Veille Technologique Sécurité
Transcription
Veille Technologique Sécurité
APOGEE Communications R dee orrtt d po pp Raap Veille Technologique Sécurité N 2 82 N°°8 Mai 2005 Les informations fournies dans ce document ont été collectées et compilées à partir de sources d'origines diverses et publiquement accessibles: mailing-lists, newsgroups, sites Web, ... Ces informations sont fournies pour ce qu'elles valent sans garantie d'aucune sorte vis à vis de l'exactitude, de la précision ou de la qualité de l'information. Les URL associées à certains thèmes sont validées à la date de la rédaction du document. Les symboles d’avertissement suivants seront éventuellement utilisés: ! " Site dont la consultation est susceptible de générer directement ou indirectement, une attaque sur l’équipement de consultation, voire de faire encourir un risque sur le système d’information associé. Site susceptible d’héberger des informations ou des programmes dont l’utilisation est répréhensible au titre de la Loi Française. Aucune garantie ne peut être apportée sur l'innocuité de ces sites, et en particulier, sur la qualité des applets et autres ressources présentées au navigateur WEB. LLaa ddiiffffuussiioonn ddee ccee ddooccuum meenntt eesstt rreessttrreeiinnttee aauuxx cclliieennttss ddeess sseerrvviicceess V VTTS S--R RA APPPPO OR RTT eett V VTTS S--EEN NTTR REEPPR RIIS SEE Les marques et les produits cités dans ce rapport sont la propriété des dépositaires respectifs. APOGEE Communications 15, Avenue du Cap Horn ZA de Courtaboeuf 91940 Les ULIS Pour tous renseignements Offre de veille: http://www.apogee-com.fr/veille Informations: [email protected] © APOGEE Communications - Tous droits réservés Mai 2005 Au sommaire de ce rapport … PRODUITS ET TECHNOLOGIES LES PRODUITS 7 7 BHO-DEMON V2.0 WIKTO V1.6 LES TECHNOLOGIES 7 8 12 BASE DE DONNÉES 12 SQL SERVER2005 – EXTENSION DES FONCTIONNALITÉS DE SÉCURITÉ 12 VEILLE 13 HNS - (IN)SECURE MAGAZINE 13 INFORMATIONS ET LÉGISLATION LES INFORMATIONS 14 14 ORGANISATIONS 14 VOIP – CRÉATION DE L’ALLIANCE VOIPSA 14 CHIFFREMENT 14 CHALLENGE RSA-200 14 INCIDENTS 15 HOMELAND SECURITY - CIDDAC 15 SYSTÈMES INDUSTRIELS 16 NISCC – PROTECTION DES SYSTÈMES DE CONTRÔLE INDUSTRIELS (SCADA) 16 ALERTES 18 CAIF – COMMON ANNOUNCEMENT INTERCHANGE FORMAT V1.2 ESISAC – MISE À JOUR DES RECOMMANDATIONS DE SÉCURITÉ DU SECTEUR DE L’ÉNERGIE ÉLECTRIQUE SÉCURISATION NSA - CATALOGUE DES GUIDES DE SÉCURITÉ CIS - CATALOGUE DE PROCÉDURES ET DE TESTS NIST – GUIDES ET CHECKLISTS DE SÉCURISATION NIST – ETAT DES GUIDES DE LA SÉRIE SP800 LA LÉGISLATION SÉCURITÉ 18 19 19 19 20 21 22 23 23 PROTECTION DES INFORMATIONS DANS LES CONTRATS 23 LOGICIELS LIBRES LES SERVICES DE BASE LES OUTILS 25 25 25 NORMES ET STANDARDS LES PUBLICATIONS DE L’IETF 27 27 LES LES RFC DRAFTS NOS COMMENTAIRES LES DRAFTS DRAFT-IETF-INCH-REQUIREMENTS-04 ALERTES ET ATTAQUES ALERTES GUIDE DE LECTURE FORMAT DE LA PRÉSENTATION SYNTHÈSE MENSUELLE ALERTES DÉTAILLÉES AVIS OFFICIELS ADOBE APPLE BEA BLUECOAT CISCO CITRIX CU DNS ETHEREAL Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés 27 27 31 31 31 32 32 32 33 33 34 34 34 34 34 35 35 35 36 36 36 Page 2/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 EXTREMENETWORK FREEBSD GAIM GNU GRAPHICSMAGICK GROOVENETWORKS HP HTEDITOR IBM IMAGEMAGICK INTEL IP KERIO LEAFNODE LIBTIFF LINUX LINUX DEBIAN LINUX REDHAT MAILENABLE MARADNS MICROSOFT MOZILLA NASM NET-SNMP NOVELL OOPS PERL PHPMYADMIN PHPSYSINFO POSTGRESQL PPXP PROCMAIL QUALCOMM ROOTKIT.NL SAMBAR SQUID SUN SYMANTEC WORDPRESS ALERTES NON CONFIRMÉES 4D 602SOFTWARE ADOBE ALWIL SOFTWARE APPLE BAKBONE BZIP2 CA DAVFS2 D-LINK FREERADIUS GFORGE GNOME GNU HORDE IBM INVESTIGATIONS IPSWITCH KERIO LINUX L-SOFT MACROMEDIA MAILSCANNER MERAK MICROSOFT MYSQL NETEYES OLLYDBG ORACLE OSTICKET PROCPS QMAIL RSA SECURITY SUN TCPDUMP XINE YAHOO! ZYXEL 36 36 36 36 37 37 37 38 38 38 38 38 38 39 39 39 39 39 39 39 39 40 40 40 40 41 41 41 41 41 41 41 42 42 42 42 42 43 43 43 43 43 43 43 43 44 44 44 44 44 44 45 45 45 45 45 45 45 45 46 46 46 46 46 46 46 47 47 47 47 47 48 48 48 48 48 48 48 AUTRES INFORMATIONS 49 REPRISES D’AVIS 49 ET CORRECTIFS Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Page 3/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 ADOBE APPLE AVAYA BEA CA CIAC CISCO F5 F5 NETWORKS FREEBSD LINUX DEBIAN LINUX FEDORA LINUX MANDRAKE LINUX REDHAT HP IBM KDE MACROMEDIA MICROSOFT MOZILLA NETSCAPE NOVELL OPENBSD SCO CALDERA SCO SGI SUN SYMANTEC ZONELABS US-CERT 49 49 49 50 50 50 52 52 52 52 52 52 53 53 53 54 54 54 54 54 54 55 55 55 55 55 56 56 56 56 CODES D’EXPLOITATION 57 BULLETINS ET NOTES 57 EXIM MYSQL ATTAQUES ATTAQUES OUTILS RELAYSCANNER / WEBROOT GOOGLESWEEP Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés 57 57 57 58 58 58 60 Page 4/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 Le mot de la rédaction … Ce beau mois de mai aura été marqué par l’apparition de nouvelles menaces. Ainsi, le 23 mai dernier, WebSense publiait une alerte concernant l’apparition d’un nouveau genre d’attaque: par le biais d’une vulnérabilité présente dans le navigateur Internet Explorer, connue de longue date et encore présente sur bien des postes n’ayant pas été mis à jour, un code est chargé dont le rôle est, entre autre, de chiffrer le contenu de tous les fichiers puis d’annoncer à l’utilisateur qu’il pourra obtenir le logiciel lui permettant de retrouver ceux-ci moyennant paiement de ce qu’il est ici convenu d’appeler une rançon de $200. http://www.websensesecuritylabs.com/alerts/alert.php?AlertID=194 Et le 27 mai au soir apparaissait la toute première tentative d’hameçonnage (phishing) visant explicitement quatre grandes banques Françaises. Une tentative tellement maladroite que son taux de réussite sera probablement extrêmement faible, voire nul. En effet, non seulement le corps du message est entièrement rédigé en langue anglaise mais le message lui même - dont une copie transmise par l’un de nos lecteurs est proposée ci-dessous se veut être générique en traitant les quatre banques simultanément. http://par.societegenerale.fr/EIP/resources/production/Alerte_securite/ Dans le même ordre d’idée, le Sans Institute révélait l’existence d’un site russe dénommé ‘iframeDOLLARS’ assurant un revenu substantiel aux propriétaires de site WEB acceptant d’installer, par le biais d’un procédé non documenté mais utilisant a priori certaines vulnérabilités du navigateur Internet Explorer, quelques neufs logiciels bien peu recommandables. ‘Our program (size: 3 Kb) is loaded to the user and it changes the homepage and installs toolbar and dialer. It’s activated and revealed in 15-30 minutes after download’ Ce nouveau genre de commerce s’inscrit dans la même logique que celle que nous dénoncions dans un rapport précédent laquelle consistait à revendre des accès sur des réseaux de machines compromises. Ici, ‘iframeDOLLARS’ assure un revenu de $61 pour 1000 installations sur des postes différents. http://www.iframedollars.biz/faq.php Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Page 5/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 Le Sans Institute laisse entendre dans son journal quotidien que Microsoft pourrait bien faire machine arrière, et publier en Juin une nouvelle version du correctif MS05019, bien connu de nombreux développeurs pour avoir invalidé l’accès de bas niveau dit ‘Raw Socket’ aux paquets réseaux. Certainement prise pour limiter l’efficacité des outils d’attaque tirant parti de cette facilité native pour construire de toute pièce un paquet réseau, cette décision a été fortement critiquée car à double tranchant puisque impactant aussi les outils ‘légaux’ d’analyse et de recherche de vulnérabilités. L’environnement LINUX avait alors repris un avantage certain en tant que plate-forme d’analyse et de collecte. http://isc.sans.org/diary.php?date=2005-05-11 Le monde de la cryptographie bouge lui aussi puisque le 12 mai dernier, le NIST annonçait le retrait effectif de la liste des normes FIPS des différents documents liés à l’utilisation de l’algorithme de chiffrement DES dans sa forme la plus simple. Ont ainsi été décommissionnées le 19 mai, les normes FIPS 46-3 (DES), FIPS 74 (implémentation), et FIPS 81 (mode opératoire). La fin d’un algorithme de chiffrement mondialement connu, et objet de toutes les rumeurs. Souhaitons que soient révélés, un jour, les détails des travaux menés par la NSA sur cet algorithme qu’ils ont adaptés, rappelons-le, de l’algorithme de 128bits, dit Lucifer, conçu en 1975 dans les laboratoires d’IBM. http://frwebgate1.access.gpo.gov/cgi-bin/waisgate.cgi?WAISdocID=603207185906+0+0+0&WAISaction=retrieve Le brevet N° 6.829.355, déposé en mai 2001 par un chercheur de la NSA et publié début mai, porte sur un algorithme de génération d’une somme cryptographique annoncée «to hash a value in a manner that meets the security requirements of AES and is more secure than MD5 and SHA-1». La comparaison de cet algorithme avec les différentes versions de l’algorithme SHA prouve sans ambiguïté que le brevet porte sur l’algorithme SHA-512, dit SHA-2, en effet conçu par la NSA puis normalisé par le NIST. A ce jour, et à notre connaissance, aucun des documents publiés à propos de SHA-2 ne mentionne l’existence d’un quelconque brevet. Doit-on dès lors envisager d’avoir à verser sous peu des royalties à la NSA pour pouvoir utiliser un algorithme de condensation plus sûr que les algorithmes MD5 et SHA-1 pour lesquels de nombreuses collisions ont été mises en évidence ? http://assignments.uspto.gov/assignments/q?db=pat&pat=6829355 Pour conclure, un défi intitulé ‘HackIIS6’ a été lancé le 2 mai dernier dont l’objectif est de prendre le contrôle d’un serveur IIS6 publiquement accessible. A la clef, une XBOX qui sera remise à la première personne ayant réussi l’une des quatre conditions énumérées sur le site. Ce défi sera clôt le 8 juin prochain à minuit. Gageons que de nouvelles techniques d’attaque devraient voir le jour à cette occasion … http://www.hackiis6.com/rules.htm L’équipe de Veille Technologique Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Page 6/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 PR RO OD DU UIIT TS SE ET T TE EC CH HN NO OL LO OG GIIE ES S LES PRODUITS BHO-DEMON V2.0 # Description La multiplication des logiciels espions de toutes sortes – Adwares et Spywares dans le jargon - automatiquement installés sans que l’utilisateur n’en soit averti conduit à devoir s’équiper en dispositifs de détection voire idéalement de prévention. De plus en plus de logiciels sont disponibles qui offrent un bon de niveau de protection contre cette nuisance aussi bien sous la forme d’un module venant en complément d’une application de sécurité, généralement un produit antivirus - que sous la forme d’outils autonomes et spécialisés. Dans cette dernière catégorie, on pourra citer le célèbre ‘Ad-Ware SE’ de la société LavaSoft (une version destinée à l’utilisation personnelle est gracieusement proposée) qui excelle dans la détection et l’éradication des logiciels espions mais aussi des URL manipulées et des cookies trop bavards. Entièrement gratuit et offrant une protection étendue à d’autres formes de menaces, le logiciel ‘SpyBot Search & Destroy’ offre une fonction de protection résidente intégrée au navigateur permettant d’agir avant que le logiciel malicieux ne soit installé. Notre liste des produits les plus connus ne serait pas complète sans mentionner l’intervention de la société Microsoft dans ce domaine avec son produit ‘Microsoft Windows AntiSpyware’ - toujours en version de test gratuite à l’heure actuelle mais payante à terme - offrant lui aussi un fonctionnement en mode ‘détection a posteriori’ mais aussi en mode ‘prévention en temps réel’. Nos lecteurs intéressés par la comparaison de ces trois produits, tous aussi attirants et réputés, pourront se référer à deux articles comparatifs, l’un écrit par un indépendant et paru en janvier dernier sur le site ‘FlexBeta’, l’autre par le ‘laboratoire Microsoft de SupInfo’. Ces articles mettent tous deux en avant la performance du produit Microsoft dans sa version béta. Un quatrième produit, diffusé dès juin 2004 dans sa version 2.0, mérite d’être présenté car parfaitement complémentaire, de notre point de vue, aux trois grands outsiders précités. Le programme ‘BHO–Demon’ s’intéresse en effet à une catégorie bien spécifique de logiciels espions, celles des logiciels utilisant l’interface dite ‘Browser Helper Objects’, ou ‘BHO’, mise à disposition par Microsoft pour étendre les fonctionnalités de son navigateur. Installé en tant qu’application automatiquement lancée lors de l’ouverture d’une session, ce programme supervise en temps réel l’enregistrement des objets utilisant l’interface ‘BHO’. En cas de modification de l’une des clefs de la base de registre associées à cette interface, une fenêtre d’alerte sera présentée à l’utilisateur. Celui pourra alors obtenir tous les détails disponibles par un simple double-clic sur l’entrée correspondant à l’objet ayant généré l’alerte dans l’interface principale. Le niveau de risque associé est quantifié à partir d’une liste régulièrement mise à jour des objets connus utilisant cette interface. L’utilisateur peut instantanément désactiver un quelconque objet en cochant la boîte de sélection présentée dans l’interface principale en regard du nom de l’objet. Il s’agit bien ici d’une désactivation, et non d’une désinstallation, la librairie dynamique enregistrée pour l’ objet étant tout simplement renommée sans modification aucune des clefs associées dans la base de registre. Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Page 7/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 Cette approche conservatrice permet de limiter les risques de dysfonctionnement liés à la destruction d’une clef susceptible d’être utilisée ou surveillée par d’autre composants de l’objet tout en désactivant les fonctions associées au navigateur. En cas de problème, l’utilisateur peut instantanément réactiver les fonctions en cochant la bonne entrée dans l’interface principale. Les tests menés sur la dernière version disponible de cette application (V2.0.0.22) n’ont mis en évidence ni dysfonctionnement ni erreurs de détection. L’utilisateur veillera cependant à régulièrement purger le fichier de journalisation très détaillé et donc très rapidement volumineux pour lequel aucune option de désactivation n’est hélas proposée dans le menu de configuration. On notera cependant que certains outils d’extension des fonctionnalités du navigateur Internet Explorer n’utilisent pas l’interface offert à cette fin par Microsoft et ne seront en conséquence pas détectés. C’est le cas par exemple de la très intéressante barre d’outils proposée par la société ‘NetCraft’ (Rapport N°78 – Janvier 2005). L’interface principale ‘BHO–Demon’ propose l’accès aux statistiques établies à partir des informations remontées volontairement par les utilisateurs. On notera la très large prédominance d’extensions associés à des applications connues et largement utilisées, la première occurrence d’un logiciel de type espion apparaissant en 22ième position. # Complément d'information http://www.definitivesolutions.com/bhodemon.htm http://www.lavasoftusa.com/software/adaware/ http://www.spybot.info/fr/index.html http://www.microsoft.com/athome/security/spyware/default.mspx http://www.labo-microsoft.com/articles/win/antispyware/ http://www.flexbeta.net/main/printarticle.php?id=84 - Site BHODemon - AD-Ware SE Personal - Spybot Search & Destroy - Microsoft AntiSpyware - Analyse comparative des solutions antispyware - Comparatif entre les outils LavaSoft, SpyBot S&D et Microsoft WIKTO V1.6 # Description A l’occasion de la dernière conférence BlackHat, la société de service ‘SensePost’, basée en Afrique du Sud, annonçait la diffusion de la version 1.6 de Wikto, un outil d’analyse des service WEB fonctionnant en environnement Windows (Rapport N°81 – Avril 2005). Accessible gracieusement moyennant cependant un enregistrement préalable, cet outil a été développé en environnement ‘.NET’. Nombreux sont les outils spécialisés permettant d’analyser un site WEB dans l’optique d’en extraire toute information utile pour en prendre le contrôle, ou plus simplement pour collecter diverses informations sensibles. Parmi les outils les plus connus, on pourra citer: # Httrack: un remarquable outil Windows de recopie de sites WEB exploitable pour obtenir une information sur la structure exacte d’un quelconque site, # Httprint: un outil Windows permettant d’identifier le serveur WEB utilisé sur un site donné permettant ainsi d’optimiser l’analyse en adaptant la recherche aux spécificités du serveur, # Nikto: un utilitaire Unix autorisant l’analyse d’un site WEB à partir d’une liste de ressources réputées sensibles ou révélatrices d’une vulnérabilité en tenant compte des éventuelles modifications apportées aux messages d’erreur, # GHDB: une base de données, dite ‘Google Hack DataBase’, maintenue par un passionné de l’utilisation de Google en tant que révélateur de vulnérabilités. Avec Wikto, l’utilisateur n’aura plus à jongler avec ces différents outils en utilisant les résultats de l’un comme paramètre de contrôle de l’autre puisque l’interface graphique donne non seulement accès à chaque outil mais autorise aussi le transfert des différents résultats utiles. La démarche retenue par les auteurs consiste à collecter un maximum d’informations sur le site cible et sa structure puis à réutiliser celles-ci pour affiner l’analyse. Pour ce faire, les fonctions rattachées à une action précise sont regroupées dans une interface graphique spécifique accessible à tout instant par le biais d’un onglet. Mirror & Fingerprint Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Page 8/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 La première action consiste à engager une analyse structurelle du site, complétée d’une identification du type de serveur WEB utilisé. Pour cela, Wikto fait appel aux outils externes ‘Httrack’ et ‘Httprint’ qui auront dû être installés indépendamment puis configurés par le biais de l’onglet réservé à cet usage. # ‘Httrack’ est utilisé pour acquérir la structure du site en recopiant celui-ci localement dans un répertoire configurable, une extraction des répertoires logiques étant ensuite effectuée dont les résultats sont présentés dans la fenêtre ‘Directories mined’ et sauvegardés pour pouvoir être importés par les autres fonctions. Les liens pointant vers des sites externes sont présentés pour information. L’utilisateur veillera ici à configurer le répertoire d’accueil de la copie du site sur un volume logique disposant de suffisamment de place pour accueillir celleci. La place occupée pourra être récupérée en configurant l’option autorisant la destruction de la copie locale du site. Les tests menés ont permis de mettre en évidence à ce niveau de légers dysfonctionnements dont les auteurs nous ont annoncé qu’ils seront corrigés dans une prochaine version. En premier lieu, les filtres actuellement positionnés pour limiter la copie du site aux seuls fichiers pertinents sont encore trop ouverts, et conduisent à recopier des fichiers disposant d’une extension ‘zip’ ou ‘pdf’. Le volume de certains fichiers conduit alors à un temps de transfert dépassant largement le délai maximal positionné par défaut à 60s. Il s’ensuit l’arrêt de la copie du site distant sans que l’utilisateur n’en soit informé. L’analyse de la structure du site sera alors erronée car incomplète. Le remède actuel consiste à largement sur-dimensionner le délai d’attente pour assurer une recopie complète. Un second problème apparaît lorsque l’utilisateur mentionne une URL – ‘http://xxx.yyy.com/’ par exemple - en lieu et place du nom du site – ‘xxx.yyy.com’ - dans la boîte de saisie prévue à cet effet. Si la phase de copie s’avère parfaitement fonctionner, la phase d’extraction des résultats s’arrête en erreur. Ce problème devrait être corrigé à l’occasion de la mise à disposition d’une version à même de gérer le protocole HTTPS. # ‘Httprint’ est activé à la fin de la phase précédente pour obtenir une identification du serveur WEB utilisé par le site cible. Cette identification permettra à l’exploitant d’optimiser ultérieurement les tests qui seront effectués sur le site. Googler La seconde action vise à récolter toutes les informations concernant les ressources exportées par le site cible ayant été collectées par le moteur d’indexation ‘Google’. L’interface programmatique d’accès aux fonctions de recherche du service Google est utilisée pour se faire, interface dont l’emploi nécessite de disposer d’une licence qui sera configurée par le biais de l’onglet réservé à cet usage. Cette licence peut être obtenue gratuitement mais sera limitée à 1000 requêtes par jour. Une option de configuration permet de contrôler le nombre maximal de requêtes transmises mais aucune information n’est fournie concernant le mécanisme de contrôle ici mis en œuvre. L’utilisateur renseignera le nom du site cible ainsi que les paramètres de la recherche transmise au moteur d’indexation dont les mots clefs (champ ‘Google Keyword’) et les types de ressources (champ ‘File Type’). La requête générée prendra la forme suivante: <Google Keyword> filtetype: <FileType> site: <Site/Domaine> Les répertoires découverts par ce biais sont présentés dans la fenêtre ‘Directories mined’ et sauvegardés pour pouvoir être importés par les autres fonctions. BackEnd Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Page 9/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 Les deux étapes précédentes d’acquisition d’informations ayant été engagées, l’utilisateur peut vouloir engager une action de recherche systématique des ressources critiques ou sensibles susceptibles d’être présentes sur le serveur. Il pourra utiliser pour cela la liste des répertoires connus, liste maintenue à jour par ‘SensePost’, éventuellement complétée des noms de répertoires précédemment collectés. Une requête de type GET ou HEAD sera transmise pour chaque combinaison d’un nom de répertoire, d’un nom de fichier et d’une extension, une liste de noms et d’extensions de fichiers connus pouvant être téléchargée depuis le site ‘SensePost’. Les réponses à ces requêtes sont analysées selon une stratégie configurable permettant de prendre en compte des réponses a priori positives (Code 200) mais correspondant en réalité à une page d’erreur. Lorsque l’option ‘AI’ n’est pas activée, les codes d’état contenus dans les réponses sont utilisés pour déterminer la présence ou l’absence de la ressource demandée en tenant compte de deux tables de décision reconfigurable. Ces tables indiquent les codes d’état associés au bon chargement, respectivement, d’un répertoire et d’un fichier. Activée, l’option ‘AI’ conduit à ignorer totalement le code d’état retourné dans la réponse, et à prendre une décision basée sur la reconnaissance d’éléments caractéristiques dans les pages d’erreur retournées par le serveur. L’idée de base est de transmettre un ensemble représentatif de requêtes dont on est sûr qu’elles provoqueront une réponse correspondant à un cas d’erreur, réponse qui sera ensuite stockée sous la forme d’une signature tenant compte de la localisation, du nom et de l’extension de la ressource. Les signatures des réponses obtenues aux requêtes générées à partir des listes de répertoires, de fichiers et d’extension seront ensuite comparées aux signatures obtenues pour ces mêmes répertoires et extensions. Une mesure de la distance entre la signature d’une réponse négative et celle de la réponse courante est calculée sous la forme d’une valeur allant de 0 à 1, la valeur 0 correspondant à l’égalité parfaite des deux signatures. L’utilisateur pourra modifier s’il le souhaite le seuil de décision en configurant la distance maximale autorisée pour conclure à la réception d’une réponse négative, et ne pas prendre la requête en compte dans les résultats. Les répertoires et fichiers collectés sont présentés dans deux fenêtres et peuvent être exportés pour une utilisation ultérieure. On notera que le contenu de toutes les fenêtres sont éditables en permanence par l’utilisateur autorisant ainsi une modification en temps réel des données d’entrée mais aussi la correction éventuelle des résultats. Wikto La fonction accessible via l’onglet reprend les concepts initialement intégrés à l’outil Nikto ne fonctionnant qu’en environnement LINUX. L’objectif est d’identifier la présence de ressources connues, réputées sensibles ou révélatrices d’une vulnérabilité. La base de données maintenue par l’auteur de Nikto (3212 entrées dans la dernière mise à jour) est ici utilisée. Cette base contient, pour chaque ressource identifiée, une chaîne de caractères qui si elle est présente dans la réponse permet de confirmer l’existence de cette ressource. Dans certains cas, cette chaîne de caractère, dite ‘trigger’, ne permettra pas de distinguer une réponse positive d’une réponse négative. Il sera alors nécessaire d’activer la stratégie de décision, décrite précédemment, basée sur l’analyse de la signature de la réponse. Certaines requêtes présentent dans la base Nikto font appel à la variable d’environnement @CGIDIRS pour déterminer l’emplacement du répertoire accueillant les scripts ‘cgi-bin’. Cette variable sera renseignée par les répertoires saisis dans la fenêtre ‘CGI dirs’ manuellement ou automatiquement en important les résultats de certaines étapes de l’analyse, en l’occurrence ‘Googler’ et ‘BackEnd’. Ici encore, les résultats de l’analyse pourront être exportés dans un fichier au format ‘CSV’. GoogleHacks Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Page 10/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 Cette dernière fonction permet de rechercher dans Google toutes les données considérées comme sensibles ou révélatrices d’une erreur de configuration du serveur WEB cible de l’analyse. La base de donnée GHDB au format XML, maintenue par Johnny Long (1139 dans la dernière mise à jour) est ici utilisée. La clef de licence ad’hoc, par ailleurs utilisée par la fonction ‘Googler’ devra avoir été renseignée. Conçu pour automatiser la recherche de toute les requêtes Google contenues dans la base, l’outil offre une possibilité d’effectuer une recherche précise, saisie manuellement ou sélectionnée dans la base, sans précision quant à la cible. L’approche retenue par le concepteur de ‘Wikto’ est particulièrement intéressante. En regroupant au sein d’une même interface graphique l’accès aux différentes étapes de l’analyse d’un serveur WEB, et en autorisant le transfert des résultats d’une étape vers l’autre, l’utilisateur peut mettre facilement en œuvre une démarche itérative en affinant peu à peu les critères et éléments de recherche en s’appuyant