Rapport de Veille Technologique N

Transcription

Rapport de Veille Technologique N°18
Thème :
Edition :
Sécurité
Janvier - 14/01/00
DIFFUSION
Diffusion
INTERNE
EXTERNE
Validation
APOGEE Communication
Exemplaire de présentation
REDACTION
Rédigé par :
Bertrand VELLE
Le : 14/01/00
Visa :
Approuvé par :
Olivier CALEFF
Le :
Visa :
AVERTISSEMENT
Les informations fournies dans ce document ont été collectées et compilées à partir de
sources d'origines diverses et publiquement accessibles : mailing-lists, newsgroup, sites
Web, ...
Ces informations sont fournies pour ce qu'elles valent sans aucune garantie d'aucune sorte
vis à vis de l'exactitude, de la précision ou de la qualité de l'information. Les URL associées
à certains thèmes sont validées à la date de la rédaction de ce document.
Les symboles d’avertissement suivants seront utilisés :
Site dont la consultation est susceptible de générer directement ou indirectement,
une attaque sur l’équipement de consultation, voire faire encourir un risque sur le
système d’information associé.
Site susceptible d’héberger des informations ou des programmes dont l’utilisation
est illégale au titre de la Loi Française.
Par ailleurs, aucune garantie ne peut être apportée sur l'innocuité de ces sites, et en
particulier, sur la qualité des applets et autres ressources présentées au navigateur.
© APOGEE Communications - Tous droits réservés
Rapport de Veille
Technologique Sécurité
N°18
AU SOMMAIRE
1.
PRODUITS ET TECHNOLOGIES
1.1.
1.1.1.
2.
4
PRODUITS ..................................................................................................................................................................................................................... 4
AUTHENTIFICATION ................................................................................................................................................................................................. 4
PASSWORD DEFENDER ........................................................................................................................................................................................................................4
INFORMATION ET LÉGISLATION
2.1.
2.1.1.
2.1.2.
Diffusion
Restreinte
Démonstration
5
INFORMATION .............................................................................................................................................................................................................. 5
LITTÉRATURE .......................................................................................................................................................................................................... 5
INTERFACES NT NON DOCUMENTÉES .................................................................................................................................................................................................5
MÉCANISMES RPC SOUS NT ...............................................................................................................................................................................................................5
PKI 6
PKI FORUM .........................................................................................................................................................................................................................................6
2.2.
2.2.1.
LEGISLATION ............................................................................................................................................................................................................... 7
CRYPTOGRAPHIE ...................................................................................................................................................................................................... 7
2.3.
2.4.
2.5.
ALLIANCES ................................................................................................................................................................................................................... 9
LOGICIELS ET SERVICES DE BASE .............................................................................................................................................................................. 10
LOGICIELS DE SÉCURITÉ DU DOMAINE PUBLIC ......................................................................................................................................................... 11
3.
USA - OUVERTURE DE LA RÉGLEMENTATION CONCERNANT L’EXPORT .............................................................................................................................................7
ANALYSE DE RÉSEAU ET DE DATAGRAMMES ....................................................................................................................................................................................11
CONTRÔLE D'ACCÈS ..........................................................................................................................................................................................................................11
ANALYSE DE JOURNAUX ...................................................................................................................................................................................................................11
GÉNÉRATEURS DE DATAGRAMMES ...................................................................................................................................................................................................11
CONTRÔLE D'INTÉGRITÉ....................................................................................................................................................................................................................12
SCANNERS .........................................................................................................................................................................................................................................12
DÉTECTION D'INTRUSION / IDS .........................................................................................................................................................................................................12
GARDES-BARRIÈRES / FIREWALLS ....................................................................................................................................................................................................12
RÉSEAUX PRIVÉS VIRTUELS / VPN ...................................................................................................................................................................................................13
NORMES ET PROTOCOLES
3.1.
3.1.1.
3.1.2.
3.2.
3.2.1.
3.2.2.
4.
14
PUBLICATIONS ........................................................................................................................................................................................................... 14
RFC ....................................................................................................................................................................................................................... 14
RFC TRAITANT DE LA SÉCURITÉ .......................................................................................................................................................................................................14
AUTRES RFC .....................................................................................................................................................................................................................................14
IETF ...................................................................................................................................................................................................................... 14
NOUVEAUX DRAFTS TRAITANT DE LA SÉCURITÉ ..............................................................................................................................................................................14
MISE À JOUR DE DRAFTS TRAITANT DE LA SÉCURITÉ .......................................................................................................................................................................14
DRAFTS TRAITANT DE DOMAINES CONNEXES À LA SÉCURITÉ...........................................................................................................................................................15
COMMENTAIRES ......................................................................................................................................................................................................... 15
RFC ....................................................................................................................................................................................................................... 15
RFC 2725
RFC 2726
- ROUTING POLICY SYSTEM SECURITY ..........................................................................................................................15
- PGP AUTHENTICATION FOR RIPE DATABASE UPDATES .............................................................................................15
IETF ...................................................................................................................................................................................................................... 17
DRAFT-SMART-SEC-MODEL-00.TXT
DRAFT-IETF-SMIME-SECLABEL-00.TXT
- BASIC INTERNET SECURITY MODEL ...........................................................................................................................17
- IMPLEMENTING COMPANY CLASSIFICATION POLICY W. S/MIME SECURITY LABEL..................................................17
ALERTES ET ATTAQUES
18
4.1.
4.1.1.
4.1.2.
4.1.3.
4.1.4.
4.1.5.
4.2.
4.2.1.
A
A
ALLLEEERRRTTTEEESSS.................................................................................................................................................................................................................... 18
GUIDE DE LECTURE DES AVIS ................................................................................................................................................................................. 18
SYNTHÈSE DES AVIS PUBLIÉS ................................................................................................................................................................................ 19
AVIS OFFICIELS ...................................................................................................................................................................................................... 20
ALERTES NON CONFIRMÉES .................................................................................................................................................................................. 26
BULLETINS D’INFORMATION .................................................................................................................................................................................. 30
ATTAQUES .................................................................................................................................................................................................................. 32
OUTILS ................................................................................................................................................................................................................... 32
4.2.2.
ATTAQUES .............................................................................................................................................................................................................. 33
COMPARTMENT .................................................................................................................................................................................................................................32
PALM CRACK 1.1...............................................................................................................................................................................................................................32
ANTI IDS...........................................................................................................................................................................................................................................33
LKM ET SLKM .................................................................................................................................................................................................................................34
SUBSEVEN 2.1 GOLD EDITION .........................................................................................................................................................................................................34
C2000.8/BVEL
Janvier - 14/01/00
Page - 2 © APOGEE Communications - Tous droits réservés
Rapport de Veille
N°18
Diffusion
Restreinte
Démonstration
Le mot de la « Rédaction »
Un rapide bilan du passage au 01/01/19100 et/ou 01/01/192000 …
Fallait-il faire tant d’efforts pour ce fameux dernier réveillon avant la soi-disant
Apocalypse ?
Certains sont soulagés, d’autres déçus : il n’y a pas eu les grandes attaques annoncées.
- Tant mieux, car la tension était montée d’un cran avec la publication de plusieurs codes
d’attaques, d’avis et de patches jusqu’au dernier moment et les tous derniers moyens de
protections n’étaient pas toujours en place.
- Tant pis, car les procédures étaient (enfin) prêtes pour réagir face aux attaques à contrer.
Ce qui est certain, c’est que la première étape de la sécurité, la sensibilisation, est une chose
acquise. Quant aux utilisateurs et aux informaticiens, ils peuvent maintenant continuer à
travailler sur des bases saines :
Les versions des systèmes et des applications sont à jour, l’utilisation des outils de gestion de
parc presque établie, et … des procédures et des embryons de politiques de sécurité sont
maintenant définis.
Des ébauches d’analyse des risques ont été effectuées, les entreprises ont analysé les
composantes du système d’information et défini un classement par criticité pour la continuité
du service.
Des procédures de tests et de mises en opérationnel existent désormais dans les entreprises
ne s’étant pas encore intéressées à cette problématique.
Après avoir travaillé sur l’organisation et la logistique, … voici un nouveau numéro du
Mensuel de Veille dans lequel vous devriez trouver de quoi faire : les nouveaux
problèmes techniques, correctifs et attaques, sont nombreux en fin de mois.
Meilleurs vœux de la Rédaction pour cette première année après l’Apocalypse.
Pour tout renseignement complémentaire, éventuelles remarques ou suggestions, vous pouvez nous contacter par mail à l’adresse de
courrier électronique suivante : [email protected]
C2000.8/BVEL
Janvier - 14/01/00
Rapport de Veille
N°18
1.
Diffusion
Restreinte
Démonstration
P RRO
OD
DU
UIIT
TS
SE
ET
T TE
EC
CH
HN
NO
OLLO
OG
GIIE
ES
S
P
PRRO
OD
DU
UIITTS
S
1.1.
Authentification
1.1.1.
P
D
R
O
W
P
D
DD
RD
OR
WO
PAAASSSSSSW
DEEEFFFEEENNNDDDEEERRR
•
Objet
La société Rainbow Diamond propose ‘Password Defender’, un outil destiné à superviser en temps réel la robustesse des
mots de passe NT et la conformité de ceux-ci à la politique de sécurité en vigueur dans la société.
•
Description
Password Defender utilise deux stratégies complémentaires pour mener à bien la supervision des mots de passe :
- Installé en tant que filtre dans la chaîne de traitement des requêtes de changement des mots de passe, Password
Defender est à même d’intercepter le nouveau de passe et de le valider avant sa prise en compte par le système. Dans
ce mode, Password Defender permet de garantir la conformité des mots de passe à la politique de sécurité : forme,
longueur, présence dans une liste noire ou un dictionnaire. Password Defender vient alors compléter le filtre
‘PASSFILT.DLL’ proposé par défaut sous Windows/NT.
- Installé en tant que service NT, Password Defender utilise les cycles CPU d’attente pour appliquer une stratégie
d’attaque en force des mots de passe existants, technique déjà mise à profit par les outils d’attaques tels que
L0phtCrack.
Plusieurs modes de réponse peuvent être activés lorsqu’un mot de passe n’a pas passé les critères de validation :
invalidation du compte, mise en liste noire, forçage d’un changement à la prochaine connexion, … L’éditeur précise que
seules les valeurs condensées (hash code) des mots de passe sont mémorisées dans les fichiers de configuration de
l’outil. Ceci renforce le niveau de sécurité en cas de compromission du système mais conduit à restreindre l’ergonomie de
certaines interfaces, notamment l’interface de saisie des mots de passe en liste noire. En effet, les valeurs
précédemment entrées ne peuvent être affichées, le condensé mémorisé étant non inversible !
Ce produit vient se positionner sur un créneau commercial pertinent, celui des outils de contrôle minimalistes et
performants venant en complément des outils proposés par Microsoft.
•
Complément d’information
Password Defender
C2000.8/BVEL
http://www.brd.ie/ntsecurity/
Janvier - 14/01/00
Rapport de Veille
N°18
2.
Diffusion
Restreinte
Démonstration
I NNFFO
OR
RM
MA
AT
TIIO
ON
NE
ET
T LE
EG
GIIS
SLLA
AT
TIIO
ON
N
IINNFFO
OR
RM
MA
ATTIIO
ON
N
2.1.
L itté r a tu r e
2.1.1.
IIINNNTTTEEERRRFFFAAACCCEEESSSN
S
E
E
N
E
M
N
T
S
ES
EE
NTTTE
EN
ME
NT
T NNNOOONNNDDDOOOCCCUUUM
•
Objet
‘Undocumented Windows NT Programming’ pourrait devenir la nouvelle référence en matière de hacking de
l’environnement NT.
•
Description
Reprenant le filon ouvert par le désormais célèbre ‘Undocumented Windows’, cet ouvrage dont certains extraits peuvent
être lus sur l’Internet dévoile les interfaces non documentées (API) du système NT. Force est de constater que de
nombreuses fonctions présentes dans le noyau restent inaccessibles par le biais des interfaces officielles regroupées
sous l’appellation ‘Win32 API’.
Si la majorité des attaques perpétrées envers le système NT portent sur de simples erreurs de configuration ou bogues
de conception, les techniques utilisées pour exploiter les débordements de buffers mais aussi pour court-circuiter
certains mécanismes de protection nécessitent une excellente connaissance des internes du système.
Jusqu’alors, trois grandes sources d’informations pouvaient être exploitées :
- Les articles publiés dans certaines revues ciblées ‘développement’ dont MSJ (Microsoft System Journal),
- Les structures de données définies dans les fichiers d’en-tête livrés avec les versions ‘développement’ du système,
- Les informations acquises par l’analyse détaillée du fonctionnement du système au moyen d’outils tels que SoftIce.
Ce livre adresse un large public, celui des développeurs, des curieux mais aussi des hackers et des responsables de
projet ayant à prendre en compte l’aspect sécuritaire.
