘PushTotest’ nous propose une
excellente présentation du langage SAML (Security Assertion Markup Language) prenant la forme, non pas d’une
FAQ (Foires aux Questions) mais d’une réponse à quelques 17 affirmations erronées dont certaines ont probablement
été forgées de toute pièce pour la beauté de la démonstration.
Quoiqu’il en soit, la forme de la présentation est élégante, et le propos réellement pertinent. La lecture de cet article
disponible sur le portail documentaire géré par IBM est fortement recommandé à toute personne désireuse de
comprendre l’intérêt du langage SAML dans le contexte de la sécurité d’un site WEB.
Les six rumeurs et sept erreurs d’interprétation qui servent de prétexte à cette présentation sont les suivantes:
Rumeurs
1. Web single-sign-on between enterprises is well understood and easy to implement.
2. SAML is a complicated design.
3. SAML is an authentication authority.
4. SAML is easy to break using replay techniques.
5. SAML does not handle anonymous or guest access.
6. SAML requires SSL certificates at both the client and server side.
Incompréhensions
1. SAML is a complete identity management solution
2. SAML predefines all the attribute meanings for most industries.
3. SAML does not work well in Web environments where authentication needs to transmit large amounts of data.
4. SAML defines a discovery procedure to find authentication authorities.
5. SAML is vaporware; no one has yet to implement it.
6. Microsoft does not support SAML.
7. Canonicalization in XML Signatures is not needed.
http://www-106.ibm.com/developerworks/security/library/x-samlmyth.html
Page 11/57
Août 2003
IN
NF
FO
OR
RM
MA
AT
TIIO
ON
NS
SE
ET
T LE
EG
GIIS
SL
LA
AT
TIIO
ON
N
LES
INFORMATIONS
CONFERENCES
BLACKHAT 2003
# Description
Les actes de la conférence ‘BlackHat 2003’ qui s’est tenue fin juillet à Las Vegas sont
désormais disponibles en ligne.
Cette année, plus de 50 présentations ont été inscrites au programme et organisées en 9 sessions réparties sur les
deux jours que durait cette conférence. Nous renvoyons le lecteur qui souhaiterait en savoir plus vers le programme
officiel, notre objectif étant ici de présenter brièvement les présentations qui nous ont semblé les plus intéressantes à
la lecture des actes.
On notera à ce propos que certains thèmes, voir certaines présentations, ont déjà fait l’objet d’une presentation à
l’occasion de la conférence BlackHat ‘Windows’ qui s’était tenue en février dernier à Seattle (Rapport N°56 – Mars
2003). Par ailleurs, un bon nombre de ces présentations ont été réitérées 2 jours après BlackHat 2003 dans le cadre
de la conférence DEFCON2003 se tenant aussi à Las Vegas. Il n’y a pas de petits profits !
Session ‘Application Security’
Cette session regroupait 10 présentations très techniques portant sur la sécurité des applications et plus
particulièrement sur les mécanismes d’exploitation des vulnérabilités induites par les débordements de buffer. Trois
présentations abordaient un environnement très ciblé : le système d’exploitation Mac-OS, les environnements
Domino et Java. Le reste des présentations se partageait à parts égales les systèmes UNIX et Windows.
Automated Detection of COM Vulnerabilities
F.Bret-Mounet
Les objets ‘DCOM’ dénommés ‘Scriptables Objects’ ont tous pour caractéristique d’exposer une interface
permettant l’activation de ceux-ci par le biais d’un quelconque langage de programmation supportant la
technologie DCOM. De nombreux virus dont ‘Melissa’ tirent parti de cette caractéristique pour minimiser le code
– pourquoi réécrire des fonctionnalités par ailleurs déjà disponibles - mais aussi pour bénéficier de la portabilité
offerte par cette technologie.
Une autre approche, explorée par F.Bret-Mounet de la société @Stake, consiste à tirer parti de la facilité
d’activation à distance offerte par la technologie ‘DCOM’ – Distributed COM – et du manque flagrant de rigueur
des développeurs à l’origine des objets actuellement livrés avec les systèmes Windows et les applications
associées.
Ceux-ci représentent un terrain de chasse idéal pour l’attaquant à la recherche d’un point d’entrée sur un système
distant : sur le nombre d’objets accessibles, la probabilité de trouver des objets susceptibles d’être vulnérables à
un simple débordement de buffer présent dans le traitement des paramètres d’entrée n’est pas nulle.
Les chiffres énoncés dans la présentation sont là pour confirmer cette hypothèse : sur les 6000 objets enregistrés
par défaut en environnement ‘XP’ (4200 objets en environnement WS2003), 2200 objets sont identifiés en tant
que ‘Scriptables Objects’ et donc accessibles à distance (1600 objets en environnement WS2003).
Le lecteur pourra vérifier ces affirmations en utilisant l’excellent utilitaire ‘Ole2View’ disponible sur le site MSDN.
L’utilitaire développé par F.Bret-Mounet, et nommé ‘COMBust’, permet d’automatiser la recherche des
débordements de buffer potentiellement présents dans les traitements associés aux interfaces qu’exposent ces
objets. Cette recherche est notablement facilitée par l’une des fonctionnalités de base de la technologie ‘DCOM’
(qui, rappelons-le, s’appuie sur les mécanismes d’appel de procédures à distance – ou RPC – définis par l’OSF) à
savoir la publication du type des paramètres attendus sur chacune des interfaces. Une application peut ainsi non
seulement énumérer les interfaces publiées par un objet mais aussi obtenir, pour chacune de ces interfaces, le
prototype permettant d’activer celle-ci conformément à la spécification.
L’outil ‘COMBust’ utilise cette facilité pour, étant donné un objet et une interface spécifique, obtenir les
caractéristiques des paramètres attendus et tester la ‘solidité’ du code en passant à l’interface des valeurs tirées
aléatoirement, si possible en dehors du domaine de validité de chacun des paramètres. L’utilisateur pourra
spécifier sa propre liste de valeurs en regard des différents types de données codifiés par ‘DCOM’.
Runtime Decompilation
G.Hoglund
Personnalité bien connue du monde de la sécurité, Greg Hoglund, actuellement fondateur de la société
‘HBGary’, nous propose un état de l’art des techniques et procédés de recherche des vulnérabilités par analyse
du code. Cette présentation de 69 pages est organisée en 4 chapitres.
Le premier chapitre est consacré à une très intéressante présentation des différents problèmes à l’origine des
failles et vulnérabilités de sécurité : débordements de buffer, analyses syntaxique et/ou grammaticale
incomplètes, automates d’état manipulables, conflits d’accès aux ressources.
Page 12/57
Août 2003
Le second chapitre aborde le problème de la rétro-analyse d’un code en mettant en évidence une nouvelle
approche dénommée ‘GreyBox’ qui combine les bénéfices de l’analyse statique avec ceux de l’injection de fautes
au cours d’une exécution contrôlée du code. Quelques outils disponibles sur le marché et susceptibles d’être
utilisés dans cette démarche sont listés : IDAPro, SoftIce, OllyDbg, Aegir, Fenris, GDB, Tempest et le
débogueur livré avec l’environnement Visual C.
Le troisième chapitre présente en détail ‘Bug Scan’, l’outil développé et utilisé par l’équipe d’analystes de la
société ‘HBGary’. Une version de cet outil est accessible durant une période limitée sur le site de la société
‘BugScan Inc.’, société probablement créée pour valoriser à terme ce produit sous la forme d’un service à valeur
ajoutée (ASP). En effet, l’évaluation proposée consiste à charger le code devant être testé sur un serveur distant
via un formulaire HTML, les résultats pouvant ensuite être consultés par le même moyen. Le peu d’information
disponible sur le mode de fonctionnement de cet outil laisse entendre qu’il procède comme le font ‘Fenris’
(Rapport N°45 – Avril 2002) où IDA, c’est à dire par recherche de la signature caractéristique des appels
systèmes doublée d’une analyse des en-têtes de l’exécutable.
Le dernier chapitre détaille la technologie dénommée ‘Tempest’ développée par la société ‘HBGary’ pour corréler
les différentes informations acquises durant l’analyse du code. Ce volet de la présentation est de loin le plus
intéressant car il détaille une réponse au problème récurrent rencontré lors de la rétro-analyse d’un code, à
savoir, l’identification des branches et séquences de code génératrices d’une vulnérabilité.
Variations in Exploit Methods Between Linux and Windows
D.Litchfield
Dans sa présentation, David Litchfield, de la société ‘NGSoftware’, aborde le thème de l’exploitation des
débordements de buffer en dévoilant 4 vulnérabilités non encore publiées présentes dans Oracle XDB, la base de
données XML livrée avec Oracle 9i !
Prenant prétexte de ces vulnérabilités, David Litchfield nous propose un catalogue répertoriant les nouvelles
méthodes d’exploitation des débordements de buffer actuellement utilisées en environnement WIN32 et Linux.
Ces méthodes sont ensuite mises en œuvre dans le cas particulier des vulnérabilités précédemment mentionnées
donnant naissance à deux codes d’exploitation, l’un fonctionnant en environnement WIN32 et l’autre sous LINUX.
Les sources de ces deux codes sont livrées en annexe de la présentation.
On notera par ailleurs, toujours en annexe, la présence d’un SHELLCODE générique écrit en assembleur et dédié
à l’environnement WIN32. Lors de son activation, ce code ouvre une connexion à destination du système dont
l’adresse IP et le numéro de port auront été paramétrés, connexion qui une fois établie offre l’accès sur un
interpréteur de commande. Ce mode de fonctionnement, dit ‘reverse shell’, facilite la traversée des équipements
de sécurité, la connexion étant systématiquement engagée par le système compromis donc depuis le réseau
interne.
Il y a hélas fort à parier que l’on va retrouver trace de ce SHELLCODE fort bien conçu, d’une efficacité redoutable
et d’un volume restreint - 127 octets - dans les attaques qui vont être perpétrées dans les semaines à venir. Bien
que son utilisation ne soit pas documentée, le source du code d’exploitation WIN32 qui l’utilise permet d’en
comprendre immédiatement l’usage, et en particulier, le mode de paramétrage de l’adresse IP et du port TCP.
Cette présentation est un excellent exemple de la problématique posée par la divulgation publique des
vulnérabilités, et surtout de codes immédiatement réutilisables sur un périmètre bien plus vaste que celui
initialement présenté. Au jour de la publication officielle des actes de la conférence BlackHat, les vulnérabilités
découvertes dans Oracle 9i n’avaient fait l’objet d’aucun avis d’aucune sorte !
Advanced in ELF Runtime Binary Encryption - Shiva
Clowes, Mehta
Shaun Clowes et Neel Metha réitèrent la présentation qu’ils avaient effectuées lors de la conférence
‘CanSecWest 2003’ en avril dernier (Rapport N°57 – Avril 2003) en présentant la version ‘0.99’ de leur outil de
protection des exécutables dénommé ‘Shiva’.
Comme ils l’avaient promis lors cette conférence, les sources de la version ‘0.96’ ont été mises à la disposition du
public et peuvent être téléchargées sur le site d’archivage de ‘BlackHat’.
Click to Continue
C.Padget
Chris Padget (aka ‘Foon’ ) avait promis dans son message publié en réponse à l’article de la société ‘iDefense’
(Rapport N°60 – Juillet 2003) qu’il dévoilerait deux solutions alternatives de protection contre les attaques visant
à manipuler les messages utilisés par l’interface graphique WIN32, attaques dites ‘Shatter Attacks’.
En réalité, la présentation effectuée par ‘Foon’ va bien au-delà de la promesse initiale puisque plusieurs nouvelles
techniques d’attaque y sont dévoilées, le code source des outils développés à cette occasion étant librement
accessible sur le site d’archivage de ‘BlackHat’.
Le terme de ‘Smashing’ y est employé pour désigner une méthode générique de recherche des applications
vulnérables aux attaques de type ‘Shatter Attacks’. L’outil du même nom permet d’automatiser cette recherche,
et pour chaque application vulnérable, d’engager une séquence d’attaque visant à faire exécuter une application
préalablement désignée avec les privilèges de l’application vulnérable.
Le procédé employé est intéressant à plus d’un titre. Tout d’abord, après avoir détecté une vulnérabilité, l’outil
tente d’exploiter celle-ci en transmettant une chaîne de 500Ko majoritairement constituée de ‘nop’, une
instruction machine n’effectuant aucun opération, et d’un SHELLCODE minimaliste. Cette chaîne est transmise en
tant qu’argument de la fonction ‘SetWindowsText’, fonction ici utilisée pour modifier le titre de la fenêtre
principale de toutes les applications actives.
Un message ‘WM_TIMER’ est ensuite transmis à toutes les applications attaquées. En cas de succès, le code ainsi
chargé ré-exécute l’outil mais, cette fois ci, avec les privilèges de l’application vulnérable. Cette nouvelle instance
peut alors exécuter l’application désignée par l’attaquant.
Plusieurs autres procédés sont étudiés qui tous visent à tirer parti des caractéristiques ‘uniques’ de l’interface
graphique ‘Windows’ et, en particulier, de son système de gestion des messages et des spécificités des
Page 13/57
Août 2003
paramètres associés.
Session ‘Routing & Infrastructure’
Organisée autour de 5 présentations, cette session traitait du thème du routage dans les réseaux et de l’organisation
des infrastructures associées.
The Superworm Manifesto
B.Wiley
La copie de la présentation effectuée par Brandom Wiley est incompréhensible pour qui ne connaît pas les
travaux et développements menés autour des mécanismes de partage de l’information, et plus particulièrement,
de la distribution des éléments d’une table d’index dans un réseau. Un domaine qui a priori n’a rien à voir avec la
sécurité et n’intéressera que les rares spécialistes des bases de données réparties.
En fait, ce problème intéresse au plus haut point les concepteurs des systèmes dit ‘P2P’ ou Peer-to-Peer pour
lesquels les éléments nécessaires au routage de bout en bout devront être stockés dans chacun de nœuds et cela
de manière optimale. Remplaçons le terme ‘index’ (ou ‘hash’) par le terme ‘état’ (ou ‘route’) et l’on voit
immédiatement le lien existant entre le stockage d’une table répartie dans les nœuds d’un réseau et celui du
routage dans un réseau P2P dont chaque nœud peut à tout instant disparaître.
Ce problème intéresse aussi une autre catégorie d’individus, les auteurs de codes malicieux dotés d’une fonction
de propagation. Optimiser la propagation d’un ver, c’est à dire infecter le plus vite possible un maximum de
cibles, nécessite en effet de disposer d’un algorithme de sélection de cibles performant et tenant compte si
possible de l’état des nœuds déjà infectés. Ici encore, le lien avec le problème de la gestion d’une table distribuée
apparaît évident : le ‘ver’ idéal a la connaissance ‘infuse’ et immédiate de l’état de chacune de ses autres
instances …
Brandom Wiley s’est fait connaître d’un public de
spécialistes à la suite de la publication, en novembre
2002, d’un manifeste intitulé ‘Curious Yellow : The
First Coordinated Worm Design’. Celui-ci dénonçait le
risque de voir rapidement apparaître un ‘super’ ver aux
effets dévastateurs car exploitant au mieux les travaux
menés dans le domaine des réseaux de partage.
Les
16
diagrammes
ésotériques
constituant
la
présentation effectuée à BlackHat correspondent
simplement à la représentation graphique de la stratégie
de détermination du prochain voisin (de la prochaine
‘cible’ dans le cas d’un ver) employée dans les projets
leaders en la matière : ‘Chord’, ‘Kamdelia’, ‘Koorde’ et
‘Pollen’.
BGP Vulnerability Testing
Franz,Convery
Cosigné par deux ingénieurs de la société ‘CISCO’, cette présentation porte un sous-titre indiquant sans ambiguïté
l’objectifs des auteurs : «Separating FACT from FUD». Le titre du premier volet est encore précis : « if you
believe what you read … ».
Le cadre est posé, cette présentation pourrait bien viser à nous démontrer que les menaces portées par le
protocole BGP n’ont pas lieu d’être quand bien même celles ci auraient été identifiées par de nombreuses études
et fait l’objet de plusieurs publications, dont un draft de l’IETF.
Mais soyons honnête, les auteurs ne remettent pas en cause le fond mais principalement la forme en
argumentant, faits à l’appui, que les affirmations portant sur la vulnérabilité de BGP se fondent principalement sur
des spéculations car n’ayant jamais fait l’objet d’analyses rigoureuses. Pour être encore plus précis, les auteurs de
cette présentation sont aussi les éditeurs du draft IETF ‘An Attack Tree for the Border Gateway Protocol’
proposant une approche analytique applicable à l’analyse de la sécurité du protocole BGP.
Cette approche analytique a donc été employée pour vérifier rigoureusement chacune des affirmations concernant
la sécurité de BGP. Les résultats sont étonnants en ce sens qu’ils ne démentent pas totalement les affirmations
tout en soulignant que, pour pouvoir être menées avec succès, la majorité des attaques nécessitent des
conditions que l’on ne doit pas rencontrer dans un réseau correctement configuré et administré.
Deux études complémentaires ont été menées pour appuyer cette conclusion. La première a consisté à soumettre
un équipement de routage à la torture, c’est à dire à lui faire ingurgiter une grande quantité de messages
invalides ‘BGP’ car générés aléatoirement tout en respectant cependant certaines règles de construction. Les
1200 tests effectués ont permis de découvrir 4 vulnérabilités sur 4 des 7 équipements soumis au test. Trois de
ces vulnérabilités nécessitent que l’attaquant soit déclaré en tant que voisin et/ou reconnu comme étant un
système autonome (un ‘AS’) valide. L’une des vulnérabilités, non précisée, est donc exploitable sans condition
particulière !
La seconde étude a permis de mesurer le niveau de sécurité réel du réseau Internet par un sondage non
destructif de quelques 115 466 équipements préalablement identifiés comme susceptibles d’être des acteurs BGP,
le service TCP/179 étant vu actif sur ceux-ci.
Les résultats sont éloquents: 14,5% des routeurs autorisaient une connexion sur au moins une interface
d’administration. Les auteurs n’ont pas été au delà d’un simple sondage. En conséquence, rien ne permet
d’affirmer qu’un service était réellement actif sur l’interface. Une mention honorable est décernée aux pays
suivants pour leur faible taux de routeurs mal configurés : Espagne (5.13%), France (6.48%) et Grande Bretagne
(7.72%).
En conclusion, les auteurs précisent que les dommages les plus importants seront le fait d’un routeur critique
volontairement mal configuré, que les affirmations concernant la facilité avec laquelle des attaques BGP peuvent
Page 14/57
Août 2003
être mises en œuvre sont mensongères, et enfin, que la mise en pratique des règles de base permet d’éliminer
les vulnérabilités les plus critiques. En effet, comme le précisent les auteurs, ‘pourquoi s’échiner à attaquer un
équipement BGP à bas niveau quand on peut facilement en prendre le contrôle par ailleurs !’
Session ‘Policy, Law & Society’
L’une des cinq présentations constituant cette session porte sur le thème de l’interception légale des données, deux
autres traitent du thème de la gestion de la politique de sécurité d’un entreprise et du contrôle de la bonne
application de celle-ci. Les deux dernières présentations abordent le cadre juridique du ‘Warez’ et celui de la
propriété des sources en prenant comme exemple pratique le cas de Kerberos et de sa réutilisation par de multiples
éditeurs.
Lawful Interception of IP: the European Context
J.Baloo
Jaya Baloo, l’auteur de cette présentation, vit en Hollande, un pays réputé pour être celui de toutes les libertés,
ou presque. Il nous propose un tour d’horizon des législations et obligations légales en matière d’interception de
données en vigueur dans les principaux pays constituant l’Europe. En l’absence de commentaires, le support de
cette présentation reste difficilement accessible au non-spécialiste d’autant que le sujet est vaste et touche de
très nombreux domaines techniques mais aussi juridiques.
En Europe, le terme ‘Interception légale’ – ‘Lawful Interception’ ou ‘LI’ – est défini par l’ETSI comme étant
l’action menée par un opérateur réseau, un fournisseur d’accès ou de services permettant de rendre disponibles
certaines informations et de délivrer celles-ci à l’autorité de surveillance compétente.
Engagée aux USA dès 1994 dans le cadre du programme CALEA, l’approche visant à normaliser les interfaces
requises sur les systèmes de communication a été traitée par l’ETSI à la suite de la directive Européenne traitant
de la nécessité de pouvoir procéder à la collecte et l’analyse des contenus échangés dans le cadre de la lutte
contre la cyber-criminalité. Les événements récents ont conduits les différents pays Européens à devoir intégrer
ce problème et à modifier la législation pour prendre en compte les contraintes imposées par les technologies de
l’information: ‘RIP’ et ‘ACS’ en Angleterre, ‘LSQ’ en France, ‘Counter Terrorism Act’ en Allemagne, …
Après un rapide tour d’horizon de l’état d’avancement des travaux de normalisation conduits par l’ETSI, les
auteurs détaillent l’implémentation de ces spécifications dans le cadre de l’infrastructure actuellement développée
en Hollande sous l’appellation ‘TIIT’. Celle-ci permettra de traiter les flux IP et plus particulièrement d’intercepter
les courriers électroniques.
Le dernier volet de la présentation est consacré à une très intéressante synthèse des produits commerciaux d’ores
et déjà disponibles sur le marché, et pour certains, recommandés par les constructeurs d’équipements de routage
et de commutation. Sont ainsi brièvement abordées les caractéristiques et fonctionnalités majeures des produits
développés par les sociétés ‘Verint’, ‘SS8’, ‘Nice’ et ‘Accuris’. Les coûts d’investissement auxquels devront faire
face les ISP vont de 100 000 à 700 000 Euro en fonction de la solution retenue.
Les auteurs concluent en rappelant que si quelque chose doit être mise en place – et l’on ne peut plus revenir en
arrière – autant faire en sorte que cela soit fait dans les règles de l’art notamment en informant et en publiant les
outils et méthodes utilisés.
Cette présentation amène à devoir encore plus réfléchir sur le concept de liberté individuelle dans un monde
désormais complètement informatisé, et aux conséquences à court et moyen terme, de chacune de nos actions
sur l’Internet.
Session ‘Firewalls, Access Control, Physical Security’
Seulement cinq présentations étaient inscrites dans cette session couvrant pourtant un thème assez vaste.
Masquerades: Tricking Modern Authentication Systems
R.Smith
Portant un nom prédestiné – en anglais, ‘Smith’ est le forgeron, ‘Locksmith’ désignant le serrurier – Rick Smith
présente un panorama de techniques et procédés ayant été employés par le passé pour circonvenir les systèmes
d’authentification de grandes organisations ou sociétés. Illustrée de très nombreux exemples pratiques, dont
certains portent à rire, cette présentation couvre les trois moyens d’authentification : ce que l’on possède, ce que
l’on sait, ce que l’on est.
Si les faits et les chiffres exposés n’étonneront pas grand monde – divulgation de quelques 500 000 fiches
médicales de personnels militaires américains par exemple – la démonstration factuelle proposée par l’auteur en
fin de présentation donne des sueurs froides. Il faut avouer que l’exemple utilisé est d’actualité puisqu’il s’agit du
contrôle de l’identité des passagers effectué sur des lignes aériennes Américaines.
L’objectif non explicitement annoncé de l’auteur est de démontrer qu’aucun système d’authentification n’étant
absolu il sera toujours possible de passer outre.
A cette fin, il corrèle deux informations a priori indépendantes : le taux de fiabilité d’un système de
reconnaissance faciale actuellement testé par le NIST et le nombre d’entrées présentes dans la liste des
personnes interdites d’accès dans les aéroports ou ‘watch list’. En admettant un taux de faux acceptés de l’ordre
de 1% sur le système de reconnaissance et un liste d’interdiction de 1600 entrées, une personne interdite se
verrait autoriser l’accès 1 fois sur 6. En augmentant la taille de cette liste à 35000 entrées, ce taux passerait
statistiquement à un ‘loupé’ sur 4.
Ce qui pourrait apparaître comme anodin, ou du moins, peu critique, dans le cadre d’un système
d’authentification classique ne l’est plus du tout lorsque l’on applique le même raisonnement à un système chargé
de protéger l’individu. D’où l’absolue nécessité d’implémenter un contrôle multiple sur de tels systèmes.
Session ‘Incident Response & Computer Forensics’
Les cinq présentations proposées dans cette session sont toutes aussi intéressantes car abordant des sujets très
diversifiés mais d’actualité: les traces laissées par l’utilisation d’un client de messagerie, les dernières avancées en
matière de leurres et pots de miel, l’utilisation de LINUX comme plate-forme d’investigation ou encore le
Page 15/57
Août 2003
positionnement du métier d’analyste et les contraintes associées.
Web Based Email Forensics
T.Akin
Responsable de l’institut du CyberCrime à l’université d’état de Kennesaw (Georgie), Thomas Akin traite le
problème des traces et éléments d’information générés par l’utilisation d’un client de messagerie utilisant les
services WEB ou dans le jargon, un client ‘WebMail’.
Historiquement proposée par les fournisseurs d’accès Internet au grand public, cette méthode d’accès à la
messagerie est désormais utilisée dans de très nombreuses entreprises, notamment par les personnels itinérants.
Hélas, les traces laissées sur le poste de travail par les clients ‘WebMail’ sont nombreuses et peuvent se révéler
autant d’éléments pouvant être utilisés à charge contre l’utilisateur mais aussi contre l’entreprise.
