Veille Technologique Sécurité

Transcription

APOGEE Communications
R
dee
orrtt d
po
pp
Raap
Veille Technologique Sécurité
N
2
82
N°°8
Mai 2005
Les informations fournies dans ce document ont été collectées et compilées à partir de
sources d'origines diverses et publiquement accessibles: mailing-lists, newsgroups, sites
Web, ...
Ces informations sont fournies pour ce qu'elles valent sans garantie d'aucune sorte vis à vis
de l'exactitude, de la précision ou de la qualité de l'information. Les URL associées à certains
thèmes sont validées à la date de la rédaction du document.
Les symboles d’avertissement suivants seront éventuellement utilisés:
!
"
Site dont la consultation est susceptible de générer directement ou indirectement,
une attaque sur l’équipement de consultation, voire de faire encourir un risque sur
le système d’information associé.
Site susceptible d’héberger des informations ou des programmes dont l’utilisation
est répréhensible au titre de la Loi Française.
Aucune garantie ne peut être apportée sur l'innocuité de ces sites, et en particulier, sur la
qualité des applets et autres ressources présentées au navigateur WEB.
LLaa ddiiffffuussiioonn ddee ccee ddooccuum
meenntt eesstt rreessttrreeiinnttee aauuxx
cclliieennttss ddeess sseerrvviicceess
V
VTTS
S--R
RA
APPPPO
OR
RTT eett V
VTTS
S--EEN
NTTR
REEPPR
RIIS
SEE
Les marques et les produits cités dans ce rapport sont la propriété des dépositaires respectifs.
APOGEE Communications
15, Avenue du Cap Horn
ZA de Courtaboeuf
91940 Les ULIS
Pour tous renseignements
Offre de veille:
http://www.apogee-com.fr/veille
Informations:
[email protected]
© APOGEE Communications - Tous droits réservés
Mai 2005
Au sommaire de ce rapport …
PRODUITS ET TECHNOLOGIES
LES PRODUITS
7
7
BHO-DEMON V2.0
WIKTO V1.6
LES TECHNOLOGIES
7
8
12
BASE DE DONNÉES
12
SQL SERVER2005 – EXTENSION DES FONCTIONNALITÉS DE SÉCURITÉ
12
VEILLE
13
HNS - (IN)SECURE MAGAZINE
13
INFORMATIONS ET LÉGISLATION
LES INFORMATIONS
14
14
ORGANISATIONS
14
VOIP – CRÉATION DE L’ALLIANCE VOIPSA
14
CHIFFREMENT
14
CHALLENGE RSA-200
14
INCIDENTS
15
HOMELAND SECURITY - CIDDAC
15
SYSTÈMES INDUSTRIELS
16
NISCC – PROTECTION DES SYSTÈMES DE CONTRÔLE INDUSTRIELS (SCADA)
16
ALERTES
18
CAIF – COMMON ANNOUNCEMENT INTERCHANGE FORMAT V1.2
ESISAC – MISE À JOUR DES RECOMMANDATIONS DE SÉCURITÉ DU SECTEUR DE L’ÉNERGIE ÉLECTRIQUE
SÉCURISATION
NSA - CATALOGUE DES GUIDES DE SÉCURITÉ
CIS - CATALOGUE DE PROCÉDURES ET DE TESTS
NIST – GUIDES ET CHECKLISTS DE SÉCURISATION
NIST – ETAT DES GUIDES DE LA SÉRIE SP800
LA LÉGISLATION
SÉCURITÉ
18
19
19
19
20
21
22
23
23
PROTECTION DES INFORMATIONS DANS LES CONTRATS
23
LOGICIELS LIBRES
LES SERVICES DE BASE
LES OUTILS
25
25
25
NORMES ET STANDARDS
LES PUBLICATIONS DE L’IETF
27
27
LES
LES
RFC
DRAFTS
NOS COMMENTAIRES
LES DRAFTS
DRAFT-IETF-INCH-REQUIREMENTS-04
ALERTES ET ATTAQUES
ALERTES
GUIDE DE LECTURE
FORMAT DE LA PRÉSENTATION
SYNTHÈSE MENSUELLE
ALERTES DÉTAILLÉES
AVIS OFFICIELS
ADOBE
APPLE
BEA
BLUECOAT
CISCO
CITRIX
CU
DNS
ETHEREAL
Veille Technologique Sécurité N°82
27
27
31
31
31
32
32
32
33
33
34
34
34
34
34
35
35
35
36
36
36
Page 2/60
Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Mai 2005
EXTREMENETWORK
FREEBSD
GAIM
GNU
GRAPHICSMAGICK
GROOVENETWORKS
HP
HTEDITOR
IBM
IMAGEMAGICK
INTEL
IP
KERIO
LEAFNODE
LIBTIFF
LINUX
LINUX DEBIAN
LINUX REDHAT
MAILENABLE
MARADNS
MICROSOFT
MOZILLA
NASM
NET-SNMP
NOVELL
OOPS
PERL
PHPMYADMIN
PHPSYSINFO
POSTGRESQL
PPXP
PROCMAIL
QUALCOMM
ROOTKIT.NL
SAMBAR
SQUID
SUN
SYMANTEC
WORDPRESS
ALERTES NON CONFIRMÉES
4D
602SOFTWARE
ADOBE
ALWIL SOFTWARE
APPLE
BAKBONE
BZIP2
CA
DAVFS2
D-LINK
FREERADIUS
GFORGE
GNOME
GNU
HORDE
IBM
INVESTIGATIONS
IPSWITCH
KERIO
LINUX
L-SOFT
MACROMEDIA
MAILSCANNER
MERAK
MICROSOFT
MYSQL
NETEYES
OLLYDBG
ORACLE
OSTICKET
PROCPS
QMAIL
RSA SECURITY
SUN
TCPDUMP
XINE
YAHOO!
ZYXEL
36
36
36
36
37
37
37
38
38
38
38
38
38
39
39
39
39
39
39
39
39
40
40
40
40
41
41
41
41
41
41
41
42
42
42
42
42
43
43
43
43
43
43
43
43
44
44
44
44
44
44
45
45
45
45
45
45
45
45
46
46
46
46
46
46
46
47
47
47
47
47
48
48
48
48
48
48
48
AUTRES INFORMATIONS
49
REPRISES D’AVIS
49
ET
CORRECTIFS
Page 3/60
Mai 2005
ADOBE
APPLE
AVAYA
BEA
CA
CIAC
CISCO
F5
F5 NETWORKS
FREEBSD
LINUX DEBIAN
LINUX FEDORA
LINUX MANDRAKE
LINUX REDHAT
HP
IBM
KDE
MACROMEDIA
MICROSOFT
MOZILLA
NETSCAPE
NOVELL
OPENBSD
SCO CALDERA
SCO
SGI
SUN
SYMANTEC
ZONELABS
US-CERT
49
49
49
50
50
50
52
52
52
52
52
52
53
53
53
54
54
54
54
54
54
55
55
55
55
55
56
56
56
56
CODES D’EXPLOITATION
57
BULLETINS ET NOTES
57
EXIM
MYSQL
ATTAQUES
ATTAQUES
OUTILS
RELAYSCANNER / WEBROOT
GOOGLESWEEP
57
57
57
58
58
58
60
Page 4/60
Mai 2005
Le mot de la rédaction …
Ce beau mois de mai aura été marqué par l’apparition de nouvelles menaces.
Ainsi, le 23 mai dernier, WebSense publiait une alerte concernant l’apparition d’un
nouveau genre d’attaque: par le biais d’une vulnérabilité présente dans le navigateur
Internet Explorer, connue de longue date et encore présente sur bien des postes n’ayant
pas été mis à jour, un code est chargé dont le rôle est, entre autre, de chiffrer le
contenu de tous les fichiers puis d’annoncer à l’utilisateur qu’il pourra obtenir le logiciel
lui permettant de retrouver ceux-ci moyennant paiement de ce qu’il est ici convenu
d’appeler une rançon de $200.
http://www.websensesecuritylabs.com/alerts/alert.php?AlertID=194
Et le 27 mai au soir apparaissait la toute première tentative d’hameçonnage (phishing)
visant explicitement quatre grandes banques Françaises. Une tentative tellement
maladroite que son taux de réussite sera probablement extrêmement faible, voire nul.
En effet, non seulement le corps du message est entièrement rédigé en langue anglaise
mais le message lui même - dont une copie transmise par l’un de nos lecteurs est
proposée ci-dessous se veut être générique en traitant les quatre banques
simultanément.
http://par.societegenerale.fr/EIP/resources/production/Alerte_securite/
Dans le même ordre d’idée, le Sans Institute révélait l’existence d’un site russe
dénommé ‘iframeDOLLARS’ assurant un revenu substantiel aux propriétaires de site
WEB acceptant d’installer, par le biais d’un procédé non documenté mais utilisant a
priori certaines vulnérabilités du navigateur Internet Explorer, quelques neufs logiciels
bien peu recommandables.
‘Our program (size: 3 Kb) is loaded to the user and it changes the homepage and installs toolbar and dialer.
It’s activated and revealed in 15-30 minutes after download’
Ce nouveau genre de commerce s’inscrit dans la même logique que celle que nous
dénoncions dans un rapport précédent laquelle consistait à revendre des accès sur des
réseaux de machines compromises. Ici, ‘iframeDOLLARS’ assure un revenu de $61
pour 1000 installations sur des postes différents.
http://www.iframedollars.biz/faq.php
Page 5/60
Mai 2005
Le Sans Institute laisse entendre dans son journal quotidien que Microsoft pourrait
bien faire machine arrière, et publier en Juin une nouvelle version du correctif MS05019, bien connu de nombreux développeurs pour avoir invalidé l’accès de bas niveau dit
‘Raw Socket’ aux paquets réseaux. Certainement prise pour limiter l’efficacité des outils
d’attaque tirant parti de cette facilité native pour construire de toute pièce un paquet
réseau, cette décision a été fortement critiquée car à double tranchant puisque
impactant aussi les outils ‘légaux’ d’analyse et de recherche de vulnérabilités.
L’environnement LINUX avait alors repris un avantage certain en tant que plate-forme
d’analyse et de collecte.
http://isc.sans.org/diary.php?date=2005-05-11
Le monde de la cryptographie bouge lui aussi puisque le 12 mai dernier, le NIST
annonçait le retrait effectif de la liste des normes FIPS des différents documents liés à
l’utilisation de l’algorithme de chiffrement DES dans sa forme la plus simple. Ont ainsi
été décommissionnées le 19 mai, les normes FIPS 46-3 (DES), FIPS 74
(implémentation), et FIPS 81 (mode opératoire). La fin d’un algorithme de chiffrement
mondialement connu, et objet de toutes les rumeurs. Souhaitons que soient révélés, un
jour, les détails des travaux menés par la NSA sur cet algorithme qu’ils ont adaptés,
rappelons-le, de l’algorithme de 128bits, dit Lucifer, conçu en 1975 dans les
laboratoires d’IBM.
http://frwebgate1.access.gpo.gov/cgi-bin/waisgate.cgi?WAISdocID=603207185906+0+0+0&WAISaction=retrieve
Le brevet N° 6.829.355, déposé en mai 2001 par un chercheur de la NSA et publié
début mai, porte sur un algorithme de génération d’une somme cryptographique
annoncée «to hash a value in a manner that meets the security requirements of AES
and is more secure than MD5 and SHA-1». La comparaison de cet algorithme avec les
différentes versions de l’algorithme SHA prouve sans ambiguïté que le brevet porte sur
l’algorithme SHA-512, dit SHA-2, en effet conçu par la NSA puis normalisé par le
NIST. A ce jour, et à notre connaissance, aucun des documents publiés à propos de
SHA-2 ne mentionne l’existence d’un quelconque brevet. Doit-on dès lors envisager
d’avoir à verser sous peu des royalties à la NSA pour pouvoir utiliser un algorithme de
condensation plus sûr que les algorithmes MD5 et SHA-1 pour lesquels de nombreuses
collisions ont été mises en évidence ?
http://assignments.uspto.gov/assignments/q?db=pat&pat=6829355
Pour conclure, un défi intitulé ‘HackIIS6’ a été lancé le 2 mai dernier dont l’objectif est
de prendre le contrôle d’un serveur IIS6 publiquement accessible. A la clef, une XBOX
qui sera remise à la première personne ayant réussi l’une des quatre conditions
énumérées sur le site. Ce défi sera clôt le 8 juin prochain à minuit. Gageons que de
nouvelles techniques d’attaque devraient voir le jour à cette occasion …
http://www.hackiis6.com/rules.htm
L’équipe de Veille Technologique
Page 6/60
Mai 2005
PR
RO
OD
DU
UIIT
TS
SE
ET
T TE
EC
CH
HN
NO
OL
LO
OG
GIIE
ES
S
LES
PRODUITS
BHO-DEMON V2.0
# Description
La multiplication des logiciels espions de toutes sortes – Adwares et Spywares dans le jargon - automatiquement
installés sans que l’utilisateur n’en soit averti conduit à devoir s’équiper en dispositifs de détection voire idéalement de
prévention.
De plus en plus de logiciels sont disponibles qui offrent un bon de niveau de protection contre cette nuisance aussi
bien sous la forme d’un module venant en complément d’une application de sécurité, généralement un produit
antivirus - que sous la forme d’outils autonomes et spécialisés.
Dans cette dernière catégorie, on pourra citer le célèbre ‘Ad-Ware SE’ de la société LavaSoft (une version destinée à
l’utilisation personnelle est gracieusement proposée) qui excelle dans la détection et l’éradication des logiciels espions
mais aussi des URL manipulées et des cookies trop bavards.
Entièrement gratuit et offrant une protection étendue à d’autres formes de menaces, le logiciel ‘SpyBot Search &
Destroy’ offre une fonction de protection résidente intégrée au navigateur permettant d’agir avant que le logiciel
malicieux ne soit installé.
Notre liste des produits les plus connus ne serait pas complète sans mentionner l’intervention de la société Microsoft
dans ce domaine avec son produit ‘Microsoft Windows AntiSpyware’ - toujours en version de test gratuite à l’heure
actuelle mais payante à terme - offrant lui aussi un fonctionnement en mode ‘détection a posteriori’ mais aussi en
mode ‘prévention en temps réel’.
Nos lecteurs intéressés par la comparaison de ces trois produits, tous aussi attirants et réputés, pourront se référer à
deux articles comparatifs, l’un écrit par un indépendant et paru en janvier dernier sur le site ‘FlexBeta’, l’autre par le
‘laboratoire Microsoft de SupInfo’. Ces articles mettent tous deux en avant la performance du produit Microsoft
dans sa version béta.
Un quatrième produit, diffusé dès juin 2004
dans sa version 2.0, mérite d’être présenté
car parfaitement complémentaire, de notre
point de vue, aux trois grands outsiders
précités.
Le programme ‘BHO–Demon’ s’intéresse en
effet à une catégorie bien spécifique de
logiciels espions, celles des logiciels utilisant
l’interface dite ‘Browser Helper Objects’, ou ‘BHO’, mise à disposition par Microsoft pour étendre les fonctionnalités
de son navigateur.
Installé en tant qu’application
automatiquement lancée lors
de l’ouverture d’une session,
ce programme supervise en
temps réel l’enregistrement
des objets utilisant l’interface
‘BHO’.
En cas de modification de l’une
des clefs de la base de registre
associées à cette interface,
une fenêtre d’alerte sera
présentée à l’utilisateur.
Celui pourra alors obtenir tous
les détails disponibles par un
simple double-clic sur l’entrée
correspondant à l’objet ayant généré l’alerte dans l’interface
principale. Le niveau de risque associé est quantifié à partir d’une
liste régulièrement mise à jour des objets connus utilisant cette
interface.
L’utilisateur peut instantanément désactiver un quelconque objet en
cochant la boîte de sélection présentée dans l’interface principale en
regard du nom de l’objet. Il s’agit bien ici d’une désactivation, et
non d’une désinstallation, la librairie dynamique enregistrée pour l’
objet étant tout simplement renommée sans modification aucune des clefs associées dans la base de registre.
Page 7/60
Mai 2005
Cette approche conservatrice permet de limiter les risques de
dysfonctionnement liés à la destruction d’une clef susceptible
d’être utilisée ou surveillée par d’autre composants de l’objet
tout en désactivant les fonctions associées au navigateur.
En cas de problème, l’utilisateur peut instantanément
réactiver les fonctions en cochant la bonne entrée dans
l’interface principale.
Les tests menés sur la dernière version disponible de cette
application
(V2.0.0.22)
n’ont
mis
en
évidence
ni
dysfonctionnement ni erreurs de détection.
L’utilisateur veillera cependant à régulièrement purger le
fichier de journalisation très détaillé et donc très rapidement
volumineux pour lequel aucune option de désactivation n’est
hélas proposée dans le menu de configuration.
On notera cependant que certains outils d’extension des
fonctionnalités du navigateur Internet Explorer n’utilisent
pas l’interface offert à cette fin par Microsoft et ne seront en
conséquence pas détectés.
C’est le cas par exemple de la très intéressante barre d’outils
proposée par la société ‘NetCraft’ (Rapport N°78 – Janvier
2005).
L’interface principale ‘BHO–Demon’ propose l’accès aux
statistiques établies à partir des informations remontées
volontairement par les utilisateurs. On notera la très large
prédominance d’extensions associés à des applications
connues et largement utilisées, la première occurrence d’un
logiciel de type espion apparaissant en 22ième position.
# Complément d'information
http://www.definitivesolutions.com/bhodemon.htm
http://www.lavasoftusa.com/software/adaware/
http://www.spybot.info/fr/index.html
http://www.microsoft.com/athome/security/spyware/default.mspx
http://www.labo-microsoft.com/articles/win/antispyware/
http://www.flexbeta.net/main/printarticle.php?id=84
- Site BHODemon
- AD-Ware SE Personal
- Spybot Search & Destroy
- Microsoft AntiSpyware
- Analyse comparative des solutions antispyware
- Comparatif entre les outils LavaSoft, SpyBot S&D et Microsoft
WIKTO V1.6
# Description
A l’occasion de la dernière conférence BlackHat, la société de service ‘SensePost’, basée en Afrique du
Sud, annonçait la diffusion de la version 1.6 de Wikto, un outil d’analyse des service WEB fonctionnant
en environnement Windows (Rapport N°81 – Avril 2005). Accessible gracieusement moyennant
cependant un enregistrement préalable, cet outil a été développé en environnement ‘.NET’.
Nombreux sont les outils spécialisés permettant d’analyser un site WEB dans l’optique d’en extraire toute information
utile pour en prendre le contrôle, ou plus simplement pour collecter diverses informations sensibles. Parmi les outils
les plus connus, on pourra citer:
# Httrack: un remarquable outil Windows de recopie de sites WEB exploitable pour obtenir une information sur la
structure exacte d’un quelconque site,
# Httprint: un outil Windows permettant d’identifier le serveur WEB utilisé sur un site donné permettant ainsi
d’optimiser l’analyse en adaptant la recherche aux spécificités du serveur,
# Nikto:
un utilitaire Unix autorisant l’analyse d’un site WEB à partir d’une liste de ressources réputées sensibles
ou révélatrices d’une vulnérabilité en tenant compte des éventuelles modifications apportées aux
messages d’erreur,
# GHDB:
une base de données, dite ‘Google Hack DataBase’, maintenue par un passionné de l’utilisation de
Google en tant que révélateur de vulnérabilités.
Avec Wikto, l’utilisateur n’aura plus à jongler avec ces différents outils en utilisant les résultats de l’un comme
paramètre de contrôle de l’autre puisque l’interface graphique donne non seulement accès à chaque outil mais autorise
aussi le transfert des différents résultats utiles.
La démarche retenue par les auteurs consiste à collecter un maximum d’informations sur le site cible et sa structure
puis à réutiliser celles-ci pour affiner l’analyse. Pour ce faire, les fonctions rattachées à une action précise sont
regroupées dans une interface graphique spécifique accessible à tout instant par le biais d’un onglet.
Mirror & Fingerprint
Page 8/60
Mai 2005
La première action consiste à engager une
analyse structurelle du site, complétée d’une
identification du type de serveur WEB utilisé.
Pour cela, Wikto fait appel aux outils externes
‘Httrack’ et ‘Httprint’ qui auront dû être
installés indépendamment puis configurés par
le biais de l’onglet réservé à cet usage.
# ‘Httrack’ est utilisé pour acquérir la
structure du site en recopiant celui-ci
localement dans un répertoire configurable,
une extraction des répertoires logiques
étant ensuite effectuée dont les résultats
sont présentés dans la fenêtre ‘Directories
mined’ et sauvegardés pour pouvoir être
importés par les autres fonctions. Les liens
pointant vers des sites externes sont
présentés pour information.
L’utilisateur veillera ici à configurer le
répertoire d’accueil de la copie du site sur
un
volume
logique
disposant
de
suffisamment de place pour accueillir celleci. La place occupée pourra être récupérée
en configurant l’option autorisant
la
destruction de la copie locale du site.
Les tests menés ont permis de mettre en évidence à ce niveau de légers dysfonctionnements dont les auteurs
nous ont annoncé qu’ils seront corrigés dans une prochaine version. En premier lieu, les filtres actuellement
positionnés pour limiter la copie du site aux seuls fichiers pertinents sont encore trop ouverts, et conduisent à
recopier des fichiers disposant d’une extension ‘zip’ ou ‘pdf’. Le volume de certains fichiers conduit alors à un
temps de transfert dépassant largement le délai maximal positionné par défaut à 60s. Il s’ensuit l’arrêt de la
copie du site distant sans que l’utilisateur n’en soit informé. L’analyse de la structure du site sera alors erronée
car incomplète. Le remède actuel consiste à largement sur-dimensionner le délai d’attente pour assurer une
recopie complète.
Un second problème apparaît lorsque l’utilisateur mentionne une URL – ‘http://xxx.yyy.com/’ par exemple - en
lieu et place du nom du site – ‘xxx.yyy.com’ - dans la boîte de saisie prévue à cet effet. Si la phase de copie
s’avère parfaitement fonctionner, la phase d’extraction des résultats s’arrête en erreur. Ce problème devrait être
corrigé à l’occasion de la mise à disposition d’une version à même de gérer le protocole HTTPS.
# ‘Httprint’ est activé à la fin de la phase précédente pour obtenir une identification du serveur WEB utilisé par le
site cible. Cette identification permettra à l’exploitant d’optimiser ultérieurement les tests qui seront effectués sur
le site.
Googler
La seconde action vise à récolter toutes les
informations
concernant
les
ressources
exportées par le site cible ayant été collectées
par le moteur d’indexation ‘Google’.
L’interface
programmatique
d’accès
aux
fonctions de recherche du service Google est
utilisée pour se faire, interface dont l’emploi
nécessite de disposer d’une licence qui sera
configurée par le biais de l’onglet réservé à cet
usage.
Cette licence peut être obtenue gratuitement
mais sera limitée à 1000 requêtes par jour.
Une option de configuration permet de
contrôler le nombre maximal de requêtes
transmises mais aucune information n’est
fournie concernant le mécanisme de contrôle
ici mis en œuvre.
L’utilisateur renseignera le nom du site cible
ainsi que les paramètres de la recherche
transmise au moteur d’indexation dont les
mots clefs (champ ‘Google Keyword’) et les
types de ressources (champ ‘File Type’).
La requête générée prendra la forme suivante:
<Google Keyword> filtetype: <FileType> site: <Site/Domaine>
Les répertoires découverts par ce biais sont présentés dans la fenêtre ‘Directories mined’ et sauvegardés pour
pouvoir être importés par les autres fonctions.
BackEnd
Page 9/60
Mai 2005
Les deux étapes précédentes d’acquisition
d’informations ayant été engagées, l’utilisateur
peut vouloir engager une action de recherche
systématique des ressources critiques ou
sensibles susceptibles d’être présentes sur le
serveur.
Il pourra utiliser pour cela la liste des
répertoires connus, liste maintenue à jour par
‘SensePost’, éventuellement complétée des
noms de répertoires précédemment collectés.
Une requête de type GET ou HEAD sera
transmise pour chaque combinaison d’un nom
de répertoire, d’un nom de fichier et d’une
extension, une liste de noms et d’extensions
de fichiers connus pouvant être téléchargée
depuis le site ‘SensePost’.
Les réponses à ces requêtes sont analysées
selon une stratégie configurable permettant de
prendre en compte des réponses a priori
positives (Code 200) mais correspondant en
réalité à une page d’erreur.
Lorsque l’option ‘AI’ n’est pas activée, les
codes d’état contenus dans les réponses sont
utilisés pour déterminer la présence ou l’absence de la ressource demandée en tenant compte de deux tables de
décision reconfigurable. Ces tables indiquent les codes d’état associés au bon chargement, respectivement, d’un
répertoire et d’un fichier.
Activée, l’option ‘AI’ conduit à ignorer totalement le code d’état retourné dans la réponse, et à prendre une décision
basée sur la reconnaissance d’éléments caractéristiques dans les pages d’erreur retournées par le serveur. L’idée
de base est de transmettre un ensemble représentatif de requêtes dont on est sûr qu’elles provoqueront une
réponse correspondant à un cas d’erreur, réponse qui sera ensuite stockée sous la forme d’une signature tenant
compte de la localisation, du nom et de l’extension de la ressource.
Les signatures des réponses obtenues aux requêtes générées à partir des listes de répertoires, de fichiers et
d’extension seront ensuite comparées aux signatures obtenues pour ces mêmes répertoires et extensions. Une
mesure de la distance entre la signature d’une réponse négative et celle de la réponse courante est calculée sous la
forme d’une valeur allant de 0 à 1, la valeur 0 correspondant à l’égalité parfaite des deux signatures.
L’utilisateur pourra modifier s’il le souhaite le seuil de décision en configurant la distance maximale autorisée pour
conclure à la réception d’une réponse négative, et ne pas prendre la requête en compte dans les résultats.
Les répertoires et fichiers collectés sont présentés dans deux fenêtres et peuvent être exportés pour une utilisation
ultérieure. On notera que le contenu de toutes les fenêtres sont éditables en permanence par l’utilisateur autorisant
ainsi une modification en temps réel des données d’entrée mais aussi la correction éventuelle des résultats.
Wikto
La fonction accessible via l’onglet reprend les
concepts initialement intégrés à l’outil Nikto
ne fonctionnant qu’en environnement LINUX.
L’objectif est d’identifier la présence de
ressources connues, réputées sensibles ou
révélatrices d’une vulnérabilité.
La base de données maintenue par l’auteur de
Nikto (3212 entrées dans la dernière mise à
jour) est ici utilisée. Cette base contient, pour
chaque ressource identifiée, une chaîne de
caractères qui si elle est présente dans la
réponse permet de confirmer l’existence de
cette ressource.
Dans certains cas, cette chaîne de caractère,
dite ‘trigger’, ne permettra pas de distinguer
une réponse positive d’une réponse négative.
Il sera alors nécessaire d’activer la stratégie de
décision, décrite précédemment, basée sur
l’analyse de la signature de la réponse.
Certaines requêtes présentent dans la base
Nikto font appel à la variable d’environnement
@CGIDIRS pour déterminer l’emplacement du
répertoire accueillant les scripts ‘cgi-bin’.
Cette variable sera renseignée par les répertoires saisis dans la fenêtre ‘CGI dirs’ manuellement ou
automatiquement en important les résultats de certaines étapes de l’analyse, en l’occurrence ‘Googler’ et
‘BackEnd’. Ici encore, les résultats de l’analyse pourront être exportés dans un fichier au format ‘CSV’.
GoogleHacks
Page 10/60
Mai 2005
Cette dernière fonction permet de rechercher
dans Google toutes les données considérées
comme sensibles ou révélatrices d’une erreur
de configuration du serveur WEB cible de
l’analyse.
La base de donnée GHDB au format XML,
maintenue par Johnny Long (1139 dans la
dernière mise à jour) est ici utilisée.
La clef de licence ad’hoc, par ailleurs utilisée
par la fonction ‘Googler’ devra avoir été
renseignée.
Conçu pour automatiser la recherche de toute
les requêtes Google contenues dans la base,
l’outil offre une possibilité d’effectuer une
recherche précise, saisie manuellement ou
sélectionnée dans la base, sans précision
quant à la cible.
L’approche retenue par le concepteur de ‘Wikto’
est particulièrement intéressante. En regroupant
au sein d’une même interface graphique l’accès
aux différentes étapes de l’analyse d’un serveur
WEB, et en autorisant le transfert des résultats
d’une étape vers l’autre, l’utilisateur peut mettre
facilement en œuvre une démarche itérative en affinant peu à peu les critères et éléments de recherche en s’appuyant
sur une référence propre au site plutôt que de travailler à l’aveugle sur une base générique.