•
Undocumented Windows Programming
http://www.cybermedia.co.in/cspl21/Undoc/techdet.htm
M
S
E
M
M
R
N
P
T
C
SR
ES
ME
SM
IS
MEEECCCAAANNNIIS
RP
NT
PC
T
C SSSOOOUUUSSSN
•
Objet
Publié chez MacMillan, ‘DCE/RPC over SMB: Samba and Windows NT Domain Internals’ est l’un des meilleurs ouvrages
traitant de l’implémentation des mécanismes RPC sur le protocole SMB (Server Message Block).
•
Description
L’architecture de communication déployée par Microsoft autour de ses produits Windows, et intégrée dans la
technologie DCOM/OLE, repose quasiment exclusivement sur l’appel de procédures distantes (RPC) encapsulées dans le
protocole de communication SMB.
La parfaite compréhension des mécanismes mis en jeu est essentielle à quiconque souhaite déployer, interconnecter ou
sécuriser une infrastructure NT. Cependant, la documentation disponible jusqu’à ce jour restait muette sur certains
sujets pourtant de première importance:
- descriptions et spécificités des différentes variations des mécanismes d’authentification NTLMv1, NTLMv2,
- format et techniques de mise à jour de la base de sécurité NT (la SAM), …
Luke Leighton, l’auteur de cet ouvrage, fut l’un des membres de l’équipe ayant développé SAMBA et travaille
actuellement pour la société ISS.
•
DCE/RPC over SMB
C2000.8/BVEL
http://www.amazon.com/exec/obidos/ts/bookreviews/1578701503/ref=pm_dp_ln_b_1/104-7212465-1201202
Janvier - 14/01/00
Rapport de Veille
N°18
Diffusion
Restreinte
Démonstration
PKI
2.1.2.
P
M
P
K
F
M
PK
KIII F
FOOORRRUUUM
•
Objet
Microsoft vient d’annoncer la création du ‘PKI Forum’ destiné à rassembler les principaux éditeurs et fournisseurs de
PKI.
•
Description
Fondé dans l’optique d’accélérer l’adoption d’une technologie commune et interopérable, le PKI Forum regroupe à ce jour
les sociétés suivantes:
- Fondateurs :
Baltimore Technologies, Entrust Technologies, IBM, Microsoft, RSA
- Membres principaux: Xcert International, Chrysalis-ITS, Jaws Technologies
- Membres associés :
Cisco,
SSE Ltd, Hewlett-Packard, Racal Guardata, CertifiedTime.com, FundSERV, Rainbow
Technologies Inc., Siemens AG, SECUDE GmbH, NETLEXIS Ltd., Gemplus Corporation,
Intelispan
ValiCert
Deux groupes de travail d’ors et déjà constitués se réuniront à l’occasion de la conférence inaugurale qui se tiendra les
6, 7 et 8 mars en Californie.
- Le Business Working Group est chargé d’établir les besoins des 4 grandes catégories identifiées d’utilisateurs : les
développeurs, les fournisseurs d’accès et de service, les clients (il est étonnant qu’aucune classification orientée
métiers n’ait été retenue).
- Le Technical Working Group est responsable de la spécification des profils d’interopérabilité requis par les
contraintes d’utilisation des PKI dans les applications commerciales et assurera le lien avec les organismes de
normalisation. La mise en place de démonstrateurs prouvant l’interopérabilité des différents systèmes de PKI incombe
à ce groupe.
Piloté par le marché et les principaux éditeurs, ce forum ne pourra prétendre à une totale impartialité. La constitution
d’un tel groupe d’intérêt reste cependant la seule voie susceptible d’accélérer la convergence des infrastructures et
systèmes de PKI.
- Membres auditeurs:
•
PKI Forum
C2000.8/BVEL
http://www.pkiforum.org
Janvier - 14/01/00
Rapport de Veille
N°18
Diffusion
Restreinte
Démonstration
LLEEG
GIIS
SLLA
ATTIIO
ON
N
2.2.
Cryptographie
2.2.1.
U
N
A
N
R
E
C
N
O
C
N
A
N
E
M
R
O
P
X
E
U
S
A
O
NTTTLLL’’’E
AN
NA
RN
ER
CE
NC
ON
CO
NC
ON
IO
ATTTIIO
NTTTA
EN
ME
RTTT
OR
PO
XP
US
EX
SA
A --- O
OUUUVVVEEERRRTTTUUURRREEEDDDEEELLLAAARRREEEGGGLLLEEEM
•
Objet
Le 14 Janvier, la directive concernant l’allégement des restrictions d’exportation des matériels cryptographiques en
dehors des USA est entrée en vigueur.
•
Description
Les nouvelles directives concernant l'exportation des matériels de cryptographie en dehors du territoire Américain ont
été publiées par le DOC (Département du Commerce) le 14 Janvier et rendues immédiatement applicables. Sans rentrer
dans le détail d'un texte complexe, ces règles simplifient les démarches d'exportation des produits de chiffrement
utilisant un algorithme de 64 bits et de certains produits de gestion de 512 bits.
Cette libéralisation ne s'applique pas aux pays supposés aider les organisations terroristes : Cuba, Iran, Iraq, Libye,
Corée du Nord, Soudan et Syrie.
Le jour même, le site alternatif ‘cryptome.org’ mettait en ligne les sources des produits PGPFreeWare, puis de Kerberos
en annoncant vouloir ainsi tester la réaction du gouvernement Américain et la validité de la mise en application de la
nouvelle réglementation.
Rappelons toutefois que si l’autorisation d’exportation d’un matériel ou logiciel de cryptographie peut être accordé par le
pays d’origine, le droit d’importation ou d’utilisation reste la prérogative du pays d’appartenance de l’utilisateur final !
•
Directives du DOC
C2000.8/BVEL
http://frwebgate.access.gpo.gov
Janvier - 14/01/00
Rapport de Veille
N°18
C2000.8/BVEL
Janvier - 14/01/00
Diffusion
Restreinte
Démonstration
Rapport de Veille Technologique
Sécurité
N°18
2.3.
Diffusion
Restreinte
Démonstration
A
ALLLLIIAANNCCEESS
Les différentes alliances - rachats, prises de participation, accords technologiques, … - sont récapitulées au moyen d’un synoptique régulièrement mis à jour. Baltimore a acquis GTE's
CyberTrust à la mi-janvier.
Pare-Feu
Anti-Virus
Audit
SSO
PKI
Chiffrement
Memco
PGP
01/98
06/99
Janvier - 14/01/00
RSA Data
Sécurité
01/00
PKI
Baltimore
GTE
CyberTrust
04/99
AutoSecure - Memco
Sec. Dynamics
Boks
Platinum
04/99
PassGo SSO
RSA
PassGo
10/98
01/99
NetProwler
AXENT
March
Technologie
Internet
Technologie
02/98
NetRanger - NetSo&nar
06/98
Ballista
ISS
WheelGroup
Secure
Networking
08/99
06/98
NAI
Netrex
Dr Salomon
C2000.8/BVEL
06/97
02/98
Eagle
Equipements Réseau
McAfee
Raptor
02/98
Gauntlet
08/99
Altavista Firewall & Tunnel
TIS
12/97
Centri
AltaVista
Global
Intranet
CISCO
CA
Systèmes et Applications
Sécurité
N°18
2.4.
Diffusion
Restreinte
Démonstration
LLO
OG
GIIC
CIIE
ELLS
SE
ETT S
SEERRVVIICCEESS DDEE BBAASSEE
Les dernières versions disponibles des principaux logiciels du Domaine Public sont rappelées dans le tableau suivant. Nous conseillons d’assurer rapidement la mise à jour de ces versions,
après qualification préalable sur une plate-forme dédiée.
Nom
Apache
Fonction
Serveur WEB
Dernière Version officielle
1.3.9
au 01/08/1999
Bind
Serveur DNS
8.2.2p5
au 12/11/1999
Imap
Serveur IMAP
4.7
au 27/09/1999
4 mois
Correction de problèmes
http://www.washington.edu/imap/
INN
Gestionnaire de News
2.2.2
au 13/12/1999
0 mois
Problèmes Y2K
http://www.isc.org/products/INN/
OpenLdap
Annuaire LDAP
1.2.8
au 16/12/1999
0 mois
Nouvelles Fonctionnalités & Y2K
http://www.openldap.org/
Majordomo Gestion de listes de diffusion
1.94.5
au 15/01/1999
0 mois
Problèmes de sécurité
http://www.greatcircle.com/majordomo/
NTP
Serveur de Temps
Langage interprété
au 26/04/1998
au 07/01/2000
au 28/03/1999
Php3
Langage de scripting WEB
Pop
Serveur POP/APOP
Procmail
Traitement des Email
NTP Version 3 Export
NTP Version 4
Nouvelles Fonctionnalités
Version expérimentale
Version béta public
Version stable
http://www.eecis.udel.edu/~ntp/
Perl
3_5.93e
4.0.98m
5.005_03
5.005_63
3.013
4.0b3
2.53
3.0b30
3.14
Sendmail
Serveur SMTP
http://www.sendmail.org
SmartList
Correction de bogues de sécurité
Version béta public
au
au
au
au
au
01/01/2000
01/01/2000
14/07/1998
25/01/2000
22/11/1999
Ancienneté
Apport de la dernière version
7 mois
Portage WIN32
Correction de bogues de sécurité
3 mois
Problèmes majeurs de sécurité
22
0
12
2
1
1
18
0
2
mois
mois
mois
mois
mois
mois
mois
mois
mois
Références
http://www.apache.org
http://www.isc.org/products/BIND/
http://www.perl.com
http://www.php.net/
http://www.eudora.com/qpopper/index.html
ftp://ftp.informatik.rwth-aachen.de/pub/packages/procmail/
Gestionnaire de listes de diffusion
8.9.3
au 04/02/1999
8.10.0b10 au 30/12/1999
3.13
au 31/03/1999
12 mois
0 mois
11 mois
Squid
Cache WEB
2.3stable1 au 10/01/2000
0 mois
http://squid.nlanr.net/
Wu-Ftp
Serveur FTP
2.6.0
4 mois
Vulnérabilités de sécurité
http://www.wu-ftpd.org
C2000.8/BVEL
au 10/10/1999
Janvier - 14/01/00
ftp://ftp.informatik.rwth-aachen.de/pub/packages/procmail/
Sécurité
N°18
2.5.
Diffusion
Restreinte
Démonstration
LLO
OG
GIIC
CIIE
ELLS
SD
DE
ES
SEECCUURRIITTEE DDUU D
DO
OM
MA
AIIN
NE
EP
PUUBBLLIICC
Une liste, non exhaustive, des produits et logiciels de sécurité du domaine public (licence GNU GPL) est proposée dans les tableaux suivants. Cette liste sera régulièrement mise à jour.