La liste des sources de données exploitables proposée par Thomas Akin est impressionnante: liste des sites
favoris, cookies, historique de la navigation, liste des URL saisies, fichiers temporaires, champs d’en-têtes HTTP
rajoutés par le serveur de messagerie, …
Quelques contre-mesures simples à mettre en œuvre pour renforcer l’anonymat sont proposées dont l’utilisation
dépendra cependant du contexte. Si, à titre personnel, ces mesures peuvent être d’un grand intérêt, elles
peuvent au contraire conduire à la destruction d’éléments pertinents dans le cadre d’une utilisation
professionnelle. Chacun jugera en fonction du contexte qui lui est propre et surtout de la politique de sécurité de
sa société. L’utilisation régulière d’un outil permettant de faire le ménage dans toutes les données archivées par
le navigateur reste cependant recommandée.
Session ‘Core Services’
Cette session regroupe cinq présentations ayant trait à la sécurité des services de base des systèmes informatiques
et équipements réseaux. Trois d’entres-elles traitent réellement de ce sujet: sécurité des noyaux Linux et BSD,
sécurité des équipements de stockage réseaux ou SAN, sécurité des systèmes embarqués. La quatrième
présentation aborde le problème de la sécurisation du système Windows CE, la dernière présentation n’ayant qu’un
lointain rapport avec le sujet de la session.
Opensource Kernel Auditing/Exploitation
S.Cesare
Silvio Cesare présente les résultats d’une campagne d’audit visant à identifier et corriger les vulnérabilités
présentes dans les noyaux des systèmes d’exploitation Linux et ceux dérivés de BSD. Menée entre Juillet et
Septembre 2002, cette campagne a permis d’identifier au total plus d’une centaine de vulnérabilités. On notera
que si le temps annoncé avoir été passé sur chacun des systèmes diffère notablement d’un système à l’autre – de
quelques jours pour OpenBSD à la totalité du temps disponible pour RedHat – nombre de vulnérabilités
semblent être communes à l’ensemble des systèmes.
Comme le fait remarquer l’auteur, et contrairement à ce que l’on pourrait penser, ce n’est pas parce que l’on
travaille sur le cœur du système qu’il est nécessaire d’être un expert de la sécurité et un dieu de la
programmation. Le code du noyau sera donc entâché des mêmes vulnérabilités que celles régulièrement
découvertes dans les applications. Par contre, pour être correctement mené, l’audit du code requiert un niveau
d’expertise conséquent comme le lecteur pourra s’en rendre compte à la lecture des nombreux exemples qui
émaillent la présentation.
Les résultats de cet audit confirment que la principale source de problème provient, mais cela n’est aucunement
une surprise, du langage de programmation utilisé, le langage ‘C’. Plus précisément, et au delà de l’erreur
classique de dimensionnement de buffer, il apparaît que nombre de problèmes proviennent d’une utilisation
inconsidérée des variables de type ‘int’, c’est-à-dire contenant une valeur signée allant de –32767 à 32768 en
arithmétique 16 bits. En pratique, les deux problèmes sont généralement liés, le débordement de buffer pouvant
être provoqué par une manipulation astucieuse de la longueur des données lorsque celle-ci peut être accédée par
l’utilisateur. Les tests de validité pouvant être effectués sur les paramètres seront rendus caduques lorsque le
développeur aura oublié qu’il manipulait une valeur signée et non un entier positif …
Ainsi et pour illustrer notre propos, le lecteur pourra méditer sur l’exemple suivant adapté de l’un de ceux de la
présentation peut être trop synthétique de Silvio Cesare:
void myfunction(const char *buffer, size_t count)
‘count’ est un entier non signé
{
‘count’ ne peut donc être négatif
...
Le test ne sert donc à rien sauf à vérifier que ‘count’
if (count <=0) return 0;
n’est pas nul
...
Mais si ‘count’ vaut 0xFFFF alors ‘count+1’ vaut 0 ce
buffer = kmalloc(count+1 , GFP_KERNEL);
qui n’est certainement pas attendu…
More (Vulnerable) Embedded Systems
FX
‘FX’ appartient au groupe allemand ‘Phenoelit’, un groupe de passionnés connu pour avoir mis en évidence de
nombreuses vulnérabilités et publié de nombreux articles et codes d’exploitation. En mars 2003, à l’occasion de la
conférence BlackHat dédiée aux environnements Windows, ‘FX’ avait eu l’occasion de dévoiler une première liste
de vulnérabilités découvertes dans les applications et les systèmes d’exploitation dits ‘embarqués’ (Rapport N°56
– Mars 2003). ‘
‘FX’ revient aujourd’hui avec une nouvelle série de vulnérabilités touchant aussi bien des équipements
(commutateur Enterasys Matrix E1 et téléphone Siemens S55) que les infrastructures et protocoles associés
(infrastructure GPRS, protocoles GTP, WAP et WSP).
Pour conclure, et comme à son habitude, ‘FX’ présente une nouvelle technique visant comme toujours les
équipements CISCO. Celle-ci s’appuie sur deux vulnérabilités n’ayant jamais encore été divulguées. La première
permet d’identifier sans erreur possible un équipement CISCO par la simple analyse des données en trop
présentes dans les paquets de réponse à une requête ICMP Echo. La seconde permet d’injecter un SHELLCODE
permettant de prendre le contrôle de l’équipement en transmettant celui-ci dans une URL d’une longueur
Page 16/57
Août 2003
supérieure à 2Go. La maîtrise technique que l’auteur a de ce sujet est toujours aussi impressionnante !
Putting The Tea Back Into CyberTerrorism
SensePost
Cette présentation qui n’a que peu, voir aucun rapport avec le thème de la session, dérange à plus d’un titre. En
premier lieu, rien ne permet de distinguer les propos relevant de l’affabulation de ceux fondés sur la réalité d’une
expérimentation. En second lieu, si le thème développé peut faire penser à celui d’une série récente de Tom
Clancy, les arguments et les faits présentés attestent du sérieux et de la fiabilité de l’analyse.
Les auteurs, qui appartiennent à la société SensePost basée en Afrique du Sud, y développent en effet l’idée
qu’un outil d’attaque, extrêmement performant car permettant d’initialiser une cyber-attaque géographiquement
et/ou économiquement ciblée, puisse être développé sans grande difficulté.
Afin d’être la plus efficace possible, cette attaque sera initiée par l’envoi d’un ver attaché à un message transmis
à une liste d’adresses automatiquement élaborée en fonction de l’objectif à atteindre: un pays, un secteur
d’activité, ....
Une fois activé par les destinataires, le ver se propagera automatiquement sur toutes les cibles correspondant à
l’objectif programmé. Aux personnes qui argumenteraient qu’aucune personne avertie ne serait assez bête pour
exécuter le code livré en attachement, les auteurs suggèrent de transmettre un message ayant l’apparence d’une
information ‘société’ et d’assener quelques statistiques : sur 13 personnes appartenant à une équipe de sécurité
d’une banque destinatrice d’un message piégé de la sorte, 5 personnes ont exécuté l’attachement, l’une d’entreselles l’ayant fait exécuté 3 fois !
Une démonstration en direct d’un prototype dénommé ‘ACT’ (Automated Cyber Tool) a même été effectuée
durant la conférence. Les quelques copies d’écran proposées dans l’article d’accompagnement font ‘froid dans le
dos’ …
L’article d’accompagnement est particulièrement intéressant car dévoilant quelques modes opératoires permettant
d’automatiser les phases amonts de collecte et de tri des données nécessaires à l’engagement de l’attaque:
organisations et entreprises par secteur d’activité, noms de domaine associés, adresses de messagerie des
personnels, …
On notera que l’incroyable base de données économiques gérée par la CIA – The World Fact Book - est mise à
profit pour aider l’utilisateur à identifier, par pays et par secteurs d’activité, les acteurs présents sur le périmètre
géographique retenu.
Session ‘Privacy & Anonymity’
Quatre présentations sont inscrites dans le cadre de cette session. La première aborde l’épineux problème de la
divulgation publique des vulnérabilités et des codes d’exploitation associés. La seconde s’intéresse aux failles
présentes dans les systèmes censés protéger l’anonymat de l’internaute. Enfin les deux dernières présentations
portent, l’une sur l’impact de l’utilisation des cartes d’identités dans le cadre du programme américain de protection
et de la sûreté intérieure, l’autre sur les mécanismes permettant de déjouer les procédés d’analyse et d’investigation
réseaux.
Covering your tracks
Simple Nomad
‘Simple Nomad’ de la société ‘BindView’ s’intéresse ici aux procédés susceptibles d’être employés pour
transférer des données vers un système tiers sans que celles-ci ne puissent être interceptées. Le procédé proposé
repose sur la création d’un canal caché ou ‘covert channel’ dissimulé dans le paquet de demande d’ouverture
d’une session TCP, et plus précisément dans le champ ‘ISN’ (numéro de séquence) du paquet ‘SYN’.
L’utilitaire ‘ncovert’, dont les sources sont disponibles sur le site d’archivage de ‘BlackHat’, a été écrit pour
prouver la viabilité du procédé dont l’auteur reconnaît cependant que le taux de transfert reste très faible. Les
données ainsi transmises restent intelligibles par quiconque est informé du procédé utilisé.
L’auteur propose donc en complément l’utilitaire de chiffrement ‘ncrypt’ qui intègre trois algorithmes symétriques
– AES, Serpent et TwoFish – ainsi qu’une fonction permettant d’effacer toutes les traces résultant de
l’utilisation d’un fichier de stockage.
Session ‘Intrusion Detection, Log Analysis’
Constituée de 5 présentations, cette session aborde le thème de la détection d’intrusion et de l’analyse des journaux.
En pratique, deux présentations traitent d’un sujet corollaire, celui de l’identification des services et équipements, les
trois autres présentations s’inscrivant dans le thème de la détection d’intrusion.
SPIDeR
P.Miller
Le projet ‘SPIDeR’ est l’acronyme de ‘Synergistic, Perceptual, Intrusion Detection with Reinforcement’. Cette
terminologie quelque peu pompeuse recouvre un projet destiné à renforcer la capacité d’un système de détection
d’intrusion en combinant et en corrélant les sources en provenance de multiples sondes, et ceci, indépendamment
de leur origine et de leur mode de fonctionnement (sondes
de niveau réseau – NIDS - ou de niveau système - HIDS).
Cet ambitieux projet n’en est qu’à ses débuts et la
présentation de Patrick Miller a pour objet de faire le point
sur son avancement et les choix technologiques qui ont été
effectués.
La comparaison des différentes approches ayant été étudiées
dans le cadre de la fonction d’identification et de corrélation
est particulièrement intéressante
Revolutionizing Operating System Fingerprinting
O.Arkin
En juillet 2000, un article intitulé ‘ICMP usage in Scanning’ écrit par Ofir Arkin démontrait que les protocoles
‘ICMP’ et ‘UDP’ peuvent parfaitement être utilisés pour identifier un système ou équipement réseau. La stratégie
Page 17/57
Août 2003
d’analyse présentée dans cet article était alors implémentée dans l’outil xProbe V1-0.1
En Août 2002, à l’occasion de la conférence Defcon 10, Arkin et Fyodor Yarochkin dévoilaient une nouvelle
approche basée sur l’utilisation d’une classification heuristique, ou pour reprendre la dénomination originale, une
classification à base de logique floue utilisant quatre états: OUI, NON, Probablement OUI, Probablement NON.
L’outil xProbe était alors mis à jour pour donner xProbe2 V0.1 béta. (Rapport N°49 – Août 2002).
En Avril 2003, la version finale xProbe2 V0.1 était mise à disposition du public. Outre la mise à jour de la base
d’empreintes et la correction de nombreux bogues, cette version contient la documentation requise pour qu’un
utilisateur puisse étendre la base d’empreintes.
Après un rapide historique des développements, Ofir Arkin aborde, dans sa présentation de 73 pages, un sujet
sensible, celui de la fiabilité des outils d’identification basés sur l’analyse du comportement de la cible face à des
sollicitations spécifiques. Son objectif est de démontrer que l’utilisation de la logique floue (‘Fuzzy Logic’) dans la
détermination de la cible la plus probable permet d’améliorer la fiabilité de l’identification mais que cette approche
devra être combinée avec d’autres mécanismes si l’on souhaite encore affiner le résultat.
De cette présentation, on retiendra que s’il est possible d’identifier sans grande erreur une famille d’équipements
ou de systèmes d’exploitation, il sera difficile de préciser les fonctionnalités associées. Sont ainsi cités à titre
d’exemple les équipements CISCO avec le routeur 7200 et les points d’accès Aironet 1100/1200 dont la
signature est strictement identique ou encore les systèmes d’exploitation Microsoft récents dont il sera désormais
difficile de déterminer avec certitude le niveau de mise à jour.
Nous recommandons aux lecteurs qui utiliseraient la version 0.1 béta de xProbe2 d’assurer la mise à jour avec la
version finale.
Advanced Windows 2000 Rootkits Detection
JK.Rutkowski
Le terme ‘rootkit’ désigne un paquetage logiciel contenant diverses fonctions illicites qui seront installées dans le
noyau du système d’exploitation. Résidant dans le cœur du système, ces fonctions seront à même de dissimuler
leur existence tout en accédant en toute liberté à toutes les ressources disponibles.
Longtemps réservé aux seuls environnements UNIX, et plus particulièrement aux systèmes Solaris et Linux, les
‘rootkits’ ont fait depuis quelques temps leur apparition dans l’environnement WIN32. Ainsi, en mai dernier,
‘frozen_op’ a publié le paquetage ‘fu’, un remarquable toolkit permettant de dissimuler un quelconque processus
en manipulant le mécanisme d’ordonnancement du noyau.
Si les mécanismes d’installation diffèrent légèrement entre les environnements LINUX et WIN32, les parades et
moyens de prévention restent assez similaires: comparaison de la table des appels systèmes courante avec une
table de référence, mesure statistique du nombre d’instructions exécutées entre deux points de référence,
supervision du mode trace, filtrage et protection des points d’entrée, légitimes ou non, permettant d’installer un
module dans le noyau, …
La présentation proposée par JK.Rutkowski offre une excellente synthèse – quoique très pointue - des
techniques employées par les ‘rootkits’ WIN32 et des procédés pouvant être utilisés pour détecter ceux-ci, voir
interdire leur installation.
http://www.blackhat.com/html/bh-usa-03/bh-usa-03-index.html
http://www.blackhat.com/html/bh-usa-03/bh-usa-03-schedule.html
http://www.defcon.org/html/defcon-11/defcon-11-speakers.html
- BlackHAT
- DefCON
Programme officiel
Programme officiel
Page 18/57
Août 2003
LO
OG
GIIC
CIIE
EL
LS
S LIIB
BR
RE
ES
S
LES
SERVICES DE BASE
Les dernières versions des services de base sont rappelées dans les tableaux suivants. Nous conseillons
d’assurer rapidement la mise à jour de ces versions, après qualification préalable sur une plate-forme
dédiée.
RESEAU
Nom
$ BIND
DHCP
NTP4
$ WU-FTP
Fonction
Ver.
Gestion de Nom (DNS) 9.2.3.rc1
8.4.1
Serveur d’adresse
3.0p2
Serveur de temps
4.1.2
Serveur de fichiers
2.6.2p
Date
Source
22/08/03
09/06/03
15/01/03
17/07/03
28/08/03
http://www.isc.org/products/BIND
http://www.isc.org/products/DHCP/dhcp-v3.html
http://www.ntp.org/downloads.html
http://www.wu-ftpd.org
MESSAGERIE
Nom
Fonction
Ver.
Date
IMAP4
POP3
SENDMAIL
Relevé courrier
Relevé courrier
Serveur de courrier
2002d
4.0.5
8.12.9
29/05/03 ftp://ftp.cac.washington.edu/imap/
13/03/03 ftp://ftp.qualcomm.com/eudora/servers/unix/popper/
30/03/03 ftp://ftp.sendmail.org/pub/sendmail/RELEASE_NOTES
Source
Nom
Fonction
Ver.
Date
APACHE
Serveur WEB
WEB
ModSSL
$ MySQL
SQUID
1.3.28
2.0.47
API SSL Apache 1.3.27 2.8.15
Base SQL
3.23.59
4.0.14
Cache WEB
2.5s3
Source
17/07/03
17/07/03
18/07/03
18/08/03
18/07/03
25/05/03
http://httpd.apache.org/dist
http://www.modssl.org
http://www.mysql.com/doc/N/e/News-3.23.x.html
http://www.squid-cache.org
AUTRE
Nom
INN
MAJORDOMO
$ OpenCA
OpenLDAP
LES
Fonction
Ver.
Gestion
Gestion
Gestion
Gestion
2.4.0
1.94.5
0.9.1.3
2.1.23
des news
des listes
de certificats
de l’annuaire
Date
Source
10/05/03
15/01/00
21/08/03
26/06/03
http://www.isc.org/products/INN
http://www.greatcircle.com/majordomo
http://www.openca.org/openca/download-releases.shtml
ftp://ftp.openldap.org/pub/OpenLDAP/openldap-release/
OUTILS
Une liste, non exhaustive, des produits et logiciels de sécurité du domaine public est proposée dans les
tableaux suivants.
LANGAGES
Nom
SPLINT
Perl
$ PHP
Fonction
Ver.
Analyse de code
Scripting
WEB Dynamique
3.1.1
5.8.0
4.3.3
5.0b1
Date
Source
25/05/03 http://lclint.cs.virginia.edu
12/08/02 http://www.cpan.org/src/index.html
25/08/03 http://www.php.net/downloads.php
29/06/03
ANALYSE RESEAU
Nom
Big Brother
Dsniff
EtterCap
Ethereal
IP Traf
Nstreams
SamSpade
TcpDump
Libpcap
$ TcpFlow
TcpShow
Fonction
Ver.
Visualisateur snmp
Boite à outils
Analyse & Modification
Analyse multiprotocole
Statistiques IP
Générateur de règles
Boite à outils
Analyse multiprotocole
Acquisition Trame
Collecte données
Collecte données
1.9c
2.3
0.6.b
0.9.14
2.7.0
1.0.3
1.14
3.7.2
0.7.2
0.21
1.81
Date
Source
15/05/02
17/12/00
03/07/03
23/07/03
19/05/02
06/08/02
10/12/99
27/02/02
27/02/02
07/08/03
21/03/00
http://bb4.com/
http://www.monkey.org/~dugsong/dsniff
http://ettercap.sourceforge.net/index.php?s=history
http://www.ethereal.com
http://cebu.mozcom.com/riker/iptraf/
http://www.hsc.fr/ressources/outils/nstreams/download/
http://www.samspade.org/ssw/
http://www.tcpdump.org/
http://www.tcpdump.org/
http://www.circlemud.org/~jelson/software/tcpflow/
http://ftp7.usa.openbsd.org/pub/tools/unix/sysutils/tcpshow
Page 19/57
Août 2003
WinPCap
Acquisition Trame
3.01a
13/06/03 http://winpcap.polito.it/news.htm
ANALYSE DE JOURNAUX
Nom
Fonction
Ver.
Analog
Autobuse
SnortSnarf
WebAlizer
Journaux serveur http
Analyse syslog
Analyse Snort
Journaux serveur http
5.32
1.13
021111
2.01-10
Date
Source
23/03/03
31/01/00
02/11/02
24/04/02
http://www.analog.cx
http://www.picante.com/~gtaylor/autobuse
http://www.silicondefense.com/software/snortsnarf/
http://www.mrunix.net/webalizer/download.html
ANALYSE DE SECURITE
Nom
FIRE
$ curl
Nessus
Nmap
Pandora
$ Saint
$ Sara
Tara (tiger)
Tiger
Trinux
Whisker
Fonction
Ver.
Boite à outils
Analyse http et https
Vulnérabilité réseau
Vulnérabilité Netware
Vulnérabilité système
Vulnérabilité système
Boite à outils
LibWhisker
0.4a
7.10.7
2.0.7
3.30
4.0b2.1
5.0.2
4.2.5b
3.0.3
2.2.4p1
0.81pre0
1.6
Date
Source
14/05/03
15/08/03
02/07/03
28/06/03
12/02/99
26/08/03
27/08/03
15/08/02
19/07/99
07/11/01
29/11/02
http://sourceforge.net/projects/biatchux/
http://curl.haxx.se/
http://www.nessus.org
http://www.insecure.org/nmap/nmap_download.html
http://www.packetfactory.net/projects/pandora/
http://www.saintcorporation.com/updates.html
http://www.www-arc.com/sara/downloads/
http://www-arc.com/tara
ftp://net.tamu.edu/pub/security/TAMU/tiger
http://sourceforge.net/projects/trinux/
http://www.wiretrip.net/rfp/p/doc.asp?id=21
CONFIDENTIALITE
Nom
OpenPGP
$ GPG
Fonction
Ver.
Signature/Chiffrement
Signature/Chiffrement
1.2.3
Date
Source
http://www.openpgp.org
22/08/03 http://www.gnupg.org
CONTROLE D’ACCES
Nom
TCP Wrapper
$ Xinetd
Fonction
Ver.
Accès services TCP
Inetd amélioré
7.6
2.3.12
Date
Source
ftp://ftp.cert.org/pub/tools/tcp_wrappers
05/08/03 http://synack.net/xinetd/
CONTROLE D’INTEGRITE
Nom
Fonction
Ver.
Tripwire
ChkRootKit
Intégrité LINUX
Compromission UNIX
2.3.47
0.41
Date
Source
15/08/00 http://www.tripwire.org/downloads/index.php
20/06/03 http://www.chkrootkit.org/
DETECTION D’INTRUSION
Nom
Fonction
Deception TK Pot de miel
LLNL NID
IDS Réseau
Snort
IDS Réseau
Shadow
IDS Réseau
Ver.
19990818
2.6
2.0.1
1.8
Date
Source
18/08/99
10/10/02
22/07/03
30/04/03
http://all.net/dtk/index.html
http://ciac.llnl.gov/cstc/nid/nid.html
http://www.snort.org/dl/
http://www.nswc.navy.mil/ISSEC/CID/
GENERATEURS DE TEST
Nom
Fonction
Ver.
Elza
FireWalk
IPSend
IDSWakeUp
UdpProbe
Requêtes HTTP
Analyse filtres
Paquets IP
Détection d’intrusion
Paquets UDP
1.4.5
5.0
2.1a
1.0
1.2
Date
Source
01/04/00
20/10/02
19/09/97
13/10/00
13/02/96
http://www.stoev.org/elza/project-news.html
http://www.packetfactory.net/firewalk
ftp://coombs.anu.edu.au/pub/net/misc
http://www.hsc.fr/ressources/outils/idswakeup/download/
http://sites.inka.de/sites/bigred/sw/udpprobe.txt
PARE-FEUX
Nom
DrawBridge
$ IpFilter
NetFilter
Fonction
Ver.
PareFeu FreeBsd
Filtre datagramme
Pare-Feu IpTables
3.1
3.4.33p1
1.2.8
Date
Source
19/04/00 http://drawbridge.tamu.edu
24/08/03 http://coombs.anu.edu.au/ipfilter/ip-filter.html
13/04/03 http://www.netfilter.org/downloads.html
TUNNELS
Nom
Fonction
Ver.
Date
Source
CIPE
FreeSwan
http-tunnel
OpenSSL
OpenSSH
Stunnel
TeraTerm Pro
Zebedee
Pile Crypto IP (CIPE)
Pile IPSec
Encapsulation http
Pile SSL
Pile SSH 1 et 2
Proxy https
Terminal SSH2
Tunnel TCP/UDP
1.5.4
2.01
3.0.5
0.9.7b
3.6.1
4.04
3.1.3
2.4.1
29/06/01
30/06/03
06/12/00
10/04/03
01/04/03
12/01/03
08/10/02
29/05/02
http://sites.inka.de/sites/bigred/devel/cipe.html
http://www.freeswan.org
http://www.nocrew.org/software/httptunnel.html
http://www.openssl.org/
http://www.openssh.com/
http://www.stunnel.org
http://www.ayera.com/teraterm/
http://www.winton.org.uk/zebedee/
Page 20/57
Août 2003
NO
OR
RM
ME
ES
SE
ET
T ST
TA
AN
ND
DA
AR
RD
DS
S
LES
LES
PUBLICATIONS DE L’IETF
RFC
Du 26/07/2003 au 27/08/2003, 25 RFC ont été publiés dont 5 RFC ayant trait à la
sécurité.
RFC TRAITANT DE LA SÉCURITÉ
Thème
IETF
IPSec
IPSP
RADIUS
Num Date Etat Titre
3552
3585
3586
3575
3576
07/03
08/03
08/03
07/03
07/03
BCP
Pst
Pst
Pst
Inf
Guidelines for Writing RFC Text on Security Considerations
IPsec Configuration Policy Information Model
IP Security Policy (IPSP) Requirements
IANA Considerations for RADIUS (Remote Authentication Dial In User Service)
Dynamic Authorization Extensions to Remote Authentication Dial In User Service (RADIUS)
RFC TRAITANT DE DOMAINES CONNEXES À LA SÉCURITÉ
Thème
IETF
Num Date Etat Titre
3571
08/03 Inf
Framework Policy Information Base for Usage Feedback
AUTRES RFC
Thème
3GPP
CDI
DHCP
INMF
IPV4
IPV6
ISUP
MIME
PPP
RMON
RTP
SIP
LES
Num Date Etat Titre
3574
3570
3315
3319
3584
3543
3582
3587
3578
3555
3544
3577
3545
3550
3551
3556
3557
3558
3581
08/03
07/03
07/03
07/03
08/03
08/03
08/03
08/03
08/03
07/03
07/03
08/03
07/03
07/03
07/03
07/03
07/03
07/03
08/03
Inf
Inf
Pst
Pst
BCP
Pst
Inf
Inf
Pst
Pst
Pst
Inf
Pst
Dft
Dft
Pst
Pst
Pst
Pst
Transition Scenarios for 3GPP Networks
Content Internetworking (CDI) Scenarios
Dynamic Host Configuration Protocol for IPv6 (DHCPv6)
Dynamic Host Configuration Protocol (DHCPv6) Options for Session Initiation Protocol (SIP) Servers
Coexistence between V1, V2, and V3 of the Internet-standard Network Management Framework
Registration Revocation in Mobile IPv4
Goals for IPv6 Site-Multihoming Architectures
IPv6 Global Unicast Address Format
Mapping of ISDN User Part (ISUP) Overlap Signalling to the Session Initiation Protocol (SIP)
MIME Type Registration of RTP Payload Formats
IP Header Compression over PPP
Introduction to the Remote Monitoring (RMON) Family of MIB Modul
Enhanced Compressed RTP (CRTP) for Links with High Delay, Packet Loss and Reordering
RTP: A Transport Protocol for Real-Time Applications
RTP Profile for Audio and Video Conferences with Minimal Control
Session Description Protocol (SDP) Bandwidth Modifiers for RTP Control Protocol (RTCP) Bandwidth
RTP Payload Format for ETSI ES 201 108 Distributed Speech Recognition Encoding
RTP Payload Format for Enhanced Variable Rate Codecs (EVRC) and Selectable Mode Vocoders
An Extension to the Session Initiation Protocol (SIP) for Symmetric Response Routing
DRAFTS
Du 26/07/2003au 27/08/2003, 262 drafts ont été publiés: 180 drafts mis à jour, 82
nouveaux drafts, dont 48 drafts ayant directement trait à la sécurité.