sur une référence propre au site plutôt que de travailler à l’aveugle sur une base générique. Les essais menés sur cet outil confirme son efficacité sur des sites classiquement configurés pour être publiquement accessibles. Son efficacité diminue, mais cela est parfaitement normal avec une approche en aveugle, sur des sites dont la configuration et la structure ont été complètement remaniées, en ne respectant pas les ‘us et coutumes’ en matière de nommage et d’organisation des répertoires. # Complément d'information http://www.blackhat.com/presentations/bh-europe-05/bh-eu-05-sensepost.pdf http://www.sensepost.com/research/wikto/ http://www.httrack.com/ http://net-square.com/httprint/ http://www.cirt.net/code/nikto.shtml http://johnny.ihackstuff.com/index.php?module=prodreviews Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés - Présentation BlackHat - Outil Wikto - Outil HtTrack - Outil HttPrint - Base et outil Nikto - Base GHDB Page 11/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 LES TECHNOLOGIES BASE DE DONNEES SQL SERVER2005 – EXTENSION DES FONCTIONNALITES DE SECURITE # Description Microsoft vient de publier deux articles fort intéressants concernant les fonctions de sécurisation qui devraient être intégrées à la version finale de ‘SQL Server 2005’. Don Kiely, l’auteur des articles, précise en effet que les tests et analyses qu’il a effectués portent sur une version non finalisée de cette application et que les informations fournies pourraient faire l’objet de modification sans préavis de la part de la société Microsoft. Quoiqu’il en soit, les évolutions présentées dans les deux articles démontrent une réelle volonté de mettre à disposition un système de gestion de base de données offrant un niveau de sécurité très poussé et applicable avec une bonne granularité. Publié dans le numéro d’été du magazine ‘TechNet’, le premier article intitulé ‘On the horizon: Improved data security in SQL Server 2005’ s’intéresse aux nouvelles fonctionnalités de sécurité du point de vue administratif. Microsoft continue ici sa politique de sécurisation par « défaut » – dite Trustworthy Computing initiative (Sécurisé par conception, sécurisé par défaut, sécurisé dans le déploiement) – engagée avec Windows XP en limitant au strict minimum requis les services installés et activés par défaut. Service Installé Actif Analysis Services non CLR Integration OUI NON Database Mirroring OUI NON Debugging OUI NON Integration Services non Nous reproduisons ci-contre le tableau récapitulant Notification Services non l’état des différents services à la suite de l’application Replication non de la procédure d’installation. Reporting Services non Service Broker OUI NON Comme le fait remarquer l’auteur, la surface d’attaque SQLeMail OUI NON en est d’autant réduite limitant ainsi le risque de compromission d’un serveur installé par défaut. SQLMail OUI NON Les thèmes suivants sont abordés dans cet article d’environ 4 pages: # Password policy # Granular permissions # Proxy accounts # User/Schema separation # Execution context # Encryption Complément du précédent, le second article du même auteur est Figure 2 Securable Objects in SQL Server 2005 intitulé ‘HACKERS BEWARE: Keep Bad Guys at Bay with the Advanced Security Features in SQL Server 2005’. Il a été publié dans le numéro du mois de Juin du magazine ‘MSDN’ et détaille certains des thèmes abordés dans l’article précédent en apportant quelques précisions techniques sur les mécanismes utilisés. Les thèmes suivants sont abordés dans cet article d’environ 8 pages: # Permissions # Catalog views and metadata visibility # User/Schema separation # Execution context # Encryption Ici encore, chaque thème est illustré, et complété si besoin, Fig.5 Encryption hierarchy in SQL Server 2005 d’exemples pratiques écrits en SQL. Ceci s’avère fort utile pour mieux appréhender l’intérêt mais aussi les limitations de certaines fonctionnalités dont celles autorisant le chiffrement des données, et le mécanisme de gestion des clefs associé. Nos lecteurs désireux d’approfondir ce sujet pourront aussi se référer à la série des quatre articles publiés en ligne sur le site ‘Database Journal’. On notera que ceux-ci ont été réalisés sur la base des fonctionnalités livrées avec la version Beta 2 du serveur SQL 2005: # Partie 1: Authentification # Partie 2: Autorisation # Partie 3: Chiffrement # Partie 4: Conclusion Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Page 12/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 # Complément d'information http://msdn.microsoft.com/msdnmag/issues/05/06/sqlserversecurity/default.aspx http://www.microsoft.com/technet/technetmag/issues/2005/05/DataSecurity/default.aspx http://www.databasejournal.com/features/mssql/article.php/3461471 http://www.databasejournal.com/features/mssql/article.php/3481751 http://www.databasejournal.com/features/mssql/article.php/3483931 http://www.databasejournal.com/features/mssql/article.php/3488046 - Article MSDN - Article TechNet - Article Database Journal partie 1 - Article Database Journal partie 2 - Article Database Journal partie 3 - Article Database Journal partie 4 VEILLE HNS - (IN)SECURE MAGAZINE # Description Début mai, le portail d’information Help Net Secure (‘HNS’) a annoncé la disponibilité du premier numéro d’un nouveau magazine nommé ‘(IN)SECURE Magazine’. Entièrement consacré à la sécurité des systèmes d’information, ce magazine est publié au format PDF et distribué gratuitement avec une périodicité non encore définie. Ce premier numéro dévoile une ligne éditoriale mélangeant des articles de fond (3), techniques mais accessibles à tous, à des articles de synthèse (7) dont quelques-uns prennent la forme d’une publicité plus ou moins déguisée. Dans ce premier numéro de 46 pages et de 10 articles, nous avons ainsi comptabilisé, en tout et pour tout, 4 encarts purement publicitaires et 2 articles publicitaires déguisés, un ratio qui reste parfaitement acceptable pour une publication gratuite et innovante. Au sommaire du N°1: N: Nouvelles commerciales 2p N Corporate news S: Synthèse 2p S Does Firefox really provide more security than Internet Explorer ? P: Article publicitaire 3p S Latest addition to our bookshelf T: Présentation technique 3p S Security risks associated with portable storage devices 1p P 10 tips on protecting customer information from identity theft 4p T Linux security - is it ready for the average user? 5p T How to secure your wireless network 1p P Considerations for preventing information leakage S An introduction to securing Linux with Apache, ProFTPd & Samba 11p 10p T Security vulnerabilities in PHP Web applications Les trois articles, classés par nous dans la catégorie ‘présentation technique’, sont d’un excellent niveau, et n’ont rien à envier à certaines publications commerciales. Le thème ‘latest addition to our bookshelf’ permet de prendre connaissance d’un coup d’œil des dernières nouveautés publiés par les maisons d’édition spécialisées dans la presse technique américaine (Prentice Hall, Addison-Wesley, Syngress, …). On notera qu’ici chaque ouvrage est présenté par un commentaire personnalisé et non une description simplement reprise sur le site de l’éditeur. (IN)SECURE magazine se positionne à mi-distance des magazines très techniques destinés aux spécialistes tels Phrack (gratuit, éd. en ligne), Alt2600 (payant, éd. papier) ou encore le remarquable MISC français (payant, éd. papier) et les publications destinées aux décideurs tel que le bulletin mensuel publié par Bruce Schneier (gratuit, éd. en ligne) ou le très intéressant magazine CSO (payant, éd. En ligne) pour ne citer que les meilleures sources d’information actuellement disponibles sous une forme structurée. # Complément d'information http://www.net-security.org/dl/insecuremag/INSECURE-Mag-1.pdf Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés - (IN)SECURE magazine N°1 04/05 Page 13/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 IN NF FO OR RM MA AT TIIO ON NS SE ET T LE EG GIIS SL LA AT TIIO ON N LES INFORMATIONS ORGANISATIONS VOIP – CREATION DE L’ALLIANCE VOIPSA # Description En février dernier, un communiqué de presse annonçait la création de l’alliance pour la sécurité de la voix sur IP désignée par le sigle ‘VoIPSA’. A l’heure où la technologie VoIP atteint sa phase de maturité, nombre de travaux sont publiés qui mettent en évidence la vulnérabilité relative de cette technologie, du moins lorsqu’elle est utilisée sans précaution et sur des infrastructures non protégées ou disposant d’accès publics. Ainsi, le terme de VoIP Spam a fait son apparition il y a quelque mois aux USA pour désigner les campagnes de télémarketing tirant parti de ce support, et des technologies d’accès facilitant l’automatision de l’ensemble du traitement. La publication il y a un an de l’utilitaire ‘VoMit’ suivi quelques mois après par le remarquable outil ‘VoIPPong’ a jeté un réel doute sur le niveau de confidentialité réellement offert par la majorité de protocoles standardisés lorsqu’ils sont utilisés sur un réseau d’entreprise. Conscient du risque posé par la diffusion d’une technologie non sécurisée, les principaux acteurs du marché de la téléphonie sur Internet ont décidé de prendre le problème à bras le corps en s’associant autour d’un groupe d’intérêt dénommé Voice Over Ip Security Alliance. Bizarrement, si celle alliance regroupe quelques 50 éditeurs, fabricants de matériels de téléphonie sur IP et fournisseurs d’accès tous américains à l’exception des sociétés européennes Siemens et Alcatel, les plus grands fournisseurs d’équipement de connexion, dont Cisco et Juniper, n’ont pas encore rejoint l’alliance. Le 28 mars dernier était nommé le comité de direction. Cinq comités techniques étaient définis à cette occasion Security Requirements, Best Practices, Testing, Security Research, Education & Community outreach – pilotés par des spécialistes reconnus du domaine. Une liste de diffusion accessible à tous a été mise en place qui permet de prendre connaissance de l’évolution des deux axes de recherche considérés comme prioritaires – Threat Taxonomy et Security Requirements - et de collaborer à l’avancement des travaux. La revue ‘IntelligenceOnLine’ a publié à ce sujet un intéressant diagramme mettant en évidence le réseau de relations existant entre trois responsables de comité et différentes officines et sociétés œuvrant activement dans le domaine de la sécurité. En se connectant sur le site ‘IntelligenceOnLine’, nos lecteurs pourront consulter ce diagramme, sans pour autant y accorder trop d’importance étant donné le nombre d’acteurs cités mais n’ayant aucun lien direct avec l’alliance VoIPSA. # Complément d'information http://www.voipsa.org/ http://vomit.xtdnet.nl/ http://www.enderunix.org/voipong http://www.intelligenceonline.com/NETWORKS/FILES/497/497.asp?rub=networks - Alliance VoIPSA - VoMit : outil d’extraction des flux audio - VoIPPong : outil d’extraction des flux audio - Réseau de relations tissées par VoIPSA CHIFFREMENT CHALLENGE RSA-200 # Description En 1991, la société RSA Security lançait à la communauté des crypto-analystes une série de 41 défis intitulés ‘RSA Factoring challenge’ dont l’objectif consistait en la factorisation – réduction sous la forme des deux facteurs premiers - de nombres dont la longueur s’échelonnait de 100 à 500 chiffres par pas de 10 chiffres. En mai 2001, la société RSA Security annonçait l’abandon de cette série de défis au profit d’une nouvelle série de 8 défis dotés cette fois-ci d’une prime de $10 000 à $200 000, la référence numérique identifiant désormais la taille du nombre composite exprimée en bits et non plus en chiffres décimaux. Ce n’est pas pour autant que les crypto-analystes allaient abandonner la toute première série, et le 9 mai dernier, une équipe de l’université de Bonn annonçait avoir emporté le défi référencé RSA-200 correspondant à la factorisation d’un nombre de 663 bits. Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Page 14/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 Série de Défis Ancienne Nouvelle Taille digit/bits RSA-100 100 / NA RSA-110 110 / RSA-120 120 / Date Durée estimée 1991 NA NA 1992 NA NA 06/1993 NA RSA-129 129 / 426 04/1994 ~ 32 semaines RSA-130 130 / 428 04/1996 ~ 33 semaines RSA-140 140 / 465 02/1999 ~ RSA-155 155 / 512 08/1999 ~ 30 semaines RSA-160 9 semaines 160 / 530 04/2003 ~ 2 semaines RSA-576 174 / 576 12/2003 ~ ? semaines RSA-640 193 / 640 RSA-200 200 / 663 Non Factorisé 05/2005 Dotation $20 000 ~ 66 semaines RSA-704 212 / 704 Non Factorisé $30 000 RSA-768 232 / 768 Non Factorisé $50 000 RSA-896 270 / 896 Non Factorisé $75 000 RSA-1024 309 /1024 Non Factorisé $100 000 RSA-1536 463 / 1536 Non Factorisé $150 000 RSA-2048 617 / 2048 Non Factorisé $200 000 Le message transmis par l’équipe indique que la méthode de crible dite ‘General Number Field Sieve’ ou ‘GNFS’ a été encore une fois employée avec succès. La phase de tri a été distribuée sur une multitude de systèmes durant environ 44 semaines. Effectuée sur un unique processeur Opteron à 2.2Ghz, cette seule phase aurait nécessité environ 55 années de calcul. La phase de réduction a nécessité la mise en œuvre d’un cluster de 80 Opterons à 2.2Ghz interconnectés par un réseau Gigabit. La factorisation d’une clef RSA de 512 bits n’est pas encore à la portée de tout un chacun même si les améliorations des performances des grilles de calcul et l’apparition de dispositifs de factorisation spécialisés réalisables par tout bon bricoleur laisse entendre qu’il est de plus en plus raisonnable d’utiliser des clefs de 1024 bits dans le cas de la protection de documents sensibles sur une longue période de temps et de clefs racines de 2048 bits. Pour conclure, rappelons que le 42ième nombre de Mersenne – un nombre premier de la forme ‘2p-1’ - a été découvert le 18 février dernier par l’un des 78000 systèmes privés participant à la grille de calcul ‘GIMPS’ (Great Internet Mersenne Prime Search). Il s’agit du nombre M25964951 (2^25964951-1), le plus grand nombre premier connu à ce jour, constitué de quelques 7 816 230 chiffres ! # Complément d'information http://www.crypto-world.com/announcements/rsa200.txt http://www.crypto-world.com/FactorRecords.html http://www.crypto-world.com/FactorAnnouncements.html http://www.mersenne.org/prime.htm - Annonce du résultat du défi RSA-200 - Liste des records de factorisation - Historique des dernières annonces - Grille de calcul des nombres de Mersenne INCIDENTS HOMELAND SECURITY - CIDDAC # Description Une nouvelle organisation à but non lucratif vient de voir le jour sous l’impulsion du gouvernement américain dont l’objectif est de mettre en place un système de traitement des incidents de sécurité entièrement automatisé. Le CIDDAC, sigle de ‘Cyber Incident Dectection Data Analysis Center’, est placé sous le contrôle du FBI et du DHS, les membres du comité de direction appartenant, eux, à l’industrie. Les données acquises par des sondes, dites ‘RCADS’ (Real-Time Cyber Attack Detection Sensors), positionnées sur les réseaux des membres adhérents à l’organisation sont collectées puis automatiquement traitées par le centre d’opération du CIDDAC pour produire une mesure de la menace mise à jour en temps réel. L’accès à cette organisation n’est ouvert qu’aux entités gouvernementales américaines et autres structures publiques ou privées considérées comme faisant partie des infrastructures à risque. L’abonnement, d’un montant estimé à $10000 par an, comprendra la fourniture d’une sonde RCADS, le service de surveillance 24/7/365, un support téléphonique, un service d’alerte et la fourniture de rapports de tendance. Le centre des opérations du CIDDAC, situé dans les locaux de l’institut d’analyse des menaces stratégiques de l’université de Pennsylvanie, a été ouvert le 20 avril dernier. Les premiers tests de l’infrastructure en cours d’intégration devraient être effectués en octobre prochain pour une mise en service fin décembre. Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Page 15/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 Face à la concurrence des systèmes de gestion des incidents – ISAC ou Information Sharing and Analysis Center – mettant à contribution une intervention humaine dans le processus de traitement, le CIDDAC met en avant une quasi-totale automatisation autorisant une réaction extrêmement rapide. Pour notre part, nous n’avons jamais été convaincu par les approches faisant la part belle à l’automatisation au détriment de l’expertise humaine. Un tel système pourrait bien mener à des extrémités telles que celles constatées avec le système de prévention actuellement mise en œuvre dans le domaine de la sécurité aérienne, où le taux de faux positifs semble devenir bien préoccupant quand celui-ci conduit à détourner ou interdire un vol commercial. # Complément d'information http://www.ciddac.org/qa.pdf - Présentation du CIDDAC SYSTEMES INDUSTRIELS NISCC – PROTECTION DES SYSTEMES DE CONTROLE INDUSTRIELS (SCADA) # Description Le NISCC, l’officine gouvernementale responsable de la coordination des informations de sécurité, vient de mettre à disposition publique un guide rédigé par le BCIT, l’Institut de Technologie de la Colombie Britannique. Intitulé ‘Good practice Guide on Firewall Deployement for SCADA & Process Control Networks’, ce guide de 42 pages s’intéresse aux bonnes pratiques de sécurité appliquées aux systèmes de contrôle industriel. Modélisation d’un système de contrôle industriel Désignés par les sigles SCADA (Supervisory Control And Data Acquisition), ou encore ICS (Industrial Control Systems), ces systèmes étaient à l’origine constitués de ‘simples’ automates programmables interconnectés par le biais de réseaux industriels temps réels spécialisés, généralement indépendants et isolés des réseaux informatiques. L’évolution de ces infrastructures a suivi celle des technologies de l’informatique pour aboutir depuis quelques années à des systèmes de contrôle constitués d’équipements informatiques classiques interconnectés par le biais de réseaux locaux, dans bien des cas, des réseaux IP tôt ou tard connectés à l’Internet. La problématique de la sécurité de ces systèmes, jusqu’alors partiellement assurée par la spécificité des équipements et des réseaux de données utilisés, devient celle de la sécurisation d’un système d’information classique mais affecté d’exigences spécifiques au sein d’une infrastructure de communication ouverte et fortement interconnectée. S’il apparaît fort pertinent de pouvoir piloter un processus industriel depuis un poste de travail lambda en s’appuyant sur les technologies issues de l’Internet, dont les mécanismes de présentation offerts par un service WEB, il s’avère extrêmement risqué de le faire dans un environnement interconnecté sans disposer de mécanismes de contrôle performants et adaptés au niveau du risque. Il y a quelques années encore, certains petits malins avaient découvert qu’il était parfaitement possible de manipuler à distance, via un accès public, le système de gestion téléphonique de certains grands opérateurs américains, ou encore les systèmes d’affichage d’information mis en place dans certaines grandes agglomérations. En France, une rumeur à longuement circulé sur la possibilité de se connecter depuis un quelconque accès Internet sur le serveur WEB embarqué dans les systèmes fixes de contrôle de vitesse automatique à la seule condition de connaître l’adresse IP de l’équipement raccordé en ADSL … Plus simple à vérifier, et toujours d’actualité, on citera le véritable problème posé par l’adoption du standard de communication IP, et plus précisément du protocole HTTP, par les dispositifs de surveillance périmétriques telles que les caméras de surveillance ! Bien souvent simplement connectés, dans leur configuration de base, à un réseau IP, voire à l’Internet, ces éléments essentiels d’un système de contrôle se retrouvent listés dans les moteurs d’index offrant alors à tout un chacun la possibilité de les inventorier et de visualiser le périmètre surveillé, voire même d’en modifier la définition dans le cas d’équipements télécommandables. Le guide publié par le NISCC est destiné à aider les personnels, en charge de la gestion et de l’interconnexion de systèmes de contrôle industriel, à définir une infrastructure à base de pare-feu permettant de renforcer l’isolation des réseaux de production et de gestion lorsque ceux-ci ne peuvent être physiquement isolés. L’objectif est de réduire le risque d’une atteinte à l’intégrité et à la disponibilité du système de contrôle, et par conséquent des processus gérés, par le biais des réseaux de raccordement non directement contrôlés. Ainsi, après un rappel des différentes catégories d’équipements de filtrage, le guide aborde le point de clef, celui de la Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Page 16/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 définition des exigences applicables aux systèmes de contrôle industriel en matière de sécurité. Sont ensuite présentées différentes infrastructures types destinées à assurer le cloisonnement du système vis à vis des autres systèmes partageant tout ou partie de l’infrastructure de communication. Une métrique exprimée sur trois axes – Sécurité, Facilité d’administration et Extensibilité - permet de comparer les avantages et inconvénients des différentes infrastructures. Les principes fondamentaux, desquels découleront les règles de filtrage positionnées sur les pare-feux, sont ensuite détaillés. Le futur est abordé brièvement dans le dernier chapitre par la présentation de quelques nouvelles approches plus aptes à traiter les spécificités protocolaires des systèmes de contrôle industriel. Sont ainsi cités le pare-feu dédié au protocole industriel MODBUS/TCP développé en environnement LINUX et les travaux menés par le British Columbia Institute of Technology (l’éditeur du guide) dans le domaine des micro pare-feu distribués. La table des matières de ce guide de 42 pages est la suivante: 1 Introduction 2 What is a firewall? 2.1 Types of firewalls 2.2 Classes of firewalls 2.2.1 Packet filter firewalls 2.2.2 Stateful firewalls 2.2.3 Application proxy firewalls 2.2.4 Deep packet inspection firewalls 2.3 Other firewall services 3 Overall security goals of PCN/SCADA firewalls 4 Common SCADA/PCN segregation architectures 4.1 Dual-homed computers 4.2 Dual-homed server with personal firewall software 4.3 Packet filtering router/layer-3 switch between PCN and EN 4.4 Two-port firewall between PCN and EN 4.5 Router/firewall combination between PCN and EN 4.6 Firewall with demilitarized zones between PCN and EN 4.7 Paired firewalls between PCN and EN 4.8 Firewall and vlan-based process network combinations 4.9 Summary of firewall architectures 5 Firewall implementation and configuration 5.1 General firewall policies 5.2 Rules for specific services 5.2.1 Domain name service (DNS) 5.2.2 Hyper text transfer protocol (HTTP) 5.2.3 File transfer protocol (FTP) and trivial file transfer protocol (TFTP) 5.2.4 Telnet 5.2.5 Simple mail transfer protocol (SMTP) 5.2.6 Simple network management protocol (SNMP) 5.2.7 Distributed component object model (DCOM) 5.2.8 Scada and industrial protocols 5.3 Network address translation (NAT) 5.4 Specific pcn firewalls issues 5.4.1 Data historians 5.4.2 Remote support access 5.4.3 Multicast traffic 6 Management of PCN/SCADA firewalls 7 Special or future technologies 7.1 Scada protocol aware firewalls 7.2 Distributed micro-firewalls 7.3 Quality of service (QoS) 7.4 One way communication paths Acronyms References Le lecteur intéressé par ce sujet pourra relire avec intérêt le profil de protection publié par le NIST américain sous la référence ‘SPP-ICS / System Protection Profile – Industrial Control Systems ’ (Rapport N°77 – Décembre 2004). # Complément d’information http://www.niscc.gov.uk/niscc/docs/re-20050223-00157.pdf http://www.isd.mel.nist.gov/projects/processcontrol/SPP-ICSv1.0.pdf http://modbusfw.sourceforge.net/ Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés - NISCC: Guide d’architecture (UK) - NIST: Profil de protection (USA) - Filtrage du protocole ModBUS sous LINUX Page 17/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 ALERTES CAIF – COMMON ANNOUNCEMENT INTERCHANGE FORMAT V1.2 # Description En 2002, le CERT de l’université de Stuttgart initiait le projet ‘CAIF’ motivé par la nécessité de disposer d’un format normalisé d’alerte de sécurité générique permettant de rendre réutilisables les alertes diffusées par tout un chacun, extensibles et facilement manipulables par des systèmes de traitement automatisés. Une première version du cahier des charges était ainsi diffusée en janvier 2003 suivie en février 2004 de la première version de la spécification du format, le DTD correspondant étant livré en mai 2004. Début 2005, un travail conséquent de restructuration a été engagé menant à la mise à disposition de la version 1.2 puis de la version 1.2.2 en mai dernier des spécifications et du DTD associé. L’analyse de ce DTD à l’aide de l’excellent outil Turbo XML de la société TIBCO permet de visualiser la structure CAIF laquelle utilise 80 définitions spécifiques contenant au total quelques 152 attributs. Ce modèle de données apparaît bien riche au regard de l’objectif annoncé par le RUS-CERT de disposer d’un modèle simple et aisément manipulable. Cela s’explique par le fait que la structure proposée est notablement alourdie par la définition de quelques 31 éléments ‘secondaires’ uniquement destinés à décrire la présentation des données utiles ! Ainsi, le DTD (re)définit des éléments de mise en valeur (b:bold, vb:very bold, …) et de structuration (table, tr: table row, p: paragraph, pre, ..) du texte, choix justifié aux chapitres 9 (‘Text Markup Elements’) et 10 (‘Document Structuring Elements’). L’auteur de la spécification argumente qu’il lui est apparu nécessaire de spécifier des éléments de présentation ‘étendus’ pour assurer un rendu correct dans différents formats dont HTML et PDF. C’est ainsi qu’un élément ‘menu’ est défini constitué de deux attributs dont l’attribut ‘style’ qui permet de décrire toutes les formes de menu envisageables dans l’optique louable, mais oh combien complexe, de documenter, par exemple, les étapes requises pour appliquer un correctif ! L’approche du RUS-CERT est loin d’être unique comme le précise la très intéressante Annexe A du document de spécification des besoins consacrée à la comparaison des travaux similaires menés de part et d’autre dont: # Le système de référencement d’une vulnérabilité mis en place par le MITRE sous le sigle ‘CVE’, # La base de données ‘ICAT’ s’appuyant sur le système CVE et gérée par le NIST, # L’excellente proposition de standard émise en 1999 par Tristan Debeaupuis hélas resté en l’état (Rapport N°11 – Juin 1999). L’analyse de cette dernière étude par l’auteur de CAIF confirme son objectif de disposer d’une structure unique et générique destinée à être prioritairement manipulée par les systèmes d’information au détriment de la lisibilité de l’information par un être humain. Force est de constater qu’en effet l’exemple pratique proposé pour valider le DTD s’avère absolument illisible par le biais d’un navigateur. Il s’avère par contre fort utile pour appréhender l’utilisation de certains éléments de présentation et de structuration. L’extrait de l’exemple de validation du DTD présenté ci-dessus met ainsi en évidence la capacité du modèle à résoudre le problème du multilinguisme et de la mise en exergue de certaines informations. Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Page 18/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 # Complément d'information http://cert.uni-stuttgart.de/projects/caif/ http://cert.uni-stuttgart.de/projects/caif/draft-weimer-goebel-caif-requirements.php http://cert.uni-stuttgart.de/projects/caif/draft-goebel-caif-format.php https://datatracker.ietf.org/public/idindex.cgi?command=id_detail&id=4217 - Site du projet CAIF - Spécification de besoins - DTD modèle de données - Draft IETF détruit pour obsolescence ESISAC – MISE A JOUR DES RECOMMANDATIONS DE SECURITE DU SECTEUR DE L’ENERGIE ELECTRIQUE # Description L’ESISAC (Electricity Sector Information Sharing and Analysis Center) est l’une des nombreuses organisations gouvernementales ayant vu le jour aux USA après les évènements du 11 septembre. Parmi les documents publiés par cette officine figure une série de recommandations de sécurité applicables dans le contexte des opérateurs de transport et de distribution de l’énergie électrique, un secteur ouvert à la concurrence aux Etats-Unis. Ces recommandations prennent la forme de petits guides thématiques accompagnés d’un document de présentation. Deux nouveaux guides viennent d’être approuvés qui portent sur la gestion des correctifs et les bonnes pratiques d’interconnexion des réseaux des systèmes de contrôle aux autres réseaux. Intitulé Guideline Overview Vulnerability and Risk Assessment Emergency Plans Continuity of Business Practices Communications Physical Security Physical Security - Substations Cyber Security - Risk Management Cyber Security - Access Controls Cyber Security - IT Firewalls Cyber Security - Intrusion Detection Employment Background Screening Threat and Incident Reporting Protecting Potentially Sensitive Information Securing Remote Access to Electronic Control & Protection Systems Patch Management for Control Systems Control System - Business Network Electronic Connectivity Date édition 14/06/2002 14/06/2002 14/06/2002 14/06/2002 14/06/2002 14/06/2002 14/06/2002 14/06/2002 14/06/2002 14/06/2002 14/06/2002 14/06/2002 10/06/2003 10/06/2003 15/10/2004 3/05/2005 3/05/2005 Pages 4 5 5 4 4 4 9 3 4 2 2 4 7 9 5 6 8 Toutes ces recommandations s’appuient sur les principes classiques de la sécurité - défense en profondeur, isolation, réduction des privilèges, … - adaptés au contexte particulier d’un environnement critique et fortement dépendant de systèmes de contrôle industriels. On notera à ce propos l’amusante utilisation du langage spécifique aux électriciens, à savoir le terme ‘air gapped' pour désigner l’isolation physique d’un système ou d’un réseau, terme ensuite adapté en ‘e-gapped’ pour désigner une interconnexion sécurisée entre réseaux ou systèmes. Le guide le plus étonnant reste cependant celui publié en 2002 sous le titre ‘Employment Background Screening’, guide argumentant en faveur d’un contrôle strict - et pour le moins poussé dans le cadre d’un emploi en secteur privé - des références de chaque candidat à un emploi. On y verra une conséquence du programme de sécurité intérieure déclenché aux USA après les évènements du 11 septembre 2001. A ce sujet, il apparaît qu’un véritable marché, ouvert à tous et non plus aux seuls officines spécialisées, se soit développé dans ce domaine aux Etats-Unis. Le lecteur intéressé pourra aller consulter le site ‘InteliUS’ pour se faire une idée des risques découlant de la corrélation d’informations obtenues grâce à l’interconnexion, et à la mise à disposition publique, de bases de données privatives. # Complément d'information http://www.esisac.com/library-guidelines.htm http://www.esisac.com/publicdocs/Guides/SecGuide-PatchMgt.pdf http://www.esisac.com/publicdocs/Guides/SecGuide-ElectronicSec.pdf - Liste des guides - ESISAC: Guide de gestion des correctifs - ESISAC: Guide de gestion des risques SECURISATION NSA - CATALOGUE DES GUIDES DE SECURITE # Description La NSA a publié le guide de sécurisation ‘Guide to Secure Configuration of Solaris 9’ ainsi qu’une mise à jour de son document ‘Outlook E-mail Security in the Mids Malicious Code Incidents’ précédemment intitulé ‘Outlook E-mail Security in the Wake of Recent Malicious Code Incidents’. Nous proposons en conséquence une mise à jour de notre tableau de synthèse. I Document d’information et/ou de synthèse Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés $ Document récemment mis à jour Page 19/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 G R P Guide de mise en œuvre et/ou manuel d’utilisation Recommandations et principes élémentaires Procédures et mise en application % O Document nouvellement publié Document obsolète Windows XP Système G Guide to Securing Microsoft Windows XP V1.1 01/12/2003 V1.0 V1.08 19/04/2001 02/03/2001 V1.1 V1.21 V1.01 V1.0 V1.0 V1.1 V1.02 V1.02 13/10/2001 01/12/2003 26/11/2002 09/04/2001 01/01/2001 27/06/2001 01/05/2001 23/01/2001 V1.0 V1.0 06/03/2001 01/12/2000 V2.11 V2.02 V3.1 10/10/2001 10/10/2001 08/04/2002 V1.5 V1.4 V1.3 V1.0 V1.0 V1.2 08/08/2002 16/01/2004 19/07/2002 02/07/2001 13/08/2001 24/11/2003 Guide to Securing Microsoft Windows NT Networks V4.2 18/09/2001 Guide to the Secure Configuration of Solaris 8 Guide to Secure Configuration of Solaris 9 Apple Mac OS X v10.3.x Security configuration guide V1.0 V1.0 V1.1 09/09/2003 16/07/2004 21/12/2004 Router Security Configuration Guide, Executive Summary Router Security Configuration Guide Cisco IOS Switch Security Configuration Guide V1.0c V1.1b V1.0 10/02/2003 10/02/2003 21/06/2004 V3.1 V3.0 V1.1 ND ND 30/12/2004 07/01/2002 20/12/1999 08/02/2002 05/02/2004 ND V1.73 V1.33 V1.33 V1.12 V1.14 V1.1 V1.0 V1.5 V1.1 V1.2 V1.0 V1.4 ND 03/07/2001 04/03/2002 04/03/2002 24/04/2001 05/10/2001 18/02/2002 07/2002 15/01/2003 04/2003 30/10/2003 01/04/2004 22/09/2004 Windows 2000 Références I I Microsoft Windows 2000 Network Architecture Guide Group Policy Reference Systèmes G I P P P P P R Guide to Securing Microsoft Windows 2000 Group Policy Guide to Securing Microsoft Windows 2000 Group Policy: Security Configuration Tool Guide to Securing Microsoft Windows 2000 File and Disk Resources Guide to Securing Microsoft Windows 2000 DNS Guide to Securing Microsoft Windows 2000 Encrypting File System Guide to Windows 2000 Kerberos Settings Microsoft Windows 2000 Router Configuration Guide Guide to Securing Windows NT/9x Clients in a Windows 2000 Network Annuaire I I Guide to Securing Microsoft Windows 2000 Schema Guide to Securing Microsoft Windows 2000 Active Directory Certificats R R R Guide to the Secure Config. & Admin. of Microsoft W2K Certificate Services Guide to the Secure Config. & Admin. of Microsoft W2K Certificate Services (check) Guide to Using DoD PKI Certificates in Outlook 2000 Services annexes I P P P P P Guide to Secure Configuration & Administration of Microsoft ISA Server 2000 Guide to the Secure Configuration & Administration of Microsoft IIS 5.0 Guide to Securing Microsoft Windows 2000 DHCP Guide to Securing Microsoft Windows 2000 Terminal Services Microsoft Windows 2000 IPsec Guide Guide to the Secure Configuration and Administration of Microsoft Exchange 2000 Windows NT P Unix P P P Cisco R P P Contenus exécutables $ O O R R Outlook E-mail Security in the Mids (Wake of Recent) Malicious Code Incidents Guide to the Secure Configuration and Administration of Microsoft Exchange 5 Microsoft Office 97 Executable Content Security Risks and Countermeasures Microsoft Office 2000 Executable Content Security Risks and Countermeasures Microsoft Office 2003 Executable Content Security Risks and Countermeasures Documents de Support I O O O O R R R R R R R R Defense in Depth Guide to the Secure Configuration & Administration of iPlanet Web Serv Ent. Ed. 4.1 Guide to the Secure Conf. and Admin. of Microsoft IIS 4.0 Guide to the Secure Conf. and Admin. of Microsoft IIS 4.0 (Checklist Format) Secure Config. of the Apache Web Server, Apache Server V1.3.3 on Red Hat Linux 5.1 Microsoft NetMeeting 3.0 Security Assessment and Configuration Guide The 60 Minute Network Security Guide Guide to Securing Microsoft Internet Explorer 5.5 Using Group Policy Guide to the Secure Configuration and Administration of Microsoft SQL Server 2000 Guide to Securing Netscape Navigator 7.02 Guide to the Secure Configuration and Administration of Oracle9i Guide to Sun Microsystems Java Plug-in Security Guide to Microsoft .NET Framework Security # Complément d'information http://www.nsa.gov/snac/ - Portail d’accès aux guides CIS - CATALOGUE DE PROCEDURES ET DE TESTS # Description Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Page 20/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 Le CIS – Center for Internet Security – a publié ses recommandations de sécurisation pour les environnements Oracle 9i et 10g, Solaris 10, AIX 4.3.2, 4.3.3 et 5.1, Mac OS/X 10.3 et pour les réseaux Sans-Fils. Les outils d’application sont en cours de développement et seront publiés d’ici la fin du mois de juin. P D V Jeu de test planifiée jeu de test disponible Nouvelle version P1 P2 M Recommandations Systèmes M D D D D D D M D D D $ P $ P $ P Windows NT Windows 2000 Windows 2000 Serveur Windows 2000 Professional Windows XP Windows 2003 Domain controllers Windows 2003 Member Servers Linux HP-UX FreeBSD 4.8 et plus Solaris 2.5.1 - 9 Solaris 10 AIX 4.3.2, 4.3.3 et 5.1 Mac OS/X 10.3 et sup. P1 P1 P2 P2 P1 P1 P1 P1 P1 P1 P1 P1 P1 P1 Recommandations Equipements réseaux $ P Wireless Networks D V P P CISCO IOS routeurs CISCO PIX CISCO CAR CheckPoint FW1/VPN1 Recommandations Applications $ P Oracle base de donnée 9i et 10g D D P P Profil N°1 – minimal, conservateur Profil N°2 – étendu, protectionniste Mise à jour P1 P1 P1 P1 P1 P1 P1 P1 Oracle base de donnée 8i Apache WEB serveur Microsoft IIS Web Serveur Microsoft SQL Serveur P2 P2 P2 P2 P2 P2 P2 P2 P2 V1.0.5 V1.2.2 V2.2.1 V2.2.1 V1.3 V1.1 V1.1 V1.0.1 V1.3.0 V1.0.4 V1.3.0 V2.0 V1.0 V1.01 V1.0 V2.2 V2.2 V2.0 V1.1 V1.0 Ces séries de tests sont déroulées à l’aide d’outils spécialisés pour la plate-forme cible à l’exception de la série de test des équipements réseaux. Outils d’application D $ D D D D D D D Environnement Windows Environnement LINUX Environnement HP-UX Environnement Oracle 8i Environnement Solaris 2.5.1- 9 Environnement CISCO Environnement FreeBSD Environnement Apache - CIS-Win CIS-scan CIS-scan CIS-scan CIS-scan CIS-Rat CIS-scan CIS-scan exe rpm pkg java pkg tar tar tar V2.1.12 V1.6.8 V1.5.0 V1.5.0 V2.2 V1.5.5 V2.08 WIN32 LINUX HP-UX WIN32 SOLARIS UNIX FreeBSD LINUX • Complément d'information http://www.cisecurity.org/ - Accès aux tests et outils associés NIST – GUIDES ET CHECKLISTS DE SECURISATION # Description La mise à jour d’un guide, de dix checklists et l’ajout du document nous conduit à mettre à jour notre synthèse: STIG [12 mises à jour, 1 nouveau document] APPLICATIONS • Applications (Générique) ESM (Générique + Oracle, SQL Server) 1.0 29/09/04 # Database (Générique + Oracle, SQL Server) 7.1 29/10/04 VoIP 2.0 30/12/04 ENVIRONNEMENTS # Desktop (Windows uniquement) 2.1 29/10/04 Secure Remote Computing 1.1.0 14/02/03 Sharing peripheral across the network 1.0.1 11/03/05 RESEAU # Network (Générique) 5.2 29/09/04 # Network (Draft) 6.2.1 04/05/04 # Network Comment Matrix 6.1.2 04/05/04 Cisco (Supplément) Juniper (Supplément) Wireless 3.1 15/04/04 Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés ‘Network STIG Comment Matrix’ Checklist 2.1.6 15/04/05 DOC 7.1 1.1 15/04/05 DOC 30/07/04 DOC PDF DOC PDF 1.1.9 15/04/05 DOC PDF PDF DOC 5.2.4 6.2 04/04/05 DOC 28/02/05 PDF 5.2.1 5.2.1 3.1.1 01/06/04 DOC 25/06/04 DOC 11/01/04 DOC PDF PDF PDF PDF Page 21/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 Wireless (Draft) 4.0 Wireless LAN Security Framework SERVICES DNS 2.2 # Web Servers (Générique + IIS, Netscape, Apache) 5.1 SYSTEMES OS/390 MVS 5.0 OS/390 MVS (Draft) 5.1 # OS/390 Logical Partition 2.2 OS/390 RACF OS/390 ACF2 OS/390 TSS MacOS X 1.1 SOLARIS (2.6 à 2.9) TANDEM 2.2 UNISYS 7.0 UNIX/LINUX 4.4 VM IBM 2.2 # VMS VAX • Windows 2000 Windows 2000 (DOT) • Windows 2003 • Windows XP 1.8 • Windows NT (NSA) 3.1 Windows NT/2000/XP Addendum 4.1 TECHNOLOGIES Peripheral 1.0 Biométrie (DOD) 1.2 15/03/05 PDF 16/01/04 PDF 1.0 10/02/05 PDF 11/03/05 PDF 29/10/04 PDF 2.1.1 4.1.6 12/05/04 DOC 22/04/05 DOC 2.1.2 4.1.4 4.1.4 4.1.4 1.1.1 2.1.1 6.1.2 4.4.0 2.1.1 2.2 4.112 4.0.0 4.112 4.115 25/06/04 29/09/04 29/09/04 29/09/04 18/02/05 20/01/04 02/09/03 15/10/03 15/03/05 07/03 01/01/05 22/04/05 20/01/04 22/04/05 22/04/05 22/04/05 26/07/04 DOC 21/01/05 PDF 04/03/05 PDF 15/06/04 PDF 04/03/05 15/01/05 15/09/03 04/03/05 PDF PDF DOC PDF 12/01/03 PDF 26/12/02 DOC 26/02/04 DOC 29/09/04 PDF 23/08/04 DOC 1.21 DOC DOC DOC DOC DOC DOC DOC DOC DOC DOC DOC DOC DOC DOC DOC DOC 23/08/04 DOC # Complément d'information http://csrc.nist.gov/pcig/cig.html - Catalogue des STIG et Checklists NIST – ETAT DES GUIDES DE LA SERIE SP800 # Description La finalisation des guides SP800-38B et SP800-78 ainsi que la mise à jour du SP800-73 nous amènent à mettre à jour notre tableau récapitulatif des publications récentes de la série spéciale ‘SP800’. SP800-26 Security Self-Assessment Guide for Information Technology Systems SP800-27a Engineering Principles for Information Technology Security – Rev A SP800-28 Guidelines on Active Content and Mobile Code SP800-29 Comparison of Security Reqs for Cryptographic Modules in FIPS 140-1 & 140-2 SP800-30 Underlying Technical Models for Information Technology Security – Rev A SP800-31 Intrusion Detection Systems SP800-32 Introduction to Public Key Technology and the Federal PKI Infrastructure SP800-33 Underlying Technical Models for Information Technology Security SP800-34 Contingency Planning Guide for Information Technology Systems SP800-35 Guide to Selecting IT Security Products SP800-36 Guide to IT Security Services SP800-37 Guidelines for the Security C&A of Federal Information Technology Systems SP800-38A Recommendation for Block Cipher Modes of Operation – Method and Techniques SP800-38B Recommendation for Block Cipher Modes of Operation - RMAC SP800-38C Recommendation for Block Cipher Modes of Operation - CCM SP800-40 Applying Security Patches SP800-41 Guidelines on Firewalls and Firewall Policy SP800-42 Guidelines on Network Security testing SP800-43 System Administration Guidance for Windows2000 SP800-44 Guidelines on Securing Public Web Servers SP800-45 Guide On Electronic Mail Security SP800-46 Security for Telecommuting and Broadband Communications SP800-47 Security Guide for Interconnecting Information Technology Systems SP800-48 Wireless Network Security: 802.11, Bluetooth™ and Handheld Devices SP800-49 Federal S/MIME V3 Client Profile SP800-50 Building an Information Technology Security Awareness & Training Program SP800-51 Use of the Common Vulnerabilities and Exposures Vulnerability Naming Scheme SP800-52 Guidelines on the Selection and Use of Transport Layer Security SP800-53 Recommended Security Controls for Federal Information Systems SP800-55 Security Metrics Guide for Information Technology Systems Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés [F] [F] [F] [F] [F] [F] [F] [F] [F] [F] [F] [F] [F] [F] [F] [F] [F] [F] [F] [F] [F] [F] [F] [F] [F] [F] [F] [D] [F] [F] 11/2001 06/2004 10/2001 10/2001 01/2004 11/2001 02/2001 12/2001 06/2002 10/2003 10/2003 04/2004 12/2001 05/2005 05/2004 09/2002 01/2002 10/2003 11/2002 09/2002 09/2002 09/2002 09/2002 11/2002 11/2002 03/2003 09/2002 09/2004 02/2005 07/2003 Page 22/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 SP800-56 SP800-57 SP800-58 SP800-59 SP800-60 SP800-61 SP800-63 SP800-64 SP800-65 SP800-66 SP800-67 SP800-68 SP800-70 SP800-72 SP800-73 SP800-76 SP800-77 SP800-78 Recommendation on Key Establishment Schemes Recommendation for Key Management, Part 1: General Guideline Recommendation for Key Management, Part 2: Best Practices Security Considerations for Voice Over IP Systems Guideline for Identifying an Information System as a National Security System Guide for Mapping Types of Information & Information Systems to Security Categories Computer Security Incident Handling Guide Recommendation for Electronic Authentication Security Considerations in the Information System Development Life Cycle Recommended Common Criteria Assurance Levels An Introductory Resource Guide for Implementing the HIPAA Security Rule Recommendation for the Triple Data Encryption Algorithm (TDEA) Block Cipher Guidance for Securing Microsoft Windows XP Systems for IT Professionals The NIST Security Configuration Checklists Program Guidelines on PDA Forensics Integrated Circuit Card for Personal Identity Verification Biometric Data Specification for Personal Identity Verification Guide to IPsec VPNs Cryptographic Algorithms and Key Sizes for Personal Identity Verification [F] Finalisé [R] Pour commentaire et relecture [D] [D] [D] [F] [F] [F] [F] [F] [F] [F] [F] [F] [F] [D] [F] [U] [D] [R] [F] 01/2003 03/2005 03/2005 03/2005 08/2003 06/2004 01/2004 09/2004 07/2004 01/2005 03/2005 05/2004 06/2004 07/2004 11/2004 04/2005 01/2005 02/2005 04/2005 [U] Mise à jour récente [D] En cours de développement # Complément d’information http://csrc.nist.gov/publications/nistpubs/index.html http://csrc.nist.gov/publications/drafts/Draft-SP800-78.pdf LA - SP800-78 LEGISLATION SECURITE PROTECTION DES INFORMATIONS DANS LES CONTRATS # Description Le 18 avril a été publié au journal officiel de la République Française l’arrêté relatif «aux conditions de protection du secret et des informations concernant la défense nationale et la sûreté de l’état dans les contrats». Cet arrêté s’applique à tout marché, ou contrat, dit ‘classé’ ou ‘à clauses de sécurité’. L’article 2 définit les caractéristiques de ces marchés, ou contrats; définitions qu’il y aura lieu de parfaitement connaître avant de se porter candidat: Contrat classé: tout contrat ou marché, quels que soient son régime juridique ou sa dénomination, dans lequel un candidat ou un contractant, public ou privé, est amené à l’occasion de la passation du contrat ou de son exécution à connaître et à détenir dans ses locaux des informations ou supports protégés, Contrat à clause de sécurité: tout contrat ou marché, quels que soient son régime juridique ou sa dénomination, dans lequel un candidat ou un contractant, public ou privé, est amené à l’occasion de la passation du contrat ou de son exécution à connaître, sans les détenir, des informations ou supports protégés, Contrat sensible: tout contrat ou marché, quels que soient son régime juridique ou sa dénomination, exceptés les contrats de travail, dont l’exécution s’exerce au profit d’un service ou dans un lieu détenant des informations ou supports protégés dans lequel un contractant, public ou privé, prend des mesures de précautions, y compris dans les contrats de travail de ses préposés, tendant à assurer que les conditions. Les exigences exprimées dans cet arrêté se réfèrent à l’instruction générale interministérielle N°1300 dont une copie est jointe en annexe de l’arrêté du 25 août 2003 relatif «à la protection du secret de la défense nationale». Ce nouvel arrêté permet de disposer enfin de l’ensemble des informations requises pour prétendre pouvoir répondre à un marché protégé, informations jusqu’à peu difficilement accessibles car éparpillées dans nombre d’instructions, décrets ou documents spécifiques. Il expose noir sur blanc, et de manière concise, les exigences et contraintes mais aussi la démarche à suivre, démarche non documentée dans le code des marchés publics. Les différentes annexes contiennent notamment la liste des documents requis dans le cadre d’une démarche d’habilitation d’une société et les modèles de questionnaires associés, à l’exception toutefois de la notice individuelle 94/A. Tous ces documents devraient notablement aider les entreprises et sociétés de services n’ayant jusqu’alors jamais été confrontées à cet environnement. L’arrêté est organisé en 6 chapitres et 33 articles: Chapitre 1: Champ d'application Chapitre 2: Dispositions générales relatives aux contrats classés et à clause de sécurité Chapitre 3: Habilitation des entreprises candidates à la passation d’un contrat classé ou à clause de sécurité Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Page 23/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 Chapitre 4: Dispositions particulières aux contrats de travail Chapitre 5: Structure de sécurité d'une entreprise habilitée pour la passation d’un contrat classé ou à clause de sécurité Chapitre 6: Dispositions particulières aux contrats sensibles et au contrôle d’aptitude des entreprises candidates à un contrat classé suivis de 8 annexes: Annexe I: Clause type contractuelle de protection du secret pour les contrats classés Annexe II: Clause type contractuelle de protection du secret pour les contrats a clause de sécurité Annexe III: Clause additionnelle pour un contrat classe de recherche ou d’étude Annexe IV: Liste des pièces constitutives du dossier de demande d’habilitation d'une entreprise, pour exécuter un contrat classé ou à clause de sécurité Annexe V: Liste des pièces constitutives du dossier d'aptitude d'un établissement pour l'exécution d'un contrat classé Annexe VI: Liste des pièces constitutives du dossier d'identification d'un établissement pour l'exécution d'un contrat à clause de sécurité Annexe VII: Clause type contractuelle de protection du secret pour les contrats de travail d’une personne habilitée Annexe VIII: Clause type contractuelle de protection du secret pour les contrats de travail d’une personne non habilitée. Annexe IX: Clause type contractuelle de protection pour les contrats sensibles # Complément d'information http://www.ssi.gouv.fr/fr/reglementation/a180405_protsec.pdf http://www.legifrance.gouv.fr/imagesJO/2003/149/JO200314961.pdf http://www.ssi.gouv.fr/fr/reglementation/igi1300.pdf Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés - Arrêté du 18/04/2005 - Arrêté du 25/08/2003 - IGI 1300 Page 24/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 LO OG GIIC CIIE EL LS S LIIB BR RE ES S LES SERVICES DE BASE Les dernières versions des services de base sont rappelées dans les tableaux suivants. Nous conseillons d’assurer rapidement la mise à jour de ces versions, après qualification préalable sur une plate-forme dédiée. RÉSEAU Nom Fonction BIND Gestion de Nom (DNS) 9.3.1 8.4.6 Serveur d’adresse 3.0.2 Serveur de temps 4.2.0 Serveur de temps 3.6.1 Serveur de fichiers 2.6.2p DHCP NTP4 OpenNTPD WU-FTP Ver. Date Source 11/03/05 11/03/05 16/02/05 15/10/03 10/12/04 28/08/03 http://www.isc.org/ http://www.isc.org/ http://ntp.isc.org/bin/view/Main/SoftwareDownloads http://www.openntpd.org/ http://www.wu-ftpd.org MESSAGERIE Nom Fonction Ver. Relevé courrier Relevé courrier Relevé courrier Serveur de courrier 2004d 4.0.8 0.6.4.1 8.13.4 Nom Fonction Ver. APACHE Serveur WEB & IMAP4 & POP3 POPA3D SENDMAIL Date Source 28/04/05 13/05/03 22/07/04 27/03/05 ftp://ftp.cac.washington.edu/imap/ ftp://ftp.qualcomm.com/eudora/servers/unix/popper/ http://www.openwall.com/popa3d/ ftp://ftp.sendmail.org/pub/sendmail/RELEASE_NOTES WEB ModSSL & MySQL SQUID 1.3.33 2.0.54 API SSL Apache 1.3.33 2.8.22 Base SQL 4.1.12 Cache WEB 2.5s9 Date Source 28/10/04 11/04/05 28/10/04 13/05/05 29/02/05 http://httpd.apache.org/dist http://www.modssl.org http://dev.mysql.com/doc/mysql/en/news-4-1-x.html http://www.squid-cache.org AUTRE Nom INN OpenCA & OpenLDAP OpenReg Samba LES Fonction Ver. Date Source Gestion Gestion Gestion Gestion Gestion 2.4.1 0.9.2.2 2.2.26 1.0.2 3.0.14a 07/01/04 10/03/05 28/04/05 22/03/04 15/04/05 http://www.isc.org/ http://www.openca.org/openca/download-releases.shtml ftp://ftp.openldap.org/pub/OpenLDAP/openldap-release/ http://www.isc.org/sw/openreg/ http://us1.samba.org/samba/ des news de certificats de l’annuaire DNS de fichiers OUTILS Une liste, non exhaustive, des produits et logiciels de sécurité du domaine public est proposée dans les tableaux suivants. LANGAGES Nom Fonction Ver. SPLINT Perl PHP Analyse de code Scripting WEB Dynamique 3.1.1 5.8.6 4.3.11 5.0.4 Date Source 25/05/03 http://lclint.cs.virginia.edu 28/11/04 http://www.cpan.org/src/README.html 31/04/05 http://www.php.net/downloads.php 03/04/05 ANALYSE RÉSEAU Nom Big Brother Dsniff & EtterCap & Ethereal IP Traf Nstreams SamSpade TcpDump Libpcap TcpFlow WinPCap Fonction Ver. Visualisateur snmp Boîte à outils Analyse & Modification Analyse multiprotocole Statistiques IP Générateur de règles Boîte à outils Analyse multiprotocole Acquisition Trame Collecte données Acquisition Trame 1.9e 2.3 0.7.3 0.10.11 2.7.0 1.0.3 1.14 3.9 0.9.0 0.21 3.1b4 Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Date Source 02/01/04 17/12/00 29/05/05 11/03/05 19/05/02 06/08/02 10/12/99 06/04/05 06/04/05 07/08/03 04/11/04 http://www.bb4.org/ http://www.monkey.org/~dugsong/dsniff http://ettercap.sourceforge.net/index.php?s=history http://www.ethereal.com http://cebu.mozcom.com/riker/iptraf/ http://www.hsc.fr/ressources/outils/nstreams/download/ http://www.samspade.org/ssw/ http://www.tcpdump.org/ http://www.tcpdump.org/ http://www.circlemud.org/~jelson/software/tcpflow/ http://www.winpcap.org/news.htm Page 25/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 ANALYSE DE JOURNAUX Nom Analog fwLogWatch & OSSIM SnortSnarf WebAlizer Fonction Ver. Journaux serveur http Analyse log Console de gestion Analyse Snort Journaux serveur http 6.00 1.0.0 0.9.8final 050314.1 2.01-10 Date Source 19/12/04 25/04/04 18/05/05 05/03/05 24/04/02 http://www.analog.cx http://cert.uni-stuttgart.de/projects/fwlogwatch/ http://www.ossim.net/ http://www.snort.org/dl/contrib/data_analysis/snortsnarf/ http://www.mrunix.net/webalizer/download.html ANALYSE DE SÉCURITÉ Nom & curl FIRE Nessus Helix & Nikto Nmap SAC & Saint & Sara Wikto Whisker Fonction Ver. Date Source Analyse http et https Boîte à outils Vulnérabilité réseau Boîte à outils Analyse http et https Vulnérabilité réseau Boîte à outils Vulnérabilité réseau Vulnérabilité réseau Analyse http et https LibWhisker 7.14.0 0.4a 2.2.4 1.6 1.35 3.81 150405-4 