A
S
E
M
M
A
S
ES
ME
MM
ANNNAAALLLYYYSSSEEEDDDEEERRREEESSSEEEAAAUUUEEETTTDDDEEEDDDAAATTTAAAGGGRRRAAAM
Nom
IP Traf
Big Brother
Ethereal
Cheops
Fonction
Statistiques IP
Polleur/visualisateur snmp
Analyseur multi-protocole
Interface visualisation
2.1.1
au 14/11/1999
1.3a
au 11/11/1999
0.8.1 au 09/01/2000
0.5.0
Ancienneté
3 mois
3 mois
2 mois
Références
http://cebu.mozcom.com/riker/iptraf/
http://maclawran.ca/bb-dnld/new-dnld.html
ftp://ethereal.zing.org/pub/ethereal/
http://www.marko.net/cheops/
7.6
2.1.8.8p6 au 03/01/2000
Ancienneté
Références
ftp://ftp.cert.org/pub/tools/tcp_wrappers/tcp_wrappers_7.6.tar.gz
http://synack.net/xinetd/
C
C
A
COOONNNTTTRRROOOLLLEEEDDD'''A
ACCCCCCEEESSS
Nom
TCP Wrapper
XinetD
Fonction
Contrôle d’accès services TCP
Inetd amélioré
0 mois
A
A
ANNNAAALLLYYYSSSEEEDDDEEEJJJOOOUUURRRNNNAAAUUUXXX
Nom
Autobuse
Analog
Fonction
Analyse syslog
Analyse web apache
1.8
au 07/02/1999
4.1
au 17/12/1999
Ancienneté
12 mois
1 mois
Références
http://www.picante.com/~gtaylor/download/autobuse
http://www.statslab.cam.ac.uk/~sret1/analog/
1.6
au 21/09/1997
2.1a
au 17/09/1997
1.0.1
au 19/05/1997
1.2
au 13/02/1996
Ancienneté
4 mois
28 mois
9 mois
46 mois
Références
http://www.anzen.com/research/nidsbench/fragrouter-1.6.tar.gz
ftp://coombs.anu.edu.au/pub/net/misc/ipsend2.0.tar.gz
http://www.anzen.com/research/nidsbench/tcpreplay-1.0.1.tar.gz
http://sites.inka.de/sites/bigred/sw/udpprobe.txt
G
S
E
M
M
G
D
S
ES
ME
MM
GEEENNNEEERRRAAATTTEEEUUURRRSSSDDDEEED
DAAATTTAAAGGGRRRAAAM
Nom
FragRouter
IPSend
TcpReplay
UdpProbe
Fonction
Générateur de Fragmentation
Générateur Paquets IP
Générateur Session TCP
Générateur UDP
C2000.8/BVEL
Janvier - 14/01/00
Sécurité
N°18
Diffusion
Restreinte
Démonstration
C
C
COOONNNTTTRRROOOLLLEEEDDD'''IIINNNTTTEEEGGGRRRIITITTEEE
Nom
Tripwire
L6
Fonction
Intégrité Systèmes NT/UNIX
Intégrité Systèmes UNIX
2.2.1 au 15/12/1999
1.6
au 16/10/1998
Ancienneté
1 mois
16 mois
Références
http://www.tripwiresecurity.com/
http://www.pgci.ca/l6.html
Nom
Nessus
Saint
Sara
Fonction
Audit de vulnérabilité système
Audit de vulnérabilité réseau
0.99.4 au 14/01/2000
1.5b1 au 11/01/2000
2.1.3 au 15/12/1999
Ancienneté
0 mois
0 mois
1 mois
Références
http://www.nessus.org
http://wwdsilx.wwdsi.com/saint/
http://home.arc.com/wn.html
Satan
Tara (Tiger)
Trinux
Audit de vulnérabilité système
Boite à outils
1.1.1
2.2.6
0.62
(version LINUX 5.x, 6.x)
S
S
SCCCAAANNNNNNEEERRRSSS
au 11/04/1995
au 05/06/1999
au 09/08/1999
8 mois
7 mois
http://www.cs.ruu.nl/cert-uu/satan.html
http://home.arc.com/wn.html
http://www.trinux.org
D
D
N
N
S
U
R
N
D
D
S
D'''IIIN
ND
N/// IIID
ON
ON
IO
IO
SIIO
US
RU
DEEETTTEEECCCTTTIIO
NTTTR
DS
S
Nom
NFR
Shadow
Deception ToolKit
Fonction
Détection d’intrusion Système
Détection d’intrusion Réseau
‘Attrape-mouche’
2.0.4
au
04/1999
1.6
au
10/1999
990818 au 18/08/1999
Ancienneté
0.1.5
au 09/12/1999
3.0.2
au 18/05/1999
1.3.9
3.3.6 au 28/12/1999
Ancienneté
2 mois
9 mois
5 mois
Références
http://www.nfr.net
http://www.nswc.navy.mil/ISSEC/CID/
http://all.net/dtk/dtk.html
G
S
S
E
R
A
W
E
G
B
F
S/// F
S
ES
RE
ER
ALLLLLLS
IE
WA
EW
RE
GAAARRRDDDEEESSS---B
IR
BAAARRRRRRIIE
FIIR
Nom
Sinus for Linux
DrawBridge
IpChain
IpFilter
C2000.8/BVEL
OS
Linux
FreeBsd
Linux 2.0
Filtre de datagrammes
1 mois
Références
http://www.ifi.unizh.ch/ikm/SINUS/firewall/
http://drawbridge.tamu.edu/
http://www.rustcorp.com/linux/ipchains/
http://coombs.anu.edu.au/ipfilter/ip-filter.html
Janvier - 14/01/00
Sécurité
N°18
Diffusion
Restreinte
Démonstration
R
S
S
E
E
U
R
P
V
V
P
N
S/// V
SV
ELLLS
ES
UE
VE
IV
RTTTU
REEESSSEEEAAAUUUXXXP
PRRRIIV
VIIR
IR
VP
PN
N
Nom
CIPE
Fonction
LINUX CIPE
FreeS/Wann
LINUX IPSEC
1.0
au 14/04/99
9 mois
http://www.flora.org/freeswan/
OpenSSL
SSL
0.9.4
au 09/08/99
5 mois
http://www.openssl.org/
ModSSL
Intégration SSL dans apache
2.4.10 au 08/01/2000
0 mois
http://www.modssl.org
Photuris
Protocole de gestion des clefs
SSH
Shell sécurisé (SSH1)
OpenSSH
SSF
VPS
C2000.8/BVEL
Kernel Driver
1.3.0
au
Ancienneté
Références
http://sites.inka.de/sites/bigred/devel/cipe.html
04/02/98
21 mois
2.0.13
au 12/08/99
5 mois
http://www.ssh.fi/sshprotocols2/
Shell sécurisé (SSH1)
1.2.1
au 12/08/99
5 mois
Shell sécurisé autorisé (SSH1)
LINUX Tunnel IP
1.2.27.6 au 16/09/99
2.0b2
4 mois
http://www.openssh.org
http://info.in2p3.fr/secur/ssf/
http://www.physnet.uni-hamburg.de/provos/photuris/
http://www.strongcrypto.com/
Janvier - 14/01/00
Rapport de Veille
N°18
3.
3.1.
Diffusion
Restreinte
Démonstration
NO
OR
RM
ME
ES
SE
ET
T PR
RO
OT
TO
OC
CO
OLLE
ES
S
P
PUUBBLLIICCAATTIIO
ON
NS
S
RFC
3.1.1.
Durant la période du 15 Décembre au 15 Janvier, 9 RFC ont été publiés, dont 2 ayant trait au domaine de la
sécurité.
R
R
F
C
T
RF
FC
CT
TRRRAAAIITITTAAANNNTTTDDDEEELLLAAASSSEEECCCUUURRRIITITTEEE
Thème
RIPE
RIPE
Numéro
2727
2739
2725
2726
Date
Status
Titre
Non publié
12/99
12/99
PStd
PStd
Les abréviations suivantes sont utilisées :
PStd : Proposition de standard
Non publié
Routing Policy System Security
PGP Authentication for RIPE Database Updates
Std : Draft Standard
Exp : Expérimental
Info : Pour information
Bcp : Procédure d’utilisation optimale
A
A
R
F
C
AUUUTTTRRREEESSSR
RF
FC
C
Thème
IP
ISPF
MIB
NHRP
RTP
Numéro
2738
Date
12/99
Status
PStd
Titre
Corrections to "A Syntax for Describing Media Feature Sets".
2732
2740
2737
2735
2733
2736
12/99
12/99
12/99
12/99
12/99
12/99
PStd
PStd
PStd
PStd
PStd
Bcp
Format for Literal IPv6 Addresses in URL's
OSPF for IPv6
Entity MIB (Version 2)
NHRP Support for Virtual Private Networks
An RTP Payload Format for Generic Forward Error Correction
Guidelines for Writers of RTP Payload Format Specifications
Les abréviations suivantes sont utilisées :
PStd : Proposition de standard
Std : Draft Standard
Exp : Expérimental
Info : Pour information
Bcp : Procédure d’utilisation optimale
IETF
3.1.2.
Durant la période du 15 Décembre au 15 Janvier, 148 DRAFTS ont été publiés, ou mis à jour, dont 31 ayant
directement trait au domaine de la sécurité.
N
N
D
S
NOOOUUUVVVEEEAAAUUUXXXD
DRRRAAAFFFTTTSSSTTTRRRAAAIITITTAAANNNTTTDDDEEELLLAAAS
SEEECCCUUURRRIITITTEEE
Thème
DNS
GSS
LDAP
PGP
SEC
Nom du draft
draft-ietf-dnsind-zone-status-00.txt
draft-sgundave-gssauth-cops-00.txt
draft-wahl-ldap-digest-example-00.txt
draft-zeilenga-ldap-authpasswd-00.txt
draft-zeilenga-ldap-passwd-exop-00.txt
draft-ietf-smime-seclabel-00.txt
draft-ietf-smime-symkeydist-00.txt
draft-ietf-openpgp-rfc2440bis-00.txt
draft-smart-sec-model-00.txt
Date
22/12
13/12
22/12
21/12
22/12
21/12
22/12
21/12
04/01
Titre
DNS Security Extension Clarification on Zone Status
COPS Extension for GSS-API based Authentication Support
An Example of DIGEST-MD5 Authentication within an LDAP server
LDAP Authentication Password Attribute
LDAP Password Modify Extended Operation
Impl. Company Classification Policy w. S/MIME Security Label
S/MIME Symmetric Key Distribution
OpenPGP Message Format
Basic Internet Security Model
TLS
draft-ietf-tls-openpgp-00.txt
16/12
Extensions to TLS for OpenPGP keys
Date
21/12
DIAMETER Base Protocol
MIME
Les documents à lire en priorité sont mentionnés en caractères gras
M
E
D
R
U
O
A
E
M
D
S
ED
DE
RD
UR
OU
AJJJO
EA
SE
MIIS
IS
DRRRAAAFFFTTTSSSTTTRRRAAAIITITTAAANNNTTTDDDEEELLLAAAS
Thème
DIAM
Nom du draft
draft-calhoun-diameter-12.txt
C2000.8/BVEL
Titre
Janvier - 14/01/00
Rapport de Veille
N°18
DNS
Diffusion
Restreinte
Démonstration
draft-calhoun-diameter-accounting-03.txt
draft-calhoun-diameter-mobileip-05.txt
21/12
21/12
DIAMETER Accounting Extension
DIAMETER Mobile IP Extensions
draft-calhoun-diameter-nasreq-01.txt
draft-calhoun-diameter-strong-crypto-01.txt
21/12
21/12
DIAMETER NASREQ Extensions
DIAMETER Strong Security Extension
draft-ietf-dnsind-sig-zero-01.txt
21/12
DNS Request and Transaction Signatures ( SIG(0)s )
draft-ietf-dnsind-tkey-03.txt
draft-ietf-dnsind-tsig-13.txt
21/12
21/12
Secret Key Establishment for DNS (TKEY RR)
Secret Key Transaction Authentication for DNS (TSIG)
draft-ietf-cat-gssv2-javabind-04.txt
draft-ietf-mobileip-challenge-08.txt
23/12
07/01
Generic Security Service API Version 2 : Java bindings
Mobile IP Challenge/Response Extensions
draft-ietf-mobileip-mn-nai-06.txt
draft-ietf-ipsec-isakmp-hybrid-auth-03.txt
draft-ietf-ipsec-openpgp-00.txt
draft-ietf-ipsec-pki-req-04.txt
06/01
22/12
07/01
14/12
Mobile IP Network Access Identifier Extension for IPv4
A Hybrid Authentication Mode for IKE
OpenPGP Key Usage in IKE
A PKIX Profile for IKE
LIPKEY
draft-jenkins-ipsec-rekeying-03.txt
draft-ietf-cat-lipkey-03.txt
06/01
21/12
IPSec Re-keying Issues
LIPKEY - A Low Infrastructure Public Key Mechanism Using SPKM
PKIX
RADIUS
draft-ietf-pkix-time-stamp-05.txt
draft-ietf-radius-radius-v2-03.txt
07/01
06/01
Internet X.509 Public Key Infrastructure Time Stamp Protocols
Remote Authentication Dial In User Service (RADIUS)
SNMP
TLS
draft-stjohns-snmpv3-dhkeychange-mib-02.txt
draft-ietf-tls-http-upgrade-05.txt
15/12
06/01
DH USM Key Mgmt Information Base and Textual Convention
Upgrading to TLS Within HTTP/1.1
XML
draft-ietf-xmldsig-core-03.txt
27/12
XML-Signature Core Syntax
GSS
IP
IPSEC
Les documents à lire en priorité sont mentionnés en caractères gras
D
A
A
S
E
X
E
N
N
O
C
S
E
A
M
D
S
AS
ALLLA
SA
ES
XE
EX
NE
NN
ON
CO
SC
ES
NE
IN
AIIN
MA
DRRRAAAFFFTTTSSSTTTRRRAAAIITITTAAANNNTTTDDDEEEDDDOOOM
Thème
DNS
Nom du draft
draft-ietf-dnsind-iana-dns-04.txt
Date
30/12
Titre
Domain Name System (DNS) IANA Considerations
DNS
draft-ietf-dnsop-hardie-shared-root-server-01.txt
22/12
GRE
IANA
draft-meyer-gre-update-02.txt
draft-bradner-iana-allocation-04.txt
06/01
07/01
IP
IP
draft-haberman-ipngwg-mcast-arch-00.txt
draft-terrell-logic-analy-bin-ip-spec-ipv7-ipv8-00.txt
10/01
10/01
LDAP
draft-ietf-ldapext-ldap-taxonomy-01.txt
17/12
Distributing Root or Authoritative Name Servers via Shared
Unicast Addresses
Generic Routing Encapsulation (GRE)
IANA Allocation Guidelines For Values In the Internet Protocol
and Related Headers
IP Version 6 Multicast Addressing Architecture
Logical Analysis of the Binary Representation and the IP
Specifications for the IPv7 and IPv8 Addressing Systems
A Taxonomoy of Methods for LDAP Clients Finding Servers
NFS
draft-ietf-nfsv4-03-00.txt
16/12
NFS version 4 Protocol
Les documents à lire en priorité sont mentionnés en caractères gras. Un fond de couleur indique les nouveaux Drafts.