NOUVEAUX DRAFTS TRAITANT DE LA SECURITE
Thème
Nom du Draft
Date Titre
AMTP
CRYPTO
DNS
EAP
GTSH
IETF
IPSEC
KRB
draft-weinman-amtp-00
draft-ivancic-layer3-encryptors-00
draft-kolkman-dnssec-operational-practi-00
draft-moskowitz-eap-auth-model-00
draft-gill-gtsh-00
draft-kelly-ietf-lwapp-sec-00
draft-ietf-ipsec-aes-xcbc-prf-00
draft-ietf-krb-wg-gss-crypto-00
draft-weber-krb-wg-kerberos-pfs-00
draft-chen-ldp-ttl-00
draft-ietf-pkix-sca-00
19/08
05/08
21/08
06/08
06/08
25/08
29/07
14/08
28/07
26/08
28/07
LDP
PKIX
AMTP - Authenticated Mail Transfer Protocol
Use And Implementation of Layer-3 Encryption Devices
DNSSEC key operations
An Authentication Functional Layering Model
The Generalized TTL Security Hack (GTSH)
Security Requirements for a Light Weight Access Point Protocol
The AES-XCBC-PRF-128 algorithm for IKE
Kerberos Cryptosystem for the Kerberos 5 GSSAPI Mechanism
Kerberos Perfect Forward Secrecy
TTL-Based Security Option for LDP Hello Message
Subject Certificate Access Extension
Page 21/57
Août 2003
SSH
URN
draft-weber-secsh-pgp-sign-00
draft-thiemann-hash-urn-00
15/08 Secure Shell 'pgp-sign-*' Public Key Algorithms
12/08 A URN Namespace For Identifiers Based on Cryptographic Hashes
MISE A JOUR DE DRAFTS TRAITANT DE LA SECURITE
Thème
Nom du Draft
Date Titre
DDOS
DNS
draft-moriarty-ddos-rid-04
draft-ietf-dnsext-rfc2536bis-dsa-03
draft-ietf-dnsext-rfc2539bis-dhk-03
draft-ietf-dnsext-ecc-key-04
draft-ietf-ediint-as3-01
draft-ietf-enum-privacy-security-01
draft-hayashi-igap-03
draft-ietf-ipcdn-bpiplus-mib-11
draft-ietf-ipsec-nat-reqts-05
draft-ietf-ipsec-ikev2-10
draft-ietf-ipsec-ikev2-algorithms-03
draft-ietf-ipsec-ui-suites-04
draft-ietf-ipseckey-rr-06
draft-ietf-l3vpn-ipsec-2547-01
draft-ietf-mmusic-kmgmt-ext-08
draft-ietf-msec-gspt-02
draft-ietf-msec-arch-03
draft-jones-opsec-01
draft-ietf-pkix-pi-07
draft-ietf-pkix-logotypes-11
draft-aboba-pppext-key-problem-07
draft-eastlake-randomness2-04
draft-ietf-rserpool-threats-01
draft-ietf-sasl-rfc2222bis-02
draft-iab-secmech-03
draft-ietf-send-cga-01
draft-riikonen-silc-spec-07
draft-ietf-smime-x400transport-09
draft-ietf-smime-x400wrap-09
draft-lonvick-sobgp-radius-03
draft-kularski-spam-spamreduce-02
draft-galb-secsh-publickey-subsystem-02
draft-ietf-secsh-publickeyfile-04
draft-ietf-secsh-assignednumbers-04
draft-ietf-syslog-sign-12
draft-ietf-xmldsig-xpf2-01
draft-ietf-xmpp-e2e-05
04/08
31/07
01/08
22/08
31/07
29/07
18/08
18/08
07/08
18/08
18/08
20/08
22/08
15/08
01/08
19/08
15/08
20/08
29/07
28/07
11/08
04/08
25/08
19/08
30/07
04/08
28/07
08/08
15/08
20/08
25/08
20/08
26/08
18/08
22/08
22/08
25/08
EDIINT
ENUM
IGAP
IPCDN
IPSEC
L3VPN
MMUSIC
MSEC
OPSEC
PKIX
PPP
RANDOM
RSERPOO
SASL
SEC
SEND
SILC
SMIME
SOBGP
SPAM
SSH
SYSLOG
XPATH
XMPP
DDOS Incident Handling: Real-Time Inter-Network Defense
DSA Keying and Signature Information in the DNS
Storage of Diffie-Hellman Keys in the Domain Name System
Elliptic Curve KEYs in the DNS
FTP Transport for Secure P2P Business Data Interchange
Privacy and Security Considerations in ENUM
Internet Group membership Authentication Protocol (IGAP)
MIB for DOCSIS Cable Modems and Cable Modem Termination …
IPsec-NAT Compatibility Requirements
Internet Key Exchange (IKEv2) Protocol
Cryptographic Algorithms for use in the Internet Key Exchange V2
Cryptographic Suites for IPsec
A method for storing IPsec keying material in DNS
Use of PE-PE IPsec in RFC2547 VPNs
Key Management Extensions for SDP and RTSP
The MSEC Group Security Policy Token
The Multicast Security Architecture
Operational Security Requirements for IP Network Infrastructure
Internet X.509 PKI Permanent Identifier
Internet X.509 PKI: Logotypes in X.509 certificates
EAP Key Management Framework
Randomness Requirements for Security
Threats Introduced by Rserpool and Requirements for Security
Simple Authentication and Security Layer (SASL)
Security Mechanisms for the Internet
Cryptographically Generated Addresses (CGA)
Secure Internet Live Conferencing (SILC), Protocol Specification
Transporting S/MIME Objects in X.400
Securing X.400 Content with S/MIME
RADIUS Attributes for soBGP Support
SPAM Reduction Through Creative Addressing
Secure Shell Public-Key Subsystem
SSH Public Key File Format
SSH Protocol Assigned Numbers
Syslog-Sign Protocol
XML-Signature XPath Filter 2.0
End-to-End Object Encryption in XMPP
DRAFTS TRAITANT DE DOMAINES CONNEXES A LA SECURITE
Thème
Nom du Draft
Date Titre
IPV6
L2TP
draft-cpatel-ipv6-automated-policy-t-cfg-00
draft-ietf-l2tpext-l2tp-base-10
draft-ietf-l2tpext-tunnel-switching-04
draft-ietf-l3vpn-as2547-01
draft-ietf-l3vpn-generic-reqts-01
draft-legg-ldap-transfer-01
draft-mattson-multicast-2547bis-00
draft-ietf-ngtrans-isatap-14
draft-guichard-pe-ce-addr-03
draft-ietf-pkix-pr-tsa-05
draft-reyes-policy-core-ext-schema-03
draft-palet-v6ops-proto41-nat-01
19/08
15/08
31/07
28/07
06/08
07/08
28/07
26/08
29/07
05/08
06/08
31/07
L3VPN
LDAP
MULTICA
NGTRANS
PE
PKIX
POLICY
V6OPS
Automated config of address selection policy tables
Layer Two Tunneling Protocol (Version 3)
L2TP Tunnel Switching
Applicability Statement for BGP/MPLS IP VPNs
Generic Requirements for Provider Provisioned VPN
LDAP: Transfer Encoding Options
Multicast Group Membership Update over 2547bis VPNs
Intra-Site Automatic Tunnel Addressing Protocol (ISATAP)
Address Allocation for PE-CE links within a PP VPN Network
Policy Requirements for Time-Stamping Authorities
Policy Core Extension LDAP Schema (PCELS)
Forwarding Protocol 41 in NAT Boxes
AUTRES DRAFTS
Thème
Nom du Draft
Date Titre
ADSLMIB
draft-dodge-adslmib-vdsl-ext-mcm-01
draft-dodge-adslmib-vdsl-ext-scm-01
draft-kunze-ark-06
draft-moore-auto-email-response-02
draft-ietf-avt-rtp-retransmission-09
draft-ietf-avt-mpeg1and2-mod-00
draft-ietf-bridge-bridgemib-smiv2-05
draft-ietf-calsch-cap-11
draft-calhoun-capwap-problem-statement-00
draft-housley-cms-fw-wrap-02
draft-ietf-crisp-requirements-06
draft-ietf-crisp-internet-resource-num-req-00
29/07
28/07
31/07
07/08
05/08
12/08
28/07
28/07
13/08
28/07
22/08
10/08
ARK
AUTO
AVT
BRIDGE
CAP
CAPWAP
CMS
CRISP
Definitions of MO Extensions for VDSL Using MCM Line Coding.
Definitions of MO Extensions for VDSL Using SCM Line Coding
The ARK Persistent Identifier Scheme
Recommendations for Automatic Responses to Electronic Mail
RTP Retransmission Payload Format
RTP Payload Format for MPEG1/MPEG2
Definitions of Managed Objects for Bridges
Calendar Access Protocol (CAP)
CAPWAP Problem Statement
Using CMS to Protect Firmware Packages
CRISP Requirements
CRISP Internet Resource Number Requirements
Page 22/57
Août 2003
DCCP
DIFFSER
DIST
DNS
DSMIP
DSTM
EPP
ESMTP
FORCES
GEOPRIV
GMPLS
GSAKMP
GSEC
HINTS
IAB
IDN
IDR
IEPREP
IETF
IGMP
IMAA
IMAP
IP
IPSEC
IPTEL
IPV4
IPV6
iSCSI
ISIS
JMIME
L2TP
draft-phelan-dccp-lite-00
draft-ietf-dhc-dhcpv6-opt-dnsconfig-04
draft-ietf-dhc-isnsoption-08
draft-ietf-dhc-unused-optioncodes-06
draft-ietf-dhc-dna-ipv4-00
draft-swamy-dhc-client-id-00
draft-bless-diffserv-multicast-07
draft-silverman-diffserv-mlefphb-02
draft-sibley-dist-vect-monit-protocol-01
draft-ietf-dnsext-ipv6-name-auto-reg-01
draft-ietf-dnsext-dnssec-2535type-change-04
draft-ietf-dnsext-wcard-clarify-01
draft-hall-resolver-config-00
draft-jeong-dnsop-ipv6-dns-discovery-00
draft-tsirtsis-dsmip-problem-01
draft-bound-dstm-exp-00
draft-hollenbeck-epp-rgp-01
draft-newman-esmtpsa-01
draft-ietf-forces-framework-08
draft-ietf-forces-model-00
draft-haraszti-forces-model-00
draft-wang-forces-model-topology-00
draft-ietf-geopriv-dhcp-lci-option-02
draft-liu-gmpls-ospf-restoration-01
draft-ietf-msec-gsakmp-sec-03
draft-irtf-gsec-gdoi-batch-lkh-00
draft-bertin-hints-params-00
draft-ietf-nomcom-rfc2727bis-07
draft-bartosiewicz-idn-pltld-01
draft-xdlee-idn-cdnadmin-00
draft-ietf-idr-bgp4-mib-11
draft-ietf-idr-route-filter-09
draft-ietf-idr-restart-07
draft-ietf-idr-as4bytes-07
draft-ietf-idr-bgp-ext-communities-06
draft-ietf-idr-aspath-orf-05
draft-ietf-idr-dynamic-cap-04
draft-ietf-idr-cease-subcode-03
draft-ietf-idr-bgp4-experience-protocol-00
draft-ietf-ieprep-ets-general-04
draft-bradner-ietf-proc-ideas-00
draft-handley-doc-market-00
draft-ietf-problem-issue-statement-03
draft-ietf-magma-snoop-09
draft-hoffman-imaa-02
draft-ietf-imapext-acl-09
draft-ietf-imapext-list-extensions-04
draft-ietf-imapext-condstore-03
draft-crispin-imap-urlauth-02
draft-ietf-ipfix-info-01
draft-katz-ward-bfd-v4v6-1hop-00
draft-jeong-manet-addr-autoconf-reqts-00
draft-rantonen-manet-idaddress-dad-ad-00
draft-bew-ipsec-signatures-01
draft-ietf-iptel-cpl-07
draft-ietf-iptel-trip-mib-08
draft-ietf-v6ops-ipv4survey-ops-02
draft-ietf-v6ops-ipv4survey-intro-02
draft-ietf-v6ops-ipv4survey-subip-02
draft-ietf-ipv6-node-requirements-05
draft-ietf-ipv6-prefix-delegation-req-03
draft-ietf-ipv6-deprecate-site-local-00
draft-hain-ipv6-pi-addr-05
draft-hain-ipv6-pi-addr-use-05
draft-park-ipv6-optidad-requirement-01
draft-hain-templin-ipv6-limitedrange-01
draft-huston-ipv6-local-use-comments-00
draft-moore-ipv6-prefix-substitution-aa-00
draft-tsirtsis-v4v6-mipv4-00
draft-soliman-v4v6-mipv4-00
draft-ietf-ipr-template-07
draft-ietf-ips-iscsi-boot-11
draft-ietf-ips-isns-mib-05
draft-ietf-ips-iscsi-string-prep-06
draft-ietf-isis-traffic-05
draft-singer-jp2-02
draft-ietf-l2tpext-failover-02
25/08
25/08
28/07
12/08
14/08
30/07
04/08
29/07
12/08
28/07
05/08
11/08
29/07
31/07
18/08
18/08
31/07
19/08
11/08
11/08
28/07
12/08
19/08
15/08
04/08
31/07
07/08
07/08
20/08
20/08
19/08
25/08
25/08
25/08
25/08
26/08
15/08
05/08
19/08
26/08
28/07
05/08
26/08
11/08
06/08
19/08
06/08
05/08
21/08
13/08
20/08
22/08
26/08
07/08
01/08
12/08
22/08
22/08
22/08
25/08
25/08
26/08
15/08
15/08
30/07
14/08
08/08
15/08
18/08
22/08
20/08
28/07
31/07
05/08
04/08
18/08
22/08
Datagram Congestion Control Protocol - Lite (DCCP-Lite)
DNS Configuration Options for DHCPv6
The IPv4 DHCP Options for the Internet Storage Name Service
Unused DHCP Option Codes
Detection of Network Attachment (DNA) in IPv4
Client Identifier option in server replies
IP Multicast in Differentiated Services Networks
Multi-Level Expedited Forwarding Per Hop Behavior (MLEF PHB)
Distance Vectored Monitoring Protocol
Domain Name Auto-Registration for Plugged-in IPv6 Nodes
Legacy Resolver Compatibility for Delegation Signer
Clarifying the Role of Wild Card Domains in the DNS
DNS Resolver Configuration via Multicast
IPv6 DNS Discovery based on Router Advertisement
Mobility Mngt for Dual stack mobile nodes A Problem Statement
Dual Stack Transition Mechanism
Redemption Grace Period Mapping for the EPP
ESMTP and LMTP Transmission Types Registration
Forwarding and Control Element Separation (ForCES) Framework
ForCES Forwarding Element Functional Model
ForCES FE Functional Model Elements
Topology Representation for ForCES FE Model
DHCP Option for Location Configuration Information for GEOPRIV
OSPF-TE Extensions in Support of Shared Mesh Restoration
GSAKMP
Adapting GDOI for balanced batch-LKH
Parameters for Link Hints
IAB and IESG Selection, Confirmation, and Recall Process
Registering Internationalized Domain Names under .PL
Regis & Administration Guideline for Chinese Domain Names
Definitions of Managed Objects for the Fourth Version of BGP
Cooperative Route Filtering Capability for BGP-4
Graceful Restart Mechanism for BGP
BGP support for four-octet AS number space
BGP Extended Communities Attribute
Aspath Based Outbound Route Filter for BGP-4
Dynamic Capability for BGP-4
Subcodes for BGP Cease Notification Message
Experience with the BGP-4 Protocol
General Requirements for Emergency Telecommunication Service
Ideas for changes to the IETF document approval process
A Market for RFC Publication and Review
IETF Problem Statement
Considerations for IGMP and MLD Snooping Switches
Internationalizing Mail Addresses in Applications (IMAA)
IMAP4 ACL extension
IMAP4 LIST Command Extensions
IMAP Extension for Conditional STORE operation
Internet Message Access Protocol (IMAP) - URLAUTH Extension
Information Model for IP Flow Information Export
BFD for IPv4 and IPv6 (Single Hop)
Requirements for Ad Hoc IP Address Autoconfiguration
IP Addr Autoconfiguration with DAD minimization for Ad Hoc Net
The Use of RSA Signatures within ESP and AH
CPL: A Language for User Control of Internet Telephony Services
Management Information Base for Telephony Routing over IP
Survey of IPv4 Addr in Currently Deployed IETF Operations
Survey of IPv4 Addr in Currently Deployed standards
Survey of IPv4 Addr in Currently Deployed IETF Sub-IP Area
IPv6 Node Requirements
Requirements for IPv6 prefix delegation
Deprecating Site Local Addresses
An IPv6 Provider-Independent Global Unicast Address Format
Use of the IPv6 Provider Independent Global Unicast Address Fmt
Requirement for Optimized DAD in IPv6 Mobility
Addressing Requirements for Local Communications within Sites
On Distribution Mechanisms for Unique Local Use IPv6 Unicast adr
Substitution of IPv6 Prefixes for Improved Address Stability
Dual Stack Mobile IPv4
Dual Stack Mobile IPv6
A Template for IETF Patent Disclosures and Licensing Declarations
Bootstrapping Clients using the iSCSI Protocol
Definitions of Managed Objects for iSNS
String Profile for iSCSI Names
IS-IS extensions for Traffic Engineering
MIME Type Registrations for ISO/IEC 15444
Fail Over extensions for L2TP 'failover'
Page 23/57
Août 2003
L2VPN
L3VPN
LUMAS
MANET
MBONED
MGCP
draft-rosen-l2vpn-mesh-failure-00
draft-ietf-l3vpn-mgt-fwk-00
draft-cordell-lumas-01
draft-ietf-manet-tbrpf-10
draft-ietf-mboned-ipv4-mcast-unusable-00
draft-foster-mgcp-returncodes-03
draft-urquizo-mgcp-pre-package-00
MIB
draft-ietf-atommib-rfc2496bis-04
draft-ietf-atommib-rfc2495bis-04
draft-ietf-ipcdn-subscriber-mib-12
draft-ietf-ops-mib-review-guidelines-02
draft-ietf-rmonmib-apm-mib-10
MIDCOM
draft-ietf-midcom-semantics-04
draft-ietf-midcom-mib-analysis-00
MIKEY
draft-ietf-msec-mikey-dhhmac-03
MIME
draft-singer-avt-3gpp-mime-00
MOBILEIP draft-ietf-mobileip-rfc2006bis-02
draft-montavont-mobileip-ha-filtering-v6-00
draft-patel-mobileip-experimental-mess-01
draft-sjkoh-mobile-sctp-mobileip-02
MPLS
draft-ietf-ccamp-gmpls-ason-reqts-02
draft-ietf-mpls-ldp-mib-13
draft-ietf-mpls-te-mib-12
draft-ietf-mpls-lsr-mib-12
draft-ietf-mpls-ftn-mib-08
draft-ietf-mpls-tc-mib-09
draft-ietf-mpls-mgmt-overview-08
draft-ietf-mpls-in-ip-or-gre-02
MSGHEAD draft-newman-msgheader-originfo-05
NEMO
draft-perera-nemo-extended-00
NETCONF draft-ietf-netconf-prot-00
NETFLOW draft-claise-netflow-9-03
NFSV4
draft-ietf-nfsv4-acl-mapping-00
NNTP
draft-ietf-nntpext-base-19
NSDL
draft-hoehn-nsdl-urn-namespace-00
NSIS
draft-hancock-nsis-reliability-00
draft-ietf-nsis-req-09
OPES
draft-ietf-opes-http-00
OSPF
draft-lindem-ospf-multi-area-links-00
draft-mirtorabi-ospfv3-af-alt-00
draft-ietf-ospf-scalability-06
draft-ietf-ospf-ospfv3-auth-03
draft-ietf-ospf-ospfv3-traffic-01
PPP
draft-schryver-pppext-iana-01
PRECONF draft-ohta-preconfigured-dns-00
PRESENC draft-riikonen-presence-attrs-02
PWE3
draft-ietf-pwe3-arch-05
draft-ietf-pwe3-vccv-00
RFC2931
draft-srose-rfc2931bis-00
ROUTING draft-irtf-routing-reqs-00
RPSLNG
draft-blunk-rpslng-01
RTF
draft-jones-avt-audio-t38-00
RTP
draft-hellstrom-avt-rfc2793bis-00
SCTP
draft-riegel-tuexen-mobile-sctp-03
draft-ietf-tsvwg-sctpsocket-07
draft-ietf-tsvwg-prsctp-01
draft-ietf-tsvwg-dsack-use-01
SEAMOBY draft-ietf-seamoby-card-protocol-03
SERVICE
draft-iab-service-id-considerations-02
SIG
draft-tsenevir-sig-nsp-00
SIGTRAN draft-bidulock-sigtran-m2pa-test-03
draft-bidulock-sigtran-aspext-02
draft-bidulock-sigtran-sginfo-03
draft-bidulock-sigtran-loadsel-02
draft-bidulock-sigtran-loadgrp-02
draft-bidulock-sigtran-corid-02
draft-bidulock-sigtran-tua-02
draft-bidulock-sigtran-isua-01
draft-bidulock-sigtran-regext-01
draft-bidulock-sigtran-m2ua-ss7test-00
draft-ietf-sigtran-signalling-over-sctp-appl09
SILC
draft-riikonen-silc-pp-07
SIMPLE
draft-ietf-simple-pres-filter-reqs-02
draft-ietf-simple-rpid-00
SIP
draft-rosenberg-sipping-gruu-reqs-00
draft-roach-sip-409-00
draft-stredicke-sipping-late-media-00
06/08
31/07
28/07
29/07
29/07
14/08
20/08
19/08
19/08
04/08
25/08
15/08
20/08
18/08
29/07
19/08
11/08
28/07
18/08
22/08
18/08
08/08
08/08
07/08
06/08
08/08
12/08
19/08
28/05
29/07
12/08
21/08
12/08
01/08
25/08
13/08
12/08
04/08
28/07
04/08
19/08
20/08
19/08
28/07
28/07
28/07
04/08
29/07
07/08
11/08
28/07
11/08
20/08
07/08
25/08
22/08
18/08
20/08
14/08
15/08
01/08
01/08
01/08
01/08
01/08
01/08
01/08
01/08
01/08
01/08
05/08
28/07
14/08
31/07
31/07
06/08
11/08
Detecting & Reacting to Failures of the Full Mesh in IPLS & VPLS
Framework for PPVPN Operations and Management
Lumas-A Language for Universal Message Abstraction & Specific.
Topology Dissemination Based on Reverse-Path Forwarding
IPv4 Multicast Unusable Group And Source Addresses
Media Gateway Control Protocol (MGCP) Return Code Usage
The Media Gateway Control Protocol (MGCP) PRE Package
Definitions of MO for the DS3/E3 Interface Type
Definitions of MO for the DS1, E1, DS2 and E2 Interface Types
MIB for DOCSIS Cable Modem Termination Systems for Sub. Mgts
Guidelines for MIB Authors and Reviewers
Application Performance Measurement MIB
MIDCOM Protocol Semantics
Middlebox Communications Protocol Managed Objects Analysis
HMAC-authenticated Diffie-Hellman for MIKEY
MIME Type Registrations for 3GPP Multimedia files
The Definitions of MO for IP Mobility Support using SMIv2, revised
Home Agent Filtering for Mobile IPv6
Experimental Message Types for Mobile IPv4
mSCTP with Mobile IP for Transport Layer Mobility
Requirements for GMPLS Signaling Usage & Extensions for ASON
Definitions of Managed Objects for the MPLS, LDP
MPLS Traffic Engineering Management Information Base
MPLS Label Switching Router (LSR) MIB
MPLS FEC-To-NHLFE Management Information Base
Definitions of Textual Conventions for MPLS Management
Multiprotocol Label Switching (MPLS) Management Overview
Encapsulating MPLS in IP or GRE
Originator-Info Message Header
Extended Network Mobility Support
NETCONF Configuration Protocol
Cisco Systems NetFlow Services Export Version 9
Mapping Between NFSv4 and Posix Draft ACLs
Network News Transport Protocol
A URN Namespace for NSDL
Reliability Functions in the NSIS Transport Layer Protocol
Requirements for Signaling Protocols
HTTP adaptation with OPES
OSPF Multi-Area Links
Support of address families in OSPFv3
Prioritized Treatment of Specific OSPF Packets & Congestion Avoid
Authentication/Confidentiality for OSPFv3
Traffic Engineering Extensions to OSPF version 3
IANA Considerations for the Point-to-Point Protocol (PPP)
Preconfigured DNS Server Addresses
User Online Presence and Information Attributes
PWE3 Architecture
Pseudo Wire (PW) Virtual Circuit Connection Verification (VCCV)
DNS Request and Transaction Signatures ( SIG(0)s )
Requirements for Inter Domain Routing
RPSLng
Real-Time Facsimile (T.38) - audio/t38 MIME Sub-type Registr.