5.8.2 6.0.4 1.6 2.2 16/05/05 14/05/03 22/03/05 12/03/05 20/05/05 04/03/05 15/04/05 17/05/05 19/05/05 01/04/05 31/12/04 http://curl.haxx.se/ http://sourceforge.net/projects/biatchux/ http://www.nessus.org http://www.e-fense.com/helix/ http://www.cirt.net/nikto/ http://www.insecure.org/nmap/nmap_changelog.html http://www.remote-exploit.org/index.php/Auditor_mirrors http://www.saintcorporation.com/updates.html http://www.www-arc.com/sara/downloads/ http://www.sensepost.com/research/wikto/ http://www.wiretrip.net/rfp/lw.asp Date Source CONFIDENTIALITÉ Nom Fonction Ver. GPG GPG S/MIME LibGCrypt Signature/Chiffrement Signature/Chiffrement Signature/Chiffrement 1.4.1 1.9.16 1.2.1 15/03/05 http://www.gnupg.org 21/04/05 http://www.gnupg.org 09/01/05 http://www.gnupg.org CONTRÔLE D’ACCÈS Nom Fonction Ver. Date TCP Wrapper Xinetd Accès services TCP Inetd amélioré 7.6 2.3.13 ftp://ftp.cert.org/pub/tools/tcp_wrappers 01/02/04 http://synack.net/xinetd/ Source Fonction Ver. Date Intégrité LINUX Intégrité LINUX Compromission UNIX Compromission UNIX 2.3.47 0.1 1.2.7 0.45 CONTRÔLE D’INTÉGRITÉ Nom Tripwire Aide & RootKit hunt ChkRootKit Source 15/08/00 27/11/03 24/05/05 22/02/05 Retiré de la diffusion http://sourceforge.net/projects/aide http://www.rootkit.nl http://www.chkrootkit.org/ DÉTECTION D’INTRUSION Nom Fonction Ver. P0f Snort Shadow Identification passive IDS Réseau IDS Réseau 2.0.5 2.3.3 1.8 Date Source 14/09/04 http://lcamtuf.coredump.cx/p0f.shtml 22/04/05 http://www.snort.org/dl/ 30/04/03 http://www.nswc.navy.mil/ISSEC/CID/ GÉNÉRATEURS DE TEST Nom FireWalk IDSWakeUp & NetDude &all Fonction Ver. Analyse filtres Détection d’intrusion Rejeu de paquets 5.0 1.0 0.4.6 Date Source 20/10/02 http://www.packetfactory.net/firewalk 13/10/00 http://www.hsc.fr/ressources/outils/idswakeup/download/ 05/05/04 http://netdude.sourceforge.net/download.html PARE-FEUX Nom Fonction Ver. DrawBridge IpFilter NetFilter PareFeu FreeBsd Filtre datagramme Pare-Feu IpTables 4.0 4.1.8 1.3.1 Fonction Ver. Pile Crypto IP (CIPE) Encapsulation http Pile SSL Pile SSH 1 et 2 Pile IPSec 1.6 3.0.5 0.9.7g 4.1 2.3.1 1.0.9 0.58 4.10 3.1.3 2.4.1 Date Source 23/04/04 http://drawbridge.tamu.edu 30/03/05 http://coombs.anu.edu.au/ipfilter/ip-filter.html 07/03/05 http://www.netfilter.org/downloads.html TUNNELS Nom CIPE http-tunnel OpenSSL & OpenSSH OpenSwan PuTTY Terminal SSH2 & Stunnel Proxy https TeraTerm Pro Terminal SSH2 Zebedee Tunnel TCP/UDP Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Date Source 04/08/04 06/12/00 11/04/05 26/05/05 09/04/05 25/01/05 05/04/05 26/03/05 08/10/02 29/05/02 http://sites.inka.de/sites/bigred/devel/cipe.html http://www.nocrew.org/software/httptunnel.html http://www.openssl.org/ http://www.openssh.com/ http://www.openswan.org/code/ http://www.openswan.org/code/ http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html http://www.stunnel.org http://www.ayera.com/teraterm/ http://www.winton.org.uk/zebedee/ Page 26/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 NO OR RM ME ES SE ET T ST TA AN ND DA AR RD DS S LES LES PUBLICATIONS DE L’IETF RFC Du 26/04/2005 au 27/05/2005, 30 RFC ont été publiés dont 6 RFC ayant trait à la sécurité. RFC TRAITANT DE LA SÉCURITÉ Thème CMS IKE MSEC PANA PKI Num Date Etat Titre 4073 4109 4046 4058 4043 4059 05/05 05/05 04/05 05/05 05/05 05/05 Pst Pst Inf Inf Pst Inf Protecting Multiple Contents with the Cryptographic Message Syntax (CMS) Algorithms for Internet Key Exchange version 1 (IKEv1) Multicast Security (MSEC) Group Key Management Architecture Protocol for Carrying Authentication for Network Access (PANA) Requirements Internet X.509 Public Key Infrastructure Permanent Identifier Internet X.509 Public Key Infrastructure Warranty Certificate Extension RFC TRAITANT DE DOMAINES CONNEXES À LA SÉCURITÉ Thème LSP MAIL Num Date Etat Titre 4090 4096 05/05 Pst 05/05 Inf Fast Reroute Extensions to RSVP-TE for LSP Tunnels Policy-Mandated Labels Such as "Adv:" in Email Subject Headers Considered Ineffective At Best AUTRES RFC Thème CRID DHCP DNS IETF iSCSI L3VPN MIB MOBILIP OPI QoS RTP SIG SIP SNTP LES Num Date Etat Titre 4078 3927 4076 4027 4052 4053 4084 4089 4095 4018 4031 4044 4069 4070 4064 4054 4094 4060 4077 4028 4083 4075 05/05 05/05 05/05 04/05 04/05 04/05 05/05 05/05 05/05 04/05 04/05 05/05 05/05 05/05 05/05 05/05 05/05 05/05 05/05 04/05 05/05 05/05 Inf Pst Inf Inf BCP BCP BCP Inf Pst Pst Inf Pst Pst Pst Pst Inf Inf Pst Pst Pst Inf Pst The TV-Anytime Content Reference Identifier (CRID) Dynamic Configuration of IPv4 Link-Local Addresses Renumbering Requirements for Stateless Dynamic Host Configuration Protocol for IPv6 (DHCPv6) Domain Name System Media Types IAB Processes for Management of IETF Liaison Relationships Procedures for Handling Liaison Statements to and from the IETF Terminology for Describing Internet Connectivity IAB and IESG Recommendation for IETF Administrative Restructuring Attaching Meaning to Solicitation Class Keywords iSCSI Targets and Name Servers by Using Service Location Protocol version 2 (SLPv2) Service Requirements for Layer 3 Provider Provisioned Virtual Private Networks (PPVPNs) Fibre Channel Management MIB Definitions of Managed Object Extensions for VDSL Using SCM Line Coding Definitions of Managed Object Extensions for VDSL Using MCM Line Coding Experimental Message, Extensions, and Error Codes for Mobile IPv4 Impairments and Other Constraints on Optical Layer Routing Analysis of Existing Quality-of-Service Signaling Protocols RTP Payload Formats for ES 202 050, ES 202 211, ES 202 212 Distrib. Speech Recognition Encoding A Negative Acknowledgement Mechanism for Signaling Compression Session Timers in the Session Initiation Protocol (SIP) Input 3GPP Release 5 Requirements on the Session Initiation Protocol (SIP) Simple Network Time Protocol (SNTP) Configuration Option for DHCPv6 DRAFTS Du 26/04/2005au 27/05/2005, 221 drafts ont été publiés: 174 drafts mis à jour, 47 nouveaux drafts, dont 8 drafts ayant directement trait à la sécurité. NOUVEAUX DRAFTS TRAITANT DE LA SÉCURITÉ Thème Nom du Draft Date Titre COPS DHCP DNS IPV6 IPV6 PKIX SASL TLS draft-carrozzo-aaa-cops-maid-00 draft-suraj-dhcpv4-paa-option-00 draft-ietf-dnsext-dnssec-online-signing-00 draft-kempf-mobopts-ringsig-ndproxy-00 draft-ietf-v6ops-security-overview-00 draft-santesson-pkix-srvrr-00 draft-zeilenga-sasl-rfc2222bis-00 draft-chudov-cryptopro-tlsprfneg-00 18/05 18/05 12/05 16/05 13/05 19/05 17/05 25/05 Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés COPS Usage for MAIDService Prov Net based on MPLS-Diffserv DHCPv4 option for PANA Authentication Agents Minimally Covering NSEC Records and DNSSEC On-line Signing Secure IPv6 Address Proxying using MCGAs IPv6 Transition/Co-existence Security Considerations Internet X.509 PKI DNS Service Resource Record otherName Simple Authentication and Security Layer (SASL) Hash/PRF negotiation in TLS using TLS extensions. Page 27/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 MISE À JOUR DE DRAFTS TRAITANT DE LA SÉCURITÉ Thème Nom du Draft Date Titre AES CAT DHCP DNS EAP draft-songlee-aes-cmac-96-01 draft-ietf-cat-kerberos-pk-init-26 draft-ietf-dhc-relay-agent-ipsec-02 draft-ietf-dnsext-rfc2538bis-02 draft-tschofenig-eap-ikev2-06 draft-adrangi-eap-network-discovery-13 draft-badra-eap-double-tls-03 draft-ietf-msec-gsakmp-sec-10 draft-hoffman-hash-attacks-03 draft-mraihi-oath-hmac-otp-04 draft-dupont-ikev2-addrmgmt-07 draft-ietf-inch-requirements-04 draft-ietf-ipv6-privacy-addrs-v2-04 draft-ietf-kitten-krb5-gssapi-prf-03 draft-ietf-nntpext-tls-nntp-06 draft-ietf-nntpext-authinfo-08 draft-thiruvengadam-nsis-mip6-fw-02 draft-bajko-nsis-fw-reqs-01 draft-josefsson-openpgp-mailnews-header-01 draft-ietf-openpgp-rfc2440bis-13 draft-ietf-pana-pana-08 draft-ietf-pana-ipsec-06 draft-ietf-pkix-sim-04 draft-zenner-rabbit-01 draft-hoffman-rfc3664bis-02 draft-lee-rfc4009bis-01 draft-zinin-rtg-dos-02 draft-ietf-sasl-rfc2831bis-05 draft-riikonen-silc-spec-08 draft-riikonen-silc-ke-auth-08 draft-ietf-smime-certcapa-05 draft-schoenw-snmp-tlsm-02 draft-white-sobgp-architecture-01 draft-ietf-secsh-break-03 draft-ietf-tls-rfc2246-bis-11 draft-ietf-tls-psk-08 draft-ietf-tls-rfc3546bis-01 draft-sanjib-private-vlan-03 24/05 24/05 26/05 25/05 23/05 20/05 17/05 17/05 10/05 19/05 18/05 10/05 25/05 13/05 23/05 23/05 29/04 17/05 25/05 20/05 11/05 16/05 23/05 20/05 29/04 20/05 23/05 29/04 26/05 26/05 26/05 26/05 24/05 24/05 18/05 26/04 20/05 29/04 GSAKMP HASH HOTP IKE INCH IPV6 KERB NNTP NSIS OPENPGP PANA PKIX RABBIT RFC3664 RFC4009 RTG SASL SILC SMIME SNMP SOBGP SSH TLS VLAN The AES-CMAC-96 Algorithm and its use with IPsec Public Key Cryptography for Initial Authentication in Kerberos Authentication of DHCP Relay Agent Options Using IPsec Storing Certificates in the Domain Name System (DNS) EAP IKEv2 Method (EAP-IKEv2) Identity selection hints for Extensible Authentication Protocol EAP-Double-TLS Authentication Protocol GSAKMP: Group Secure Association Group Management Protocol Attacks on Cryptographic Hashes in Internet Protocols HOTP: An HMAC-based One Time Password Algorithm Address Management for IKE version 2 Requirements for the Format for INcident information Exchange Privacy Extensions for Stateless Address Autoconfiguration in IPv6 A PRF for the Kerberos V GSS-API Mechanism Using TLS with NNTP NNTP Extension for Authentication Mobile IPv6 - NSIS Interaction for Firewall traversal Requirements for Firewall Configuration Protocol The OpenPGP mail and news header OpenPGP Message Format Protocol for Carrying Authentication for Network Access (PANA) PANA Enabling IPsec based Access Control Internet X.509 PKI Subject Identification Method (SIM) A Description of the Rabbit Stream Cipher Algorithm The AES-XCBC-PRF-128 Algorithm for IKE The SEED Encryption Algorithm Protecting Internet Routing Infra. from Outsider DoS Attacks Using Digest Authentication as a SASL Mechanism Secure Internet Live Conferencing (SILC), Protocol Specification SILC Key Exchange and Authentication Protocols X.509 Certificate Extension for S/MIME Capabilities TMSM for SNMPv3 Architecture and Deployment Considerations for soBGP Secure Shell (SSH) Session Channel Break Extension The TLS Protocol Version 1.1 Pre-Shared Key Ciphersuites for Transport Layer Security (TLS) Transport Layer Security (TLS) Extensions Addressing VLAN scalability & security issues in a multi-client env. DRAFTS TRAITANT DE DOMAINES CONNEXES À LA SÉCURITÉ Thème Nom du Draft Date Titre IGMP IPV6 IPV6 L3VPN L3VPN MPLS MTU SPF SYSLOG draft-ietf-behave-multicast-00 draft-ietf-ipv6-ndproxy-02 draft-blanchet-v6ops-tunnelbroker-tsp-02 draft-ietf-l3vpn-ospf-2547-04 draft-vohra-l3vpn-bgp-clns-00 draft-yasukawa-mpls-ldp-mcast-over-p2m-00 draft-savola-mtufrag-network-tunneling-04 draft-schlitt-spf-classic-01 draft-ietf-syslog-sign-16 16/05 23/05 12/05 17/05 16/05 10/05 24/05 20/05 23/05 IGMP Proxy Behavior Bridge-like Neighbor Discovery Proxies (ND Proxy) IPv6 Tunnel Broker with the Tunnel Setup Protocol (TSP) OSPF as the Provider/Customer EP for BGP/MPLS IP VPNs BGP-MPLS IP VPN extensions for ISO/CLNS VPN LDP Multicast LSP over Point-to-Multipoint LSP Tunnels MTU and Fragmentation Issues with In-the-Network Tunneling SPF for Authorizing Use of Domains in E-MAIL, version 1 Signed syslog Messages AUTRES DRAFTS Thème Nom du Draft AES ATOM draft-songlee-aes-cmac-00 draft-ietf-atompub-protocol-04 draft-ietf-atompub-autodiscovery-01 AVT draft-ahmadi-avt-rtp-vmr-wb-extension-00 CALDAV draft-dusseault-caldav-06 CAPWAP draft-sarikaya-capwap-capwaphp-00 CFRG draft-irtf-cfrg-rhash-00 DCCP draft-ietf-dccp-user-guide-03 DHCP draft-ietf-dhc-ddns-resolution-08 draft-ietf-dhc-bcmc-options-01 DISCOVER draft-manning-opcode-discover-00 DNS draft-ietf-dnsext-mdns-40 draft-ietf-dnsext-wcard-clarify-07 draft-ietf-dnsext-interop3597-02 draft-ietf-dnsext-dnssec-bis-updates-01 draft-josefsson-dns-url-12 DOI draft-paskin-doi-uri-04 Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Date Titre 24/05 10/05 10/05 16/05 25/05 26/05 18/05 27/04 13/05 17/05 26/05 26/05 16/05 19/05 24/05 25/05 26/05 The AES-CMAC Algorithm The Atom Publishing Protocol Atom Feed Autodiscovery RTP Payload Format for the VMR-WB Extension Audio Codec Calendaring Extensions to WebDAV (CalDAV) CAPWAP Handover Protocol (CAPWAPHP) Strengthening Digital Signatures via Randomized Hashing Datagram Congestion Control Protocol (DCCP) User Guide Resolution of DNS Name Conflicts Among DHCP Clients DHCP Options for Broadcast and Multicast Control Servers The DISCOVER opcode Linklocal Multicast Name Resolution (LLMNR) The Role of Wildcards in the Domain Name System RFC 3597 Interoperability Report Clarifications and Implementation Notes for DNSSECbis Domain Name System Uniform Resource Identifiers The 'doi' URI Scheme for Digital Object Identifier (DOI) Page 28/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 EAP EARLY ENUM draft-ohba-eap-aaakey-binding-00 draft-zinin-early-review-01 draft-ietf-enum-msg-05 draft-ietf-enum-void-01 FTP draft-rajeshs-ftpext-rec-arch-transfer-01 draft-chin-dnftp-00 GEOPRIV draft-polk-geopriv-dhc-geo-lci-upstream-00 HIP draft-yan-hip-ike-h-01 IDN draft-klensin-reg-guidelines-08 draft-bakleh-reg-adm-acg-apu-00 IETF draft-iab-irtf-01 draft-iesg-info-exp-00 draft-ietf-tools-draft-submission-09 IMAP draft-ietf-imapext-list-extensions-13 draft-ietf-imapext-2086upd-06 draft-crispin-imap-rfc2359bis-04 IMMP draft-sabarish-immp-01 IP draft-zinin-microloop-analysis-01 draft-arai-ecrit-japan-req-01 IPFIX draft-ietf-ipfix-protocol-14 IPV6 draft-ietf-ipv6-addr-arch-v4-04 draft-ietf-ipv6-rfc2462bis-08 draft-ietf-ipv6-2461bis-03 draft-chown-v6ops-renumber-thinkabout-02 draft-huston-ip6-int-02 draft-arunt-ipv6-multicast-filtering-rules-00 draft-ietf-v6ops-ent-analysis-02 IRIS draft-ietf-crisp-iris-areg-11 draft-hardie-ecrit-iris-00 draft-daigle-iris-slsreg-00 draft-ietf-isis-experimental-tlv-05 draft-ietf-isis-link-attr-01 draft-ietf-isis-caps-03 KRB draft-ietf-kitten-gssapi-prf-03 draft-ietf-kitten-gssapi-naming-exts-00 draft-ietf-krb-wg-ocsp-for-pkinit-05 L2TP draft-ietf-l2tpext-pwe3-fr-05 draft-ietf-l2tpext-pwe3-hdlc-05 LEMONAD draft-ietf-lemonade-mms-mapping-04 LTRU draft-ietf-ltru-registry-02 draft-ietf-ltru-matching-00 MAGMA draft-ietf-magma-mrdisc-07 MAIL draft-fenton-identified-mail-02 draft-lyon-senderid-pra-01 draft-lyon-senderid-core-01 draft-shafranovich-feedback-report-01 MBONED draft-ietf-mboned-routingarch-00 MDI draft-welch-mdi-01 MIB draft-ietf-adslmib-gshdslbis-11 draft-ietf-bridge-ext-v2-04 MIDCOM draft-stiemerling-midcom-simco-07 MIME draft-lilly-text-troff-03 MIP4 draft-ietf-mip4-dynamic-assignment-04 MIPS draft-haddad-mipshop-omm-00 MOBILIP draft-daniel-mip-link-characteristic-01 MPLS draft-ietf-ccamp-crankback-05 draft-ietf-ccamp-gmpls-segment-recovery-02 draft-ietf-ccamp-inter-domain-framework-02 draft-ietf-ccamp-loose-path-reopt-01 draft-ietf-ccamp-gmpls-ason-lexicography-02 draft-ietf-mpls-lsp-ping-09 draft-ietf-mpls-lc-if-mib-05 draft-ietf-mpls-rsvpte-attributes-05 draft-ietf-mpls-p2mp-sig-requirement-02 draft-shen-mpls-ldp-nnhop-label-02 draft-balus-mh-pw-control-protocol-01 MSEC draft-ietf-msec-ipsec-signatures-05 draft-ietf-msec-bootstrapping-tesla-01 MSGHEAD draft-newman-msgheader-originfo-05 NETCONF draft-ietf-netconf-prot-06 draft-chisholm-netconf-model-02 NEWS draft-ellermann-news-nntp-uri-00 draft-lindsey-news-nntp-uri-00 NNTP draft-ietf-nntpext-base-26 draft-ietf-nntpext-streaming-05 NSAP draft-melnikov-nsap-ipv6-01 NSIS draft-kappler-nsis-qosmodel-controlledload-01 Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés 12/05 23/05 11/05 10/05 29/04 18/05 11/05 27/04 18/05 26/05 16/05 23/05 12/05 16/05 20/05 26/05 24/05 23/05 16/05 13/05 23/05 12/05 24/05 23/05 24/05 10/05 19/05 12/05 16/05 25/05 19/05 25/05 25/05 13/05 16/05 24/05 27/04 27/04 26/05 20/05 17/05 16/05 13/05 19/05 19/05 16/05 26/04 13/05 26/05 19/05 26/05 11/05 19/05 18/05 23/05 24/05 26/05 23/05 25/05 29/04 16/05 27/04 26/05 27/04 19/05 11/05 26/05 24/05 28/05 26/04 10/05 19/05 20/05 23/05 23/05 25/05 13/05 AAA-Key Derivation with Channel Binding Area Review Teams for Early Cross-functional Reviews IANA Registration for Enumservices email, fax, mms, ems, sms IANA Registration for Enumservice VOID FTP Extensions for recursive and archived file transfers Distributed New File Transfer Protocol DHCP Location Configuration Information Transmitted Upstream A proposal to replace HIP base exchange with IKE-H method Suggested Practices for Registration of IDN IDN Registration and Administration Guidelines for Arabic IAB Thoughts on the Role of the Internet Research Task Force Choosing between Informational and Experimental Status Requirements for an IETF Draft Submission Toolset IMAP4 LIST Command Extensions IMAP4 ACL extension Internet Message Access Protocol (IMAP) - UIDPLUS extension IMMP -- Internet Message Mapping Protocol Minimization of Microloops in Link-state Routing Protocols Emergency Call Requirements for IP Telephony Services In Japan IPFIX Protocol Specification IP Version 6 Addressing Architecture IPv6 Stateless Address Autoconfiguration Neighbor Discovery for IP version 6 (IPv6) Things to think about when Renumbering an IPv6 network Deprecation of "ip6.int" IPv6 Multicast Filtering Rules IPv6 Enterprise Network Analysis IRIS - An Address Registry (areg) Type for IRIS An IRIS Schema for Emergency Service Contact URIs IRIS Service Lookup System TLV for Experimental Use Definition of an IS-IS Link Attribute sub-TLV IS-IS extensions for advertising router information A PRF API extension for the GSS-API GSS-API Naming Extensions OCSP Support for PKINIT Frame-Relay over L2TPv3 HDLC Frames over L2TPv3 Mapping Between the MMS and Internet Mail Tags for Identifying Languages Matching Language Identifiers Multicast Router Discovery Identified Internet Mail Purported Responsible Address in E-Mail Messages Sender ID: Authenticating E-Mail An Extensible Format for Email Feedback Reports Overview of the Internet Multicast Routing Architecture A Proposed Media Delivery Index Definitions of Managed Objects for HDSL2 and SHDSL Lines MIB for Bridges with Traffic Classes, Multicast Filtering & VLAN Simple Middlebox Configuration (SIMCO) Protocol Version 3.0 Media subtype registration for media type text/troff Mobile IPv4 Dynamic Home Agent Assignment Optimizing Micromobility Management Link Characteristics Information for Mobile IP Crankback Signaling Extensions for MPLS and GMPLS RSVP-TE GMPLS Based Segment Recovery A Framework for Inter-Domain MPLS Traffic Engineering Reoptimization of MuMPLS TE loosely routed LSP A Lexicography for the Interpretation of GMPLS Terminology Detecting MPLS Data Plane Failures MPLS Label-Controlled ATM and FR Management Interface Def. Encoding of Attributes for MPLS LSP Establishment Using RSVP-TE Signaling Req for Point to Multipoint Traffic Engineered MPLS LSPs Discovering LDP Next-Nexthop Labels Multi-Segment Pseudowire Setup and Maintenance using LDP The Use of RSA/SHA-1 Signatures within ESP and AH Bootstrapping TESLA Originator-Info Message Header NETCONF Configuration Protocol Framework for Netconf Data Models The news and nntp URI Schemes The news and nntp URI Schemes Network News Transfer Protocol NNTP Extension for Streaming Feeds Network Address to support OSI over IPv6 QoS Model for Signaling IntServ Controlled-Load Service w NSIS Page 29/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 OLSR OSPF PANA PCE PIM PNFS POE PPP PWE3 RADIUS RFC2413 RFC3288 ROHC RTP SCTP SIEVE SIGTRAN SILC SIMPLE SIP SMTP SPEECHS TCP UOP URN USEFOR VRRP WEBDAV XCALEND draft-fu-nsis-ntlp-statemachine-02 draft-juchem-nsis-ping-tool-01 draft-cheng-nsis-flowid-issues-00 draft-loughney-nsis-ext-00 draft-jeong-nsis-3gpp-qosm-00 draft-hancock-nsis-pds-problem-00 draft-ietf-nsis-nslp-natfw-06 draft-ietf-nsis-ntlp-06 draft-ietf-nsis-qspec-04 draft-ietf-nsis-rmd-02 draft-mase-manet-autoconf-noaolsr-00 draft-ietf-ospf-ospfv3-mib-09 draft-ietf-ospf-ospfv3-traffic-05 draft-ietf-ospf-cap-07 draft-ietf-ospf-ospfv3-update-04 draft-ietf-pana-framework-04 draft-vasseur-pce-pcep-00 draft-ietf-pce-comm-protocol-gen-reqs-00 draft-ietf-pim-mib-v2-02 draft-welch-pnfs-ops-01 draft-arberg-pppoe-mtu-gt1492-00 draft-gpaterno-wireless-pppoe-13 draft-ietf-pwe3-sonet-11 draft-ietf-radext-dynauth-server-mib-00 draft-ietf-radext-dynauth-client-mib-00 draft-kunze-rfc2413bis-02 draft-mrose-rfc3288bis-02 draft-ietf-rohc-rtp-impl-guide-12 draft-ietf-rohc-over-reordering-03 draft-ietf-rohc-rfc3242bis-00 draft-ietf-avt-rtp-ac3-03 draft-ietf-avt-rfc2032-bis-06 draft-ietf-avt-rfc2429-bis-05 draft-ietf-avt-rtp-3gpp-timed-text-14 draft-ietf-avt-rtp-atrac-family-03 draft-ietf-avt-rfc2190-to-historic-03 draft-ietf-avt-mime-h224-01 draft-ietf-avt-rtp-no-op-00 draft-wing-avt-rtp-noop-03 draft-wing-behave-symmetric-rtprtcp-00 draft-ahmed-lssctp-01 draft-ietf-sieve-variables-03 draft-ietf-sieve-body-01 draft-ietf-sieve-editheader-01 draft-ietf-sieve-imapflags-01 draft-ietf-sieve-3028bis-01 draft-ietf-sieve-refuse-reject-00 draft-ietf-sigtran-rfc3332bis-03 draft-riikonen-silc-pp-08 draft-riikonen-silc-commands-06 draft-riikonen-flags-payloads-04 draft-ietf-simple-partial-notify-05 draft-sinnreich-sipdev-req-06 draft-jesske-sipping-tispan-requirements-00 draft-ietf-sipping-torture-tests-07 draft-ietf-sipping-callerprefs-usecases-04 draft-katz-submitter-01 draft-grandhi-pc-smtp-01 draft-ietf-speechsc-reqts-07 draft-eddy-syn-flood-00 draft-ietf-tcpm-tcpsecure-03 draft-ietf-tcpm-tcp-roadmap-03 draft-ietf-tcpm-tcp-antispoof-01 draft-ietf-tcpm-tcp-uto-00 draft-riikonen-presence-attrs-03 draft-dtessman-urn-namespace-federated-03 draft-dolan-urn-isan-01 draft-ietf-usefor-usefor-04 draft-ietf-vrrp-unified-mib-03 draft-reschke-webdav-property-datatypes-09 draft-ietf-webdav-quota-07 draft-hare-xcalendar-03 Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés 18/05 18/05 13/05 16/05 18/05 18/05 16/05 18/05 17/05 13/05 26/05 13/05 20/05 23/05 16/05 11/05 24/05 16/05 29/04 19/05 29/04 26/05 18/05 19/05 19/05 26/05 13/05 23/05 17/05 20/05 17/05 27/04 27/04 18/05 17/05 27/04 27/04 26/05 18/05 24/05 19/05 29/04 10/05 10/05 13/05 10/05 17/05 11/05 26/05 26/05 26/05 24/05 13/05 24/05 24/05 18/05 19/05 13/05 11/05 25/05 18/05 26/04 27/04 24/05 26/05 26/04 26/04 24/05 17/05 29/04 27/04 18/05 GIMPS State Machine A stateless Ping tool for simple tests of GIMPS implementations NSIS Flow ID and packet classification issues NSIS Extensibility Model 3GPP QoS Model for Networks Using 3GPP QoS Classes A Problem Statement for Path-Decoupled Signalling in NSIS NAT/Firewall NSIS Signaling Layer Protocol (NSLP) GIMPS: General Internet Messaging Protocol for Signaling QoS-NSLP QSPEC Template RMD-QOSM - The Resource Management in Diffserv QOS Model No Overhead Autoconfiguration OLSR Management Information Base for OSPFv3 Traffic Engineering Extensions to OSPF version 3 Extensions to OSPF for Advertising Optional Router Capabilities OSPF for IPv6 PANA Framework PCE Communication Protocol (PCEP) - Version 1 PCE Communication Protocol Generic Requirements Protocol Independent Multicast MIB pNFS Operations Summary Accommodating an MTU/MRU greater than 1492 in PPPoE Using PPP-over-Ethernet (PPPoE) in Wireless LANs SONET/SDH Circuit Emulation over Packet (CEP) Dynamic Authorization Server MIB Dynamic Authorization Client MIB The Dublin Core Metadata Element Set Using SOAP in Blocks Extensible Exchange Protocol (BEEP) ROHC Implementer's Guide ROHC over Channels that can Reorder Packets A Link-Layer Assisted Profile for IP/UDP/RTP RTP Payload Format for AC-3 Audio RTP Payload Format for H.261 Video Streams RTP Payload Format for 1998 Version of ITU-T H.263 Video RTP Payload Format for 3GPP Timed Text RTP Payload Format for ATRAC Family RTP Payload Format for H.263 using RFC2190 to Historic status MIME type registration for RTP Payload format for H.224 A No-Op Payload Format for RTP A No-Op Payload Format for RTP A Definition of Symmetric RTP and Symmetric RTCP Load Sharing in Stream Control Transmission Protocol Sieve Mail Filtering Language: Variables Extension Sieve Email Filtering: Body Extension Sieve Email Filtering: Editheader Extension Sieve Mail Filtering Language: IMAP flag Extension Sieve: An Email Filtering Language The SIEVE mail filtering language - reject and refuse extensions SS7 MTP3 - User Adaptation Layer (M3UA) SILC Packet Protocol SILC Commands SILC Message Flag Payloads SIP extension for Partial Notification of Presence Information SIP Telephony Device Requirements and Configuration Reqs for the Extensions to SIP for the TISPAN simulation services Session Initiation Protocol Torture Test Messages Guidelines for Usage of SIP Caller Preferences Extension SMTP Service Extension for Indicating the Responsible Submitter The "Pc" field for SMTP Reqs for Distributed Control of ASR, SI/SV and TTS Resources TCP SYN Flooding Attacks and Common Mitigations Improving TCP's Robustness to Blind In-Window Attacks A Roadmap for TCP Specification Documents Defending TCP Against Spoofing Attacks TCP User Timeout Option User Online Presence and Information Attributes URN Namespace for Federated Content ISAN URN Definition Netnews Article Format Definitions of Managed Objects for the VRRP over IPv4 and IPv6 Datatypes for WebDAV properties Quota and Size Properties for DAV Collections Guideline for use of XML with iCalendar elements Page 30/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 NOS COMMENTAIRES LES DRAFTS DRAFT-IETF-INCH-REQUIREMENTS-04 Requirements for the Format for INcident information Exchange (FINE) Fin 2002, les résultats des travaux dans le domaine de l’échange d’informations entre CSIRT menés par le groupe de travail interne dit ‘IODEF WG’ du comité TERENA TF-CSIRT étaient repris fin 2002 au sein du groupe ‘INCH’ – Extended Incident Handling - de l’IETF (Rapports N°32 – Mars 2001, N°46 – Mai 2002, N°53- Décembre 2002, N°56 – Mars 2003). L’objectif était de définir, d’une part les besoins des équipes de gestion des incidents informatiques, ou CSIRT, en matière d’échange d’informations concernant les incidents de sécurité, et d’autre part une structure de données apte à accueillir les informations requises. Les travaux repris par l’IETF ont mené à la rédaction des quatre documents suivant actuellement toujours en état de version de travail: Référence draft-ietf-inch-requirements-04 draft-ietf-inch-iodef-03 draft-ietf-inch-implement-01 draft-ietf-inch-rid-02 Titre Rapport Requirement for FINE N°56 – Mars 2003 Spécification des besoins en matière d’échange d’incidents de sécurité The IODEF Data Model & XML N°53 – Décembre 2002 Modèle de données de description d’un incident et structure XML associée The IODEF implementation guide N°69 – Avril 2004 Guide d’implémentation du modèle de données de