Les essais menés sur cet outil confirme son efficacité sur des sites classiquement configurés pour être publiquement
accessibles. Son efficacité diminue, mais cela est parfaitement normal avec une approche en aveugle, sur des sites
dont la configuration et la structure ont été complètement remaniées, en ne respectant pas les ‘us et coutumes’ en
matière de nommage et d’organisation des répertoires.
http://www.blackhat.com/presentations/bh-europe-05/bh-eu-05-sensepost.pdf
http://www.sensepost.com/research/wikto/
http://www.httrack.com/
http://net-square.com/httprint/
http://www.cirt.net/code/nikto.shtml
http://johnny.ihackstuff.com/index.php?module=prodreviews
- Présentation BlackHat
- Outil Wikto
- Outil HtTrack
- Outil HttPrint
- Base et outil Nikto
- Base GHDB
Page 11/60
Mai 2005
LES
TECHNOLOGIES
BASE DE DONNEES
SQL SERVER2005 – EXTENSION DES FONCTIONNALITES DE SECURITE
# Description
Microsoft vient de publier deux articles fort intéressants concernant les fonctions de sécurisation qui
devraient être intégrées à la version finale de ‘SQL Server 2005’.
Don Kiely, l’auteur des articles, précise en effet que les tests et analyses qu’il a effectués portent sur une version non
finalisée de cette application et que les informations fournies pourraient faire l’objet de modification sans préavis de la
part de la société Microsoft.
Quoiqu’il en soit, les évolutions présentées dans les deux articles démontrent une réelle volonté de mettre à
disposition un système de gestion de base de données offrant un niveau de sécurité très poussé et applicable avec une
bonne granularité.
Publié dans le numéro d’été du magazine ‘TechNet’, le premier article intitulé ‘On the horizon: Improved data
security in SQL Server 2005’ s’intéresse aux nouvelles fonctionnalités de sécurité du point de vue administratif.
Microsoft continue ici sa politique de sécurisation par
« défaut » – dite Trustworthy Computing initiative
(Sécurisé par conception, sécurisé par défaut, sécurisé
dans le déploiement) – engagée avec Windows XP en
limitant au strict minimum requis les services installés
et activés par défaut.
Service
Installé
Actif
Analysis Services
non
CLR Integration
OUI
NON
Database Mirroring
OUI
NON
Debugging
OUI
NON
Integration Services
non
Nous reproduisons ci-contre le tableau récapitulant
Notification Services
non
l’état des différents services à la suite de l’application
Replication
non
de la procédure d’installation.
Reporting Services
non
Service Broker
OUI
NON
Comme le fait remarquer l’auteur, la surface d’attaque
SQLeMail
OUI
NON
en est d’autant réduite limitant ainsi le risque de
compromission d’un serveur installé par défaut.
SQLMail
OUI
NON
Les thèmes suivants sont abordés dans cet article d’environ 4 pages:
# Password policy
# Granular permissions
# Proxy accounts
# User/Schema separation
# Execution context
# Encryption
Complément du précédent, le second article du même auteur est Figure 2 Securable Objects in SQL Server 2005
intitulé ‘HACKERS BEWARE: Keep Bad Guys at Bay with the
Advanced Security Features in SQL Server 2005’.
Il a été publié dans le numéro du mois de Juin du magazine ‘MSDN’
et détaille certains des thèmes abordés dans l’article précédent en
apportant quelques précisions techniques sur les mécanismes
utilisés.
Les thèmes suivants sont abordés dans cet article d’environ 8 pages:
# Permissions
# Catalog views and metadata visibility
# User/Schema separation
# Execution context
# Encryption
Ici encore, chaque thème est illustré, et complété si besoin,
Fig.5 Encryption hierarchy in SQL Server 2005
d’exemples pratiques écrits en SQL. Ceci s’avère fort utile pour
mieux appréhender l’intérêt mais aussi les limitations de certaines
fonctionnalités dont celles autorisant le chiffrement des données, et
le mécanisme de gestion des clefs associé.
Nos lecteurs désireux d’approfondir ce sujet pourront aussi se référer
à la série des quatre articles publiés en ligne sur le site ‘Database
Journal’.
On notera que ceux-ci ont été réalisés sur la base des fonctionnalités
livrées avec la version Beta 2 du serveur SQL 2005:
# Partie 1: Authentification
# Partie 2: Autorisation
# Partie 3: Chiffrement
# Partie 4: Conclusion
Page 12/60
Mai 2005
http://msdn.microsoft.com/msdnmag/issues/05/06/sqlserversecurity/default.aspx
http://www.microsoft.com/technet/technetmag/issues/2005/05/DataSecurity/default.aspx
http://www.databasejournal.com/features/mssql/article.php/3461471
- Article MSDN
- Article TechNet
- Article Database Journal partie 1
VEILLE
HNS - (IN)SECURE MAGAZINE
# Description
Début mai, le portail d’information Help Net Secure (‘HNS’) a annoncé la disponibilité du premier numéro
d’un nouveau magazine nommé ‘(IN)SECURE Magazine’.
Entièrement consacré à la sécurité des systèmes d’information, ce magazine est publié au format PDF et
distribué gratuitement avec une périodicité non encore définie. Ce premier numéro dévoile une ligne
éditoriale mélangeant des articles de fond (3), techniques mais accessibles à tous, à des articles de
synthèse (7) dont quelques-uns prennent la forme d’une publicité plus ou moins déguisée.
Dans ce premier numéro de 46 pages et de 10 articles, nous avons ainsi comptabilisé, en tout et pour tout, 4 encarts
purement publicitaires et 2 articles publicitaires déguisés, un ratio qui reste parfaitement acceptable pour une
publication gratuite et innovante.
Au sommaire du N°1:
N: Nouvelles commerciales
2p
N Corporate news
S: Synthèse
2p
S Does Firefox really provide more security than Internet Explorer ?
P: Article publicitaire
3p
S Latest addition to our bookshelf
T: Présentation technique
3p
S Security risks associated with portable storage devices
1p
P 10 tips on protecting customer information from identity theft
4p
T Linux security - is it ready for the average user?
5p
T How to secure your wireless network
1p
P Considerations for preventing information leakage
S An introduction to securing Linux with Apache, ProFTPd & Samba 11p
10p
T Security vulnerabilities in PHP Web applications
Les trois articles, classés par nous dans la catégorie ‘présentation technique’, sont d’un excellent niveau, et n’ont rien
à envier à certaines publications commerciales. Le thème ‘latest addition to our bookshelf’ permet de prendre
connaissance d’un coup d’œil des dernières nouveautés publiés par les maisons d’édition spécialisées dans la presse
technique américaine (Prentice Hall, Addison-Wesley, Syngress, …). On notera qu’ici chaque ouvrage est présenté par
un commentaire personnalisé et non une description simplement reprise sur le site de l’éditeur.
(IN)SECURE magazine se positionne à mi-distance des magazines très techniques destinés aux spécialistes tels
Phrack (gratuit, éd. en ligne), Alt2600 (payant, éd. papier) ou encore le remarquable MISC français (payant, éd.
papier) et les publications destinées aux décideurs tel que le bulletin mensuel publié par Bruce Schneier (gratuit, éd.
en ligne) ou le très intéressant magazine CSO (payant, éd. En ligne) pour ne citer que les meilleures sources
d’information actuellement disponibles sous une forme structurée.
http://www.net-security.org/dl/insecuremag/INSECURE-Mag-1.pdf
- (IN)SECURE magazine N°1 04/05
Page 13/60
Mai 2005
IN
NF
FO
OR
RM
MA
AT
TIIO
ON
NS
SE
ET
T LE
EG
GIIS
SL
LA
AT
TIIO
ON
N
LES
INFORMATIONS
ORGANISATIONS
VOIP – CREATION DE L’ALLIANCE VOIPSA
# Description
En février dernier, un communiqué de presse annonçait la création de l’alliance pour la
sécurité de la voix sur IP désignée par le sigle ‘VoIPSA’.
A l’heure où la technologie VoIP atteint sa phase de maturité, nombre de travaux sont publiés qui mettent en
évidence la vulnérabilité relative de cette technologie, du moins lorsqu’elle est utilisée sans précaution et sur des
infrastructures non protégées ou disposant d’accès publics. Ainsi, le terme de VoIP Spam a fait son apparition il y a
quelque mois aux USA pour désigner les campagnes de télémarketing tirant parti de ce support, et des technologies
d’accès facilitant l’automatision de l’ensemble du traitement. La publication il y a un an de l’utilitaire ‘VoMit’ suivi
quelques mois après par le remarquable outil ‘VoIPPong’ a jeté un réel doute sur le niveau de confidentialité
réellement offert par la majorité de protocoles standardisés lorsqu’ils sont utilisés sur un réseau d’entreprise.
Conscient du risque posé par la diffusion d’une technologie non sécurisée, les principaux acteurs du marché de la
téléphonie sur Internet ont décidé de prendre le problème à bras le corps en s’associant autour d’un groupe d’intérêt
dénommé Voice Over Ip Security Alliance.
Bizarrement, si celle alliance regroupe quelques 50 éditeurs, fabricants de matériels de téléphonie sur IP et
fournisseurs d’accès tous américains à l’exception des sociétés européennes Siemens et Alcatel, les plus grands
fournisseurs d’équipement de connexion, dont Cisco et Juniper, n’ont pas encore rejoint l’alliance.
Le 28 mars dernier était nommé le comité de direction. Cinq comités techniques étaient définis à cette occasion Security Requirements, Best Practices, Testing, Security Research, Education & Community outreach –
pilotés par des spécialistes reconnus du domaine.
Une liste de diffusion accessible à tous a été mise en place qui permet de prendre
connaissance de l’évolution des deux axes de recherche considérés comme prioritaires –
Threat Taxonomy et Security Requirements - et de collaborer à l’avancement des
travaux.
La revue ‘IntelligenceOnLine’ a publié à ce sujet un intéressant diagramme mettant
en évidence le réseau de relations existant entre trois responsables de comité et
différentes officines et sociétés œuvrant activement dans le domaine de la sécurité.
En se connectant sur le site ‘IntelligenceOnLine’, nos lecteurs pourront consulter ce
diagramme, sans pour autant y accorder trop d’importance étant donné le nombre
d’acteurs cités mais n’ayant aucun lien direct avec l’alliance VoIPSA.
http://www.voipsa.org/
http://vomit.xtdnet.nl/
http://www.enderunix.org/voipong
http://www.intelligenceonline.com/NETWORKS/FILES/497/497.asp?rub=networks
- Alliance VoIPSA
- VoMit : outil d’extraction des flux audio
- VoIPPong : outil d’extraction des flux audio
- Réseau de relations tissées par VoIPSA
CHIFFREMENT
CHALLENGE RSA-200
# Description
En 1991, la société RSA Security lançait à la communauté des crypto-analystes une série de 41 défis intitulés ‘RSA
Factoring challenge’ dont l’objectif consistait en la factorisation – réduction sous la forme des deux facteurs
premiers - de nombres dont la longueur s’échelonnait de 100 à 500 chiffres par pas de 10 chiffres.
En mai 2001, la société RSA Security annonçait l’abandon de cette série de défis au profit d’une nouvelle série de 8
défis dotés cette fois-ci d’une prime de $10 000 à $200 000, la référence numérique identifiant désormais la taille du
nombre composite exprimée en bits et non plus en chiffres décimaux.
Ce n’est pas pour autant que les crypto-analystes allaient abandonner la toute première série, et le 9 mai dernier, une
équipe de l’université de Bonn annonçait avoir emporté le défi référencé RSA-200 correspondant à la factorisation
d’un nombre de 663 bits.
Page 14/60
Mai 2005
Série de Défis
Ancienne
Nouvelle
Taille digit/bits
RSA-100
100 /
NA
RSA-110
110 /
RSA-120
120 /
Date
Durée estimée
1991
NA
NA
1992
NA
NA
06/1993
NA
RSA-129
129 / 426
04/1994
~ 32 semaines
RSA-130
130 / 428
04/1996
~ 33 semaines
RSA-140
140 / 465
02/1999
~
RSA-155
155 / 512
08/1999
~ 30 semaines
RSA-160
9 semaines
160 / 530
04/2003
~
2 semaines
RSA-576
174 / 576
12/2003
~
? semaines
RSA-640
193 / 640
RSA-200
200 / 663
Non Factorisé
05/2005
Dotation
$20 000
~ 66 semaines
RSA-704
212 / 704
Non Factorisé
$30 000
RSA-768
232 / 768
Non Factorisé
$50 000
RSA-896
270 / 896
Non Factorisé
$75 000
RSA-1024
309 /1024
Non Factorisé
$100 000
RSA-1536
463 / 1536
Non Factorisé
$150 000
RSA-2048
617 / 2048
Non Factorisé
$200 000
Le message transmis par l’équipe indique que la méthode de crible dite ‘General Number Field Sieve’ ou ‘GNFS’ a
été encore une fois employée avec succès. La phase de tri a été distribuée sur une multitude de systèmes durant
environ 44 semaines. Effectuée sur un unique processeur Opteron à 2.2Ghz, cette seule phase aurait nécessité
environ 55 années de calcul. La phase de réduction a nécessité la mise en œuvre d’un cluster de 80 Opterons à
2.2Ghz interconnectés par un réseau Gigabit.
La factorisation d’une clef RSA de 512 bits n’est pas encore à la portée de tout un chacun même si les améliorations
des performances des grilles de calcul et l’apparition de dispositifs de factorisation spécialisés réalisables par tout bon
bricoleur laisse entendre qu’il est de plus en plus raisonnable d’utiliser des clefs de 1024 bits dans le cas de la
protection de documents sensibles sur une longue période de temps et de clefs racines de 2048 bits.
Pour conclure, rappelons que le 42ième nombre de Mersenne – un nombre premier de la forme ‘2p-1’ - a été découvert
le 18 février dernier par l’un des 78000 systèmes privés participant à la grille de calcul ‘GIMPS’ (Great Internet
Mersenne Prime Search). Il s’agit du nombre M25964951 (2^25964951-1), le plus grand nombre premier connu à ce
jour, constitué de quelques 7 816 230 chiffres !
http://www.crypto-world.com/announcements/rsa200.txt
http://www.crypto-world.com/FactorRecords.html
http://www.crypto-world.com/FactorAnnouncements.html
http://www.mersenne.org/prime.htm
- Annonce du résultat du défi RSA-200
- Liste des records de factorisation
- Historique des dernières annonces
- Grille de calcul des nombres de Mersenne
INCIDENTS
HOMELAND SECURITY - CIDDAC
# Description
Une nouvelle organisation à but non lucratif vient de voir le jour sous l’impulsion du gouvernement américain
dont l’objectif est de mettre en place un système de traitement des incidents de sécurité entièrement
automatisé. Le CIDDAC, sigle de ‘Cyber Incident Dectection Data Analysis Center’, est placé sous le
contrôle du FBI et du DHS, les membres du comité de direction appartenant, eux, à l’industrie.
Les données acquises par des sondes, dites ‘RCADS’
(Real-Time Cyber Attack Detection Sensors), positionnées
sur les réseaux des membres adhérents à l’organisation
sont collectées puis automatiquement traitées par le
centre d’opération du CIDDAC pour produire une mesure
de la menace mise à jour en temps réel.
L’accès à cette organisation n’est ouvert qu’aux entités gouvernementales américaines et autres structures publiques
ou privées considérées comme faisant partie des infrastructures à risque.
L’abonnement, d’un montant estimé à $10000 par an, comprendra la fourniture d’une sonde RCADS, le service de
surveillance 24/7/365, un support téléphonique, un service d’alerte et la fourniture de rapports de tendance.
Le centre des opérations du CIDDAC, situé dans les locaux de l’institut d’analyse des menaces stratégiques de
l’université de Pennsylvanie, a été ouvert le 20 avril dernier.
Les premiers tests de l’infrastructure en cours d’intégration devraient être effectués en octobre prochain pour une mise
en service fin décembre.
Page 15/60
Mai 2005
Face à la concurrence des systèmes de gestion des
incidents – ISAC ou Information Sharing and Analysis
Center – mettant à contribution une intervention
humaine dans le processus de traitement, le CIDDAC
met en avant une quasi-totale automatisation autorisant
une réaction extrêmement rapide.
Pour notre part, nous n’avons jamais été convaincu par
les approches faisant la part belle à l’automatisation au
détriment de l’expertise humaine.
Un tel système pourrait bien mener à des extrémités
telles que celles constatées avec le système de
prévention actuellement mise en œuvre dans le domaine
de la sécurité aérienne, où le taux de faux positifs
semble devenir bien préoccupant quand celui-ci conduit
à détourner ou interdire un vol commercial.
http://www.ciddac.org/qa.pdf
- Présentation du CIDDAC
SYSTEMES INDUSTRIELS
NISCC – PROTECTION DES SYSTEMES DE CONTROLE INDUSTRIELS (SCADA)
# Description
Le NISCC, l’officine gouvernementale responsable de la coordination des informations de
sécurité, vient de mettre à disposition publique un guide rédigé par le BCIT, l’Institut de
Technologie de la Colombie Britannique.
Intitulé ‘Good practice Guide on Firewall Deployement for SCADA & Process Control Networks’, ce guide de
42 pages s’intéresse aux bonnes pratiques de sécurité appliquées aux systèmes de contrôle industriel.
Modélisation d’un système de contrôle industriel
Désignés par les sigles SCADA (Supervisory Control And Data
Acquisition), ou encore ICS (Industrial Control Systems), ces
systèmes étaient à l’origine constitués de ‘simples’ automates
programmables interconnectés par le biais de réseaux
industriels temps réels spécialisés, généralement indépendants
et isolés des réseaux informatiques.
L’évolution de ces infrastructures a suivi celle des technologies
de l’informatique pour aboutir depuis quelques années à des
systèmes de contrôle constitués d’équipements informatiques
classiques interconnectés par le biais de réseaux locaux, dans
bien des cas, des réseaux IP tôt ou tard connectés à l’Internet.
La problématique de la sécurité de ces systèmes, jusqu’alors
partiellement assurée par la spécificité des équipements et des
réseaux de données utilisés, devient celle de la sécurisation d’un système d’information classique mais affecté
d’exigences spécifiques au sein d’une infrastructure de communication ouverte et fortement interconnectée.
S’il apparaît fort pertinent de pouvoir piloter un processus industriel depuis un poste de travail lambda en s’appuyant
sur les technologies issues de l’Internet, dont les mécanismes de présentation offerts par un service WEB, il s’avère
extrêmement risqué de le faire dans un environnement interconnecté sans disposer de mécanismes de contrôle
performants et adaptés au niveau du risque.
Il y a quelques années encore, certains petits malins avaient découvert qu’il était parfaitement possible de manipuler à
distance, via un accès public, le système de gestion téléphonique de certains grands opérateurs américains, ou encore
les systèmes d’affichage d’information mis en place dans certaines grandes agglomérations.
En France, une rumeur à longuement circulé sur la possibilité de se connecter depuis un quelconque accès Internet sur
le serveur WEB embarqué dans les systèmes fixes de contrôle de vitesse automatique à la seule condition de
connaître l’adresse IP de l’équipement raccordé en ADSL …
Plus simple à vérifier, et toujours d’actualité, on citera le véritable problème posé par l’adoption du standard de
communication IP, et plus précisément du protocole HTTP, par les dispositifs de surveillance périmétriques telles que
les caméras de surveillance ! Bien souvent simplement connectés, dans leur configuration de base, à un réseau IP,
voire à l’Internet, ces éléments essentiels d’un système de contrôle se retrouvent listés dans les moteurs d’index
offrant alors à tout un chacun la possibilité de les inventorier et de visualiser le périmètre surveillé, voire même d’en
modifier la définition dans le cas d’équipements télécommandables.
Le guide publié par le NISCC est destiné à aider les personnels, en charge de la gestion et de l’interconnexion de
systèmes de contrôle industriel, à définir une infrastructure à base de pare-feu permettant de renforcer l’isolation des
réseaux de production et de gestion lorsque ceux-ci ne peuvent être physiquement isolés. L’objectif est de réduire le
risque d’une atteinte à l’intégrité et à la disponibilité du système de contrôle, et par conséquent des processus gérés,
par le biais des réseaux de raccordement non directement contrôlés.
Ainsi, après un rappel des différentes catégories d’équipements de filtrage, le guide aborde le point de clef, celui de la
Page 16/60
Mai 2005
définition des exigences applicables aux systèmes de contrôle industriel en matière de sécurité. Sont ensuite
présentées différentes infrastructures types destinées à assurer le cloisonnement du système vis à vis des autres
systèmes partageant tout ou partie de l’infrastructure de communication.
Une métrique exprimée sur trois axes – Sécurité, Facilité d’administration et Extensibilité - permet de comparer
les avantages et inconvénients des différentes infrastructures. Les principes fondamentaux, desquels découleront les
règles de filtrage positionnées sur les pare-feux, sont ensuite détaillés.
Le futur est abordé brièvement dans le dernier chapitre par la présentation de quelques nouvelles approches plus
aptes à traiter les spécificités protocolaires des systèmes de contrôle industriel. Sont ainsi cités le pare-feu dédié au
protocole industriel MODBUS/TCP développé en environnement LINUX et les travaux menés par le British Columbia
Institute of Technology (l’éditeur du guide) dans le domaine des micro pare-feu distribués.
La table des matières de ce guide de 42 pages est la suivante:
1 Introduction
2 What is a firewall?
2.1 Types of firewalls
2.2 Classes of firewalls
2.2.1 Packet filter firewalls
2.2.2 Stateful firewalls
2.2.3 Application proxy firewalls
2.2.4 Deep packet inspection firewalls
2.3 Other firewall services
3 Overall security goals of PCN/SCADA firewalls
4 Common SCADA/PCN segregation architectures
4.1 Dual-homed computers
4.2 Dual-homed server with personal firewall software
4.3 Packet filtering router/layer-3 switch between PCN and EN
4.4 Two-port firewall between PCN and EN
4.5 Router/firewall combination between PCN and EN
4.6 Firewall with demilitarized zones between PCN and EN
4.7 Paired firewalls between PCN and EN
4.8 Firewall and vlan-based process network combinations
4.9 Summary of firewall architectures
5 Firewall implementation and configuration
5.1 General firewall policies
5.2 Rules for specific services
5.2.1 Domain name service (DNS)
5.2.2 Hyper text transfer protocol (HTTP)
5.2.3 File transfer protocol (FTP) and trivial file transfer protocol (TFTP)
5.2.4 Telnet
5.2.5 Simple mail transfer protocol (SMTP)
5.2.6 Simple network management protocol (SNMP)
5.2.7 Distributed component object model (DCOM)
5.2.8 Scada and industrial protocols
5.3 Network address translation (NAT)
5.4 Specific pcn firewalls issues
5.4.1 Data historians
5.4.2 Remote support access
5.4.3 Multicast traffic
6 Management of PCN/SCADA firewalls
7 Special or future technologies
7.1 Scada protocol aware firewalls
7.2 Distributed micro-firewalls
7.3 Quality of service (QoS)
7.4 One way communication paths
Acronyms
References
Le lecteur intéressé par ce sujet pourra relire avec intérêt le profil de protection publié par le NIST américain sous la
référence ‘SPP-ICS / System Protection Profile – Industrial Control Systems ’ (Rapport N°77 – Décembre 2004).
# Complément d’information
http://www.niscc.gov.uk/niscc/docs/re-20050223-00157.pdf
http://www.isd.mel.nist.gov/projects/processcontrol/SPP-ICSv1.0.pdf
http://modbusfw.sourceforge.net/
- NISCC: Guide d’architecture
(UK)
- NIST: Profil de protection
(USA)
- Filtrage du protocole ModBUS sous LINUX
Page 17/60
Mai 2005
ALERTES
CAIF – COMMON ANNOUNCEMENT INTERCHANGE FORMAT V1.2
# Description
En 2002, le CERT de l’université de Stuttgart initiait le projet ‘CAIF’ motivé par la nécessité de
disposer d’un format normalisé d’alerte de sécurité générique permettant de rendre réutilisables
les alertes diffusées par tout un chacun, extensibles et facilement manipulables par des systèmes de traitement
automatisés. Une première version du cahier des charges était ainsi diffusée en janvier 2003 suivie en février 2004 de
la première version de la spécification du format, le DTD correspondant étant livré en mai 2004.
Début 2005, un travail conséquent de restructuration a été engagé menant à la mise à disposition de la version 1.2
puis de la version 1.2.2 en mai dernier des spécifications et du DTD associé.
L’analyse de ce DTD à l’aide de l’excellent outil Turbo XML de la
société TIBCO permet de visualiser la structure CAIF laquelle utilise
80 définitions spécifiques contenant au total quelques 152 attributs.
Ce modèle de données apparaît bien riche au regard de l’objectif
annoncé par le RUS-CERT de disposer d’un modèle simple et
aisément manipulable.
Cela s’explique par le fait que la structure proposée est notablement
alourdie par la définition de quelques 31 éléments ‘secondaires’
uniquement destinés à décrire la présentation des données utiles !
Ainsi, le DTD (re)définit des
éléments de mise en valeur
(b:bold, vb:very bold, …) et
de structuration (table, tr:
table row, p: paragraph, pre,
..) du texte, choix justifié aux
chapitres 9 (‘Text Markup Elements’) et 10 (‘Document Structuring
Elements’). L’auteur de la spécification argumente qu’il lui est apparu
nécessaire de spécifier des éléments de présentation ‘étendus’ pour
assurer un rendu correct dans différents formats dont HTML et PDF.
C’est ainsi qu’un élément ‘menu’ est défini constitué de deux
attributs dont l’attribut ‘style’ qui permet de décrire toutes les
formes de menu envisageables dans l’optique louable, mais oh
combien complexe, de documenter, par exemple, les étapes requises
pour appliquer un correctif !
L’approche du RUS-CERT est loin d’être unique comme le précise la
très intéressante Annexe A du document de spécification des
besoins consacrée à la comparaison des travaux similaires menés de
part et d’autre dont:
# Le système de référencement d’une vulnérabilité mis en place par
le MITRE sous le sigle ‘CVE’,
# La base de données ‘ICAT’ s’appuyant sur le système CVE et
gérée par le NIST,
# L’excellente proposition de standard émise en 1999 par Tristan
Debeaupuis hélas resté en l’état (Rapport N°11 – Juin 1999).
L’analyse de cette dernière étude par l’auteur de CAIF confirme son
objectif de disposer d’une structure unique et générique destinée à
être prioritairement manipulée par les systèmes d’information au
détriment de la lisibilité de l’information par un être humain.
Force est de constater qu’en effet l’exemple pratique proposé pour
valider le DTD s’avère absolument illisible par le biais d’un
navigateur. Il s’avère par contre fort utile pour appréhender
l’utilisation de certains éléments de présentation et de structuration.
L’extrait de l’exemple de validation du DTD présenté ci-dessus met ainsi en évidence la capacité du modèle à résoudre
le problème du multilinguisme et de la mise en exergue de certaines informations.
Page 18/60
Mai 2005
http://cert.uni-stuttgart.de/projects/caif/
http://cert.uni-stuttgart.de/projects/caif/draft-weimer-goebel-caif-requirements.php
http://cert.uni-stuttgart.de/projects/caif/draft-goebel-caif-format.php
https://datatracker.ietf.org/public/idindex.cgi?command=id_detail&id=4217
- Site du projet CAIF
- Spécification de besoins
- DTD modèle de données
- Draft IETF détruit pour obsolescence
ESISAC – MISE A JOUR DES RECOMMANDATIONS DE SECURITE DU SECTEUR DE L’ENERGIE ELECTRIQUE
# Description
L’ESISAC (Electricity Sector Information Sharing and Analysis Center) est l’une des nombreuses
organisations gouvernementales ayant vu le jour aux USA après les évènements du 11 septembre.
Parmi les documents publiés par cette officine figure une série de recommandations de sécurité applicables dans le
contexte des opérateurs de transport et de distribution de l’énergie électrique, un secteur ouvert à la concurrence aux
Etats-Unis. Ces recommandations prennent la forme de petits guides thématiques accompagnés d’un document de
présentation.
Deux nouveaux guides viennent d’être approuvés qui portent sur la gestion des correctifs et les bonnes pratiques
d’interconnexion des réseaux des systèmes de contrôle aux autres réseaux.
Intitulé
Guideline Overview
Vulnerability and Risk Assessment
Emergency Plans
Continuity of Business Practices
Communications
Physical Security
Physical Security - Substations
Cyber Security - Risk Management
Cyber Security - Access Controls
Cyber Security - IT Firewalls
Cyber Security - Intrusion Detection
Employment Background Screening
Threat and Incident Reporting
Protecting Potentially Sensitive Information
Securing Remote Access to Electronic Control & Protection Systems
Patch Management for Control Systems
Control System - Business Network Electronic Connectivity
Date édition
14/06/2002
14/06/2002
14/06/2002
14/06/2002
14/06/2002
14/06/2002
14/06/2002
14/06/2002
14/06/2002
14/06/2002
14/06/2002
14/06/2002
10/06/2003
10/06/2003
15/10/2004
3/05/2005
3/05/2005
Pages
4
5
5
4
4
4
9
3
4
2
2
4
7
9
5
6
8
Toutes ces recommandations s’appuient sur les principes classiques de la sécurité - défense en profondeur, isolation,
réduction des privilèges, … - adaptés au contexte particulier d’un environnement critique et fortement dépendant de
systèmes de contrôle industriels.