RTP Payload for Text Conversation
Mobile SCTP
Sockets API Extensions for Stream Control Transmission Protocol
SCTP Partial Reliability Extension
TCP DSACKs and SCTP Duplicate TSNs to Detect Spurious Retrans
Candidate Access Router Discovery
On the use of a Service Identifier in Packet Headers
Architecture for Generic NSP Layer related Signaling & Case study
SS7 MTP2-User P2P Adaptation Layer Test Spec. M2PA-TEST
ASP Extension Framework for Signalling User Adaptation Layers
SG SGINFO Support for Signalling User Adaptation Layers
Load Selection for Signalling User Adaptation Layers
Load Grouping Extension for Signalling User Adaptation Layers
CORID Supporting Lossless Fail-Over between SCTP Associations
SS7 TCAP-User Adaptation Layer TUA
SS7 ISUP-User Adaptation Layer (ISUA)
REGEXT for Signalling User Adaptation Layers
SS7 M2UA SS7 Test Specifications M2UA-SS7TEST
Telephony Signalling Transport over SCTP applicability statement
SILC Packet Protocol
Requirements for Presence Specific Event Notification Filtering
RPID -- Rich Presence Information Data Format
Construction and Usage of Globally Routable UA URIs for SIP
A 'Conflict' Response Code for the Session Initiation Protocol (SIP)
Late Media in the Session Initiation Protocol
Page 24/57
Août 2003
SMTP
SNMP
SPIRITS
SSH
SYSLOG
TCP
TEWG
UMSP
UPN
VRRP
WARD
WEBDAV
XED
XKMS
XMPP
draft-ietf-sip-mib-07
draft-ietf-sip-replaces-04
draft-ietf-sip-referredby-03
draft-ietf-sip-resource-priority-01
draft-ietf-sip-connect-reuse-00
draft-ietf-sip-uri-parameter-reg-00
draft-ietf-sip-parameter-registry-00
draft-ietf-sipping-qsig2sip-02
draft-shveidel-mediasize-03
draft-fecyk-dsprotocol-04
draft-ietf-snmpconf-diffpolicy-07
draft-ietf-spirits-protocol-06
draft-ietf-secsh-scp-sftp-ssh-uri-00
draft-ietf-syslog-international-00
draft-allman-tcp-early-rexmt-02
draft-jin-wei-low-tcp-fast-01
draft-jacobson-tsvwg-1323bis-00
draft-ietf-tewg-mib-05
draft-bogdanov-umsp-rfc3018-update-00
draft-royer-calsch-dynamic-upn-00
draft-ouldbrahim-ppvpn-gid-03
draft-ietf-vrrp-spec-v2-09
draft-katz-ward-bfd-01
draft-reschke-deltav-compute-checkin-uri-05
draft-ietf-webdav-ordering-protocol-10
draft-legg-xed-roadmap-00
draft-legg-xed-dxer-00
draft-legg-xed-glue-00
draft-legg-xed-schema-00
draft-legg-xed-asd-00
draft-deacon-xkms-aia-00
draft-ietf-xmpp-im-16
draft-ietf-xmpp-core-17
draft-ietf-xmpp-cpim-02
01/08
18/08
06/08
28/07
21/08
25/08
25/08
13/08
31/07
26/08
14/08
26/08
13/08
01/08
25/08
28/07
19/08
11/08
19/08
19/08
28/07
14/08
20/08
20/08
11/08
07/08
07/08
07/08
07/08
07/08
04/08
25/08
25/08
25/08
Management Information Base for Session Initiation Protocol
The Session Inititation Protocol (SIP) 'Replaces' Header
The SIP Referred-By Mechanism
Communications Resource Priority for SIP
Connection Reuse in the Session Initiation Protocol (SIP)
The IANA Universal Resource Identifier Parameter Registry for SIP
The IANA Header Field Parameter Registry for SI¨P
Interworking between SIP and QSIG
SMTP Service Extension for message Media Size declaration
Mailers Protocol A Way to Identify Hosts Authorized to Send SMTP
The Differentiated Services Configuration MIB
The SPIRITS Protocol
SCP/SFTP/SSH URI Format
Syslog-international Protocol
Early Retransmit for TCP and SCTP
FAST TCP for High-Speed Long-Distance Networks
TCP Extensions for High Performance
A Traffic Engineering MIB
Unified Memory Space Protocol
How to create dynamic UPNs for invited ATTENDEEs
Global Unique Identifiers (GID)
Virtual Router Redundancy Protocol
Bidirectional Forwarding Detection
Computing the CHECKIN URI in WebDAV versioning
WebDAV Ordered Collections Protocol
The XML Enabled Directory
Directory XML Encoding Rules for ASN.1 Types
XED: Schema Language Integration
XED: Schema Operational Attributes
ASN.1 Schema: An XML Representation for ASN.1 Specifications
AIA Access Method for XKMS Services
XMPP Instant Messaging
XMPP Core
XMPP CPIM Mapping
Page 25/57
Août 2003
NOS COMMENTAIRES
LES RFC
RFC 3552
Guidelines for Writing RFC Text on Security Considerations
Co-édité par Eric Rescorla consultant de la société ‘RTFM Inc.’ et B.Korver de la société Xythos Software, ce
document entre dans la catégorie des BCP - ‘Best Current Practice’ – c’est à dire des documents spécifiant les
bonnes pratiques et usages applicables dans les différents thèmes abordés par l’IETF.
Intitulé ‘Guidelines for writing RFC text on security considerations’, le RFC3552 document le bon usage de la
section ‘Security’ obligatoirement présente dans les propositions de standards et les standards émis par l’IETF.
En 43 pages et 10 chapitres, les auteurs nous offrent une excellente synthèse des concepts et termes susceptibles
d’être employés dans cette fameuse section ‘Security’ dont l’absence dans les premiers standards émis par l’IETF a
été source de confusions et d’erreurs d’implémentations.
Le premier volet récapitule en termes clairs et précis les principaux concepts de sécurité et leur domaine
d’application dans le contexte des standards de communication, et en particulier, les trois exigences fondamentales
de confidentialité, d’intégrité et d’authentification.
Le second volet propose un rapide survol des menaces et atteintes susceptibles d’être perpétrés sur les protocoles de
communication de l’Internet. Le modèle employé s’appuie sur la classique distinction des attaques en deux
catégories : les attaques actives et les attaques passives. Les spécificités induites par les caractéristiques de
l’infrastructure de l’Internet – réseau ouvert et non totalement connecté - y sont précisés.
Le volet suivant détaille les problèmes couramment rencontrées dans le cadre de la spécification d’un nouveau
protocole, problèmes dont les auteurs s’accordent à penser qu’ils sont majoritairement le fait de la ‘naïveté’ des
concepteurs qui choisiront la solution de sécurité a priori la plus simple sans imaginer qu’elle puisse être ne pas être
réellement sure. Chaque problème est abordé en mettant en avant le mécanisme ou la technologie susceptible d’être
mis en œuvre pour le solutionner.
Les règles élémentaires permettant de rédiger correctement la section ‘Security’ sont présentées dans l’avant
dernier volet. Enfin, le dernier volet nous propose de mettre en pratique les différents conseils et recommandations
formulées tout au long des volets précédents à travers l’analyse commentée des sections ‘Security’ de deux RFC
récents : le RFC2821 intitulé ‘Simple Mail Transfer Protocol’ (lire ‘SMTP’) et le RFC2338 ‘Virtual Router
Redundancy Protocol’ (lire ‘VRRP’).
Nous recommandons particulièrement la lecture de ce dernier volet qui met en lumière la difficulté et les risques
induits par la spécification des contraintes et exigences de sécurité rédigées après-coup, c’est à dire lorsque la
démarche de spécification n’a pas pris en compte celles-ci dès les premières phases de l’analyse.
La table des matières de ce guide des bonnes pratiques est la suivante :
1. Introduction
1.1. Requirements
2. The Goals of Security
2.1. Communication Security
2.1.1. Confidentiality
2.1.2. Data Integrity
2.1.3. Peer Entity authentication
2.2. Non-Repudiation
2.3. Systems Security
2.3.1. Unauthorized Usage
2.3.2. Inappropriate Usage
2.3.3. Denial of Service
3. The Internet Threat Model
3.1. Limited Threat Models
3.2. Passive Attacks
3.2.1. Confidentiality Violations
3.2.2. Password Sniffing
3.2.3. Offline Cryptographic Attacks
3.3. Active Attacks
3.3.1. Replay Attacks
3.3.2. Message Insertion
3.3.3. Message Deletion
3.3.4. Message Modification
3.3.5. Man-In-The-Middle
3.4. Topological Issues
3.5. On-path versus off-path
3.6. Link-local
4. Common Issues
4.1. User Authentication
Page 26/57
Août 2003
4.1.1. Username/Password
4.1.2. Challenge Response and One Time Passwords
4.1.3. Shared Keys
4.1.4. Key Distribution Centers
4.1.5. Certificates
4.1.6. Some Uncommon Systems
4.1.7. Host Authentication
4.2. Generic Security Frameworks
4.3. Non-repudiation
4.4. Authorization vs. Authentication
4.4.1. Access Control Lists
4.4.2. Certificate Based Systems
4.5. Providing Traffic Security
4.5.1. IPsec
4.5.2. SSL/TLS
4.5.3. Remote Login
4.6. Denial of Service Attacks and Countermeasures
4.6.1. Blind Denial of Service
4.6.2. Distributed Denial of Service
4.6.3. Avoiding Denial of Service
4.6.4. Example: TCP SYN Floods
4.6.5. Example: Photuris
4.7. Object vs. Channel Security
4.8. Firewalls and Network Topology
5. Writing Security Considerations Sections
6. Examples
6.1. SMTP
6.1.1. Security Considerations
6.1.2. Communications security issues
6.1.3. Denial of Service
6.2. VRRP
6.2.1. Security Considerations
7. Acknowledgments
8. Normative References
9. Informative References
10.Security Considerations
ftp://ftp.isi.edu/in-notes/rfc3552.txt
Page 27/57
Août 2003
ALLEER
RT
TE
ES
SE
ET
T AT
TT
TA
AQ
QU
UE
ES
S
ALERTES
GUIDE DE LECTURE
La lecture des avis publiés par les différents organismes de surveillance ou par les constructeurs n’est pas
toujours aisée. En effet, les informations publiées peuvent être non seulement redondantes mais aussi
transmises avec un retard conséquent par certains organismes. Dès lors, deux alternatives de mise en
forme de ces informations peuvent être envisagées :
# Publier une synthèse des avis transmis durant la période de veille, en classant ceux-ci en fonction de
l’origine de l’avis,
# Publier une synthèse des avis transmis en classant ceux-ci en fonction des cibles.
La seconde alternative, pour séduisante quelle soit, ne peut être raisonnablement mise en œuvre étant
donné l’actuelle diversité des systèmes impactés. En conséquence, nous nous proposons de maintenir une
synthèse des avis classée par organisme émetteur de l’avis.
Afin de faciliter la lecture de ceux-ci, nous proposons un guide de lecture sous la forme d’un synoptique
résumant les caractéristiques de chacune des sources d’information ainsi que les relations existant entre
ces sources. Seules les organismes, constructeurs ou éditeurs, disposant d’un service de notification officiel
et publiquement accessible sont représentés.
Avis Spécifiques
Constructeurs
Réseaux
Systèmes
Avis Généraux
Editeurs
Systèmes
Indépendants
Editeurs
Hackers
Editeurs
Organismes
Autres
US
Autres
Aus-CERT
3Com
Compaq
Linux
Microsoft
l0pht
AXENT
BugTraq
CERT
Cisco
HP
FreeBSD
Netscape
rootshell
ISS
@Stake
CIAC
IBM
NetBSD
SGI
OpenBSD
SUN
SCO
Typologies des informations publiées
Publication de techniques et de programmes d’attaques
Détails des alertes, techniques et programmes
Synthèses générales, pointeurs sur les sites spécifiques
Notifications détaillées et correctifs techniques
L’analyse des avis peut être ainsi menée selon les trois stratégies suivantes :
# Recherche d’informations générales et de tendances :
Lecture des avis du CERT et du CIAC
# Maintenance des systèmes :
Lecture des avis constructeurs associés
# Compréhension et anticipation des menaces :
Lecture des avis des groupes indépendants
Aus-CERT
CERT
3Com
Compaq
Microsoft
Cisco
HP
Netscape
BugTraq
rootshell
AXENT
NetBSD
@Stake
l0pht
ISS
OpenBSD
IBM
Xfree86
SGI
Linux
SUN
FreeBSD
CIAC
Page 28/57
Août 2003
FORMAT DE LA PRESENTATION
Les alertes et informations sont présentées classées par sources puis par niveau de gravité sous la forme
de tableaux récapitulatifs constitués comme suit :
%
Présentation des Alertes
EDITEUR
TITRE
Description sommaire
Informations concernant la plate-forme impactée
Gravité
Date
Produit visé par la vulnérabilité
Description rapide de la source du problème
Correction
URL pointant sur la source la plus pertinente
Référence
Référence(s) CVE si existante(s)
%
Présentation des Informations
SOURCE
TITRE
Description sommaire
URL pointant sur la source d’information
Référence(s) CVE si existante(s)
SYNTHESE MENSUELLE
Le tableau suivant propose un récapitulatif du nombre d’avis publiés pour la période courante, l’année en
cours et l’année précédente. Ces informations sont mises à jour à la fin de chaque période de veille.
L’attention du lecteur est attirée sur le fait que certains avis sont repris et rediffusés par les différents
organismes. Ces chiffres ne sont donc représentatifs qu’en terme de tendance et d’évolution.
Période du 26/07/2003 au 27/08/2003
Période
11
Organisme
CERT-CA
5
CERT-IN
2
CIAC
4
33
Constructeurs
Cisco
7
HP
7
IBM
0
SGI
4
Sun
15
Editeurs
5
Macromedia
1
Microsoft
2
Netscape
0
Sco
2
46
Unix libres
Linux RedHat
8
Linux Debian
22
Linux Mandr.
8
FreeBSD
8
9
Autres
@Stake
4
eEye
2
X-Force
3
Cumul
2003 2002
114
165
22
36
3
7
89
122
216
220
19
39
63
99
6
13
35
61
93
8
52
127
5
13
33
72
0
2
14
40
360
349
94
102
162
120
86
85
18
42
34
44
19
9
5
13
10
22
Cumul 2003- Constructeurs
Cisco
9%
Sun
43%
SGI
16%
HP
29%
IBM
3%
Cumul 2003 - Editeurs
Netscape
0%
Sco
27%
Cumul 2002 - Constructeurs
SGI
28%
Sun
4%
Cisco
18%
IBM
6%
HP
44%
Cumul 2002 - Editeurs
Sco
31%
Macromedia
10%
Macromedia
10%
Netscape
2%
Microsoft
63%
Microsoft
57%
Page 29/57
Août 2003
ALERTES DETAILLEES
AVIS OFFICIELS
Les tables suivantes présentent une synthèse des principales alertes de sécurité émises par un organisme
fiable, par l’éditeur du produit ou par le constructeur de l’équipement. Ces informations peuvent être
considérées comme fiables et authentifiées. En conséquence, les correctifs proposés, s’il y en a, doivent
immédiatement être appliqués.
ALT-N
Authentification non autorisée sur MDaemon
Une vulnérabilité dans MDaemon permet de s'authentifier sans y être autorisé.
Moyenne 08/08 ALT-N MDaemon 5.0.5
MDaemon
Mauvaise gestion du processus d'authentification
Aucun correctif
http://www.securityfocus.com/archive/1/332463
Bugtraq
http://www.altn.com/products/default.asp?product_id=MDaemon
BEA
Cross-Site Scripting dans plusieurs produits
Plusieurs produits BEA sont vulnérables à des attaques par Cross-Site Scripting.
Forte
06/08 BEA WebLogic Integration 2.1 et 7.0, Liquid Data 1.1, WebLogic Server et Express 5.1, 6.1 et 7.0
Cross-Site Scripting
Correctif existant Produits BEA
BEA BEA03-36.00 http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/SA_BEA03_36.00.jsp
Acquisition de droits privilégiés dans WebLogic
Une faille dans WebLogic permet d'acquérir des droits privilégiés.
Forte
30/07 BEA WebLogic Server et Express 7.0 Service Pack 3 (toutes plate-formes)
Utilisation d'un mauvais chemin d'exécution
Correctif existant Processus d'authentification
BEA BEA03-35.00 http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA03-35.jsp
CISCO
Déni de service des points d'accès Aironet
Les points d'accès Cisco Aironet sont vulnérables à des attaques par déni de service.
Forte
28/07 Cisco Aironet Wireless Access Point séries AP1100 et AP1200, Bridge série AP1400
Serveur HTTP
Mauvaise gestion des requêtes
Palliatif proposé
Vigilante 2003001 http://www.vigilante.com/inetsecurity/advisories/VIGILANTE-2003001.htm
http://www.cisco.com/warp/public/707/cisco-sa-20030728-ap1x00.shtml
Cisco 44162
CAN-2003-0511
Déni de service et exécution de code dans Cisco IOS
Cisco IOS est vulnérable à des attaques conduisant à un déni de service et à l'exécution de code.
Forte
31/07 Cisco IOS version 12.2 (toutes versions) et inférieures
Serveur web
Mauvaise gestion des requêtes
Palliatif proposé
http://www.cisco.com/warp/public/707/cisco-sn-20030730-ios-2gb-get.shtml
Cisco 44226
Multiples vulnérabilités dans CiscoWorks
Deux vulnérabilités affectent CiscoWorks.
Forte
13/08 Cisco CiscoWorks CMF version 2.1 et inférieures
1 - Mauvaise gestion des URLs malformées
Correctif existant CiscoWorks CMF
Cisco 44502
2 - Mauvaise gestion des paramètres
http://www.cisco.com/warp/public/707/cisco-sa-20030813-cmf.shtml
Exposition des noms d'utilisateurs valides sur IOS
Cisco IOS peut révéler la liste des utilisateurs valides.
Moyenne 24/07 Cisco IOS versions 11.x et supérieures
Cisco IOS
Réponse d'erreur explicite
Palliatif proposé
Vigilante 2003002 http://www.vigilante.com/inetsecurity/advisories/VIGILANTE-2003002.htm
CERT VU#886796 http://www.kb.cert.org/vuls/id/886796
http://www.cisco.com/warp/public/707/cisco-sn-20030724-ios-enum.shtml
Cisco 44161
CAN-2003-0512
Exposition d'informations dans Cisco IOS
Sous certaines conditions, un paquet udp malformé peut renvoyer des données du routeur.
Moyenne 31/07 Cisco IOS 12.0
Commande 'udp-small-servers'
Mauvaise gestion des paquets malformés
Palliatif proposé
http://www.cisco.com/warp/public/707/cisco-sn-20030731-ios-udp-echo.shtml
Cisco 44261
Page 30/57
Août 2003
Attaques par dictionnaire du protocole LEAP
Le protocole Cisco LEAP est vulnérable à des attaques par dictionnaire.
Moyenne 02/08 Cisco LEAP (Algorithme d'authentification Mutual EAP)
Attaques par dictionnaire
Correctif existant Protocole Cisco LEAP
http://www.cisco.com/warp/public/707/cisco-sn-20030802-leap.shtml
Cisco 44281
Déni de service dans Cisco CSS 11000 Series
Un déni de service peut être provoqué dans les commutateurs Cisco CSS.
Moyenne 07/08 Cisco CSS 11000 Series
Mauvaise gestion des paquets SYN
Correctif existant WebNS
http://www.s21sec.com/en/avisos/s21sec-025-en.txt
S21SEC-025
DCE
Déni de service dans plusieurs implémentations DCE
Plusieurs implémentations des serveurs DCE sont vulnérables à un déni de service.
Forte
11/08 Cray Inc. Unicos systems Entegrity DCE (Linux, Tru64, Windows)
Correctif existant
CERT VU#377804
IBM DCE 2.2 (Windows) et 3.1, 3.2 (AIX et Solaris)
DCE
Mauvaise gestion des paquets RPC
http://www.kb.cert.org/vuls/id/377804
FreeBSD
Vulnérabilité dans la gestion des signaux
Certains mécanismes permettant d'envoyer un signal ne vérifient pas correctement la validité du numéro associé.
Forte
10/08 FreeBSD 4-STABLE, toutes versions jusqu'à la 4.8-RELEASE-p1 incluse, version 5.1-RELEASE
Mécanisme d'envoi de signaux
Non vérification des paramètres utilisateurs
Palliatif proposé
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-03:09.signal.asc
SA-03:09
Exposition de données via iBCS2
Une vulnérabilité dans iBCS2 peut renvoyer le contenu d'une partie de la mémoire.
Forte
10/08 FreeBSD toutes versions jusqu'aux 4.8-RELEASE-p2 et 5.1-RELEASE-p1 incluses
Non vérification des paramètres utilisateurs
Correctif existant iBCS2
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-03:10.ibcs2.asc
SA-03:10
HP
Déni de service dans certains programmes
Certains programmes sont vulnérables à un déni de service.
Forte
30/07 HP HP-UX versions B.11.00, B.11.11 et B.11.22
Mauvaise gestion du trafic réseau
Correctif existant Binaires spécifiques
HPSBUX0307-271 http://www4.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBUX0307-271
Exposition d'informations via 'rpc.mountd'
Le service 'rpc.mountd' du serveur NFS dévoile des informations sur l'existence d'un fichier.
Moyenne 04/08 HP-UX versions B.11.00, B.11.11 et B.11.22
Messages d'erreur explicites
Correctif existant Service 'rpc.mountd'
HPSBUX0308-272 http://www4.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBUX0308-272
CAN-1999-1225
Vulnérabilité dans 'screend'
Une vulnérabilité semble affecter le composant 'screend'.
Non
11/08 HP Tru64 UNIX version 5.1b PK2 (BL22)
Non disponible
Correctif existant 'screend'
http://ftp.support.compaq.com/patches/public/unix/v5.1b/t64kit0019576-v51bb22-es-20030806.README
HP SSRT3498
KDE
Exposition du mot de passe via Konqueror
Le navigateur Konqueror peut exposer les éléments d'authentification utilisés pour un site web.
Forte
30/07 KDE Konqueror version 3.1.2 et inférieures, Konqueror Embedded
Recopie de données sensibles dans le champ 'Referer'
Correctif existant Navigateur web Konqueror
KDE 20030729-1 http://www.kde.org/info/security/advisory-20030729-1.txt
CAN-2003-0459
KisMAC
Acquisition locale des droits 'root' via KisMAC
Une vulnérabilité de l'outil KisMAC permet l'obtenir localement les droits 'root'.
Forte
22/08 KisMAC version 0.05d sur Mac OS X
Utilisation de liens statiques
Correctif existant Scripts '.sh'
@stake 082203-1 http://www.atstake.com/research/advisories/2003/a082203-1.txt
Page 31/57
Août 2003
LINUX
Multiples vulnérabilités dans 'netfilter'
De multiples vulnérabilités exploitables sous certaines conditions affectent 'netfilter'.
Critique 01/08 1 - Linux noyau version 2.4.20
Correctif existant
Netfilter
2 - Linux noyau version 2.4.20 ou 2.5
'netfilter'
1 - Mauvaise gestion des connexions 'UNCONFIRMED'
2 - Mauvaise gestion des paquets 'ftp' et 'irc'
http://www.netfilter.org/security/2003-08-01-nat-sack.html
CAN-2003-0187, CAN-2003-0467
Exécution de code distant via 'pam_smb' ou 'libpam-smb'
Un débordement de buffer dans 'pam_smb' ou 'libpam-smb' est exploitable à distance.
Forte
26/08 Red Hat Linux 7.2, 7.3, 8.0 et 9, Debian Linux 3.0 (woody)
Correctif existant
RHSA-03:261-07
DSA-374-1
'pam_smb' ou 'libpam-smb' version 1.1.6 et inférieures
'pam_smb' ou 'libpam-smb'
Débordement de buffer
https://rhn.redhat.com/errata/RHSA-2003-261.html
http://www.debian.org/security/2003/dsa-374
CAN-2003-0686
LINUX DEBIAN
Vulnérabilité dans 'autorespond'
Une vulnérabilité dans le paquetage 'autorespond' permet d'acquérir des droits privilégiés.
Critique 16/08 Linux Debian 3.0 (woody)
Correctif existant Paquetage 'autorespond'
DSA-373-1
CAN-2003-0654
Débordements de buffer dans 'atari800'
La paquetage 'atari800' est sensible à des debordements de buffer.
Forte
31/07 Debian Linux 3.0 (woody)
Débordements de buffer
Correctif existant Paquetage 'atari800'
DSA-359-1
CAN-2003-0630
Multiples vulnérabilités dans 'xfstt'
Le serveur de polices TrueType 'xfstt' contient plusieurs vulnérabilités.
Forte
1 - Débordement de buffer
Correctif existant Serveur 'xfstt'
DSA-360-1
2 - Envoi de données non sollicitées
CAN-2003-0581, CAN-2003-0625
Création non sécurisée de fichiers dans 'mindi'
Le programme de création de disquette de démarrage 'mindi' crée des fichiers temporaires de manière non
sécurisée.
Forte
Création de fichiers non sécurisée
Correctif existant Programme 'mindi'
DSA-362-1
CAN-2003-0617
Multiples vulnérabilités dans 'phpgroupware'
Le paquetage 'phpgroupware' est sensible à plusieurs vulnérabilités distantes.
Forte
1 - Cross-Site Scripting
Correctif existant Paquetage 'phpgroupware'
DSA-365-1
2 - Non disponible
3 - Injection de code SQL
CAN-2003-0504, CAN-2003-0599, CAN-2003-0657
Débordement de buffer dans 'xpcd'
Le paquetage 'xpcd' est vulnérable à un débordemnt de buffer.
Forte
Correctif existant
DSA-368-1
Paquetage 'xpcd'
'xpcd-svga'
CAN-2003-0649
Page 32/57
Août 2003
Vulnérabilité dans 'pam-pgsql'
Une vulnérabilité dans le formatage de chaîne de caractères affecte le paquetage 'pam-pgsql'.
Forte
Correctif existant
DSA-370-1
Paquetage 'pam-pgsql'
'pam-pgsql'
Mauvais formatage de chaîne de caractères
CAN-2003-0672
Vulnérabilité dans 'netris'
Une vulnérabilité dans le paquetage 'netris' permet d'acquérir des droits privilégiés.
Forte
Correctif existant
DSA-372-1
Paquetage 'netris'
Client 'netris'
Mauvaise gestion des paquets de données
CAN-2003-0685
Création de fichiers non sécurisée dans 'sup'
'sup' crée des fichiers temporaires de manière non sécurisée.
Moyenne 29/07 Debian Linux 3.0 (woody)
Correctif existant
DSA-353-1
Paquetage 'sup'
Paquetage 'sup'
CAN-2003-0606
Débordement de buffer dans 'xconq'
Le paquetage 'xconq' est sensible à un débordement de buffer.
Correctif existant paquetage 'xconq'
DSA-354-1
CAN-2003-0607
Débordements de buffer dans 'xtokkaetama'
Deux débordements de buffer affectent le paquetage 'xtokkaetama'.
Correctif existant Paquetage 'xtokkaetama'
DSA-356-1
CAN-2003-0611
Cross-Site Scripting dans le paquetage 'gallery'
Le paquetage 'gallery' est vulnérable à des attaques par Cross-Site Scripting.
Correctif existant Paquetage 'gallery'
DSA-355-1
CAN-2003-0614
Plusieurs vulnérabilités dans le paquetage 'man-db'
Le paquetage 'man-db' contient plusieurs vulnérabilités exploitables localement.
Débordement de buffer, Non relâchement des privilèges
Correctif existant 'man-db'
DSA-364-1
CAN-2003-0620, CAN-2003-0645
Création de fichiers non sécurisée dans 'eroaster'
'eroaster' crée des fichiers temporaires de manière non sécurisée.
Correctif existant Paquetage 'eroaster'
DSA-366-1
CAN-2003-0656
Débordement de buffer dans 'zblast'
Un débordement de buffer affecte le paquetage 'zblast'
Correctif existant 'zblast-svgalib'
DSA-369-1
CAN-2003-0613
Page 33/57
Août 2003
Débordement de buffer dans 'xtokkaetama'
Un nouveau débordement de buffer affecte le paquetage 'xtokkaetama'
Correctif existant Paquetage 'xtokkaetama'
DSA-367-1
CAN-2003-0652
LINUX REDHAT
Multiples vulnérabilités dans Ximian Evolution
L'agent de courrier électronique Evolution est sujet à de multiples vulnérabilités.
Forte
12/08 Red Hat Linux 7.3 à 9
Mauvaise gestion des messages malformés
Correctif existant Agent Evolution
RHSA-03:108-19
CAN-2003-0128, CAN-2003-0129, CAN-2003-0130
Multiples vulnérabilités dans 'GDM'
De multiples vulnérabilités affectent le paquetage 'GDM'.
Forte
21/08 Red Hat Linux 7.1 à 9
1 - Mauvaise gestion des permissions
Correctif existant Paquetage 'GDM'
RHSA-03:258-11
2 - Mauvaise gestion des paramètres
CAN-2003-0547, CAN-2003-0548, CAN-2003-0549
Déni de service dans 'GtkHTML'
Le module 'GtkHTML' est sensible à des attaques par déni de service.
Moyenne 05/08 Red Hat Linux 9 Module 'GtkHTML' inclus avec Evolution inférieur à 1.2.4
Mauvaise gestion des messages malformés
Correctif existant Module 'GtkHTML'
RHSA-03:126-06 https://rhn.redhat.com/errata/RHSA-2003-126.html
CAN-2003-0133
Non vérification des signatures GPG par 'up2date'
L'agent 'up2date' ne vérifie pas correctement les signatures GPG des paquetages RPM.
Faible
08/08 Red Hat Linux 8.0 et 9 ‘up2date' versions 3.0.7 et 3.1.23
Non vérification des signatures
Correctif existant Agent 'up2date'
RHSA-03:255-07 https://rhn.redhat.com/errata/RHSA-2003-255.html
CAN-2003-0546
LINUX/UNIX
Vulnérabilité dans 'tcpflow'
Un vulnérabilité dans le formatage de chaîne de caractères affecte 'tcpflow'.
Forte
08/08 'tcpflow' version 0.2.0 et inférieures
Programme 'tcpflow'
Mauvais formatage de chaîne de caractères
Palliatif proposé
http://archives.neohapsis.com/archives/vulnwatch/2003-q3/0077.html
Vulnwatch
CAN-2003-0671
MACROMEDIA
Cross-Site Scripting dans Dreamweaver, UltraDev et DRK
Plusieurs produits Macromedia sont vulnérables à des attaques par Cross-Site Scripting.
Forte
19/08 Macromedia Dreamweaver MX, UltraDev, Developer’s Resource Kit vol. 2 et 4
Correctif existant Produits Macromedia
http://www.macromedia.com/devnet/security/security_zone/mpsb03-05.html
MPSB03-05
MICROSOFT
Nombreuses tentatives d'exploitation de la faille RPC
Le CERT a rapporté un grand nombre de tentatives d'exploitation de la faille affectant l'interface RPC de Windows.
Critique 01/08 Microsoft Windows NT 4.0, NT 4.0 Terminal Services Edition
Correctif existant
CERT VU#568148
CERT CA-2003-19
CERT 326746
Windows 2000, Windows XP, Windows Server 2003
Interface RPC
Débordement de buffer distant
http://www.cert.org/advisories/CA-2003-19.html
CAN-2003-0352
Page 34/57
Août 2003
Multiples vulnérabilités dans Internet Explorer
De multiples vulnérabilités affectent le navigateur Internet Explorer.
Critique 20/08 Microsoft Internet Explorer 5.01, 5.5, 6.0
Correctif existant
SNS 68
MS03-032
EEyeAD20030820
Microsoft Internet Explorer 6.0 pour Windows Server 2003
Internet Explorer
1 - Cross-Site Scripting
2 - Mauvaise gestion des pages HTML malformées
http://www.lac.co.jp/security/english/snsadv_e/68_e.html
http://www.microsoft.com/technet/security/bulletin/MS03-032.asp
http://www.eeye.com/html/Research/Advisories/AD20030820.html
CAN-2003-0530, CAN-2003-0531, CAN-2002-0532
Débordement de buffer dans un composant MDAC
Un composant MDAC est vulnérable à un débordement de buffer exploitable à distance.
Forte
21/08 Microsoft Data Access Components 2.5, 2.6 et 2.7
Correctif existant Composant MDAC
MS03-033
CAN-2003-0353
NAI
Multiples vulnérabilités dans ePolicy Orchestrator
De multiples vulnérabilités affectent le serveur et les agents de ePolicy Orchestrator.
Critique 31/07 McAfee ePolicy Orchestrator 2.x et 3.0
Mauvais formatage de chaînes de caractères
Correctif existant ePO
http://www.atstake.com/research/advisories/2003/a073103-1.txt
@Stake
CAN-2003-0148, CAN-2003-0149, CAN-2003-0616
NETSCREEN
Déni de service dans ScreenOS
NetScreen ScreenOS est vulnérable à un déni de service.
Moyenne 30/07 NetScreen Firewall/VPN basé sur ScreenOS 4.0.1r1 à 4.0.1r6 et ScreenOS 4.0.3r1 à 4.0.3r2
Interfaces Telnet et Web
Mauvaise gestion des requêtes TCP
Palliatif proposé
NetScreen 57739 http://www.netscreen.com/services/security/alerts/advisory-57739.txt
NOVELL
Exposition de données sensibles dans GroupWise 6.5
Les serveurs GroupWise 6.5 exposent les mots de passes des utilisateurs connectés depuis un téléphone sans fil.
Forte
29/07 Novell GroupWise 6.5 Webaccess, Wireless Web Access, Linux/Mac Beta Client
Palliatif proposé
Novell 10085583
Bugtraq
Testé sur Novell NetWare 5/6 et Apache 1.3.x
Serveur GroupWise 6.5
Journalisation de données
http://support.novell.com/servlet/tidfinder/10085583
Vulnérabilité dans 'XNFS.NLM'
Le service 'XNFS.NLM' est vulnérable à un déni de service distant.
Forte
15/08 Novell NetWare version 6.5
Non disponible
Correctif existant 'XNFS.NLM'
http://support.novell.com/tidfinder/2966741
Novell 2966741
Acquisition d'une session tierce sur iChain
Sous certaines conditions, il est possible d'acquérir la session d'un autre utilisateur.
Moyenne 07/08 Novell iChain 2.2 SP1 et inférieurs
Mauvaise gestion des sessions
Correctif existant Novell iChain
http://support.novell.com/servlet/tidfinder/2966683
Novell 2966683
NetBSD
Déni de service des systèmes basés sur une pile ISO
Les systèmes NetBSD basés sur une pile ISO sont vulnérables à distance à un déni de service.
Moyenne 04/08 NetBSD-current (sources inférieures au 26/05/2003), NetBSD 1.5 à 1.6.1
Correctif existant Gestionnaire réseau 'sys/netiso' Mauvaise gestion des paquets ISO malformés
http://www.linuxsecurity.com/advisories/netbsd_advisory-3525.html
Linux Security
NetBSD 2003-010 ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2003-010.txt.asc
Page 35/57
Août 2003
ORACLE
Multiples débordements de buffer via XDB
De multiples débordements de buffer ont été découverts dans Oracle 9i XML Database (XDB).
Forte
10/07 Oracle Oracle9i Enterprise, Personal et Standard Edition version 9.2.0.1
Oracle RDBMS 9.2.0.1
Palliatif proposé
http://securityresponse.symantec.com/avcenter/security/Content/8375.html
Symantec 8375
http://www.blackhat.com/presentations/bh-usa-03/bh-us-03-litchfield-paper.pdf
David Litchfield
OpenBSD
Déni de service dans le noyau
OpenBSD est sensible à des attaques par déni de service.
Forte
20/08 OpenBSD 3.3
Mauvaise gestions des paramètres
Correctif existant Fonction 'semget'
http://www.openbsd.org/errata.html#semget
OpenBSD 002
POSTFIX
Deux vulnérabilités dans Postfix
L'agent de transport d'e-mails Postfix contient deux vulnérabilités.
Forte
04/08 Red Hat Linux 7.3, 8.0 et 9, Debian Linux 3.0 (woody), SuSE Linux 7.2, 7.3, 8.0, 8.1 et serveurs
Correctif existant
SuSE-SA:03:033
DSA-363-1
RHSA-03:251-07
Bugtraq
1 - Postfix version 1.1.11 et inférieures
2 - Postfix version 1.1.12 et inférieures
Agent de transport Postfix
Mauvaise gestion des adresses e-mails malformées
http://www.suse.de/de/security/2003_033_postfix.html
http://www.redhat.com/support/errata/RHSA-2003-251.html
REALNETWORKS
Obtention des droits 'root' sur serveurs Helix
Une vulnérabilité des serveurs Helix permet d'obtenir les droits 'root'.
Critique 22/08 Real Networks Helix Universal Server 9 et inférieurs, RealSystem Server 7 et 8, RealServer G2
'vsrcplin.so' ou 'vsrcplin.dll'
Mauvaise gestion des URLs malformées
Palliatif proposé
http://www.service.real.com/help/faq/security/rootexploit082203.html
Real Net 082203
Exécution de script arbitraire dans RealOne
Une vulnérabilité dans RealOne autorise l'exécution distante de script arbitraire.
Forte
19/08 RealNetworks RealOne Player (Anglais uniquement), Player V2, Enterprise Desktop (toutes versions)
Mauvais traitement des URLs
Correctif existant Fichier SMIL
http://www.service.real.com/help/faq/security/securityupdate_august2003.html
RealNetworks
SCO
Exposition d'informations via 'docview'
Une vulnérabilité dans 'docview' permet d'accéder en lecture aux fichiers présents sur le système.
Moyenne 25/08 SCO Open Server 5.0.7, UnixWare 7.1.3, Caldera OpenLinux 3.1.1
Mauvaise configuration
Correctif existant 'docview'
ftp://ftp.sco.com/pub/security/OpenLinux/CSSA-2003-023.0.txt
CSSA-03-023.0
CSSA-03-SCO.18 ftp://ftp.sco.com/pub/updates/UnixWare/CSSA-2003-SCO.18/CSSA-2003-SCO.18.txt
CSSA-03-SCO.16 ftp://ftp.sco.com/pub/updates/OpenServer/CSSA-2003-SCO.16/CSSA-2003-SCO.16.txt
CAN-2003-0658
SENDMAIL
Vulnérabilité dans 'sendmail'
Une vulnérabilité affecte Sendmail lorsque la fonctionnalité 'enhdnsbl' est activée.
Forte
25/08 Sendmail versions 8.12 à 8.12.8
Mauvaise gestion de la libération de mémoire
Correctif existant 'sm_resolve.c'
CERT VU#993452 http://www.kb.cert.org/vuls/id/993452
http://www.sendmail.org/dnsmap1.html
Sendmail
http://www.openbsd.org/errata32.html#sendmail3
OpenBSD 016
SGI 030803-01-P ftp://patches.sgi.com/support/free/security/advisories/20030803-01-P
CAN-2003-0688
Page 36/57
Août 2003
SGI
Acquisition des droits 'root' via 'nsd'
Les serveurs et modules 'nsd' peuvent être exploités afin d'acquérir à distance les droits 'root'.
Critique 30/07 SGI IRIX versions 6.5 à 6.5.21m et 6.5.21f
Mauvaise gestion de la liste 'AUTH_UNIX'
Correctif existant Serveur et modules 'nsd'
http://www.lsd-pl.net/irx_nsd.html
LSD PLaNET
http://www.securityfocus.com/advisories/5644
Security Focus
CAN-2003-0575
Déni de service dans 'nfsd'
'nfsd' est vulnérable à un déni de service
Forte
13/08 SGI IRIX versions 6.5 à 6.5.19f
Mauvaise gestion des paquets malformés
Correctif existant 'nfsd'
CVE-2003-0576
Vulnérabilité dans Checkpoint/Restart
Une vulnérabilité exploitable localement affecte Checkpoint/Restart.
Forte
14/08 SGI IRIX 6.5 à 6.5.21m et 6.5.21f
Mauvaise gestion des permissions
Correctif existant Bibliothèque 'libcpr'
ftp://patches.sgi.com/support/free/security/advisories/20030802-01-P
SGI 030802-01-P
CAN-2003-0679
SUN
Exposition du code source des fichiers JSP
Les serveurs Sun ONE Application peuvent retourner le code source des fichiers JSP.
Forte
05/08 Sun ONE Application Server 6.5 SP1 Maintenance Update 1 et versions 6.5 inférieures
Non traitement des fichiers JSP
Correctif existant Moteur JSP
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert/56020
Sun 56020
Déni de service distant dans Sun ONE/iPlanet
Les serveurs web Sun ONE/iPlanet sont vulnérables à distance à des attaques par déni de service.
Forte
13/08 Sun ONE/iPlanet Web Server 6.0 Service Pack 3 à 5
Non disponible
Correctif existant Serveurs web Sun ONE/iPlanet
Sun 56180
Débordement de buffer dans la bibliothèque ld.so.1(1)
La bibliothèque ld.so.1(1) est sensible à un débordement de buffer.
Moyenne 29/07 Sun Solaris 2.6, 7, 8 et 9 (Sparc et Intel)
Correctif existant Bibliothèque ld.so.1(1)
iDefense 07.29.03 http://www.idefense.com/advisory/07.29.03.txt
Sun 55680
CAN-2003-0609
Ecrasement du fichier 'inetd.conf'
Le fichier 'inetd.conf' peut être écrasé par erreur.
Moyenne 18/08 Sun Solaris 2.6 et 7 (Sparc et Intel)
Ecrasement du fichier 'inetd.conf'
Correctif existant Correctifs pour 'cachefs'
Sun 56300
SUSTWORKS
Vulnérabilités via IPNetMonitorX et IPNetSentryX
Les outils IPNetMonitorX et IPNetSentryX peuvent être utilisés pour visualiser le trafic réseau ou exécuter des
commandes sous les droits 'root'.
Forte
08/08 Sustworks IPNetMonitorX et IPNetSentryX
Correctif existant IPNetMonitorX et IPNetSentryX Utilisation des binaires 'tcpdump' et 'tcpflow'
Bugtraq
SYMANTEC
Déni de service dans le serveur Central Quarantine
Il est possible de provoquer un déni de service sur le serveur Central Quarantine depuis le réseau local.
Moyenne 28/07 Norton AntiVirus Corporate Edition version 7.61, Symantec Anti Virus Corporate Edition version 8.01 et 8.1
Mauvaise gestion des connexions
Correctif existant Symantec Central Quarantine
http://securityresponse.symantec.com/avcenter/security/Content/2003.07.29.html
2003.07.29
Page 37/57
Août 2003
VIRUS
Apparition du ver 'MS Blast' ou 'Lovsan'
Le ver 'MS Blast' ou 'Lovsan' exploitant les vulnérabilités de l'interface RPC DCOM de Windows est apparu sur
l'Internet.
Critique 11/08 Microsoft Windows NT 4.0, NT 4.0 Terminal Services Edition
Correctif existant
CERT CA-2003-19
CERT VU#326746
ISS X-Force 150
Symantec
CERT VU#561284
Windows 2000, Windows XP, Windows Server 2003
Interface RPC DCOM
Apparition du ver 'MS Blast' ou 'Lovsan'
http://xforce.iss.net/xforce/alerts/id/150
https://tms.symantec.com/members/AnalystReports/030811-Alert-DCOMworm.pdf
CAN-2003-0352
Propagation du virus 'Sobig.F'
La nouvelle version du virus 'Sobig.F' se diffuse de manière très rapide sur l'Internet.
Forte
22/08 Microsoft Outlook (toutes versions), Outlook Express (toutes versions), Agents de courrier électronique
Large propagation du virus
Correctif existant Virus 'Sobig.F'
http://isc.sans.org/diary.html?date=2003-08-22
ISC
ISS X-Force [151] http://xforce.iss.net/xforce/alerts/id/151
http://www.microsoft.com/security/antivirus/sobig.asp
Microsoft
CERT IN-2003-03 http://www.cert.org/incident_notes/IN-2003-03.html
WU-FTPD
Débordement de buffer dans 'wu-ftpd'
Le serveur ftp 'wu-ftpd' est sensible à un débordement de buffer distant.
Critique 31/07 'wu-ftpd' versions 2.5.0 à 2.6.2, Debian Linux 3.0 (woody)
Correctif existant
iSEC 0011
CERT VU#743092
DSA-357-1
RHSA-03:246-12
SuSE-SA:03:032
RHSA-03:245-15
Red Hat Linux 7.1 à 8.0 et AS, ES, AW version 2.1, SuSE Linux 7.2, 7.3 et Serveurs
Fonction 'fb_realpath()'
Débordement de buffer distant
http://isec.pl/vulnerabilities/isec-0011-wu-ftpd.txt
http://rhn.redhat.com/errata/RHSA-2003-246.html
http://www.suse.de/de/security/2003_032_wuftpd.html
http://rhn.redhat.com/errata/RHSA-2003-245.html
CAN-2003-0466
ALERTES NON CONFIRMEES
Les alertes présentées dans les tables de synthèse suivantes ont été publiées dans diverses listes
d’information mais n’ont pas encore fait l’objet d’une annonce ou d’un correctif de la part de l’éditeur. Ces
alertes nécessitent la mise en place d’un processus de suivi et d’observation.
COMPAQ/HP
Mauvais formatage de chaînes dans Insight Management
Le serveur HTTP livré avec Insight Management Agent est vulnérable à un mauvais formatage de chaînes de
caractères.
Moyenne 06/08 Compaq/HP Insight Management Agent 5.00 H et inférieurs
Serveur HTTP
Mauvais formatage de chaînes de caractères
Aucun correctif
http://lists.netsys.com/pipermail/full-disclosure/2003-August/007539.html
Full-Disclosure
Castle Rock
Vulnérabilité dans le produit SNMPc
Une vulnérabilité dans le produit SNMPc permet d'acquérir des droits privilégiés.
Forte
25/08 Castle Rock SNMPc version 5 à 6.0.8 incluse
SNMPc
Faiblesse du mécanisme de chiffrement
Palliatif proposé
SecurityFocus
D-LINK
Déni de service dans les routeurs D-Link 704P
Les routeurs D-Link 704P sont sensibles à plusieurs attaques par déni de service.
Moyenne 07/08 D-Link 704P firmware version 2.70
Serveur web embarqué
Mauvaise gestion des URLs malformées
Aucun correctif
Bugtraq
Page 38/57
Août 2003
ECARTIS
Débordements de buffer dans Ecartis
De multiples débordements de buffer affectent Ecartis.
Forte
18/08 Ecartis version 1.0
Ecartis
Débordements de buffer
Aucun correctif
http://www.securiteam.com/unixfocus/5YP0H2AAUY.html
SecuriTeam
GECAD
Débordement de buffer dans un contrôle ActiveX
Le contrôle ActiveX 'RAVUDPT.DLL' du produit RAV AntiVirus Online Virus Scan contient un débordement de buffer.
Forte
01/08 RAV AntiVirus Online Virus Scan
Contrôle ActiveX 'RAVUDPT.DLL' Débordement de buffer
Palliatif proposé
Full-Disclosure
HORDE
Accès non autorisé à l'interface web de Horde
L'interface web de l'agent d'e-mail Horde peut être accédé sans authentification.
Forte
12/08 Horde version 2.2.3 et inférieures
Mauvaise gestion des sessions
Correctif existant Horde
Bugtraq
IBM
Multiples vulnérabilités dans Lotus SameTime
Le chiffrement des éléments d'authentification sur Lotus SameTime avec les clients Windows 1.5 et 3.0 est basé sur
un algorithme RC2 implémenté de manière incorrecte.
Forte
08/08 IBM Lotus Sametime avec clients Windows 1.5 et 3.0
Algorithme RC2 40 bits
Erreur de conception
Aucun correctif
Bugtraq
Multiples vulnérabilités dans DB2
IBM DB2 contient deux vulnérabilités exploitables sous certaines conditions.
Forte
05/08 1 - IBM DB2 version 7.1
Palliatif proposé
JMP Escriba
2 - IBM DB2 versions 7.1 à 8.1
1 - Binaire 'db2job'
Permissions incorrectes
2 - Répertoire 'lib'
http://concepcion.upv.es/~pask/advisories/2003/IBM%20DB2%20so-libraries
MICROSOFT
Exécution de code arbitraire via 'mciwndx.ocx'
Le contrôle ActiveX 'mciwndx.ocx' est vulnérable à un débordement de buffer.
Forte
13/08 Microsoft Visual Studio 6.0
Contrôle 'mciwndx.ocx'
Palliatif proposé
http://www.securityfocus.com/bid/8413
SF 8413
Exécution de script dans Outlook Express
Il est possible d'exécuter du script dans Outlook Express.
Moyenne 25/07 Microsoft Outlook Express 6 et 5.5
Outlook Express
Non respect du type MIME
Aucun correctif
Bugtraq
MICROSOFT/RSA
Exposition de la configuration de l'outil URLScan
Utilisés conjointement RSA ACE/Agent et URLScan exposent des informations.
Moyenne 13/08 RSA ACE/Agent 5.0 et Microsoft URLScan 2.5
RSA ACE/Agent et URLScan
Réponse explicite
Palliatif proposé
http://www.irmplc.com/advisory/adv6.htm
IMR 006
MySQL
Exposition du mot de passe sur MySQL pour Windows
Le fichier 'my.ini' peut exposer le mot de passe administrateur de MySQL.
Moyenne 17/08 MySQL versions 3.x et 4.x pour Windows
Fichier 'my.ini'
Eléments d'authentification stockés en clair
Palliatif proposé
Full-Disclosure
Page 39/57
Août 2003
NAVIGATEURS
Exécution de code Javascript dans plusieurs navigateurs
Plusieurs navigateurs permettent l'exécution de code Javascript non sollicité.
Moyenne 29/07 Mozilla 1.3.1 (Win32), Opera 7.11 (Win32), Microsoft IE 5.0 à 6.0
D'autres versions sont probablement aussi affectées
Navigateurs
Mauvais filtrage des caractères spéciaux
Aucun correctif
badWebM 012
http://badwebmasters.net/advisory/012/
NORTON
Exécution du code arbitraire dans Norton AntiVirus
Une fonction de Norton AntiVirus 2002 peut être utilisée pour exécuter du code arbitraire.
Moyenne 02/08 Norton AntiVirus 2002
Pilote 'NAVAP.sys'
Utilisation illicite de la fonction 'DeviceIoControl()'
Aucun correctif
http://sec-labs.hack.pl/papers/win32ddc.php
Sec-Labs
SAP
Multiples vulnérabilités dans ITS
Internet Transaction Server est vulnérable dans la bibliothèque 'wgate.dll'.
Forte
18/08 SAP Internet Transaction Server version 4620.2.0.323011
'wgate.dll'
Multiples vulnérabilités
Aucun correctif
http://www.websec.org/adv/sap.txt.html
WebSec
SUN
Exposition d'informations sur Sun ONE et iPlanet
Les serveurs Sun ONE et iPlanet peuvent renvoyer des informations sensibles.
Forte
08/08 Sun ONE Directory Server 5.0 et 5.1, iPlanet Directory Server 5.0 et 5.1
Saut de répertoires
Correctif existant Serveur d'administration
http://www.securityfocus.com/bid/8367
SF BID 8367
WIDZ
Vulnérabilité dans 'widz'
Une vulnérabilité affecte un module de 'widz'.
Forte
22/08 'widz' version 1.5 et inférieures
'widz_apmon'
Mauvaise gestion des données malformées
Aucun correctif
Full-Disclosure
ZONELABS
Débordement de buffer dans ZoneAlarm
Le pare-feu personnel ZoneAlarm est vulnérable à un débordement de buffer.
Forte
04/08 ZoneLabs ZoneAlarm version 3.1, les versions inférieures sont probablement aussi affectées
Pilote ZoneAlarm
Aucun correctif
http://sec-labs.hack.pl/advisories/seclabs-adv-zone-alarm-04-08-2003.txt
Sec-Labs
AUTRES INFORMATIONS
REPRISES D’AVIS
ET
CORRECTIFS
Les vulnérabilités suivantes, déjà publiées, ont été mises à jour, reprises par un autre organisme, ou ont
donné lieu à la fourniture d’un correctif :
APPLE
Correctifs pour 'realpath'
Apple a annoncé la disponibilité des correctifs pour la fonction 'realpath' pour Mac OS X 10.2.6. Un débordement de
buffer peut être exploité à distance afin d'acquérir des privilèges élevés. Appliquez le correctif disponible suivant
votre version.
http://docs.info.apple.com/article.html?artnum=120238
CAN-2003-0466
http://docs.info.apple.com/article.html?artnum=120239
CERT
Reprise de l'avis Microsoft MS03-032
Le CERT a repris, sous la référence CA-2003-22, l'avis Microsoft MS03-032 au sujet de plusieurs vulnérabilités
affectant Internet Explorer.
CAN-2003-0530, CAN-2003-0531, CAN-2002-0532
Page 40/57
Août 2003
Le CERT a repris, sous la référence CA-2003-18, l'avis Microsoft MS03-030 au sujet des deux débordements de
buffer affectant la bibliothèque 'QUARTZ.DLL' utilisée par DirectX permettant d'exécuter du code arbitraire.
CAN-2003-0346
CIAC
Reprise de l'avis CERT CA-2003-20
Le CIAC a repris, sous la référence N-133, l'avis CERT CA-2003-20 au sujet du ver 'Blaster' exploitant la
vulnérabilité présente dans l'interface RPC DCOM des systèmes Microsoft Windows NT 4.0, 2000, XP et Server
2003.
http://www.ciac.org/ciac/bulletins/n-133.shtml
CAN-2003-0352
Reprise de l'avis Sun 56300
Le CIAC a repris, sous la référence N-134, l'avis Sun 56300 au sujet d'un problème lors de l'installation de correctifs
pour 'cachefs' sur Solaris pouvant conduire à l'écrasement par erreur du fichier 'inetd.conf'.
Le CIAC a repris, sous la référence N-135, l'avis Microsoft MS03-032 au sujet de multiples vulnérabilités affectant le
navigateur Internet Explorer.
CAN-2003-0530, CAN-2003-0531, CAN-2002-0532
Le CIAC a repris, sous la référence N-136, l'avis Microsoft MS03-033 au sujet d'un débordement de buffer
exploitable à distance dans un composant MDAC.
CAN-2003-0353
Reprise de l'avis Red Hat RHSA-2003:261-07
Le CIAC a repris, sous la référence N-137, l'avis Red Hat RHSA-2003:261-07 au sujet d'un débordement de buffer
exploitable à distance dans 'pam_smb'.
CAN-2003-0686
Reprise de l'avis SGI 20030704-01-P
Le CIAC a repris, sous la référence N-130, l'avis SGI 20030704-01-P au sujet d'une vulnérabilité des serveurs et
modules 'nsd' pouvant être exploitée afin d'acquérir à distance les droits 'root'.
CAN-2003-0575
Reprise de l'avis Sun 55680
Le CIAC a repris, sous la référence N-131, l'avis Sun 55680 au sujet d'un débordement de buffer dans la
bibliothèque ld.so.1(1) pouvant être exploitée afin d'acquérir localement les privilèges 'root'.
CAN-2003-0609
Reprise de l'avis Oracle 57
Le CIAC a repris, sous la référence N-127, l'avis Oracle 57 au sujet d'un débordement de buffer dans l'exécutable
'EXTPROC'.
http://ciac.llnl.gov/ciac/bulletins/n-127.shtml
Reprise de l'avis Red Hat RHSA-2003:245-15
Le CIAC a repris, sous la référence N-132, l'avis Red Hat RHSA-2003:245-15 au sujet d'un débordement de buffer
dans le serveur 'wu-ftpd' pouvant être exploité à distance afin d'obtenir les droits 'root'.
Le CIAC a repris, sous la référence N-128, l'avis Oracle 56 au sujet d'un débordement de buffer dans le programme
CGI 'FNDWRR' permettant d'exécuter du code à distance.
Le CIAC a repris, sous la référence N-129, l'avis Oracle 55 au sujet de scripts JSP accessibles à tous et exposant
des informations non autorisées.
Page 41/57
Août 2003
CISCO
Révision de l'alerte sur la vulnérabilité 'tftp'
Cisco a révisé l'alerte CSCdy03429 au sujet d'une vulnérabilité pouvant provoquer un déni de service à l'aide du
serveur 'tftp' embarqué. Il est annoncé que les commutateurs MGX 8230, 8250 et MGX 8850 basés sur PXM-1
versions 1.2.10 ou inférieures sont aussi vulnérables.
http://www.cisco.com/warp/public/707/ios-tftp-long-filename-pub.shtml
Publication d'une note sur le virus 'Blaster'
Cisco a publié une note détaillant le virus 'Blaster' et dressant une liste des produits potentiellement vulnérables.
Certains disposent d'un correctif dédié et d'autres nécessitent le correctif fourni par Microsoft. Par ailleurs, plusieurs
parades sont proposées.
http://www.cisco.com/warp/public/707/cisco-sn-20030814-blaster.shtml
CAN-2003-0352
Note sur le virus 'nachi' ou 'welchia'
Cisco a publié une note sur le virus 'nachi' ou 'welchia' car celui-ci génère un trafic très dense de paquets ICMP type
8 (echo request) pouvant conduire à un déni de service. Ce document fournit des techniques permettant de limiter
cet impact ainsi que les mises à jour nécessaires pour les produits Cisco vulnérables.
http://www.cisco.com/warp/public/707/cisco-sn-20030820-nachi.shtml
CAN-2003-0109, CAN-2003-0352
HP
Révision du bulletin HPSBUX0208-209
HP a révisé le bulletin HPSBUX0208-209 au sujet des vulnérabilités affectant les résolveurs DNS et BIND. Cette
révision annonce la disponibilité du correctif 'PHNE_28490' pour HP-UX B.11.22.
http://www4.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBUX0208-209
Correctifs pour DCE
HP a publié des correctifs pour DCE pour ses systèmes HP-UX B.10.20 et B.11.00, concernant un déni de service.
Désinstallation de correctifs
HP a annoncé que l'installation des correctifs PHNE_26413 pour HP-UX B.11.11 et PHNE_27128 pour HP-UX B.11.00
introduisent une vulnérabilité pouvant conduire à un déni de service local. Il est donc recommandé de ne pas
appliquer ces correctifs ou, le cas échéant, de les désinstaller. Notons que ceux-ci ne corrigeaient pas de faille de
sécurité majeure.
Correctifs pour OpenSSL sur Tru64 UNIX
HP a annoncé la disponibilité des correctifs pour OpenSSL sur HP Tru64 UNIX versions 5.0a, 5.1 et 5.1a sur Insight
Manager et Apache. Ils corrigent deux vulnérabilités autorisant des attaques cryptographiques basées sur le temps
et des attaques de sessions SSL/TLS.
http://wwss1pro.compaq.com/support/reference_library/viewdocument.asp?source=SRB0078W.xml.docid=16849
CAN-2003-0131, CAN-2003-0147
Révision de plusieurs bulletins
HP a révisé le bulletin HPSBUX0304-253 sur 'sendmail' afin d'annoncer le correctif pour HP-UX version B.11.04. Le
bulletin HPSBUX0302-246 discutant aussi de sendmail annonce des correctifs pour HP-UX B.10.20, B.11.00,
B.11.04, B.11.11 et B.11.22. Enfin, la révision du bulletin HPSBUX0208-209 sur les résolveurs DNS annonce des
correctifs pour HP-UX B.11.00 et B.11.11.
Correctifs pour les interpréteurs de commandes
HP a publié, sous la référence HPSBUX0308-275, des correctifs pour les systèmes HP-UX versions B.10.20, B.11.00
et B.11.11 corrigeant une vulnérabilité dans les interpréteurs de commandes 'sh', 'csh' et 'ksh'. Cette vulnérabilité
permet d'écraser des fichiers, d'obtenir des droits elevés ainsi que de provoquer un séni de service.
CAN-2000-1134
HP a révisé le bulletin HPSBUX0307-270 car la référence HPSBUX0207-270 était erronée. Par ailleurs et
contrairement à ce qui avait été annoncé, le correctif PHNE_27128, devant être désinstallé, corrige une faille
critique.
Correctifs pour OpenSSL sur OpenVMS
HP a annoncé la disponibilité des correctifs pour OpenSSL sur HP OpenVMS versions 6.3, 7.1, 7.2x et 7.3x. Ils
corrigent deux vulnérabilités autorisant des attaques cryptographiques basées sur le temps et des attaques de
sessions SSL/TLS.
http://www.auscert.org.au/render.html?it=3307
CAN-2003-0131, CAN-2003-0147
Page 42/57
Août 2003
HP a révisé le bulletin HPSBUX0301-239 afin d'annoncer la disponibilité des correctifs pour HP-UX version B.11.04
Virtualvault A.04.50 et A.04.60. Une vulnérabilité dans la machine virtuelle Java peut conduire à une usurpation de
certificat.
FREEBSD
Disponibilité de plusieurs correctifs
FreeBSD annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages :
realpath
FreeBSD-SA-03:08
signal
FreeBSD-SA-03:09
ibcs2
FreeBSD-SA-03:10
http://www.linuxsecurity.com/advisories/freebsd.html
LINUX DEBIAN
Disponibilité de nombreux correctifs
Debian annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages :
fdclone
DSA-352
sup
DSA-353
xconq
DSA-354
gallery
DSA-355
xtokkaetama
DSA-356
wu-ftpd
DSA-357
kernel-2.4.18
DSA-358
atari800
DSA-359
xfstt
DSA-360
kdelibs
DSA-361
mindi
DSA-362
postfix
DSA-363
man-db
DSA-364
phpgroupware
DSA-365
eroaster
DSA-366
xtokkaetama
DSA-367
xpcd
DSA-368
zblast
DSA-369
pam-pgsql
DSA-370
perl
DSA-371
netris
DSA-372
autorespond
DSA-373
http://www.debian.org/security/2003/
LINUX MANDRAKE
Mandrake annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages :
kdelibs
MDKSA-2003:078
9.0 / 9.1 /
CS 2.1
wu_ftpd
MDKSA-2003:080
82
postfix
MDKSA-2003:081
8 2 / 9.0 / 9.1
FW 8.2 / CS 2.1
php
MDKSA-2003:082
8 2 / 9.0 / 9.1
FW 8.2 / CS 2.1
eroaster
MDKSA-2003:083
9.0 / 9.1 /
CS 2.1
perl-cgi
MDKSA-2003:084
8 2 / 9.0 / 9.1
FW 8.2 / CS 2.1
gdm
MDKSA-2003:085
9.0 / 9.1 /
CS 2.1
sendmail
MDKSA-2003:086
8 2 / 9.0
CS 2.1
http://www.linux-mandrake.com/en/security/
LINUX REDHAT
RedHat annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages :
stunnel
RHSA-2003:221-01
7.1 / 7.2 / 7.3 / 8.0
openssh
RHSA-2003:222-01
7.1 / 7.2 / 7.3 / 8.0 / 9.0
wu-ftpd
RHSA-2003:245-01
7.1 / 7.2 / 7.3 / 8.0
postfix
RHSA-2003:251-01
7.3 / 8.0 / 9.0
up2date
RHSA-2003:255-01
8.0 / 9.0
ddskk
RHSA-2003:241-01
7.1 / 7.2 / 7.3 / 8.0 / 9.0
konqueror
RHSA-2003:235-01
7.1 / 7.2 / 7.3 / 8.0 / 9.0
unzip
RHSA-2003:199-02
7.1 / 7.2 / 7.3 / 8.0 / 9.0
GDM
RHSA-2003:258-01
7.1 / 7.2 / 7.3 / 8.0 / 9.0
http://www.linuxsecurity.com/advisories/redhat.html
Page 43/57
Août 2003
MICROSOFT
Révision de l'alerte MS03-026 sur la faille DCOM RPC
Microsoft a révisé le bulletin MS03-026 afin de proposer un outil permettant de détecter les machines vulnérables.
Par ailleurs, un script Visual Basic est proposé afin d'installer le correctif MS03-026 sur des machines distantes.
http://www.microsoft.com//technet/security/bulletin/MS03-026.asp
CAN-2003-0352
Révision du bulletin MS03-030 sur DirectX
Microsoft a révisé le bulletin MS03-030 au sujet de deux débordements de buffer dans DirectX. Cette mise à jour
inclut les détails des correctifs complémentaires pour les versions de DirectX.
CAN-2003-0346
Mise à jour de l'avis MS03-029
Microsoft a mis à jour son bulletin MS03-029, concernant une vulnérabilité dans 'ntdll.dll' pour indiquer une
incompatibilité avec le correctif fourni et les plates-formes NT 4.0 lorsque le service RRAS est activé. Il s'avère que
ce service ne démarre plus après l'application du correctif.
CAN-2003-0525
Ouverture non sollicitée de fichiers texte via IE
L'espace de nommage 'view-source' autorise Internet Explorer à ouvrir un fichier texte via Notepad. Cette
fonctionnalité est plus une nuisance qu'une faille de sécurité, mais la réponse de Thor Larholm insiste sur le fait
que ce problème peut sans doute s'étendre à d'autres types de données ou protocoles.
http://msgs.securepoint.com/cgi-bin/get/bugtraq0308/55.html
NOVELL
Disponibilité du Service Pack 4 pour eDirectory 8.6.2
Novell a annoncé la disponibilité du SP4 pour eDirectory version 8.6.2 pour les systèmes Microsoft NT et 2000 ainsi
que pour Netware versions 5.1 SP5 et 6.0 SP1.
http://support.novell.com/tidfinder/2964936
NetBSD
NetBSD a annoncé la disponibilité des correctifs pour la fonction 'realpath' pour NetBSD 1.5 à 1.6.1 et NetBSDcurrent (sources inférieures au 04/08/2003). Un débordement de buffer peut être exploité à distance afin d'acquérir
des privilèges élevés. Appliquez le correctif disponible.
ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2003-011.txt.asc
CAN-2003-0466
ORACLE
Correctifs pour Oracle 9i XML Database
Oracle a annoncé la disponibilité des correctifs pour les débordements de buffer découverts dans Oracle 9i XML
Database (XDB) version 2. Appliquez les correctifs pour Oracle9i Database Release 2 version 9.2.0.3. Oracle9i
Database Release 2 version 9.2.0.4 corrige cette vulnérabilité. Les autres versions ne sont pas affectées.
http://otn.oracle.com/deploy/security/pdf/2003Alert58.pdf
OpenBSD
OpenBSD a annoncé la disponibilité des correctifs pour la fonction 'realpath' pour OpenBSD 3.2 et 3.3. Un
débordement de buffer peut être exploité à distance afin d'acquérir des privilèges élevés
http://www.openbsd.org/errata32.html#realpath
CAN-2003-0466
SCO
Correctifs pour 'metamail'
SCO a annoncé la disponibilité des correctifs pour 'metamail' pour les versions 2.7 et inférieurs, sur plate-forme
SCO UnixWare 7.1.1 à 7.1.3 et Open UNIX 8.0.0. Le paquetage 'metamail' est sensible à de multiples
débordements de buffer.
ftp://ftp.sco.com/pub/updates/OpenUNIX/CSSA-2003-SCO.15/CSSA-2003-SCO.15.txt
CVE-1999-1263, CVE-1999-0365, CVE-1999-0037
SGI
Vulnérabilités SNMP dans les hub Emulex
SGI annonce que les hub FibreChannel Emulex sont vulnérables aux problèmes liés au protocole SNMP décrits dans
le bulletin CERT CA-2002-03. Il n'existe pas de correctif. Une première parade consiste à positionner un routeur ou
un équipement réseau bloquant le trafic SNMP à destination du hub Emulex. La seconde parade consiste à
déconnecter le hub Emulex du réseau s'il ne nécessite aucune gestion via le protocole IP.
ftp://patches.sgi.com/support/free/security/advisories/20030703-01-I
CAN-2002-0012, CAN-2002-0013
Page 44/57
Août 2003
SUN
Correctifs pour 'ypserv'
Sun a annoncé la disponibilité des correctifs pour Sun Linux 5.0 dont le service 'ypserv' est vulnérable à des
attaques par déni de service.
CAN-2003-0251
Correctifs pour 'XFree86'
Sun a annoncé la disponibilité des correctifs pour Sun Linux 5.0 dont plusieurs binaires du paquetage 'XFree86' sont
vulnérables.
CAN-2001-1409, CAN-2002-0164, CAN-2002-1510, CAN-2003-0071, CAN-2003-0063
Correctifs pour 'samba'
Sun a annoncé la disponibilité des correctifs pour le serveur 'samba' pour Solaris 9 (Sparc et Intel), vulnérable à
deux débordements de buffer exploitables à distance.
CAN-2003-0085, CAN-2003-0201
Correctifs pour 'pine'
Sun a annoncé la disponibilité des correctifs pour Pine version 4.44 et inférieures pour Sun Linux 5.0, Qube 3, RaQ
4, RaQ 550 et RaQ XTR. Un débordement de buffer permet de provoquer l'arrêt de cet utilitaire.
CAN-2002-1320
Correctifs pour Sun ONE/iPlanet
Sun a annoncé la disponibilité des correctifs pour Sun ONE/iPlanet Web Server 6.0 SP1 à SP5 et 7.0. Ils éliminent
une vulnérabilité autorisant des attaques basées sur le temps et permettant de récupérer des informations
transmises via SSL ou TLS.
Correctifs pour le noyau des systèmes Sun RaQ 550
Sun a annoncé la disponibilité des correctifs pour le noyau des systèmes Sun RaQ 550. Deux vulnérabilités peuvent
conduire à un déni de service ou à la modification des registres d'état.
http://sunsolve.sun.com/pub-cgi/show.pl?target=cobalt/raq550.eng&nav=patchpage
CAN-2003-0247, CAN-2003-0248
CODES D’EXPLOITATION
Les codes d’exploitation des vulnérabilités suivantes ont fait l’objet d’une large diffusion :
MICROSOFT
Codes d'exploitation pour la vulnérabilité MS03-032 (DCOM RPC)
Trois code d'exploitation contre le service DCOM RPC ont été publiés. Par ailleurs, les tentatives d'accès aux ports
135, 139 et 445 sont en augmentation comme le montre le graphique fourni par Incidents.
http://www.malware.com/drew.html
http://www.k-otik.com/exploits/08.21.M03-032.php
http://isc.sans.org/diary.html?date=2003-08-09
http://packetstorm.icx.fr/filedesc/dcomworm.zip.html
http://www.k-otik.com/exploits/07.29.rpc18.c
http://packetstorm.icx.fr/filedesc/oc192-dcom.c.html
CAN-2003-0532
WU-FTPD
Code d'exploitation pour la vulnérabilité 'wu-ftpd'
Un code exploitant la vulnérabilité de débordement de buffer dans 'wu-ftpd' pour RedHat Linux (x86) a été publié
sur la liste Bugtraq. Il permet d'obtenir à distance les droits 'root'.
CAN-2003-0466
Page 45/57
Août 2003
BULLETINS ET NOTES
Les bulletins d’information suivants ont été publiés par les organismes officiels de surveillance et les
éditeurs :
CERT
Publication de l'alerte CA-2003-21
Le CERT a publié, sous la référence CA-2003-21, une alerte informant que les serveurs ftp hébergeant les sources
des divers projets GNU, ont été compromis depuis mars 2003. Il est possible que certains codes malveillants aient
pu être introduit dans les sources des logiciels disponibles sur ces serveurs. Il est fortement recommandé de vérifier
l'intégrité de tout logiciel téléchargé depuis ces serveurs, avec la listes des versions vérifiés comme non
compromises
ftp://ftp.gnu.org/MISSING-FILES.README
VIRUS
Apparition du ver 'MS Blast'
Le ver 'MS Blast' exploite les vulnérabilités présentes dans le service RPC DCOM de Microsoft Windows NT, 2000,
2003 Server et XP. Les charges virales sont les suivantes. Le ver 'MS Blast' démarre un serveur 'tftp' (udp/69) afin
d'autoriser la victime à télécharger une copie du ver. Il ouvre le port tcp/4444 (ou tout autre port arbitraire) afin de
pouvoir accéder à un un interpréteur de commandes privilégié. Il ajoute la clé 'SOFTWAREauto update' dans la base
de registre. Il exploite les systèmes Windows 2000 et XP en utilisant deux offsets universels. Il utilise un algorithme
de propagation basé sur l'adresse IP de la machine vulnérable afin de cibler les machine d'un même sous réseau.
De plus, il tentera de provoquer un déni de service du site 'windowsupdate.com' entre le 15 août et le 31 décembre
et après le 15 de chaque mois, par des attaques de type 'SYN flood'. Les ports TCP 135, 139, 445, 593, 4444 et
UDP 69, 135, 137, 138, 139, 445 peuvent être vecteurs d'attaques.
https://tms.symantec.com/members/AnalystReports/030811-Alert-DCOMworm.pdf
http://www.eeye.com/html/Research/Advisories/AL20030811.html
Notes de Microsoft sur le ver 'Blaster'
Microsoft a publié une note destiné à prévenir les utilisateurs sur la manière de se protéger contre le ver 'Blaster'. Il
est recommandé d'installer un pare-feu personnel. Notons que Windows XP et Windows Server 2003 disposent de
ICF (Internet Connection Firewall). Par ailleurs, Windows 2000 dispose d'un mécanisme de filtrage. Installez le
correctif Microsoft MS03-026. Et enfin, utilisez un anti-virus dont les signatures sont régulièrement mises à jour. Si
vous avez été infectés, plusieurs outils d'éradication sont disponibles. Une documentation plus technique est aussi
proposée. Dans tous les cas, il est recommandé de se protéger avant qu'un ver plus destructeur ne fasse son
apparition.
http://www.microsoft.com/technet/security/virus/alerts/msblaster.asp
CAN-2003-0352
Propagation du virus baptisé 'Mimail'
Un nouveau virus, appelé 'Mimail' a récemment fait son apparition. Il contient une archive compressée incluant un
fichier malicieux au format MHTML. La visualisation du message attaché autorise l'exécution de code. Ce virus
recherche les adresses e-mail sur la machine vulnérable afin de se propager. Le bulletin Microsoft MS03-014 corrige
cette vulnérabilité.
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100523
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MIMAIL.A
http://www.cert.org/incident_notes/IN-2003-02.html
http://xforce.iss.net/xforce/alerts/id/149
CAN-2002-0980
Apparition du virus 'welchia'
Le virus 'Welchia', aussi appelé 'Nachi' ou 'MS_BLAST.D', est apparu récemment. Il se distingue des autres formes
du virus 'Blaster' par le fait qu'il vient corriger la vulnérabilité DCOM RPC discutée dans le bulletin Microsoft MS03026. Il utilise celle-ci pour se propager ainsi que la vulnérabilité WebDav du bulletin MS03-007. Ce 'white worm'
supprime le ver malicieux 'Blaster', rapatrie le bon correctif depuis le site Microsoft correspondant à la langue de
système d'exploitation puis redémarre le système. Il se supprimera automatiquement en 2004. En revanche, ce
ver, en testant les machines vulnérables, génère de nombreuses requêtes ICMP, ce qui peut constituer un déni de
service sur le réseau. De même le redémarrage de la machine peut conduire à la perte de données. Le déploiement
des correctifs reste cependant nécessaire.
http://www.sophos.com/virusinfo/analyses/w32nachia.html
http://vil.nai.com/vil/content/v_100559.htm
http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100559
http://www3.ca.com/virusinfo/virus.aspx?ID=36372
http://www.cert.org/current/current_activity.html#welchia
CAN-2003-0109, CAN-2003-0352
Page 46/57
Août 2003
ATTAQUES
OUTILS
THC AMAP V4.0
# Description
Présenté dans notre rapport N°45 d’avril 2002, l’utilitaire ‘THC AMAP’ vient de faire l’objet d’une réécriture complète
ayant permis non seulement d’améliorer sa fiabilité mais aussi d’intégrer de nouvelles fonctions. Cet utilitaire est fort
pratique car il comble une lacune rencontrée sur la plupart des outils conventionnels d’audit ou de tests de
vulnérabilités, à savoir l’impossibilité d’identifier explicitement un service connu mais activé sur un port autre que le
port normalement réservé à ce service.