description d’un incident Real-Time Inter-Network Defense Extension du modèle IODEF pour gérer les incidents réseau en temps réel La dernière version de travail diffère peu de la précédente: enrichissement de l’introduction, réorganisation du glossaire et ajout de nouveaux termes en accord avec l’évolution du modèle de données IODEF (Incident Object Description and Exchange Format), extension de certaines exigences. Le sommaire de ce document est le suivant: 1. Introduction 2. Incident Handling Framework 3. General Requirements 4. Format Requirements 5. Communication Mechanism Requirements 6. Content Requirements 7. Security Considerations 8. IANA Considerations 9. References 10. Acknowledgements 11. Authors' Addresses Full Copyright Statement Appendix: History of Changes ftp://ftp.nordu.net/internet-drafts/draft-ietf-inch-requirements-04.txt ftp://ftp.nordu.net/internet-drafts/draft-ietf-inch-rid-02.txt ftp://ftp.nordu.net/internet-drafts/draft-ietf-inch-iodef-03.txt ftp://ftp.nordu.net/internet-drafts/draft-ietf-inch-implement-01.txt Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Page 31/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 ALLEER RT TE ES SE ET T AT TT TA AQ QU UE ES S ALERTES GUIDE DE LECTURE La lecture des avis publiés par les différents organismes de surveillance ou par les constructeurs n’est pas toujours aisée. En effet, les informations publiées peuvent être non seulement redondantes mais aussi transmises avec un retard conséquent par certains organismes. Dès lors, deux alternatives de mise en forme de ces informations peuvent être envisagées : Publier une synthèse des avis transmis durant la période de veille, en classant ceux-ci en fonction de l’origine de l’avis, Publier une synthèse des avis transmis en classant ceux-ci en fonction des cibles. La seconde alternative, pour séduisante quelle soit, ne peut être raisonnablement mise en œuvre étant donné l’actuelle diversité des systèmes impactés. En conséquence, nous nous proposons de maintenir une synthèse des avis classée par organisme émetteur de l’avis. Afin de faciliter la lecture de ceux-ci, nous proposons un guide de lecture sous la forme d’un synoptique résumant les caractéristiques de chacune des sources d’information ainsi que les relations existant entre ces sources. Seules les organismes, constructeurs ou éditeurs, disposant d’un service de notification officiel et publiquement accessible sont représentés. Avis Spécifiques Constructeurs Réseaux Systèmes Avis Généraux Editeurs Systèmes Indépendants Editeurs Hackers Editeurs Organismes Autres US Autres Aus-CERT 3Com Compaq Linux Microsoft l0pht AXENT BugTraq CERT Cisco HP FreeBSD Netscape rootshell ISS @Stake CIAC IBM NetBSD SGI OpenBSD SUN SCO Typologies des informations publiées Publication de techniques et de programmes d’attaques Détails des alertes, techniques et programmes Synthèses générales, pointeurs sur les sites spécifiques Notifications détaillées et correctifs techniques L’analyse des avis peut être ainsi menée selon les trois stratégies suivantes : Recherche d’informations générales et de tendances : Lecture des avis du CERT et du CIAC Maintenance des systèmes : Lecture des avis constructeurs associés Compréhension et anticipation des menaces : Lecture des avis des groupes indépendants Aus-CERT CERT 3Com Compaq Microsoft Cisco HP Netscape BugTraq rootshell AXENT NetBSD @Stake l0pht ISS OpenBSD IBM Xfree86 SGI Linux SUN FreeBSD CIAC Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Page 32/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 FORMAT DE LA PRESENTATION Les alertes et informations sont présentées classées par sources puis par niveau de gravité sous la forme de tableaux récapitulatifs constitués comme suit : Présentation des Alertes EDITEUR TITRE Description sommaire Informations concernant la plate-forme impactée Gravité Date Produit visé par la vulnérabilité Description rapide de la source du problème Correction Référence URL pointant sur la source la plus pertinente Référence(s) CVE si définie(s) Présentation des Informations SOURCE TITRE Description sommaire URL pointant sur la source d’information Référence(s) CVE si définie(s) SYNTHESE MENSUELLE Le tableau suivant propose un récapitulatif du nombre d’avis publiés pour la période courante, l’année en cours et l’année précédente. Ces informations sont mises à jour à la fin de chaque période de veille. L’attention du lecteur est attirée sur le fait que certains avis sont repris et rediffusés par les différents organismes. Ces chiffres ne sont donc représentatifs qu’en terme de tendance et d’évolution. Période du 26/04/2005 au 27/05/2005 Organisme US-CERT TA US-CERT ST CIAC Constructeurs Cisco HP IBM SGI Irix Sun Editeurs BEA Oracle Macromedia Microsoft Novell Unix libres Linux RedHat Linux Fedora Linux Debian Linux Mandr. FreeBSD Autres iDefense eEye NGS Soft. Période 20 2 3 15 10 1 4 1 1 3 14 11 0 1 1 1 74 32 8 15 15 4 16 16 0 0 Cumul 2005 2004 127 261 7 30 11 2 109 229 102 220 12 28 15 55 13 19 2 12 60 106 49 105 12 28 3 5 3 7 24 45 7 20 440 659 137 143 102 147 109 193 83 152 9 24 99 142 71 81 3 23 25 38 Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Cumul 2005 - Constructeurs Cumul 2004 - Constructeurs Cisco 12% Sun 58% Cisco 13% Sun 48% HP 15% SGI Irix 2% SGI Irix 5% IBM 13% Cumul 2004 - Editeurs Cumul 2005 - Editeurs Novell 14% Microsoft 50% HP 25% IBM 9% BEA 24% Oracle 6% Macromedia 6% Novell 19% Microsoft 42% BEA 27% Oracle Macromedia 5% 7% Page 33/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 ALERTES DETAILLEES AVIS OFFICIELS Les tables suivantes présentent une synthèse des principales alertes de sécurité émises par un organisme fiable, par l’éditeur du produit ou par le constructeur de l’équipement. Ces informations peuvent être considérées comme fiables et authentifiées. En conséquence, les correctifs proposés, s’il y en a, doivent immédiatement être appliqués. ADOBE Exposition d'informations dans la visionneuse 'SVG' Une faille permet à un attaquant distant de confirmer l'existence de fichiers arbitraires sur une machine vulnérable. Moyenne 10/05 Adobe 'SVG Viewer' versions inférieures à 3.0.3 (Windows) Erreur de codage Correctif existant Fichier 'NPSVG3.dll' Hyperdose Securiteam Adobe http://www.hyperdose.com/advisories/H2005-07.txt http://www.securiteam.com/windowsntfocus/5HP0J00FPQ.html http://www.adobe.com/svg/viewer/install/mainframed.html APPLE Exécution de code arbitraire dans 'iTunes' Une faille dans 'iTunes' permet de provoquer un déni de service de l'application et/ou l'exécution de code arbitraire. Forte 09/05 Apple 'iTunes' versions inférieures à 4.8 Débordement de buffer Correctif existant Traitement des fichiers MPEG4 Apple Apple CAN-2005-1248 http://lists.apple.com/archives/security-announce/2005/May/msg00003.html http://docs.info.apple.com/article.html?artnum=301596 Exposition d'informations via 'Keynote' Une vulnérabilité dans 'Keynote' peut entraîner une exposition d'informations sensibles. Forte 25/05 Apple 'Keynote' versions 2 et 2.0.1 Erreur de codage Correctif existant URI "keynote:" Apple CAN-2005-1408 http://docs.info.apple.com/article.html?artnum=301713 Multiples failles dans 'MacOS X' Apple a annoncé l'existence de multiples failles dans plusieurs composants des systèmes 'Mac OS X'. Forte 03/05 Apple 'Mac OS X' version 10.3.9 et Apple 'Mac OS X Server' version 10.3.9 Se référer à l’avis original Correctif existant Se référer à l’avis original Apple http://docs.info.apple.com/article.html?artnum=301528 Apple http://lists.apple.com/archives/security-announce/2005/May/msg00001.html CAN-2005-1344, CAN-2004-1307, CAN-2005-1330, CAN-2005-1331, CAN-2005-1332, CAN-2005-1033, CAN-2005-1335, CAN2005-1336, CAN-2005-1337, CAN-2005-1338, CAN-2005-1339, CAN-2005-1341, CAN-2005-1342, CAN-2005-1343, CAN-20051340, CAN-2005-0594 Multiples vulnérabilités dans 'MacOS X' Deux vulnérabilitéspeuvent entraîner une exposition d'informations et l'exécution d'applications arbitraires. Forte 19/05 Apple 'Mac OS X' Client et Server version 10.4 Mauvaise gestion des droits, Erreur de conception Correctif existant Noyau et 'SecurityAgent' Apple http://lists.apple.com/archives/security-announce//2005/May/msg00004.html Apple http://docs.info.apple.com/article.html?artnum=301630 CAN-2005-1472, CAN-2005-1473 BEA Contournement des règles de sécurité dans 'WebLogic' Une erreur de conception peut entraîner le contournement des règles de sécurité définies par défaut. Forte 24/05 BEA 'WebLogic Server' et 'WebLogic Express' versions 7.0 à 7.0 SP5 Correctif existant Gestion des sessions utilisateurs Erreur de conception BEA Systems http://dev2dev.bea.com/pub/advisory/127 "Cross-Site Scripting" dans la console d'administration Une vulnérabilité peut autoriser un attaquant distant à mener des attaques de type "Cross-Site Scripting" Forte 26/04 BEA Systems 'WebLogic Express' et 'WebLogic Server' version 8.1 Console d'administration Validation insuffisante des données fournies en entrée Aucun correctif Red-Database Bugtraq http://www.red-database-security.com/advisory/bea_css_in_admin_console.html http://www.securityfocus.com/bid/13400 Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Page 34/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 "Cross-Site Scripting" dans 'WebLogic Server/Express' Plusieurs failles permettent de mener des attaques de type "Cross-Site Scriptin". Forte 23/05 BEA Systems 'WebLogic Express' et 'WebLogic Server' version 8.1 Validation insuffisante des données en entrée Correctif existant Non disponible BEA BEA05-80 http://dev2dev.bea.com/pub/advisory/130 Déni de service dans 'WebLogic Server/Express' Une faille permet à un attaquant distant de provoquer un déni de service du système. Forte 23/05 BEA 'WebLogic Server/Express' version 6.1 SP4 Débordement de buffer Correctif existant Serveur LDAP intégré BEA BEA05-82 http://dev2dev.bea.com/pub/advisory/132 Déni de service des "clusters" 'WebLogic' Une vulnérabilité dans la gestion des cookies peut entraîner un déni de service des "clusters" 'WebLogic'. Forte 24/05 BEA 'WebLogic Server' versions 7.0 à 7.0 SP5 Erreur de codage Correctif existant Gestion des cookies BEA BEA05-79 http://dev2dev.bea.com/pub/advisory/129 Déni de service des connexions 'JDBC' de 'WebLogic' Une erreur de conception dans 'WebLogic Server' peut entraîner un déni de service des connexions JDBC. Forte 24/05 BEA 'WebLogic Server' version 8.1 SP2, SP3 Erreur de conception Correctif existant Réserve de connexions JDBC BEA BEA05-75 http://dev2dev.bea.com/pub/advisory/125 Exposition d'informations dans 'WebLogic Portal' Une erreur de conception dans 'WebLogic Portal' peut provoquer l'exposition d'informations sensibles. Forte 23/05 BEA 'WebLogic Portal' versions inférieures à 8.1 SP4 Erreur de conception Correctif existant Message d'erreur BEA BEA05-78 http://dev2dev.bea.com/pub/advisory/128 Multiples vulnérabilités dans le serveur LDAP de 'WLS' Une erreur de conception peut entraîner l'exposition d'informations sensibles et un déni de service. Forte 24/05 BEA 'WebLogic Server' versions 8.1 à 8.1 SP4 et 7.0 à 7.0 SP5 Erreur de conception Correctif existant Serveur LDAP BEA BEA05-81 http://dev2dev.bea.com/pub/advisory/131 Usurpation d'identité dans 'WebLogic Server/Express' Une faille permet à un utilisateur d’utiliser'une identité erronée et d'empêcher les fonctions d'audit de fonctionner. Forte 24/05 BEA 'Weblogic Server/Express' version 8.1 SP3 et inférieures et 7.0 SP5 et inférieures Non disponible Correctif existant Traitement des exceptions BEA BEA05-76 http://dev2dev.bea.com/pub/advisory/126 BLUECOAT Multiples vulnérabilités dans Blue Coat 'Reporter' De multiples vulnérabilités autorisent des attaques de type "Cross-Site Scripting", et une élévation de privilèges. Forte 20/05 Blue Coat 'Reporter' versions inférieures à 7.1.2 1, 2, 3, 4 - Non disponible Correctif existant 1, 2, 3, 4 - Non disponible Blue Coat Syst. http://www.bluecoat.com/support/knowledge/advisory_reporter_711_vulnerabilities.html CISCO Faille dans le "Cisco Firewall Services Module" Une faille permet à un attaquant distant de contourner les règles d'accès définies dans ce module. Forte 11/05 Cisco 'FWSM' version 2.3.1 et précédentes (Catalyst 6500 et routeurs 7600) Non disponible Correctif existant Règles d'exception Cisco 64821 http://www.cisco.com/en/US/products/products_security_advisory09186a0080464d00.shtml CITRIX Deux vulnérabilités dans 'Neighborhood Agent' Deux vulnérabilités peuvent entraîner l'exécution de code arbitraire sur un poste client vulnérable. Forte 26/04 Citrix 'Program Neighborhood Agent for Win32' versions inférieures à 9.00 Citrix 'MetaFrame Presentation Server client for WinCE' versions inférieures à 8.33 'Neighborhood Agent' Erreur de conception Fonction 'lstrcatA()' Débordement de pile iDefense 237 http://www.idefense.com/application/poi/display?id=237&type=vulnerabilities iDefense 238 http://www.idefense.com/application/poi/display?id=238&type=vulnerabilities Citrix CTX105650 http://support.citrix.com/kb/entry.jspa?externalID=CTX105650 CAN-2004-1077, CAN-2004-1078 Correctif existant Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Page 35/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 CU "Cross-Site Scripting" dans 'SURVIVOR' L'outil 'SURVIVOR' contient une faille permettant de mener des attaques de type "Cross-Site Scripting". Forte 27/04 Université de Columbia 'SURVIVOR' versions inférieures à 0.9.6 Validation insuffisante des données en entrée Correctif existant Non disponible Secunia 15160 SURVIVOR http://secunia.com/advisories/15160 http://www.columbia.edu/acis/dev/projects/survivor/doc/todo.html#changelog DNS Déni de service distant dans le protocole 'DNS' Une vulnérabilité dans la gestion de certains messages 'DNS' peut entraîner un déni de service. Forte 24/05 Cisco 'IP Phones', 'ATA', 'Unity Express' et 'ACNS', DNRD 'DNRD' version 2.10 Correctif existant DeleGate 'DeleGate' version 8.10.2 et inférieures, PowerDNS 'PowerDNS' version 2.9.16 et inférieures D'autres implémentations du protocole 'DNS' sont probablement vulnérables. Messages 'DNS' compressés Erreur de codage Cisco 64994 http://www.cisco.com/warp/public/707/cisco-sn-20050524-dns.shtml NISCCC http://www.niscc.gov.uk/niscc/docs/re-20050524-00432.pdf NISCCC http://www.niscc.gov.uk/niscc/docs/re-20050524-00432.pdf CAN-2005-0036, CAN-2005-0037, CAN-2005-0038 ETHEREAL Nombreuses vulnérabilités dans 'Ethereal' De nombreuses vulnérabilités dans 'Ethereal' peuvent entraîner un déni de service ou l'exécution de code arbitraire. Forte 04/05 Ethereal 'ethereal' versions 0.8.14 à 0.10.10 Débordement de buffer, Erreur de chaîne de formatage, Pointeur NULL Correctif existant Se référer à l’avis original Ethereal http://www.ethereal.com/appnotes/enpa-sa-00019.html EXTREMENETWORK Elévation de privilèges dans 'ExtremeWare XOS' Une faille permet à un utilisateur non privilégié d'obtenir le contrôle total d'un équipement vulnérable. Critique 12/05 'ExtremeWare XOS' V11.1 inférieures à 11.1.3.3, ‘XOS’ V11.0 inférieures à 11.0.2.4, ‘XOS' 10 toutes versions Non disponible Correctif existant Non disponible Extreme Netw. http://www.extremenetworks.com/services/documentation/FieldNotices_FN0215-Security_Alert_EXOS.asp FREEBSD Multiples vulnérabilités dans 'FreeBSD' Plusieurs vulnérabilités peuvent autoriser un utilisateur à obtenir des informations et corrompre des données. Forte 06/05 FreeBSD 'FreeBSD' V4.6 à 5.3 FreeBSD 'FreeBSD' V4.7 à 5.3 (i386 et amd64) FreeBSD 'FreeBSD' V4.x et 5.x Erreur de conception Correctif existant Pilote 'iir' Manque de validation des données fournies en entrée Appel système 'i386_get_ldt()' Erreur de conception 'noyau' FreeBSD FreeBSD 05:08 ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-05:08.kmem.asc FreeBSD 05:06 ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-05:06.iir.asc FreeBSD 05:07 ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-05:07.ldt.asc CAN-2005-1399, CAN-2005-1400, CAN-2005-1406 GAIM Dénis de service dans 'GAIM' Deux vulnérabilités permettent de provoquer des dénis de service du client de messagerie. Forte 10/05 GAIM 'GAIM' versions inférieures à 1.3.0 Débordement de buffer Correctif existant Traitement des 'URL' Gestion du protocole 'MSN' Déréférencement de pointeur NULL GAIM 17 http://gaim.sourceforge.net/security/index.php?id=17 GAIM 16 http://gaim.sourceforge.net/security/index.php?id=16 CAN-2005-1261, CAN-2005-1262 GNU Déni de service dans 'GnuTLS' Une faille permet à un attaquant distant de provoquer un déni de service. Forte 28/04 GNU 'GnuTLS' versions 1.2.x inférieures à 1.2.3, versions 1.0.x inférieures à 1.0.25 Non disponible Correctif existant Paquets de type "record" gnutls-dev http://www.securitytracker.com/alerts/2005/May/1013861.html Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Page 36/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 Exécution de code arbitraire dans 'gdb' Une faille dans l'analyseur de code 'gdb' permet de provoquer l'exécution de code et de commandes arbitraires. Forte 20/05 GNU 'gdb' version 6.3 et inférieures Bibliothèque 'BFD' Débordement d'entier, Erreur de codage Aucun correctif Gentoo GLSA http://www.gentoo.org/security/en/glsa/glsa-200505-15.xml Exécution de commandes arbitraire dans 'zgrep' 'zgrep contient une faille qui permet de provoquer l'exécution de commandes arbitraires. Forte 10/05 GNU 'zgrep' version 1.2.4. Les versions précédentes sont probablement vulnérables. Paramètres ligne de commande Validation insuffisante des données en entrée Aucun correctif Gentoo Security Focus CAN-2005-0758 http://bugs.gentoo.org/show_bug.cgi?id=90626 http://www.securityfocus.com/bid/13582 Création non sécurisée de fichiers dans 'Shtool' Une création non sécurisée de fichiers temporaires peut entraîner la corruption de fichiers arbitraires. Moyenne 25/05 GNU 'Shtool' version 2.0.1 et inférieures 'Shtool' Création de fichiers temporaires non sécurisée Aucun correctif Zataz shtool Gentoo 93782 CAN-2005-1751 http://www.zataz.net/adviso/shtool-05252005.txt http://bugs.gentoo.org/show_bug.cgi?id=93782 GRAPHICSMAGICK Déni de service dans 'GraphicsMagick' Une faille permet de provoquer un déni de service du système. Forte 21/05 GraphicsMagick 'GraphicsMagick' version 1.1.6 et inférieures images 'XWD' Erreur de codage Aucun correctif Gentoo GLSA http://www.gentoo.org/security/en/glsa/glsa-200505-16.xml GROOVENETWORKS Multiples failles dans deux produits Plusieurs failles permettent en particulier de provoquer l'exécution de code arbitraire à distance. Moyenne 19/05 Groove Networks 'Virtual Office 3.1' builds inférieurs à 2338 Correctif existant US-CERT US-CERT US-CERT Groove Networks 'Virtual Office 3.1a' builds inférieurs à 2364 Groove 'Workspace' versions inférieures à 2.5n build 1871 Objets 'COM', Noms fichiers liés Erreur de conception 'OLE', Installation, Outils Validation insuffisante des données en entrée 'SharePoint'. http://www.kb.cert.org/vuls/id/372618 http://www.kb.cert.org/vuls/id/155610 http://www.kb.cert.org/vuls/id/443370 http://www.kb.cert.org/vuls/id/514386 http://www.kb.cert.org/vuls/id/232232 HP Accès distant non autorisé dans HP-UX 11 Une vulnérabilité permet à un attaquant distant d'obtenir un accès non autorisé au système. Forte 25/05 HP 'HP-UX' versions B.11.00, B.11.11, B.11.22 et B.11.23 Non disponible Correctif existant Non disponible HP HPSBUX01165 http://www4.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBUX01165 Vulnérabilité dans HP 'OpenView RMP' Une vulnérabilité permet d'acquérir un accès non autorisé ou de provoquer un déni de service. Forte 27/04 HP 'OpenView RMP V2.x fonctionnant avec 'Radia Management Agent' (Windows) Correctif existant HP HPSBMA01138 HP 'OpenView RMP V1.x fonctionnant avec 'Radia Management Agent' (Unix) RMP, RMA Non disponible http://www4.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBMA01138 Vulnérabilités dans HP 'OpenView ECS' Des vulnérabilités peuvent être exploitées afin de provoquer l'exécution de code arbitraire ou un déni de service. Forte 01/05 HP 'OpenView Event Correlation Services' versions 3.32 et 3.33 (HP-UX, Solaris, Linux, Windows NT à XP) Non disponible Correctif existant OV ECS HP HPSBMA01141 http://www4.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBMA01141 Vulnérabilités dans HP 'OpenView NNM' Des vulnérabilités peuvent être exploitées afin d'exécuter du code arbitraire ou de provoquer un déni de service. Forte 01/05 HP 'OpenView Network Node Manager' versions 6.2, 6.4, 7.01 et 7.50 (Unix) Non disponible Correctif existant OV NNM HP HPSBMA01140 http://www4.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBMA01140 Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Page 37/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 HTEDITOR Exécution de code arbitraire dans 'HT Editor' Deux failles ont été découvertes dans 'HT Editor', un outil d'analyse et d'édition de fichiers exécutables. Forte 10/05 HT Editor 'HT Editor' version 8.0 et inférieures Format 'ELF', Format 'PE' Débordement de tas et de buffer Aucun correctif Gentoo GLSA http://www.gentoo.org/security/en/glsa/glsa-200505-08.xml IBM Déni de service dans 'DB2' Une faille dans une fonction de 'DB2' permet à une application distante de provoquer un déni de service. Forte 04/05 IBM 'DB2' version 8 Erreur de codage Correctif existant Processus 'sqlcctcpgetbuffer' IBM 1205583 http://www-1.ibm.com/support/docview.wss?rs=71&context=SSEPGG&dc=D600&lang=en IMAGEMAGICK Déni de service dans 'ImageMagick' Une faille dans le traitement des images 'PNM' permet de provoquer un déni de service de l'application. Forte 25/04 ImageMagick 'ImageMagick' versions 6.0.0 à 6.2.1 Débordement de tas Correctif existant Images au format 'PNM' ImageMagick Overflow.pl 3 http://www.imagemagick.org/script/changelog.php http://www.overflow.pl/adv/imheapoverflow.txt Déni de service dans 'ImageMagick' Une faille dans le décodage des images 'XWD' permet de provoquer un déni de service du système. Forte 21/05 ImageMagick 'ImageMagick' versions inférieures à 6.2.2.3 Erreur de codage Correctif existant Images 'XWD' Gentoo GLSA http://www.gentoo.org/security/en/glsa/glsa-200505-16.xml INTEL Elévation de privilèges sur les architectures 'HTT' Une faille dans la technologie "Hyper-Threading" permet à un utilisateur local d'obtenir une élévation de privilèges. Forte 13/05 Intel 'Pentium Extreme Edition', 'Pentium 4', 'Mobile Pentium 4', 'Xeon' Non disponible Correctif existant Technologie 'HTT' FreeBSD Colin Percival CAN-2005-0103 ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-05:09.htt.asc http://www.daemonology.net/hyperthreading-considered-harmful IP Déni de service dans certaines implémentations de 'TCP' Une faille permet à un attaquant distant d'interrompre, sous certaines conditions, des connexions 'TCP' actives. Forte 18/05 Se référer à l’avis original Correctif existant Implémentation de la RFC 1323 Erreur de codage US-CERT OpenBSD Security Focus Microsoft Cisco CAN-2005-0356 http://www.kb.cert.org/vuls/id/JGEI-6ABPEC http://www.kb.cert.org/vuls/id/JGEI-6ABPDR http://www.kb.cert.org/vuls/id/637934 http://openbsd.org/errata36.html#tcp http://www.securityfocus.com/bid/13676 http://www.microsoft.com/technet/security/advisory/899480.mspx http://www.cisco.com/en/US/products/hw/ps4159/ps2160/products_security_notice09186a008046f502.html Exposition d'informations sensibles dans 'IPSec' Une faille permet à un attaquant distant de révéler le contenu de certains types de communications chiffrées. Forte 09/05 IETF 'IPSec' Chiffrement "CBC” Erreur de conception Aucun correctif NISCC CAN-2005-0039 http://www.niscc.gov.uk/niscc/docs/al-20050509-00386.html?lang=en KERIO Multiples vulnérabilités dans les produits Kerio Deux erreurs de conception de mener des attaques en force brute ou un déni de service du produit. Forte 29/04 Kerio 'WinRoute Firewall' V 6.0.10 et inférieures, 'MailServer' V 6.0.8 et inférieures, Correctif existant 'Personal Firewall' V 4.1.2 et inférieures Administration à distance Erreur de conception Kerio Kerio http://www.kerio.com/security_advisory.html http://www.kerio.com/security_advisory.html Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Page 38/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 LEAFNODE Déni de service dans 'leafnode' Une faille permet à un attaquant distant de provoquer un déni de service de l'application. Forte 04/05 Leafnode 'leafnode' versions 1.9.48 à 1.11.1 Erreur de codage Correctif existant Programme 'fetchnews' Leafnode http://leafnode.sourceforge.net/leafnode-SA-2005-01.txt LIBTIFF Exécution de code arbitraire dans 'libTIFF' Une faille permet de provoquer un déni de service des applications liées et l'exécution de code arbitraire. Forte 10/05 LibTIFF 'libtiff' version 3.7.2. Les versions précédentes sont probablement vulnérables. Débordement de buffer Correctif existant Traitement des images TIFF LibTIFF v3.7.2 http://www.remotesensing.org/libtiff/v3.7.2.html LINUX Elévation de privilèges locale dans le noyau Linux Une faille dans la création des fichiers "core" permet à un utilisateur local d'obtenir les privilèges de"root". Forte 11/05 Linux 'noyau' V 2.2.0 à 2.2.27-rc2, V 2.4.0 à 2.4.31-pre1, V 2.6.0 à 2.6.11.8, V 2.6.12-rc1 à 2.6.12-rc4 Erreurs de codage Correctif existant 'elf_core_dump()' Linux CAN-2005-1263 http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.11.9 LINUX DEBIAN Deux vulnérabilités dans le paquetage 'cvs' un attaquant distant peut obtenir un accès sur le serveur et mener des attaques de type déni de service. Forte 27/04 Debian GNU/Linux version 3.0 (woody) Erreur de codage Correctif existant Paquetage 'cvs' Debian DSA-715 http://www.debian.org/security/2005/dsa-715 CAN-2004-1342, CAN-2004-1343 LINUX REDHAT Déni de service des plates-formes RHEL 3 Une vulnérabilité dans le noyau Linux des plates-formes Red Hat Enterprise Linux peut entraîner un déni de service. Forte 18/05 Red Hat 'Red Hat Desktop' V 3, 'Red Hat Enterprise Linux' AS, ES et WS V 3 Erreur de codage Correctif existant Système de fichiers 'xattr' Red Hat CAN-2005-0757 https://rhn.redhat.com/errata/RHSA-2005-294.html Elévation de privilèges dans le noyau Linux (RHEL 3) Une vulnérabilité dans le noyau Linux des plates-formes Red Hat RHEL 3 peut entraîner une élévation de privilèges. Moyenne 25/05 Red Hat V3 Correctif existant Gestion de la mémoire partagée Erreur de codage Red Hat 472-05 CAN-2004-0491 https://rhn.redhat.com/errata/RHSA-2005-472.html MAILENABLE Déni de service du serveur 'SMTP' Une vulnérabilité non documentée dans 'MailEnable' peut entraîner un déni de service du serveur 'SMTP'. Forte 23/05 MailEnable 'MailEnable Professional' version 1.5 et suivantes, 'MailEnable Enterprise' toutes versions Non disponible Correctif existant Serveur 'SMTP' MailEnable http://www.mailenable.com/hotfix/ MARADNS Une faille non documentée affecte 'MaraDNS' Une faille a été signalée dans le générateur de nombres aléatoires du serveur DNS 'MaraDNS'. N/A 02/05 MaraDNS 'MaraDNS' versions inférieures à 1.0.27 Correctif existant Générateur nombres aléatoires Non disponible MaraDNS http://www.maradns.org/changelog.html MICROSOFT Prise de contrôle à distance dans 'MSN Messenger' Une faille permet à un attaquant distant de prendre le contrôle d'une machine vulnérable. Critique 17/05 Microsoft 'MSN Messenger' versions 6.1 et 6.2 Non disponible Correctif existant Non disponible M KB890261 http://www.microsoft.com/downloads/details.aspx?familyid=ebe898d8-fe1c-4a5e-993c-5fab3e62c925&…n Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Page 39/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 Exécution de code dans l'explorateur de fichiers Une faille dans l'explorateur de fichiers de plusieurs versions de Windows permet de provoquer l'exécution de code arbitraire. Forte 10/05 Microsoft 'Windows 2000' SP3 et SP4, 98, 98 SE, Me (Millenium edition) Validation insuffisante des données en entrée Correctif existant Bibliothèque 'webvw.dll' GreyMagic MS05-024 CAN-2005-1191 http://www.greymagic.com/security/advisories/gm015-ie http://www.microsoft.com/technet/security/Bulletin/MS05-024.mspx Exposition d'informations dans 'ASP.NET' Les messages d'erreur permettent à un attaquant d'obtenir des informations potentiellement sensibles. Faible 18/05 Microsoft '.Net' version 1.1 (Windows 2000 + IIS 5.0 + .Net), 'IIS' version 6.0 (Windows 2003) Messages d'erreur par défaut Erreur de conception Aucun correctif Microsoft Net square http://msdn.microsoft.com/library/en-us/vbcon/html/vbtskdisplayingsafeerrormessages.asp http://net-square.com/advisory/NS-051805-ASPNET.pdf MOZILLA Exécution de code arbitraire à distance dans 'Firefox' Deux vulnérabilités permettent de provoquer à distance l'exécution de code arbitraire dans le navigateur. Forte 07/05 Mozilla 'Firefox' version 1.0.3 et inférieures Gestion des URL JavaScript Erreur de conception Aucun correctif Secunia Mozilla Security Security Tracker Bugtraq Fonction 'InstallTrigger.install()' Validation insuffisante des données en entrée http://secunia.com/advisories/15292 http://www.mozilla.org/security/#Security_Alerts http://securitytracker.com/alerts/2005/May/1013913.html http://www.securityfocus.com/archive/1/397747 Exposition d'informations sensibles dans 'Bugzilla' Deux failles permettent de provoquer l'exposition d'informations sensibles et d'obtenir un accès non autorisé. Forte 11/05 Mozilla 'Bugzilla' versions 2.10 à 2.18, 2.19.1 et 2.19.2 Correctif existant Bugzilla 2.16.8 Mozilla 'Bugzilla' versions 2.17.1 à 2.18, 2.19.1 et 2.19.2 enter_bug.cgi Erreur de conception userprefs.cgi, CGI.pm, chart.cgi Erreur de codage http://www.bugzilla.org/security/2.16.8 Multiples failles dans 'Mozilla Suite' et 'Firefox' Deux failles permettent l'injection et l'exécution de scripts arbitraires, des attaques de type "CSS" et une élévation de privilèges. Forte 11/05 Mozilla 'Firefox' versions inférieures à 1.0.4 Correctif existant Mozilla 2005-43 Mozilla 2005-44 Mozilla 'Mozilla Suite' versions inférieures à 1.7.8 'view-source:' et 'jar:' Erreur de codage Fonctions 'eval()' et 'script()' Erreur de conception http://www.mozilla.org/security/announce/mfsa2005-43.html http://www.mozilla.org/security/announce/mfsa2005-44.html NASM Débordement de pile dans 'nasm' Un débordement de pile peut entraîner l'exécution de code arbitraire. Forte 04/05 nasm 'nasm' versions 0.98.x Fonction 'ieee_putascii()' Débordement de pile Aucun correctif Red Hat CAN-2005-1194 https://rhn.redhat.com/errata/RHSA-2005-381.html NET-SNMP Exécution de code arbitraire dans 'fixproc' Une faille permet de provoquer l'exécution de code arbitraire et la corruption de fichiers arbitraires. Forte 23/05 Net-SNMP 'net-snmp' version 5.2.1 et inférieures Fichiers temporaires Erreur de conception Aucun correctif Gentoo GLSA http://www.gentoo.org/security/en/glsa/glsa-200505-18.xml NOVELL Multiples débordements dans Novell 'ZENworks' De multiples débordements d'entier et de tas peuvent entraîner la compromission du système. Critique 18/05 Desktop Management' V 6.5 (ZfD6.5), Server Management' V 6.5 (ZfS6.5) Aucun correctif Bugtraq Novell 10097644 CAN-2005-1543 Desktops' V 4.x, Servers' V 3.x, Remote Management' Application 'zenrem32.exe' Débordement de pile et de tas http://www.securityfocus.com/archive/1/398494 http://support.novell.com/cgi-bin/search/searchtid.cgi?/10097644.htm Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Page 40/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 OOPS Exécution de code arbitraire dans le proxy 'oops' Une faille dans le proxy HTTP 'oops' permet à un attaquant distant de provoquer l'exécution de code arbitraire. Forte 09/05 Oops! 'oops' version 1.5.23 et inférieures Erreur de chaîne de formatage Correctif existant Fichier 'passwd_sql.c' Gentoo GLSA Oops! http://www.gentoo.org/security/en/glsa/glsa-200505-02.xml http://zipper.paco.net/~igor/oops/diff_from_1.5.23.patch.gz PERL Exécution de code arbitraire dans 'Convert::UUlib' Une faille dans la bibliothèque de conversion 'Convert::UUlib' permet de provoquer l'exécution de code arbitraire. Forte 25/02 Perl 'Convert::UUlib' versions inférieures à 1.05 Débordement de buffer Correctif existant Opération de lecture Gentoo GLSA CPAN Convert http://www.gentoo.org/security/en/glsa/glsa-200504-26.xml http://search.cpan.org/src/MLEHMANN/Convert-UUlib-1.051/Changes Réduction de la sécurité dans 'Net::SSLeay' Une erreur dans une bibliothèque de chiffrement peut entraîner une réduction du niveau de sécurité qu'elle fournit. Forte 03/05 Perl 'Net::SSLeay' versions 1.25 et inférieures Bibliothèque 'SSLeay.pm' Erreur de conception Aucun correctif Ubuntu USN-113 CAN-2005-0106 http://www.ubuntulinux.org/support/documentation/usn/usn-113-1 PHPMYADMIN Exposition d'informations dans 'phpmyadmin' Une erreur permet à un utilisateur local d'obtenir des informations sensibles. Forte 30/04 phpMyAdmin 'phpmyadmin' version 2.6.2 Procédure d'installation Droits d'accès trop permissifs Aucun correctif Gentoo GLSA http://www.gentoo.org/security/en/glsa/glsa-200504-30.xml PHPSYSINFO "Cross-Site Scripting" dans 'phpSysInfo' Plusieurs failles peuvent être exploitées afin d'obtenir des informations ou de mener des attaques de type “CSS” Forte 23/03 PhpSysInfo 'phpSysInfo' version 2.3 Se référer à l’avis original Erreur de codage, Mauvaise validation des paramètres en entrée Aucun correctif Debian dsa-724 http://www.debian.org/security/2005/dsa-724 Bugtraq http://www.securityfocus.com/archive/1/394086 CAN-2005-0869, CAN-2005-0870 POSTGRESQL Deux vulnérabilités dans la base de données PostgreSQL Deux vulnérabilités peuvent entraîner, entre autres, un déni de service potentiel. Forte 02/05 PostgreSQL 'PostgreSQL' versions 7.3 à 8.0.2 Aucun correctif Secunia SA15217 PostgreSQL PostgreSQL 'PostgreSQL' versions 7.4 à 8.0.2 Conversion jeux de caractères Mauvaise validation des arguments Module 'contrib/tsearch2' Erreur de conception http://secunia.com/advisories/15217/ http://www.postgresql.org/about/news.315 PPXP Elévation de privilèges via 'ppxp' Une vulnérabilité autorise un utilisateur local malicieux à acquérir des droits privilégiés. Forte 19/05 Ppxp 'ppxp' version non disponible Fichiers de journalisation Mauvais relâchement des privilèges Aucun correctif Debian DSA-725 CAN-2005-0392 http://www.debian.org/security/2005/dsa-725 PROCMAIL Vulnérabilité dans 'smartlist' Une erreur de codage peut entraîner l'inscription d'adresses mail arbitraires. Moyenne 03/05 Procmail 'smartlist' version 3.15 et inférieures Fonctionnalité "confirm add-on" Erreur de codage Aucun correctif Debian DSA-720 CAN-2005-0157 http://www.debian.org/security/2005/dsa-720 Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Page 41/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 QUALCOMM Multiples vulnérabilités dans 'Qpopper' De multiples vulnérabilités affectent le serveur POP3 'Qpopper' de Qualcomm. Forte 23/05 Qualcomm 'Qpopper' version 4.0.5 et inférieures. Mauvaise gestion des droits privilégiés Correctif existant Gestion de fichiers locaux Création de fichiers Mauvaise gestion des privilèges sur les fichiers Qualcomm ftp://ftp.qualcomm.com/eudora/servers/unix/popper/Changes Gentoo GLSA http://www.gentoo.org/security/en/glsa/glsa-200505-17.xml CAN-2005-1151, CAN-2005-1152 ROOTKIT.NL Corruption d'informations dans "Rootkit Hunter" L'outil comporte plusieurs failles permettant de provoquer la corruption de fichiers arbitraires du système. Moyenne 26/04 Rootkit.nl 'rkhunter' version 1.2.4 et inférieures 'check_update.sh' et 'rkhunter' Création de fichiers temporaires non sécurisée Aucun correctif Gentoo GLSA Rootkit.nl CAN-2005-1270 http://www.gentoo.org/security/en/glsa/glsa-200504-25.xml http://www.rootkit.nl/articles/rootkit_hunter_changelog.html SAMBAR "Cross-Site Scripting" dans 'Sambar Server' Des erreurs peuvent autoriser un attaquant distant à mener des attaques de type "Cross-Site Scripting". Forte 20/05 Sambar 'Sambar Server' version 6.2. D'autres versions sont peut-être vulnérables. Non disponible Correctif existant 'search' et 'logout' Sambar Cross Secunia http://www.sambar.com/security.htm http://secunia.com/advisories/15465/ SQUID Corruption de réponses 'DNS' dans 'squid' Une faille permet à un utilisateur distant d'usurper le rôle du serveur 'DNS' auprès de celui-ci. Forte 11/05 Squid 'squid' version 2.5.STABLE9 et précédentes Non disponible Correctif existant Traitement des requêtes 'DNS' Squid http://www.squid-cache.org/Versions/v2/2.5/bugs/#squid-2.5.STABLE9-dns_query Déni de service dans le proxy 'Squid' Une erreur de codage dans le proxy 'Squid' peut entraîner un déni de service du serveur. Forte 04/02 Squid 'Squid' versions 2.5.STABLE7 Correctif existant Bugtraq Squid CAN-2005-0718 D'autres versions sont peut-être vulnérables. HTTP 'PUT' et 'POST' Erreur de codage http://www.securityfocus.com/bid/13166 http://www1.uk.squid-cache.org/Versions/v2/2.5/bugs/#squid-2.5.STABLE7-post Multiples failles dans le proxy 'Squid' Plusieurs failles permettent de provoquer des dénis de service et des corruptions de cache du proxy. Forte 23/04 Squid 'Squid' version 2.5.STABLE7 et précédentes Validation insuffisante des données en entrée Correctif existant En-têtes de requêtes HTTP Squid http://www.squid-cache.org/Advisories/SQUID-2005_5.txt Squid http://www.squid-cache.org/Advisories/SQUID-2005_4.txt CAN-2005-1389, CAN-2005-1390 Fausse impression de sécurité dans 'squid' Une faille dans le proxy 'squid' peut provoquer une prise en compte incomplète de sa configuration. Moyenne 06/05 Squid 'squid' version 2.5.STABLE9 et précédentes Erreur de codage Correctif existant Configuration 'http_access' Squid http://www.squid-cache.org/Versions/v2/2.5/bugs/#squid-2.5.STABLE9-acl_error SUN Déni de service distant du service 'NIS+' Une faille permet à un utilisateur local ou distant de provoquer un déni du service 'NIS+'. Forte 04/05 Sun 'Solaris' versions 7 à 9 Non disponible Correctif existant Non disponible Sun 57780 http://sunsolve.sun.com/search/document.do?assetkey=1-26-57780-1 Destruction d'informations dans 'StorEdge 6130' Une faille permet à un utilisateur local ou distant de supprimer des fichiers arbitraires sur une unité vulnérable. Forte 05/05 Sun 'StorEdge 6130' numéros 0451AWF00G à 0513AWF00J Non disponible Correctif existant Non disponible Sun 57771 http://sunsolve.sun.com/search/document.do?assetkey=1-26-57771-1 Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Page 42/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 Déni de service local de 'autofs' Un utilisateur local non privilégié peut empêcher l'accès aux systèmes de fichiers de type 'autofs' Moyenne 10/05 Sun 'Solaris ' versions 7 à 9 Non disponible Correctif existant Démon 'automountd' Sun 57786 http://sunsolve.sun.com/search/document.do?assetkey=1-26-57786-1 SYMANTEC Contournement de l'analyse des produits Symantec Une erreur de conception peut autoriser le contournement de l'analyse par des fichiers malicieux. Forte 27/04 Se référer à l’avis original Erreur de conception Correctif existant Composant pour l'analyse Symantec http://www.symantec.com/avcenter/security/Content/2005.04.27.html WORDPRESS "Cross-Site Scripting" dans WordPress Deux scripts de l'éditeur de texte 'WordPress' sont vulnérables à des attaques de type "Cross-Site Scripting". Forte 09/05 WordPress 'WordPress' versions inférieures à 1.5.1 Validation insuffisante des données en entrée Correctif existant Scripts 'edit.php' et 'post.php' WordPress http://wordpress.org/development/2005/05/one-five-one ALERTES NON CONFIRMEES Les alertes présentées dans les tables de synthèse suivantes ont été publiées dans diverses listes d’information mais n’ont pas encore fait l’objet d’une annonce ou d’un correctif de la part de l’éditeur. Ces alertes nécessitent la mise en place d’un processus de suivi et d’observation. 4D Exécution de code arbitraire dans 'Webstar' (Mac OS X) Une faille dans 'Webstar' permet de provoquer un déni de service et l'exécution de code arbitraire. Forte 06/05 4D 'Webstar' version 5.x (Mac OS X) Plugin 'Web Server Tomcat' Débordement de buffer Aucun correctif Bugtraq 397707 http://www.securityfocus.com/archive/1/397707 602SOFTWARE Déni de service dans '602LAN Suite' Une faille permet de provoquer un déni de service d'un serveur vulnérable et de vérifier la présence de fichiers. Forte 10/05 602 Software '602LAN SUITE' version 2004.0.05.0413. D'autres versions sont peut-être vulnérables. Script Web 'mail' Validation insuffisante des données en entrée Aucun correctif Secunia 15231 CAN-2005-1423 http://secunia.com/advisories/15231 ADOBE Exposition d'informations dans 'SVG Viewer' Une vulnérabilité dans Adobe 'SVG Viewer' peut entraîner une exposition d'informations. Forte 04/05 Adobe 'SVG Viewer' versions 3.02 et inférieures Non disponible Correctif existant Contrôle ActiveX 'NPSVG3.dll' Bugtraq 397513 http://www.securityfocus.com/archive/1/397513 ALWIL SOFTWARE Elévation de privilèges dans l'anti-virus 'Avast!' Une vulnérabilité dans l'anti-virus 'Avast!' peut entraîner une élévation de privilèges. Forte 27/05 ALWIL Software 'Avast! Antivirus' version 4.6 Mauvaise validation des données Correctif existant Pilote fourni avec 'Avast!' Bugtraq http://www.securityfocus.com/archive/1/399039 Vulnérabilité dans l'anti-virus 'Avast!' pour NT4.0 Une vulnérabilité non documentée affecte l'anti-virus 'Avast!'. Elle peut empêcher la détection de code malicieux. Forte 18/05 ALWIL Software 'Avast! Antivirus' version 4.6.623 et inférieures sur Windows NT4.0 Non disponible Correctif existant Non disponible SecurityTracker http://securitytracker.com/id?1013991 APPLE Débordement de buffer dans le navigateur 'Safari' Un débordement de buffer peut entraîner un déni de service de l'application. Forte 28/04 Apple 'Safari' version 1.3 (v312). D'autres versions sont peut-être vulnérables. Support du protocole 'HTTPS' Débordement de buffer Aucun correctif Bugtraq BID http://www.securityfocus.com/bid/13432 Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Page 43/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 Exécution de code arbitraire dans 'Dashboard' Plusieurs erreurs de conception permettent d'exécuter du code arbitraire sur une machine vulnérable. Forte 09/05 Apple 'Dashboard' (Mac OS X version 10.4.0) Widgets pour 'Dashboard' Erreurs de conception Aucun correctif Stephan.com Columbia.edu Net-Security Widgets homonymes Demandes de privilèges http://stephan.com/widgets/zaptastic http://www1.cs.columbia.edu/~aaron/files/widgets http://www.net-security.org/vulnerability.php?id=16499 Exposition d'informations dans 'QuickTime' version 7 Une faille permet à un attaquant distant de collecter des informations potentiellement sur le poste de sa victime. Moyenne 11/05 Apple 'QuickTime' version 7 (Mac OS X version 10.4.0) Format de document 'QTZ' Erreur de conception Aucun correctif +rwx http://remahl.se/david/vuln/018 BAKBONE Elévation de privilèges dans 'NetVault' Une faille permet à un utilisateur local d'obtenir une élévation de ses privilèges. Forte 27/04 BakBone 'NetVault' version 7.1 Programme 'nvstatsmngr.exe' Erreur de conception Aucun correctif Bugtraq http://www.securityfocus.com/archive/1/397067 Exécution de code arbitraire dans 'Netvault' Une faille permet à un attaquant distant d'exécuter du code arbitraire à distance. Forte 15/05 Bakbone 'Netvault' version non disponible Non disponible Débordement de tas Aucun correctif Securiteam http://www.securiteam.com/exploits/5ZP0E1FFPK.html BZIP2 Déni de service via 'bzip2' Une vulnérabilité peut entraîner un déni de service de la plate-forme. Forte 17/05 Bzip2 'bzip2' version 1.0.2 Décompression d'archives Erreur de codage Aucun correctif Bugtraq 13657 CAN-2005-1260 http://www.securityfocus.com/bid/13657 CA Prise de contrôle via une bibliothèque anti-virale Une faille permet à un attaquant distant de prendre le contrôle d'une machine vulnérable. Critique 22/05 Se référer à l’avis original Analyse des flux 'OLE' Validation insuffisante des données en entrée Aucun correctif rem0te.com vet http://www.rem0te.com/public/images/vet.pdf DAVFS2 Mauvaise gestion des permissions Unix dans 'davfs2' Une vulnérabilité peut autoriser un utilisateur local à obtenir et/ou corrompre des informations sensibles. Forte 25/05 Davfs2 'davfs2' version 0.2.2 Non disponible Erreur de conception Aucun correctif Bugtraq http://www.securityfocus.com/bid/13770 D-LINK Prise de contrôle à distance de plusieurs routeurs. Plusieurs routeurs de la gamme D-Link permettent à un attaquant distant d'en prendre le contrôle à distance. Critique 20/05 D-Link 'DSL-502T','DSL-504T', 'DSL-562T', 'DSL-G604T' Interface Web d'administration Erreur de conception Aucun correctif Full Disclosure http://lists.grok.org.uk/pipermail/full-disclosure/2005-May/034175.html FREERADIUS Multiples vulnérabilités dans 'FreeRADIUS' Deux vulnérabilités permettent à un utilisateur d'exposer ou de corrompre des informations sensibles, de prendre le contrôle de l'application et potentiellement d'exécuter du code arbitraire. Critique 17/05 FreeRADIUS 'FreeRADIUS' version 1.0.2 Fichier 'RLM_SQL.C' Validation insuffisante des données en entrée, Débordement de buffer Aucun correctif Security Focus http://www.securityfocus.com/bid/13540 Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés http://www.securityfocus.com/bid/13541 Page 44/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 GFORGE Exécution de commandes arbitraires via 'GForge' Un manque de validation peut entraîner l'exécution de commandes arbitraires. Forte 24/05 GForge 'GForge' versions inférieures à 4.0 Validation insuffisante des données en entrée Correctif existant Composant 'scm' Bugtraq http://www.securityfocus.com/archive/1/398819 GNOME Déni de service dans 'gedit' Une faille dans 'gedit' permet de provoquer un déni de service de cet éditeur de texte. Forte 22/05 Gnome 'gedit' versions 2.10.2 et 2.8.3 Nom de fichiers binaires Non disponible Aucun correctif SecuriTeam http://www.securiteam.com/unixfocus/5PP0Q0KFPI.html GNU Multiples vulnérabilités dans 'Mailutils' De multiples vulnérabilités peuvent entraîner l'exécution de commandes arbitraires et un déni de service. Forte 25/05 GNU 'Mailutils' versions 0.5 et 0.6 Erreur de chaîne de formatage, Erreur de codage, Débordement de buffer Correctif existant Serveur 'imap4d' iDefense 246/249 http://www.idefense.com/application/poi/display?id=248 CAN-2005-1523, CAN-2005-1522, CAN-2005-1521, CAN-2005-1520 246 247 249 HORDE "Cross-Site Scripting" dans les applications Horde De multiples permettent de mener des attaques de type "Cross-Site Scripting". Forte 25/04 Se référer l’avis original Validation insuffisante des données en entrée Correctif existant Interface Web FrSIRT http://www.frsirt.com/bulletins/1085 Fausse impression de sécurité dans 'Horde' Un développeur d'application 'Horde' peut omettre d'inclure certaines étapes de la validation des données entrées, étapes qui semblent implicites dans 'Horde' mais ne sont pas implémentées. Moyenne 04/05 Horde 'Horde' version non disponible Erreur de conception Correctif existant Classe 'Horde_Form' Full Disclosure http://lists.grok.org.uk/pipermail/full-disclosure/2005-May/033772.html IBM "Cross-Site Scripting" dans 'Websphere' Une vulnérabilité peut autoriser un attaquant distant à mener des attaques de type "Cross-Site Scripting". Forte 25/04 IBM 'Websphere Application Server' version 6.0 Page d'erreur 404 Manque de validation des données fournies en entrée Aucun correctif Bugtraq http://www.securityfocus.com/bid/13349 INVESTIGATIONS Dissimulation d'informations grâce à 'DCO' La technologie DCO permet de dissimuler des informations aux outils de collecte de preuves. Forte 11/05 T13 'ATA' version 6 et supérieures Non prise en compte par les outils d'investigation Correctif existant Technologie 'DCO' Vidstrom.net Bugtraq http://vidstrom.net/stools/taft http://www.securityfocus.com/archive/1/398057 http://www.securityfocus.com/archive/1/398005 IPSWITCH Multiples vulnérabilités dans 'IMail Server' De multiples vulnérabilités peuvent entraîner un déni de service et l'exécution de code avec des droits privilégiés. Critique 24/05 Ipswitch 'IMail Server' version 8.13, version 8.12. D'autres versions sont peut-être vulnérables. Mauvaise gestion de la commande 'LSUB' Correctif existant Démon 'IMAP' Serveur 'Web Calendaring' Débordement de buffer, Traversée de répertoire iDefense 242 http://www.idefense.com/application/poi/display?id=241 242 243 244 CAN-2005-1249, CAN-2005-1256, CAN-2005-1252, CAN-2005-1254, CAN-2005-1255 245 KERIO Dénis de service dans 'MailServer' Deux failles dans 'MailServer' de Kerio permettent à un attaquant de provoquer un déni de service du produit. Forte 13/05 Kerio 'MailServer' versions inférieures à 6.10 Correctif existant 'eml', Emails via 'IMAP' ou 'KOC' 1, 2 - Non disponible Secunia http://secunia.com/advisories/15360 Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Page 45/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 LINUX Elévation de privilèges dans le noyau Linux Un manque de validation peut entraîner l'exécution de code arbitraire avec des droits privilégiés. Forte 17/05 Linux 'noyau' versions 2.6 à 2.6.11.8 Manque de validation des données en entrée Correctif existant 'raw_ioctl()' et 'pkt_ioctl()' Secunia http://secunia.com/advisories/15392/ CAN-2005-1264, CAN-2005-1589 Déni de service du noyau Linux 2.6 Une vulnérabilité non documentée affecte le noyau Linux 2.6. Elle peut entraîner un déni de service su système. Moyenne 10/03 Linux 'noyau' versions 2.6.10 à 2.6.11.7 Non disponible Correctif existant Fichier 'security/keys/key.c' BitKeeper http://linux.bkbits.net:8080/linux-2.6/cset%40423078fafVa6mAyny23YZ87hDipmTw Déni de service local du noyau Linux 2.6 Une erreur de codage peut être exploitée par un utilisateur local afin d'entraîner un déni de service du système. Moyenne 03/05 Linux 'noyau' versions inférieures 2.6.11.8 Erreur de codage Correctif existant Pilotes 'it87' et 'via686a' SecurityTracker http://securitytracker.com/id?1013862 L-SOFT Multiples vulnérabilités dans 'LISTSERV' De multiples vulnérabilités peuvent entraîner l'exécution de code arbitraire et un déni de service. Forte 25/05 L-Soft 'LISTSERV' version 1.8d, 1.8e et 14.3 Non disponible Correctif existant Non disponible Bugtraq http://www.securityfocus.com/archive/1/398919 http://www.securityfocus.com/bid/13768 MACROMEDIA "Cross-Site Scripting" via Macromedia 'ColdFusion MX' Une vulnérabilité peut autoriser un attaquant distant à mener des attaques de type "Cross-Site Scripting". Forte 26/04 Macromedia 'ColdFusion MX' version 7 Page d'erreur 404 Manque de validation des données en entrée Aucun correctif Secunia SA15050 http://secunia.com/advisories/15050/ MAILSCANNER Fausse impression de sécurité via 'MailScanner' Une vulnérabilité peut entraîner un rapport incomplet d'une analyse d'un fichier ZIP malicieux. Moyenne 24/05 MailScanner 'MailScanner' version 4.41.3. D'autres versions sont peut-être vulnérables. Non disponible Correctif existant Analyse des fichiers ZIP SecurityTracker http://securitytracker.com/id?1014024 MERAK Multiples vulnérabilités dans IceWarp Web Mail De multiples vulnérabilités permettent d'exposer ou de corrompre des informations potentiellement sensibles. Forte 10/05 Merak 'Mail Server' version 8.0.3 avec Icewarp Web Mail version 5.4.2 Scripts divers Validation insuffisante des données en entrée Aucun correctif Secunia 15249 http://secunia.com/advisories/15249 MICROSOFT Débordement de buffer dans 'Word' Un débordement de buffer affecte Microsoft 'Word', pouvant être exploité afin d'exécuter du code arbitraire. Forte 19/05 Microsoft 'Word' version non disponible Gestion des fichiers '.mcw' Débordement de buffer Aucun correctif Bugtraq 398546 http://www.securityfocus.com/archive/1/398546 Vulnérabilités dans 'ASP.Net' Deux erreurs peuvent entraîner un déni de service du serveur ou le contournement des restrictions de sécurité. Forte 05/05 Microsoft 'ASP.Net' versions 1.x Formulaire '__VIEWSTATE' Erreur de conception Aucun correctif Secunia SA15241 http://secunia.com/advisories/15241/ MYSQL Débordement de pile dans 'MaxDB Webtool' Un débordement de pile peut entraîner l'exécution de code arbitraire. Critique 26/04 MySQL 'MaxDB' version 7.5.00.23 Débordement de pile Correctif existant Serveur 'Webtool' iDefense 236 http://www.idefense.com/application/poi/display?id=236&type=vulnerabilities Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Page 46/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 Multiples vulnérabilités dans 'MaxDB Webtool' Deux débordements de pile peuvent entraîner l'exécution de code arbitraire. Critique 25/04 MySQL 'MaxDB' version 7.5.00.23 Débordement de pile Correctif existant Divers iDefense 234/235 CAN-2005-0684 http://www.idefense.com/application/poi/display?id=234 235 Elévation de privilèges dans 'MySQL' Une erreur de conception dans un script de la base de données 'MySQL' peut autoriser une élévation de privilèges. Moyenne 17/05 MySQL 'MySQL' versions inférieures à 4.1.12, 'MySQL' version 5.0.4 et inférieures Erreur de conception Correctif existant Script d'installation Full-Disclosure http://lists.grok.org.uk/pipermail/full-disclosure/2005-May/034104.html NETEYES Multiples failles dans l'interface Web des 'NexusWay' Plusieurs failles permettent notamment de prendre le contrôle à distance de ces appliances. Critique 11/05 Neteyes 'NexusWay' version non disponible Divers Validation insuffisante des données en entrée Aucun correctif Full Disclosure http://lists.grok.org.uk/pipermail/full-disclosure/2005-May/033945.html