3.2.
3.2.1.
C
CO
OM
MM
ME
EN
NTTA
AIIR
RE
ES
S
RFC
R
R
F
C
RF
FC
C 222777222555
--- R
G
Y
M
P
S
S
R
GP
NG
YS
MS
IN
CY
IC
POOOLLLIIC
SYYYSSSTTTEEEM
SEEECCCUUURRRIITITTYYY
ROOOUUUTTTIIN
Ce document résulte du passage du document ‘draft-ietf-rps-auth-04.txt ‘ à l’état de proposition de standard. Il propose un
modèle de sécurité destiné à garantir l’intégrité des données de routages maintenues dans les bases des différentes
organisations en charge de l’administration de l’Internet, tel le RIPE. Dans le modèle retenu, le maintien de l’intégrité résulte
de la mise en place d’un mécanisme d’authentification et d’autorisation.
Après une présentation de l’historique de la politique de gestion des bases de routages (PRDB) et du langage de description
associé (RPSL), ce RFC aborde la problématique de la mise en œuvre d’un nouveau modèle dans une infrastructure existante
mais aussi fortement dynamique. L’intérêt de ce document réside, non dans la description du modèle de sécurité, mais dans
l’analyse des contraintes induites par les différentes évolutions des politiques de routage successivement mises en œuvre
dans l’Internet.
R
R
F
C
RF
FC
C 222777222666
C2000.8/BVEL
--- P
R
O
N
A
R
U
P
E
D
P
G
P
A
RR
OR
NFFFO
ON
IO
ATTTIIO
CA
IC
RIIIP
UPPPDDDAAATTTEEESSS
PE
ED
DAAATTTAAABBBAAASSSEEEU
PG
GP
PA
AUUUTTTHHHEEENNNTTTIIC
Janvier - 14/01/00
Rapport de Veille
N°18
Diffusion
Restreinte
Démonstration
Venant en complément du RFC 2725, ce document décrit avec précision les aménagements à prendre en compte dans les
mécanismes de mise à jour des bases de données RIPE pour assurer une authentification forte de l’origine de la demande. A
ce jour, 2 mécanismes sont utilisés :
– authentification de la demande par l’adresse de messagerie du demandeur (mode ‘MAIL_FROM’),
- authentification de la demande par présentation d’un secret partagé transmis en clair dans le message (mode ‘CRYPT-PW’).
Les faiblesses de ces deux mécanismes sont évidentes, et les modifications des DNS de certains opérateurs effectuées
dernièrement au moyen d’ordres forgés de toute pièce en sont la preuve. Il est dés lors nécessaires d’assurer l’authenticité
et l’intégrité des requêtes de mise à jour. Ce document décrit la mise en place d’un mécanisme de signatures des requêtes
utilisant l’une ou l’autre des implémentations les plus courantes de PGP: PGP 2.0 et PGP 5.0.
L’aménagement proposé,
consistant en l’ajout de quelques attributs de description, permettra à quiconque de vérifier l’authenticité des
enregistrements maintenus par le RIPE mais aussi de garantir que ceux-ci ne pourront être mis à jour par que par les
personnes dûment autorisées. Un exemple d’enregistrement signé est proposé ci-après, les attributs spécifiques étant mis en
évidence :
mntner:
descr:
descr:
admin-c:
tech-c:
tech-c:
upd-to:
mnt-nfy:
auth:
remarks:
notify:
mnt-by:
changed:
source:
AS3244-MNT
BankNet, Budapest HU
Eastern European Internet Provider via own VSAT network
JZ38
JZ38
IR2-RIPE
[email protected]
[email protected]
PGPKEY-23F5CE35
This is the maintainer of all BankNet related objects
[email protected]
AS3244-MNT
[email protected] 19980525
RIPE
key-cert:
PGPKEY-23F5CE35
method:
PGP
owner:
Janos Zsako <[email protected]>
fingerpr:
B5 D0 96 D0 D0 D3 2B B2 B8 C2 5D 22 D4 F5 78 92
certif:
-----BEGIN PGP PUBLIC KEY BLOCK----Version: 2.6.2i
+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=w8xL
-----END PGP PUBLIC KEY BLOCK----remarks:
This is an example of PGP key certificate
mnt-by:
AS3244-MNT
changed:
[email protected] 19980525
source:
RIPE
C2000.8/BVEL
Janvier - 14/01/00
Rapport de Veille
N°18
3.2.2.
Diffusion
Restreinte
Démonstration
IETF
D
R
E
A
A
C
D
R
M
E
O
D
S
S
M
00000...TTTXXXTTT
RTTT---S
ELLL---0
AFFFTTT---S
AR
C---M
DE
RA
MA
EC
OD
DR
SM
SE
MO
--- B
E
N
R
E
N
S
M
B
ETTTS
NE
CIIIN
RN
IC
ER
NTTTE
SEEECCCUUURRRIITITTYYYM
MOOODDDEEELLL
BAAASSSIIC
Ce Draft est émis par un chercheur du CSIRO (Commonwealth Scientific and Industrial Research Organisation). L’auteur
considère qu’il est illusoire de chercher à sécuriser l’Internet sans disposer au préalable d’un modèle permettant de mettre
en évidence les interactions entre les différents acteurs présents dans cet environnement. Un modèle minimaliste est
proposé qui s’appuie sur les hypothèses suivantes :
- Le monde réel est constitué d’entités indépendantes ou hiérarchisées,
- Un programme peut être caractérisé par l’entité pour laquelle celui-ci s’exécute et celle contrôlant l’environnement
d’exécution,
- Les environnements sont constitués d’une hiérarchie de systèmes, basics et non administrés ou virtuels et controlés par
une entité,
- Les communications entre systèmes peuvent être modélisées sous la forme d’une succession de requêtes et d’assertions,
- Enfin, la sécurité peut s’intégrer dans les différentes couches réseaux et les données de sécurité transmises dans le flux
des données échangées.
Ce modèle met en exergue le principe de l’exécution d’une tâche sous le couvert d’une entité tierce (OBO ou On Behalf Of),
notion fondamentale dans une architecture distribuée et coopérative telle que l’Internet. Bien qu’incomplet car minimaliste, le
modèle proposé semble être parfaitement adapté à la logique d’utilisation et d’évolution de l’Internet pour laquelle les modèles
classiques hérités des exigences militaires ( Bell-Lapalluda - non déclassification de l’information) ou commerciales (Clark et
Wilson – primauté de la transaction bien formée) montrent leurs limites.
D
E
B
E
A
A
C
R
M
E
D
S
S
00000...TTTXXXTTT
ELLL---0
BE
E---S
AB
ME
AFFFTTT---IIE
IM
CLLLA
RA
ETTTFFF---S
MIIM
EC
DR
IE
SM
SE
--- IIIMMMPPPLLLEEEMMMEEENNNTTTIIN
C
C
P
S
M
M
E
S
G
O
M
P
A
N
Y
A
N
O
Y
W
IN
NG
GC
CO
OM
MP
PA
AN
NY
YC
CLLLAAASSSSSSIIFIFFIIC
IC
CA
ATTTIIO
IO
ON
NP
PO
OLLLIIC
IC
CY
YW
W... S
S///M
MIIIM
ME
ES
SEEECCCUUURRRIITITTYYYLLLAAABBBEEELLL
Ce Draft, qui a pour auteur un consultant de la société Ernst & Young, traite de l’utilisation de certaines étiquettes de
sécurité définies dans le format S/MIME à des fins de classification et de contrôle de la diffusion de l’information transmise
par le biais des messageries.
Le RFC 2634 décrit les services étendus de S/MIME, et en particulier, l’étiquette eSSSecurityLabel pouvant être
positionnée sur le contenu et/ou le corps chiffré d’un message et constituée des 4 attributs suivants :
- security-policy-identifier :
Identifiant de la politique de classification
- security-classification :
Niveau de classification
- privacy-mark :
Etiquette distinctive de la propriété
(optionnel, chaîne)
- security-categories :
Ensemble de catégorie de rattachement
(optionnel, choix d’OID)
(optionnel, entier)
Il est dès lors envisageable de transcrire une politique de classification propriétaire en dérivant et instanciant ses propres
attributs. Tout message transmis pourra alors être explicitement identifié et faire l’objet des traitements requis par la
politique de sécurité. A titre d’exemple pédagogique, ce draft intègre la définition des attributs appropriés à la transcription
de la politique de classification de trois grandes sociétés mondialement connues :
- Amoco :
Classification hiérarchisée portant sur la confidentialité (C) puis l’intégrité (I) :
Highly_Confidential :
Maximum, Medium,Minimum
Confidential :
Maximum, Medium,Minimum
General :
Maximum, Medium, Minimum
- Caterpillar :
Classification à 4 niveaux portant sur la confidentialité
- Whirlpool :
Classification à 3 niveaux portant sur la confidentialité
Red, Yellow, Green, Public
Confidential, Internal, Public
Ce document est intéressant car démontrant, exemples concrets à l’appui, qu’une véritable politique de contrôle de la
diffusion d’un message peut être mise en place. Cependant, ces mêmes exemples semblent mettre en évidence les limites du
principe adopté et notamment l’impossibilité d’exprimer une hiérarchisation complexe ou un regroupement de catégories par
le biais d’un attribut de type Entier. Il est à noter que l’encodage proposé dans le cas de la société AMOCO ne permet pas,
sauf erreur d’interprétation de notre part, d’exprimer la hiérarchisation à deux niveaux ! Enfin, notons que les clients
S/MIME actuels n’offrent toujours pas d’interface permettant d’intégrer simplement cette classification.
C2000.8/BVEL
Janvier - 14/01/00
Rapport de Veille
N°18
4.
4.1.
4.1.1.
Diffusion
Restreinte
Démonstration
A LLEERRTTEESS EETT A TTTTAAQ
QU
UE
ES
S
A
ALLEERRTTEESS
Guide de lecture des avis
La lecture des avis publiés par les différents organismes de surveillance ou par les constructeurs n’est pas toujours aisée. En
effet, les informations publiées peuvent être non seulement redondantes mais aussi transmises avec un retard conséquent par
certains organismes. Dès lors, deux alternatives de mise en forme de ces informations peuvent être envisagées :
Publier une synthèse des avis transmis durant la période de veille, en classant ceux-ci en fonction de l’origine de l’avis,
Publier une synthèse des avis transmis en classant ceux-ci en fonction des cibles.
La seconde alternative, pour séduisante quelle soit, ne peut être raisonnablement mise en œuvre étant donné l’actuelle diversité
des systèmes impactés. En conséquence, nous nous proposons de maintenir une synthèse des avis classée par organisme émetteur
de l’avis.
Afin de faciliter la lecture de ceux-ci, nous proposons un guide de lecture sous la forme de chartes synthétisant les
caractéristiques de chacun des sources d’information ainsi que les relations existant entre ces sources. Seules les organismes,
constructeurs ou éditeurs, disposant d’un service de notification officiel et publiquement accessible sont représentés. Ces
chartes seront régulièrement mises à jour.
Avis Spécifiques
Constructeurs
Réseaux
Systèmes
Avis Généraux
Editeurs
Systèmes
Indépendants
Editeurs
Hackers
Editeurs
3Com
Compaq
Linux
Microsoft
l0pht
NA (SNI)
Cisco
HP
FreeBSD
Netscape
rootshell
ISS
IBM
NetBSD
SGI
OpenBSD
SUN
Xfree86
Organismes
Autres
BugTraq
US
Autres
CERT
Aus-CERT
CIAC
Typologies des informations publiées
Publication de techniques et de programmes d’attaques
Détails des alertes, techniques et programmes
Synthèses générales, pointeurs sur les sites spécifiques
Notifications détaillées et correctifs techniques
L’analyse des avis peut être ainsi menée selon les trois stratégies suivantes :
Recherche d’informations générales et de tendances :
Maintenance des systèmes :
Compréhension et anticipation des menaces :
Lecture des avis du CERT, du CIAC et du CERT Australien,
Lecture des avis constructeurs associés
Lecture des avis des groupes indépendants
Aus-CERT
CERT
3Com
Compaq
Microsoft
Cisco
HP
Netscape
BugTraq
rootshell
NA (SNI)
NetBSD
l0pht
ISS
OpenBSD
IBM
Xfree86
SGI
Linux
SUN
FreeBSD
CIAC
C2000.8/BVEL
Janvier - 14/01/00
Sécurité
N°18
4.1.2.
Diffusion
Restreinte
Démonstration
Synthèse des Avis Publiés
Le tableau suivant propose un récapitulatif du nombre d’avis publiés pour la période courante, l’année en cours et l’année précédente. Ces informations sont mises à jour à la fin de
chaque période de veille. L’attention du lecteur est attirée sur le fait que certains avis sont repris et rediffusés par les différents organismes. Ces chiffres ne sont donc
représentatifs qu’en terme de tendance et d’évolution.
Organisme
CERT-CS
CERT-CA
CERT-IN
CIAC
Constructeurs
3COM
Cisco
Compaq
HP
IBM
Intel
SGI
Sun
Editeurs
Allaire
Lotus
Microsoft
Netscape
Novell
Sco
Symantec
Trend
Unix libres
Linux (comm.)
Linux RedHat
Linux Debian
Linux SUSE
BSD
Autres
Bugtraq
L0pht
RootShell
X-Force
C2000.8/BVEL
Période Cumul 2000 Cumul 1999
11
11
76
1
1
4
5
5
13
1
1
-4
4
59
9
9
41
0
0
1
3
3
6
0
0
1
4
4
14
0
0
3
1
1
-0
0
6
1
1
10
14
14
55
3
3
-0
0
-8
8
55
0
0
-0
0
-1
1
-1
1
-1
1
-5
5
54
1
1
31
2
2
-0
0
-2
2
-0
0
23
17
17
36
15
15
-1
1
10
1
1
0
0
0
26
Cumul 2000 - Constructeurs
Intel
11%
IBM
0%
SGI
0%
Cumul 1999 - Constructeurs
Sun
11%
IBM Intel
7% 0%
3COM
0%
Cisco
33%
HP
45%
Sun
24%
HP
35%
Compaq
2%
Compaq
0%
Cisco
15%
3COM
2%
Cumul 1999 - Editeurs
Cumul 2000 - Editeurs
Netscape
0%
Novell
0%
Microsoft
58%
IBM Intel
7% 0%
Sco
7%
Symantec
7%
Lotus
0%
SGI
15%
Allaire
21%
Trend
7%
Janvier - 14/01/00
SGI
15%
Sun
24%
HP
35%
Compaq
2%
Cisco
15%
3COM
2%
Sécurité
N°18
4.1.3.
Diffusion
Restreinte
Démonstration
Avis officiels
Le tableau suivant présente une synthèse des avis de sécurité émis par un organisme officiel et confirmé par l’éditeur du produit ou le constructeur de l’équipement. Ces informations
peuvent être considérées comme fiables et authentifiées. En conséquence, les correctifs proposés doivent immédiatement être appliqués.
Fournisseur Titre
ou Produit
Référence
ALLAIRE
URL
Date
Vulnérabilité dans Spectra 1.0
ASB00-01
04/01
Niveau
Elevé
Déni de service dans Spectra 1.0
ASB00-02
04/01 Moyenne
Origine
Fichier de
configuration
Mécanisme
d'indexation
Exposition d'informations sensibles sous ColdFusion 4.X
ASB00-03
04/01 Critique Configuration du
mécanisme de cache
C2000.8/BVEL
Problème
Dommages
Plateforme
http://www.allaire.com/handlers/index.cfm?ID=13976&Method=Full
Ligne de
Visibilité du contenu des
configuration
sections non autorisées à
Allaire Spectra 1.0
manquante
l'utilisateur
Activation externe
Consommation excessive de
Allaire Spectra 1.0
via une URL non
ressources CPU par appels
protégée
réitérés du mécanisme
d'indexation
Stockage des
Exposition de données
Allaire ColdFusion 4.x
données de travail
potentiellement sensibles
dans un répertoire
public
Janvier - 14/01/00
Correction
La ligne suivante doit être rajoutée au
fichier 'application.cfm' localisé sous
webroot/Allaire/spectra/webtop/
<cfset
request.cfa.security.bIsSecure=1>
La répertoire
webroot/allaire/spectra/install/
contenant les outils de configuration
nécessaires à l'installation du serveur
doit être sécurisé, déplacé ou détruit.
Une nouvelle version du fichier de
gestion du cache est disponible le site
ALLAIRE.
Sécurité
N°18
Vulnérabilités sur le Cisco Cache Engine
CISCO
16/12 Critique
CSCdm63310
CSCdp20180
CSCdj56294
CIAC
K-012
CISCO
Déni de service sur le PIX 515
CSCdp32325
31/12
HOTMAIL
Elevé
Mécanismes de
sécurité et de
contrôle
Interface ethernet
externe
http://www.cisco.com/warp/public/707/cacheauth.shtml
- Insuffisance du
- Pollution et altération données Cisco Cache Engine 2050,
contrôle de source
du cache
Versions 1.0 à 1.7.6
- Erreur dans le
- Accès aux informations de
Cisco Cache Engine 500,
mécanisme
performance
Versions 2.0.1 à 2.0.2
d'authentification
- identifiant/mot de
- Altération de la configuration
passe vide valide
du produit
http://www.cisco.com/warp/public/770/fn9871.shtml
Tenu en charge
Déni de service nécessitant la
réinitialisation du PIX
PIX 515-*
Diffusion
Restreinte
Démonstration
Cisco recommande une mise à niveau
systématique vers la version 2.0.3 pour
les plate-formes supportant celle-ci
(tous les chassis à l'exception du
chassis CE-2050).
Le problème est en cours
d'investigation mais la mise à jour en
version 4.4(4) ou 5.0(3) est
recommandée.
Problème de gestion des dates par le service Kerberos
CSCdp60101
01/01 Elevé
Service
d'authentification
Kerberos
http://www.cisco.com/warp/public/770/fn10111.shtml
Refus d'authentification
Tout produit CISCO
Calcul erroné des
utilisant le service
dates d'expiration
Kerberos
des credentials sur
Janvier et Février
Vulnérabilité JavaScrip IMG LOWSRC
Georgi Guninski
02/01 Critique
balise IMG
LOWSRC="javascript
:...."
http://www.nat.bg/~joro
Absence de filtrage
Exécution du code lors du
du code javascript
traitement d'un message HTML
dans la balise
piégé
Navigateurs IE5, IE4 et
Communicator 4.x
Désactiver JavaScript sur les
navigateurs
balise IMG
DYNRC="javascript:..
.."
Absence de filtrage
du code javascript
dans la balise
piégé
Navigateurs IE5, IE4 et
Communicator 4.x
navigateurs
Vulnérabilité JavaScript directive de style "@import url
Georgi Guninski
06/01 Critique directive de style
@importurl
Absence de filtrage
piégé
Navigateurs IE accédant
à hotmail
navigateurs
Vulnérabilité JavaScript ‘jAvascript’
Georgi Guninski
11/01
Critique Caractères
d'échappement dans
les URL
Erreur de filtrage
Exécution de codes JavaScript
normalement filtrés, accès aux
boites à lettre de l'utilisateur,
usurpation d'identité.
Tout navigateur ou client
de messagerie accédant à
la messagerie HotMail
Désactiver l'éxécution JavaScript sur
tous les navigateurs susceptibles
d'accèder à HotMail
Vulnérabilité JavaScript IMG DYNRC
Georgi Guninski
03/01 Critique
C2000.8/BVEL
Janvier - 14/01/00
Un correctif serait disponible auprès du
TAC, CISCO proposant une solution
palliative consistant à utiliser (TACAC+
/ RADIUS) pour les 2 mois à venir
Sécurité
N°18
HP
Diffusion
Restreinte
Démonstration
Correctif disponible pour la vulnérabilité Wu-Ftp
HPSBUX9912-106
09/12 Critique Service Wu-Ftp
CERT
CA-99.13
ftp://us-ffs.external.hp.com/~ftp/export/patches/hp-ux_patch_matrix
Débordement de
Acquisition des privilèges de
HP-UX 11.00
buffer exploitable à
'root'
distance
Il est recommandé d'installer
immédiatement le correctif
PHNE_18377
Vulnérabilité sous VVOS TGP
HPSBUX9912-107
14/12
ftp://us-ffs.external.hp.com/~ftp/export/patches/hp-ux_patch_matrix
Régression induite
Visibilité du réseau interne par - HP9000 Series 7/800
par le correctif
le biais du proxy
HPUX 10.24 (VVOS)
PHSS_17692
- VirtualVault A.03.50 et
correctif PHSS_17692
Appliquer immédiatement le correctif
PHSS_20476 sur tout système Virtual
Vault. Ce correctif annule et remplace
le correctif PHSS_17692.
Critique
Vulnérabilité dans le service 'AServer'
HPSBUX0001-108
31/12 Critique
CIAC
K-014
Proxy TGP
Service
'/opt/audio/bin/Aser
ver'
Gestion de la variable
PATH et des liens
symboliques
Accès 'root'
HP9000 Series 7/800
utilisant HP-UX 10.X et
11.X
En attendant la disponibilité d’un
correctif, les permissions du fichier
'/opt/audio/bin/Aserver' doivent être
positionnées à : 555 (r-xr-xr-x).
HP9000 Series 7/800
11.X
Dans l'attente d'un correctif, HP
recommande de modifier les permissions
de ce fichier aprés que celui ait été
créé au moyen de la commande 'asecure
-C':
chmod 444 /etc/opt/audio/audio.sec
Permissions laxistes sur le fichier 'audio.sec'
HPSBUX0001-109
06/01 Elevé
Fichier
'/etc/opt/audio/audi
o.sec'
http://europe-support2.external.hp.com
Accès en écriture
Déni de service, Accés aux
autorisé à tous (666
programmes 'Audio'
ou 'rw-rw-rw-')
INFOSEEK
Débordement de buffer dans le produit Infoseek Ultraseek
http://software.infoseek.com/products/ultraseek/upgrade_nt.htm
eEYE/UssrLabs
Débordement de
buffer sur la requête
GET
INTEL
Vulnérabilités dans le produit InBusiness E-mail Station
http://support.intel.com/support/inbusiness/emailstation/es104_70.htm
RootShell
Exécution de
commandes sans
authentification
préalable
LINUX
Vulnérabilités dans le service 'lpd'
RedHat RHSA2000:002-01
C2000.8/BVEL
15/12
02/01
07/01
Critique
Critique
Critique
Interface WEB
Service 'daynad'
Exécution de code non sollicité
sur le serveur hébergeant le
service.
Création de répertoires, Accès
à un login interactif,
Destruction de fichiers,
Modification de la
configuration.
Version 2.1 à 3.1
fonctionnant sous NT
Serveur Intel InBusiness
E-mail Station Version <=
1.04
disponible.
Appliquer le correctif proposé par
INTEL. Par ailleurs, la mise en place
d'un filtre sur le service TCP/244 est
recommandée.
http://www.redhat.com/support/errata/RHSA2000002-01.html
Service d'impression
'lpd'
1- Méthode
d'authentification
faible
2- Utilisation non
contrôlée de sendmail
'root'
Janvier - 14/01/00
Linux RedHat 4.x, 5.x, 6.x
Linux Debian 2.1
Installer la nouvelle version du
paquetage 'lpr' 0.48-1
Sécurité
N°18
Correction de problèmes avec 'linuxconf'
RHEA-1999:060-01
16/12 Elevé
LINUX
REDHAT
LINUX
SUSE
MICROSOFT
Correction de bugs
http://www.redhat.com/support/errata/RHEA1999060-01.html
Divers problèmes de Ce problème est lié aux avis de RedHat 6.0 et 6.1
configuration
sondage de ports émis par le Plateformes UNIX
CERT depuis quelques semaines utilisant 'vwdial'
sur le port 98, port utilisé par
'linuxconf'.
Vulnérabilités dans le programme 'userhelper'
RHSA-2000:001-02
03/01 Critique Programme
L0pht
'userhelper'
http://www.redhat.com/support/errata/RHSA2000001-02.html
Traitement incorrect Exécution de commandes sous
RedHat Linux 6.1 et
des chemins d'accès
les privilèges 'root'
version précédente
aux fichiers
Vulnérabilité dans l'utilitaire d'accès distant 'vwdial'
SUSE
#35
16/12 Elevé
Fichier
'/var/lib/wvdial/.con
fig'
http://www.suse.de/de/support/security/suse_security_announce_35.txt
Lecture autorisée aux Exposition des login et mots de LINUX SUSE <= 6.3
membres du groupe
passe
'dialout'
Vulnérabilité dans le client de messagerie 'pine'
SUSE
#36
27/12 Elevé
Logiciel 'pine'
http://www.suse.de/de/support/security/suse_security_announce_36.txt
Erreur de traitement Exécution d'une quelconque
UNIX utilisant 'pine'
des caractères
commande sous les privilèges de version < 4.21
d'échappement dans
l'utilisateur du client de
les URL
messagerie
Vulnérabilité 'Syskey Keystream Reuse'
MS99-056 - Q248183
16/12
Elevé
Mise en défaut de la
robustesse du
chiffrement
Susceptibilité aux attaques de
type 'brute force' des mots de
passe
Windows NT 4.0 tous
types
http://www.microsoft.com/security/bulletins/MS99-057faq.asp
MS99-057 - Q248185
Erreur de traitement
des arguments de
LsaLookupSids()
Critique
Sous-Système
d'authentification
Déni de service distant
conduisant à devoir réinitialiser
le système.
Windows NT 4.0 tous
types
Déni de service SQL 7.0 'Malformed TDS Packet Header'
MS99-059 - Q248749
Erreur dans le
traitement de
certains paquets TDS
C2000.8/BVEL
20/12
Elevé
Appliquer les correctifs proposés
proposé.
Appliquer le correctif proposé
Installer la version 4.21 de pine
Utilitaire 'Syskey'
Vulnérabilité 'Malformed Security Identifier Request'
16/12
Diffusion
Restreinte
Démonstration
Service SQL
Déni de service conduisant à
devoir réinitialiser le service
Janvier - 14/01/00
Plateformes utilisant SQL
Server 7.0
le correctif proposé intégrant aussi la
correction d'un autre problème (MS99057) !
Appliquer le correctif proposé au titre
de l'avis MS99-056
Ce déni de service peut être provoqué à
distance lorsque l' accès au service MSSQL (TCP/1433 et UDP/1433) est
autorisé.
Sécurité
N°18
Vulnérabilité 'Virtual Directory Naming' sous IIS
MS99-058 - Q238606
21/12 Elevé
Gestion des
répertoires virtuels
Traitement des noms Court-circuit des mécanismes
- Internet Information
de répertoires
de protection d'accès aux
Server 4. 0
virtuels comportant
pages autorisant la visualisation - Site Server 3.0
une extension de nom des sources des pages '.asp'
- Site Server Commerce
de fichier
Edition 3.0
Vulnérabilité 'Escape Character Parsing' sous IIS
MS99-061 - Q246401
21/12 Elevé
Traitement des
caractères
hexadécimaux
IIS autorise
Dysfonctionnement possible
- Internet Information
l'échappement de
des applications activées via
Server 4. 0
caractères non
IIS
- Site Server 3. 0
hexadécimaux
- Site Server Commerce
Edition 3. 0
Vulnérabilité 'HTML Mail Attachment' sur IE et Office MAC
MS99-060 - Q249082
22/12 Critique
- Traitement des
pièces jointes
- Certificats
d'autorités
- Les pièces jointes
- Exécution de code non
Internet Explorer 4.5
sont traitées
sollicité par le biais
Outlook Express 5.0
automatiquement
d'attachements piégés
- Certains certificats - Rejet des messages signés
livrés avec IE 4.5
expirent le 31/12
Virus 'Win32.CRYPTO'
Finjan
http://www.finjan.com/attack_release_detail.cfm?attack_release_id=23
Infection masquée
- Propagation initiale:
Environnement Windows
des exécutables
Exécution de binaires
95, 98, NT et 2000 béta
32bits par
infectés: Notepad.exe et
interception des
pbrush.exe
appels systèmes
- Exécution: Attachement à la
librairie Kernel32.dll
Modification de la registry
Interception de tous les
appels systèmes
- Activation: Infection de 20
exécutables à chaque
réinitialisation du système
- Destruction: Aucune fonction
de destruction spécifique
29/12
Critique
Vulnérabilité 'Malformed IMAP Request'
MS00-001 - Q246731
04/00 Critique
C2000.8/BVEL
Virus
Service IMAP inclu
dans MCIS
http://www.microsoft.com/security/bulletins/00/MS00-001faq.asp
Débordement de
Exécution distante de code non Microsoft Commercial
buffer
sollicité
Internet System 2.0 et
2.5 (MCIS)
Janvier - 14/01/00
Diffusion
Restreinte
Démonstration
Appliquer immédiatement les correctifs
disponibles
Appliquer immédiatement les correctifs
disponibles
Installer immédiatement le correctif
disponible sur:
http://www.microsoft.com/mac/downloa
d
Ce virus ne serait pas détecté par les
systèmes anti-virus conventionnels. La
technique employée conduirait à ne pas
pouvoir éradiquer ce virus sans devoir
réinstaller le système.
disponible sur le site microsoft.
Sécurité
N°18
Vulnérabilité 'Spoofed LPC Port Request'
MS00-003
13/00 Critique
Fonction système
'NtImpersonateClien
tOfPort'
Erreur de conception Acquisition locale des privilèges NT 4.0 Workstation
d'un quelconque utilisateur
NT 4.0 Server
NT 4.0, Enterprise *
NT 4.0 Terminal Server
Diffusion
Restreinte
Démonstration
disponible sur le site Microsoft
MYSQL
Vulnérabilité dans la base de donnée MySQL
http://www.mysql.com/download.html
Bugtraq
Gestion du privilège
GRANT
RSAREF
Reprise des alertes portant sur SSHD et RSAREF
http://www.cert.org/advisories/CA-99-15-RSAREF2.html
CERT
CIAC
Débordements de
buffer
SCO
Problème fondamental de conception
SSH
Vulnérabilité dans certaines implémentations de SSH
http://www.openbsd.org/errata.html#sshjumbo
Bugtraq
Erreur de codage
SYMANTEC
Débordement de buffer dans le proxy POP de NAV2000
http://service1.symantec.com/SUPPORT/nav.nsf/docid/1999122317000206&src=w
w00w00 #11
Débordement de
Buffer dans la
commande 'USER'
SUN
Débordement de buffer dans le service 'sadmind'
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doctype=coll&doc=secbull/191&type=0&nav=sec.sba
CIAC
CERT
SUN
Débordement de
buffer exploitable à
distance
TREND
Vulnérabilité dans InterScan VirusWall 3.0.1 Solaris
http://www.antivirus.com/download/patches.htm
Alcatel
Gestion incorrecte du
format base64
SCO
11/00
CA-99.15
K-011
SSE045
14/12
09/12
15/12
Critique
Critique
Critique
Elevé
Base de donnée
MySQL
Fonctions de gestion
des clefs
Modification distante des mots
de passe des utilisateurs
Liés à l'application utilisatrice
de ce module et aux conditions
d'appel aux fonctions.
MySQL versions
antérieures 3.22.11.
Installer la dernière mise à jour
(MySQL 3.22.30).
Tout produit utilisant le
module RSAREF2 dont
SSH.
RSA Data Sec. annonce l’arrêt du
support de ce module. Le correctif
validé par le CERT doit être appliqué sur
les sources.
UNIXWARE 7.x
Ce correctif doit être
IMMEDIATEMENT appliqué sur tous
les systèmes UNIXWARE 7.x
SSH-1.2.27 OpenSSH
livré avec OpenBSD-2.6
Appliquer le correctif disponible sur le
site OpenBSD pour la version OpenSSH
livrée avec OpenBSD-2.6:
ftp://ftp.sco.com/SSE/security_bulletins/SB-99.23a
Sous-Système de
gestion des
privilèges
Négociation de
l'algorithme de
chiffrement
Implémentation des
mécanismes de
gestion
Court-circuit des protections
Transmission des flux en clair
*
K-013
CA-99.16
#191
C2000.8/BVEL
20/12
09/12
27/12
Critique
Critique
Critique
Proxy POProxy
Service
d'administration
distribuée 'sadmind'
Service VirusWall
sur le système
'root'
Non détection de l'infection
Janvier - 14/01/00
Plateforme Windows
NT/85 et 98 utilisant le
proxy POProxy
Appliquer le correctif proposé par
l’éditeur.
- Solaris 2.5, 2.6 et 2.7
(installé par défaut)
- Solaris 2.3 et 2.4
paquetage 'AdminSuite'
Appliquer IMMEDIATEMENT le
correctif disponible sur le site SUN.
VirusWall 3.0.1 en
environnement Solaris
Installer de toute urgence le correctif
isvwsol301a_u2.tar (3.46Mo)
Sécurité
N°18
4.1.4.
Diffusion
Restreinte
Démonstration
Alertes Non Confirmées
Les alertes présentées dans le tableau de synthèse suivant ont été publiées dans diverses listes d’information mais n’ont pas encore fait l’objet d’une confirmation de la part de l’éditeur
ou du constructeur. Ces informations autorisent la mise en place d’un processus de suivi et d’observation.
Fournisseur Titre
ou Produit
Référence
URL
Date
Niveau
Origine
Problème
Dommages
Plateforme
PALM PILOT
VISOR
Absence d'authentification lors de la synchronisation
http://www.securityfocus.com/templates/archive.pike?list=1&date=2000-0101&[email protected]
Bugtraq
Absence
d'authentification
lors de
l'établissement de la
synchronisation
CGI-BIN
Vulnérabilité dans le script 'WebWho+'
PerlX
26/12 Elevé
06/01
Critique
Logiciel de
synchronisation
réseau
'WebWho' cgi-bin
Vulnérabilité dans l'environnement PHP3
Bugtraq
04/01
Critique
Scripting PHP3
Vulnérabilité dans le paquetage 'Home Free'
Bugtraq
FLBI
03/01
Critique
Script 'search.cgi'
Déni de service sur DNS-PRO v5.7
Ussr Labs
C2000.8/BVEL
21/12
Elevé
Usurpation d'identité,
Acquisition des données
stockées dans le PDA, ...
http://hhp.perlx.com/ouradvisories/hhp-webwho.txt
Filtrage des
Exécution distante de
caractères
commandes sur le serveur
d'échappement
Correction
VISOR:
Network Aucune correction n'est annoncée.
HotSync
PALM : Palm Desktop
Serveurs WEB utilisant ce
script
Erreur de traitement Exécution d'une quelconque
Mis en évidence sur les
des caractères
commande sous les privilèges du versions 3.0.12 et 3.0.13
d'échappement
service WEB
Erreur de traitement Visualisation du contenu des
Plateformes WEB NT
des caractères
répertoires
utilisant le paquetage
d'échappement
'Home Free'
Remplacer le cgi-bin incriminé par l'une
des versions sécurisées disponible sur :
http://cgi.resourceindex.com/Programs
_and_Scripts/Perl/Internet_Utilities/
Whois/
Aucun correctif 'officiel' n'est encore
disponible sur le site
http://www.php.net
Aucun correctif n'est encore proposé
par l'éditeur
http://solutionscripts.com/vault/homef
ree/index.shtml
http://www.ussrback.com/
Service DNS
Gestion de plus de 30 Déni de service conduisant à
connexions
devoir réinitialiser le système
simultanées
Janvier - 14/01/00
Plateforme NT utilisant Aucun correctif n'est disponible à ce
DNS-PRO V5.7
jour
Sécurité
N°18
FTPPRO
HP
Exposition potentielle d'informations sensibles
Bugtraq
Méthode de stockage
des informations
d'enregistrement
27/12
Elevé
Mécanisme
d'enregistrement de
la licence
Les données de licence sont Environnements Windows
conservées sous une clef non utilisant le service FtpPro
protégée de la registry
7.5
- Numéro de carte de crédit
- Date d'expiration
- Type de la carte
Vulnérabilité dans Optivity NETarchitect sur HPUX
'LoneGuard' via
BugTraq
Accès 'root'
31/12
Critique
Utilitaire
'/opt/bna/bin/bna_p
ass'
Gestion de la variable PATH
Diffusion
Restreinte
Démonstration
Il est recommandé de modifier les
permissions d'accès à la clef:
\HKEY_LOCAL_MACHINE\SOFTWAR
E\FTPPro98c
HP9000 Series 7/800
11.X
Il est recommandé d'invalider
temporairement l'utilitaire 'bna_pass':
chmod 400
Plateforme NT utilisant le
produit IMail 5.x
Aucun correctif n'est annoncé à ce jour
par l'éditeur.
IPSWITCH
Chiffrement réversible des mots de passe IMail
http://www.w00w00.org/advisories.html
w00w00
Fonction réversible
NETSCAPE
Chiffrement réversible des mots de passe sur Navigator
RST
15/12 Critique Fonction de
protection de mots
de passe
http://www.rstcorp.com/news/bad-crypto.html
Algorithme de
La société RST annonce avoir
chiffrement
déchiffré les mots de passe
réversible
stockés chiffrés par Navigator
sans connaitre l'algorithme
original.
Aucune information fiable Aucune correction n'est annoncée à ce
(potentiellement
toute jour
version de navigator en
environnement Windows)
Débordement de buffer sous Netscape 4.5
Babylon Advisories
26/12 Elevé
Fichier des
préférences
utilisateur
http://indigo.ie/~lmf/advisory1.htm
Débordement de
buffer exploitable en
local
Environnement Windows
utilisant Netscape 4.5
Multiples vulnérabilités sous Lotus Domino
NOTES
HSC
C2000.8/BVEL
21/12
21/12
Critique
Elevé
Chiffrement de mot
de passe
Service WEB
exploité en mode
classique: pages
statiques et cgi-bin
activés
1 – Visibilité de
l'arborescence
2- Invalidation des
accès anonymes
inopérante
3- Débordement de
buffer sur la
requête GET
Accès aux comptes mail des
utilisateurs
1 - Acquisition d'information
sur l'environnement
2- Accès libre aux cgi-bin
3- Déni de service conduisant à
devoir réinitialiser le
système NT
Janvier - 14/01/00
Mis en évidence sur les
versions NT 4.6.x et 5
Aucun correctif n'est disponible
Problème
3:
le
correctif
sur:
http://www.support.lotus.com/sims2.nsf
/0/6ecb87e6e6820b008525659f0080d
40c?OpenDocument peut être employé
bien qu'initialement concu pour corriger
un autre problème.
Sécurité
N°18
NOVELL
MAJORDOM
O
Vulnérabilités dans le serveur WEB GroupWise
http://www.securityfocus.com/templates/archive.pike?list=1&date=1999-1215&msg=A39CA57849A9D1118A9C0060081695B00613D509@MULTI005
Bugtraq
Absence de contrôle
sur le paramètre
'HELP'
MINISQL
Elevé
Cgi-Bin
'GWWEB.EXE'
Vulnérabilité dans la commande 'resend'
Bugtraq
MICROSOFT
19/12
28/12
Critique
Vulnérabilité 'NavigateAndFind'
G.Guninski
22/12 Critique
- Exposition de localisation
physique de la racine WEB
- Accès à toutes les pages html
Problème mis en évidence
sur les versions 5.2 et 5.5
Diffusion
Restreinte
Démonstration
Aucune correction n'est annoncée à ce
jour
Commande 'resend'
Méthode
External.NavigateAn
dFind()
Erreur de traitement
des caractères
d'échappement
Exécution d'une quelconque
commande sous les privilèges
'root'
Absence de contrôle
Lecture d'informations
sur le type d'URL
localisées (pages, fichiers
passé en paramètre
textes, cookies) sur le poste
par un serveur distant au moyen
d'une page WEB piégée ou d'un
mail au format HTML
Toute plateforme UNIX
utilisant majordomo
Aucune correction n'est proposée à ce
jour.
Plateforme utilisant
Internet Explorer 5.01
Aucun correctif n'est disponible à ce
jour. Invalider l' activation d'Active
Scripting dans le navigateur en
attendant un correctif.
Problème potentiel de configuration de certains Anti-Virus
Securiteam
26/12 Critique Fonction 'poubelle' /
'recycle bin'
http://www.securiteam.com/windowsntfocus/Viruses_can_bypass_Virus_checking_under_Windows_95_98_NT.html
Configuration par
Non détection de l'infection
95, 98 et NT utilisant
MacAfee: enlever le répertoire
défaut erronée
Norton Anti-Virus ou
'\RECYCLED' de la liste d'exclusion.
MacAfee VirusScan
Norton: aucune solution à ce jour.
Vulnérabilité 'CrossFrame' sous IE5
George Guninski
07/00 Critique
Erreur de conception Accès distant via une page
piégée aux informations situées
sur le poste utilisant le
navigateur
Fonction
'setTimeOut' et
balise <IMG
SRC="javascript:...">
IE 5.01 sous 95
IE 5.5 sous NT 4.0
Débordement de buffer exploitable à distance
Bugtraq
Débordement de
buffer
C2000.8/BVEL
27/12
Critique
Interface Cgi-Bin
'w3-msql'
sous les privilèges du serveur
http
Janvier - 14/01/00
UNIX utilisant miniSQL
versions 2.0.4.1 à 2.0.1.1
Désactiver Active Scripting en
attendant un correctif
L'auteur de l'alerte propose une
solution paliative nécessitant la
recompilation du paquetage miniSQL.
Sécurité
N°18
SUN
Accès au mot de passe administrateur sur 'WBEM 1.0'
Bugtraq
06/12
Critique
Mot de passe
administrateur
Vulnérabilités dans le service Solaris 2.7 'dmispd'
SecurityFocus
22/12
Critique
Service
d'administration
distribuée DMI
Débordement de buffer dans l'utilitaire 'chkperm'
- Accès libre à la
- Déni de service distant par
Mis en évidence sur
base d'information
saturation du volume
Solaris 2.7 SPARC/x86
- Débordement de
contenant la base DMI
buffer du service
- Déni de service distant par
'dmispd'
arrêt du service 'dmispd'
Sun annonce que ce problème est
corrigé dans la prochaine version
disponible dans les prochaines semaines.
Aucun correctif n'est annoncé par SUN.
Débordement de
Acquisition des privilèges ‘bin’
Annoncé sur Solaris 2.X
buffer dans le
traitement de
l'option '-n'
Aucune correction n'est annoncée par
SUN.
Vulnérabilité dans IBM Network Station Manager
Bugtraq
27/12 Critique Produit Network
Station Manager
http://www.securityfocus.com/templates/archive.pike?list=1
Gestion des liens
Accès distant 'root' par
Testé sur Unixware 7.1
symboliques
altération du contenu du fichier
'/.rhost'
jour.
Vulnérabilité dans l'utilitaire 'pis'
Bugtraq
27/12 Elevé
http://www.securityfocus.com/templates/archive.pike?list=1
Gestion des liens
Création de fichiers sous les
Testé sur Unixware 7.1
symboliques
privilèges du groupe 'sys'
jour
Débordement de
Acquisition des privilèges du Testé sur UnixWare 7.1
buffer
groupe 'sys'
Aucun correctif n'est actuellement
proposé par SCO.
Bugtraq
SCO
Stockage en clair du
Accés privilégié à WBEM
Plateformes Solaris
mot de passe par
utilisant le produit WBEM
défaut
1.0
Diffusion
Restreinte
Démonstration
06/01
Elevé
Utilitaire 'chkperm'
Utilitaire
'usr/local/bin/pis'
Débordement de buffer dans l'utilitaire 'rptm'
Brock
Tellier
BugTraq
C2000.8/BVEL
via
30/12
Critique
Utilitaire 'rptm'
Janvier - 14/01/00
Sécurité
N°18
4.1.5.
Diffusion
Restreinte
Démonstration
Bulletins d’Information
Le tableau suivant récapitule les bulletins d’information publiés par les organismes officiels de surveillance.
Thème
Titre
Référence
CERT
URL
Date
Objet
Synthèse mensuelle
CERT CS-99.05
22/12
Synthèse
Note d’information
CERT IN-99.08
09/12
Attaques WEB
Contenu
http://www.cert.org/summaries/CS-99-05.html
Le CERT a publié sa synthèse mensuelle (CS-99.05) récapitulant les différentes informations publiées et activités constatées.
Deux pages méritent d'être régulièrement lues car concernant les activités illicites liées à l'an 2000. A ce propos, les résultats
d'analyse proposés sur la page 'activités' (http://www.cert.org/y2k-info/y2k-status.html) ne font apparaitre aucune activité
dont il puisse être prouvé qu'elle soit liée à l'AN 2000.
http://www.cert.org/incident_notes/IN-99-08.html
Le CERT US annonce par la Note IN-99.08 émise le 10/12/99 que de nouvelles attaques de serveurs WEB utilisant IIS ont été
détectées. Ces attaques exploitent la vulnérabilité 'MDAC' décrite dans les alertes Microsoft MS98-004 et MS99-025.
Reprise d'alertes concernant les outils de déni de service
CA-1999.17
29/12 Outils d’attaques
http://www.cert.org/advisories/CA-99-17-denial-of-service-tools.html
Le CERT US a transmis une alerte concernant la diffusion et l'utilisation d'outils de déni de service. L'alerte CA-99.17 reprend
2 informations par ailleurs diffusés (notamment par la SANS Institute) concernant:
- la version 2000 de TFN
- l'utilisation de MacIntosh en tant que sources de déni de service
Information sur les outils de déni de service
CA-2000.01
04/01 Outils d’attaques
SUN #193
http://www.cert.org/advisories/CA-2000-01.html
Reprise par le CERT et FedCIRC de diverses informations concernant les outils de déni de service dont 'Stacheldraht' sous la
référence CA-2000.01. Attention, la référence d'alerte annoncée en page de garde est erronée (CA-2000.01 et non CA2000.02).
CISCO
Disponibilité de nouvelles signatures pour NetSonar
http://www.cisco.com/kobayashi/sw-center/internet/scanner-updates.shtml
Cisco
Une mise à jour du produit Cisco Secure Scanner NT (ex. NetSonar) est disponible qui contient divers correctifs et de 5
nouvelles signatures de test.
ISS
Disponibilité d'une mise à jour X-Press
http://www.iss.net/
Iss
ISS annonce la disponibilité d'une mise à X-Press contenant de nouveaux tests pour les produits Internet Scanner 6.0 et
System Scanner 4.0. Il est à noter que les tests utiliseront désormais la codification CVE en cours de finalisation. Cette
codification devrait permettre d'unifier le nommage des vulnérabilités entre éditeurs de produits d'audit. A ce jour, System
Scanner dispose d'une base 537 tests spécifiques à NT et de 425 tests dédiés aux systèmes UNIX; Internet Scanner
disposant lui d'une base de 682 tests.
C2000.8/BVEL
22/12
22/12
Cisco Secure Scanner NT
IS 6.0
SS 4.0
Janvier - 14/01/00
Sécurité
N°18
OUTILS
SCO
TIS/NAI
Diffusion
Restreinte
Démonstration
Outil de détection 'TFN/Trinoo/TFN2K'
NIPC
31/12 find_ddos
http://www.fbi.gov/nipc/trinoo.htm
Le NIPC (National Infrastructure Protection Center), entité rattachée au FBI, a diffusé 'find_ddos', un outils de détection
des outils d'attaques Trin00, TFN et TFN2K.
Analyse de 'stacheldraht'
EDU
31/12
http://staff.washington.edu/dittrich/misc/stacheldraht.analysis
David Dittrich, auteur des analyses des outils 'TFN' et 'Trin00' a publié une remarquable analyse de 'stacheldraht', un nouvel
outil de déni de service combinaison astucieuse de TFN et de Trin00. La lecture de cette analyse est vivement conseillée.
stacheldraht
Disponibilité de correctifs pour UNIXWARE
22/12 UNIXWARE 7.x.x
SCO
SSE043
SCO
SSE044
SCO
SSE045
SCO
SSE047
SCO
SSE048
SCO
SSE049
SCO
SSE050
SCO
SSE051
SCO
SSE052
SCO
SSE053
ftp://ftp.sco.com/SSE/security_bulletins
Les correctifs suivants sont disponibles sur le site SCO :
- Vulnérabilité dans la création des fichiers 'core'
- Permissions laxistes sur le répertoire courrier '/var/mail'
- Vulnérabilité de fond exploitable via les commandes pkg*
- Débordement de buffer dans /usr/X/bin/xauto
- Problèmes de sécurité dans les clients messagerie
- Débordement de buffer dans /usr/sbin/in.i20dialogd
- Commandes pkg*
Disponibilité de correctifs pour OpenServer
SCO
SSE050
23/12 OpenServer 5.05
Le correctif suivant est disponible sur le site SCO :
- Débordements de buffer et erreurs dans plus de 25 binaires
Nouveaux correctifs pour les Gauntlets 4.2, 5.0 et 5.5
http://www.tis.com/
TIS Gauntlet
Trois correctifs sont disponibles pour les Gauntlets 4.2, 5.0 et 5.5 :
1- Gauntlet 4.2: Correction d'un problème lié au gestionnaire TCP/IP
ftp://ftp.tis.com/gauntlet/patches/4.2/kernel.SOLARIS.patch
2 – Gauntlet 5.0: Corrections de divers problèmes sur le proxy http, ftp et l'affichage
ftp://ftp.tis.com/gauntlet/patches/5.0/cluster.BSDI.patch
ftp://ftp.tis.com/gauntlet/patches/5.0/cluster.HPUX.patch
ftp://ftp.tis.com/gauntlet/patches/5.0/cluster.SOLARIS.patch
3 – Gauntlet 5.5: Corrections de divers problèmes sur le proxy http, ftp et l'affichage
ftp://ftp.tis.com/gauntlet/patches/5.5/cluster.SOLARIS.patch
ftp://ftp.tis.com/gauntlet/patches/5.5/cluster.HPUX.patch
C2000.8/BVEL
20/12
Gauntlet 4.2
Gauntlet 5.0
Gauntlet 5.5
Janvier - 14/01/00
Rapport de Veille
Technologique N°18
Sécurité
Diffusion
Restreinte
Démonstration
A
ATTTTAAQ
QU
UE
ES
S
4.2.
Outils
4.2.1.
C
N
E
M
R
A
P
M
C
NTTT
EN
ME
RTTTM
AR
PA
MP
COOOM
•
Objet
‘Compartment’ est un utilitaire fonctionnant sous LINUX d’une étonnante simplicité – 350 lignes de langage C
commentaires inclus – mais susceptible de rendre de grands services.
•
Description
Le système UNIX dispose d’une fonction remarquable mais peu usitée, ‘chroot()’, permettant de créer une racine
virtuelle dans un quelconque répertoire. Dès lors, toute référence à la racine du système de fichier sera immédiatement
interprétée comme relative au répertoire passé en paramètre de la fonction. Cette fonction permet ainsi de créer un
environnement virtuel duquel il ne sera pas possible d’échapper
L’utilitaire ‘Compartment’ permet de tirer parti de cette fonction sans avoir à écrire une seule ligne de code sous
réserve toutefois qu’une arborescence système minimale (répertoires /etc, /lib, … ) ait été installée dans le répertoire
racine de cet environnement virtuel.
Un quelconque programme peut ainsi être exécuté avec les privilèges adéquats en restreignant non seulement la visibilité
du système de fichier – fonction chroot() – mais aussi les privilèges accordés au processus – Process Capabilities de
LINUX.
La syntaxe d’appel de cet utilitaire est la suivante :
Syntax: compartment [options] /full/path/to/program
Options:
--chroot path chroot to path
--user user change uid to this user
--group group change gid to this group
--init program execute this program/script before doing anything
--cap capset set capset name. You can specify several capsets.
--verbose
be verbose
--quiet
do no logging (to syslog)
Notons cependant que l’exploitation de cet utilitaire requiert une excellente connaissance des différents privilèges
pouvant être assignés à un processus sous LINUX. Les privilèges gérés par ‘Compartment’ sont les suivants :
CAP_CHOWN, CAP_DAC_OVERRIDE, CAP_DAC_READ_SEARCH, CAP_FOWNER, CAP_FSETID, CAP_FS_MASK,
CAP_KILL, CAP_SETGID, CAP_SETUID, CAP_SETPCAP, CAP_LINUX_IMMUTABLE,
CAP_NET_BIND_SERVICE,
CAP_NET_BROADCAST,
CAP_NET_ADMIN,
CAP_NET_RAW,
CAP_IPC_LOCK,
CAP_IPC_OWNER,
CAP_SYS_MODULE,
CAP_SYS_RAWIO,
CAP_SYS_CHROOT,
CAP_SYS_PTRACE,
CAP_SYS_PACCT,
CAP_SYS_ADMIN,
CAP_SYS_BOOT,
CAP_SYS_NICE,
CAP_SYS_RESOURCE,
CAP_SYS_TIME,
CAP_SYS_TTY_CONFIG.
•
Compartment
http://www.suse.de/~marc/SuSEcompartment-0.6.tar.gz
P
M
P
C
MC
PAAALLLM
CRRRAAACCCKKK111...111
•
Objet
Un outil de recherche de mot de passe par attaque en force et sur dictionnaire est désormais disponible en
environnement PalmPilot.
•
Description
Issu d’un groupe de développeurs indépendants et annoncé comme un outil de test, PalmCrack a pour objectif de qualifier
le niveau de robustesse de mots de passe utilisés en environnement UNIX et NT mais aussi de certains équipements
C2000.8/BVEL
Janvier - 14/01/00
Rapport de Veille
Technologique N°18
Sécurité
Diffusion
Restreinte
Démonstration
CISCO. PalmCrack offre l’avantage de combiner en un seul outil les fonctions couramment offertes par des outils
spécialisés par environnement dont les plus célèbres : ‘L0phtCrack sous NT‘ et ‘Crack sous UNIX’.
Bien que les performances ne puissent atteindre celles offertes par une plate-forme plus ‘conventionnelle’, cet outil a le
mérite de démontrer qu’un équipement simple et discret tel qu’un PDA peut être utilisé pour rapidement découvrir des
mots de passe triviaux.
PalmCrack fonctionne sur PalmOS 2 et 3 sous réserve de disposer de 31Ko à 1Mo de mémoire selon la taille du
dictionnaire employé.
•
Outil PalmCrack V1.1
http://www.noncon.org/noncon/pc-1.1-dist.zip
Attaques
4.2.2.
A
A
D
S
ANNNTTTIIIIIID
DS
S
•
Objet
Un article portant sur les techniques permettant de leurrer les outils de détection d’intrusion (IDS) a été publié sur
l’Internet.
•
Description
L’article intitulé ‘A look at whisker's anti-IDS tactics‘ est publié sur WireTrip, un site Web spécialisé dans la
publication de vulnérabilités. A travers l’analyse de l’outil ‘Whisker’ (se référer à notre rapport N°15 du mois d’Octobre
1999), l’auteur s’attache à démontrer les faiblesses des stratégies d’analyse actuellement employées par les outils
commerciaux.
Whisker, outil de sondage dédié aux serveurs WEB, utilise diverses techniques permettant de passer à travers les
règles de corrélation des outils d’IDS tout en maintenant une structure syntaxique correcte et interprétable par un
quelconque serveur WEB. L’idée sous-jacente n’est pas nouvelle, celle-ci étant apparue initialement dans le monde des
virus avec les codes dits ‘polymorphiques’.
Le principe utilisé est d’une simplicité étonnante : les structures syntaxiques utilisées par la plupart des langages
informatiques sont redondantes, partiellement commutatives et/ou associatives. Il est dès lors possible d’exprimer de
plusieurs façons une requête ou un code assembleur correct sur le plan syntaxique et produisant le même résultat.
Lorsque la requête ou le code assembleur est complexe, la combinatoire des syntaxes autorisées devient suffisamment
importante pour générer un travail de vérification fortement consommateur de ressources.
La faiblesse de la plupart des outils d’IDS (mais aussi des anti-virus) réside dans le compromis [coût en performance /
fiabilité] ou [taux de vrai rejetés / taux de faux acceptés] soit : détecter rapidement 80% des atteintes sans
consommer trop de ressources. Contrairement aux anti-virus récents qui intègrent un moteur d’analyse non déterministe,
les outils d’IDS actuels restent pour la plupart basés sur un analyse de correspondance (pattern matching).
Quelques exemples de requêtes utilisées par Whisker sont proposés ci-après pour aider à la compréhension :
- Méthode d’accès :
Requête ‘normale’ :
GET /cgi-bin/some.cgi
Requête ‘alternative’ :
HEAD /cgi-bin/some.cgi
- Encodage d’une URL :
Encodage classique :
cgi-bin
Encodage échappé :
%63%67%69%2d%62%69%6e
- Casse des caractères
HeAd /CgI-BIN/SoMe.Cgi
- Saucissonage TCP de la requête :
(Le caractère ‘’ représente une fin de paquet TCP)
L’auteur de l’article reconnaît cependant que les stratégies employées par les outils d’IDS récents évoluent presque
aussi rapidement que les stratégies de masquages utilisées par les attaquants. Cet article reflète l’éternel dilemme de la
sécurité : prendre de vitesse l’attaquant en développant les contre-mesures avant même que les attaques ne soient
développées.
•
C2000.8/BVEL
Janvier - 14/01/00
Rapport de Veille
Technologique N°18
Sécurité
Article
Diffusion
Restreinte
Démonstration
http://www.wiretrip.net/rfp/pages/whitepapers/whiskerids.html
L
L
S
K
L
M
K
M
LK
SL
KM
LK
M EEETTTS
KM
M
•
Objet
La disponibilité d’un rootkit Solaris installable sous la forme d'un module chargeable dynamiquement a été annoncé fin
décembre.
•
Description
Ce rootkit, dénommé SLKM - ou Solaris Loadable Kernel Module, offre de nombreuses fonctions permettant à un pirate
d'interagir de manière masquée avec le système :
- Dissimulation de fichiers
- Dissimulation du contenu des fichiers et répertoire
- Dissimulation du flag 'promiscuous' sur les adaptateurs réseaux
- Transposition du flag magic en flag SUID
- Interception de commandes
- ...
Un tel outil est particulièrement dangereux car agissant en interceptant les appels systèmes au niveau du noyau. Le
pirate peut alors totalement masquer son activité et poser des portes dérobées difficilement identifiables. Cette
technique est usitée depuis quelques années, en particulier dans le domaine des virus et dans le monde LINUX.
L'installation d'un rootkit nécessite de disposer préalablement d'un accès privilégié au système afin de modifier les
tables de configuration (dont /etc/system). La technique couramment employée consiste à transmettre ce rootkit par le
biais d'un accès ouvert par exploitation d'un débordement de buffer.
La fonctionnalité à l’origine du problème – le chargement dynamique de librairies - est inhérente à l'architecture des
systèmes UNIX (et NT) modernes. Aucun correctif ne peut être proposé. La seule solution efficace consiste à mettre
en place un outil de vérification de l'intégrité des configurations systèmes, tel que 'tripwire'.
Il est instamment recommandé de vérifier la configuration de tous les serveurs Solaris susceptibles d'être accédés par
l'Internet, que ceux-ci soient protégés ou non par un dispositif de filtrage. L'installation de tels outils est généralement
une étape préliminaire à une attaque de masse. La présence d'un 'oeuf de coucou' sur un système doit conduire à
considérer que non seulement celui est totalement compromis mais que les éléments nécessaires à un plan de reprise
(sauvegardes) le sont aussi.
La lecture de cet article est fortement conseillée.
•
Article
http://www.infowar.co.uk/thc
S
N
S
S
G
O
L
D
E
N
ON
IO
SUUUBBBS
SEEEVVVEEENNN222...111 G
GO
OL
LD
DE
EDDDIITITTIIO
L’utilisation de cet outil peut induire de nombreux dysfonctionnements des postes cibles. En aucun cas, cet outil ne
peut être considéré comme un substitut aux produits commerciaux de prise de contrôle à distance, aucune garantie ne
pouvant être apportée quant à la qualité et l’innocuité du code.
•
Objet
Une nouvelle version du Cheval de Troie SubSeven (Sub7) est diffusée sur l’Internet. En se référant aux informations
diffusées par le GIAC (SANS Institute) SubSeven semble être le Cheval de Troie le plus diffusé à ce jour mais aussi le
plus difficile à éradiquer de part la technique d'installation employée.
•
Description
Dénommé 'SubSeven 2.1 GOLD', cette version diffère de la précédente par l'ajout d'un mécanisme de chiffrement des
communications plus performant et la correction de boggues.
SubSeven2.1 GOLD est distribué sous la forme d’une archive compressée (sub72_1gold.zip) contenant trois programmes
complémentaires et une librairie dynamique:
- EditServer.exe : le programme de paramètrage du comportement du cheval de Troie.
- Server.exe :
le serveur destiné à être installé sur le poste cible
- SubSeven.exe :
le programme de contrôle du cheval de Troie
- IcqMapi.dll :
une librairie permettant l’interfacage de SubSeven avec un serveur ICQ.
SubSeven est actuellement l’outil de prise de contrôle à distance (ou RAT Remote Access Tools) offrant la plus grande
C2000.8/BVEL
Janvier - 14/01/00
Rapport de Veille
Technologique N°18
Sécurité
Diffusion
Restreinte
Démonstration
palette de fonctions :
- Pilotage de la quasi-totalité des fonctions graphiques, multimédia et système du poste cible (plus de 110 fonctions)
- Fonctions réseaux : scanning d’adresses IP, transfert de données, …
- Fonctions d’attaque spécifiques : vol de mot de passe, de pages HTML, de clefs de licences, ..
- Intégration d’espions applicatifs : AOL, Yahoo, Messenger,
-…
L’interface de configuration, dont une
copie d’écran est proposée, permet
de configurer le serveur qui sera
installé sur le poste cible.
Il est à noter que le numéro de port
utilisé pour les communications
(TCP/27374)
peut
être
rendu
totalement aléatoire complexifiant
notablement la détection du serveur.
Une fonction de notification est
intégrée
permettant
d’avertir
l’attaquant de l’activation du serveur,
soit par envoi d’un mail, soit par
activation d’une connexion IRC.
Outre l’interface graphique dont le
design est remarquable, SubSeven
offre une incroyable palette d’options
et n’a rien à envier aux outils
commerciaux.
L’interface de contrôle autorise une prise en main
immédiate du produit. Sa remarquable ergonomie alliée au
design graphique peut expliquer le succès de cet outil
d’attaque.
Seul défaut annoncé dernièrement dans une liste de
diffusion d’alerte, un débordement de buffer présent
dans la version 2.1a de SubSeven pourrait être exploité
pour provoquer l’arrêt du serveur installé sur le poste
cible, et ainsi interdire l’accès distant au poste !
Un effet de bord intéressant ….
•
SubSeven
C2000.8/BVEL
http://subseven.slak.org/main.html
Janvier - 14/01/00

Rapport de Veille Technologique N

Transcription

Documents pareils

1) Nicolas, peux-tu nous parler de ton parcours

Comparatif 6 devis pour l`hébergement

liste_technique.

apogee gtz

Une introduction au langage R - Biostat

CCA Entry Form - Fields - Canadian Cat Association

Herbegement Nogaro - Classic Festival

Liste des DVD disponibles en VO anglais

Mise en place de Freeftpd