Rien n’interdit en effet d’activer un serveur ‘SSH’ sur le port TCP/1524 en lieu et place du port TCP/22 par exemple.
Cette approche est d’ailleurs utilisée aussi bien par les exploitants, généralement pour des raisons de sécurité, que
par des agresseurs ayant compromis un système et désirant disposer d’une porte dérobée dissimulée.
Ainsi, nombreux sont les codes d’exploitation conduisant à l’installation d’un ‘root-kit’ contenant un serveur ‘SSH’
modifié et configuré pour s’activer sur l’un des ports TCP réservés à un service peu usité tel, par exemple, le service
‘ingres-lock’. Nous ne mentionnerons pas les accès dissimulés ayant pu être activés par un utilisateur peu
scrupuleux.
L’expérience démontre que, si les outils classiques d’analyse sont parfaitement capables de mettre en évidence
l’existence d’un service actif derrière un port quelconque, l’identification explicite de ce service nécessitera
généralement une intervention manuelle pour étudier la bannière de connexion renvoyée par celui, voire pour
effectuer une connexion manuelle pour tenter de relever un comportement spécifique permettant de caractériser ce
service.
L’utilitaire ‘THC AMAP’ permet d’automatiser ce processus. La technique d’identification retenue est on ne peut plus
simple puisqu’elle consiste à analyser la réponse du service face à une requête pré-configurée: le service est identifié
lorsqu’une réponse connue est reçue.
En pratique, une stratégie d’analyse exhaustive est employée qui peut apparaître non optimisée mais qui donne
cependant de bons résultats: les requêtes enregistrées dans le fichier ‘appdefs.trig’ sont transmises l’une après
l’autre jusqu’à réception d’une réponse comparable à l’une des séquences définies dans le fichier ‘appdefs.resp’. Le
service est alors considéré comme identifié.
On notera que le but recherché lors de l’envoi d’une requête n’est pas d’obtenir systématiquement la réponse
attendue pour celle-ci mais d’obtenir une réponse susceptible de dévoiler l’identité du service. Il sera ainsi possible
d’identifier le service ‘ECHO’ par sa réponse à une requête ‘HTTP’ mais aussi, de provoquer une identification erronée
par la définition d’une réponse type insuffisamment précise !
Le fichier ‘appdefs.trig’ livré dans cette nouvelle version contient désormais 15 requêtes de déclenchement, dont
certaines, susceptibles de provoquer un dysfonctionnement du service sondé, pourront être invalidées au moyen de
l’option ‘-H’:
Service
DNS
FTP
HTTP
LDAP
Mountd
MS-Remote-Desktop
MS-SQL
NetBIOS
NTP
Oracle TNS
RPCS
SAP-R3
SMTP
SNMP (Public)
SSL
SunRPC
X11
UDP
1
1
1
1
1
1
1
1
-
Requête
TCP
Générique
1
1
1
1
2
1
1
1
1
1
1
1
1
-
Version
2.7 / 4.0
2.7
2.7 / 4.0
2.7 / 4.0
2.7
4.0
4.0
2.7 / 4.0
2.7 / 4.0
4.0
2.7
2.7 / 4.0
4.0
2.7 / 4.0
2.7 / 4.0
2.7 / 4.0
2.7 / 4.0
Le fichier ‘appdefs.resp’ maintenant quelques 209 séquences (71 dans la version précédente) permettant d’identifier
128 services contre 47 dans la version précédente):
Service
echo
acap
adsgone
aix-netinstall
amanda-index
auth
Sig
1
1
1
1
1
2
Service
http-storyserver
http-tomcat
http-weblogic
imap
iplanet-ens
#ircd
Sig
1
1
1
1
1
1
Service
ph
pop2
pop3
pop3-passwd
postgres
psybnc
Sig
1
1
1
1
2
2
Page 47/57
Août 2003
bittorrent
chargen
checkpoint-fw1
checkpoint-fw1-authentication
citrix-ica
cvs
dantz-retrospect
daytime
dicom
dns
eggdropp
finger
ftp
fxsvc-backdoor
glftp
gnu
goip
gopher
hp-openview-storage-protect
http
http-apache-1
http-apache-2
http-cups
http-gnutella
http-hp-jet-direct
http-iis
http-iplanet
http-jrun
http-jserv
http-limewire
http-lotus-domino
http-ncacn
http-net.commerce
http-nettracker
http-openadstream
http-proxy
http-roxen
1
2
2
1
2
2
1
1
1
9
1
7
3
1
2
1
1
3
2
4
1
1
1
1
1
2
1
1
1
1
1
1
1
1
1
4
2
ircd
ircd-hybrid
iss-realsecure
kerberos-remsh
ksysguard
ldap
linux-gnome-desktop
linux-gnome-session
linuxconf
lisa
lpd
lyskom
mldonkey
mon
ms-active-sync-manager
ms-distribution-transport
ms-exchange-emsmta
ms-location-service
ms-remote-desktop-protocol
ms-rpc-proxy-endpoint
ms-rpc
ms-sql
ms-exchange
msdtc
mysql
mysql-blocked
mysql-secured
nagiosd
netbios-name
netbios-session
netbus
netstat
nntp
nntp-ms
ntalk
ntp
oracle-tns-listener
6
1
1
1
1
4
1
1
1
1
4
1
2
1
1
1
1
1
1
1
1
2
1
1
7
1
1
1
1
3
1
1
7
1
1
2
2
pyslsk
realserver
remsh
rexec
rlogin
rpc-nfs
rpc
rsync
saint-nprep
sap-r3
shell-backdoor
shoutcast
smtp
smtp-pix
smux
snmp-public
socks
spamd
ssh
ssh-openssh
ssl
systat
tcpmux
teamspeak2
telnet
telnet-aix
telnet-raptor-firewall
telnet-t-rex-proxy
timbuktu-pro
time
uucp
vnc
vtun
websm
x-windows
zebra
1
2
2
2
2
1
3
1
1
3
2
1
2
1
1
1
1
1
1
1
4
1
1
1
1
1
1
1
1
4
1
1
1
1
2
1
Par ailleurs, la version 4 diffère notablement de la version précédente (V 2.7), et en particulier sur les points suivants:
- Le support de la librairie ‘CygWin’ permettant d’envisager une compilation en environnement WIN32,
- L’ajout d’options permettant notamment de limiter l’analyse à la seule acquisition des bannières d’accueil,
- L’utilisation d’expressions régulières dans la définition des séquences d’identification des services,
- L’amélioration notable des performances.
Rappelons que cet outil utilise un mode de fonctionnement totalement asynchrone permettant l’ouverture de multiples
connexions sans avoir à attendre une réponse pour engager le test suivant: un processus père assure la création
d’autant de processus fils qu’il y a de contextes à traiter puis supervise l’état de ceux-ci.
Il autorise l’exploitation des fichiers de résultat produits par l’outil de sondage ‘nmap’ (option ‘-oM’) facilitant ainsi la
désignation des cibles de l’analyse.
Un exemple d’utilisation de ces deux outils est proposé ci-dessous:
# nmap –oM out.txt -sT -sU 10.A.B.C
Starting nmap 3.30 ( http://www.insecure.org/nmap/ ) at 2003-08-01 11:49 CEST
Interesting ports on test.apogee-com.fr (10.A.B.C):
(The 3096 ports scanned but not shown below are in state: closed)
Port
State
Service
7/tcp
open
echo
7/udp
open
echo
9/tcp
open
discard
9/udp
open
discard
13/tcp
open
daytime
13/udp
open
daytime
17/tcp
open
qotd
17/udp
open
qotd
19/tcp
open
chargen
19/udp
open
chargen
21/tcp
open
ftp
25/tcp
open
smtp
42/tcp
open
nameserver
42/udp
open
nameserver
53/tcp
open
domain
53/udp
open
domain
67/udp
open
dhcpserver
68/udp
open
dhcpclient
80/tcp
open
http
111/tcp
open
sunrpc
111/udp
open
sunrpc
Page 48/57
Août 2003
119/tcp
open
nntp
135/tcp
open
loc-srv
135/udp
open
loc-srv
137/udp
open
netbios-ns
138/udp
open
netbios-dgm
139/tcp
open
netbios-ssn
443/tcp
open
https
445/tcp
open
microsoft-ds
445/udp
open
microsoft-ds
500/udp
open
isakmp
563/tcp
open
snews
1025/udp
open
blackjack
1434/udp
open
ms-sql-m
1645/udp
open
radius
1646/udp
open
radacct
1812/udp
open
radius
1813/udp
open
radacct
3389/tcp
open
ms-term-serv
3456/udp
open
IISrpc-or-vat
5800/tcp
open
vnc-http
5900/tcp
open
vnc
Nmap run completed -- 1 IP address (1 host up) scanned in 10.752 seconds
# amap -i out.txt
amap v4.0 (www.thc.org) started at 2003-08-01 11:49:51 - APPLICATION MAP mode
Unrecognized response from 10.A.B.C:13/tcp received.
Please send this output and the name of the application to [email protected]:
0000: 3132 3a30 393a 3234 2030 312f 3038 2f32
[ 12:09:24 01/08/2 ]
0010: 3030 310a
[ 001.
]
0000: 224c 2761 7274 2064 6520 7065 7273 7561
[ "L'art de persua ]
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
0050: 220d 0a20 426c 6169 7365 2050 6173 6361
[ ".. Blaise Pasca ]
0060: 6c20 2831 3632 332d 3136 3632 290d 0a
[ l (1623-1662).. ]
Protocol on 10.A.B.C:19/tcp
matches chargen
matches ftp
matches smtp
matches netbios-session
matches nntp
matches http
matches http-iis
Protocol on 10.A.B.C:5900/tcp matches vnc
0000: 8080 0103 0100 5700 0000 2000 0016 0000
[ ......W... ..... ]
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
0070: d855 ead0 6982 1bef 23c3 399b 8eb2 493c
[ .U..i...#.9...I< ]
0080: 5a79
[ Zy
]
Protocol on 10.A.B.C:5800/tcp matches http
Unrecognized response from 10.A.B.C:7/udp received.
0000: 0000 1000 0000 0000 0000 0000
[ ............
]
0000: 3132 3a30 393a 3234 2030 312f 3038 2f32
[ 12:09:24 01/08/2 ]
0010: 3030 310a
[ 001.
]
0000: 2252 6965 6e20 6465 2070 6c75 7320 6675
[ "Rien de plus fu ]
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
0060: 6973 204a 6f75 7665 7420 2831 3838 372d
[ is Jouvet (1887- ]
0070: 3139 3531 290d 0a
[ 1951)..
]
Protocol on 10.A.B.C:19/udp
matches chargen
matches dns
Protocol on 10.A.B.C:135/udp matches ms-location-service
matches echo
Protocol on 10.A.B.C:1025/udp matches ms-location-service
matches netbios-name
matches netbios-name
Protocol on 10.A.B.C:137/udp matches netbios-name
0000: 057c 0153 6572 7665 724e 616d 653b 5043
[ .|.ServerName;PC ]
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
0160: 514c 2449 4e53 5441 4e43 455f 5349 454d
[ QL$INSTANCE_SIEM ]
Page 49/57
Août 2003
0170: 454e 535c 7371 6c5c 7175 6572 793b 3b
[ ENS\sql\query;; ]
Protocol on 10.A.B.C:111/tcp matches rpc
Protocol on 10.A.B.C:3389/tcp matches ms-remote-desktop-protocol
Protocol on 10.A.B.C:111/tcp matches rpc-rpcbind-v2
Unidentified ports: 10.A.B.C:9/tcp 10.A.B.C:9/udp 10.A.B.C:13/tcp 10.A.B.C:13/udp
10.A.B.C:17/tcp 10.A.B.C:17/udp 10.A.B.C:42/tcp 10.A.B.C:42/udp 10.A.B.C:53/tcp
10.A.B.C:67/udp 10.A.B.C:68/udp 10.A.B.C:111/udp 10.A.B.C:135/tcp 10.A.B.C:138/udp
10.A.B.C:443/tcp 10.A.B.C:445/tcp 10.A.B.C:445/udp 10.A.B.C:500/udp 10.A.B.C:563/tcp
10.A.B.C:1030/tcp 10.A.B.C:1058/tcp 10.A.B.C:1434/udp 10.A.B.C:1645/udp 10.A.B.C:1646/udp
10.A.B.C:1812/udp 10.A.B.C:1813/udp 10.A.B.C:3456/udp (total 27).
amap v4.0 finnished at 2003-08-01 11:58:55
L’exemple précédent est particulièrement intéressant car il met en évidence les limitations inhérentes à ce type
d’approche. On notera ainsi que le service ‘qotd’ – la citation du jour – n’a pu être identifié ce qui ne semble pas
anormal puisque les données transmises changent à chaque requête sans qu’aucun élément fixe ne soit jamais
transmis. Par contre, la non identification du service ‘msql’ sur le port TCP/1434 semble résulter d’un réel problème
dans la définition de la signature.
Le processus d’identification employé permet cependant d’affiner l’identification au fur et à mesure de la progression
de l’analyse. Ainsi le service ‘echo’, actif sur les ports UDP/7 et TCP/7, annoncé retourner une réponse inconnue est
finalement correctement identifié sur l’une des réponses aux autres requêtes. L’utilisation d’une logique asynchrone
séparant le processus de transmission des requêtes de celui assurant le traitement des réponses conduira
inéluctablement à ce type de résultats, aucune optimisation dans l’ordonnancement de l’analyse ne pouvant être
effectuée.
http://www.thehackerschoice.com/releases.php
http://www.insecure.org/nmap/nmap_download.html
- THC AMAP version 4.0
- Nmap version 3.30
HTTPRINT
# Description
La réussite d’une attaque visant un service WEB est généralement liée à l’identification correcte de la cible. Cette
identification est souvent effectuée sur la base du contenu des champs HTTP retournés en réponse à une quelconque
requête.
L’une des parades mise en œuvre pour contrer les attaques ciblées consiste à modifier tout ou partie de ces champs
dont notamment la chaîne identifiant explicitement le serveur utilisé. Ce procédé permet de leurrer les outils
d’attaques élémentaires qui utilisent le contenu du champ HTTP ‘Server’ pour déterminer si l’attaque est susceptible
d’aboutir et, éventuellement, d’adapter celle-ci au contexte.
La tentation est forte d’imaginer que l’on puisse totalement dissimuler l’identité d’un serveur WEB en reconfigurant
celui-ci, c’est à dire en modifiant le contenu des champs HTTP mais aussi celui des pages d’erreur. Pour aller au-delà,
on peut même envisager de modifier la structure de l’arborescence logique du serveur ainsi que le nom des nœuds et
des pages livrées par défaut.
Il semble hélas que toutes ces précautions soient plus ou moins illusoires vis à vis de la très grande quantité
d’informations délivrées par un serveur WEB ; informations qui, si elles sont correctement exploitées, fourniront une
signature caractéristique de chaque serveur.
L’utilitaire ‘ntoweb’ intégré à la suite ‘Fire and Water’ de la société ‘NTObjectives’ est, à notre connaissance, le
premier produit à avoir intégré cette approche dans le domaine de l’identification d’un serveur WEB (Rapport N°56 –
Mars 2003). Celle-ci y est réalisée en faisant appel à deux procédés complémentaires:
1. le ‘Web Server Fingerprinting’, un procédé qui consiste à analyser les champs HTTP de la réponse sans tenir
compte du champ ‘Server’ trop facilement manipulable.
2. le ‘Advanced Page Proofing’, une analyse des messages textuels accompagnant les codes d’erreur HTTP. La
teneur et la forme de ceux-ci sont autant d’indices pertinents sur le type réel du serveur WEB.
A l’occasion de la conférence BlackHat 2003, Saumil Shah, fondateur de la société ‘Net-Square’, est intervenu
dans une présentation intitulée ‘HTTP Fingerprinting and Advanced Assessment Techniques’ consacrée aux nouvelles
techniques et procédés applicables à l’identification des serveurs ‘WEB’. Une approche similaire à celle employée dans
l’utilitaire ‘ntoweb’ y est développée mais qui, en plus, prend en compte la nécessité de pouvoir identifier des
serveurs placés derrière un proxy.
Cette approche est implémentée dans l’utilitaire ‘HttPrint’ librement accessible sur le site de la société ‘Net-Square’.
A ce propos, on notera l’information suivante présentée sur la page d’accueil :
« httprint technology shall be available in future releases of the NTO Fire and Water toolkit. »
Cette information conduit à se poser la question de l’antériorité de l’approche mise en œuvre dans l’un et l’autre des
produits, d’autant que le site de la société ‘NTObjectives’ annonce que Saumil Shah fait désormais partie de leur
personnel ...
Les tests que nous avons pu mener sur la version Windows de l’utilitaire ‘HttPrint’ démontrent que la stratégie
d’identification retenue est d’une efficacité redoutable, que le serveur cible soit accédé directement ou par le biais d’un
proxy.
Page 50/57
Août 2003
Le paquetage de la version Windows contient deux
exécutables, l’un activant l’interface graphique, le second
permettant d’exécuter l’utilitaire dans une fenêtre de
commande et donc d’intégrer celui-ci à un script.
La copie d’écran présentée ci-contre met en évidence la
seule erreur d'identification que nous ayons pu détecter :
le serveur HTTP embarqué dans une imprimante HP est
identifié comme étant un serveur IIS 6.0.
Nous mettrons cette identification erronée sur le compte
de la jeunesse du produit dont la base de signatures ne
comporte actuellement que 39 entrées. En cas de doute,
l’utilisateur peut visualiser les scores associés à chacune
de ces entrées.
Quelques autres bogues ont été mis en évidence dont
notamment le blocage du processus lors d’une demande
d’arrêt du sondage. Par ailleurs, l’impossibilité de réactiver
un sondage sur une cible précise conduit à devoir réserver cette version aux seuls tests d’évaluation de la technologie
dans l’attente de la mise à disposition d’une version plus stable et ergonomique.
Les signatures des systèmes suivants sont livrées dans le paquetage de la version 0.105 mise à disposition fin Juillet:
SunONE
AOLserver
Apache
WebServer 6.0
Microsoft
IIS/4.0
3.4.2-3.5.1
IIS/5.0
2.0.x
IIS/5.0 ASP.NET
1.3.27
IIS/5.1
1.3.26
IIS/6.0
1.3.[4-24]
URLScan
1.3.[1-3]
Netscape
Enterprise/6.0
1.2.6
Enterprise/3.6
1.3.x
Stronghold 2.4.2
Enterprise/3.6 SP2
1.3.x
Stronghold 4.0
Enterprise/3.5.1G
Com21
Cable Modem
Enterprise/3.5.1
Cisco
HTTP
Enterprise/4.1
Hewlett-Packard xjet
Enterprise/4.1
Jana Server
1.45
NetWare
Enterprise-Web-Server/5.1
Linksys
AP1
RemotelyAnywhere
AP2
Xerver
v3
Router
Zeus
4.0
Lotus-Domino
5.x
4.1
6.x
4.2
Go-Webserver/4.6.2.8
Aucune information détaillée n’est fournie concernant la manière d’opérer en dehors des quelques éléments théoriques
exposés dans la présentation effectuée à l’occasion de la conférence BlackHat.
Une rapide étude des requêtes transmises sur le réseau met en évidence la transmission d’une dizaine de requêtes
dont la majorité doit en effet provoquer en retour l’envoi d’un message d’erreur et de la page WEB associée.
Le lecteur intéressé trouvera ci-après les 19 séquences transmises durant le sondage d’un serveur WEB IIS 5.0 accédé
en direct:
N°
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
17
18
19
Requête
GET / HTTP/1.0
GET / HTTP/1.0
OPTIONS * HTTP/1.0
OPTIONS / HTTP/1.0
GET /antidisestablishmentarianism
PUT / HTTP/1.0
JUNKMETHOD / HTTP/1.0
GET / JUNK/1.0
get / http/1.0
POST / HTTP/1.0
GET /cgi-bin HTTP/1.0
GET /scripts HTTP/1.0
GET / HTTP/0.8
GET / HTTP/0.9
GET / HTTP/1.1
GET / HTTP/1.2
GET / HTTP/1.1 (sans le champ host)
GET / HTTP/1.2 (sans le champ host)
GET / HTTP/3.0
GET /.asmx HTTP/1.1
GET /../.. / HTTP/1.1
Réponse
HTTP/1.1 200
HTTP/1.1 200
HTTP/1.1 200
HTTP/1.1 200
HTTP/1.1 404
HTTP/1.1 403
HTTP/1.1 501
HTTP/1.1 400
HTTP/1.1 400
HTTP/1.1 405
HTTP/1.1 404
HTTP/1.1 404
Page HTML
Page HTML
HTTP/1.1 200
HTTP/1.1 200
HTTP/1.1 400
HTTP/1.1 200
HTTP/1.1 400
HTTP/1.1 404
HTTP/1.1 200
OK
OK
OK
OK
object Not Found
Forbidden
Not implemented
Bad Request
Bad Request
Method not allowed
object Not Found
object Not Found
OK
OK
Bad Request
OK
Bad Request
Not Found
OK
Page 51/57
Août 2003
L’utilitaire ‘httprint’ fonctionne en environnements WIN32, Linux, Mac-OS et FreeBSD.
http://www.blackhat.com/presentations/bh-usa-03/bh-us-03-shah/bh-us-03-shah.ppt
http://www.blackhat.com/presentations/bh-usa-03/bh-us-03-shah/httprint_paper.zip
http://net-square.com/httprint/
http://ntobjectives.com/products/firewater/
- Présentation HttPrint
- Article complet
- Outils versions WIN32, UNIX, Mac
- Produit ‘Fire & Water’
TECHNIQUES
SECURITE DANS LES RESEAUX SANS FILS :
UN PANORAMA DES TECHNIQUES ET OUTILS D’ATTAQUE
# Description
Depuis maintenant quelques années, on observe l’émergence de nouveaux médias permettant l’échange de données,
médias basés sur les transmissions radio. Parmi ces médias, le plus démocratisé actuellement est celui défini par la
norme IEEE 802.11b. L’engouement suscité par cette norme dépasse toutes les prédictions conduisant à une floraison
d’offres de matériels et de services d’accès qui ne seront pas toujours exploités en conformité avec les bonnes
pratiques de sécurité.
Nous nous proposons donc d’aborder les différentes problématiques de sécurité en s’intéressant plus particulièrement
aux infrastructures s’appuyant sur le système d’exploitation LINUX. Après avoir décrit les conditions de mise en
œuvre d’un point d’accès WiFi simple, nous aborderons la présentation des vulnérabilités associées en détaillant
quelques un des outils d’attaques disponibles.
Environnement et mise en œuvre d’un point d’accès
Le matériel compatible 802.11 pour LINUX peut être classé en trois familles définies en fonction de l’origine du
composant utilisée par l’équipement WiFi :
# Le matériel compatible ‘aironet’, utilisant les gestionnaires aironet (bus PCI)ou aironet_cs (bus PCMCIA),
# Le matériel utilisant les gestionnaires ‘orinoco’ ou ‘orinoco_cs’ à base de composants Lucent,
# Le matériel utilisant les gestionnaires ‘prism2’ ou ‘prism2_cs’ à base de composants Intersil.
Les matériels conçus autour des familles de composants ‘orinico’ et ‘prism’ sont de loin les plus répandus car d’un
prix très abordable. En conséquence, la majorité des outils développés le sont pour ces deux familles, les matériels
compatibles ‘aironet’ étant laissés pour compte. On notera toutefois que les cartes ‘aironet’ sont reconnues par la
communauté pour être d’excellente qualité, en dépit de leur coût supérieur.
La mise en œuvre de ces gestionnaires dans le cadre d’une utilisation normale d’un réseau WiFi requiert bien souvent
une recompilation du noyau afin d’activer le support du matériel. Cette étape ne sera pas complètement détaillée,
mais les points essentiels vont être précisés. En règle générale, la configuration d’une interface sans fils sera effectuée
automatiquement en utilisant le protocole DHCP après que l’interface ait été activée et reconnue du point d’accès.
Pour ce faire, il sera impératif d’activer les options CONFIG_PACKET et CONFIG_FILTER dans la configuration du
noyau. L’activation des autres directives disponibles dépendra du matériel utilisé.
Le gestionnaire ‘orinoco’
# Opérations préliminaires
Dans le cas d’une utilisation d’une carte de type ‘pcmcia’ ou ‘carbus’ utilisant le driver ‘oricono’, il est
recommandé de désactiver le support PCMCIA nativement offert par le noyau et d’utiliser celui qui est intégré au
paquetage ‘pcmcia-cs’. Ce dernier regroupe un certain nombre de gestionnaire pour des périphériques PCMCIA,
des interfaces réseaux aux contrôleurs SCSI en passant par les disques dur IDE.
Des paquetages pré-compilés du noyau et de ‘pcmcia-cs’ sont disponibles mais il est généralement plus
intéressant de compiler soi-même les modules requis afin de disposer d’un environnement ne contenant que les
modules strictement nécessaires.
Sur un système Debian GNU/Linux, cette opération est effectuée en quelques commandes. Il faudra d’abord
récupérer les sources du noyau, soit sur http://www.kernel.org, soit par le système de distribution de
paquetages ‘apt’ utilisé par Debian au moyen de la commande ‘apt-get install kernel-source’.