OLLYDBG Exécution de code arbitraire dans 'OllyDbg' Une faille dans l'analyseur de code de "OllyDbg" permet de provoquer l'exécution de code arbitraire. Forte 13/05 OllyDbg 'OllyDbg' version 1.10 Instructions 'INT3' Erreur de chaîne de formatage Aucun correctif Specialised.info http://pb.specialised.info/all/adv/olly-int3-adv.txt ORACLE Vulnérabilités dans la base de données 'Oracle' Des erreurs peuvent entraîner la désactivation d'une fonctionnalité, ou autoriser l’acquisition de droits privilégiés. Forte 05/05 Oracle 'Oracle Database 9i' et 'Oracle Database 10g' Erreur de conception Correctif existant "FGA”,"DBMS_Scheduler" Bugtraq BID http://www.securityfocus.com/bid/13509 CAN-2005-1495, CAN-2005-1496 http://www.securityfocus.com/bid/13510 OSTICKET Multiples vulnérabilités dans 'osTicket' De multiples vulnérabilités peuvent entraîner, entre autres, l'injection de scripts arbitraires et de code SQL. Forte 02/05 osTicket 'osTicket' version non disponible Manque de validation des données en entrée, Erreur de codage Correctif existant Se référer à l’avis original GulfTech http://www.gulftech.org/?node=research&article_id=00071-05022005 PROCPS Exécution de code arbitraire dans 'pwdx' Deux failles fourni dans le paquetage 'procps' permettent de provoquer l'exécution de code arbitraire. Forte 26/04 Procps 'pwdx' version 3.2.5 et précédentes Fichier 'pwdx.c' Débordement de buffer, Erreur de chaîne de formatage Aucun correctif Vuln-Dev http://archives.neohapsis.com/archives/vuln-dev/2005-q2/0005.html Exécution de code arbitraire dans 'top' Deux failles permettent de provoquer un déni de service de l'application et l'exécution de code arbitraire. Forte 06/05 Procps 'procps' version 2.0.7-25 Fichier de configuration '.toprc' Débordement de buffer Aucun correctif Vuln-dev 22 et 25 Variable '$HOME' 25.html Err eur! Signet non défini. Exécution locale de code arbitraire dans 'vmstat' Une faille permet à un utilisateur local de provoquer l'exécution de code arbitraire. Moyenne 17/05 Procps 'procps' version 3.2.5 Utilitaire 'vmstat' Débordement de buffer Aucun correctif Vuln-dev http://archives.neohapsis.com/archives/vuln-dev/2005-q2/0030.html Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Page 47/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 QMAIL Multiples vulnérabilités dans 'qmail' De multiples failles permettent de provoquer des dénis de service applicatifs. Forte 06/05 QMail 'qmail' version non disponible (plates-formes 64 bits) Se référer à l’avis original Débordement d'entier, Erreur de codage Aucun correctif G Guninski 74 http://www.guninski.com/where_do_you_want_billg_to_go_today_4.html RSA SECURITY Débordement de tas dans 'RSA Authentication Agent' Un débordement de tas peut autoriser un attaquant distant à exécuter du code arbitraire avec des droits privilégiés. Critique 06/05 RSA Security 'RSA Authentication Agent' versions 5, 5.2 et 5.3 pour IIS Débordement de tas Correctif existant Non disponible Sec-1 http://lists.grok.org.uk/pipermail/full-disclosure/2005-May/033813.html SUN Exposition d'informations sensibles via 'JavaMail' Un manque de validation par 'JavaMail' peut entraîner l'exposition d'informations sensibles. Forte 24/05 Sun 'JavaMail' versions 1.1.3, 1.2, 1.3 et 1.3.2 'JavaMail' Validation insuffisante des données en entrée Aucun correctif Bugtraq http://www.securityfocus.com/bid/13753 Exposition d'informations dans 'JavaMail' Une erreur permet à un utilisateur d'un système de messagerie de lire les messages appartenant à d'autres. Moyenne 19/05 Sun 'JavaMail API', 'Java Enterprise Edition' version 2, 'Solstice Internet Mail Server' version 2.0 Gestion du numéro de message Validation insuffisante des données en entrée Aucun correctif Securiteam http://www.securiteam.com/securitynews/5EP0D2KFPC.html TCPDUMP Multiples dénis de service dans 'tcpdump' et 'ethereal' Quatre failles permettent de provoquer un déni de service à distance. Forte 26/04 Tcpdump 'tcpdump' V 3.8.0 à 3.9.0, Ethereal 'ethereal' V 0.10.10 Non disponible Correctif existant 'ISIS', 'BGP', 'LDP', 'RSVP' Bugtraq http://www.securityfocus.com/archive/1/396930 http://www.securityfocus.com/archive/1/396932 XINE Exécution de code arbitraire dans 'gxine' Une faill permet de provoquer l'exécution de code arbitraire à distance. Forte 22/05 Xine 'gxine' versions 0.4.0 à 0.4.4 Interface graphique 'gxine' Erreur de chaîne de formatage Aucun correctif Bugtraq 398687 Security Focus http://www.securityfocus.com/archive/1/398687 http://www.securityfocus.com/bid/13707 YAHOO! Déni de service dans 'Yahoo! Messenger' Une vulnérabilité peut entraîner un déni de service de celui-ci. Forte 14/05 Yahoo! 'Yahoo! Messenger' versions 5.x à 6.0 (Windows) URLs de type 'YMSGR:' Mauvaise gestion des paramètres Palliatif proposé Bugtraq 398164 http://www.securityfocus.com/archive/1/398164 Exposition de données sensibles dans 'Yahoo! Messenger' Une fonction cachée dans 'Yahoo! Messenger' permet à un attaquant d'obtenir des informations sensibles. Forte 18/05 Yahoo! 'Yahoo! Messenger' versions 5.x, V6.0, 7.0 beta build 224 Fonctionnalité 'Logfile' Erreur de conception Aucun correctif Bugtraq http://www.securityfocus.com/archive/1/398492 http://www.securityfocus.com/archive/1/398456 ZYXEL Déni de service du routeur aDSL 'Prestige 650R-31' Une faille permet à un attaquant distant de provoquer un déni de service de l'équipement. Forte 20/05 Zyxel 'Prestige 650R-31' firmware ZyNOS 3.40 (KO.1) Non disponible non disponible Aucun correctif Security Focus http://www.securityfocus.com/bid/13703 Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Page 48/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 AUTRES INFORMATIONS REPRISES D’AVIS ET CORRECTIFS Les vulnérabilités suivantes, déjà publiées, ont été mises à jour, reprises par un autre organisme ou ont donné lieu à la fourniture d’un correctif : ADOBE Correctif pour Adobe 'Version Cue' Adobe a annoncé, dans l'avis 331621, la disponibilité d'un correctif pour Adobe 'Version Cue' 1.x. Il corrige une erreur de codage dans un script qui permettait à un utilisateur local d'obtenir les privilèges de l'utilisateur "root" sur plate-forme Mac OS X. http://www.adobe.com/support/techdocs/331621.html CAN-2005-1307 APPLE Correctifs pour 'AppKit' (traitement des images TIFF) Apple a annoncé, dans l'avis APPLE-SA-2005-05-03, la disponibilité de correctifs pour 'AppKit' sur Mac OS X et Mac OS X Server version 10.3.9. Ils corrigent un débordement d'entier dans le traitement des images au format TIFF permettant à un attaquant distant de provoquer l'exécution de code arbitraire. http://lists.apple.com/archives/security-announce/2005/May/msg00001.html CAN-2004-1308 Correctifs pour 'Finder' Apple a annoncé, dans l'avis APPLE-SA-2005-05-03, la disponibilité de correctifs pour 'Finder' sur Mac OS X et Mac OS X Server version 10.3.9. Ils corrigent une vulnérabilité qui permet d'obtenir une élévation de privilèges locale. http://lists.apple.com/archives/security-announce/2005/May/msg00001.html CAN-2005-0342 Correctifs pour 'libXpm' Apple a annoncé, dans l'avis APPLE-SA-2005-05-03, la disponibilité de correctifs pour 'libXpm' sur Mac OS X et Mac OS X Server version 10.3.9. Ils corrigent de multiples vulnérabilités pouvant entraîner l'exécution de code arbitraire. http://lists.apple.com/archives/security-announce/2005/May/msg00001.html CAN-2004-0687, CAN-2004-0688 Correctifs pour 'sudo' Apple a annoncé, dans l'avis APPLE-SA-2005-05-03, la disponibilité de correctifs pour 'sudo' sur Mac OS X et Mac OS X Server version 10.3.9. Ils corrigent une vulnérabilité dans le traitement des variables d'environnement de 'bash' qui permet de provoquer localement une élévation de privilèges. http://lists.apple.com/archives/security-announce/2005/May/msg00001.html CAN-2004-1051 Mise à jour 10.4.1 pour 'Mac OS X' Apple a annoncé, dans le bulletin APPLE-SA-2005-05-19, la disponibilité de la mise à jour 10.4.1 pour 'Mac OS X' Client et Server version 10.4. Elle corrige de multiples vulnérabilités dans 'bluetooth', 'Dashboard' et la fonction 'nfs_mount()'. Elles pouvaient entraîner l'exposition d'informations, le téléchargement et l'installation de widgets malicieux ainsi qu'un déni de service du système. http://docs.info.apple.com/article.html?artnum=301630 CAN-2005-1333, CAN-2005-1474, CAN-2005-0974 AVAYA Correctifs pour 'krb5' Avaya a annoncé, dans le bulletin ASA-2005-088, la disponibilité de correctifs pour le paquetage 'krb5' sur les produits S8700/S8500/S8300 version CM2.0 et suivantes, Intuity LX versions 1.1-5.x, et MN100, Modular Messaging MSS et CVLAN toutes versions. Ils corrigent deux débordements de buffer dans le client 'telnet' qui pouvaient entraîner l'exécution de code arbitraire. https://rhn.redhat.com/errata/RHSA-2005-330.html CAN-2005-0469, CAN-2005-0468 Failles dans "Call Management System" Des produits Avaya de la série "Call Management System" sont basés sur un système d'exploitation fourni par Sun. Avaya a annoncé la vulnérabilité de certains de ces produits à des failles de ce système rendues publiques par ailleurs. Des correctifs sont disponibles ou en cours de réalisation. Les vulnérabilités en question permettent de provoquer l'exécution de code arbitraire, une élévation de privilèges et l'exposition d'informations sensibles. http://support.avaya.com/elmodocs2/security/ASA-2005-110_SUN-4-01-2005.pdf CAN-2005-0469, CAN-2005-0468, CAN-2004-0800 Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Page 49/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 Failles dans "CMS" et "IR" Des produits Avaya de la gamme "Call Management System" (CMS) et de la gamme "Interactive Response" (IR) sont basés sur un système d'exploitation fourni par Sun. Avaya a annoncé, dans les bulletins ASA-2005-113 et ASA-2005-114, la vulnérabilité de certains de ces produits à des failles de ce système rendues publiques par ailleurs. Des correctifs sont disponibles ou en cours de réalisation. Les vulnérabilités signalées permettent de provoquer des dénis de service, des détournements de service, une élévation de privilèges et l'exécution de code arbitraire. http://support.avaya.com/elmodocs2/security/ASA-2005-113_SUN-4-21-2005.pdf http://support.avaya.com/elmodocs2/security/ASA-2005-114_SUN-4-29-2005.pdf CAN-2004-0083, CAN-2004-0084, CAN-2004-0803, CAN-2004-0804, CAN-2004-0886, CAN-2004-1308 BEA Révision du bulletin BEA04-52.01 BEA a annoncé, dans le bulletin BEA05-52.02, une révision du bulletin BEA04-52.01 concernant une élévation de privilèges dans WebLogic Server et WebLogic Express. La révision porte sur les instructions de l'installation du fichier correctif "wlSecurityProviders.jar". http://dev2dev.bea.com/pub/advisory/15 CA Correctifs pour plusieurs produits Computer Associates Computer Associates a annoncé, dans le bulletin 32896, la disponibilité de correctifs pour les produits 'eTrust EZ Antivirus' version 7 et 'eTrust EZ Armor' version 3.1. Ces correctifs seront automatiquement installés via leur fonctionnalité de mise à jour en ligne. http://www3.ca.com/securityadvisor/vulninfo/vuln.aspx?id=32896 CAN-2005-1693 CIAC Reprise de l'avis Apple 301528 Le CIAC a repris, sous la référence P-200, l'avis Apple 301528 à propos de multiples vulnérabilités affectant la plate-forme Mac OS X. Elles permettent par exemple l'exposition d'informations sensibles ou l'exécution de code arbitraire avec des privilèges élevés. http://www.ciac.org/ciac/bulletins/p-202.shtml CAN-2005-1344, CAN-2004-1307, CAN-2005-1330, CAN-2005-1331, CAN-2005-1332, CAN-2005-1033, CAN-2005-1335, CAN2005-1336, CAN-2005-1337, CAN-2005-1338, CAN-2005-1339, CAN-2005-1341, CAN-2005-1342, CAN-2005-1343, CAN-20051340, CAN-2005-0594, CAN-2004-1308, CAN-2005-0342, CAN-2004-0687, CAN-2004-0688, CAN-2004-1051 Reprise de l'avis Apple 301630 (Mac OS X 10.4.1) Le CIAC a repris, sous la référence p-205, l'avis Apple 301630 concernant une mise à jour de Mac OS X vers la version 10.4.1. Cette mise à jour corrige de multiples vulnérabilités qui permettaient, entre autres, de provoquer l'exposition d'informations, l'exécution d'applications arbitraires et un déni de service du système. http://www.ciac.org/ciac/bulletins/p-205.shtml CAN-2005-1333, CAN-2005-1474, CAN-2005-0974, CAN-2005-1472, CAN-2005-1473 Reprise de l'avis Apple APPLE-SA-2005-05-09 (iTunes) La CIAC a repris, sous la référence p-201, l'avis Apple concernant une faille dans iTunes qui permettait de provoquer l'exécution de code arbitraire. http://www.ciac.org/ciac/bulletins/p-201.shtml CAN-2005-1248 Reprise de l'avis Cisco 64821 Le CIAC a repris, sous la référence p-203, l'avis Cisco 64821 concernant une vulnérabilité dans le "Firewall Services Module" ('FWSM'), qui permet de contourner les règles d'accès définies dans ce module. http://www.ciac.org/ciac/bulletins/p-203.shtml Reprise de l'avis Debian DSA-714-1 Le CIAC a repris, sous la référence P-191, l'avis Debian DSA-714-1 à propos d'une vulnérabilité dans la bibliothèque 'kimgio' qui peut entraîner un déni de service applicatif. http://www.ciac.org/ciac/bulletins/p-191.shtml CAN-2005-1046 Reprise de l'avis Debian DSA-715-1 Le CIAC a repris, sous la référence P-195, le bulletin Debian DSA-715-1 à propos de deux erreurs de codage dans le paquetage 'cvs' de Debian permettant à un attaquant distant d'obtenir un accès non autorisé sur le serveur et de mener des attaques de type déni de service. http://www.ciac.org/ciac/bulletins/p-195.shtml CAN-2004-1342, CAN-2004-1343 Reprise de l'avis HP HPSBMA01138 (SSRT5958) Le CIAC a repris, sous la référence P-196, le bulletin HP HPSBMA01138 à propos d'une vulnérabilité dans HP 'OpenView Radia Management Portal' (RMP) qui permet à un attaquant distant d'acquérir un accès non autorisé au produit ou de provoquer un déni de service. http://www.ciac.org/ciac/bulletins/p-196.shtml Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Page 50/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 Reprise de l'avis HP HPSBMA01140 Le CIAC a repris, sous la référence P-198, l'avis HP HPSBMA01140 à propos de vulnérabilités dans le produit HP 'OpenView Network Node Manager'. Ces failles autorisent l'exécution de code ou provoquent un déni de service. http://www.ciac.org/ciac/bulletins/p-198.shtml Reprise de l'avis HP HPSBMA01141 Le CIAC a repris, sous la référence P-199, l'avis HP HPSBMA01141 à propos de multiples vulnérabilités non documentées dans le produit HP 'OpenView Event Correlation Services'. Ces failles peuvent être exploitées afin d'exécuter du code arbitraire ou de provoquer un déni de service. http://www.ciac.org/ciac/bulletins/p-199.shtml Reprise de l'avis HP HPSBUX01165 Le CIAC a repris, sous la référence P-209, l'avis HP HPSBUX01165 à propos d'une vulnérabilité non documentée dans la plate-forme HP-UX, permettant à un attaquant distant d'obtenir un accès non autorisé au système. http://www.ciac.org/ciac/bulletins/p-209.shtml Reprise de l'avis Microsoft MS05-024 (Explorateur) Le CIAC a repris, sous la référence p-202, l'avis Microsoft MS05-024 concernant une faille dans l'affichage de contenu Web dans les dossiers de l'explorateur Windows. Elle permet de provoquer l'exécution de code arbitraire. http://www.ciac.org/ciac/bulletins/p-202.shtml CAN-2005-1191 Reprise de l'avis Red Hat RHSA-2005:371-06 Le CIAC a repris, sous la référence P-204, l'avis Red Hat RHSA-2005:371-06 concernant plusieurs failles dans certains outils fournis avec 'ncpfs' qui autorisent un utilisateur local malintentionné à acquérir des droits privilégiés. http://www.ciac.org/ciac/bulletins/p-204.shtml CAN-2005-0013 Reprise de l'avis Red Hat RHSA-2005:375-07 Le CIAC a repris, sous la référence P-192, l'avis Red Hat RHSA-2005:375-07 à propos d'un débordement de tas qui peut entraîner un déni de service. http://www.ciac.org/ciac/bulletins/p-192.shtml CAN-2005-0941 Reprise de l'avis Red Hat RHSA-2005:377-07 Le CIAC a repris, sous la référence P-194, le bulletin Red Hat RHSA-2005:377-07 à propos de multiples vulnérabilités dans 'sharutils' pouvant entraîner, entre autres choses, l'exécution de code arbitraire et la corruption de fichiers arbitraires. http://www.ciac.org/ciac/bulletins/p-194.shtml CAN-2004-1772, CAN-2004-1773, CAN-2005-0990 Reprise de l'avis Red Hat RHSA-2005:386-08 Le CIAC a repris, sous la référence P-193, l'avis Red Hat RHSA-2005:386-08 à propos de multiples vulnérabilités dans le navigateur de 'Mozilla Suite' qui peuvent entraîner, entre autres choses, l'exécution de code arbitraire. http://www.ciac.org/ciac/bulletins/p-193.shtml CAN-2005-0989, CAN-2005-1153, CAN-2005-1154, CAN-2005-1155, CAN-2005-1156, CAN-2005-1157, CAN-2005-1158, CAN2005-1159, CAN-2005-1160 Reprise de l'avis Red Hat RHSA-2005:405-06 Le CIAC a repris, sous la référence P-197, l'avis Red Hat RHSA-2005:405-06 à propos de multiples vulnérabilités dans 'php' qui peuvent entraîner, entre autres, des dénis de service ou l'exécution de code arbitraire. http://www.ciac.org/ciac/bulletins/p-197.shtml CAN-2004-1392, CAN-2005-0524, CAN-2005-0525, CAN-2005-1042, CAN-2005-1043 Reprise de l'avis Red Hat RHSA-2005:427-05 Le CIAC a repris, sous la référence P-207, l'avis Red Hat RHSA-2005:427-05 concernant de nombreuses vulnérabilités dans 'Ethereal' qui peuvent entraîner un déni de service et l'exécution de code arbitraire. http://www.ciac.org/ciac/bulletins/p-207.shtml CAN-2005-1456, CAN-2005-1457, CAN-2005-1458, CAN-2005-1459, CAN-2005-1460, CAN-2005-1461, CAN-2005-1462, CAN2005-1463, CAN-2005-1464, CAN-2005-1465, CAN-2005-1466, CAN-2005-1467, CAN-2005-1468, CAN-2005-1469, CAN-20051470 Reprise de l'avis Red Hat RHSA-2005:435-06 Le CIAC a repris, sous la référence P-206, le bulletin Red Hat RHSA-2005:435-06 concernant de multiples vulnérabilités qui permettent, entre autres, de provoquer à distance une élévation de privilèges et l'exécution de code arbitraire. http://www.ciac.org/ciac/bulletins/p-206.shtml CAN-2005-1476, CAN-2005-1477, CAN-2005-1531, CAN-2005-1532 Reprise de l'avis Red Hat RHSA-2005:472-05 Le CIAC a repris, sous la référence P-208, l'avis Red Hat RHSA-2005:472-05 à propos de multiples vulnérabilités dans le noyau Linux des plates-formes Red Hat RHEL 3. Ces failles peuvent entraîner l'exposition d'informations sensibles et une élévation de privilèges. http://www.ciac.org/ciac/bulletins/p-208.shtml CAN-2004-0491, CAN-2005-0176, CAN-2005-1263 Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Page 51/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 CISCO Révision du bulletin 64439 Cisco a révisé son bulletin 64439 concernant de multiples vulnérabilités affectant Cisco 'IOS' qui peuvent entraîner un déni de service de l'équipement. Cette révision corrige plusieurs informations à propos des versions vulnérables et de celles qui sont corrigées, et apporte de nouvelles informations concernant la première vulnérabilité. http://www.cisco.com/warp/public/707/cisco-sa-20050406-ssh.shtml Révision du bulletin 64909 Cisco a révisé le bulletin 64909 concernant la faille dans certaines implémentations de la RFC 1323 qui permettaient d'interrompre à distance des connexions TCP existantes. Cette révision ajoute deux entrées à la liste des produits vulnérables car s'exécutant sur des versions vulnérables de Microsoft Windows. http://www.cisco.com/warp/public/707/cisco-sn-20050518-tcpts.shtml CAN-2005-0356 F5 Correctifs 'radius' pour BIG-IP et 3-DNS F5 a annoncé la disponibilité des versions 4.5.11 et 4.6.3 des produits F5 BIG-IP et 3-DNS. Ces versions corrigent une vulnérabilité dans la commande 'login_radius' qui permettait à un attaquant distant de se connecter sans autorisation. http://tech.f5.com/home/bigip/solutions/advisories/sol3456.html http://secunia.com/advisories/15098/ F5 NETWORKS Correctifs 'TCP' pour BIG-IP F5 Networks a annoncé la disponibilité des versions 4.5.13, 4.6.3 et 9.1 de BIG-IP. Ces versions corrigent une vulnérabilité dans l'implémentation du protocole 'TCP' qui pouvait entraîner un déni de service des connexions 'TCP' actives. http://tech.f5.com/home/bigip-next/solutions/advisories/sol4743.html http://secunia.com/advisories/15531/ CAN-2005-0356 Failles 'ICMP' dans les produits 'BIG-IP' et '3-DNS' Secunia a relayé deux alertes de F5 concernant la vulnérabilité de son implémentation du protocole 'ICMP', dans les produits 'BIG-IP' et '3-DNS', aux faiblesses récemment découvertes dans ce protocole. Un attaquant distant peut entraîner un déni de service des équipements. Des correctifs officiels sont disponibles. http://secunia.com/advisories/15205/ CAN-2004-0790, CAN-2004-1060, CAN-2004-0791 FREEBSD Disponibilité de plusieurs correctifs FreeBSD annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages : iir FreeBSD-SA-05:06 ldt FreeBSD-SA-05:07 kmem FreeBSD-SA-05:08 htt FreeBSD-SA-05:09 http://www.freebsd.org/security/index.html#adv LINUX DEBIAN Disponibilité de nombreux correctifs Debian annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages : kdelibs DSA-714 cvs DSA-715 gaim DSA-716 lsh-utils DSA-717 ethereal DSA-718 prozilla DSA-719 smartlist DSA-720 squid DSA-721 smail DSA-722 xfree DSA-723 phpsysinfo DSA-724 ppxp DSA-725 oops DSA-726 uulib-perl DSA-727 qpopper DSA-728 http://www.debian.org/security/2005/ LINUX FEDORA Disponibilité de nombreux correctifs Fedora annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages : imagemagick Core3 FEDORA-2005:344 kdewebdev Core3 FEDORA-2005:345 kdelibs Core3 FEDORA-2005:350 tcpdump Core3 FEDORA-2005:351 perl 5.8.5 Core3 FEDORA-2005:353 gaim Core3 FEDORA-2005:369 squid Core3 FEDORA-2005:373 kernel 2.6.11 Core3 FEDORA-2005:392 http://www.redhat.com/archives/fedora-announce-list/index.html Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Page 52/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 LINUX MANDRAKE Disponibilité de nombreux correctifs Mandrake annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages : squid MDKSA-2005:078 10.0 / 10.1 / 10.2 / CS 2.1 / CS 3.0 perl MDKSA-2005:079 10.0 / 10.1 / 10.2 / CS 2.1 / CS 3.0 libxpm4 MDKSA-2005:080 10.0 / 10.1 / 10.2 / CS 2.1 / CS 3.0 xfree86 MDKSA-2005:081 10.0 / 10.1 / 10.2 / CS 2.1 / CS 3.0 openoffice MDKSA-2005:082 10.1 / 10.2 / CS 3.0 ethereal MDKSA-2005:083 10.1 / 10.2 tcpdump MDKSA-2005:084 10.1 / 10.2 gnutls MDKSA-2005:085 10.1 / 10.2 / CS 3.0 kdelibs MDKSA-2005:086 10.1 / 10.2 / CS 3.0 gaim MDKSA-2005:087 10.0 / 10.1 / 10.2 / CS 2.1 / CS 3.0 mozilla MDKSA-2005:088 10.1 / 10.2 / CS 3.0 cdrdao MDKSA-2005:089 10.0 / 10.1 / 10.2 / CS 3.0 nasm MDKSA-2005:090 10.0 / 10.1 / 10.2 / CS 2.1 / CS 3.0 bzip2 MDKSA-2005:091 10.0 / 10.1 / 10.2 / CS 2.1 / CS 3.0 gzip MDKSA-2005:092 10.0 / 10.1 / 10.2 / CS 2.1 / CS 3.0 http://www.mandrakesoft.com/security/advisories LINUX REDHAT Disponibilité de nombreux correctifs RedHat annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages : openoffice RHSA-2005:375-01 cvs RHSA-2005:387-01 AS.ES.WS 2.1 AS.ES.WS3 AS.ES.WS4 sharutils RHSA-2005:293-01 AS.ES.WS 2.1 AS.ES.WS3 AS.ES.WS4 mozilla RHSA-2005:377-01 AS.ES.WS 2.1 AS.ES.WS3 AS.ES.WS4 glibc RHSA-2005:261-01 AS.ES.WS 2.1 kernel RHSA-2005:284-01 AS.ES.WS 2.1 kernel RHSA-2005:283-01 AS.ES.WS 2.1 mozilla RHSA-2005:384-01 AS.ES.WS 2.1 AS.ES.WS3 php RHSA-2005:405-01 AS.ES.WS3 evolution RHSA-2005:397-01 AS.ES.WS4 nasm RHSA-2005:381-01 AS.ES.WS 2.1 AS.ES.WS3 AS.ES.WS4 php RHSA-2005:406-01 AS.ES.WS4 gaim RHSA-2005:432-01 AS.ES.WS 2.1 gaim RHSA-2005:429-01 AS.ES.WS3 AS.ES.WS4 tcpdump RHSA-2005:417-01 AS.ES.WS4 tcpdump RHSA-2005:421-01 AS.ES.WS3 openmotif RHSA-2005:412-01 AS.ES.WS 2.1 AS.ES.WS3 AS.ES.WS4 kdelibs RHSA-2005:393-01 AS.ES.WS4 ncpfs RHSA-2005:371-01 AS.ES.WS 2.1 cyrus imapd RHSA-2005:408-01 AS.ES.WS4 glibc RHSA-2005:256-01 AS.ES.WS3 openssh RHSA-2005:293-01 AS.ES.WS3 rsh RHSA-2005:074-01 AS.ES.WS3 kernel RHSA-2005:106-01 AS.ES.WS3 ia32el RHSA-2005:294-01 AS.ES.WS3 evolution RHSA-2005:238-01 AS.ES.WS3 mozilla RHSA-2005:435-01 AS.ES.WS 2.1 AS.ES.WS3 AS.ES.WS4 firefox RHSA-2005:434-01 AS.ES.WS4 ethereal RHSA-2005:427-01 AS.ES.WS 2.1 AS.ES.WS3 AS.ES.WS4 lesstif RHSA-2005:473-01 AS.ES.WS 2.1 kernel RHSA-2005:472-01 AS.ES.WS3 imagemagick RHSA-2005:413-01 AS.ES.WS3 AS.ES.WS4 http://www.linuxsecurity.com/advisories/redhat.html HP Correctifs pour la pile TCP de la plate-forme HP-UX HP a annoncé, dans le bulletin HPSBUX01164, la disponibilité de correctifs pour la pile TCP/IP de la plate-forme HPUX versions B.11.00, B.11.04, B.11.11, B.11.22 et B.11.23. Ils corrigent des vulnérabilités qui pouvaient entraîner des dénis de service. http://www4.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBUX01164 CAN-2004-0790, CAN-2004-0791 Révision du bulletin HPSBMA01116 HP a révisé le bulletin HPSBMA01116 à propos d'un débordement de buffer dans le composant 'HTTP Server' du produit 'Web Based Management'. La révision annonce la vulnérabilité de la version 4.0 du produit, ainsi que le disponibilité d'un nouveau correctif pour Windows NT 4.0 (Softpaq SP30103). http://www4.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBMA01116 Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Page 53/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 Révision du bulletin HPSBUX01137 HP a révisé le bulletin HPSBUX01137 à propos d'une vulnérabilité dans la pile 'TCP/IP' de la plate-forme HP-UX qui permettait de provoquer un déni de service du système. Cette révision nous informe que l'application des correctifs de l'avis HPSBUX01164 sur HP-UX versions B.11.11 et B.11.23 corrigent cette vulnérabilité. http://www5.