On notera à ce propos l’amusante utilisation du langage spécifique aux électriciens, à savoir le terme ‘air gapped'
pour désigner l’isolation physique d’un système ou d’un réseau, terme ensuite adapté en ‘e-gapped’ pour désigner
une interconnexion sécurisée entre réseaux ou systèmes.
Le guide le plus étonnant reste cependant celui publié en 2002 sous le titre ‘Employment Background Screening’,
guide argumentant en faveur d’un contrôle strict - et pour le moins poussé dans le cadre d’un emploi en secteur privé
- des références de chaque candidat à un emploi. On y verra une conséquence du programme de sécurité intérieure
déclenché aux USA après les évènements du 11 septembre 2001.
A ce sujet, il apparaît qu’un véritable marché, ouvert à tous et non plus aux seuls officines spécialisées, se soit
développé dans ce domaine aux Etats-Unis. Le lecteur intéressé pourra aller consulter le site ‘InteliUS’ pour se faire
une idée des risques découlant de la corrélation d’informations obtenues grâce à l’interconnexion, et à la mise à
disposition publique, de bases de données privatives.
http://www.esisac.com/library-guidelines.htm
http://www.esisac.com/publicdocs/Guides/SecGuide-PatchMgt.pdf
http://www.esisac.com/publicdocs/Guides/SecGuide-ElectronicSec.pdf
- Liste des guides
- ESISAC: Guide de gestion des correctifs
- ESISAC: Guide de gestion des risques
SECURISATION
NSA - CATALOGUE DES GUIDES DE SECURITE
# Description
La NSA a publié le guide de sécurisation ‘Guide to Secure Configuration of Solaris 9’ ainsi qu’une mise à
jour de son document ‘Outlook E-mail Security in the Mids Malicious Code Incidents’ précédemment
intitulé ‘Outlook E-mail Security in the Wake of Recent Malicious Code Incidents’. Nous proposons en
conséquence une mise à jour de notre tableau de synthèse.
I
Document d’information et/ou de synthèse
$
Document récemment mis à jour
Page 19/60
Mai 2005
G
R
P
Guide de mise en œuvre et/ou manuel d’utilisation
Recommandations et principes élémentaires
Procédures et mise en application
%
O
Document nouvellement publié
Document obsolète
Windows XP
Système
G
Guide to Securing Microsoft Windows XP
V1.1
01/12/2003
V1.0
V1.08
19/04/2001
02/03/2001
V1.1
V1.21
V1.01
V1.0
V1.0
V1.1
V1.02
V1.02
13/10/2001
01/12/2003
26/11/2002
09/04/2001
01/01/2001
27/06/2001
01/05/2001
23/01/2001
V1.0
V1.0
06/03/2001
01/12/2000
V2.11
V2.02
V3.1
10/10/2001
10/10/2001
08/04/2002
V1.5
V1.4
V1.3
V1.0
V1.0
V1.2
08/08/2002
16/01/2004
19/07/2002
02/07/2001
13/08/2001
24/11/2003
Guide to Securing Microsoft Windows NT Networks
V4.2
18/09/2001
Guide to the Secure Configuration of Solaris 8
Guide to Secure Configuration of Solaris 9
Apple Mac OS X v10.3.x Security configuration guide
V1.0
V1.0
V1.1
09/09/2003
16/07/2004
21/12/2004
Router Security Configuration Guide, Executive Summary
Router Security Configuration Guide
Cisco IOS Switch Security Configuration Guide
V1.0c
V1.1b
V1.0
10/02/2003
10/02/2003
21/06/2004
V3.1
V3.0
V1.1
ND
ND
30/12/2004
07/01/2002
20/12/1999
08/02/2002
05/02/2004
ND
V1.73
V1.33
V1.33
V1.12
V1.14
V1.1
V1.0
V1.5
V1.1
V1.2
V1.0
V1.4
ND
03/07/2001
04/03/2002
04/03/2002
24/04/2001
05/10/2001
18/02/2002
07/2002
15/01/2003
04/2003
30/10/2003
01/04/2004
22/09/2004
Windows 2000
Références
I
I
Microsoft Windows 2000 Network Architecture Guide
Group Policy Reference
Systèmes
G
I
P
P
P
P
P
R
Guide to Securing Microsoft Windows 2000 Group Policy
Guide to Securing Microsoft Windows 2000 Group Policy: Security Configuration Tool
Guide to Securing Microsoft Windows 2000 File and Disk Resources
Guide to Securing Microsoft Windows 2000 DNS
Guide to Securing Microsoft Windows 2000 Encrypting File System
Guide to Windows 2000 Kerberos Settings
Microsoft Windows 2000 Router Configuration Guide
Guide to Securing Windows NT/9x Clients in a Windows 2000 Network
Annuaire
I
I
Guide to Securing Microsoft Windows 2000 Schema
Guide to Securing Microsoft Windows 2000 Active Directory
Certificats
R
R
R
Guide to the Secure Config. & Admin. of Microsoft W2K Certificate Services
Guide to the Secure Config. & Admin. of Microsoft W2K Certificate Services (check)
Guide to Using DoD PKI Certificates in Outlook 2000
Services annexes
I
P
P
P
P
P
Guide to Secure Configuration & Administration of Microsoft ISA Server 2000
Guide to the Secure Configuration & Administration of Microsoft IIS 5.0
Guide to Securing Microsoft Windows 2000 DHCP
Guide to Securing Microsoft Windows 2000 Terminal Services
Microsoft Windows 2000 IPsec Guide
Guide to the Secure Configuration and Administration of Microsoft Exchange 2000
Windows NT
P
Unix
P
P
P
Cisco
R
P
P
Contenus exécutables
$
O
O
R
R
Outlook E-mail Security in the Mids (Wake of Recent) Malicious Code Incidents
Guide to the Secure Configuration and Administration of Microsoft Exchange 5
Microsoft Office 97 Executable Content Security Risks and Countermeasures
Documents de Support
I
O
O
O
O
R
R
R
R
R
R
R
R
Defense in Depth
Guide to the Secure Configuration & Administration of iPlanet Web Serv Ent. Ed. 4.1
Guide to the Secure Conf. and Admin. of Microsoft IIS 4.0
Guide to the Secure Conf. and Admin. of Microsoft IIS 4.0 (Checklist Format)
Secure Config. of the Apache Web Server, Apache Server V1.3.3 on Red Hat Linux 5.1
Microsoft NetMeeting 3.0 Security Assessment and Configuration Guide
The 60 Minute Network Security Guide
Guide to Securing Microsoft Internet Explorer 5.5 Using Group Policy
Guide to the Secure Configuration and Administration of Microsoft SQL Server 2000
Guide to Securing Netscape Navigator 7.02
Guide to the Secure Configuration and Administration of Oracle9i
Guide to Sun Microsystems Java Plug-in Security
Guide to Microsoft .NET Framework Security
http://www.nsa.gov/snac/
- Portail d’accès aux guides
CIS - CATALOGUE DE PROCEDURES ET DE TESTS
# Description
Page 20/60
Mai 2005
Le CIS – Center for Internet Security – a publié ses recommandations de sécurisation pour les environnements
Oracle 9i et 10g, Solaris 10, AIX 4.3.2, 4.3.3 et 5.1, Mac OS/X 10.3 et pour les réseaux Sans-Fils. Les outils
d’application sont en cours de développement et seront publiés d’ici la fin du mois de juin.
P
D
V
Jeu de test planifiée
jeu de test disponible
Nouvelle version
P1
P2
M
Recommandations Systèmes
M
D
D
D
D
D
D
M
D
D
D
$ P
$ P
$ P
Windows NT
Windows 2000
Windows 2000 Serveur
Windows 2000 Professional
Windows XP
Windows 2003 Domain controllers
Windows 2003 Member Servers
Linux
HP-UX
FreeBSD 4.8 et plus
Solaris 2.5.1 - 9
Solaris 10
AIX 4.3.2, 4.3.3 et 5.1
Mac OS/X 10.3 et sup.
P1
P1
P2
P2
P1
P1
P1
P1
P1
P1
P1
P1
P1
P1
Recommandations Equipements réseaux
$ P Wireless Networks
D
V
P
P
CISCO IOS routeurs
CISCO PIX
CISCO CAR
CheckPoint FW1/VPN1
Recommandations Applications
$ P Oracle base de donnée 9i et 10g
D
D
P
P
Profil N°1 – minimal, conservateur
Profil N°2 – étendu, protectionniste
Mise à jour
P1
P1
P1
P1
P1
P1
P1
P1
Oracle base de donnée 8i
Apache WEB serveur
Microsoft IIS Web Serveur
Microsoft SQL Serveur
P2
P2
P2
P2
P2
P2
P2
P2
P2
V1.0.5
V1.2.2
V2.2.1
V2.2.1
V1.3
V1.1
V1.1
V1.0.1
V1.3.0
V1.0.4
V1.3.0
V2.0
V1.0
V1.01
V1.0
V2.2
V2.2
V2.0
V1.1
V1.0
Ces séries de tests sont déroulées à l’aide d’outils spécialisés pour la plate-forme cible à l’exception de la série de test
des équipements réseaux.
Outils d’application
D
$ D
D
D
D
D
D
D
Environnement Windows
Environnement LINUX
Environnement HP-UX
Environnement Oracle 8i
Environnement Solaris 2.5.1- 9
Environnement CISCO
Environnement FreeBSD
Environnement Apache
-
CIS-Win
CIS-scan
CIS-scan
CIS-scan
CIS-scan
CIS-Rat
CIS-scan
CIS-scan
exe
rpm
pkg
java
pkg
tar
tar
tar
V2.1.12
V1.6.8
V1.5.0
V1.5.0
V2.2
V1.5.5
V2.08
WIN32
LINUX
HP-UX
WIN32
SOLARIS
UNIX
FreeBSD
LINUX
• Complément d'information
http://www.cisecurity.org/
- Accès aux tests et outils associés
NIST – GUIDES ET CHECKLISTS DE SECURISATION
# Description
La mise à jour d’un guide, de dix checklists et l’ajout du document
nous conduit à mettre à jour notre synthèse:
STIG
[12 mises à jour, 1 nouveau document]
APPLICATIONS
• Applications
(Générique)
ESM
(Générique + Oracle, SQL Server)
1.0
29/09/04
# Database
(Générique + Oracle, SQL Server)
7.1
29/10/04
VoIP
2.0
30/12/04
ENVIRONNEMENTS
# Desktop
(Windows uniquement)
2.1
29/10/04
Secure Remote Computing
1.1.0
14/02/03
Sharing peripheral across the network
1.0.1
11/03/05
RESEAU
# Network
(Générique)
5.2
29/09/04
# Network
(Draft)
6.2.1
04/05/04
# Network Comment Matrix
6.1.2
04/05/04
Cisco
(Supplément)
Juniper
(Supplément)
Wireless
3.1
15/04/04
‘Network STIG Comment Matrix’
Checklist
2.1.6
15/04/05 DOC
7.1
1.1
15/04/05 DOC
30/07/04 DOC
PDF
DOC
PDF
1.1.9
15/04/05 DOC
PDF
PDF
DOC
5.2.4
6.2
04/04/05 DOC
28/02/05 PDF
5.2.1
5.2.1
3.1.1
01/06/04 DOC
25/06/04 DOC
11/01/04 DOC
PDF
PDF
PDF
PDF
Page 21/60
Mai 2005
Wireless
(Draft)
4.0
Wireless LAN Security Framework
SERVICES
DNS
2.2
# Web Servers
(Générique + IIS, Netscape, Apache) 5.1
SYSTEMES
OS/390 MVS
5.0
OS/390 MVS
(Draft)
5.1
# OS/390 Logical Partition
2.2
OS/390 RACF
OS/390 ACF2
OS/390 TSS
MacOS X
1.1
SOLARIS
(2.6 à 2.9)
TANDEM
2.2
UNISYS
7.0
UNIX/LINUX
4.4
VM IBM
2.2
# VMS VAX
• Windows 2000
Windows 2000
(DOT)
• Windows 2003
• Windows XP
1.8
• Windows NT
(NSA)
3.1
Windows NT/2000/XP Addendum
4.1
TECHNOLOGIES
Peripheral
1.0
Biométrie
(DOD)
1.2
15/03/05 PDF
16/01/04 PDF
1.0
10/02/05 PDF
11/03/05 PDF
29/10/04 PDF
2.1.1
4.1.6
12/05/04 DOC
22/04/05 DOC
2.1.2
4.1.4
4.1.4
4.1.4
1.1.1
2.1.1
6.1.2
4.4.0
2.1.1
2.2
4.112
4.0.0
4.112
4.115
25/06/04
29/09/04
29/09/04
29/09/04
18/02/05
20/01/04
02/09/03
15/10/03
15/03/05
07/03
01/01/05
22/04/05
20/01/04
22/04/05
22/04/05
22/04/05
26/07/04 DOC
21/01/05 PDF
04/03/05 PDF
15/06/04 PDF
04/03/05
15/01/05
15/09/03
04/03/05
PDF
PDF
DOC
PDF
12/01/03 PDF
26/12/02 DOC
26/02/04 DOC
29/09/04 PDF
23/08/04 DOC
1.21
DOC
DOC
DOC
DOC
DOC
DOC
DOC
DOC
DOC
DOC
DOC
DOC
DOC
DOC
DOC
DOC
23/08/04 DOC
http://csrc.nist.gov/pcig/cig.html
- Catalogue des STIG et Checklists
NIST – ETAT DES GUIDES DE LA SERIE SP800
# Description
La finalisation des guides SP800-38B et SP800-78 ainsi que la mise à jour du SP800-73 nous amènent
à mettre à jour notre tableau récapitulatif des publications récentes de la série spéciale ‘SP800’.
SP800-26 Security Self-Assessment Guide for Information Technology Systems
SP800-27a Engineering Principles for Information Technology Security – Rev A
SP800-28 Guidelines on Active Content and Mobile Code
SP800-29 Comparison of Security Reqs for Cryptographic Modules in FIPS 140-1 & 140-2
SP800-30 Underlying Technical Models for Information Technology Security – Rev A
SP800-31 Intrusion Detection Systems
SP800-32 Introduction to Public Key Technology and the Federal PKI Infrastructure
SP800-33 Underlying Technical Models for Information Technology Security
SP800-34 Contingency Planning Guide for Information Technology Systems
SP800-35 Guide to Selecting IT Security Products
SP800-36 Guide to IT Security Services
SP800-37 Guidelines for the Security C&A of Federal Information Technology Systems
SP800-38A Recommendation for Block Cipher Modes of Operation – Method and Techniques
SP800-38B Recommendation for Block Cipher Modes of Operation - RMAC
SP800-38C Recommendation for Block Cipher Modes of Operation - CCM
SP800-40 Applying Security Patches
SP800-41 Guidelines on Firewalls and Firewall Policy
SP800-42 Guidelines on Network Security testing
SP800-43 System Administration Guidance for Windows2000
SP800-44 Guidelines on Securing Public Web Servers
SP800-45 Guide On Electronic Mail Security
SP800-46 Security for Telecommuting and Broadband Communications
SP800-47 Security Guide for Interconnecting Information Technology Systems
SP800-48 Wireless Network Security: 802.11, Bluetooth™ and Handheld Devices
SP800-49 Federal S/MIME V3 Client Profile
SP800-50 Building an Information Technology Security Awareness & Training Program
SP800-51 Use of the Common Vulnerabilities and Exposures Vulnerability Naming Scheme
SP800-52 Guidelines on the Selection and Use of Transport Layer Security
SP800-53 Recommended Security Controls for Federal Information Systems
SP800-55 Security Metrics Guide for Information Technology Systems
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[D]
[F]
[F]
11/2001
06/2004
10/2001
10/2001
01/2004
11/2001
02/2001
12/2001
06/2002
10/2003
10/2003
04/2004
12/2001
05/2005
05/2004
09/2002
01/2002
10/2003
11/2002
09/2002
09/2002
09/2002
09/2002
11/2002
11/2002
03/2003
09/2002
09/2004
02/2005
07/2003
Page 22/60
Mai 2005
SP800-56
SP800-57
SP800-58
SP800-59
SP800-60
SP800-61
SP800-63
SP800-64
SP800-65
SP800-66
SP800-67
SP800-68
SP800-70
SP800-72
SP800-73
SP800-76
SP800-77
SP800-78
Recommendation on Key Establishment Schemes
Recommendation for Key Management, Part 1: General Guideline
Recommendation for Key Management, Part 2: Best Practices
Security Considerations for Voice Over IP Systems
Guideline for Identifying an Information System as a National Security System
Guide for Mapping Types of Information & Information Systems to Security Categories
Computer Security Incident Handling Guide
Recommendation for Electronic Authentication
Security Considerations in the Information System Development Life Cycle
Recommended Common Criteria Assurance Levels
An Introductory Resource Guide for Implementing the HIPAA Security Rule
Recommendation for the Triple Data Encryption Algorithm (TDEA) Block Cipher
Guidance for Securing Microsoft Windows XP Systems for IT Professionals
The NIST Security Configuration Checklists Program
Guidelines on PDA Forensics
Integrated Circuit Card for Personal Identity Verification
Biometric Data Specification for Personal Identity Verification
Guide to IPsec VPNs
Cryptographic Algorithms and Key Sizes for Personal Identity Verification
[F] Finalisé
[R] Pour commentaire et relecture
[D]
[D]
[D]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[F]
[D]
[F]
[U]
[D]
[R]
[F]
01/2003
03/2005
03/2005
03/2005
08/2003
06/2004
01/2004
09/2004
07/2004
01/2005
03/2005
05/2004
06/2004
07/2004
11/2004
04/2005
01/2005
02/2005
04/2005
[U] Mise à jour récente
[D] En cours de développement
# Complément d’information
http://csrc.nist.gov/publications/nistpubs/index.html
http://csrc.nist.gov/publications/drafts/Draft-SP800-78.pdf
LA
- SP800-78
LEGISLATION
SECURITE
PROTECTION DES INFORMATIONS DANS LES CONTRATS
# Description
Le 18 avril a été publié au journal officiel de la République Française l’arrêté relatif «aux conditions de protection
du secret et des informations concernant la défense nationale et la sûreté de l’état dans les contrats». Cet
arrêté s’applique à tout marché, ou contrat, dit ‘classé’ ou ‘à clauses de sécurité’.
L’article 2 définit les caractéristiques de ces marchés, ou contrats; définitions qu’il y aura lieu de parfaitement
connaître avant de se porter candidat:
Contrat classé: tout contrat ou marché, quels que soient son régime juridique ou sa dénomination, dans lequel
un candidat ou un contractant, public ou privé, est amené à l’occasion de la passation du contrat ou de son
exécution à connaître et à détenir dans ses locaux des informations ou supports protégés,
Contrat à clause de sécurité: tout contrat ou marché, quels que soient son régime juridique ou sa
dénomination, dans lequel un candidat ou un contractant, public ou privé, est amené à l’occasion de la passation
du contrat ou de son exécution à connaître, sans les détenir, des informations ou supports protégés,
Contrat sensible: tout contrat ou marché, quels que soient son régime juridique ou sa dénomination, exceptés
les contrats de travail, dont l’exécution s’exerce au profit d’un service ou dans un lieu détenant des informations
ou supports protégés dans lequel un contractant, public ou privé, prend des mesures de précautions, y compris
dans les contrats de travail de ses préposés, tendant à assurer que les conditions.
Les exigences exprimées dans cet arrêté se réfèrent à l’instruction générale interministérielle N°1300 dont une copie
est jointe en annexe de l’arrêté du 25 août 2003 relatif «à la protection du secret de la défense nationale».
Ce nouvel arrêté permet de disposer enfin de l’ensemble des informations requises pour prétendre pouvoir répondre à
un marché protégé, informations jusqu’à peu difficilement accessibles car éparpillées dans nombre d’instructions,
décrets ou documents spécifiques. Il expose noir sur blanc, et de manière concise, les exigences et contraintes mais
aussi la démarche à suivre, démarche non documentée dans le code des marchés publics.
Les différentes annexes contiennent notamment la liste des documents requis dans le cadre d’une démarche
d’habilitation d’une société et les modèles de questionnaires associés, à l’exception toutefois de la notice individuelle
94/A. Tous ces documents devraient notablement aider les entreprises et sociétés de services n’ayant jusqu’alors
jamais été confrontées à cet environnement.
L’arrêté est organisé en 6 chapitres et 33 articles:
Chapitre 1: Champ d'application
Chapitre 2: Dispositions générales relatives aux contrats classés et à clause de sécurité
Chapitre 3: Habilitation des entreprises candidates à la passation d’un contrat classé ou à clause de sécurité
Page 23/60
Mai 2005
Chapitre 4: Dispositions particulières aux contrats de travail
Chapitre 5: Structure de sécurité d'une entreprise habilitée pour la passation d’un contrat classé ou à clause de
sécurité
Chapitre 6: Dispositions particulières aux contrats sensibles et au contrôle d’aptitude des entreprises candidates
à un contrat classé
suivis de 8 annexes:
Annexe I:
Clause type contractuelle de protection du secret pour les contrats classés
Annexe II:
Clause type contractuelle de protection du secret pour les contrats a clause de sécurité
Annexe III: Clause additionnelle pour un contrat classe de recherche ou d’étude
Annexe IV: Liste des pièces constitutives du dossier de demande d’habilitation d'une entreprise, pour exécuter
un contrat classé ou à clause de sécurité
Annexe V:
Liste des pièces constitutives du dossier d'aptitude d'un établissement pour l'exécution d'un contrat
classé
Annexe VI: Liste des pièces constitutives du dossier d'identification d'un établissement pour l'exécution d'un
contrat à clause de sécurité
Annexe VII: Clause type contractuelle de protection du secret pour les contrats de travail d’une personne
habilitée
Annexe VIII: Clause type contractuelle de protection du secret pour les contrats de travail d’une personne non
habilitée.
Annexe IX: Clause type contractuelle de protection pour les contrats sensibles
http://www.ssi.gouv.fr/fr/reglementation/a180405_protsec.pdf
http://www.legifrance.gouv.fr/imagesJO/2003/149/JO200314961.pdf
http://www.ssi.gouv.fr/fr/reglementation/igi1300.pdf
- Arrêté du 18/04/2005
- Arrêté du 25/08/2003
- IGI 1300
Page 24/60
Mai 2005
LO
OG
GIIC
CIIE
EL
LS
S LIIB
BR
RE
ES
S
LES
SERVICES DE BASE
Les dernières versions des services de base sont rappelées dans les tableaux suivants. Nous conseillons
d’assurer rapidement la mise à jour de ces versions, après qualification préalable sur une plate-forme
dédiée.
RÉSEAU
Nom
Fonction
BIND
Gestion de Nom (DNS) 9.3.1
8.4.6
Serveur d’adresse
3.0.2
Serveur de temps
4.2.0
Serveur de temps
3.6.1
Serveur de fichiers
2.6.2p
DHCP
NTP4
OpenNTPD
WU-FTP
Ver.
Date
Source
11/03/05
11/03/05
16/02/05
15/10/03
10/12/04
28/08/03
http://www.isc.org/
http://www.isc.org/
http://ntp.isc.org/bin/view/Main/SoftwareDownloads
http://www.openntpd.org/
http://www.wu-ftpd.org
MESSAGERIE
Nom
Fonction
Ver.
Relevé courrier
Relevé courrier
Relevé courrier
Serveur de courrier
2004d
4.0.8
0.6.4.1
8.13.4
Nom
Fonction
Ver.
APACHE
Serveur WEB
& IMAP4
& POP3
POPA3D
SENDMAIL
Date
Source
28/04/05
13/05/03
22/07/04
27/03/05
ftp://ftp.cac.washington.edu/imap/
ftp://ftp.qualcomm.com/eudora/servers/unix/popper/
http://www.openwall.com/popa3d/
ftp://ftp.sendmail.org/pub/sendmail/RELEASE_NOTES
WEB
ModSSL
& MySQL
SQUID
1.3.33
2.0.54
API SSL Apache 1.3.33 2.8.22
Base SQL
4.1.12
Cache WEB
2.5s9
Date
Source
28/10/04
11/04/05
28/10/04
13/05/05
29/02/05
http://httpd.apache.org/dist
http://www.modssl.org
http://dev.mysql.com/doc/mysql/en/news-4-1-x.html
http://www.squid-cache.org
AUTRE
Nom
INN
OpenCA
& OpenLDAP
OpenReg
Samba
LES
Fonction
Ver.
Date
Source
Gestion
Gestion
Gestion
Gestion
Gestion
2.4.1
0.9.2.2
2.2.26
1.0.2
3.0.14a
07/01/04
10/03/05
28/04/05
22/03/04
15/04/05
http://www.isc.org/
http://www.openca.org/openca/download-releases.shtml
ftp://ftp.openldap.org/pub/OpenLDAP/openldap-release/
http://www.isc.org/sw/openreg/
http://us1.samba.org/samba/
des news
de certificats
de l’annuaire
DNS
de fichiers
OUTILS
Une liste, non exhaustive, des produits et logiciels de sécurité du domaine public est proposée dans les
tableaux suivants.
LANGAGES
Nom
Fonction
Ver.
SPLINT
Perl
PHP
Analyse de code
Scripting
WEB Dynamique
3.1.1
5.8.6
4.3.11
5.0.4
Date
Source
25/05/03 http://lclint.cs.virginia.edu
28/11/04 http://www.cpan.org/src/README.html
31/04/05 http://www.php.net/downloads.php
03/04/05
ANALYSE RÉSEAU
Nom
Big Brother
Dsniff
& EtterCap
& Ethereal
IP Traf
Nstreams
SamSpade
TcpDump
Libpcap
TcpFlow
WinPCap
Fonction
Ver.
Visualisateur snmp
Boîte à outils
Analyse & Modification
Analyse multiprotocole
Statistiques IP
Générateur de règles
Boîte à outils
Analyse multiprotocole
Acquisition Trame
Collecte données
Acquisition Trame
1.9e
2.3
0.7.3
0.10.11
2.7.0
1.0.3
1.14
3.9
0.9.0
0.21
3.1b4
Date
Source
02/01/04
17/12/00
29/05/05
11/03/05
19/05/02
06/08/02
10/12/99
06/04/05
06/04/05
07/08/03
04/11/04
http://www.bb4.org/
http://www.monkey.org/~dugsong/dsniff
http://ettercap.sourceforge.net/index.php?s=history
http://www.ethereal.com
http://cebu.mozcom.com/riker/iptraf/
http://www.hsc.fr/ressources/outils/nstreams/download/
http://www.samspade.org/ssw/
http://www.tcpdump.org/
http://www.tcpdump.org/
http://www.circlemud.org/~jelson/software/tcpflow/
http://www.winpcap.org/news.htm
Page 25/60
Mai 2005
ANALYSE DE JOURNAUX
Nom
Analog
fwLogWatch
& OSSIM
SnortSnarf
WebAlizer
Fonction
Ver.
Journaux serveur http
Analyse log
Console de gestion
Analyse Snort
Journaux serveur http
6.00
1.0.0
0.9.8final
050314.1
2.01-10
Date
Source
19/12/04
25/04/04
18/05/05
05/03/05
24/04/02
http://www.analog.cx
http://cert.uni-stuttgart.de/projects/fwlogwatch/
http://www.ossim.net/
http://www.snort.org/dl/contrib/data_analysis/snortsnarf/
http://www.mrunix.net/webalizer/download.html
ANALYSE DE SÉCURITÉ
Nom
& curl
FIRE
Nessus
Helix
& Nikto
Nmap
SAC
& Saint
& Sara
Wikto
Whisker
Fonction
Ver.
Date
Source
Analyse http et https
Boîte à outils
Vulnérabilité réseau
Boîte à outils
Boîte à outils
LibWhisker
7.14.0
0.4a
2.2.4
1.6
1.35
3.81
150405-4
5.8.2
6.0.4
1.6
2.2
16/05/05
14/05/03
22/03/05
12/03/05
20/05/05
04/03/05
15/04/05
17/05/05
19/05/05
01/04/05
31/12/04
http://curl.haxx.se/
http://sourceforge.net/projects/biatchux/
http://www.nessus.org
http://www.e-fense.com/helix/
http://www.cirt.net/nikto/
http://www.insecure.org/nmap/nmap_changelog.html
http://www.remote-exploit.org/index.php/Auditor_mirrors
http://www.saintcorporation.com/updates.html
http://www.www-arc.com/sara/downloads/
http://www.sensepost.com/research/wikto/
http://www.wiretrip.net/rfp/lw.asp
Date
Source
CONFIDENTIALITÉ
Nom
Fonction
Ver.
GPG
GPG S/MIME
LibGCrypt
Signature/Chiffrement
1.4.1
1.9.16
1.2.1
15/03/05 http://www.gnupg.org
CONTRÔLE D’ACCÈS
Nom
Fonction
Ver.
Date
TCP Wrapper
Xinetd
Accès services TCP
Inetd amélioré
7.6
2.3.13
ftp://ftp.cert.org/pub/tools/tcp_wrappers
01/02/04 http://synack.net/xinetd/
Source
Fonction
Ver.
Date
Intégrité LINUX
Intégrité LINUX
Compromission UNIX
Compromission UNIX
2.3.47
0.1
1.2.7
0.45
CONTRÔLE D’INTÉGRITÉ
Nom
Tripwire
Aide
& RootKit hunt
ChkRootKit
Source
15/08/00
27/11/03
24/05/05
22/02/05
Retiré de la diffusion
http://sourceforge.net/projects/aide
http://www.rootkit.nl
http://www.chkrootkit.org/
DÉTECTION D’INTRUSION
Nom
Fonction
Ver.
P0f
Snort
Shadow
Identification passive
IDS Réseau
IDS Réseau
2.0.5
2.3.3
1.8
Date
Source
14/09/04 http://lcamtuf.coredump.cx/p0f.shtml
22/04/05 http://www.snort.org/dl/
30/04/03 http://www.nswc.navy.mil/ISSEC/CID/
GÉNÉRATEURS DE TEST
Nom
FireWalk
IDSWakeUp
& NetDude &all
Fonction
Ver.
Analyse filtres
Détection d’intrusion
Rejeu de paquets
5.0
1.0
0.4.6
Date
Source
20/10/02 http://www.packetfactory.net/firewalk
13/10/00 http://www.hsc.fr/ressources/outils/idswakeup/download/
05/05/04 http://netdude.sourceforge.net/download.html
PARE-FEUX
Nom
Fonction
Ver.
DrawBridge
IpFilter
NetFilter
PareFeu FreeBsd
Filtre datagramme
Pare-Feu IpTables
4.0
4.1.8
1.3.1
Fonction
Ver.
Pile Crypto IP (CIPE)
Encapsulation http
Pile SSL
Pile SSH 1 et 2
Pile IPSec
1.6
3.0.5
0.9.7g
4.1
2.3.1
1.0.9
0.58
4.10
3.1.3
2.4.1
Date
Source
23/04/04 http://drawbridge.tamu.edu
30/03/05 http://coombs.anu.edu.au/ipfilter/ip-filter.html
07/03/05 http://www.netfilter.org/downloads.html
TUNNELS
Nom
CIPE
http-tunnel
OpenSSL
& OpenSSH
OpenSwan
PuTTY
Terminal SSH2
& Stunnel
Proxy https
TeraTerm Pro Terminal SSH2
Zebedee
Tunnel TCP/UDP
Date
Source
04/08/04
06/12/00
11/04/05
26/05/05
09/04/05
25/01/05
05/04/05
26/03/05
08/10/02
29/05/02
http://sites.inka.de/sites/bigred/devel/cipe.html
http://www.nocrew.org/software/httptunnel.html
http://www.openssl.org/
http://www.openssh.com/
http://www.openswan.org/code/
http://www.openswan.org/code/
http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
http://www.stunnel.org
http://www.ayera.com/teraterm/
http://www.winton.org.uk/zebedee/
Page 26/60
Mai 2005
NO
OR
RM
ME
ES
SE
ET
T ST
TA
AN
ND
DA
AR
RD
DS
S
LES
LES
PUBLICATIONS DE L’IETF
RFC
Du 26/04/2005 au 27/05/2005, 30 RFC ont été publiés dont 6 RFC ayant trait à la sécurité.
RFC TRAITANT DE LA SÉCURITÉ
Thème
CMS
IKE
MSEC
PANA
PKI
Num Date Etat Titre
4073
4109
4046
4058
4043
4059
05/05
05/05
04/05
05/05
05/05
05/05
Pst
Pst
Inf
Inf
Pst
Inf
Protecting Multiple Contents with the Cryptographic Message Syntax (CMS)
Algorithms for Internet Key Exchange version 1 (IKEv1)
Multicast Security (MSEC) Group Key Management Architecture
Protocol for Carrying Authentication for Network Access (PANA) Requirements
Internet X.509 Public Key Infrastructure Permanent Identifier
Internet X.509 Public Key Infrastructure Warranty Certificate Extension
RFC TRAITANT DE DOMAINES CONNEXES À LA SÉCURITÉ
Thème
LSP
MAIL
Num Date Etat Titre
4090
4096
05/05 Pst
05/05 Inf
Fast Reroute Extensions to RSVP-TE for LSP Tunnels
Policy-Mandated Labels Such as "Adv:" in Email Subject Headers Considered Ineffective At Best
AUTRES RFC
Thème
CRID
DHCP
DNS
IETF
iSCSI
L3VPN
MIB
MOBILIP
OPI
QoS
RTP
SIG
SIP
SNTP
LES
Num Date Etat Titre
4078
3927
4076
4027
4052
4053
4084
4089
4095
4018
4031
4044
4069
4070
4064
4054
4094
4060
4077
4028
4083
4075
05/05
05/05
05/05
04/05
04/05
04/05
05/05
05/05
05/05
04/05
04/05
05/05
05/05
05/05
05/05
05/05
05/05
05/05
05/05
04/05
05/05
05/05
Inf
Pst
Inf
Inf
BCP
BCP
BCP
Inf
Pst
Pst
Inf
Pst
Pst
Pst
Pst
Inf
Inf
Pst
Pst
Pst
Inf
Pst
The TV-Anytime Content Reference Identifier (CRID)
Dynamic Configuration of IPv4 Link-Local Addresses
Renumbering Requirements for Stateless Dynamic Host Configuration Protocol for IPv6 (DHCPv6)
Domain Name System Media Types
IAB Processes for Management of IETF Liaison Relationships
Procedures for Handling Liaison Statements to and from the IETF
Terminology for Describing Internet Connectivity
IAB and IESG Recommendation for IETF Administrative Restructuring
Attaching Meaning to Solicitation Class Keywords
iSCSI Targets and Name Servers by Using Service Location Protocol version 2 (SLPv2)
Service Requirements for Layer 3 Provider Provisioned Virtual Private Networks (PPVPNs)
Fibre Channel Management MIB
Definitions of Managed Object Extensions for VDSL Using SCM Line Coding
Definitions of Managed Object Extensions for VDSL Using MCM Line Coding
Experimental Message, Extensions, and Error Codes for Mobile IPv4
Impairments and Other Constraints on Optical Layer Routing
Analysis of Existing Quality-of-Service Signaling Protocols
RTP Payload Formats for ES 202 050, ES 202 211, ES 202 212 Distrib. Speech Recognition Encoding
A Negative Acknowledgement Mechanism for Signaling Compression
Session Timers in the Session Initiation Protocol (SIP)
Input 3GPP Release 5 Requirements on the Session Initiation Protocol (SIP)
Simple Network Time Protocol (SNTP) Configuration Option for DHCPv6
DRAFTS
Du 26/04/2005au 27/05/2005, 221 drafts ont été publiés: 174 drafts mis à jour, 47
nouveaux drafts, dont 8 drafts ayant directement trait à la sécurité.
NOUVEAUX DRAFTS TRAITANT DE LA SÉCURITÉ
Thème
Nom du Draft
Date Titre
COPS
DHCP
DNS
IPV6
IPV6
PKIX
SASL
TLS
draft-carrozzo-aaa-cops-maid-00
draft-suraj-dhcpv4-paa-option-00
draft-ietf-dnsext-dnssec-online-signing-00
draft-kempf-mobopts-ringsig-ndproxy-00
draft-ietf-v6ops-security-overview-00
draft-santesson-pkix-srvrr-00
draft-zeilenga-sasl-rfc2222bis-00
draft-chudov-cryptopro-tlsprfneg-00
18/05
18/05
12/05
16/05
13/05
19/05
17/05
25/05
COPS Usage for MAIDService Prov Net based on MPLS-Diffserv
DHCPv4 option for PANA Authentication Agents
Minimally Covering NSEC Records and DNSSEC On-line Signing
Secure IPv6 Address Proxying using MCGAs
IPv6 Transition/Co-existence Security Considerations
Internet X.509 PKI DNS Service Resource Record otherName
Simple Authentication and Security Layer (SASL)
Hash/PRF negotiation in TLS using TLS extensions.
Page 27/60
Mai 2005
MISE À JOUR DE DRAFTS TRAITANT DE LA SÉCURITÉ
Thème
Nom du Draft
Date Titre
AES
CAT
DHCP
DNS
EAP
draft-songlee-aes-cmac-96-01
draft-ietf-cat-kerberos-pk-init-26
draft-ietf-dhc-relay-agent-ipsec-02
draft-ietf-dnsext-rfc2538bis-02
draft-tschofenig-eap-ikev2-06
draft-adrangi-eap-network-discovery-13
draft-badra-eap-double-tls-03
draft-ietf-msec-gsakmp-sec-10
draft-hoffman-hash-attacks-03
draft-mraihi-oath-hmac-otp-04
draft-dupont-ikev2-addrmgmt-07
draft-ietf-inch-requirements-04
draft-ietf-ipv6-privacy-addrs-v2-04
draft-ietf-kitten-krb5-gssapi-prf-03
draft-ietf-nntpext-tls-nntp-06
draft-ietf-nntpext-authinfo-08
draft-thiruvengadam-nsis-mip6-fw-02
draft-bajko-nsis-fw-reqs-01
draft-josefsson-openpgp-mailnews-header-01
draft-ietf-openpgp-rfc2440bis-13
draft-ietf-pana-pana-08
draft-ietf-pana-ipsec-06
draft-ietf-pkix-sim-04
draft-zenner-rabbit-01
draft-hoffman-rfc3664bis-02
draft-lee-rfc4009bis-01
draft-zinin-rtg-dos-02
draft-ietf-sasl-rfc2831bis-05
draft-riikonen-silc-spec-08
draft-riikonen-silc-ke-auth-08
draft-ietf-smime-certcapa-05
draft-schoenw-snmp-tlsm-02
draft-white-sobgp-architecture-01
draft-ietf-secsh-break-03
draft-ietf-tls-rfc2246-bis-11
draft-ietf-tls-psk-08
draft-ietf-tls-rfc3546bis-01
draft-sanjib-private-vlan-03
24/05
24/05
26/05
25/05
23/05
20/05
17/05
17/05
10/05
19/05
18/05
10/05
25/05
13/05
23/05
23/05
29/04
17/05
25/05
20/05
11/05
16/05
23/05
20/05
29/04
20/05
23/05
29/04
26/05
26/05
26/05
26/05
24/05
24/05
18/05
26/04
20/05
29/04
GSAKMP
HASH
HOTP
IKE
INCH
IPV6
KERB
NNTP
NSIS
OPENPGP
PANA
PKIX
RABBIT
RFC3664
RFC4009
RTG
SASL
SILC
SMIME
SNMP
SOBGP
SSH
TLS
VLAN
The AES-CMAC-96 Algorithm and its use with IPsec
Public Key Cryptography for Initial Authentication in Kerberos
Authentication of DHCP Relay Agent Options Using IPsec
Storing Certificates in the Domain Name System (DNS)
EAP IKEv2 Method (EAP-IKEv2)
Identity selection hints for Extensible Authentication Protocol
EAP-Double-TLS Authentication Protocol
GSAKMP: Group Secure Association Group Management Protocol
Attacks on Cryptographic Hashes in Internet Protocols
HOTP: An HMAC-based One Time Password Algorithm
Address Management for IKE version 2
Requirements for the Format for INcident information Exchange
Privacy Extensions for Stateless Address Autoconfiguration in IPv6
A PRF for the Kerberos V GSS-API Mechanism
Using TLS with NNTP
NNTP Extension for Authentication
Mobile IPv6 - NSIS Interaction for Firewall traversal
Requirements for Firewall Configuration Protocol
The OpenPGP mail and news header
OpenPGP Message Format
Protocol for Carrying Authentication for Network Access (PANA)
PANA Enabling IPsec based Access Control
Internet X.509 PKI Subject Identification Method (SIM)
A Description of the Rabbit Stream Cipher Algorithm
The AES-XCBC-PRF-128 Algorithm for IKE
The SEED Encryption Algorithm
Protecting Internet Routing Infra. from Outsider DoS Attacks
Using Digest Authentication as a SASL Mechanism
Secure Internet Live Conferencing (SILC), Protocol Specification
SILC Key Exchange and Authentication Protocols
X.509 Certificate Extension for S/MIME Capabilities
TMSM for SNMPv3
Architecture and Deployment Considerations for soBGP
Secure Shell (SSH) Session Channel Break Extension
The TLS Protocol Version 1.1
Pre-Shared Key Ciphersuites for Transport Layer Security (TLS)
Transport Layer Security (TLS) Extensions
Addressing VLAN scalability & security issues in a multi-client env.
DRAFTS TRAITANT DE DOMAINES CONNEXES À LA SÉCURITÉ
Thème
Nom du Draft
Date Titre
IGMP
IPV6
IPV6
L3VPN
L3VPN
MPLS
MTU
SPF
SYSLOG
draft-ietf-behave-multicast-00
draft-ietf-ipv6-ndproxy-02
draft-blanchet-v6ops-tunnelbroker-tsp-02
draft-ietf-l3vpn-ospf-2547-04
draft-vohra-l3vpn-bgp-clns-00
draft-yasukawa-mpls-ldp-mcast-over-p2m-00
draft-savola-mtufrag-network-tunneling-04
draft-schlitt-spf-classic-01
draft-ietf-syslog-sign-16
16/05
23/05
12/05
17/05
16/05
10/05
24/05
20/05
23/05
IGMP Proxy Behavior
Bridge-like Neighbor Discovery Proxies (ND Proxy)
IPv6 Tunnel Broker with the Tunnel Setup Protocol (TSP)
OSPF as the Provider/Customer EP for BGP/MPLS IP VPNs
BGP-MPLS IP VPN extensions for ISO/CLNS VPN
LDP Multicast LSP over Point-to-Multipoint LSP Tunnels
MTU and Fragmentation Issues with In-the-Network Tunneling
SPF for Authorizing Use of Domains in E-MAIL, version 1
Signed syslog Messages
AUTRES DRAFTS
Thème
Nom du Draft
AES
ATOM
draft-songlee-aes-cmac-00
draft-ietf-atompub-protocol-04
draft-ietf-atompub-autodiscovery-01
AVT
draft-ahmadi-avt-rtp-vmr-wb-extension-00
CALDAV
draft-dusseault-caldav-06
CAPWAP
draft-sarikaya-capwap-capwaphp-00
CFRG
draft-irtf-cfrg-rhash-00
DCCP
draft-ietf-dccp-user-guide-03
DHCP
draft-ietf-dhc-ddns-resolution-08
draft-ietf-dhc-bcmc-options-01
DISCOVER draft-manning-opcode-discover-00
DNS
draft-ietf-dnsext-mdns-40
draft-ietf-dnsext-wcard-clarify-07
draft-ietf-dnsext-interop3597-02
draft-ietf-dnsext-dnssec-bis-updates-01
draft-josefsson-dns-url-12
DOI
draft-paskin-doi-uri-04
Date Titre
24/05
10/05
10/05
16/05
25/05
26/05
18/05
27/04
13/05
17/05
26/05
26/05
16/05
19/05
24/05
25/05
26/05
The AES-CMAC Algorithm
The Atom Publishing Protocol
Atom Feed Autodiscovery
RTP Payload Format for the VMR-WB Extension Audio Codec
Calendaring Extensions to WebDAV (CalDAV)
CAPWAP Handover Protocol (CAPWAPHP)
Strengthening Digital Signatures via Randomized Hashing
Datagram Congestion Control Protocol (DCCP) User Guide
Resolution of DNS Name Conflicts Among DHCP Clients
DHCP Options for Broadcast and Multicast Control Servers
The DISCOVER opcode
Linklocal Multicast Name Resolution (LLMNR)
The Role of Wildcards in the Domain Name System
RFC 3597 Interoperability Report
Clarifications and Implementation Notes for DNSSECbis
Domain Name System Uniform Resource Identifiers
The 'doi' URI Scheme for Digital Object Identifier (DOI)
Page 28/60
Mai 2005
EAP
EARLY
ENUM
draft-ohba-eap-aaakey-binding-00
draft-zinin-early-review-01
draft-ietf-enum-msg-05
draft-ietf-enum-void-01
FTP
draft-rajeshs-ftpext-rec-arch-transfer-01
draft-chin-dnftp-00
GEOPRIV draft-polk-geopriv-dhc-geo-lci-upstream-00
HIP
draft-yan-hip-ike-h-01
IDN
draft-klensin-reg-guidelines-08
draft-bakleh-reg-adm-acg-apu-00
IETF
draft-iab-irtf-01
draft-iesg-info-exp-00
draft-ietf-tools-draft-submission-09
IMAP
draft-ietf-imapext-list-extensions-13
draft-ietf-imapext-2086upd-06
draft-crispin-imap-rfc2359bis-04
IMMP
draft-sabarish-immp-01
IP
draft-zinin-microloop-analysis-01
draft-arai-ecrit-japan-req-01
IPFIX
draft-ietf-ipfix-protocol-14
IPV6
draft-ietf-ipv6-addr-arch-v4-04
draft-ietf-ipv6-rfc2462bis-08
draft-ietf-ipv6-2461bis-03
draft-chown-v6ops-renumber-thinkabout-02
draft-huston-ip6-int-02
draft-arunt-ipv6-multicast-filtering-rules-00
draft-ietf-v6ops-ent-analysis-02
IRIS
draft-ietf-crisp-iris-areg-11
draft-hardie-ecrit-iris-00
draft-daigle-iris-slsreg-00
draft-ietf-isis-experimental-tlv-05
draft-ietf-isis-link-attr-01
draft-ietf-isis-caps-03
KRB
draft-ietf-kitten-gssapi-prf-03
draft-ietf-kitten-gssapi-naming-exts-00
draft-ietf-krb-wg-ocsp-for-pkinit-05
L2TP
draft-ietf-l2tpext-pwe3-fr-05
draft-ietf-l2tpext-pwe3-hdlc-05
LEMONAD draft-ietf-lemonade-mms-mapping-04
LTRU
draft-ietf-ltru-registry-02
draft-ietf-ltru-matching-00
MAGMA
draft-ietf-magma-mrdisc-07
MAIL
draft-fenton-identified-mail-02
draft-lyon-senderid-pra-01
draft-lyon-senderid-core-01
draft-shafranovich-feedback-report-01
MBONED
draft-ietf-mboned-routingarch-00
MDI
draft-welch-mdi-01
MIB
draft-ietf-adslmib-gshdslbis-11
draft-ietf-bridge-ext-v2-04
MIDCOM
draft-stiemerling-midcom-simco-07
MIME
draft-lilly-text-troff-03
MIP4
draft-ietf-mip4-dynamic-assignment-04
MIPS
draft-haddad-mipshop-omm-00
MOBILIP
draft-daniel-mip-link-characteristic-01
MPLS
draft-ietf-ccamp-crankback-05
draft-ietf-ccamp-gmpls-segment-recovery-02
draft-ietf-ccamp-inter-domain-framework-02
draft-ietf-ccamp-loose-path-reopt-01
draft-ietf-ccamp-gmpls-ason-lexicography-02
draft-ietf-mpls-lsp-ping-09
draft-ietf-mpls-lc-if-mib-05
draft-ietf-mpls-rsvpte-attributes-05
draft-ietf-mpls-p2mp-sig-requirement-02
draft-shen-mpls-ldp-nnhop-label-02
draft-balus-mh-pw-control-protocol-01
MSEC
draft-ietf-msec-ipsec-signatures-05
draft-ietf-msec-bootstrapping-tesla-01
MSGHEAD draft-newman-msgheader-originfo-05
NETCONF draft-ietf-netconf-prot-06
draft-chisholm-netconf-model-02
NEWS
draft-ellermann-news-nntp-uri-00
draft-lindsey-news-nntp-uri-00
NNTP
draft-ietf-nntpext-base-26
draft-ietf-nntpext-streaming-05
NSAP
draft-melnikov-nsap-ipv6-01
NSIS
draft-kappler-nsis-qosmodel-controlledload-01
12/05
23/05
11/05
10/05
29/04
18/05
11/05
27/04
18/05
26/05
16/05
23/05
12/05
16/05
20/05
26/05
24/05
23/05
16/05
13/05
23/05
12/05
24/05
23/05
24/05
10/05
19/05
12/05
16/05
25/05
19/05
25/05
25/05
13/05
16/05
24/05
27/04
27/04
26/05
20/05
17/05
16/05
13/05
19/05
19/05
16/05
26/04
13/05
26/05
19/05
26/05
11/05
19/05
18/05
23/05
24/05
26/05
23/05
25/05
29/04
16/05
27/04
26/05
27/04
19/05
11/05
26/05
24/05
28/05
26/04
10/05
19/05
20/05
23/05
23/05
25/05
13/05
AAA-Key Derivation with Channel Binding
Area Review Teams for Early Cross-functional Reviews
IANA Registration for Enumservices email, fax, mms, ems, sms
IANA Registration for Enumservice VOID
FTP Extensions for recursive and archived file transfers
Distributed New File Transfer Protocol
DHCP Location Configuration Information Transmitted Upstream
A proposal to replace HIP base exchange with IKE-H method
Suggested Practices for Registration of IDN
IDN Registration and Administration Guidelines for Arabic
IAB Thoughts on the Role of the Internet Research Task Force
Choosing between Informational and Experimental Status
Requirements for an IETF Draft Submission Toolset
IMAP4 LIST Command Extensions
IMAP4 ACL extension
Internet Message Access Protocol (IMAP) - UIDPLUS extension
IMMP -- Internet Message Mapping Protocol
Minimization of Microloops in Link-state Routing Protocols
Emergency Call Requirements for IP Telephony Services In Japan
IPFIX Protocol Specification
IP Version 6 Addressing Architecture
IPv6 Stateless Address Autoconfiguration
Neighbor Discovery for IP version 6 (IPv6)
Things to think about when Renumbering an IPv6 network
Deprecation of "ip6.int"
IPv6 Multicast Filtering Rules
IPv6 Enterprise Network Analysis
IRIS - An Address Registry (areg) Type for IRIS
An IRIS Schema for Emergency Service Contact URIs
IRIS Service Lookup System
TLV for Experimental Use
Definition of an IS-IS Link Attribute sub-TLV
IS-IS extensions for advertising router information
A PRF API extension for the GSS-API
GSS-API Naming Extensions
OCSP Support for PKINIT
Frame-Relay over L2TPv3
HDLC Frames over L2TPv3
Mapping Between the MMS and Internet Mail
Tags for Identifying Languages
Matching Language Identifiers
Multicast Router Discovery
Identified Internet Mail
Purported Responsible Address in E-Mail Messages
Sender ID: Authenticating E-Mail
An Extensible Format for Email Feedback Reports
Overview of the Internet Multicast Routing Architecture
A Proposed Media Delivery Index
Definitions of Managed Objects for HDSL2 and SHDSL Lines
MIB for Bridges with Traffic Classes, Multicast Filtering & VLAN
Simple Middlebox Configuration (SIMCO) Protocol Version 3.0
Media subtype registration for media type text/troff
Mobile IPv4 Dynamic Home Agent Assignment
Optimizing Micromobility Management
Link Characteristics Information for Mobile IP
Crankback Signaling Extensions for MPLS and GMPLS RSVP-TE
GMPLS Based Segment Recovery
A Framework for Inter-Domain MPLS Traffic Engineering
Reoptimization of MuMPLS TE loosely routed LSP
A Lexicography for the Interpretation of GMPLS Terminology
Detecting MPLS Data Plane Failures
MPLS Label-Controlled ATM and FR Management Interface Def.
Encoding of Attributes for MPLS LSP Establishment Using RSVP-TE
Signaling Req for Point to Multipoint Traffic Engineered MPLS LSPs
Discovering LDP Next-Nexthop Labels
Multi-Segment Pseudowire Setup and Maintenance using LDP
The Use of RSA/SHA-1 Signatures within ESP and AH
Bootstrapping TESLA
Originator-Info Message Header
NETCONF Configuration Protocol
Framework for Netconf Data Models
The news and nntp URI Schemes
The news and nntp URI Schemes
Network News Transfer Protocol
NNTP Extension for Streaming Feeds
Network Address to support OSI over IPv6
QoS Model for Signaling IntServ Controlled-Load Service w NSIS
Page 29/60
Mai 2005
OLSR
OSPF
PANA
PCE
PIM
PNFS
POE
PPP
PWE3
RADIUS
RFC2413
RFC3288
ROHC
RTP
SCTP
SIEVE
SIGTRAN
SILC
SIMPLE
SIP
SMTP
SPEECHS
TCP
UOP
URN
USEFOR
VRRP
WEBDAV
XCALEND
draft-fu-nsis-ntlp-statemachine-02
draft-juchem-nsis-ping-tool-01
draft-cheng-nsis-flowid-issues-00
draft-loughney-nsis-ext-00
draft-jeong-nsis-3gpp-qosm-00
draft-hancock-nsis-pds-problem-00
draft-ietf-nsis-nslp-natfw-06
draft-ietf-nsis-ntlp-06
draft-ietf-nsis-qspec-04
draft-ietf-nsis-rmd-02
draft-mase-manet-autoconf-noaolsr-00
draft-ietf-ospf-ospfv3-mib-09
draft-ietf-ospf-ospfv3-traffic-05
draft-ietf-ospf-cap-07
draft-ietf-ospf-ospfv3-update-04
draft-ietf-pana-framework-04
draft-vasseur-pce-pcep-00
draft-ietf-pce-comm-protocol-gen-reqs-00
draft-ietf-pim-mib-v2-02
draft-welch-pnfs-ops-01
draft-arberg-pppoe-mtu-gt1492-00
draft-gpaterno-wireless-pppoe-13
draft-ietf-pwe3-sonet-11
draft-ietf-radext-dynauth-server-mib-00
draft-ietf-radext-dynauth-client-mib-00
draft-kunze-rfc2413bis-02
draft-mrose-rfc3288bis-02
draft-ietf-rohc-rtp-impl-guide-12
draft-ietf-rohc-over-reordering-03
draft-ietf-rohc-rfc3242bis-00
draft-ietf-avt-rtp-ac3-03
draft-ietf-avt-rfc2032-bis-06
draft-ietf-avt-rfc2429-bis-05
draft-ietf-avt-rtp-3gpp-timed-text-14
draft-ietf-avt-rtp-atrac-family-03
draft-ietf-avt-rfc2190-to-historic-03
draft-ietf-avt-mime-h224-01
draft-ietf-avt-rtp-no-op-00
draft-wing-avt-rtp-noop-03
draft-wing-behave-symmetric-rtprtcp-00
draft-ahmed-lssctp-01
draft-ietf-sieve-variables-03
draft-ietf-sieve-body-01
draft-ietf-sieve-editheader-01
draft-ietf-sieve-imapflags-01
draft-ietf-sieve-3028bis-01
draft-ietf-sieve-refuse-reject-00
draft-ietf-sigtran-rfc3332bis-03
draft-riikonen-silc-pp-08
draft-riikonen-silc-commands-06
draft-riikonen-flags-payloads-04
draft-ietf-simple-partial-notify-05
draft-sinnreich-sipdev-req-06
draft-jesske-sipping-tispan-requirements-00
draft-ietf-sipping-torture-tests-07
draft-ietf-sipping-callerprefs-usecases-04
draft-katz-submitter-01
draft-grandhi-pc-smtp-01
draft-ietf-speechsc-reqts-07
draft-eddy-syn-flood-00
draft-ietf-tcpm-tcpsecure-03
draft-ietf-tcpm-tcp-roadmap-03
draft-ietf-tcpm-tcp-antispoof-01
draft-ietf-tcpm-tcp-uto-00
draft-riikonen-presence-attrs-03
draft-dtessman-urn-namespace-federated-03
draft-dolan-urn-isan-01
draft-ietf-usefor-usefor-04
draft-ietf-vrrp-unified-mib-03
draft-reschke-webdav-property-datatypes-09
draft-ietf-webdav-quota-07
draft-hare-xcalendar-03
18/05
18/05
13/05
16/05
18/05
18/05
16/05
18/05
17/05
13/05
26/05
13/05
20/05
23/05
16/05
11/05
24/05
16/05
29/04
19/05
29/04
26/05
18/05
19/05
19/05
26/05
13/05
23/05
17/05
20/05
17/05
27/04
27/04
18/05
17/05
27/04
27/04
26/05
18/05
24/05
19/05
29/04
10/05
10/05
13/05
10/05
17/05
11/05
26/05
26/05
26/05
24/05
13/05
24/05
24/05
18/05
19/05
13/05
11/05
25/05
18/05
26/04
27/04
24/05
26/05
26/04
26/04
24/05
17/05
29/04
27/04
18/05
GIMPS State Machine
A stateless Ping tool for simple tests of GIMPS implementations
NSIS Flow ID and packet classification issues
NSIS Extensibility Model
3GPP QoS Model for Networks Using 3GPP QoS Classes
A Problem Statement for Path-Decoupled Signalling in NSIS
NAT/Firewall NSIS Signaling Layer Protocol (NSLP)
GIMPS: General Internet Messaging Protocol for Signaling
QoS-NSLP QSPEC Template
RMD-QOSM - The Resource Management in Diffserv QOS Model
No Overhead Autoconfiguration OLSR
Management Information Base for OSPFv3
Traffic Engineering Extensions to OSPF version 3
Extensions to OSPF for Advertising Optional Router Capabilities
OSPF for IPv6
PANA Framework
PCE Communication Protocol (PCEP) - Version 1 PCE Communication Protocol Generic Requirements
Protocol Independent Multicast MIB
pNFS Operations Summary
Accommodating an MTU/MRU greater than 1492 in PPPoE
Using PPP-over-Ethernet (PPPoE) in Wireless LANs
SONET/SDH Circuit Emulation over Packet (CEP)
Dynamic Authorization Server MIB
Dynamic Authorization Client MIB
The Dublin Core Metadata Element Set
Using SOAP in Blocks Extensible Exchange Protocol (BEEP)
ROHC Implementer's Guide
ROHC over Channels that can Reorder Packets
A Link-Layer Assisted Profile for IP/UDP/RTP
RTP Payload Format for AC-3 Audio
RTP Payload Format for H.261 Video Streams
RTP Payload Format for 1998 Version of ITU-T H.263 Video
RTP Payload Format for 3GPP Timed Text
RTP Payload Format for ATRAC Family
RTP Payload Format for H.263 using RFC2190 to Historic status
MIME type registration for RTP Payload format for H.224
A No-Op Payload Format for RTP
A No-Op Payload Format for RTP
A Definition of Symmetric RTP and Symmetric RTCP
Load Sharing in Stream Control Transmission Protocol
Sieve Mail Filtering Language: Variables Extension
Sieve Email Filtering: Body Extension
Sieve Email Filtering: Editheader Extension
Sieve Mail Filtering Language: IMAP flag Extension
Sieve: An Email Filtering Language
The SIEVE mail filtering language - reject and refuse extensions
SS7 MTP3 - User Adaptation Layer (M3UA)
SILC Packet Protocol
SILC Commands
SILC Message Flag Payloads
SIP extension for Partial Notification of Presence Information
SIP Telephony Device Requirements and Configuration
Reqs for the Extensions to SIP for the TISPAN simulation services
Session Initiation Protocol Torture Test Messages
Guidelines for Usage of SIP Caller Preferences Extension
SMTP Service Extension for Indicating the Responsible Submitter
The "Pc" field for SMTP
Reqs for Distributed Control of ASR, SI/SV and TTS Resources
TCP SYN Flooding Attacks and Common Mitigations
Improving TCP's Robustness to Blind In-Window Attacks
A Roadmap for TCP Specification Documents
Defending TCP Against Spoofing Attacks
TCP User Timeout Option
User Online Presence and Information Attributes
URN Namespace for Federated Content
ISAN URN Definition
Netnews Article Format
Definitions of Managed Objects for the VRRP over IPv4 and IPv6
Datatypes for WebDAV properties
Quota and Size Properties for DAV Collections
Guideline for use of XML with iCalendar elements
Page 30/60
Mai 2005
NOS COMMENTAIRES
LES DRAFTS
DRAFT-IETF-INCH-REQUIREMENTS-04
Requirements for the Format for INcident information Exchange (FINE)
Fin 2002, les résultats des travaux dans le domaine de l’échange d’informations entre CSIRT menés par le groupe de
travail interne dit ‘IODEF WG’ du comité TERENA TF-CSIRT étaient repris fin 2002 au sein du groupe ‘INCH’ –
Extended Incident Handling - de l’IETF (Rapports N°32 – Mars 2001, N°46 – Mai 2002, N°53- Décembre 2002,
N°56 – Mars 2003).
L’objectif était de définir, d’une part les besoins des
équipes de gestion des incidents informatiques, ou
CSIRT, en matière d’échange d’informations concernant
les incidents de sécurité, et d’autre part une structure de
données apte à accueillir les informations requises.
Les travaux repris par l’IETF ont mené à la rédaction des
quatre documents suivant actuellement toujours en état
de version de travail:
Référence
draft-ietf-inch-requirements-04
draft-ietf-inch-iodef-03
draft-ietf-inch-implement-01
draft-ietf-inch-rid-02
Titre
Rapport
Requirement for FINE
N°56 – Mars
2003
Spécification des besoins en matière d’échange d’incidents de sécurité
The IODEF Data Model & XML
N°53 – Décembre 2002
Modèle de données de description d’un incident et structure XML associée
The IODEF implementation guide
N°69 – Avril
2004
Guide d’implémentation du modèle de données de description d’un incident
Real-Time Inter-Network Defense
Extension du modèle IODEF pour gérer les incidents réseau en temps réel
La dernière version de travail diffère peu de la précédente: enrichissement de l’introduction, réorganisation du
glossaire et ajout de nouveaux termes en accord avec l’évolution du modèle de données IODEF (Incident Object
Description and Exchange Format), extension de certaines exigences. Le sommaire de ce document est le suivant:
1. Introduction
2. Incident Handling Framework
3. General Requirements
4. Format Requirements
5. Communication Mechanism Requirements
6. Content Requirements
7. Security Considerations
8. IANA Considerations
9. References
10. Acknowledgements
11. Authors' Addresses
Full Copyright Statement
Appendix: History of Changes
ftp://ftp.nordu.net/internet-drafts/draft-ietf-inch-requirements-04.txt
ftp://ftp.nordu.net/internet-drafts/draft-ietf-inch-rid-02.txt
ftp://ftp.nordu.net/internet-drafts/draft-ietf-inch-iodef-03.txt
ftp://ftp.nordu.net/internet-drafts/draft-ietf-inch-implement-01.txt
Page 31/60
Mai 2005
ALLEER
RT
TE
ES
SE
ET
T AT
TT
TA
AQ
QU
UE
ES
S
ALERTES
GUIDE DE LECTURE
La lecture des avis publiés par les différents organismes de surveillance ou par les constructeurs n’est pas
toujours aisée. En effet, les informations publiées peuvent être non seulement redondantes mais aussi
transmises avec un retard conséquent par certains organismes. Dès lors, deux alternatives de mise en
forme de ces informations peuvent être envisagées :
Publier une synthèse des avis transmis durant la période de veille, en classant ceux-ci en fonction de
l’origine de l’avis,
Publier une synthèse des avis transmis en classant ceux-ci en fonction des cibles.
La seconde alternative, pour séduisante quelle soit, ne peut être raisonnablement mise en œuvre étant
donné l’actuelle diversité des systèmes impactés. En conséquence, nous nous proposons de maintenir une
synthèse des avis classée par organisme émetteur de l’avis.
Afin de faciliter la lecture de ceux-ci, nous proposons un guide de lecture sous la forme d’un synoptique
résumant les caractéristiques de chacune des sources d’information ainsi que les relations existant entre
ces sources. Seules les organismes, constructeurs ou éditeurs, disposant d’un service de notification officiel
et publiquement accessible sont représentés.
Avis Spécifiques
Constructeurs
Réseaux
Systèmes
Avis Généraux
Editeurs
Systèmes
Indépendants
Editeurs
Hackers
Editeurs
Organismes
Autres
US
Autres
Aus-CERT
3Com
Compaq
Linux
Microsoft
l0pht
AXENT
BugTraq
CERT
Cisco
HP
FreeBSD
Netscape
rootshell
ISS
@Stake
CIAC
IBM
NetBSD
SGI
OpenBSD
SUN
SCO
Typologies des informations publiées
Publication de techniques et de programmes d’attaques
Détails des alertes, techniques et programmes
Synthèses générales, pointeurs sur les sites spécifiques
Notifications détaillées et correctifs techniques
L’analyse des avis peut être ainsi menée selon les trois stratégies suivantes :
Recherche d’informations générales et de tendances :
Lecture des avis du CERT et du CIAC
Maintenance des systèmes :
Lecture des avis constructeurs associés
Compréhension et anticipation des menaces :
Lecture des avis des groupes indépendants
Aus-CERT
CERT
3Com
Compaq
Microsoft
Cisco
HP
Netscape
BugTraq
rootshell
AXENT
NetBSD
@Stake
l0pht
ISS
OpenBSD
IBM
Xfree86
SGI
Linux
SUN
FreeBSD
CIAC
Page 32/60
Mai 2005
FORMAT DE LA PRESENTATION
Les alertes et informations sont présentées classées par sources puis par niveau de gravité sous la forme
de tableaux récapitulatifs constitués comme suit :
Présentation des Alertes
EDITEUR
TITRE
Description sommaire
Informations concernant la plate-forme impactée
Gravité
Date
Produit visé par la vulnérabilité
Description rapide de la source du problème
Correction
Référence
URL pointant sur la source la plus pertinente
Référence(s) CVE si définie(s)
Présentation des Informations
SOURCE
TITRE
Description sommaire
URL pointant sur la source d’information
Référence(s) CVE si définie(s)
SYNTHESE MENSUELLE
Le tableau suivant propose un récapitulatif du nombre d’avis publiés pour la période courante, l’année en
cours et l’année précédente. Ces informations sont mises à jour à la fin de chaque période de veille.
L’attention du lecteur est attirée sur le fait que certains avis sont repris et rediffusés par les différents
organismes. Ces chiffres ne sont donc représentatifs qu’en terme de tendance et d’évolution.
Période du 26/04/2005 au 27/05/2005
Organisme
US-CERT TA
US-CERT ST
CIAC
Constructeurs
Cisco
HP
IBM
SGI Irix
Sun
Editeurs
BEA
Oracle
Macromedia
Microsoft
Novell
Unix libres
Linux RedHat
Linux Fedora
Linux Debian
Linux Mandr.
FreeBSD
Autres
iDefense
eEye
NGS Soft.
Période
20
2
3
15
10
1
4
1
1
3
14
11
0
1
1
1
74
32
8
15
15
4
16
16
0
0
Cumul
2005 2004
127
261
7
30
11
2
109
229
102
220
12
28
15
55
13
19
2
12
60
106
49
105
12
28
3
5
3
7
24
45
7
20
440
659
137
143
102
147
109
193
83
152
9
24
99
142
71
81
3
23
25
38
Cumul 2005 - Constructeurs
Cumul 2004 - Constructeurs
Cisco
12%
Sun
58%
Cisco
13%
Sun
48%
HP
15%
SGI Irix
2%
SGI Irix
5%
IBM
13%
Cumul 2004 - Editeurs
Cumul 2005 - Editeurs
Novell
14%
Microsoft
50%
HP
25%
IBM
9%
BEA
24%
Oracle
6%
Macromedia
6%
Novell
19%
Microsoft
42%
BEA
27%
Oracle
Macromedia 5%
7%
Page 33/60
Mai 2005
ALERTES DETAILLEES
AVIS OFFICIELS
Les tables suivantes présentent une synthèse des principales alertes de sécurité émises par un organisme
fiable, par l’éditeur du produit ou par le constructeur de l’équipement. Ces informations peuvent être
considérées comme fiables et authentifiées. En conséquence, les correctifs proposés, s’il y en a, doivent
immédiatement être appliqués.
ADOBE
Exposition d'informations dans la visionneuse 'SVG'
Une faille permet à un attaquant distant de confirmer l'existence de fichiers arbitraires sur une machine vulnérable.
Moyenne 10/05 Adobe 'SVG Viewer' versions inférieures à 3.0.3 (Windows)
Erreur de codage
Correctif existant Fichier 'NPSVG3.dll'
Hyperdose
Securiteam
Adobe
http://www.hyperdose.com/advisories/H2005-07.txt
http://www.securiteam.com/windowsntfocus/5HP0J00FPQ.html
http://www.adobe.com/svg/viewer/install/mainframed.html
APPLE
Exécution de code arbitraire dans 'iTunes'
Une faille dans 'iTunes' permet de provoquer un déni de service de l'application et/ou l'exécution de code arbitraire.
Forte
09/05 Apple 'iTunes' versions inférieures à 4.8
Débordement de buffer
Correctif existant Traitement des fichiers MPEG4
Apple
Apple
CAN-2005-1248
http://lists.apple.com/archives/security-announce/2005/May/msg00003.html
http://docs.info.apple.com/article.html?artnum=301596
Exposition d'informations via 'Keynote'
Une vulnérabilité dans 'Keynote' peut entraîner une exposition d'informations sensibles.
Forte
25/05 Apple 'Keynote' versions 2 et 2.0.1
Erreur de codage
Correctif existant URI "keynote:"
Apple
CAN-2005-1408
Multiples failles dans 'MacOS X'
Apple a annoncé l'existence de multiples failles dans plusieurs composants des systèmes 'Mac OS X'.
Forte
03/05 Apple 'Mac OS X' version 10.3.9 et Apple 'Mac OS X Server' version 10.3.9
Se référer à l’avis original
Correctif existant Se référer à l’avis original
Apple
Apple
CAN-2005-1344, CAN-2004-1307, CAN-2005-1330, CAN-2005-1331, CAN-2005-1332, CAN-2005-1033, CAN-2005-1335, CAN2005-1336, CAN-2005-1337, CAN-2005-1338, CAN-2005-1339, CAN-2005-1341, CAN-2005-1342, CAN-2005-1343, CAN-20051340, CAN-2005-0594
Multiples vulnérabilités dans 'MacOS X'
Deux vulnérabilitéspeuvent entraîner une exposition d'informations et l'exécution d'applications arbitraires.
Forte
19/05 Apple 'Mac OS X' Client et Server version 10.4
Mauvaise gestion des droits, Erreur de conception
Correctif existant Noyau et 'SecurityAgent'
Apple
http://lists.apple.com/archives/security-announce//2005/May/msg00004.html
Apple
CAN-2005-1472, CAN-2005-1473
BEA
Contournement des règles de sécurité dans 'WebLogic'
Une erreur de conception peut entraîner le contournement des règles de sécurité définies par défaut.
Forte
24/05 BEA 'WebLogic Server' et 'WebLogic Express' versions 7.0 à 7.0 SP5
Correctif existant Gestion des sessions utilisateurs Erreur de conception
BEA Systems
http://dev2dev.bea.com/pub/advisory/127
"Cross-Site Scripting" dans la console d'administration
Une vulnérabilité peut autoriser un attaquant distant à mener des attaques de type "Cross-Site Scripting"
Forte
26/04 BEA Systems 'WebLogic Express' et 'WebLogic Server' version 8.1
Console d'administration
Validation insuffisante des données fournies en entrée
Aucun correctif
Red-Database
Bugtraq
http://www.red-database-security.com/advisory/bea_css_in_admin_console.html
http://www.securityfocus.com/bid/13400
Page 34/60
Mai 2005
"Cross-Site Scripting" dans 'WebLogic Server/Express'
Plusieurs failles permettent de mener des attaques de type "Cross-Site Scriptin".
Forte
23/05 BEA Systems 'WebLogic Express' et 'WebLogic Server' version 8.1
Validation insuffisante des données en entrée
Correctif existant Non disponible
BEA BEA05-80
Déni de service dans 'WebLogic Server/Express'
Une faille permet à un attaquant distant de provoquer un déni de service du système.
Forte
23/05 BEA 'WebLogic Server/Express' version 6.1 SP4
Correctif existant Serveur LDAP intégré
BEA BEA05-82
Déni de service des "clusters" 'WebLogic'
Une vulnérabilité dans la gestion des cookies peut entraîner un déni de service des "clusters" 'WebLogic'.
Forte
24/05 BEA 'WebLogic Server' versions 7.0 à 7.0 SP5
Erreur de codage
Correctif existant Gestion des cookies
BEA BEA05-79
Déni de service des connexions 'JDBC' de 'WebLogic'
Une erreur de conception dans 'WebLogic Server' peut entraîner un déni de service des connexions JDBC.
Forte
24/05 BEA 'WebLogic Server' version 8.1 SP2, SP3
Erreur de conception
Correctif existant Réserve de connexions JDBC
BEA BEA05-75
Exposition d'informations dans 'WebLogic Portal'
Une erreur de conception dans 'WebLogic Portal' peut provoquer l'exposition d'informations sensibles.
Forte
23/05 BEA 'WebLogic Portal' versions inférieures à 8.1 SP4
Correctif existant Message d'erreur
BEA BEA05-78
Multiples vulnérabilités dans le serveur LDAP de 'WLS'
Une erreur de conception peut entraîner l'exposition d'informations sensibles et un déni de service.
Forte
24/05 BEA 'WebLogic Server' versions 8.1 à 8.1 SP4 et 7.0 à 7.0 SP5
Correctif existant Serveur LDAP
BEA BEA05-81
Usurpation d'identité dans 'WebLogic Server/Express'
Une faille permet à un utilisateur d’utiliser'une identité erronée et d'empêcher les fonctions d'audit de fonctionner.
Forte
24/05 BEA 'Weblogic Server/Express' version 8.1 SP3 et inférieures et 7.0 SP5 et inférieures
Non disponible
Correctif existant Traitement des exceptions
BEA BEA05-76
BLUECOAT
Multiples vulnérabilités dans Blue Coat 'Reporter'
De multiples vulnérabilités autorisent des attaques de type "Cross-Site Scripting", et une élévation de privilèges.
Forte
20/05 Blue Coat 'Reporter' versions inférieures à 7.1.2
1, 2, 3, 4 - Non disponible
Correctif existant 1, 2, 3, 4 - Non disponible
Blue Coat Syst.
http://www.bluecoat.com/support/knowledge/advisory_reporter_711_vulnerabilities.html
CISCO
Faille dans le "Cisco Firewall Services Module"
Une faille permet à un attaquant distant de contourner les règles d'accès définies dans ce module.
Forte
11/05 Cisco 'FWSM' version 2.3.1 et précédentes (Catalyst 6500 et routeurs 7600)
Non disponible
Correctif existant Règles d'exception
Cisco 64821
http://www.cisco.com/en/US/products/products_security_advisory09186a0080464d00.shtml
CITRIX
Deux vulnérabilités dans 'Neighborhood Agent'
Deux vulnérabilités peuvent entraîner l'exécution de code arbitraire sur un poste client vulnérable.
Forte
26/04 Citrix 'Program Neighborhood Agent for Win32' versions inférieures à 9.00
Citrix 'MetaFrame Presentation Server client for WinCE' versions inférieures à 8.33
'Neighborhood Agent'
Fonction 'lstrcatA()'
Débordement de pile
iDefense 237
http://www.idefense.com/application/poi/display?id=237&type=vulnerabilities
iDefense 238
Citrix CTX105650
http://support.citrix.com/kb/entry.jspa?externalID=CTX105650
CAN-2004-1077, CAN-2004-1078
Correctif existant
Page 35/60
Mai 2005
CU
"Cross-Site Scripting" dans 'SURVIVOR'
L'outil 'SURVIVOR' contient une faille permettant de mener des attaques de type "Cross-Site Scripting".
Forte
27/04 Université de Columbia 'SURVIVOR' versions inférieures à 0.9.6
Secunia 15160
SURVIVOR
http://secunia.com/advisories/15160
http://www.columbia.edu/acis/dev/projects/survivor/doc/todo.html#changelog
DNS
Déni de service distant dans le protocole 'DNS'
Une vulnérabilité dans la gestion de certains messages 'DNS' peut entraîner un déni de service.
Forte
24/05 Cisco 'IP Phones', 'ATA', 'Unity Express' et 'ACNS', DNRD 'DNRD' version 2.10
Correctif existant
DeleGate 'DeleGate' version 8.10.2 et inférieures, PowerDNS 'PowerDNS' version 2.9.16 et inférieures
D'autres implémentations du protocole 'DNS' sont probablement vulnérables.
Messages 'DNS' compressés
Erreur de codage
Cisco 64994
http://www.cisco.com/warp/public/707/cisco-sn-20050524-dns.shtml
NISCCC
NISCCC
CAN-2005-0036, CAN-2005-0037, CAN-2005-0038
ETHEREAL
Nombreuses vulnérabilités dans 'Ethereal'
De nombreuses vulnérabilités dans 'Ethereal' peuvent entraîner un déni de service ou l'exécution de code arbitraire.
Forte
04/05 Ethereal 'ethereal' versions 0.8.14 à 0.10.10
Débordement de buffer, Erreur de chaîne de formatage, Pointeur NULL
Ethereal
http://www.ethereal.com/appnotes/enpa-sa-00019.html
EXTREMENETWORK
Elévation de privilèges dans 'ExtremeWare XOS'
Une faille permet à un utilisateur non privilégié d'obtenir le contrôle total d'un équipement vulnérable.
Critique
12/05 'ExtremeWare XOS' V11.1 inférieures à 11.1.3.3, ‘XOS’ V11.0 inférieures à 11.0.2.4, ‘XOS' 10 toutes versions
Non disponible
Extreme Netw.
http://www.extremenetworks.com/services/documentation/FieldNotices_FN0215-Security_Alert_EXOS.asp
FREEBSD
Multiples vulnérabilités dans 'FreeBSD'
Plusieurs vulnérabilités peuvent autoriser un utilisateur à obtenir des informations et corrompre des données.
Forte
06/05 FreeBSD 'FreeBSD' V4.6 à 5.3
FreeBSD 'FreeBSD' V4.7 à 5.3 (i386 et amd64)
FreeBSD 'FreeBSD' V4.x et 5.x
Correctif existant Pilote 'iir'
Manque de validation des données fournies en entrée
Appel système 'i386_get_ldt()'
'noyau' FreeBSD
FreeBSD 05:08
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-05:08.kmem.asc
FreeBSD 05:06
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-05:06.iir.asc
FreeBSD 05:07
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-05:07.ldt.asc
CAN-2005-1399, CAN-2005-1400, CAN-2005-1406
GAIM
Dénis de service dans 'GAIM'
Deux vulnérabilités permettent de provoquer des dénis de service du client de messagerie.
Forte
10/05 GAIM 'GAIM' versions inférieures à 1.3.0
Correctif existant Traitement des 'URL'
Gestion du protocole 'MSN'
Déréférencement de pointeur NULL
GAIM 17
http://gaim.sourceforge.net/security/index.php?id=17
GAIM 16
http://gaim.sourceforge.net/security/index.php?id=16
CAN-2005-1261, CAN-2005-1262
GNU
Déni de service dans 'GnuTLS'
Une faille permet à un attaquant distant de provoquer un déni de service.
Forte
28/04 GNU 'GnuTLS' versions 1.2.x inférieures à 1.2.3, versions 1.0.x inférieures à 1.0.25
Non disponible
Correctif existant Paquets de type "record"
gnutls-dev
http://www.securitytracker.com/alerts/2005/May/1013861.html
Page 36/60
Mai 2005
Exécution de code arbitraire dans 'gdb'
Une faille dans l'analyseur de code 'gdb' permet de provoquer l'exécution de code et de commandes arbitraires.
Forte
20/05 GNU 'gdb' version 6.3 et inférieures
Bibliothèque 'BFD'
Débordement d'entier, Erreur de codage
Aucun correctif
Gentoo GLSA
http://www.gentoo.org/security/en/glsa/glsa-200505-15.xml
Exécution de commandes arbitraire dans 'zgrep'
'zgrep contient une faille qui permet de provoquer l'exécution de commandes arbitraires.
Forte
10/05 GNU 'zgrep' version 1.2.4. Les versions précédentes sont probablement vulnérables.
Paramètres ligne de commande Validation insuffisante des données en entrée
Aucun correctif
Gentoo
Security Focus
CAN-2005-0758
http://bugs.gentoo.org/show_bug.cgi?id=90626
Création non sécurisée de fichiers dans 'Shtool'
Une création non sécurisée de fichiers temporaires peut entraîner la corruption de fichiers arbitraires.
Moyenne 25/05 GNU 'Shtool' version 2.0.1 et inférieures
'Shtool'
Création de fichiers temporaires non sécurisée
Aucun correctif
Zataz shtool
Gentoo 93782
CAN-2005-1751
http://www.zataz.net/adviso/shtool-05252005.txt
http://bugs.gentoo.org/show_bug.cgi?id=93782
GRAPHICSMAGICK
Déni de service dans 'GraphicsMagick'
Une faille permet de provoquer un déni de service du système.
Forte
21/05 GraphicsMagick 'GraphicsMagick' version 1.1.6 et inférieures
images 'XWD'
Erreur de codage
Aucun correctif
Gentoo GLSA
GROOVENETWORKS
Multiples failles dans deux produits
Plusieurs failles permettent en particulier de provoquer l'exécution de code arbitraire à distance.
Moyenne 19/05 Groove Networks 'Virtual Office 3.1' builds inférieurs à 2338
Correctif existant
US-CERT
US-CERT
US-CERT
Groove Networks 'Virtual Office 3.1a' builds inférieurs à 2364
Groove 'Workspace' versions inférieures à 2.5n build 1871
Objets 'COM', Noms fichiers liés Erreur de conception
'OLE',
Installation,
Outils Validation insuffisante des données en entrée
'SharePoint'.
http://www.kb.cert.org/vuls/id/372618
HP
Accès distant non autorisé dans HP-UX 11
Une vulnérabilité permet à un attaquant distant d'obtenir un accès non autorisé au système.
Forte
25/05 HP 'HP-UX' versions B.11.00, B.11.11, B.11.22 et B.11.23
Non disponible
HP HPSBUX01165
http://www4.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBUX01165
Vulnérabilité dans HP 'OpenView RMP'
Une vulnérabilité permet d'acquérir un accès non autorisé ou de provoquer un déni de service.
Forte
27/04 HP 'OpenView RMP V2.x fonctionnant avec 'Radia Management Agent' (Windows)
Correctif existant
HP HPSBMA01138
HP 'OpenView RMP V1.x fonctionnant avec 'Radia Management Agent' (Unix)
RMP, RMA
Non disponible
http://www4.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBMA01138
Vulnérabilités dans HP 'OpenView ECS'
Des vulnérabilités peuvent être exploitées afin de provoquer l'exécution de code arbitraire ou un déni de service.
Forte
01/05 HP 'OpenView Event Correlation Services' versions 3.32 et 3.33 (HP-UX, Solaris, Linux, Windows NT à XP)
Non disponible
Correctif existant OV ECS
HP HPSBMA01141
Vulnérabilités dans HP 'OpenView NNM'
Des vulnérabilités peuvent être exploitées afin d'exécuter du code arbitraire ou de provoquer un déni de service.
Forte
01/05 HP 'OpenView Network Node Manager' versions 6.2, 6.4, 7.01 et 7.50 (Unix)
Non disponible
Correctif existant OV NNM
HP HPSBMA01140
Page 37/60
Mai 2005
HTEDITOR
Exécution de code arbitraire dans 'HT Editor'
Deux failles ont été découvertes dans 'HT Editor', un outil d'analyse et d'édition de fichiers exécutables.
Forte
10/05 HT Editor 'HT Editor' version 8.0 et inférieures
Format 'ELF', Format 'PE'
Débordement de tas et de buffer
Aucun correctif
Gentoo GLSA
IBM
Déni de service dans 'DB2'
Une faille dans une fonction de 'DB2' permet à une application distante de provoquer un déni de service.
Forte
04/05 IBM 'DB2' version 8
Erreur de codage
Correctif existant Processus 'sqlcctcpgetbuffer'
IBM 1205583
http://www-1.ibm.com/support/docview.wss?rs=71&context=SSEPGG&dc=D600&lang=en
IMAGEMAGICK
Déni de service dans 'ImageMagick'
Une faille dans le traitement des images 'PNM' permet de provoquer un déni de service de l'application.
Forte
25/04 ImageMagick 'ImageMagick' versions 6.0.0 à 6.2.1
Débordement de tas
Correctif existant Images au format 'PNM'
ImageMagick
Overflow.pl 3
http://www.imagemagick.org/script/changelog.php
http://www.overflow.pl/adv/imheapoverflow.txt
Déni de service dans 'ImageMagick'
Une faille dans le décodage des images 'XWD' permet de provoquer un déni de service du système.
Forte
21/05 ImageMagick 'ImageMagick' versions inférieures à 6.2.2.3
Erreur de codage
Correctif existant Images 'XWD'
Gentoo GLSA
INTEL
Elévation de privilèges sur les architectures 'HTT'
Une faille dans la technologie "Hyper-Threading" permet à un utilisateur local d'obtenir une élévation de privilèges.
Forte
13/05 Intel 'Pentium Extreme Edition', 'Pentium 4', 'Mobile Pentium 4', 'Xeon'
Non disponible
Correctif existant Technologie 'HTT'
FreeBSD
Colin Percival
CAN-2005-0103
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-05:09.htt.asc
http://www.daemonology.net/hyperthreading-considered-harmful
IP
Déni de service dans certaines implémentations de 'TCP'
Une faille permet à un attaquant distant d'interrompre, sous certaines conditions, des connexions 'TCP' actives.
Forte
18/05 Se référer à l’avis original
Correctif existant Implémentation de la RFC 1323 Erreur de codage
US-CERT
OpenBSD
Security Focus
Microsoft
Cisco
CAN-2005-0356
http://www.kb.cert.org/vuls/id/JGEI-6ABPEC
http://www.kb.cert.org/vuls/id/JGEI-6ABPDR
http://openbsd.org/errata36.html#tcp
http://www.microsoft.com/technet/security/advisory/899480.mspx
http://www.cisco.com/en/US/products/hw/ps4159/ps2160/products_security_notice09186a008046f502.html
Exposition d'informations sensibles dans 'IPSec'
Une faille permet à un attaquant distant de révéler le contenu de certains types de communications chiffrées.
Forte
09/05 IETF 'IPSec'
Chiffrement "CBC”
Aucun correctif
NISCC
CAN-2005-0039
http://www.niscc.gov.uk/niscc/docs/al-20050509-00386.html?lang=en
KERIO
Multiples vulnérabilités dans les produits Kerio
Deux erreurs de conception de mener des attaques en force brute ou un déni de service du produit.
Forte
29/04 Kerio 'WinRoute Firewall' V 6.0.10 et inférieures, 'MailServer' V 6.0.8 et inférieures,
Correctif existant
'Personal Firewall' V 4.1.2 et inférieures
Administration à distance
Kerio
Kerio
http://www.kerio.com/security_advisory.html
http://www.kerio.com/security_advisory.html
Page 38/60
Mai 2005
LEAFNODE
Déni de service dans 'leafnode'
Une faille permet à un attaquant distant de provoquer un déni de service de l'application.
Forte
04/05 Leafnode 'leafnode' versions 1.9.48 à 1.11.1
Erreur de codage
Correctif existant Programme 'fetchnews'
Leafnode
http://leafnode.sourceforge.net/leafnode-SA-2005-01.txt
LIBTIFF
Exécution de code arbitraire dans 'libTIFF'
Une faille permet de provoquer un déni de service des applications liées et l'exécution de code arbitraire.
Forte
10/05 LibTIFF 'libtiff' version 3.7.2. Les versions précédentes sont probablement vulnérables.
Correctif existant Traitement des images TIFF
LibTIFF v3.7.2
http://www.remotesensing.org/libtiff/v3.7.2.html
LINUX
Elévation de privilèges locale dans le noyau Linux
Une faille dans la création des fichiers "core" permet à un utilisateur local d'obtenir les privilèges de"root".
Forte
11/05 Linux 'noyau' V 2.2.0 à 2.2.27-rc2, V 2.4.0 à 2.4.31-pre1, V 2.6.0 à 2.6.11.8, V 2.6.12-rc1 à 2.6.12-rc4
Erreurs de codage
Correctif existant 'elf_core_dump()'
Linux
CAN-2005-1263
http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.11.9
LINUX DEBIAN
Deux vulnérabilités dans le paquetage 'cvs'
un attaquant distant peut obtenir un accès sur le serveur et mener des attaques de type déni de service.
Forte
27/04 Debian GNU/Linux version 3.0 (woody)
Erreur de codage
Correctif existant Paquetage 'cvs'
Debian DSA-715
http://www.debian.org/security/2005/dsa-715
CAN-2004-1342, CAN-2004-1343
LINUX REDHAT
Déni de service des plates-formes RHEL 3
Une vulnérabilité dans le noyau Linux des plates-formes Red Hat Enterprise Linux peut entraîner un déni de service.
Forte
18/05 Red Hat 'Red Hat Desktop' V 3, 'Red Hat Enterprise Linux' AS, ES et WS V 3
Erreur de codage
Correctif existant Système de fichiers 'xattr'
Red Hat
CAN-2005-0757
https://rhn.redhat.com/errata/RHSA-2005-294.html
Elévation de privilèges dans le noyau Linux (RHEL 3)
Une vulnérabilité dans le noyau Linux des plates-formes Red Hat RHEL 3 peut entraîner une élévation de privilèges.
Moyenne 25/05 Red Hat V3
Correctif existant Gestion de la mémoire partagée Erreur de codage
Red Hat 472-05
CAN-2004-0491
MAILENABLE
Déni de service du serveur 'SMTP'
Une vulnérabilité non documentée dans 'MailEnable' peut entraîner un déni de service du serveur 'SMTP'.
Forte
23/05 MailEnable 'MailEnable Professional' version 1.5 et suivantes, 'MailEnable Enterprise' toutes versions
Non disponible
Correctif existant Serveur 'SMTP'
MailEnable
http://www.mailenable.com/hotfix/
MARADNS
Une faille non documentée affecte 'MaraDNS'
Une faille a été signalée dans le générateur de nombres aléatoires du serveur DNS 'MaraDNS'.
N/A
02/05 MaraDNS 'MaraDNS' versions inférieures à 1.0.27
Correctif existant Générateur nombres aléatoires Non disponible
MaraDNS
http://www.maradns.org/changelog.html
MICROSOFT
Prise de contrôle à distance dans 'MSN Messenger'
Une faille permet à un attaquant distant de prendre le contrôle d'une machine vulnérable.
Critique 17/05 Microsoft 'MSN Messenger' versions 6.1 et 6.2
Non disponible
M KB890261
http://www.microsoft.com/downloads/details.aspx?familyid=ebe898d8-fe1c-4a5e-993c-5fab3e62c925&…n
Page 39/60
Mai 2005
Exécution de code dans l'explorateur de fichiers
Une faille dans l'explorateur de fichiers de plusieurs versions de Windows permet de provoquer l'exécution de code
arbitraire.
Forte
10/05 Microsoft 'Windows 2000' SP3 et SP4, 98, 98 SE, Me (Millenium edition)
Correctif existant Bibliothèque 'webvw.dll'
GreyMagic
MS05-024
CAN-2005-1191
http://www.greymagic.com/security/advisories/gm015-ie
http://www.microsoft.com/technet/security/Bulletin/MS05-024.mspx
Exposition d'informations dans 'ASP.NET'
Les messages d'erreur permettent à un attaquant d'obtenir des informations potentiellement sensibles.
Faible
18/05 Microsoft '.Net' version 1.1 (Windows 2000 + IIS 5.0 + .Net), 'IIS' version 6.0 (Windows 2003)
Messages d'erreur par défaut
Aucun correctif
Microsoft
Net square
http://msdn.microsoft.com/library/en-us/vbcon/html/vbtskdisplayingsafeerrormessages.asp
http://net-square.com/advisory/NS-051805-ASPNET.pdf
MOZILLA
Exécution de code arbitraire à distance dans 'Firefox'
Deux vulnérabilités permettent de provoquer à distance l'exécution de code arbitraire dans le navigateur.
Forte
07/05 Mozilla 'Firefox' version 1.0.3 et inférieures
Gestion des URL JavaScript
Aucun correctif
Secunia
Mozilla Security
Security Tracker
Bugtraq
Fonction 'InstallTrigger.install()' Validation insuffisante des données en entrée
http://www.mozilla.org/security/#Security_Alerts
http://securitytracker.com/alerts/2005/May/1013913.html
http://www.securityfocus.com/archive/1/397747
Exposition d'informations sensibles dans 'Bugzilla'
Deux failles permettent de provoquer l'exposition d'informations sensibles et d'obtenir un accès non autorisé.
Forte
11/05 Mozilla 'Bugzilla' versions 2.10 à 2.18, 2.19.1 et 2.19.2
Correctif existant
Bugzilla 2.16.8
Mozilla 'Bugzilla' versions 2.17.1 à 2.18, 2.19.1 et 2.19.2
enter_bug.cgi
userprefs.cgi, CGI.pm, chart.cgi Erreur de codage
http://www.bugzilla.org/security/2.16.8
Multiples failles dans 'Mozilla Suite' et 'Firefox'
Deux failles permettent l'injection et l'exécution de scripts arbitraires, des attaques de type "CSS" et une élévation
de privilèges.
Forte
11/05 Mozilla 'Firefox' versions inférieures à 1.0.4
Correctif existant
Mozilla 2005-43
Mozilla 2005-44
Mozilla 'Mozilla Suite' versions inférieures à 1.7.8
'view-source:' et 'jar:'
Erreur de codage
Fonctions 'eval()' et 'script()'
http://www.mozilla.org/security/announce/mfsa2005-43.html
http://www.mozilla.org/security/announce/mfsa2005-44.html
NASM
Débordement de pile dans 'nasm'
Un débordement de pile peut entraîner l'exécution de code arbitraire.
Forte
04/05 nasm 'nasm' versions 0.98.x
Fonction 'ieee_putascii()'
Aucun correctif
Red Hat
CAN-2005-1194
NET-SNMP
Exécution de code arbitraire dans 'fixproc'
Une faille permet de provoquer l'exécution de code arbitraire et la corruption de fichiers arbitraires.
Forte
23/05 Net-SNMP 'net-snmp' version 5.2.1 et inférieures
Fichiers temporaires
Aucun correctif
Gentoo GLSA
NOVELL
Multiples débordements dans Novell 'ZENworks'
De multiples débordements d'entier et de tas peuvent entraîner la compromission du système.
Critique 18/05 Desktop Management' V 6.5 (ZfD6.5), Server Management' V 6.5 (ZfS6.5)
Aucun correctif
Bugtraq
Novell 10097644
CAN-2005-1543
Desktops' V 4.x, Servers' V 3.x, Remote Management'
Application 'zenrem32.exe'
Débordement de pile et de tas
http://support.novell.com/cgi-bin/search/searchtid.cgi?/10097644.htm
Page 40/60
Mai 2005
OOPS
Exécution de code arbitraire dans le proxy 'oops'
Une faille dans le proxy HTTP 'oops' permet à un attaquant distant de provoquer l'exécution de code arbitraire.
Forte
09/05 Oops! 'oops' version 1.5.23 et inférieures
Erreur de chaîne de formatage
Correctif existant Fichier 'passwd_sql.c'
Gentoo GLSA
Oops!
http://zipper.paco.net/~igor/oops/diff_from_1.5.23.patch.gz
PERL
Exécution de code arbitraire dans 'Convert::UUlib'
Une faille dans la bibliothèque de conversion 'Convert::UUlib' permet de provoquer l'exécution de code arbitraire.
Forte
25/02 Perl 'Convert::UUlib' versions inférieures à 1.05
Correctif existant Opération de lecture
Gentoo GLSA
CPAN Convert
http://search.cpan.org/src/MLEHMANN/Convert-UUlib-1.051/Changes
Réduction de la sécurité dans 'Net::SSLeay'
Une erreur dans une bibliothèque de chiffrement peut entraîner une réduction du niveau de sécurité qu'elle fournit.
Forte
03/05 Perl 'Net::SSLeay' versions 1.25 et inférieures
Bibliothèque 'SSLeay.pm'
Aucun correctif
Ubuntu USN-113
CAN-2005-0106
http://www.ubuntulinux.org/support/documentation/usn/usn-113-1
PHPMYADMIN
Exposition d'informations dans 'phpmyadmin'
Une erreur permet à un utilisateur local d'obtenir des informations sensibles.
Forte
30/04 phpMyAdmin 'phpmyadmin' version 2.6.2
Procédure d'installation
Droits d'accès trop permissifs
Aucun correctif
Gentoo GLSA
PHPSYSINFO
"Cross-Site Scripting" dans 'phpSysInfo'
Plusieurs failles peuvent être exploitées afin d'obtenir des informations ou de mener des attaques de type “CSS”
Forte
23/03 PhpSysInfo 'phpSysInfo' version 2.3
Erreur de codage, Mauvaise validation des paramètres en entrée
Aucun correctif
Debian dsa-724
Bugtraq
CAN-2005-0869, CAN-2005-0870
POSTGRESQL
Deux vulnérabilités dans la base de données PostgreSQL
Deux vulnérabilités peuvent entraîner, entre autres, un déni de service potentiel.
Forte
02/05 PostgreSQL 'PostgreSQL' versions 7.3 à 8.0.2
Aucun correctif
Secunia SA15217
PostgreSQL
PostgreSQL 'PostgreSQL' versions 7.4 à 8.0.2
Conversion jeux de caractères
Mauvaise validation des arguments
Module 'contrib/tsearch2'
http://secunia.com/advisories/15217/
http://www.postgresql.org/about/news.315
PPXP
Elévation de privilèges via 'ppxp'
Une vulnérabilité autorise un utilisateur local malicieux à acquérir des droits privilégiés.
Forte
19/05 Ppxp 'ppxp' version non disponible
Fichiers de journalisation
Mauvais relâchement des privilèges
Aucun correctif
Debian DSA-725
CAN-2005-0392
PROCMAIL
Vulnérabilité dans 'smartlist'
Une erreur de codage peut entraîner l'inscription d'adresses mail arbitraires.
Moyenne 03/05 Procmail 'smartlist' version 3.15 et inférieures
Fonctionnalité "confirm add-on" Erreur de codage
Aucun correctif
Debian DSA-720
CAN-2005-0157
Page 41/60
Mai 2005
QUALCOMM
Multiples vulnérabilités dans 'Qpopper'
De multiples vulnérabilités affectent le serveur POP3 'Qpopper' de Qualcomm.
Forte
23/05 Qualcomm 'Qpopper' version 4.0.5 et inférieures.
Mauvaise gestion des droits privilégiés
Correctif existant Gestion de fichiers locaux
Création de fichiers
Mauvaise gestion des privilèges sur les fichiers
Qualcomm
ftp://ftp.qualcomm.com/eudora/servers/unix/popper/Changes
Gentoo GLSA
CAN-2005-1151, CAN-2005-1152
ROOTKIT.NL
Corruption d'informations dans "Rootkit Hunter"
L'outil comporte plusieurs failles permettant de provoquer la corruption de fichiers arbitraires du système.
Moyenne 26/04 Rootkit.nl 'rkhunter' version 1.2.4 et inférieures
'check_update.sh' et 'rkhunter'
Création de fichiers temporaires non sécurisée
Aucun correctif
Gentoo GLSA
Rootkit.nl
CAN-2005-1270
http://www.rootkit.nl/articles/rootkit_hunter_changelog.html
SAMBAR
"Cross-Site Scripting" dans 'Sambar Server'
Des erreurs peuvent autoriser un attaquant distant à mener des attaques de type "Cross-Site Scripting".
Forte
20/05 Sambar 'Sambar Server' version 6.2. D'autres versions sont peut-être vulnérables.
Non disponible
Correctif existant 'search' et 'logout'
Sambar Cross
Secunia
http://www.sambar.com/security.htm
SQUID
Corruption de réponses 'DNS' dans 'squid'
Une faille permet à un utilisateur distant d'usurper le rôle du serveur 'DNS' auprès de celui-ci.
Forte
11/05 Squid 'squid' version 2.5.STABLE9 et précédentes
Non disponible
Correctif existant Traitement des requêtes 'DNS'
Squid
http://www.squid-cache.org/Versions/v2/2.5/bugs/#squid-2.5.STABLE9-dns_query
Déni de service dans le proxy 'Squid'
Une erreur de codage dans le proxy 'Squid' peut entraîner un déni de service du serveur.
Forte
04/02 Squid 'Squid' versions 2.5.STABLE7
Correctif existant
Bugtraq
Squid
CAN-2005-0718
D'autres versions sont peut-être vulnérables.
HTTP 'PUT' et 'POST'
Erreur de codage
http://www1.uk.squid-cache.org/Versions/v2/2.5/bugs/#squid-2.5.STABLE7-post
Multiples failles dans le proxy 'Squid'
Plusieurs failles permettent de provoquer des dénis de service et des corruptions de cache du proxy.
Forte
23/04 Squid 'Squid' version 2.5.STABLE7 et précédentes
Correctif existant En-têtes de requêtes HTTP
Squid
http://www.squid-cache.org/Advisories/SQUID-2005_5.txt
Squid
http://www.squid-cache.org/Advisories/SQUID-2005_4.txt
CAN-2005-1389, CAN-2005-1390
Fausse impression de sécurité dans 'squid'
Une faille dans le proxy 'squid' peut provoquer une prise en compte incomplète de sa configuration.
Moyenne 06/05 Squid 'squid' version 2.5.STABLE9 et précédentes
Erreur de codage
Correctif existant Configuration 'http_access'
Squid
http://www.squid-cache.org/Versions/v2/2.5/bugs/#squid-2.5.STABLE9-acl_error
SUN
Déni de service distant du service 'NIS+'
Une faille permet à un utilisateur local ou distant de provoquer un déni du service 'NIS+'.
Forte
04/05 Sun 'Solaris' versions 7 à 9
Non disponible
Sun 57780
http://sunsolve.sun.com/search/document.do?assetkey=1-26-57780-1
Destruction d'informations dans 'StorEdge 6130'
Une faille permet à un utilisateur local ou distant de supprimer des fichiers arbitraires sur une unité vulnérable.
Forte
05/05 Sun 'StorEdge 6130' numéros 0451AWF00G à 0513AWF00J
Non disponible
Sun 57771
Page 42/60
Mai 2005
Déni de service local de 'autofs'
Un utilisateur local non privilégié peut empêcher l'accès aux systèmes de fichiers de type 'autofs'
Moyenne 10/05 Sun 'Solaris ' versions 7 à 9
Non disponible
Correctif existant Démon 'automountd'
Sun 57786
SYMANTEC
Contournement de l'analyse des produits Symantec
Une erreur de conception peut autoriser le contournement de l'analyse par des fichiers malicieux.
Forte
27/04 Se référer à l’avis original
Correctif existant Composant pour l'analyse
Symantec
http://www.symantec.com/avcenter/security/Content/2005.04.27.html
WORDPRESS
"Cross-Site Scripting" dans WordPress
Deux scripts de l'éditeur de texte 'WordPress' sont vulnérables à des attaques de type "Cross-Site Scripting".
Forte
09/05 WordPress 'WordPress' versions inférieures à 1.5.1
Correctif existant Scripts 'edit.php' et 'post.php'
WordPress
http://wordpress.org/development/2005/05/one-five-one
ALERTES NON CONFIRMEES
Les alertes présentées dans les tables de synthèse suivantes ont été publiées dans diverses listes
d’information mais n’ont pas encore fait l’objet d’une annonce ou d’un correctif de la part de l’éditeur. Ces
alertes nécessitent la mise en place d’un processus de suivi et d’observation.
4D
Exécution de code arbitraire dans 'Webstar' (Mac OS X)
Une faille dans 'Webstar' permet de provoquer un déni de service et l'exécution de code arbitraire.
Forte
06/05 4D 'Webstar' version 5.x (Mac OS X)
Plugin 'Web Server Tomcat'
Aucun correctif
Bugtraq 397707
602SOFTWARE
Déni de service dans '602LAN Suite'
Une faille permet de provoquer un déni de service d'un serveur vulnérable et de vérifier la présence de fichiers.
Forte
10/05 602 Software '602LAN SUITE' version 2004.0.05.0413. D'autres versions sont peut-être vulnérables.
Script Web 'mail'
Aucun correctif
Secunia 15231
CAN-2005-1423
ADOBE
Exposition d'informations dans 'SVG Viewer'
Une vulnérabilité dans Adobe 'SVG Viewer' peut entraîner une exposition d'informations.
Forte
04/05 Adobe 'SVG Viewer' versions 3.02 et inférieures
Non disponible
Correctif existant Contrôle ActiveX 'NPSVG3.dll'
Bugtraq 397513
ALWIL SOFTWARE
Elévation de privilèges dans l'anti-virus 'Avast!'
Une vulnérabilité dans l'anti-virus 'Avast!' peut entraîner une élévation de privilèges.
Forte
27/05 ALWIL Software 'Avast! Antivirus' version 4.6
Mauvaise validation des données
Correctif existant Pilote fourni avec 'Avast!'
Bugtraq
Vulnérabilité dans l'anti-virus 'Avast!' pour NT4.0
Une vulnérabilité non documentée affecte l'anti-virus 'Avast!'. Elle peut empêcher la détection de code malicieux.
Forte
18/05 ALWIL Software 'Avast! Antivirus' version 4.6.623 et inférieures sur Windows NT4.0
Non disponible
SecurityTracker
http://securitytracker.com/id?1013991
APPLE
Débordement de buffer dans le navigateur 'Safari'
Un débordement de buffer peut entraîner un déni de service de l'application.
Forte
28/04 Apple 'Safari' version 1.3 (v312). D'autres versions sont peut-être vulnérables.
Support du protocole 'HTTPS'
Aucun correctif
Bugtraq BID
Page 43/60
Mai 2005
Exécution de code arbitraire dans 'Dashboard'
Plusieurs erreurs de conception permettent d'exécuter du code arbitraire sur une machine vulnérable.
Forte
09/05 Apple 'Dashboard' (Mac OS X version 10.4.0)
Widgets pour 'Dashboard'
Erreurs de conception
Aucun correctif
Stephan.com
Columbia.edu
Net-Security
Widgets homonymes
Demandes de privilèges
http://stephan.com/widgets/zaptastic
http://www1.cs.columbia.edu/~aaron/files/widgets
http://www.net-security.org/vulnerability.php?id=16499
Exposition d'informations dans 'QuickTime' version 7
Une faille permet à un attaquant distant de collecter des informations potentiellement sur le poste de sa victime.
Moyenne 11/05 Apple 'QuickTime' version 7 (Mac OS X version 10.4.0)
Format de document 'QTZ'
Aucun correctif
+rwx
http://remahl.se/david/vuln/018
BAKBONE
Elévation de privilèges dans 'NetVault'
Une faille permet à un utilisateur local d'obtenir une élévation de ses privilèges.
Forte
27/04 BakBone 'NetVault' version 7.1
Programme 'nvstatsmngr.exe'
Aucun correctif
Bugtraq
Exécution de code arbitraire dans 'Netvault'
Une faille permet à un attaquant distant d'exécuter du code arbitraire à distance.
Forte
15/05 Bakbone 'Netvault' version non disponible
Non disponible
Débordement de tas
Aucun correctif
Securiteam
http://www.securiteam.com/exploits/5ZP0E1FFPK.html
BZIP2
Déni de service via 'bzip2'
Une vulnérabilité peut entraîner un déni de service de la plate-forme.
Forte
17/05 Bzip2 'bzip2' version 1.0.2
Décompression d'archives
Erreur de codage
Aucun correctif
Bugtraq 13657
CAN-2005-1260
CA
Prise de contrôle via une bibliothèque anti-virale
Une faille permet à un attaquant distant de prendre le contrôle d'une machine vulnérable.
Critique 22/05 Se référer à l’avis original
Analyse des flux 'OLE'
Aucun correctif
rem0te.com vet
http://www.rem0te.com/public/images/vet.pdf
DAVFS2
Mauvaise gestion des permissions Unix dans 'davfs2'
Une vulnérabilité peut autoriser un utilisateur local à obtenir et/ou corrompre des informations sensibles.
Forte
25/05 Davfs2 'davfs2' version 0.2.2
Non disponible
Aucun correctif
Bugtraq
D-LINK
Prise de contrôle à distance de plusieurs routeurs.
Plusieurs routeurs de la gamme D-Link permettent à un attaquant distant d'en prendre le contrôle à distance.
Critique 20/05 D-Link 'DSL-502T','DSL-504T', 'DSL-562T', 'DSL-G604T'
Interface Web d'administration
Aucun correctif
Full Disclosure
http://lists.grok.org.uk/pipermail/full-disclosure/2005-May/034175.html
FREERADIUS
Multiples vulnérabilités dans 'FreeRADIUS'
Deux vulnérabilités permettent à un utilisateur d'exposer ou de corrompre des informations sensibles, de prendre le
contrôle de l'application et potentiellement d'exécuter du code arbitraire.
Critique 17/05 FreeRADIUS 'FreeRADIUS' version 1.0.2
Fichier 'RLM_SQL.C'
Validation insuffisante des données en entrée, Débordement de buffer
Aucun correctif
Security Focus
Page 44/60
Mai 2005
GFORGE
Exécution de commandes arbitraires via 'GForge'
Un manque de validation peut entraîner l'exécution de commandes arbitraires.
Forte
24/05 GForge 'GForge' versions inférieures à 4.0
Correctif existant Composant 'scm'
Bugtraq
GNOME
Déni de service dans 'gedit'
Une faille dans 'gedit' permet de provoquer un déni de service de cet éditeur de texte.
Forte
22/05 Gnome 'gedit' versions 2.10.2 et 2.8.3
Nom de fichiers binaires
Non disponible
Aucun correctif
SecuriTeam
http://www.securiteam.com/unixfocus/5PP0Q0KFPI.html
GNU
Multiples vulnérabilités dans 'Mailutils'
De multiples vulnérabilités peuvent entraîner l'exécution de commandes arbitraires et un déni de service.
Forte
25/05 GNU 'Mailutils' versions 0.5 et 0.6
Erreur de chaîne de formatage, Erreur de codage, Débordement de buffer
Correctif existant Serveur 'imap4d'
iDefense 246/249
http://www.idefense.com/application/poi/display?id=248
CAN-2005-1523, CAN-2005-1522, CAN-2005-1521, CAN-2005-1520
246
247
249
HORDE
"Cross-Site Scripting" dans les applications Horde
De multiples permettent de mener des attaques de type "Cross-Site Scripting".
Forte
25/04 Se référer l’avis original
Correctif existant Interface Web
FrSIRT
http://www.frsirt.com/bulletins/1085
Fausse impression de sécurité dans 'Horde'
Un développeur d'application 'Horde' peut omettre d'inclure certaines étapes de la validation des données entrées,
étapes qui semblent implicites dans 'Horde' mais ne sont pas implémentées.
Moyenne 04/05 Horde 'Horde' version non disponible
Correctif existant Classe 'Horde_Form'
Full Disclosure
IBM
"Cross-Site Scripting" dans 'Websphere'
Une vulnérabilité peut autoriser un attaquant distant à mener des attaques de type "Cross-Site Scripting".
Forte
25/04 IBM 'Websphere Application Server' version 6.0
Page d'erreur 404
Manque de validation des données fournies en entrée
Aucun correctif
Bugtraq
INVESTIGATIONS
Dissimulation d'informations grâce à 'DCO'
La technologie DCO permet de dissimuler des informations aux outils de collecte de preuves.
Forte
11/05 T13 'ATA' version 6 et supérieures
Non prise en compte par les outils d'investigation
Correctif existant Technologie 'DCO'
Vidstrom.net
Bugtraq
http://vidstrom.net/stools/taft
http://www.securityfocus.com/archive/1/398057 http://www.securityfocus.com/archive/1/398005
IPSWITCH
Multiples vulnérabilités dans 'IMail Server'
De multiples vulnérabilités peuvent entraîner un déni de service et l'exécution de code avec des droits privilégiés.
Critique 24/05 Ipswitch 'IMail Server' version 8.13, version 8.12. D'autres versions sont peut-être vulnérables.
Mauvaise gestion de la commande 'LSUB'
Correctif existant Démon 'IMAP'
Serveur 'Web Calendaring'
Débordement de buffer, Traversée de répertoire
iDefense 242
242
243
244
CAN-2005-1249, CAN-2005-1256, CAN-2005-1252, CAN-2005-1254, CAN-2005-1255
245
KERIO
Dénis de service dans 'MailServer'
Deux failles dans 'MailServer' de Kerio permettent à un attaquant de provoquer un déni de service du produit.
Forte
13/05 Kerio 'MailServer' versions inférieures à 6.10
Correctif existant 'eml', Emails via 'IMAP' ou 'KOC' 1, 2 - Non disponible
Secunia
Page 45/60
Mai 2005
LINUX
Elévation de privilèges dans le noyau Linux
Un manque de validation peut entraîner l'exécution de code arbitraire avec des droits privilégiés.
Forte
17/05 Linux 'noyau' versions 2.6 à 2.6.11.8
Manque de validation des données en entrée
Correctif existant 'raw_ioctl()' et 'pkt_ioctl()'
Secunia
CAN-2005-1264, CAN-2005-1589
Déni de service du noyau Linux 2.6
Une vulnérabilité non documentée affecte le noyau Linux 2.6. Elle peut entraîner un déni de service su système.
Moyenne 10/03 Linux 'noyau' versions 2.6.10 à 2.6.11.7
Non disponible
Correctif existant Fichier 'security/keys/key.c'
BitKeeper
http://linux.bkbits.net:8080/linux-2.6/cset%40423078fafVa6mAyny23YZ87hDipmTw
Déni de service local du noyau Linux 2.6
Une erreur de codage peut être exploitée par un utilisateur local afin d'entraîner un déni de service du système.
Moyenne 03/05 Linux 'noyau' versions inférieures 2.6.11.8
Erreur de codage
Correctif existant Pilotes 'it87' et 'via686a'
SecurityTracker
L-SOFT
Multiples vulnérabilités dans 'LISTSERV'
De multiples vulnérabilités peuvent entraîner l'exécution de code arbitraire et un déni de service.
Forte
25/05 L-Soft 'LISTSERV' version 1.8d, 1.8e et 14.3
Non disponible
Bugtraq
MACROMEDIA
"Cross-Site Scripting" via Macromedia 'ColdFusion MX'
Une vulnérabilité peut autoriser un attaquant distant à mener des attaques de type "Cross-Site Scripting".
Forte
26/04 Macromedia 'ColdFusion MX' version 7
Page d'erreur 404
Manque de validation des données en entrée
Aucun correctif
Secunia SA15050
MAILSCANNER
Fausse impression de sécurité via 'MailScanner'
Une vulnérabilité peut entraîner un rapport incomplet d'une analyse d'un fichier ZIP malicieux.
Moyenne 24/05 MailScanner 'MailScanner' version 4.41.3. D'autres versions sont peut-être vulnérables.
Non disponible
Correctif existant Analyse des fichiers ZIP
SecurityTracker
MERAK
Multiples vulnérabilités dans IceWarp Web Mail
De multiples vulnérabilités permettent d'exposer ou de corrompre des informations potentiellement sensibles.
Forte
10/05 Merak 'Mail Server' version 8.0.3 avec Icewarp Web Mail version 5.4.2
Scripts divers
Aucun correctif
Secunia 15249
MICROSOFT
Débordement de buffer dans 'Word'
Un débordement de buffer affecte Microsoft 'Word', pouvant être exploité afin d'exécuter du code arbitraire.
Forte
19/05 Microsoft 'Word' version non disponible
Gestion des fichiers '.mcw'
Aucun correctif
Bugtraq 398546
Vulnérabilités dans 'ASP.Net'
Deux erreurs peuvent entraîner un déni de service du serveur ou le contournement des restrictions de sécurité.
Forte
05/05 Microsoft 'ASP.Net' versions 1.x
Formulaire '__VIEWSTATE'
Aucun correctif
Secunia SA15241
MYSQL
Débordement de pile dans 'MaxDB Webtool'
Un débordement de pile peut entraîner l'exécution de code arbitraire.
Critique 26/04 MySQL 'MaxDB' version 7.5.00.23
Correctif existant Serveur 'Webtool'
iDefense 236
Page 46/60
Mai 2005
Multiples vulnérabilités dans 'MaxDB Webtool'
Deux débordements de pile peuvent entraîner l'exécution de code arbitraire.
Critique 25/04 MySQL 'MaxDB' version 7.5.00.23
Correctif existant Divers
iDefense 234/235
CAN-2005-0684
235
Elévation de privilèges dans 'MySQL'
Une erreur de conception dans un script de la base de données 'MySQL' peut autoriser une élévation de privilèges.
Moyenne 17/05 MySQL 'MySQL' versions inférieures à 4.1.12, 'MySQL' version 5.0.4 et inférieures
Correctif existant Script d'installation
Full-Disclosure
NETEYES
Multiples failles dans l'interface Web des 'NexusWay'
Plusieurs failles permettent notamment de prendre le contrôle à distance de ces appliances.
Critique
11/05 Neteyes 'NexusWay' version non disponible
Divers
Aucun correctif
Full Disclosure
OLLYDBG
Exécution de code arbitraire dans 'OllyDbg'
Une faille dans l'analyseur de code de "OllyDbg" permet de provoquer l'exécution de code arbitraire.
Forte
13/05 OllyDbg 'OllyDbg' version 1.10
Instructions 'INT3'
Aucun correctif
Specialised.info
http://pb.specialised.info/all/adv/olly-int3-adv.txt
ORACLE
Vulnérabilités dans la base de données 'Oracle'
Des erreurs peuvent entraîner la désactivation d'une fonctionnalité, ou autoriser l’acquisition de droits privilégiés.
Forte
05/05 Oracle 'Oracle Database 9i' et 'Oracle Database 10g'
Correctif existant "FGA”,"DBMS_Scheduler"
Bugtraq BID
CAN-2005-1495, CAN-2005-1496
OSTICKET
Multiples vulnérabilités dans 'osTicket'
De multiples vulnérabilités peuvent entraîner, entre autres, l'injection de scripts arbitraires et de code SQL.
Forte
02/05 osTicket 'osTicket' version non disponible
Manque de validation des données en entrée, Erreur de codage
GulfTech
http://www.gulftech.org/?node=research&article_id=00071-05022005
PROCPS
Exécution de code arbitraire dans 'pwdx'
Deux failles fourni dans le paquetage 'procps' permettent de provoquer l'exécution de code arbitraire.
Forte
26/04 Procps 'pwdx' version 3.2.5 et précédentes
Fichier 'pwdx.c'
Débordement de buffer, Erreur de chaîne de formatage
Aucun correctif
Vuln-Dev
http://archives.neohapsis.com/archives/vuln-dev/2005-q2/0005.html
Exécution de code arbitraire dans 'top'
Deux failles permettent de provoquer un déni de service de l'application et l'exécution de code arbitraire.
Forte
06/05 Procps 'procps' version 2.0.7-25
Fichier de configuration '.toprc'
Aucun correctif
Vuln-dev 22 et 25
Variable '$HOME'
25.html
Err eur! Signet non défini.
Exécution locale de code arbitraire dans 'vmstat'
Une faille permet à un utilisateur local de provoquer l'exécution de code arbitraire.
Moyenne 17/05 Procps 'procps' version 3.2.5
Utilitaire 'vmstat'
Aucun correctif
Vuln-dev
http://archives.neohapsis.com/archives/vuln-dev/2005-q2/0030.html
Page 47/60
Mai 2005
QMAIL
Multiples vulnérabilités dans 'qmail'
De multiples failles permettent de provoquer des dénis de service applicatifs.
Forte
06/05 QMail 'qmail' version non disponible (plates-formes 64 bits)
Débordement d'entier, Erreur de codage
Aucun correctif
G Guninski 74
http://www.guninski.com/where_do_you_want_billg_to_go_today_4.html
RSA SECURITY
Débordement de tas dans 'RSA Authentication Agent'
Un débordement de tas peut autoriser un attaquant distant à exécuter du code arbitraire avec des droits privilégiés.
Critique 06/05 RSA Security 'RSA Authentication Agent' versions 5, 5.2 et 5.3 pour IIS
Débordement de tas
Sec-1
SUN
Exposition d'informations sensibles via 'JavaMail'
Un manque de validation par 'JavaMail' peut entraîner l'exposition d'informations sensibles.
Forte
24/05 Sun 'JavaMail' versions 1.1.3, 1.2, 1.3 et 1.3.2
'JavaMail'
Aucun correctif
Bugtraq
Exposition d'informations dans 'JavaMail'
Une erreur permet à un utilisateur d'un système de messagerie de lire les messages appartenant à d'autres.
Moyenne 19/05 Sun 'JavaMail API', 'Java Enterprise Edition' version 2, 'Solstice Internet Mail Server' version 2.0
Gestion du numéro de message Validation insuffisante des données en entrée
Aucun correctif
Securiteam
http://www.securiteam.com/securitynews/5EP0D2KFPC.html
TCPDUMP
Multiples dénis de service dans 'tcpdump' et 'ethereal'
Quatre failles permettent de provoquer un déni de service à distance.
Forte
26/04 Tcpdump 'tcpdump' V 3.8.0 à 3.9.0, Ethereal 'ethereal' V 0.10.10
Non disponible
Correctif existant 'ISIS', 'BGP', 'LDP', 'RSVP'
Bugtraq
http://www.securityfocus.com/archive/1/396930 http://www.securityfocus.com/archive/1/396932
XINE
Exécution de code arbitraire dans 'gxine'
Une faill permet de provoquer l'exécution de code arbitraire à distance.
Forte
22/05 Xine 'gxine' versions 0.4.0 à 0.4.4
Interface graphique 'gxine'
Aucun correctif
Bugtraq 398687
Security Focus
YAHOO!
Déni de service dans 'Yahoo! Messenger'
Une vulnérabilité peut entraîner un déni de service de celui-ci.
Forte
14/05 Yahoo! 'Yahoo! Messenger' versions 5.x à 6.0 (Windows)
URLs de type 'YMSGR:'
Mauvaise gestion des paramètres
Palliatif proposé
Bugtraq 398164
Exposition de données sensibles dans 'Yahoo! Messenger'
Une fonction cachée dans 'Yahoo! Messenger' permet à un attaquant d'obtenir des informations sensibles.
Forte
18/05 Yahoo! 'Yahoo! Messenger' versions 5.x, V6.0, 7.0 beta build 224
Fonctionnalité 'Logfile'
Aucun correctif
Bugtraq
ZYXEL
Déni de service du routeur aDSL 'Prestige 650R-31'
Une faille permet à un attaquant distant de provoquer un déni de service de l'équipement.
Forte
20/05 Zyxel 'Prestige 650R-31' firmware ZyNOS 3.40 (KO.1)
Non disponible
non disponible
Aucun correctif
Security Focus
Page 48/60
Mai 2005
AUTRES INFORMATIONS
REPRISES D’AVIS
ET
CORRECTIFS
Les vulnérabilités suivantes, déjà publiées, ont été mises à jour, reprises par un autre organisme ou ont
donné lieu à la fourniture d’un correctif :
ADOBE
Correctif pour Adobe 'Version Cue'
Adobe a annoncé, dans l'avis 331621, la disponibilité d'un correctif pour Adobe 'Version Cue' 1.x. Il corrige une
erreur de codage dans un script qui permettait à un utilisateur local d'obtenir les privilèges de l'utilisateur "root" sur
plate-forme Mac OS X.
http://www.adobe.com/support/techdocs/331621.html
CAN-2005-1307
APPLE
Correctifs pour 'AppKit' (traitement des images TIFF)
Apple a annoncé, dans l'avis APPLE-SA-2005-05-03, la disponibilité de correctifs pour 'AppKit' sur Mac OS X et Mac
OS X Server version 10.3.9. Ils corrigent un débordement d'entier dans le traitement des images au format TIFF
permettant à un attaquant distant de provoquer l'exécution de code arbitraire.
CAN-2004-1308
Correctifs pour 'Finder'
Apple a annoncé, dans l'avis APPLE-SA-2005-05-03, la disponibilité de correctifs pour 'Finder' sur Mac OS X et Mac
OS X Server version 10.3.9. Ils corrigent une vulnérabilité qui permet d'obtenir une élévation de privilèges locale.
CAN-2005-0342
Correctifs pour 'libXpm'
Apple a annoncé, dans l'avis APPLE-SA-2005-05-03, la disponibilité de correctifs pour 'libXpm' sur Mac OS X et Mac
OS X Server version 10.3.9. Ils corrigent de multiples vulnérabilités pouvant entraîner l'exécution de code
arbitraire.
CAN-2004-0687, CAN-2004-0688
Correctifs pour 'sudo'
Apple a annoncé, dans l'avis APPLE-SA-2005-05-03, la disponibilité de correctifs pour 'sudo' sur Mac OS X et Mac
OS X Server version 10.3.9. Ils corrigent une vulnérabilité dans le traitement des variables d'environnement de
'bash' qui permet de provoquer localement une élévation de privilèges.
CAN-2004-1051
Mise à jour 10.4.1 pour 'Mac OS X'
Apple a annoncé, dans le bulletin APPLE-SA-2005-05-19, la disponibilité de la mise à jour 10.4.1 pour 'Mac OS X'
Client et Server version 10.4. Elle corrige de multiples vulnérabilités dans 'bluetooth', 'Dashboard' et la fonction
'nfs_mount()'. Elles pouvaient entraîner l'exposition d'informations, le téléchargement et l'installation de widgets
malicieux ainsi qu'un déni de service du système.
CAN-2005-1333, CAN-2005-1474, CAN-2005-0974
AVAYA
Correctifs pour 'krb5'
Avaya a annoncé, dans le bulletin ASA-2005-088, la disponibilité de correctifs pour le paquetage 'krb5' sur les
produits S8700/S8500/S8300 version CM2.0 et suivantes, Intuity LX versions 1.1-5.x, et MN100, Modular
Messaging MSS et CVLAN toutes versions. Ils corrigent deux débordements de buffer dans le client 'telnet' qui
pouvaient entraîner l'exécution de code arbitraire.
CAN-2005-0469, CAN-2005-0468
Failles dans "Call Management System"
Des produits Avaya de la série "Call Management System" sont basés sur un système d'exploitation fourni par Sun.
Avaya a annoncé la vulnérabilité de certains de ces produits à des failles de ce système rendues publiques par
ailleurs. Des correctifs sont disponibles ou en cours de réalisation. Les vulnérabilités en question permettent de
provoquer l'exécution de code arbitraire, une élévation de privilèges et l'exposition d'informations sensibles.
http://support.avaya.com/elmodocs2/security/ASA-2005-110_SUN-4-01-2005.pdf
CAN-2005-0469, CAN-2005-0468, CAN-2004-0800
Page 49/60
Mai 2005
Failles dans "CMS" et "IR"
Des produits Avaya de la gamme "Call Management System" (CMS) et de la gamme "Interactive Response" (IR)
sont basés sur un système d'exploitation fourni par Sun. Avaya a annoncé, dans les bulletins ASA-2005-113 et
ASA-2005-114, la vulnérabilité de certains de ces produits à des failles de ce système rendues publiques par
ailleurs. Des correctifs sont disponibles ou en cours de réalisation. Les vulnérabilités signalées permettent de
provoquer des dénis de service, des détournements de service, une élévation de privilèges et l'exécution de code
arbitraire.
CAN-2004-0083, CAN-2004-0084, CAN-2004-0803, CAN-2004-0804, CAN-2004-0886, CAN-2004-1308
BEA
Révision du bulletin BEA04-52.01
BEA a annoncé, dans le bulletin BEA05-52.02, une révision du bulletin BEA04-52.01 concernant une élévation de
privilèges dans WebLogic Server et WebLogic Express. La révision porte sur les instructions de l'installation du
fichier correctif "wlSecurityProviders.jar".
CA
Correctifs pour plusieurs produits Computer Associates
Computer Associates a annoncé, dans le bulletin 32896, la disponibilité de correctifs pour les produits 'eTrust EZ
Antivirus' version 7 et 'eTrust EZ Armor' version 3.1. Ces correctifs seront automatiquement installés via leur
fonctionnalité de mise à jour en ligne.
http://www3.ca.com/securityadvisor/vulninfo/vuln.aspx?id=32896
CAN-2005-1693
CIAC
Reprise de l'avis Apple 301528
Le CIAC a repris, sous la référence P-200, l'avis Apple 301528 à propos de multiples vulnérabilités affectant la
plate-forme Mac OS X. Elles permettent par exemple l'exposition d'informations sensibles ou l'exécution de code
arbitraire avec des privilèges élevés.
http://www.ciac.org/ciac/bulletins/p-202.shtml
CAN-2005-1344, CAN-2004-1307, CAN-2005-1330, CAN-2005-1331, CAN-2005-1332, CAN-2005-1033, CAN-2005-1335, CAN2005-1336, CAN-2005-1337, CAN-2005-1338, CAN-2005-1339, CAN-2005-1341, CAN-2005-1342, CAN-2005-1343, CAN-20051340, CAN-2005-0594, CAN-2004-1308, CAN-2005-0342, CAN-2004-0687, CAN-2004-0688, CAN-2004-1051
Reprise de l'avis Apple 301630 (Mac OS X 10.4.1)
Le CIAC a repris, sous la référence p-205, l'avis Apple 301630 concernant une mise à jour de Mac OS X vers la
version 10.4.1. Cette mise à jour corrige de multiples vulnérabilités qui permettaient, entre autres, de provoquer
l'exposition d'informations, l'exécution d'applications arbitraires et un déni de service du système.
Reprise de l'avis Apple APPLE-SA-2005-05-09 (iTunes)
La CIAC a repris, sous la référence p-201, l'avis Apple concernant une faille dans iTunes qui permettait de
provoquer l'exécution de code arbitraire.
CAN-2005-1248
Reprise de l'avis Cisco 64821
Le CIAC a repris, sous la référence p-203, l'avis Cisco 64821 concernant une vulnérabilité dans le "Firewall Services
Module" ('FWSM'), qui permet de contourner les règles d'accès définies dans ce module.
Reprise de l'avis Debian DSA-714-1
Le CIAC a repris, sous la référence P-191, l'avis Debian DSA-714-1 à propos d'une vulnérabilité dans la bibliothèque
'kimgio' qui peut entraîner un déni de service applicatif.
CAN-2005-1046
Reprise de l'avis Debian DSA-715-1
Le CIAC a repris, sous la référence P-195, le bulletin Debian DSA-715-1 à propos de deux erreurs de codage dans le
paquetage 'cvs' de Debian permettant à un attaquant distant d'obtenir un accès non autorisé sur le serveur et de
mener des attaques de type déni de service.
CAN-2004-1342, CAN-2004-1343
Reprise de l'avis HP HPSBMA01138 (SSRT5958)
Le CIAC a repris, sous la référence P-196, le bulletin HP HPSBMA01138 à propos d'une vulnérabilité dans HP
'OpenView Radia Management Portal' (RMP) qui permet à un attaquant distant d'acquérir un accès non autorisé au
produit ou de provoquer un déni de service.
Page 50/60
Mai 2005
Reprise de l'avis HP HPSBMA01140
Le CIAC a repris, sous la référence P-198, l'avis HP HPSBMA01140 à propos de vulnérabilités dans le produit HP
'OpenView Network Node Manager'. Ces failles autorisent l'exécution de code ou provoquent un déni de service.
Reprise de l'avis HP HPSBMA01141
Le CIAC a repris, sous la référence P-199, l'avis HP HPSBMA01141 à propos de multiples vulnérabilités non
documentées dans le produit HP 'OpenView Event Correlation Services'. Ces failles peuvent être exploitées afin
d'exécuter du code arbitraire ou de provoquer un déni de service.
Reprise de l'avis HP HPSBUX01165
Le CIAC a repris, sous la référence P-209, l'avis HP HPSBUX01165 à propos d'une vulnérabilité non documentée
dans la plate-forme HP-UX, permettant à un attaquant distant d'obtenir un accès non autorisé au système.
Reprise de l'avis Microsoft MS05-024 (Explorateur)
Le CIAC a repris, sous la référence p-202, l'avis Microsoft MS05-024 concernant une faille dans l'affichage de
contenu Web dans les dossiers de l'explorateur Windows. Elle permet de provoquer l'exécution de code arbitraire.
CAN-2005-1191
Reprise de l'avis Red Hat RHSA-2005:371-06
Le CIAC a repris, sous la référence P-204, l'avis Red Hat RHSA-2005:371-06 concernant plusieurs failles dans
certains outils fournis avec 'ncpfs' qui autorisent un utilisateur local malintentionné à acquérir des droits privilégiés.
CAN-2005-0013
Le CIAC a repris, sous la référence P-192, l'avis Red Hat RHSA-2005:375-07 à propos d'un débordement de tas qui
peut entraîner un déni de service.
CAN-2005-0941
Le CIAC a repris, sous la référence P-194, le bulletin Red Hat RHSA-2005:377-07 à propos de multiples
vulnérabilités dans 'sharutils' pouvant entraîner, entre autres choses, l'exécution de code arbitraire et la corruption
de fichiers arbitraires.
CAN-2004-1772, CAN-2004-1773, CAN-2005-0990
Le CIAC a repris, sous la référence P-193, l'avis Red Hat RHSA-2005:386-08 à propos de multiples vulnérabilités
dans le navigateur de 'Mozilla Suite' qui peuvent entraîner, entre autres choses, l'exécution de code arbitraire.
CAN-2005-0989, CAN-2005-1153, CAN-2005-1154, CAN-2005-1155, CAN-2005-1156, CAN-2005-1157, CAN-2005-1158, CAN2005-1159, CAN-2005-1160
dans 'php' qui peuvent entraîner, entre autres, des dénis de service ou l'exécution de code arbitraire.
Le CIAC a repris, sous la référence P-207, l'avis Red Hat RHSA-2005:427-05 concernant de nombreuses
vulnérabilités dans 'Ethereal' qui peuvent entraîner un déni de service et l'exécution de code arbitraire.
CAN-2005-1456, CAN-2005-1457, CAN-2005-1458, CAN-2005-1459, CAN-2005-1460, CAN-2005-1461, CAN-2005-1462, CAN2005-1463, CAN-2005-1464, CAN-2005-1465, CAN-2005-1466, CAN-2005-1467, CAN-2005-1468, CAN-2005-1469, CAN-20051470
Le CIAC a repris, sous la référence P-206, le bulletin Red Hat RHSA-2005:435-06 concernant de multiples
vulnérabilités qui permettent, entre autres, de provoquer à distance une élévation de privilèges et l'exécution de
code arbitraire.
CAN-2005-1476, CAN-2005-1477, CAN-2005-1531, CAN-2005-1532
dans le noyau Linux des plates-formes Red Hat RHEL 3. Ces failles peuvent entraîner l'exposition d'informations
sensibles et une élévation de privilèges.
CAN-2004-0491, CAN-2005-0176, CAN-2005-1263
Page 51/60
Mai 2005
CISCO
Révision du bulletin 64439
Cisco a révisé son bulletin 64439 concernant de multiples vulnérabilités affectant Cisco 'IOS' qui peuvent entraîner
un déni de service de l'équipement. Cette révision corrige plusieurs informations à propos des versions vulnérables
et de celles qui sont corrigées, et apporte de nouvelles informations concernant la première vulnérabilité.
http://www.cisco.com/warp/public/707/cisco-sa-20050406-ssh.shtml
Cisco a révisé le bulletin 64909 concernant la faille dans certaines implémentations de la RFC 1323 qui permettaient
d'interrompre à distance des connexions TCP existantes. Cette révision ajoute deux entrées à la liste des produits
vulnérables car s'exécutant sur des versions vulnérables de Microsoft Windows.
http://www.cisco.com/warp/public/707/cisco-sn-20050518-tcpts.shtml
CAN-2005-0356
F5
Correctifs 'radius' pour BIG-IP et 3-DNS
F5 a annoncé la disponibilité des versions 4.5.11 et 4.6.3 des produits F5 BIG-IP et 3-DNS. Ces versions corrigent
une vulnérabilité dans la commande 'login_radius' qui permettait à un attaquant distant de se connecter sans
autorisation.
http://tech.f5.com/home/bigip/solutions/advisories/sol3456.html
F5 NETWORKS
Correctifs 'TCP' pour BIG-IP
F5 Networks a annoncé la disponibilité des versions 4.5.13, 4.6.3 et 9.1 de BIG-IP. Ces versions corrigent une
vulnérabilité dans l'implémentation du protocole 'TCP' qui pouvait entraîner un déni de service des connexions 'TCP'
actives.
http://tech.f5.com/home/bigip-next/solutions/advisories/sol4743.html
CAN-2005-0356
Failles 'ICMP' dans les produits 'BIG-IP' et '3-DNS'
Secunia a relayé deux alertes de F5 concernant la vulnérabilité de son implémentation du protocole 'ICMP', dans les
produits 'BIG-IP' et '3-DNS', aux faiblesses récemment découvertes dans ce protocole. Un attaquant distant peut
entraîner un déni de service des équipements. Des correctifs officiels sont disponibles.
CAN-2004-0790, CAN-2004-1060, CAN-2004-0791
FREEBSD
Disponibilité de plusieurs correctifs
FreeBSD annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages :
iir
FreeBSD-SA-05:06
ldt
FreeBSD-SA-05:07
kmem
FreeBSD-SA-05:08
htt
FreeBSD-SA-05:09
http://www.freebsd.org/security/index.html#adv
LINUX DEBIAN
Disponibilité de nombreux correctifs
Debian annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages :
kdelibs
DSA-714
cvs
DSA-715
gaim
DSA-716
lsh-utils
DSA-717
ethereal
DSA-718
prozilla
DSA-719
smartlist
DSA-720
squid
DSA-721
smail
DSA-722
xfree
DSA-723
phpsysinfo
DSA-724
ppxp
DSA-725
oops
DSA-726
uulib-perl
DSA-727
qpopper
DSA-728
http://www.debian.org/security/2005/
LINUX FEDORA
Fedora annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages :
imagemagick
Core3 FEDORA-2005:344
kdewebdev
kdelibs
tcpdump
perl 5.8.5
gaim
squid
kernel 2.6.11
http://www.redhat.com/archives/fedora-announce-list/index.html
Page 52/60
Mai 2005
LINUX MANDRAKE
Mandrake annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages :
squid
MDKSA-2005:078
10.0 / 10.1 / 10.2 / CS 2.1 / CS 3.0
perl
MDKSA-2005:079
10.0 / 10.1 / 10.2 / CS 2.1 / CS 3.0
libxpm4
MDKSA-2005:080
10.0 / 10.1 / 10.2 / CS 2.1 / CS 3.0
xfree86
MDKSA-2005:081
10.0 / 10.1 / 10.2 / CS 2.1 / CS 3.0
openoffice
MDKSA-2005:082
10.1 / 10.2 /
CS 3.0
ethereal
MDKSA-2005:083
10.1 / 10.2
tcpdump
MDKSA-2005:084
10.1 / 10.2
gnutls
MDKSA-2005:085
10.1 / 10.2 /
CS 3.0
kdelibs
MDKSA-2005:086
10.1 / 10.2 /
CS 3.0
gaim
MDKSA-2005:087
10.0 / 10.1 / 10.2 / CS 2.1 / CS 3.0
mozilla
MDKSA-2005:088
10.1 / 10.2 /
CS 3.0
cdrdao
MDKSA-2005:089
10.0 / 10.1 / 10.2 /
CS 3.0
nasm
MDKSA-2005:090
10.0 / 10.1 / 10.2 / CS 2.1 / CS 3.0
bzip2
MDKSA-2005:091
10.0 / 10.1 / 10.2 / CS 2.1 / CS 3.0
gzip
MDKSA-2005:092
10.0 / 10.1 / 10.2 / CS 2.1 / CS 3.0
http://www.mandrakesoft.com/security/advisories
LINUX REDHAT
RedHat annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages :
openoffice
RHSA-2005:375-01
cvs
RHSA-2005:387-01
AS.ES.WS 2.1
AS.ES.WS3
AS.ES.WS4
sharutils
RHSA-2005:293-01
AS.ES.WS 2.1
AS.ES.WS3
AS.ES.WS4
mozilla
RHSA-2005:377-01
AS.ES.WS 2.1
AS.ES.WS3
AS.ES.WS4
glibc
RHSA-2005:261-01
AS.ES.WS 2.1
kernel
RHSA-2005:284-01
AS.ES.WS 2.1
kernel
RHSA-2005:283-01
AS.ES.WS 2.1
mozilla
RHSA-2005:384-01
AS.ES.WS 2.1
AS.ES.WS3
php
RHSA-2005:405-01
AS.ES.WS3
evolution
RHSA-2005:397-01
AS.ES.WS4
nasm
RHSA-2005:381-01
AS.ES.WS 2.1
AS.ES.WS3
AS.ES.WS4
php
RHSA-2005:406-01
AS.ES.WS4
gaim
RHSA-2005:432-01
AS.ES.WS 2.1
gaim
RHSA-2005:429-01
AS.ES.WS3
AS.ES.WS4
tcpdump
RHSA-2005:417-01
AS.ES.WS4
tcpdump
RHSA-2005:421-01
AS.ES.WS3
openmotif
RHSA-2005:412-01
AS.ES.WS 2.1
AS.ES.WS3
AS.ES.WS4
kdelibs
RHSA-2005:393-01
AS.ES.WS4
ncpfs
RHSA-2005:371-01
AS.ES.WS 2.1
cyrus imapd
RHSA-2005:408-01
AS.ES.WS4
glibc
RHSA-2005:256-01
AS.ES.WS3
openssh
RHSA-2005:293-01
AS.ES.WS3
rsh
RHSA-2005:074-01
AS.ES.WS3
kernel
RHSA-2005:106-01
AS.ES.WS3
ia32el
RHSA-2005:294-01
AS.ES.WS3
evolution
RHSA-2005:238-01
AS.ES.WS3
mozilla
RHSA-2005:435-01
AS.ES.WS 2.1
AS.ES.WS3
AS.ES.WS4
firefox
RHSA-2005:434-01
AS.ES.WS4
ethereal
RHSA-2005:427-01
AS.ES.WS 2.1
AS.ES.WS3
AS.ES.WS4
lesstif
RHSA-2005:473-01
AS.ES.WS 2.1
kernel
RHSA-2005:472-01
AS.ES.WS3
imagemagick
RHSA-2005:413-01
AS.ES.WS3
AS.ES.WS4
http://www.linuxsecurity.com/advisories/redhat.html
HP
Correctifs pour la pile TCP de la plate-forme HP-UX
HP a annoncé, dans le bulletin HPSBUX01164, la disponibilité de correctifs pour la pile TCP/IP de la plate-forme HPUX versions B.11.00, B.11.04, B.11.11, B.11.22 et B.11.23. Ils corrigent des vulnérabilités qui pouvaient entraîner
des dénis de service.
CAN-2004-0790, CAN-2004-0791
Révision du bulletin HPSBMA01116
HP a révisé le bulletin HPSBMA01116 à propos d'un débordement de buffer dans le composant 'HTTP Server' du
produit 'Web Based Management'. La révision annonce la vulnérabilité de la version 4.0 du produit, ainsi que le
disponibilité d'un nouveau correctif pour Windows NT 4.0 (Softpaq SP30103).
Page 53/60
Mai 2005
Révision du bulletin HPSBUX01137
HP a révisé le bulletin HPSBUX01137 à propos d'une vulnérabilité dans la pile 'TCP/IP' de la plate-forme HP-UX qui
permettait de provoquer un déni de service du système. Cette révision nous informe que l'application des correctifs
de l'avis HPSBUX01164 sur HP-UX versions B.11.11 et B.11.23 corrigent cette vulnérabilité.
IBM
Correctifs 'mod_include' pour IBM HTTP Server
IBM a annoncé, dans le bulletin 4009600, la disponibilité de correctifs pour le module 'mod_include' du serveur Web
HTTP Server. Ils corrigent un débordement de buffer qui autorisait un attaquant distant à exécuter du code
arbitraire sur un serveur vulnérable.
http://www-1.ibm.com/support/docview.wss?uid=swg24009600
CAN-2004-0940
KDE
Nouveaux correctifs pour 'kimgio' et 'kommander'
KDE nous informe, dans l'avis 20050504-1, que des correctifs fournis pour de précédentes vulnérabilités dans
'kimgio' et 'kommander' introduisaient un bogue dans la lecture de certains formats d'images ('kimgio') ou étaient
incomplets ('kommander'). De nouveaux correctifs sont disponibles pour KDE version 3.3.2 et 3.4.
http://www.kde.org/info/security/advisory-20050504-1.txt
CAN-2005-1046, CAN-2005-0754
MACROMEDIA
Correctif pour 'ColdFusion MX'
Macromedia a annoncé, dans l'avis MPSB05-03, la disponibilité d'un correctif pour le serveur Web JRun de
'ColdFusion MX' version 7. Il corrige une faille dans la page d'erreur 404 par défaut qui permettait à un attaquant
distant de mener des attaques dites de "Cross-Site Scripting".
http://www.macromedia.com/devnet/security/security_zone/mpsb05-03.html
MICROSOFT
Complément d'information sur une faille dans Word
Bahaa Naamneh a publié sur Bugtraq un complément à son message initial exposant une faille dans le traitement
des fichiers '.mcw' (Word pour Macintosh) par Word pour Windows. Il précise que cette faille n'affecte que les
versions de 'Word' inférieures ou égales à 10.2627.6714, et que le SP3 de 'Word 2002' corrige le problème.
Déni de service IPv6 dans les plates-formes Windows
Un message sur NTBugtraq nous informe que les plates-formes Microsoft Windows XP SP2 et Windows 2003 Server
SP1 sont toujours vulnérables à des attaques de type "LAND". Cette vulnérabilité avait été corrigée dans la pile
IPv4 des produits listés , mais pas dans la pile IPv6, plus rarement utilisée.
http://www.ntbugtraq.com/default.aspx?pid=36&sid=1&A2=ind0505&L=ntbugtraq&T=0&O=D&F=N&P=632
MOZILLA
Disponibilité de Firefox 1.0.4
La version 1.0.4 du navigateur Firefox est désormais disponible. Elle corrige plusieurs vulnérabilités qui permettent
de provoquer à distance une élévation de privilèges et l'exécution de code arbitraire.
http://www.mozilla.org/products/firefox
CAN-2005-1476, CAN-2005-1477
NETSCAPE
Correctifs pour Netscape 8.0
Netscape a annoncé la disponibilité de la version 8.0.1 du navigateur Netscape. Elle corrige plusieurs vulnérabilités
qui permettent de provoquer à distance une élévation de privilèges et l'exécution de code arbitraire.
http://browser.netscape.com/ns8/download/default.jsp
CAN-2005-1476, CAN-2005-1477
http://browser.netscape.com/ns8/security/alerts.jsp
Vulnérabilité 'DOM' dans le navigateur Netscape
Secunia a publié une alerte annonçant la vulnérabilité du navigateur 'Netscape' version 7.2 suite à l'erreur de
conception récemment découverte dans les navigateurs Mozilla concernant la gestion des 'Document Object Model'
(DOM). Cette faille peut être exploitée par un attaquant distant afin d'exécuter des scripts arbitraires avec des
privilèges élevés. Il n'y a pas de correctif officiel disponible.
CAN-2005-1160
Vulnérabilité GIF dans le navigateur 'Netscape'
Secunia a publié une alerte annonçant la vulnérabilité du navigateur 'Netscape' versions 6.2.3 et 7.2 à un
débordement de buffer affectant la gestion des images GIF. Cette faille peut entraîner l'exécution de code arbitraire
sur le poste vulnérable. Il n'y a pas de correctif officiel disponible.
CAN-2005-0399
Page 54/60
Mai 2005
NOVELL
Correctifs pour 'ZENworks'
Novell a annoncé, dans les bulletins 2971500 et 2971493, la disponibilité de correctifs pour 'ZENworks Desktop
Management' version 6.5 (SP1) et 'ZENworks for Desktops' versions 4 SP1b et 4.0.1 IR6. Ils corrigent de multiples
débordements d'entier et de pile qui pouvaient entraîner la compromission du système.
CAN-2005-1543
OPENBSD
Correctifs pour 'cvs'
OpenBSD a annoncé la disponibilité de correctifs pour 'cvs' sur OpenBSD versions 3.5 et 3.6. Ils corrigent plusieurs
vulnérabilités qui permettaient de provoquer un déni de service ou l'exécution de code arbitraire.
http://www.openbsd.org/errata.html#cvs
http://www.openbsd.org/errata35.html#cvs4
CAN-2005-0753
SCO CALDERA
Caldera annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages :
chroot
SCOSA-2005.22 OpenServer
5.0.6
5.0.7
telnet
5.0.6
5.0.7
hyperthreading
5.0.6
5.0.7
mozilla
SCOSA-2005.25 UnixWare
7.1.4
nwprint
5.0.6
5.0.7
http://www.caldera.com/support/security/2005.html
SCO
Correctif pour 'Mozilla'
SCO a annoncé, dans le bulletin SCOSA-2005.25, la disponibilité d'un correctif pour 'Mozilla' sur SCO UnixWare
version 7.1.4. Il corrige de multiples vulnérabilités qui pouvaient, entre autres, entraîner l'exécution de code
arbitraire.
ftp://ftp.sco.com/pub/updates/UnixWare/SCOSA-2005.25/SCOSA-2005.25.txt
CAN-2005-0399, CAN-2004-0597, CAN-2004-0599, CAN-2004-0718, CAN-2004-0722, CAN-2004-0757, CAN-2004-0758, CAN2004-0759, CAN-2004-0760, CAN-2004-0761, CAN-2004-0762, CAN-2004-0763, CAN-2004-0764, CAN-2004-0765
Correctif pour 'telnet'
SCO a annoncé, dans le bulletin SCOSA-2005.23, la disponibilité d'un correctif pour 'telnet' sur SCO OpenServer
versions 5.0.6 et 5.0.7. Il corrige deux débordements de buffer dans le client 'telnet' qui pouvaient entraîner
l'exécution de code arbitraire.
ftp://ftp.sco.com/pub/updates/OpenServer/SCOSA-2005.23/SCOSA-2005.23.txt
CAN-2005-0469, CAN-2005-0468
Correctifs pour le système 'chroot' sur OpenServer
SCO a annoncé, dans l'avis SCOSA-2005.22, la disponibilité de correctifs pour le système 'chroot' sur OpenServer
version 5.0.6 et 5.0.7. Ils corrigent une faille non documentée qui permet de contourner les restrictions imposées
par ce système.
CAN-2004-1124
Correctifs pour 'nwprint'
SCO a annoncé, dans le bulletin SCOSA-2005.26, la disponibilité de correctifs pour 'nwprint' sur SCO OpenServer
versions 5.0.6 et 5.0.7. Ils corrigent un débordement de buffer qui pouvait entraîner l'exécution de code arbitraire.
CAN-2005-0993
SGI
Correctif pour 'telnet'
SGI a annoncé, dans le bulletin 20050405-01-P, la disponibilité du correctif 5892 pour 'telnet' sur IRIX versions
6.5.24 à 6.5.27. Ce correctif élimine deux débordements de buffer qui pouvaient entraîner l'exécution de code..
ftp://patches.sgi.com/support/free/security/advisories/20050405-01-P.asc
CAN-2005-0469, CAN-2005-0468
Correctif cumulatif #37 pour Advanced Linux Environment
SGI a annoncé, dans le bulletin 20050502-01-U, la disponibilité du correctif cumulatif "Security Update #37"
(correctif 10171) pour SGI Advanced Linux Environment 3 sur plates-formes Altix. Il corrige de multiples
vulnérabilités dans les paquetages 'nasm', 'gaim', 'tcpdump' et 'openmotif' qui pouvaient entraîner l'exécution de
code arbitraire et un déni de service.
ftp://patches.sgi.com/support/free/security/advisories/20050502-01-U.asc
CAN-2004-1287, CAN-2005-1194, CAN-2005-1261, CAN-2005-1062, CAN-2005-1278, CAN-2005-1279, CAN-2005-1280, CAN2005-0605
Page 55/60
Mai 2005
Correctif cumulatif #36 pour Advanced Linux Environment
SGI a annoncé, dans le bulletin 20050501-01-U, la disponibilité du correctif cumulatif "Security Update #36"
(correctif 10168) pour SGI Advanced Linux Environment 3 sur plates-formes Altix. Il corrige de multiples
vulnérabilités dans les paquetages 'xloadimage', 'cvs', 'openoffice', 'sharutils', 'PHP' et 'Mozilla' qui permettaient
entre autres de provoquer des dénis de service, l'exécution de code arbitraire et de se connecter au système sans
autorisation.
ftp://patches.sgi.com/support/free/security/advisories/20050501-01-U.asc
CAN-2005-0638, CAN-2005-0753, CAN-2005-0989, CAN-2005-1153, CAN-2005-1154, CAN-2005-1155, CAN-2005-1156, CAN2005-1157, CAN-2005-1158, CAN-2005-1159, CAN-2005-1160, CAN-2004-1392, CAN-2005-0524, CAN-2005-0525, CAN-20051042, CAN-2005-1043, CAN-2004-0619, CAN-2005-0384, CAN-2005-0449, CAN-2005-0750
SUN
Correctifs pour 'libtiff'
Sun a annoncé, dans l'avis 57769, la disponibilité de correctifs pour la bibliothèque 'libtiff' sur Solaris version 7 à
10. On remarquera que certaines versions de Solaris 8 et 9 et toutes les versions de Solaris 10 ne disposent pas
encore de correctifs. Ils corrigent de multiples vulnérabilités qui autorisaient l'exécution de code arbitraire et des
dénis de service.
CAN-2004-0803, CAN-2004-0804, CAN-2004-0886, CAN-2004-1308
Correctifs pour 'wu-ftpd'
Sun a annoncé, dans l'avis 57795, la disponibilité de correctifs pour 'wu-ftpd' sur Solaris versions 9 et 10. Ils
corrigent une vulnérabilité qui pouvait entraîner un déni de service du système.
CAN-2005-0256
Retrait de plusieurs correctifs Apache
Sun a retiré les correctifs 118739-02, 118740-02, 118741-02 et 118742-02 pour le serveur Web Apache sur Sun
Solaris 8 (Sparc et Intel). L'installation de ces correctifs sur un système Sun Solaris 8 standard peut entraîner un
déni de service du serveur Web.
http://sunsolve.sun.com/search/document.do?assetkey=1-26-101716-1&searchclause=security
Sun a révisé le bulletin 57653 concernant une vulnérabilité dans la bibliothèque 'libXpm' de Sun CDE et Sun JDS sur
Solaris 7, 8 et 9 (SPARC et x86) et Linux. Cette révision nous informe que les correctifs pour Solaris 7 sont
finalement disponibles.
CAN-2004-0687, CAN-2004-0688
SYMANTEC
Vulnérabilités 'ICMP' dans plusieurs produits Symantec
Symantec a annoncé, dans le bulletin SYM05-008, la vulnérabilité des produits Symantec 'Gateway Security',
'Enterprise Firewall', 'VelociRaptor', 'Gateway Security', 'Firewall/VPN Appliance', et Nexland 'ISB SOHO Firewall
Appliances' et 'Pro Series Firewall Appliances' aux récentes failles affectant l'implémentation du protocole 'ICMP'.
L'exploitation de ces vulnérabilités peut entraîner un déni de service de ces équipements. Des correctifs officiels
sont disponibles.
http://www.symantec.com/avcenter/security/Content/2005.05.02.html
CAN-2004-0230, CAN-2004-0790, CAN-2004-1060, CAN-2004-0791
ZONELABS
Correctifs pour les produits 'ZoneAlarm'
Un message de ZoneLabs, posté dans la liste Bugtraq, nous informe de la disponibilité de correctifs pour les
produits 'ZoneAlarm Anti-virus' et 'ZoneAlarm Security Suite'. Ces correctifs seront automatiquement installés via
leur fonctionnalité de mise à jour en ligne. Une vulnérabilité dans ces produits pouvait entraîner la corruption
d'informations et la prise de contrôle du système.
CAN-2005-1693
US-CERT
Reprise de l'avis Apple Security Update 2005-005
L'US-CERT a repris, sous la référence TA05-136A, l'avis Apple Security Update 2005-005 à propos de multiples
vulnérabilités affectant la plate-forme Mac OS X. Elles permettent par exemple l'exposition d'informations sensibles
ou l'exécution de code arbitraire avec des privilèges élevés.
http://www.us-cert.gov/cas/techalerts/TA05-136A.html
CAN-2005-1344, CAN-2004-1307, CAN-2005-1330, CAN-2005-1331, CAN-2005-1332, CAN-2005-1033, CAN-2005-1335, CAN2005-1336, CAN-2005-1337, CAN-2005-1338, CAN-2005-1339, CAN-2005-1341, CAN-2005-1342, CAN-2005-1343, CAN-20051340, CAN-2005-0594, CAN-2004-1308, CAN-2005-0342, CAN-2004-0687, CAN-2004-0688, CAN-2004-1051
Page 56/60
Mai 2005
Reprise de l'avis Oracle d'avril 2005
L'US-CERT a repris, sous la référence TA05-117A, le bulletin Oracle d'avril 2005 concernant de nombreuses
vulnérabilités dans plusieurs produits Oracle pouvant entraîner de multiples dommages.
http://www.us-cert.gov/cas/techalerts/TA05-117A.html
CODES D’EXPLOITATION
Les codes d’exploitation des vulnérabilités suivantes ont fait l’objet d’une large diffusion :
EXIM
Code d'exploitation pour la faille 'dns_build_reverse'
Un code d'exploitation a été publié sur le site Web de SecuriTeam concernant un débordement de buffer dans la
fonction 'dns_build_reverse()' du serveur de courrier 'Exim'. Ce code permet à un utilisateur local d'acquérir les
droits privilégiés "root".
http://www.securiteam.com/exploits/5WP0R1PFPM.html
MYSQL
Code d'exploitation pour les failles 'MaxDB Webtool'
Un code d'exploitation a été publié sur le site Web de Securiteam concernant un débordement de pile dans le
composant 'Webtool' de la base de données MySQL 'MaxDB', déclenché à l'aide d'une requête HTTP 'GET'
spécialement construite. Ce code permet d'obtenir un interpréteur de commande à distance sur le port TCP 9999 et
de provoquer un déni de service.
http://www.securiteam.com/exploits/5FP0O20FGS.html
CAN-2005-0684
BULLETINS ET NOTES
Les bulletins d’information suivants ont été publiés par les organismes officiels de surveillance et les
éditeurs :
ATTAQUES
Diffusion de code malicieux par un faux site "Google"
Un site Web est entré en activité récemment sous le nom "www.googkle.com", dans l'intention évidente de piéger
les utilisateurs qui auraient commis une faute de frappe en tentant d'accéder à "www.google.com". Des recherches
menées par l'éditeur d'anti-virus F-Secure ont montré que ce site web, d'origine Russe, tente d'exploiter des failles
d'Internet Explorer pour installer de nombreux codes malicieux sur la machine victime et lui interdire l'accès aux
sites de certains éditeurs d'anti-virus. Ce site exploitant les failles du navigateur le plus répandu, ce qui est logique,
l'utilisation d'un navigateur alternatif à Internet Explorer permet de réduire le risque.
http://www.f-secure.com/v-descs/googkle.shtml
http://isc.sans.org/diary.php?date=2005-04-26
Nouvelle méthode d'extorsion de fonds via Microsoft IE
Le SANS nous signale l'apparition d'une nouvelle méthode d'extorsion de fond basée sur une ancienne faille
d'Internet Explorer, référencée MS04-023 . L'escroc installe grâce à cette faille un code malicieux sur une machine
vulnérable. Ce code va ensuite chiffrer l'ensemble des données utilisateur sur la machine. Pour finir, l'escroc exige
de sa victime le paiement de 200 USD pour fournir le logiciel de déchiffrement. Cette méthode, toute originale
qu'elle soit, démontre encore une fois à quel point il est important de maintenir ses systèmes à jour des derniers
correctifs.
http://isc.sans.org//diary.php?date=2005-05-23
Page 57/60
Mai 2005
ATTAQUES
OUTILS
RELAYSCANNER / WEBROOT
# Description
Le centre de gestion des alertes de sécurité danois, dit ‘CIRT-DK’, propose deux scripts
‘perl’ fort utiles sur son site.
RelayScanner
L’utilitaire ‘RelayScanner’ a été conçu dans l’optique d’automatiser la série de tests permettant de s’assurer que la
configuration d’un serveur de messagerie compatible ‘SMTP’ n’autorise son utilisation pour relayer des messages en
dehors des domaines explicitement gérés par ce serveur.
Bien que le protocole ‘SMTP’ ait été explicitement conçu pour pouvoir offrir un mode de fonctionnement autorisant le
relayage des courriers à l’intention de domaines tiers, il s’est rapidement avéré en environnement Internet que celuici devenait de plus en plus utilisé pour acheminer des courriers non sollicités, ou SPAM, par le biais de multiples
systèmes relais permettant d’en masquer l’origine.
De nos jours, l’activation de ce mode de fonctionnement résultera
généralement d’une erreur de configuration involontaire, ce type
d’erreur se faisant désormais de plus en plus rare. En effet, les
différentes implémentations SMTP sont désormais livrées configurées
par défaut pour interdire explicitement les différentes formes de
relayage.
Cet utilitaire écrit en ‘perl’ prend la forme d’un fichier principal
contenant le code source et d’un fichier d’archive contenant les
modules de test qui devra être chargé séparément puis décompressé
dans le répertoire d’installation du fichier principal.
Avant utilisation, il sera nécessaire de renseigner un fichier de
configuration dont le nom sera passé en ligne de commande. Ce fichier
contiendra les 5 paramètres suivants décrivant le contexte du test:
# CustomerEmailServer: le nom complet du système hébergeant le
serveur SMTP cible du test,
# Port: le numéro du port TCP utilisé par le serveur de messagerie,
par défaut le port standard TCP/25.
# CustomerDomain: le domaine de messagerie,
# CustomerEmail: une adresse valide dans le domaine de messagerie traité par le serveur cible du test,
# TestEmail: une adresse valide dans un domaine tiers.
Les deux dernières adresses de messageries devront être actives et accessibles afin de pouvoir collecter les
éventuels messages d’erreurs transmis par le service de messagerie mais aussi les messages d’information envoyés
par l’outil de test.
L’initialisation se fera simplement en exécutant le programme ‘RelayScanner.pl’ complété des paramètres ‘-l’ suivi
du nom du fichier de configuration et ‘-delay’ pour indiquer un temps d’attente entre chaque test différent des 2
secondes codées par défaut. Ce temps d’attente est requis pour, d’une part limiter la nuisance sur le serveur cible
et, d’autre part, éviter le déclenchement de certains mécanismes chargés de détecter les tentatives de saturation
par des serveurs malintentionnés.
On notera que la durée totale d’exécution de l’analyse en sera d’autant rallongée. La version actuelle génère ainsi
quelques 152 tests soit une durée totale d’exécution de 5mn avec le délai positionné par défaut.
Le programme ‘RelayScanner.pl’ assure l’enchaînement des tests par le biais de deux boucles imbriquées. Ainsi,
pour chaque commande ‘SMTP’ pertinente (‘MAIL’, ‘SEND’, ‘SOML’ et ‘SAML’) et pour chaque forme d’accueil
(‘HELO’ et ‘EHLO’), un message est transmis dont les champs sont renseignés à partir des cinq paramètres définis
dans le fichier de configuration complétés de six paramètres renseignés dans l’un des 19 modules de test
élémentaires:
# PLUGINNAME: le nom du module qui sera utilisé dans le rapport produit au format HTML,
# DESCRIPTION: la description détaillée du test effectué par le module qui sera copiée dans le corps du message,
# HELO: la chaîne qui sera transmise dans les commandes SMTP ‘HELO’ ou ‘EHLO’,
# MAILFROM: la chaîne qui sera transmise dans les commandes SMTP ‘MAIL FROM:’,
# RCPTTO: la chaîne qui sera transmise dans les commandes SMTP ‘RCPT TO:’,
# SUBJECT: le texte qui sera copié dans le sujet du message transmis.
Page 58/60
Mai 2005
La création d’un nouveau test élémentaire consiste à créer un
nouveau module qui sera enregistré dans le sous-répertoire ‘plugins’
et contiendra les séquences d’initialisation des six paramètres
précédents sous la forme d’une chaîne pouvant inclure des variables
de substitution prédéfinies - au nombre de 8 - liées au contexte.
Cette architecture logicielle facilite grandement l’écriture de modules de tests spécifiques sous réserve toutefois
d’avoir une bonne connaissance du langage ‘perl’ mais aussi du fonctionnement du protocole ‘SMTP’, les
informations actuellement disponibles étant rendues à leur plus simple expression: les commentaires éparpillés dans
le code.
WebRoot
La page consacrée aux outils développés par le CERT Danois référence un second utilitaire dénommé ‘WebRoot’,
lui aussi écrit en perl.
Celui-ci est à la structure d’un site WEB ce qu’est le célèbre ‘John-the-Ripper’ au fichier des mots de passe, à
savoir un outil d’attaque en force permettant de découvrir les ressources d’un site WEB à partir d’URL formées par
différentes combinaisons d’une liste de mots fournie en paramètre ou selon une logique de construction
systématique.
Exécution
Présentation des résultats
Cet utilitaire requiert l’installation
de quelques modules additionnels
dont ‘Algorithm::GenerateSequen
ce’ et ‘Net::SSLeay::Handle’ qui
ne sont pas toujours installés par
défaut sur un système LINUX.
‘WebRoot’ a été conçu pour offrir
un maximum de fonctionnalités ce
qui conduit à devoir le configurer
via la ligne de commande à l’aide
des multiples options proposées, hélas devant être quasiment toutes
spécifiées. En cas d’erreur dans l’utilisation d’un paramètre, l’analyse
sera activée précédée d’un message d’information. A cet égard,
l’utilisateur devra prendre garde à ne pas engager une analyse sans
avoir correctement validé tous les paramètres de configuration et
vérifié le bon déroulement à l’aide de l’option ‘debug’. L’expérience
conduit à recommander pour cela l’emploi un serveur WEB dédié.
Une fois pris en main, l’utilitaire ‘WebRoot’ s’avère parfaitement répondre au besoin de l’analyste souhaitant
découvrir les structures et ressources cachées d’un serveur WEB, du moins tant que les règles de nommage
employées font référence à un vocabulaire commun et simple.
En effet, dans le mode ‘wordlist’, l’utilisateur fournira un dictionnaire dont chaque mot viendra remplacer la
séquence ‘<BRUTE>’ placée dans une URL fournie en paramètre. L’option ‘-recursive’ permettra de réitérer cette
recherche systématique sur toutes les URL pour lesquelles la requête GET aura été couronnée de succès.
Les paramètres obligatoires ‘-match’ ou ‘-diff’ permettent de spécifier la chaîne de caractères dont la présence (ou
l’absence) permettra de conclure à une réponse positive. On notera que cette chaîne de caractères est interprétée
sous la forme d’une expression régulière ‘perl’ autorisant la spécification de plusieurs motifs. Ainsi, il sera possible de
spécifier la chaîne ‘200 |301 ’pour gérer les réponses positives (code 200) mais aussi les pages de redirection
(code 301).
Un test visant à valider le code normalement retourné dans le cas d’une ressource non présente est effectué avant
toute action. Celui-ci prend la forme d’une requête dans laquelle la séquence ‘<BRUTE>’ aura été remplacée par le
nom d’un fichier n’ayant aucune raison d’être présent à cet emplacement. Un message d’alerte est généré dans le
cas où la chaîne retournée serait identique à celle positionnée dans le paramètre ‘-match’ ou ‘-diff’. Ce procédé
permet de détecter rapidement et simplement un serveur reconfiguré pour ne pas fournir un code représentatif
d’une erreur.
Le mode ‘incremental’ exclusif du précédent permet d’engager une recherche en force en testant toutes les
combinaisons de lettres et chiffres, en majuscules et/ou minuscules, sur une longueur pouvant être limitée par les
options ‘-minimun’ et ‘-maximum’.
L’utilisateur devra cependant tenir compte de la croissance rapide du nombre de combinaisons conduisant à une
analyse, non seulement longue, mais provoquant aussi une nuisance certaine sur le site cible. Ainsi la configuration
limitant la recherche aux seules combinaisons de lettres minuscules sur une longueur maximale de 3 lettres
(configuration par défaut) générera quelques 17576 requêtes pour le seul premier niveau de recherche.
Les résultats pourront être visualisés en temps réel par le biais de l’option ‘-verbose’ en tenant compte du faux
positif provoqué par l’affichage systématique de la dernière combinaison testée. Un rapport au format texte ou html
pourra être généré à l’aide du paramètre ‘-saveas’ et de l’option ‘-textlog’ pour forcer l’utilisation du format texte.
Le CERT Danois nous propose ici un ensemble d’outils simples et très aisément adaptables que tout un chacun aurait
pu développer en quelques jours voire quelques heures si le temps n’était aussi compté.
http://www.cirt.dk/tools/
- Outils proposés par le CERT Danois
Page 59/60
Mai 2005
GOOGLESWEEP
# Description
‘GoogleSweep’ a été développé par un étudiant de l’université d’état du Missisippi pour faciliter la recherche
d’adresses IP dans la masse de documents de toutes sortes indexés par Google.
Prenant la forme d’un petit script – 337 lignes, commentaires compris - écrit en langage Python, cet utilitaire s’appuie
sur l’interface programmatique d’accès aux fonctions de recherche du service Google. Il nécessite en conséquence de
disposer d’une clef de licence valide qui sera automatiquement présentée lors de toute activation d’une recherche. Une
telle clef peut être obtenue moyennant paiement d’une redevance mais aussi gracieusement par simple inscription sur
le site de Google, auquel cas le nombre de requêtes par jour sera limité à 1000.
L’utilitaire ‘GoogleSweep’ n’a rien d’exceptionnel dans son
fonctionnement mais s’avère fort utile dans le cas de la
recherche de multiples adresses IP. Il assure l’enchaînement
des requêtes de recherche pour chacune des adresses du bloc
passé en argument et génère une page HTML donnant accès à
chacune des URL de recherche ayant fourni un résultat positif
ainsi qu’un graphe représentatif de la popularité de l’adresse.
#googlesweep.py -o Res.html -s 192.168.1.*
GoogleSweep v0.8
Robert Wesley McGrew - [email protected]
Building scan list...
256 IP addresses
Performing 256 API queries total.
#################################################
Cet utilitaire requiert la présence de la dernière version de
l’environnement Python (V2.4.1) ainsi que le module externe
‘PyGoogle’ qui regroupe toutes les fonctions d’accès à
l’interface de requête Google. L’utilisateur sera probablement
amené à installer deux modules complémentaires: ‘fpconst’ et
‘PyXML’.
Les tests menés en environnement LINUX ont donné toute
satisfaction contrairement à l’environnement Windows où
quelques difficultés liées à la gestion des connexions réseaux
par le module ‘PyGoogle’ ont été rencontrées.
La principale limitation de ‘GoogleSweep’ est celle constatée sur tous les outils utilisant l’interface programmatique
de Google, à savoir la limite à 1000 requêtes par jour. Dans le cas présent, trois classe C (265 requêtes par classe)
peuvent tout au plus être analysées par jour. L’option ‘-b’ permettra de contourner cette restriction en répartissant la
charge sur plusieurs jours.
Google est ici utilisé de manière originale pour rechercher des adresses IP, et non comme cela est devenu l’habitude
des indices de l’existence d’une vulnérabilité sur l’un des sites indexés. Cependant, l’intérêt de cette approche reste
assez limitée. Elle permettra principalement de:
- Mesurer la popularité d’une source de nuisance comme nous l’avons fait dans l’exemple concernant l’adresse
222.88.173.5 bien que dans ce cas précis, une requête directe eut été aussi pertinente,
- Inventorier des fuites d’information en recherchant toutes les références à des blocs d’adresses supposées ne pas
être exposées sur l’Internet. C’est notamment le cas des blocs d’adresses protégés par le RFC1918 mais aussi des
blocs d’adresses réservés par le IANA et non routés sur l’Internet. On notera le cas du célèbre bloc 192.168.1.0/
255 dont les adresses 192.168.1.1 et 192.168.1.2 en particulier ont été utilisées dans d’innombrables exemples et
manuels d’utilisation. Ceci conduit à un bruit de fond rendant difficilement exploitables les résultats collectés sur les
adresses IP de ce bloc.
http://cse.msstate.edu/~rwm8/googlesweep/
Page 60/60

Veille Technologique Sécurité

Transcription

Documents pareils

Télécharger

AUX ETATS-UNIS Social Security 401k, 403b EN FRANCE Régime

HEBERGEMENT WEB LUXEMBOURG

Tableau comparatif

TÜV SÜD Acertigo Compliance Services - Certificate

Veille Technologique Sécurité

Security Center - Certification technique Omnicast

Veille Technologique Sécurité