Les sources ainsi téléchargées devront être décompressées et référencées au moyen d’un lien symbolique
‘/usr/src/linux’ pointant le répertoire les contenant. Le paquetage du code de ‘pcmcia-cs’ sera ensuite
récupéré par le biais de la commande ‘apt-get install pcmcia-source’. Celui-ci sera décompressé de préférence
dans le répertoire ‘/usr/src/modules/’ afin de pouvoir bénéficier ensuite des outils de configuration et
compilation inhérents à la distribution. Dans l’optique de la mise en place d’une plate-forme de test, cette
organisation permettra de créer différentes versions de gestionnaires qui pourront aisément être rechargées.
# Compilation du noyau
Le noyau doit maintenant être reconfiguré avant compilation pour prendre en compte le gestionnaire ‘orinoco’.
Les commandes habituelles seront utilisées: après s’être positionné dans le répertoire du code
source ‘/usr/src/linux’, l’outil de configuration du noyau sera activé par un ‘make {menu,x,}config’. Le
support ‘pcmcia’ devra être désactivé, les options CONFIG_PACKET et CONFIG_FILTER seront, elles,
positionnées.
Après avoir sélectionné les supports devant être activés, la commande ‘make-kpkg --revision=wireless.1
kernel_image’ sera employée en environnement DEBIAN pour compiler le noyau ainsi reconfiguré et les modules
requis. L’utilisation d’un identifiant de version permet ici de lier le noyau et les modules associés.
Page 52/57
Août 2003
Dans d’autres environnements, la commande ‘make dep clean bzlilo modules modules_install’ sera utilisée. Le
paramètre ‘bzlilo’ indique ici que le chargeur du système sera automatiquement modifié pour prendre en compte
ce nouveau noyau au prochain démarrage. Ce paramètre ne devra être employé qu’à la condition d’être sûr du
résultat de la compilation. Dans le cas d’une plate-forme de test ou d’intégration, il sera préférable d’opérer en
deux temps : compilation puis modification du fichier de configuration du chargeur.
# Compilation du module ‘pcmcia-cs’
Dans certains contextes, il peut être nécessaire de disposer de fonctionnalités non livrées par défaut dans le
gestionnaire ‘orinoco’. Citons par exemple le mode ‘monitor’ permettant de surveiller l’occupation des canaux
WiFi environnants. Dans ce cas particulier, le correctif ad hoc disponible sur le site ‘http://airsnort.shmoo.com’
devra être appliqué.
Celui-ci s’applique en passant la commande ‘patch –p1 < /chemin/vers/correctif’ à partir du sous-répertoire
‘wireless’ des sources de ‘pcmcia-cs’. Notons qu’à l’heure où nous écrivons ces lignes, la version la plus récente
du driver ‘orinoco’ compatible avec ce correctif est la version 0.13b.
Puis sur un Debian GNU/Linux, la commande ‘cd /usr/src/linux && make-kpkg modules_image’ permettra de
compiler la nouvelle version du module. Ce module sera ensuite installé au moyen de la commande ‘dpkg –i
nomdupackage.deb’. Dans d’autres environnements, l’utilisateur emploiera le script ‘Configure’ présent dans le
répertoire racine du paquetage ‘pcmcia-cs’.
Nous pouvons maintenant vérifier dans les journaux du système les derniers messages du noyau et constater
que notre carte a été reconnue.
Nous constatons également que Extraits des journaux du système
15 12:31:42 localhost cardmgr[18218]: socket 1: Orinoco or Intersil Prism 2 ..
l’application du correctif permettant Jun
Jun 15 12:31:42 localhost cardmgr[18218]: executing: 'modprobe hermes'
le support du mode ‘monitor’ a eu Jun 15 12:31:42 localhost kernel: hermes.c: 4 Dec 2002 David Gibson ...
Jun 15 12:31:42 localhost cardmgr[18218]: executing: 'modprobe orinoco'
le résultat escompté.
#iwpriv eth1
eth1
Available private ioctl :
force_reset (8BE0):set 0 & get 0
card_reset
(8BE1):set 0 & get 0
set_port3
(8BE2):set 1 int & get 0
get_port3
(8BE3):set 0 & get 1 int
set_preamble (8BE4):set 1 int & get 0
get_preamble (8BE5):set 0 & get 1 int
set_ibssport (8BE6):set 1 int & get 0
get_ibssport (8BE7):set 0 & get 1 int
monitor
(8BE8):set 2 int & get 0
dump_recs
(8BFF):set 0
& get 0
Jun
Jun
Jun
Jun
Jun
Jun
Jun
Jun
Jun
Jun
Jun
Jun
Jun
15
15
15
15
15
15
15
15
15
15
15
15
15
12:31:42
12:31:42
12:31:42
12:31:43
12:31:43
12:31:43
12:31:43
12:31:43
12:31:43
12:31:43
12:31:43
12:31:43
12:31:43
localhost
localhost
localhost
localhost
localhost
localhost
localhost
localhost
localhost
localhost
localhost
localhost
localhost
kernel: orinoco.c 0.13b (David Gibson ... and others)
cardmgr[18218]: executing: 'modprobe orinoco_cs'
kernel: orinoco_cs.c 0.13b (David Gibson ... and others)
kernel: eth1: Station identity 001f:0002:0001:0004
kernel: eth1: Looks like an Intersil firmware version 1.4.2
kernel: eth1: Ad-hoc demo mode supported
kernel: eth1: IEEE standard IBSS ad-hoc mode supported
kernel: eth1: WEP supported, 104-bit key
kernel: eth1: MAC address 00:E0:98:A7:78:40
kernel: eth1: Station name "Prism I"
kernel: eth1: ready
kernel: eth1: index 0x01: Vcc 5.0, irq 3, io 0x0100-0x013f
cardmgr[18218]: executing: './network start eth1'
Le gestionnaire ‘prism2’
L’utilisation du gestionnaire ‘prism2’ nécessite l’installation du paquetage ‘wlan-ng’. La procédure permettant
d’activer le support ‘wlan-ng’ est similaire à celle décrite pour le gestionnaire ‘orinoco’.
Le gestionnaire ‘aironet’
Une procédure identique à celle utilisée pour le gestionnaire ‘orinoco’ permettra d’activer le gestionnaire ‘aironet’.
La seule différence est qu’il ne sera pas nécessaire d’appliquer un correctif sur le code du gestionnaire pour activer
le support du mode ‘monitor’.
Le gestionnaire ‘hostap’
Ce gestionnaire permet non seulement au poste d’être ‘client’ d’un réseau sans fils, mais également d’agir en tant
que point d’accès. Il implémente toutes les fonctionnalités décrites dans les normes de l’IEEE, contrairement à de
nombreux de points d’accès proposés par les constructeurs. Il autorise notamment l’utilisation des modes avancés
d’authentification adossés au protocole EAP.
La disponibilité d’un gestionnaire autorisant l’utilisation d’une carte réseau sans fils en tant que point d’accès est
particulièrement intéressante car permettant, par exemple, d’engager une attaque visant à se substituer à un point
d’accès licite.
Ce gestionnaire s’installe de la même façon que les autres drivers basés sur ‘pcmcia-cs’. Sur un système DEBIAN
GNU/Linux, on décompressera l’archive dans ‘/usr/src/modules’, puis l’on ira dans le répertoire ‘/usr/src/linux’ pour
exécuter la commande ‘make-kpkg modules_image’. Une fois le paquetage contenant les modules ‘hostap’ généré,
il suffira de l’installer grâce à la commande ‘dpkg –i paquetage.deb’.
Sur un système non DEBIAN, il faudra se placer dans le répertoire des sources de ‘hostap’, éditer le ‘Makefile’ pour
définir la variable PCMCIA_PATH avec comme valeur le chemin vers les sources de ‘pcmcia-cs’ que l’on vient de
compiler, puis exécuter en tant qu’utilisateur ‘root’ les commandes ‘make pccard’ et ‘make install_pccard’. Il faudra
enfin désactiver les entrées relatives à la carte que nous utilisons (à l’exception de celles concernant ‘hostap’) dans
le fichier de configuration de ‘pcmcia-cs’.
Le module ‘pcmcia-cs’ étant correctement configuré et le driver ‘hostap’ installé, l’insertion de la carte dans le port
PCMCIA généra le résultat suivant dans le fichier de journalisation:
Jul
Jul
Jul
Jul
Jul
Jul
Jul
Jul
Jul
Jul
2
2
2
2
2
2
2
2
2
2
19:32:09
19:32:09
19:32:09
19:32:09
19:32:09
19:32:09
19:32:09
19:32:09
19:32:09
19:32:09
localhost
localhost
localhost
localhost
localhost
localhost
localhost
localhost
localhost
localhost
kernel: hostap_cs: Registered netdevice wlan0
kernel: prism2_hw_init()
kernel: prism2_hw_init: initialized in 17593 iterations
kernel: wlan0: NIC: id=0x800c v1.0.0
kernel: wlan0: PRI: id=0x15 v1.1.0
kernel: wlan0: STA: id=0x1f v1.4.2
kernel: wlan0: defaulting to bogus WDS frame as a workaround for firmware bug in Host AP mode WDS
kernel: wlan0: Warning: secondary station firmware version 1.4.2 does not seem to work in Host AP mode
cardmgr[24870]: executing: './network start wlan0'
cardmgr[24870]: + Ignoring unknown interface wlan0=wlan0.
Les vulnérabilités spécifiques au 802.11b
Disposant maintenant d’un poste configuré, et avant d’engager la présentation des outils utilisables sur celui-ci, il
Page 53/57
Août 2003
apparaît intéressant de proposer une synthèse des vulnérabilités liées à l’environnement 802.11b.
ESSID
L’un des problèmes majeurs des réseaux compatibles 802.11 est inhérent à leur conception et provient de la
méthode employée pour créer l’association entre un client et le point d’accès. Deux méthodes peuvent être
configurées sur celui-ci:
# Diffusion de trames d’annonce appelées « beacon frames » dans lesquelles l’identifiant du réseau figure en clair
# Réponse unitaire aux requêtes d’association transmises par le client à la condition que l’identifiant transmis par
celui-ci soit identique à celui configuré sur le point d’accès
La première méthode permettra à un système de récolter les identifiants simplement en écoutant les trames
diffusées par les points d’accès environnants sur les différents canaux actifs. Le même principe pourra être employé
dans le cas de la seconde méthode en notant toutefois qu’il sera nécessaire d’attendre qu’un client légitime se
présente pour acquérir l’identifiant du réseau. Ainsi, la non diffusion de l’identifiant du réseau dans les trames
d’annonce est un premier pas dans une démarche de sécurisation d’un réseau sans fils qui ne constituera
cependant absolument pas une défense viable contre les accès illégitimes.
Cryptanalyse des clefs WEP
La norme 802.11 prévoit l’utilisation de clefs fixes (clefs WEP) de 40 ou 104 bits pour chiffrer les échanges entre le
point d’accès et les clients et procurer, dans l’esprit de beaucoup d’utilisateurs, un semblant de sécurité.
Hélas, une première erreur fondamentale dans la mise en œuvre du mécanisme d’authentification expose les
réseaux sans fils utilisant WEP en autorisant une cryptanalyse relativement simple et rapide à mettre en œuvre.
Une seconde erreur provient de la facilité offerte aux utilisateurs consistant à générer automatiquement la clef WEP
à partir d’une phrase mnémonique (‘pass-phrase’ dans le jargon). La fonction employée pour générer la clef WEP
commune à partir de la ‘pass phrase’ est biaisée puisqu’elle ne pourra générer que 2^21 possibilités sur les2^40
possibilités théoriquement offertes par une clef de 40 bits. On notera que cet espace est exploré en quelques 90
secondes sur un PII 233MHz, et en seulement 35 secondes sur un PIII 500MHz.
Une troisième erreur trouvant son origine dans la manière d’initialiser l’algorithme RC4 conduit à devoir considérer
que le passage vers une clef de 104 bits impactera très peu le niveau de sécurité. L’agresseur devra seulement
collecter un plus grand nombre de paquets spécifiques.
Bien entendu, l’acquisition de la clef WEP utilisée par un point d’accès conduit à compromettre la confidentialité des
échanges mais aussi à pouvoir utiliser le réseau illicitement.
Dénis de Service
Il existe plusieurs dénis de service inhérents au fonctionnement des équipement 802.11. On distinguera deux
catégories d’atteintes: celles qui interdisent l’accès à un ou plusieurs utilisateurs, et celle qui visent à empêcher le
fonctionnement d’un réseau complet. Etablir une liste exhaustive de tous les dénis de services théoriques et/ou
avérés n’entre pas dans notre propos qui ne vise qu’à sensibiliser le lecteur. En conséquence, nous nous conterons
de citer quelques cas démonstratifs.
Le premier cas de figure qui vient l’esprit de toute agresseur consiste à saturer les équipements clients afin de les
rendrent ‘sourds’ aux trames d’annonce transmises par les points d’accès légitimes. Une variante consistera à
implémenter un point d’accès s’annonçant plus fort que les autres, afin d’amener les clients à se connecter sur
celui-ci et non sur le(s) point(s) d’accès légitime.
La norme 802.11 prévoit également qu’un point d’accès puisse envoyer des trames de dissociation à un client afin
de l’amener à se déconnecter du réseau. Ces trames peuvent facilement être forgées, et envoyées depuis un poste
se faisant passer pour un point d’accès légitime du réseau. On peut facilement imaginer la perturbation provoquée
par l’envoi périodique de telles trames.
Attaques MitM
Sous le sigle ‘MitM’ – Man in the Middle - se cache une technique d’attaque consistant à se placer entre un client et
le poste d’accès se faisant passer pour le parti opposé. Les procédés utilisés pour engendrer un déni de service sont
ici mis à profit.
Une attaque ‘MitM’ consistera à envoyer une trame de dissociation à un client. Celui-ci cherchera alors à retrouver
un point d’accès en s’annonçant sur chacun des canaux qu’il supporte ou en balayant l’ensemble des canaux
jusqu’à recevoir des trames d’annonce d’un point d’accès. On peut donc imaginer configurer un point d’accès
illégitime sur un canal voisin de celui utilisé par le point d’accès du réseau que l’on attaque afin de ‘récupérer’ la
station cliente avant que celle ci ne retrouve ‘son’ point d’accès légitime.
Le trafic ainsi intercepté pourra être redirigé sur le point d’accès légitime, le poste intermédiaire jouant alors le rôle
du client légitime, ou encore router ce trafic directement sur le correspondant final si l’on dispose d’un accès vers le
réseau de rattachement de celui-ci.
Dans tous les cas, le trafic échangé entre les deux correspondants pourra être analysé et éventuellement modifié
sous réserve que celui-ci n’ait pas déjà fait l’objet d’un chiffrement.
Les outils d’analyse et d’attaques
Recherche de points d’accès
Un certain nombre d’outils librement accessibles permettent d’automatiser la recherche de points d’accès en
environnement GNU/Linux. Certains sont spécialisés dans cette fonction, d’autres l’offrent parmi bien d’autres
fonctionnalités.
# Kismet
Page 54/57
Août 2003
‘Kismet’ est un utilitaire écrite en langage ‘C’
fonctionnant en mode texte qui permet la
détection de réseaux sans fils. Qui plus est,
‘Kismet’ est capable de déterminer si le réseau
utilise WEP ou pas, d’identifier le mode de
fonctionnement, les canaux actifs, …
Une base de données conséquente est livrée
avec le paquetage permettant d’identifier
rapidement le constructeur de l’équipement à
partir d’informations comme l’adresse MAC.
Un code de couleurs facilite l’identification
immédiate des réseaux les plus faibles, et de
ceux les plus sécurisés.
La couleur rouge représentera par exemple les
équipements en configuration d’origine, tandis
que le vert correspondra aux réseaux utilisant
par exemple WEP et un identifiant qui leur est
propre.
Kismet : vue des réseaux découverts et du signal global
# Wellenreiter
Tout comme ‘kismet’, ‘wellenreiter’ permet de
détecter les points d’accès mais aussi les
stations clientes d’un réseau sans fils.
La principale différence avec ‘kismet’ vient de
la mise en œuvre très simple de ‘wellenreiter’,
aidée en cela par l’interface graphique.
En effet, ‘wellenreiter’ détectera tout seul les
cartes utilisables sous réserve cependant de
devoir accéder au système de fichier ‘/proc’
contenant
les
informations
permettant
d’identifier le(s) carte(s) présente(s) sur le
système.
Wellenreiter: vue des réseaux
‘wellenreiter’ est capable d’indiquer l’utilisation du WEP
sur un réseau, et dispose tout comme ‘kismet’ d’une
base des identifiants MAC utilisée pour identifier le
constructeur des points d’accès rencontrés.
Bien d’autres outils offrant des fonctionnalités identiques
sont disponibles dont ‘wifiscanner’ s’exécutant en mode
console et ‘airsnort’ qui pour sa part offre une interface
graphique. Notons au passage que seul ‘airsnort’ est
capable d’effectuer une cryptanalyse des clefs WEP.
Wellenreiter : Le journal d’ activité
Cryptanalyse des clefs WEP
Dans l’esprit de beaucoup, la sécurisation d’un point d’accès 802.11b ne consiste qu’en l’activation du protocole
WEP qui leur garantira le chiffrement des flux et l’authentification des accédants. Hélas, récupérer les clefs WEP 40
bits d’un réseau n’est pas si compliqué que l’on pourrait le penser. La seule difficulté sera de résister à l’envie de
dormir pendant que l’on récolte le nombre de trames nécessaires à la cryptanalyse !
Deux outils sont disponibles pour GNU/Linux: ‘airsnort’ comme nous l’avons indiqué précédemment et ‘wep_tools’.
# Airsnort
L’outil ‘airsnort’ intègre deux fonctionnalités
complémentaires accessibles par le biais d’une
interface graphique unifiée.
La fonction de détection de points d’accès opère
en activant le mode ‘monitor’ de la carte pour
écouter les requêtes d’association ou trames
d’annonce.
La seconde fonction permet d’engager la
cryptanalyse des clefs WEP.
Le réseau devra être écouté pendant un temps
suffisamment long pour collecter le nombre de
paquets requis pour que la cryptanalyse puisse
donner les bons résultats, de quelques minutes à
quelques heures en fonction du contexte.
Airsnort : la GUI
# wep_tools
Page 55/57
Août 2003
‘wep_tools’ est une suite d’outils permettant,
soit d’essayer de casser les clefs d’un réseau
sans fils à partir d’une simple capture réseau
enregistrée au format ‘pcap’, soit de
déchiffrer les échanges entre les nœuds d’un
réseau utilisant WEP, sous réserve d’avoir
préalablement cassé les clefs en usage.
‘wep_crack’ est l’outil permettant de
recouvrer les clefs à partir d’une capture
réseau.
‘wep_decrypt’ permet de déchiffrer les
échanges entre différents éléments d’un
réseau sans fils.
wep_decrypt: usage
Usage:
./wep_crack [-b] [-s] [-k num] packfile [wordfile]
-b
Bruteforce the key generator
-s
Crack strong keys
-k num
Crack only one of the subkeys
without using a key generator
Wordfile must be specified when -b is not used
wep_crack: usage
Usage:
./wep_crack [-b] [-s] [-k num] packfile [wordfile]
-b
Bruteforce the key generator
-s
Crack strong keys
-k num
Crack only one of the subkeys
without using a key generator
Wordfile must be specified when -b is not used
Dénis de Service
L’utilitaire 'hunter_killer’ livré dans le paquetage ‘airjack’ est à ce jour le seul outil disponible implémentant un
déni de service 802.11.
# hunter_killer
Cet outil permet de forger des trames
de dissociation. Il se base sur le
gestionnaire ‘airjack’.
Son principe consiste à saturer une
station par des trames de dissociation
pour qu’elle ne puisse pas plus utiliser
le réseau 802.11b
wep_crack: usage
Hunter Killer: An 802.11b network
killing 802.11b networks.
killing
machine
designed
for
one
thing
...
Usage: ./hunter_killer -p <protected bssid> [ -i <interface name> ]
-b: bssid, the mac address of the access point (e.g. 00:de:ad:be:ef:00)
-v: victum mac address, defaults to broadcast address.
-c: channel number (1-14) that the access point is on, defaults to current.
-i: the name of the AirJack interface to use (defaults to aj0).
Attaques MitM
Les attaques Mitm (Man In The Middle) en environnement 802.11 utilisent le fait que les trames de signalisation
peuvent être forgées en usurpant l’adresse MAC du point d’accès. La technique employée consiste donc à forger
des trames de dissociation, et au besoin des trames de déconnexion, à transmettre celle-ci vers le client puis à
«capturer» la station mobile, alors qu’elle balaye l’ensemble des canaux pour retrouver le point d’accès.
# monkey_jack
‘monkey_jack’ implémente l’attaque
décrite ci dessus.
Pour que celle-ci fonctionne, il
faudra disposer d’une seconde
interface que l’on configurera en
mode point d’accès. Cette interface
sera dévolue à la capture des
sessions engagées par les clients du
réseau que l’on attaque.
monkey_jack: usage
Usage: monkey_jack -b <bssid> -v <victim mac> -C <channel number> [-c <channel number>]
[ -i <interface name> ] [ -I <interface name> ] [ -e <essid> ]
-a:
-t:
-b:
-v:
-c:
-C:
-i:
-I:
-e:
number of disassociation frames to send (defaults to 7)
number of deauthentication frames to send (defaults to 0)
bssid, the mac address of the access point (e.g. 00:de:ad:be:ef:00)
victim mac address.
channel number (1-14) that the access point is on, defaults to current.
channel number (1-14) that we're going to move them to.
the name of the AirJack interface to use (defaults to aj0).
the name of the interface to use (defaults to eth1).
the essid of the AP.
Idéalement, on disposera d’un accès sur le réseau auquel est raccordé le point d’accès légitime. Si tel n’est pas le
cas, il faudra disposer d’une troisième carte sans fils pour renvoyer le trafic vers le client légitime. Cette attaque est
relativement coûteuse à mettre en œuvre sur le plan du matériel requis.
# kracker_jack
kracker_jack: usage
Cet
utilitaire
implémente
une
version modifiée de ‘monkey_jack’ Usage: kracker_jack -b <bssid> -v <victim mac> -C <channel number> [-c<channel number>]
-V <victims ip address> -s <server mac> -S <server ip address>
pour attaque un point d’accès
[ -i <interface name> ] [ -I <interface name> ] [ -e <essid> ]
configuré pour utiliser le protocole
-n <netmask> -B <broadcast address>
WAVEsec.
-a: number of disassociation frames to send (defaults to 7)
Destiné à palier aux manques du
-t: number of deauthentication frames to send (defaults to 0)
protocole WEP, WAVEsec autorise
-b: bssid, the mac address of the access point (e.g. 00:de:ad:be:ef:00)
-v: victim mac address.
l’établissement d’un tunnel IPSec
-V: victim's ip address.
entre le client et un serveur interne,
-s: wavesec server mac address.
-S: wavesec server ip address.
les éléments requis étant échangés
-B: network broadcast address.
via DHCP durant l’inscription du
-n: netmask address.
-c: channel number (1-14) that the access point is on, defaults to current.
client.
-C: channel number (1-14) that we're going to move them to.
L’attaque mise en œuvre dans
-i: the name of the AirJack interface to use (defaults to aj0).
‘kracker_jack’ à pour objectif de
-I: the name of the interface to use (defaults to eth1).
-e: the essid of the AP.
forcer l’inscription de la clef publique
de l’agresseur après que le poste légitime ait été authentifié.
Pour conclure
Ce rapide panorama aura permis, nous l’espérons, d’informer le lecteur sur les problèmes réels actuellement posés par
les réseaux dits ‘sans fils’, et dans le cas présent, par les réseaux ‘IEEE 802.11b’. Fort heureusement, les principaux
acteurs dans ce domaine ont pris conscience de la nécessité de renforcer les mécanismes de protection, aidés en cela
par l’ampleur du marché commercial. Ainsi, la majorité des équipements récents offrent la possibilité d’utiliser WPA, le
successeur du protocole WEP dans l’attente de la finalisation de la norme ‘IEEE 802.11i’.
En attendant, les différents tests que nous avons pu mener confirment que seul un faible pourcentage de points
Page 56/57
Août 2003
d’accès implémentent les mesures de sécurité minimales, à savoir au moins l’activation de WEP en mode authentifié
en utilisant si possible des clefs partagées de 104 bits inscrites ‘manuellement’ et surtout un protocole sécurisé tel
IPSec sur la liaison établie.
Rappelons par ailleurs que, la plupart du temps, derrière un point d’accès détecté dans la rue se trouvera un particulier
qui n’aura pas de données sensibles mais qui n’aura pas non plus les compétences et les moyens pour sécuriser cet
accès. Celui-ci offrira pourtant une connectivité qu’un utilisateur illégitime pourra mettre à profit pour lancer d’autres
attaques en ayant la certitude de rester dans l’anonymat le plus complet.
http://www.drizzle.com/~aboba/IEEE/
http://grouper.ieee.org/groups/802/11/main.html
http://www.kismetwireless.net/
http://www.remote-exploit.org
http://airsnort.shmoo.com
http://802.11ninja.net/airjack
- The unofficial 802.11 security Webpage
- Informations générales sur 802.11
- Utilitaire ‘kismet”
- Utilitaire ‘Wellenreiter‘
- Utilitaire ‘Airsnort’
- Paquetage ‘Airjack’
Page 57/57

Veille Technologique Sécurité

Transcription

Documents pareils

Fiche du prestataire FranceServ HÃ©bergement

HEBERGEMENT WEB LUXEMBOURG

CV Version PDF - Na

Stage Ingénieur: Développement Logiciel Embarqué

http://www.ed-diamond.com http://www.gnulinuxmag.com http://www

BzTarot - Le site de Beuz