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBUX01137 IBM Correctifs 'mod_include' pour IBM HTTP Server IBM a annoncé, dans le bulletin 4009600, la disponibilité de correctifs pour le module 'mod_include' du serveur Web HTTP Server. Ils corrigent un débordement de buffer qui autorisait un attaquant distant à exécuter du code arbitraire sur un serveur vulnérable. http://www-1.ibm.com/support/docview.wss?uid=swg24009600 CAN-2004-0940 KDE Nouveaux correctifs pour 'kimgio' et 'kommander' KDE nous informe, dans l'avis 20050504-1, que des correctifs fournis pour de précédentes vulnérabilités dans 'kimgio' et 'kommander' introduisaient un bogue dans la lecture de certains formats d'images ('kimgio') ou étaient incomplets ('kommander'). De nouveaux correctifs sont disponibles pour KDE version 3.3.2 et 3.4. http://www.kde.org/info/security/advisory-20050504-1.txt CAN-2005-1046, CAN-2005-0754 MACROMEDIA Correctif pour 'ColdFusion MX' Macromedia a annoncé, dans l'avis MPSB05-03, la disponibilité d'un correctif pour le serveur Web JRun de 'ColdFusion MX' version 7. Il corrige une faille dans la page d'erreur 404 par défaut qui permettait à un attaquant distant de mener des attaques dites de "Cross-Site Scripting". http://www.macromedia.com/devnet/security/security_zone/mpsb05-03.html MICROSOFT Complément d'information sur une faille dans Word Bahaa Naamneh a publié sur Bugtraq un complément à son message initial exposant une faille dans le traitement des fichiers '.mcw' (Word pour Macintosh) par Word pour Windows. Il précise que cette faille n'affecte que les versions de 'Word' inférieures ou égales à 10.2627.6714, et que le SP3 de 'Word 2002' corrige le problème. http://www.securityfocus.com/archive/1/398649 Déni de service IPv6 dans les plates-formes Windows Un message sur NTBugtraq nous informe que les plates-formes Microsoft Windows XP SP2 et Windows 2003 Server SP1 sont toujours vulnérables à des attaques de type "LAND". Cette vulnérabilité avait été corrigée dans la pile IPv4 des produits listés , mais pas dans la pile IPv6, plus rarement utilisée. http://www.ntbugtraq.com/default.aspx?pid=36&sid=1&A2=ind0505&L=ntbugtraq&T=0&O=D&F=N&P=632 MOZILLA Disponibilité de Firefox 1.0.4 La version 1.0.4 du navigateur Firefox est désormais disponible. Elle corrige plusieurs vulnérabilités qui permettent de provoquer à distance une élévation de privilèges et l'exécution de code arbitraire. http://www.mozilla.org/products/firefox CAN-2005-1476, CAN-2005-1477 NETSCAPE Correctifs pour Netscape 8.0 Netscape a annoncé la disponibilité de la version 8.0.1 du navigateur Netscape. Elle corrige plusieurs vulnérabilités qui permettent de provoquer à distance une élévation de privilèges et l'exécution de code arbitraire. http://browser.netscape.com/ns8/download/default.jsp CAN-2005-1476, CAN-2005-1477 http://browser.netscape.com/ns8/security/alerts.jsp Vulnérabilité 'DOM' dans le navigateur Netscape Secunia a publié une alerte annonçant la vulnérabilité du navigateur 'Netscape' version 7.2 suite à l'erreur de conception récemment découverte dans les navigateurs Mozilla concernant la gestion des 'Document Object Model' (DOM). Cette faille peut être exploitée par un attaquant distant afin d'exécuter des scripts arbitraires avec des privilèges élevés. Il n'y a pas de correctif officiel disponible. http://secunia.com/advisories/15135/ CAN-2005-1160 Vulnérabilité GIF dans le navigateur 'Netscape' Secunia a publié une alerte annonçant la vulnérabilité du navigateur 'Netscape' versions 6.2.3 et 7.2 à un débordement de buffer affectant la gestion des images GIF. Cette faille peut entraîner l'exécution de code arbitraire sur le poste vulnérable. Il n'y a pas de correctif officiel disponible. http://secunia.com/advisories/15103/ CAN-2005-0399 Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Page 54/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 NOVELL Correctifs pour 'ZENworks' Novell a annoncé, dans les bulletins 2971500 et 2971493, la disponibilité de correctifs pour 'ZENworks Desktop Management' version 6.5 (SP1) et 'ZENworks for Desktops' versions 4 SP1b et 4.0.1 IR6. Ils corrigent de multiples débordements d'entier et de pile qui pouvaient entraîner la compromission du système. http://support.novell.com/cgi-bin/search/searchtid.cgi?/2971500.htm http://support.novell.com/cgi-bin/search/searchtid.cgi?/2971493.htm CAN-2005-1543 OPENBSD Correctifs pour 'cvs' OpenBSD a annoncé la disponibilité de correctifs pour 'cvs' sur OpenBSD versions 3.5 et 3.6. Ils corrigent plusieurs vulnérabilités qui permettaient de provoquer un déni de service ou l'exécution de code arbitraire. http://www.openbsd.org/errata.html#cvs http://www.openbsd.org/errata35.html#cvs4 CAN-2005-0753 SCO CALDERA Disponibilité de nombreux correctifs Caldera annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages : chroot SCOSA-2005.22 OpenServer 5.0.6 5.0.7 telnet SCOSA-2005.23 OpenServer 5.0.6 5.0.7 hyperthreading SCOSA-2005.24 OpenServer 5.0.6 5.0.7 mozilla SCOSA-2005.25 UnixWare 7.1.4 nwprint SCOSA-2005.26 OpenServer 5.0.6 5.0.7 http://www.caldera.com/support/security/2005.html SCO Correctif pour 'Mozilla' SCO a annoncé, dans le bulletin SCOSA-2005.25, la disponibilité d'un correctif pour 'Mozilla' sur SCO UnixWare version 7.1.4. Il corrige de multiples vulnérabilités qui pouvaient, entre autres, entraîner l'exécution de code arbitraire. ftp://ftp.sco.com/pub/updates/UnixWare/SCOSA-2005.25/SCOSA-2005.25.txt CAN-2005-0399, CAN-2004-0597, CAN-2004-0599, CAN-2004-0718, CAN-2004-0722, CAN-2004-0757, CAN-2004-0758, CAN2004-0759, CAN-2004-0760, CAN-2004-0761, CAN-2004-0762, CAN-2004-0763, CAN-2004-0764, CAN-2004-0765 Correctif pour 'telnet' SCO a annoncé, dans le bulletin SCOSA-2005.23, la disponibilité d'un correctif pour 'telnet' sur SCO OpenServer versions 5.0.6 et 5.0.7. Il corrige deux débordements de buffer dans le client 'telnet' qui pouvaient entraîner l'exécution de code arbitraire. ftp://ftp.sco.com/pub/updates/OpenServer/SCOSA-2005.23/SCOSA-2005.23.txt CAN-2005-0469, CAN-2005-0468 Correctifs pour le système 'chroot' sur OpenServer SCO a annoncé, dans l'avis SCOSA-2005.22, la disponibilité de correctifs pour le système 'chroot' sur OpenServer version 5.0.6 et 5.0.7. Ils corrigent une faille non documentée qui permet de contourner les restrictions imposées par ce système. ftp://ftp.sco.com/pub/updates/OpenServer/SCOSA-2005.22/SCOSA-2005.22.txt CAN-2004-1124 Correctifs pour 'nwprint' SCO a annoncé, dans le bulletin SCOSA-2005.26, la disponibilité de correctifs pour 'nwprint' sur SCO OpenServer versions 5.0.6 et 5.0.7. Ils corrigent un débordement de buffer qui pouvait entraîner l'exécution de code arbitraire. ftp://ftp.sco.com/pub/updates/OpenServer/SCOSA-2005.26/SCOSA-2005.26.txt CAN-2005-0993 SGI Correctif pour 'telnet' SGI a annoncé, dans le bulletin 20050405-01-P, la disponibilité du correctif 5892 pour 'telnet' sur IRIX versions 6.5.24 à 6.5.27. Ce correctif élimine deux débordements de buffer qui pouvaient entraîner l'exécution de code.. ftp://patches.sgi.com/support/free/security/advisories/20050405-01-P.asc CAN-2005-0469, CAN-2005-0468 Correctif cumulatif #37 pour Advanced Linux Environment SGI a annoncé, dans le bulletin 20050502-01-U, la disponibilité du correctif cumulatif "Security Update #37" (correctif 10171) pour SGI Advanced Linux Environment 3 sur plates-formes Altix. Il corrige de multiples vulnérabilités dans les paquetages 'nasm', 'gaim', 'tcpdump' et 'openmotif' qui pouvaient entraîner l'exécution de code arbitraire et un déni de service. ftp://patches.sgi.com/support/free/security/advisories/20050502-01-U.asc CAN-2004-1287, CAN-2005-1194, CAN-2005-1261, CAN-2005-1062, CAN-2005-1278, CAN-2005-1279, CAN-2005-1280, CAN2005-0605 Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Page 55/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 Correctif cumulatif #36 pour Advanced Linux Environment SGI a annoncé, dans le bulletin 20050501-01-U, la disponibilité du correctif cumulatif "Security Update #36" (correctif 10168) pour SGI Advanced Linux Environment 3 sur plates-formes Altix. Il corrige de multiples vulnérabilités dans les paquetages 'xloadimage', 'cvs', 'openoffice', 'sharutils', 'PHP' et 'Mozilla' qui permettaient entre autres de provoquer des dénis de service, l'exécution de code arbitraire et de se connecter au système sans autorisation. ftp://patches.sgi.com/support/free/security/advisories/20050501-01-U.asc CAN-2005-0638, CAN-2005-0753, CAN-2005-0989, CAN-2005-1153, CAN-2005-1154, CAN-2005-1155, CAN-2005-1156, CAN2005-1157, CAN-2005-1158, CAN-2005-1159, CAN-2005-1160, CAN-2004-1392, CAN-2005-0524, CAN-2005-0525, CAN-20051042, CAN-2005-1043, CAN-2004-0619, CAN-2005-0384, CAN-2005-0449, CAN-2005-0750 SUN Correctifs pour 'libtiff' Sun a annoncé, dans l'avis 57769, la disponibilité de correctifs pour la bibliothèque 'libtiff' sur Solaris version 7 à 10. On remarquera que certaines versions de Solaris 8 et 9 et toutes les versions de Solaris 10 ne disposent pas encore de correctifs. Ils corrigent de multiples vulnérabilités qui autorisaient l'exécution de code arbitraire et des dénis de service. http://sunsolve.sun.com/search/document.do?assetkey=1-26-57769-1 CAN-2004-0803, CAN-2004-0804, CAN-2004-0886, CAN-2004-1308 Correctifs pour 'wu-ftpd' Sun a annoncé, dans l'avis 57795, la disponibilité de correctifs pour 'wu-ftpd' sur Solaris versions 9 et 10. Ils corrigent une vulnérabilité qui pouvait entraîner un déni de service du système. http://sunsolve.sun.com/search/document.do?assetkey=1-26-57795-1 CAN-2005-0256 Retrait de plusieurs correctifs Apache Sun a retiré les correctifs 118739-02, 118740-02, 118741-02 et 118742-02 pour le serveur Web Apache sur Sun Solaris 8 (Sparc et Intel). L'installation de ces correctifs sur un système Sun Solaris 8 standard peut entraîner un déni de service du serveur Web. http://sunsolve.sun.com/search/document.do?assetkey=1-26-101716-1&searchclause=security Révision du bulletin 57653 Sun a révisé le bulletin 57653 concernant une vulnérabilité dans la bibliothèque 'libXpm' de Sun CDE et Sun JDS sur Solaris 7, 8 et 9 (SPARC et x86) et Linux. Cette révision nous informe que les correctifs pour Solaris 7 sont finalement disponibles. http://sunsolve.sun.com/search/document.do?assetkey=1-26-57653-1 CAN-2004-0687, CAN-2004-0688 SYMANTEC Vulnérabilités 'ICMP' dans plusieurs produits Symantec Symantec a annoncé, dans le bulletin SYM05-008, la vulnérabilité des produits Symantec 'Gateway Security', 'Enterprise Firewall', 'VelociRaptor', 'Gateway Security', 'Firewall/VPN Appliance', et Nexland 'ISB SOHO Firewall Appliances' et 'Pro Series Firewall Appliances' aux récentes failles affectant l'implémentation du protocole 'ICMP'. L'exploitation de ces vulnérabilités peut entraîner un déni de service de ces équipements. Des correctifs officiels sont disponibles. http://www.symantec.com/avcenter/security/Content/2005.05.02.html CAN-2004-0230, CAN-2004-0790, CAN-2004-1060, CAN-2004-0791 ZONELABS Correctifs pour les produits 'ZoneAlarm' Un message de ZoneLabs, posté dans la liste Bugtraq, nous informe de la disponibilité de correctifs pour les produits 'ZoneAlarm Anti-virus' et 'ZoneAlarm Security Suite'. Ces correctifs seront automatiquement installés via leur fonctionnalité de mise à jour en ligne. Une vulnérabilité dans ces produits pouvait entraîner la corruption d'informations et la prise de contrôle du système. http://www.securityfocus.com/archive/1/398921 CAN-2005-1693 US-CERT Reprise de l'avis Apple Security Update 2005-005 L'US-CERT a repris, sous la référence TA05-136A, l'avis Apple Security Update 2005-005 à propos de multiples vulnérabilités affectant la plate-forme Mac OS X. Elles permettent par exemple l'exposition d'informations sensibles ou l'exécution de code arbitraire avec des privilèges élevés. http://www.us-cert.gov/cas/techalerts/TA05-136A.html CAN-2005-1344, CAN-2004-1307, CAN-2005-1330, CAN-2005-1331, CAN-2005-1332, CAN-2005-1033, CAN-2005-1335, CAN2005-1336, CAN-2005-1337, CAN-2005-1338, CAN-2005-1339, CAN-2005-1341, CAN-2005-1342, CAN-2005-1343, CAN-20051340, CAN-2005-0594, CAN-2004-1308, CAN-2005-0342, CAN-2004-0687, CAN-2004-0688, CAN-2004-1051 Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Page 56/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 Reprise de l'avis Oracle d'avril 2005 L'US-CERT a repris, sous la référence TA05-117A, le bulletin Oracle d'avril 2005 concernant de nombreuses vulnérabilités dans plusieurs produits Oracle pouvant entraîner de multiples dommages. http://www.us-cert.gov/cas/techalerts/TA05-117A.html CODES D’EXPLOITATION Les codes d’exploitation des vulnérabilités suivantes ont fait l’objet d’une large diffusion : EXIM Code d'exploitation pour la faille 'dns_build_reverse' Un code d'exploitation a été publié sur le site Web de SecuriTeam concernant un débordement de buffer dans la fonction 'dns_build_reverse()' du serveur de courrier 'Exim'. Ce code permet à un utilisateur local d'acquérir les droits privilégiés "root". http://www.securiteam.com/exploits/5WP0R1PFPM.html MYSQL Code d'exploitation pour les failles 'MaxDB Webtool' Un code d'exploitation a été publié sur le site Web de Securiteam concernant un débordement de pile dans le composant 'Webtool' de la base de données MySQL 'MaxDB', déclenché à l'aide d'une requête HTTP 'GET' spécialement construite. Ce code permet d'obtenir un interpréteur de commande à distance sur le port TCP 9999 et de provoquer un déni de service. http://www.securiteam.com/exploits/5FP0O20FGS.html CAN-2005-0684 BULLETINS ET NOTES Les bulletins d’information suivants ont été publiés par les organismes officiels de surveillance et les éditeurs : ATTAQUES Diffusion de code malicieux par un faux site "Google" Un site Web est entré en activité récemment sous le nom "www.googkle.com", dans l'intention évidente de piéger les utilisateurs qui auraient commis une faute de frappe en tentant d'accéder à "www.google.com". Des recherches menées par l'éditeur d'anti-virus F-Secure ont montré que ce site web, d'origine Russe, tente d'exploiter des failles d'Internet Explorer pour installer de nombreux codes malicieux sur la machine victime et lui interdire l'accès aux sites de certains éditeurs d'anti-virus. Ce site exploitant les failles du navigateur le plus répandu, ce qui est logique, l'utilisation d'un navigateur alternatif à Internet Explorer permet de réduire le risque. http://www.f-secure.com/v-descs/googkle.shtml http://isc.sans.org/diary.php?date=2005-04-26 Nouvelle méthode d'extorsion de fonds via Microsoft IE Le SANS nous signale l'apparition d'une nouvelle méthode d'extorsion de fond basée sur une ancienne faille d'Internet Explorer, référencée MS04-023 . L'escroc installe grâce à cette faille un code malicieux sur une machine vulnérable. Ce code va ensuite chiffrer l'ensemble des données utilisateur sur la machine. Pour finir, l'escroc exige de sa victime le paiement de 200 USD pour fournir le logiciel de déchiffrement. Cette méthode, toute originale qu'elle soit, démontre encore une fois à quel point il est important de maintenir ses systèmes à jour des derniers correctifs. http://isc.sans.org//diary.php?date=2005-05-23 Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Page 57/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 ATTAQUES OUTILS RELAYSCANNER / WEBROOT # Description Le centre de gestion des alertes de sécurité danois, dit ‘CIRT-DK’, propose deux scripts ‘perl’ fort utiles sur son site. RelayScanner L’utilitaire ‘RelayScanner’ a été conçu dans l’optique d’automatiser la série de tests permettant de s’assurer que la configuration d’un serveur de messagerie compatible ‘SMTP’ n’autorise son utilisation pour relayer des messages en dehors des domaines explicitement gérés par ce serveur. Bien que le protocole ‘SMTP’ ait été explicitement conçu pour pouvoir offrir un mode de fonctionnement autorisant le relayage des courriers à l’intention de domaines tiers, il s’est rapidement avéré en environnement Internet que celuici devenait de plus en plus utilisé pour acheminer des courriers non sollicités, ou SPAM, par le biais de multiples systèmes relais permettant d’en masquer l’origine. De nos jours, l’activation de ce mode de fonctionnement résultera généralement d’une erreur de configuration involontaire, ce type d’erreur se faisant désormais de plus en plus rare. En effet, les différentes implémentations SMTP sont désormais livrées configurées par défaut pour interdire explicitement les différentes formes de relayage. Cet utilitaire écrit en ‘perl’ prend la forme d’un fichier principal contenant le code source et d’un fichier d’archive contenant les modules de test qui devra être chargé séparément puis décompressé dans le répertoire d’installation du fichier principal. Avant utilisation, il sera nécessaire de renseigner un fichier de configuration dont le nom sera passé en ligne de commande. Ce fichier contiendra les 5 paramètres suivants décrivant le contexte du test: # CustomerEmailServer: le nom complet du système hébergeant le serveur SMTP cible du test, # Port: le numéro du port TCP utilisé par le serveur de messagerie, par défaut le port standard TCP/25. # CustomerDomain: le domaine de messagerie, # CustomerEmail: une adresse valide dans le domaine de messagerie traité par le serveur cible du test, # TestEmail: une adresse valide dans un domaine tiers. Les deux dernières adresses de messageries devront être actives et accessibles afin de pouvoir collecter les éventuels messages d’erreurs transmis par le service de messagerie mais aussi les messages d’information envoyés par l’outil de test. L’initialisation se fera simplement en exécutant le programme ‘RelayScanner.pl’ complété des paramètres ‘-l’ suivi du nom du fichier de configuration et ‘-delay’ pour indiquer un temps d’attente entre chaque test différent des 2 secondes codées par défaut. Ce temps d’attente est requis pour, d’une part limiter la nuisance sur le serveur cible et, d’autre part, éviter le déclenchement de certains mécanismes chargés de détecter les tentatives de saturation par des serveurs malintentionnés. On notera que la durée totale d’exécution de l’analyse en sera d’autant rallongée. La version actuelle génère ainsi quelques 152 tests soit une durée totale d’exécution de 5mn avec le délai positionné par défaut. Le programme ‘RelayScanner.pl’ assure l’enchaînement des tests par le biais de deux boucles imbriquées. Ainsi, pour chaque commande ‘SMTP’ pertinente (‘MAIL’, ‘SEND’, ‘SOML’ et ‘SAML’) et pour chaque forme d’accueil (‘HELO’ et ‘EHLO’), un message est transmis dont les champs sont renseignés à partir des cinq paramètres définis dans le fichier de configuration complétés de six paramètres renseignés dans l’un des 19 modules de test élémentaires: # PLUGINNAME: le nom du module qui sera utilisé dans le rapport produit au format HTML, # DESCRIPTION: la description détaillée du test effectué par le module qui sera copiée dans le corps du message, # HELO: la chaîne qui sera transmise dans les commandes SMTP ‘HELO’ ou ‘EHLO’, # MAILFROM: la chaîne qui sera transmise dans les commandes SMTP ‘MAIL FROM:’, # RCPTTO: la chaîne qui sera transmise dans les commandes SMTP ‘RCPT TO:’, # SUBJECT: le texte qui sera copié dans le sujet du message transmis. Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Page 58/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 La création d’un nouveau test élémentaire consiste à créer un nouveau module qui sera enregistré dans le sous-répertoire ‘plugins’ et contiendra les séquences d’initialisation des six paramètres précédents sous la forme d’une chaîne pouvant inclure des variables de substitution prédéfinies - au nombre de 8 - liées au contexte. Cette architecture logicielle facilite grandement l’écriture de modules de tests spécifiques sous réserve toutefois d’avoir une bonne connaissance du langage ‘perl’ mais aussi du fonctionnement du protocole ‘SMTP’, les informations actuellement disponibles étant rendues à leur plus simple expression: les commentaires éparpillés dans le code. WebRoot La page consacrée aux outils développés par le CERT Danois référence un second utilitaire dénommé ‘WebRoot’, lui aussi écrit en perl. Celui-ci est à la structure d’un site WEB ce qu’est le célèbre ‘John-the-Ripper’ au fichier des mots de passe, à savoir un outil d’attaque en force permettant de découvrir les ressources d’un site WEB à partir d’URL formées par différentes combinaisons d’une liste de mots fournie en paramètre ou selon une logique de construction systématique. Exécution Présentation des résultats Cet utilitaire requiert l’installation de quelques modules additionnels dont ‘Algorithm::GenerateSequen ce’ et ‘Net::SSLeay::Handle’ qui ne sont pas toujours installés par défaut sur un système LINUX. ‘WebRoot’ a été conçu pour offrir un maximum de fonctionnalités ce qui conduit à devoir le configurer via la ligne de commande à l’aide des multiples options proposées, hélas devant être quasiment toutes spécifiées. En cas d’erreur dans l’utilisation d’un paramètre, l’analyse sera activée précédée d’un message d’information. A cet égard, l’utilisateur devra prendre garde à ne pas engager une analyse sans avoir correctement validé tous les paramètres de configuration et vérifié le bon déroulement à l’aide de l’option ‘debug’. L’expérience conduit à recommander pour cela l’emploi un serveur WEB dédié. Une fois pris en main, l’utilitaire ‘WebRoot’ s’avère parfaitement répondre au besoin de l’analyste souhaitant découvrir les structures et ressources cachées d’un serveur WEB, du moins tant que les règles de nommage employées font référence à un vocabulaire commun et simple. En effet, dans le mode ‘wordlist’, l’utilisateur fournira un dictionnaire dont chaque mot viendra remplacer la séquence ‘<BRUTE>’ placée dans une URL fournie en paramètre. L’option ‘-recursive’ permettra de réitérer cette recherche systématique sur toutes les URL pour lesquelles la requête GET aura été couronnée de succès. Les paramètres obligatoires ‘-match’ ou ‘-diff’ permettent de spécifier la chaîne de caractères dont la présence (ou l’absence) permettra de conclure à une réponse positive. On notera que cette chaîne de caractères est interprétée sous la forme d’une expression régulière ‘perl’ autorisant la spécification de plusieurs motifs. Ainsi, il sera possible de spécifier la chaîne ‘200 |301 ’pour gérer les réponses positives (code 200) mais aussi les pages de redirection (code 301). Un test visant à valider le code normalement retourné dans le cas d’une ressource non présente est effectué avant toute action. Celui-ci prend la forme d’une requête dans laquelle la séquence ‘<BRUTE>’ aura été remplacée par le nom d’un fichier n’ayant aucune raison d’être présent à cet emplacement. Un message d’alerte est généré dans le cas où la chaîne retournée serait identique à celle positionnée dans le paramètre ‘-match’ ou ‘-diff’. Ce procédé permet de détecter rapidement et simplement un serveur reconfiguré pour ne pas fournir un code représentatif d’une erreur. Le mode ‘incremental’ exclusif du précédent permet d’engager une recherche en force en testant toutes les combinaisons de lettres et chiffres, en majuscules et/ou minuscules, sur une longueur pouvant être limitée par les options ‘-minimun’ et ‘-maximum’. L’utilisateur devra cependant tenir compte de la croissance rapide du nombre de combinaisons conduisant à une analyse, non seulement longue, mais provoquant aussi une nuisance certaine sur le site cible. Ainsi la configuration limitant la recherche aux seules combinaisons de lettres minuscules sur une longueur maximale de 3 lettres (configuration par défaut) générera quelques 17576 requêtes pour le seul premier niveau de recherche. Les résultats pourront être visualisés en temps réel par le biais de l’option ‘-verbose’ en tenant compte du faux positif provoqué par l’affichage systématique de la dernière combinaison testée. Un rapport au format texte ou html pourra être généré à l’aide du paramètre ‘-saveas’ et de l’option ‘-textlog’ pour forcer l’utilisation du format texte. Le CERT Danois nous propose ici un ensemble d’outils simples et très aisément adaptables que tout un chacun aurait pu développer en quelques jours voire quelques heures si le temps n’était aussi compté. # Complément d'information http://www.cirt.dk/tools/ Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés - Outils proposés par le CERT Danois Page 59/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Mai 2005 GOOGLESWEEP # Description ‘GoogleSweep’ a été développé par un étudiant de l’université d’état du Missisippi pour faciliter la recherche d’adresses IP dans la masse de documents de toutes sortes indexés par Google. Prenant la forme d’un petit script – 337 lignes, commentaires compris - écrit en langage Python, cet utilitaire s’appuie sur l’interface programmatique d’accès aux fonctions de recherche du service Google. Il nécessite en conséquence de disposer d’une clef de licence valide qui sera automatiquement présentée lors de toute activation d’une recherche. Une telle clef peut être obtenue moyennant paiement d’une redevance mais aussi gracieusement par simple inscription sur le site de Google, auquel cas le nombre de requêtes par jour sera limité à 1000. L’utilitaire ‘GoogleSweep’ n’a rien d’exceptionnel dans son fonctionnement mais s’avère fort utile dans le cas de la recherche de multiples adresses IP. Il assure l’enchaînement des requêtes de recherche pour chacune des adresses du bloc passé en argument et génère une page HTML donnant accès à chacune des URL de recherche ayant fourni un résultat positif ainsi qu’un graphe représentatif de la popularité de l’adresse. #googlesweep.py -o Res.html -s 192.168.1.* GoogleSweep v0.8 Robert Wesley McGrew - [email protected] Building scan list... 256 IP addresses Performing 256 API queries total. ################################################# Cet utilitaire requiert la présence de la dernière version de l’environnement Python (V2.4.1) ainsi que le module externe ‘PyGoogle’ qui regroupe toutes les fonctions d’accès à l’interface de requête Google. L’utilisateur sera probablement amené à installer deux modules complémentaires: ‘fpconst’ et ‘PyXML’. Les tests menés en environnement LINUX ont donné toute satisfaction contrairement à l’environnement Windows où quelques difficultés liées à la gestion des connexions réseaux par le module ‘PyGoogle’ ont été rencontrées. La principale limitation de ‘GoogleSweep’ est celle constatée sur tous les outils utilisant l’interface programmatique de Google, à savoir la limite à 1000 requêtes par jour. Dans le cas présent, trois classe C (265 requêtes par classe) peuvent tout au plus être analysées par jour. L’option ‘-b’ permettra de contourner cette restriction en répartissant la charge sur plusieurs jours. Google est ici utilisé de manière originale pour rechercher des adresses IP, et non comme cela est devenu l’habitude des indices de l’existence d’une vulnérabilité sur l’un des sites indexés. Cependant, l’intérêt de cette approche reste assez limitée. Elle permettra principalement de: - Mesurer la popularité d’une source de nuisance comme nous l’avons fait dans l’exemple concernant l’adresse 222.88.173.5 bien que dans ce cas précis, une requête directe eut été aussi pertinente, - Inventorier des fuites d’information en recherchant toutes les références à des blocs d’adresses supposées ne pas être exposées sur l’Internet. C’est notamment le cas des blocs d’adresses protégés par le RFC1918 mais aussi des blocs d’adresses réservés par le IANA et non routés sur l’Internet. On notera le cas du célèbre bloc 192.168.1.0/ 255 dont les adresses 192.168.1.1 et 192.168.1.2 en particulier ont été utilisées dans d’innombrables exemples et manuels d’utilisation. Ceci conduit à un bruit de fond rendant difficilement exploitables les résultats collectés sur les adresses IP de ce bloc. # Complément d'information http://cse.msstate.edu/~rwm8/googlesweep/ Veille Technologique Sécurité N°82 © APOGEE Communications - Tous droits réservés Page 60/60 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE