Veille Technologique Sécurité

Transcription

APOGEE Communications
R
dee
orrtt d
po
pp
Raap
Veille Technologique Sécurité
N
1
51
N°°5
Octobre 2002
Les informations fournies dans ce document ont été collectées et compilées à partir de
sources d'origines diverses et publiquement accessibles: mailing-lists, newsgroups, sites
Web, ...
Ces informations sont fournies pour ce qu'elles valent sans garantie d'aucune sorte vis à vis
de l'exactitude, de la précision ou de la qualité de l'information. Les URL associées à certains
thèmes sont validées à la date de la rédaction du document.
Les symboles d’avertissement suivants seront éventuellement utilisés:
0
1
Site dont la consultation est susceptible de générer directement ou indirectement,
une attaque sur l’équipement de consultation, voire de faire encourir un risque sur
le système d’information associé.
Site susceptible d’héberger des informations ou des programmes dont l’utilisation
est répréhensible au titre de la Loi Française.
Aucune garantie ne peut être apportée sur l'innocuité de ces sites, et en particulier, sur la
qualité des applets et autres ressources présentées au navigateur WEB.
LLaa ddiiffffuussiioonn ddee ccee ddooccuum
meenntt eesstt rreessttrreeiinnttee aauuxx
cclliieennttss ddeess sseerrvviicceess
V
VTTS
S--R
RA
APPPPO
OR
RTT eett V
VTTS
S__EEN
NTTR
REEPPR
RIIS
SEE
Les marques et les produits cités dans ce rapport sont la propriété des dépositaires respectifs.
APOGEE Communications
1, Rue Jean Rostand
91893 ORSAY CEDEX
Pour tous renseignements
Offre de veille:
http://www.apogee-com.fr/veille
Informations:
[email protected]
© APOGEE Communications - Tous droits réservés
Octobre 2002
Au sommaire de ce rapport …
PRODUITS ET TECHNOLOGIES
LES PRODUITS
5
5
5
ANALYSE
EMAILTRACKER
PRO
5
SURVEILLANCE
7
SYMANTEC – SESA / SSMS
LES
7
TECHNOLOGIES
8
HAUT DÉBIT
8
LANCEMENT DE RENATER 3
8
INFORMATIONS ET LÉGISLATION
LES INFORMATIONS
9
9
ATTAQUES
9
CERT – STATISTIQUES 2002
HONEYPOTS : TRACKING HACKERS
9
10
GUIDES NIST
11
NIST - SP800-35 / GUIDE TO IT SECURITY SERVICES
NIST - SP800-36 / GUIDE TO SELECTING IT SECURITY PRODUCTS
NIST – ETAT DES GUIDES DE LA SÉRIE SP800
WEB
OWASP - GUIDE TO BUILDING SECURE WEB APPLICATIONS V1.1
LA LÉGISLATION
INVESTIGATION
LES OUTILS D’INVESTIGATION LIBRES
DIVULGATION
11
13
14
14
14
16
16
16
17
AFFAIRE KITETOA
17
LOGICIELS LIBRES
LES SERVICES DE BASE
LES OUTILS
18
18
18
NORMES ET STANDARDS
LES PUBLICATIONS DE L’IETF
20
20
LES
LES
RFC
DRAFTS
NOS COMMENTAIRES
LES RFC
RFC3330
LES DRAFTS
DRAFT-GILL-BTSH-00
DRAFT-IETF-CDI-THREAT-00
ALERTES ET ATTAQUES
ALERTES
GUIDE DE LECTURE
FORMAT DE LA PRÉSENTATION
SYNTHÈSE MENSUELLE
ALERTES DÉTAILLÉES
AVIS OFFICIELS
APACHE
AVAYA
BALABIT
BEA
CISCO
COMPAQ
GNU TAR/UNZIP
HP
HP/COMPAQ
HTCHECK
IBM
IPSEC
Veille Technologique Sécurité N°51
20
20
27
27
27
27
27
28
29
29
29
30
30
31
31
31
31
31
31
31
32
32
32
32
32
33
33
Page 2/58
Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Octobre 2002
KDE
KERBEROS
LINUX
LINUX DEBIAN
LINUX REDHAT
LINUX SUSE
MACROMEDIA
MICROSOFT
NETBSD
OPEN BSD
ORACLE
RSA SECURITY
SENDMAIL
SGI
SUN
SYMANTEC
TARANTELLA
WATCHGUARD
ZOPE
33
33
33
33
34
34
34
34
35
36
36
36
36
36
37
37
37
37
38
ALERTES NON CONFIRMÉES
APACHE
BUGZILLA
DLINK
FETCHMAIL
GV
IBM
IPFILTER
JETTY
MICROSOFT
NETGEAR
OPENVMS
PAREFEU
PHPNUKE
SENDMAIL
SERVEURS WEB
SYMANTEC
TOMCAT
38
38
38
38
38
38
39
39
39
39
40
40
40
40
41
41
41
41
AUTRES INFORMATIONS
41
REPRISES D’AVIS
41
ET
CORRECTIFS
CIAC
CISCO
FREEBSD
HP
HP/COMPAQ
KDE
LINUX CALDERA
LINUX DEBIAN
LINUX MANDRAKE
LINUX REDHAT
MICROSOFT
ORACLE
SUN
41
42
42
42
43
43
43
43
44
44
44
44
44
CODES D’EXPLOITATION
45
BULLETINS ET NOTES
45
MICROSOFT
SENDMAIL
MICROSOFT
VIRUS
ATTAQUES
TECHNIQUES
CROSS SITE SCRIPTING
FLOPPY - HONEYNET SCAN OF THE MONTH
45
45
45
45
47
47
47
50
Page 3/58
Octobre 2002
Le mot de la rédaction …
Les nuisances engendrées par le nouveau ver à la mode, ‘BugBear’ de son nom,
sont là pour nous rappeler que rien ne doit être considéré comme acquis en
matière de sécurité. En pourtant, il semblait que les leçons tirées des vagues
d’infection précédentes auraient pu porter leurs fruits. On en vient à se
demander combien de gens se souviennent encore des ‘CodeRed’, ‘Klez’,
‘BadTrans’, ‘Nimda’ et autres spécimens de la faune informatique …
Le lecteur aura probablement noté qu’avec ‘BugBear’, une étape importante
vient d’être franchie dans l’évolution de l’espèce : la capacité d’adaptation à
l’environnement. En effet, ce ver est le premier du genre (du moins le premier à
avoir atteint un taux d’infection permettant de le porter à la connaissance du
grand public) capable d’adapter son comportement au milieu infecté, en
l’occurrence, le système d’exploitation.
Dans le même registre, nous recommandons la lecture du très court mais fort
intéressant document relatant la généalogie des vers Scalper et Slapper publié
sur le site ‘InternetStormCenter’.
L’équipe de Veille Technologique
Page 4/58
Octobre 2002
PR
RO
OD
DU
UIIT
TS
SE
ET
T TE
EC
CH
HN
NO
OL
LO
OG
GIIE
ES
S
LES
PRODUITS
ANALYSE
EMAILTRACKER
PRO
Description
La société américaine ‘VisualWare’ s’est spécialisée dans l’édition de logiciels de
surveillance et d’analyse réseaux. Les logiciels édités par cette société ont en commun d’être
particulièrement ergonomiques et de
disposer d’une interface très attractive et
particulièrement soignée sur le plan du
visuel.
Destiné à automatiser l’analyse des entêtes
de
messagerie,
le
produit
‘eMailTrackerPro’ ne déroge pas à cette
règle comme le lecteur pourra le
constater en s’intéressant à la copie
d’écran présentée ci-contre.
Dans le cas présent, un courrier de
SPAM a été analysé par simple sélection
depuis le client de messagerie ‘Outlook’,
une option permettant l’import d’une
quelconque en-tête préalablement copiée
dans le presse-papier.
L’analyse met en évidence l’incohérence
présente dans l’un des champs de l’entête. Le pays d’origine du courrier est
automatiquement inféré à partir de
l’adresse
IP
réputée
fiable
par
consultation des bases d’informations
maintenues par les NIC.
L’en-tête du courrier proposée à l’analyse est présentée ci-après. Le lecteur remarquera qu’un certain niveau de
compétence est requis pour décoder les champs constituant celle-ci d’autant qu’une lecture à rebours est nécessaire.
Return-Path: <[email protected]>
Received: from mailsweeper.apogee-com.fr (IDENT:root@localhost [127.0.0.1])
by mail.apogee-com.fr (8.9.3/8.9.3) with ESMTP id UAA23991
for <[email protected]>; Mon, 21 Oct 2002 20:07:16 +0200
Received: from alcor.imaginet.fr (unverified) by mailsweeper.apogee-com.fr
(Content Technologies SMTPRS 4.2.1) with ESMTP
id <[email protected]>
for <[email protected]>;
Mon, 21 Oct 2002 20:18:01 +0200
Received: from 61.184.246.111 ([211.57.218.242])
by alcor.imaginet.fr (8.9.3/8.8.8) with SMTP id UAA27099
for <[email protected]>; Mon, 21 Oct 2002 20:18:51 +0200 (MET DST)
Message-Id: <[email protected]>
From: "J. Levi" <[email protected]>
To: [email protected]
Cc:
Subject: re: free gambling money
Sender: "J. Levi" <[email protected]>
Mime-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Date: Mon, 21 Oct 2002 11:17:34 -0700
X-Mailer: AOL 7.0 for Windows US sub 118
X-Priority: 1
Section ajoutée par le serveur le plus
proche du destinataire
Section ajoutée par un serveur de
transit
Section initiale ajoutée par le serveur
SMTP à qui a été remis le courrier
Identifiant inscrit par ce même serveur
Champs positionnés par l’émetteur du
courrier, un client de messagerie ou
une application de diffusion de masse
L’analyse d’une telle en-tête doit tenir compte de quelques règles fondamentales :
- La ligne ‘from’ de chaque section est constituée du nom ou de l’adresse IP annoncée par le client lors de la section
d’identification suivie de l’adresse IP à partir de laquelle a été effectuée la remise du courrier,
- Tous les éléments précédant la section ‘Received’ ajoutée par le serveur SMTP auprès de qui a été acquis le
courrier sont sujet à caution.
Page 5/58
Octobre 2002
Une lecture à rebours permettra donc de remonter une à une les sections jusqu’à la section contenant les champs
positionnés par le client en s’arrêtant à la première incohérence rencontrée, une incohérence entre l’adresse IP
annoncée et l’adresse IP réelle dans notre exemple. Cette incohérence est mise en évidence par ‘eMailTrackerPro’
qui nous offre la possibilité de visualiser la même en-tête après restructuration:
===Received Headers (from you to sender)=====================
R1: 127.0.0.1 - Mon, 21 Oct 2002 20:07:16 +0200
from mailsweeper.apogee-com.fr (IDENT:root@localhost [127.0.0.1])
by bouleau.apogee-com.fr (8.9.3/8.9.3)
with ESMTP
id UAA23991
for <[email protected]>
R2: (unknown) - Mon, 21 Oct 2002 20:18:01 +0200
from alcor.imaginet.fr (unverified)
by mailsweeper.apogee-com.fr (Content Technologies SMTPRS 4.2.1)
with ESMTP
id <[email protected]>
R3: 211.57.218.242 - Mon, 21 Oct 2002 20:18:51 +0200 (MET DST)
from 61.184.246.111 ([211.57.218.242])
by alcor.imaginet.fr (8.9.3/8.8.8)
with SMTP
id UAA27099
Une incohérence est détectée dans
cette section. Le courrier a été remis
depuis le système ayant pour adresse
211.57.218.242, adresse allouée à une
organisation basée en Corée du Sud.
Une option permet d’activer le produit ‘VisualRoute’ sur cette adresse IP, à condition que celui-ci ait été
préalablement installé sur le poste.
L’utilisateur
dispose
alors
d’une
visualisation graphique de la route le
séparant du système à qui a été remis
le courrier mais aussi des coordonnées
du détenteur de cette adresse.
Malgré la mise en évidence de quelques
analyses incomplètes durant nos tests localisation au Canada de l’origine de
l’un des fameux courriers ‘Nigériens’
quand
‘VisualRoute’
indique
le
Nigeria - le produit ‘eMailTrackerPro’
viendra au secours des nombreux
utilisateurs pour qui le décodage d’une
en-tête s’apparente à de la sorcellerie.
Fonctionnant
exclusivement
en
environnement Windows, le produit
‘eMailTrackerPro’ coûte de $29.95
pour une licence unitaire jusqu’à $2000
pour une licence 250 utilisateurs.
Le produit ‘VisualRoute’ est disponible
pour les environnements Windows,
Solaris, Linux, FreeBSD et Mac OS X
à partir de $39.95.
La société ‘VisualWare’ propose par
ailleurs
trois
autres
outils
fort
intéressants:
- VisualLookout : fonctionnant exclusivement en environnement Windows, cet outil autorise la surveillance en temps
réel du trafic et de l’activité réseau d’un poste, voire d’un ensemble de postes avec la licence adhoc. L’utilisateur pourra ainsi instantanément connaître l’état des sessions TCP, la volumétrie
échangée et obtenir toutes les informations associées à une adresse IP.
- VisualProfile : destinée à surveiller les composantes critiques d’une infrastructure Internet, cette application
dispose de quelques 80 modules de collecte spécialisés allant des équipements réseaux aux
applications les plus classiques. La fonctionnalité ‘DesktopProfile’ permet de mesurer le temps de
réponse d’applications WEB depuis différents postes de travail sur lesquels un agent aura été
installé. L’exploitant disposera ainsi d’une mesure de la qualité de service efficace et simple de
mise en œuvre.
- VisualPulse :
cet outil permet de mesurer la disponibilité des services TCP, et en particulier de pages WEB, en
analysant les éléments acquis en réponse à diverses sollicitations : requêtes ICMP, HTTP,
connexions TCP, …
Complément d'information
http://www.visualware.com/
Page 6/58
Octobre 2002
SURVEILLANCE
SYMANTEC – SESA / SSMS
Description
Ce mois-ci, c’est au tour de Symantec d’annoncer une offre de gestion de la sécurité. Elle est basée sur une
architecture nommée SESA (Symantec Enterprise Security Architecture) qui se veut ouverte, adaptable et surtout
"réelle" c’est-à-dire qu’elle ne se résume pas à un simple concept, mais s’appuie sur plusieurs types de composants,
dont SSMS (Symantec Security Management System).
SSMS est constitué d’un ensemble d’outils et de produits intégrés (dont Symantec Incident Manager) qui permet de
gérer de manière homogène et centralisée les solutions de sécurité d’origine Symantec mais aussi :
d’intégrer la gestion de produits de sécurité de sociétés tierces (les premiers accords sont déjà annoncés) en
autorisant notamment la corrélation des événements de sécurité qu’ils produisent,
de s’interfacer avec d’autres solutions de gestion telles celles de Tivoli ou HP,
de générer de façon centralisée des rapports d'analyse,
d’intégrer un ‘Workflow’ de gérer les groupes d’intervenants sur le traitement d’un incident, depuis sa création
jusqu’à sa clôture en passant par les modifications successives de son état (ainsi SSMS intègre une fonction de
gestion de ticket d’incident avec définition de profils utilisateurs auxquels sont attribués des rôles, mais
aussi des procédures d’escalade),
dans le futur, de gérer de façon centralisée des configurations de politiques de produits basées sur un objet ou des
groupes d'objets.
Toutes les communications entre les différents
éléments utilisent SSL. On notera aussi la
disponibilité d’un SDK (Software Development
Kit) permettant à des sociétés tierces de
s’intégrer directement dans l’architecture par
l’intermédiaire d’un jeu d’API.
SSMS interagit principalement avec 4 modules
capables de traiter les sources d’événements :
anti-virus et filtrage de contenu,
firewall,
détection d’intrusion,
tests de vulnérabilité.
Les composants Symantec Incident Manager,
Symantec DeepSight Analyzer (gestion des
événements
des
sondes
de
détection
d’intrusion) et Symantec Early Warning
Systems sont adossés aux bases de données
de vulnérabilités de SecurityFocus et de virus
de Norton.
Les mises à jour sont automatisées et utilisent
le désormais célèbre Symantec Live Update,
ce qui réduit les tâches de suivi et de mise à
jour des données de référence.
Les composants de SESA sont :
SESA DataStore : une base de données SQL comme point focal
pour la conservation et le traitement des traces, des événements
et des alarmes. La première base utilisée est DB2 d’IBM.
SESA Directory : un annuaire base sur LDAP pour la gestion des
configurations et l’implémentation des règles et politiques de
sécurité
SESA Managers : des composants qui gèrent et régulent le
processus collecte des événements et communiquent avec les 2
composants mentionnés ci-dessus
SESA Agents et Event Collectors: des composants qui
permettent l’intégration de produits dans l’architecture SESA
SESA Console : la console qui permet aux différents intervenants,
selon leur profil, d’agir et de traiter les différentes phases et étapes
de la vie de l’événement ou de l’incident de sécurité.
Un "Roadmap" sur 2 ans est annoncé :
Version 1 : la gestion des événements de sécurité, avec
l’utilisation d’un format de journalisation unique et un système de
notification (traps SNMP, Email, pager, …). La Console permet déjà
le suivi des incidents et la génération de rapports.
Version 2 : le support d’un second type de base SQL (a priori, Oracle ou MS SQL) et d’une seconde plate-forme
Page 7/58
Octobre 2002
pour le SESA Manager (Solaris ou Linux).
Version 3 : gestion des politiques de sécurité et des réponses aux attaques par l’ajout d’un processus
d’automatisation.
Ajout au fur et à mesure des accords et des besoins clients de sondes et de collecteurs, y compris pour des
composants non compatibles en standard avec l’architecture SESA, comme des jounaux aux formats spécifiques ou
des traps SNMP.
Même si l’ouverture et la capacité d’intégration de l’architecture présentée semblent couvrir un large spectre, les
vastes possibilités qu’elle laisse entrevoir sont aussi liées à l’intégration de différentes composantes et produits de
sécurité provenant des rachats successifs effectués par Symantec au cours de ces 2 dernières années, dont
Mountain View (corrélation d’événements), Recourse (sondes), Axent (ESM) et surtout SecurityFocus (l’un des
plus vastes et plus complète base de vulnérabilités).
On se souviendra qu’il y a environ 2 ans, Network Associates avait tenté d’ouvrir une voie similaire et disposait déjà
à l’époque de plusieurs de composants : firewall avec le Gauntlet, détection d’événements réseaux avec Network
General, anti-virus avec McAfee, détection de vulnérabilité par Ballista (renommé CyberCop), la consolidation des
événements de sécurité par Event Orchestrator et la gestion de ticket d’incident avec Support Magic.
Aujourd’hui, Symantec semble avoir la volonté d’aller jusqu’au bout et démontre une réflexion mature en ne se
basant que sur 3 points significatifs :
La gestion d’un événement de sécurité comme on gère un incident et l’utilisation d’un outil spécifique (Trouble
Ticketing System) avec une notion de profils et de rôles,
La consolidation par rapport à des bases de référence (anti-virales et de vulnérabilités) avec mises à jour régulières,
L’ouverture à des sociétés tierces.
http://enterprisesecurity.symantec.com/products/products.cfm?ProductID=159
LES
TECHNOLOGIES
HAUT DEBIT
LANCEMENT DE RENATER 3
Description
La nouvelle mouture du célèbre réseau haut débit de la recherche – RENATER – a été inaugurée le 10
Octobre. La version Renater 3 viendra ainsi progressivement remplacer la version Renater 2bis.
Une copie du communiqué officiel disponible sur le site ‘Internet.Gouv.Fr’ est proposée ci-dessous :
Lancement de Renater 3, un « réseau à l’avant-garde de
la technologie », desservant l’ensemble du territoire
national
La ministre déléguée à la Recherche et aux nouvelles
technologies, Claudie Haigneré, a inauguré, le 10 octobre,
Renater 3, la nouvelle génération de ce réseau à très haut
débit. Avec Renater 3 la quasi-totalité des liaisons dispose
d’une capacité de 2,5Gbits, contre 622 et 155Mbits
auparavant. La ministre l’a qualifié de « réseau à l’avantgarde de la technologie », desservant l’ensemble du
territoire national.
Rappelons
que
Renater
(Réseau
National
de
Télécommunications pour la Technologie, l’Enseignement et
la Recherche) est un réseau qui interconnecte les réseaux
locaux en France (région, département, agglomération,
académie, campus, etc.) et donne accès aux réseaux
analogues dans les autres pays du monde.
Assurant l’interconnexion de plus de 600 sites, ce réseau
est constitué d’un maillage de liaisons optiques à
2.5Gb/s (quatre groupements) et de 30 liaisons point à
point de 2.5Gb/s et 622Mb/s.
Le réseau d’infrastructure est fourni par la société Télécom Développement (TD), la gestion de celui-ci étant assurée
par la société ‘C & S’ et les équipements d’origine CISCO. Ce réseau transporte nativement les deux protocoles IP,
IP-V4 mais IP-V6 et assure la présence d’un service Multicast sur l’ensemble des points de présence.
Complément d’information
http://www.recherche.gouv.fr/discours/2002/renater3.htm
http://www.renater.fr/Evenements/200210ConfPresseR3/CPRenaterdefinitif.pdf
Page 8/58
Octobre 2002
IN
NF
FO
OR
RM
MA
AT
TIIO
ON
NS
SE
ET
T LE
EG
GIIS
SL
LA
AT
TIIO
ON
N
LES
INFORMATIONS
ATTAQUES
CERT – STATISTIQUES 2002
Description
Le CERT-CC® a publié ses premières statistiques pour la période Q1 à Q3 de l’année 2002. Sans être définitifs, ces
chiffres mettent en évidence une progression quelque peu désespérante du nombre d’incidents remontés au CERT.
Année
1988
1989
1990
1991
1992
1993
1994
1995
1996
1997
1998
1999
2000
2001
2002
Incidents
6
132
252
406
773
1334
2340
2412
2573
2134
3734
9859
21756
52658
73359
Vulnérabilités
Avis
1
7
12
23
21
19
15
18
27
28
13
17
22
37
27
Le tableau récapitulatif présenté ci-contre a été
établi à partir des chiffres publiés sur le site
officiel du CERT.
On notera que les chiffres du dernier trimestre
n’auront que peu d’impact sur les deux premières
tendances. Par contre, la progression du nombre
d’avis émis dépendra fortement des résultats du
dernier trimestre. De notre point de vue,
l’évolution la plus significative est celle du nombre
171
de vulnérabilités qui se trouve multiplié par 3 en 3
345
ans.
311
Quand bien même, la moitié de ces vulnérabilités
262
ne concernerait qu’un très petit nombre de
dispositifs matériels ou logiciels, cette progression
417
impacte directement le processus de traitement
1090
des alertes notamment sur le plan des moyens et
2437
ressources d’analyse à mettre en œuvre.
3222
Notre équipe de veille chargée de l’analyse des
alertes en sait quelque chose …
La présentation graphique de ces chiffres dévoile un phénomène intéressant mais ne faisant l’objet d’aucune
explication de la part du CERT-CC : les années 1994, 1997 et 2001 apparaissent être des années pivots pour
lesquelles une inversion de la tendance peut être constatée pour les catégories Incidents et Vulnérabilités publiées.
100000
52658
Incidents
Vulnérabilités
Avis
10000
21756
9859
2340
2412
2437
23
12
6
345
311
27
28
171
132
100
21
19
3222
1090
406
1
3734
2134
773
252
10
2573
1334
1000
73359
15
18
417
262
37
13
17
22
27
7
1
1988 1989 1990 1991 1992 1993 1994 1995 1996 1997 1998 1999 2000 2001 2002
Ainsi à partir de 1994, le nombre d’avis émis se met à croître quand le nombre d’incidents stagne. Ce phénomène
s’inverse partiellement en 1997 puis de nouveau en 2001 (avec l’incertitude concernant les résultats du dernier
trimestre 2002).
Le lien entre le nombre d’incidents et le nombre de vulnérabilités est par ailleurs parfaitement démontré sur le
graphique volontairement présenté en utilisant une échelle logarithmique.
Page 9/58
Octobre 2002
Nous laissons au lecteur de soin de tirer les conclusions qui s’imposent
http ://www.cert.org/stats/cert_stats.html
HONEYPOTS : TRACKING HACKERS
Description
Spécialiste de la sécurité bien connu des exploitants des pare-feu ‘CheckPoint’ mais aussi initiateur du
projet ‘Honeynet.org’, Lance Spizner vient de signer un ouvrage de 429 pages intitulé ‘Honeypots :
Tracking Hackers’. Celui-ci est bien entendu consacré aux différentes technologies de déception dont on
ne peut que constater qu’elles semblent avoir un avenir radieux devant elles si l’on se réfère aux dernières
annonces des différents éditeurs du marché.
N’ayant pas encore eu cet ouvrage entre les mains, nous ne pourrons nous prononcer sur son intérêt et la pertinence
des propos dans le contexte plus particulier de l’Europe et plus précisément de la France. On notera en effet que le
chapitre 15 aborde la question présente à l’esprit de toute personne exploitant ou souhaitant exploiter un pot de miel :
la légalité d’une telle opération. Bien entendu et cela est normal pour un ouvrage édité outre-atlantique, ce problème
est abordé du strict point de vue de la législation américaine. Nous ne pouvons qu’espérer que la version française de
cet ouvrage – s’il doit y en avoir une – se verra enrichie d’un chapitre abordant ce thème d’importance dans le cadre
de « l’exception Française ».
Le lecteur intéressé pourra parcourir le chapitre 4 – ‘The Value of Honeypots’ – proposé au téléchargement, chapitre
proposant une excellente synthèse des avantages et inconvénients de cette technologie. Cet ouvrage deviendra
rapidement indispensable si tous les chapitres atteignent ce niveau de qualité.
Chapter 1
The Sting : My Fascination with Honeypots
The Lure of Honeypots
How I Got Started with Honeypots
Perceptions and Misconceptions of Honeypots
Chapter 2
The Threat : Tools, Tactics, and Motives of Attackers
Script Kiddies and Advanced Blackhats
Everyone Is a Target
Methods of Attackers
Motives of Attackers
Adapting and Changing Threats
Chapter 3
History and Definition of Honeypots
The History of Honeypots
Definitions of Honeypots
Chapter 4
The Value of Honeypots
Advantages of Honeypots
Disadvantages of Honeypots
The Role of Honeypots in Overall Security
Honeypot Policies
Chapter 5
Classifying Honeypots by Level of Interaction
Tradeoffs Between Levels of Interaction
Low Interaction Honeypots
Medium-Interaction Honeypots
High-Interaction Honeypots
An Overview of Six Honeypots : BackOfficer Friendly, Specter, Honeyd, Homemade, ManTrap, Honeynets
Chapter 6
BackOfficer Friendly
Chapter 7
Specter
Chapter 8
Honeyd
Chapter 9
Homemade
Chapter 10
ManTrap
Chapter 11
Honeynets
Chapter 12
Implementing Your Honeypot
Specifying Honeypot Goals
Selecting a Honeypot
Determining the Number of Honeypots
Selecting Locations for Deployment
Placement for Prevention, for Detection, for Response, for Research
Implementing Data Capture
Logging and Managing Data
Using NAT
Mitigating Risk
Mitigating Fingerprinting
Chapter 13 Maintaining Your Honeypot
Alert Detection
Response
Data Analysis
Updates
Chapter 14
Putting It All Together
Page 10/58
Octobre 2002
Honeyp.com
Honeyp.edu
Chapter 15
Legal Issues
Are Honeypots Illegal ?
Precedents
Privacy : The Fourth Amendment
Stored Information : The Electronic Communications Privacy Act
Real-Time Interception of Information : The Wiretap Act and the Pen/Trap Statute
Entrapment
Liability
Chapter 16
Future of Honeypots
From Misunderstanding to Acceptance
Improving Ease of Use
Closer Integration with Technologies
Targeting Honeypots for Specific Purposes
Expanding Research Applications
A Final Caveat
Appendix A
BackOfficer Friendly ASCII File of Scans
Appendix B
Snort Configuration File
Appendix C
IP Protocols
Appendix D
Definitions, Requirements, and Standards Document
Appendix E
Honeynet Logs
Cet ouvrage est publié chez ‘Addison-Wesley’ et devrait être très prochainement disponible dans les librairies
spécialisées dont ‘Le Monde En Tique’.
http://www.tracking-hackers.com/book/
GUIDES NIST
NIST - SP800-35 / GUIDE TO IT SECURITY SERVICES
Description
Avec ce nouveau document de 78 pages publié pour commentaire, le ‘NIST’ nous offre une excellente
présentation du processus de gestion d’un projet de sécurité et des services d’accompagnement.
S’appuyant sur une démarche constituée de 6 phases adaptées au cycle de vie d’un projet de sécurité, le NIST décrit
les exigences attachées à chacun des 13 services type, eux-mêmes ventilés en trois catégories.
Catégorie
Gestion
Opérationnel
Technique
Services attachés
Programme de sécurité (Security Program)
Politique de sécurité (Security Policy)
Gestion des risques (Risk Management)
Architecture de sécurité (Security Architecture)
Certification et accréditation (Certification & Accreditation)
Evaluation de la sécurité des produits (Security Evaluation of IT Products)
Plan de secours (Contingency planning)
Gestion des incidents (Incident Handling)
Tests (Tests)
Formation (Training)
Pare-feux (Firewalls)
Détection d’intrusion (Intrusion Detection)
Gestion des clefs publiques (Public Key Infrastructure)
La table des matières de ce document est reproduite ci-dessous :
1.
Introduction
1. Roles and Responsibilities
2.1 Chief Information Officer
2.2 Contracting Officer
2.3 Contracting Officer’s Technical Representative
2.4 IT Investment Board (or equivalent)
2.5 IT Security Program Manager
2.6 IT System Security Officer
2.7 Program Manager (Owner Of Data)/Procurement Initiator
2.8 Privacy Officer
Page 11/58
Octobre 2002
3.
3.1
3.2
3.3
3.4
3.5
3.6
4.
4.1
4.2
IT Security Services
Overview of IT Security Services
Overview of IT Security Service Arrangements
Overview Of IT Security Services Management Tools
Overview of IT Security Services Issues
General Considerations for IT Security Services
Organizational Conflict of Interest
IT Security Services Life Cycle
Phase 1 : Initiation
Phase 2 : Assessment
4.2.1 Baseline Existing Environment
4.2.2 Analyze Opportunities and Barriers
4.2.3 Identify Options and Risks
4.3 Phase 3 : Solution
4.3.1 Develop the Business Case
4.3.2 Develop the Service Arrangement
4.3.3 Develop the Implementation Plan
4.4 Phase 4 : Implementation
4.4.1 Identify Service Provider and Develop Service Agreement
4.4.2 Finalize and Execute the Implementation Plan
4.4.3 Manage Expectations
4.5 Phase 5 : Operations
4.5.1 Monitor Service Provider Performance
4.5.2 Monitor and Measure Organization Performance
4.5.3 Evaluate and Evolve
4.6 Phase 6 : Closeout
4.6.1 Select Appropriate Exit Strategy
4.6.2 Implement Appropriate Exit Strategy
5.
Types of Services
5.1 Management Security Services
5.1.1 IT Security Program Development
5.1.2 IT Security Policy
5.1.3 Risk Management
5.1.4 IT Security Architecture
5.1.5 Certification and Accreditation
5.1.6 IT Security Product Evaluation
5.2 Operational Security Services
5.2.1 Contingency Planning
5.2.2 Incident Handling
5.2.3 Testing
5.2.4 Training
5.3 Technical Security Services
5.3.1 Firewalls
5.3.2 Intrusion Detection
5.3.3 Public Key Infrastructure
Appendix A— REFERENCES
Appendix B— ACRONYM LIST
Appendix C— SAMPLE PROCUREMENT LANGUAGE
Appendix D— SERVICE AGREEMENT OUTLINE
Appendix E— FREQUENTLY ASKED QUESTIONS
Nous avons particulièrement apprécié l’annexe ‘C’ intitulée ‘Sample Procurement Language’ proposant au lecteur
une collection de clauses définissant les missions et responsabilités susceptibles d’être déléguées. Ces clauses sont
volontairement rédigées dans un langage simplifié à l’extrême afin d’éliminer toute ambiguïté ou imprécision.
Ces clauses ‘type’ couvrent les domaines

De la gestion de la sécurité et plus particulièrement :
- Du développement d’un programme pour la sécurisation du système d’information
- De la spécification et de la validation de la politique de sécurité du système d’information
- De la gestion du risque
- De la certification et de l’accréditation
- De la sélection de produits de sécurité et de l’évaluation de ceux-ci

Des services opérationnels de sécurité dont :
- L’élaboration d’un plan de secours
- L’établissement d’un système de gestion des incidents
- La mise en place d’un plan de formation

Des services techniques de sécurité notamment :
- La maintenance du système d’information

Et enfin de la gestion des contrats d’embauche.
Nous ne pouvons que recommander la lecture de ce document dans lequel tout responsable d’un système
d’information trouvera à n’en pas douter une source d’inspiration.
Page 12/58
Octobre 2002
http://csrc.nist.gov/publications/drafts/Services_PC_100802.pdf
NIST - SP800-36 / GUIDE TO SELECTING IT SECURITY PRODUCTS
Description
Le ‘NIST’ propose à la relecture un guide de 62 pages consacré au processus de sélection des produits de
sécurisation d’un système d’information. Une classification en 8 catégories est utilisée par le ‘NIST’ dont
le lecteur remarquera qu’elle intègre les produits destinés à l’analyse et à l’investigation (‘forensics’) mais aussi les
produits de nettoyage et de destruction des supports trop souvent oubliés et pourtant ultime barrière contre le vol de
données.
Catégories de produits
Identification, Authentification et Autorisation (AAA)
Contrôle d’accès
Détection d’intrusion
Pare-feu
PKI
Protection contre les virus et code malicieux
Investigation (Forensics)
Nettoyage et destruction des supports (media sanitizing)
Chaque catégorie fait l’objet d’une section organisée en trois volets:
- une présentation des différentes technologies utilisées,
- les fonctionnalités attendues de cette catégorie de produits,
- les questions qu’il y a lieu de se poser préalablement à la sélection en tenant compte de l’impact sur l’organisation et
des fonctionnalités spécifiques du produit.
1.
Introduction
2.
Roles and Responsibilities
2.1 IT Security Program Manager
2.2 Chief Information Officer
2.3 IT Investment Board (or equivalent)
2.4 Program Manager (owner of data) / Procurement Initiator
2.5 Acquisition Team
2.6 Contracting Officer
2.7 Contracting Officer’s Technical Representative
2.8 IT System Security Officer
3.
Selecting Proper Security Controls
4.
General Considerations
5.
Computer Security Products
5.1 Identification, Authentication and Authorization
5.1.1 Types of Products
5.1.2 Identification and Authentication Product Characteristics
5.1.3 Environment Questions
5.2 Access Control
5.2.2 Access Control Product Characteristics
5.3 Intrusion Detection
5.3.2 Intrusion Detection Product Characteristics
5.4 Firewall
5.4.2 Firewall Product Characteristics
5.5 Public Key Infrastructure
5.5.2 PKI Product Characteristics
5.6 Virus and Malicious Code Protection
5.6.2 Virus and Malicious Code Protection Product Characteristics
5.7 Forensics
5.7.2 Forensics Product Characteristics
Page 13/58
Octobre 2002
5.8
Media Sanitizing
5.8.2 Media Sanitizing Product Characteristics
Appendix A–References
Appendix B–Acronyms
Appendix C–Frequently Asked Questions
Remarquablement organisé et structuré, ce document deviendra un aide mémoire précieux pour le prescripteur mais
aussi pour l’architecte qui y trouveront une check-list des fonctionnalités et contraintes à prendre en compte durant les
phase de sélection. Nous recommandons ainsi la lecture du chapitre 5.4 ‘Firewall’ à qui souhaite disposer d’une
présentation claire et concise des différents mécanismes de filtrage des flux réseaux.
http://csrc.nist.gov/publications/drafts/Products_PC_100802.pdf
NIST – ETAT DES GUIDES DE LA SÉRIE SP800
Description
La disponibilité de nouveaux documents nous amène à proposer une mise à jour du tableau récapitulatif des
publications récentes de la série spéciale ‘SP800’:
SP800-26 Security Self-Assessment Guide for Information Technology Systems
[F]
11/2001
SP800-27 Engineering Principles for Information Technology Security
[F]
06/2001
SP800-28 Guidelines on Active Content and Mobile Code
[F]
10/2001
SP800-29 Comparison of Security Reqs for Cryptographic Modules in FIPS 140-1 & 140-2
[F]
10/2001
SP800-30 Underlying Technical Models for Information Technology Security
[F]
01/2002
SP800-31 Intrusion Detection Systems
[F]
11/2001
SP800-32 Introduction to Public Key Technology and the Federal PKI Infrastructure
[F]
02/2001
SP800-33 Underlying Technical Models for Information Technology Security
[F]
12/2001
SP800-34 Contingency Planning Guide for Information Technology Systems
[F]
06/2002
SP800-35 Guide to Selecting IT Security Products
[R]
10/2002
SP800-36 Guide to IT Security Services
[R]
10/2002
SP800-38 Recommendation for Block Cipher Modes of Operation
[F]
12/2001
SP800-40 Applying Security Patches
[*]
09/2002
SP800-41 Guidelines on Firewalls and Firewall Policy
[F]
01/2002
SP800-42 Guidelines on Network Security testing
[R]
04/2002
SP800-43 System Administration Guidance for Windows2000
[R]
01/2002
SP800-44 Guidelines on Securing Public Web Servers
[*]
09/2002
SP800-45 Guide On Electronic Mail Security
[*]
09/2002
SP800-46 Security for Telecommuting and Broadband Communications
[*]
09/2002
SP800-47 Security Guide for Interconnecting Information Technology Systems
[*]
09/2002
SP800-48 Wireless Network Security: 802.11, Bluetooth™ and Handheld Devices
[R]
07/2002
SP800-50 Building an Information Technology Security Awareness and Training Program
[R]
07/2002
SP800-51 Use of the Common Vulnerabilities and Exposures Vulnerability Naming Scheme
[F]
09/2002
[F] Finalisé
[R] Pour commentaire et relecture
[*] Récemment finalisé
http://csrc.nist.gov/publications/nistpubs/index.html
WEB
OWASP - GUIDE TO BUILDING SECURE WEB APPLICATIONS V1.1
Description
Projet communautaire animé par de nombreux volontaires, OWASP – The Open Web Application Security Project –
a pour objectif d’aider la communauté Internet à mieux sécuriser ses serveurs WEB, et ceci par la diffusion d’outils
spécialisés mais aussi documents d’aide à la configuration.
C’est à ce titre que le projet OWASP annonce la mise à disposition d’une nouvelle version de son excellent état de l’art
intitulé ‘Guide to Building Secure Web Applications’. Publié au format ‘PDF’ et ‘HTML’ sous licence ‘GNU
Documentation’ donc exploitable par tout un chacun, ce document a le mérite de présenter très clairement les
menaces et les différentes mesures de protection applicables aussi bien au niveau de l’infrastructure que de
Page 14/58
Octobre 2002
l’application.
L’approche très pédagogique du sujet développé au long de ce guide nous conduit à considérer qu’il trouvera sa place
en tant que document de référence. Le synoptique suivant - extrait du guide - présente ainsi les différentes
composantes – logiciels et protocoles - intervenant dans le contexte d’un service WEB.
Nous reproduisons ci-dessous pour information la table de matière de ce guide:
1. Introduction
2. Overview
What Are Web Applications?
What Are Web Services?
3. How Much Security Do You Really Need?
What are Risks, Threats and Vulnerabilities?
Measuring the Risk
4. Security Guidelines
Validate Input and Output
Fail Securely (Closed)
Keep it Simple
Use and Reuse Trusted Components
Defense in Depth
Only as Secure as the Weakest Link
Security By Obscurity Won't Work
Least Privilege
Compartmentalization (Separation of Privileges)
5. Architecture
General Considerations
Security from the Operating System
Security from the Network Infrastructure
6. Authentication
What is Authentication?
Types of Authentication
Browser Limitations
HTTP Basic
HTTP Digest
Forms Based Authentication
Digital Certificates (SSL and TLS)
Entity Authentication
Infrastructure Authentication
Password Based Authentication Systems
7. Managing User Sessions
Cookies
Persistent vs. Non-Persistent
Secure vs. Non-Secure
How do Cookies work?
What's in a cookie?
Session Tokens
Cryptographic Algorithms for Session Tokens
Appropriate Key Space
Session Management Schemes
Session Time-out
Regeneration of Session Tokens
Session Forging/Brute-Forcing Detection and/or Lockout
Session Re-Authentication
Session Token Transmission
Session Tokens on Logout
Page Tokens
SSL and TLS
How do SSL and TLS Work?
8. Access Control and Authorization
Discretionary Access Control
Mandatory Access Control
Role Based Access Control
9. Event Logging
What to Log
Log Management
10. Data Validation
Validation Strategies
Accept Only Known Valid Data
Reject Known Bad Data
Sanitize All Data
Never Rely on Client-Side Data Validation
Page 15/58
Octobre 2002
11. Preventing Common Problems
The Generic Meta-Characters Problem
Attacks on The Users
Cross-Site Scripting
Attacks on the System
Direct SQL Commands
Direct OS Commands
Path Traversal and Path Disclosure
Null Bytes
Canonicalization
URL Encoding
Parameter Manipulation
Cookie Manipulation
HTTP Header Manipulation
HTML Form Field Manipulation
URL Manipulation
Miscellaneous
Vendors Patches
System Configuration
Comments in HTML
Old, Backup and Un-referenced Files
Debug Commands
Default Accounts
12. Privacy Considerations
The Dangers of Communal Web Browsers
Using personal data
Enhanced Privacy Login Options
Browser History
13. Cryptography
Overview
Symmetric Cryptography
Asymmetric, or Public Key, Cryptography
Digital Signatures
Hash Values
Implementing Cryptography
Cryptographic Toolkits and Libraries
Key Generation
Random Number Generation
Key Lengths
II. Appendixes
A. GNU Free Documentation License
Le lecteur intéressé par le domaine de la validation de la robustesse d’un site WEB pourra parcourir le site WEB de
l’OWASP et consulter la page dédiée aux projets ‘WebScarab’ - un système d’audit WEB non encore finalisé – et
‘VulnXML’, un projet dédié à la gestion des vulnérabilités propres à l’environnement ‘XML’.
http://www.owasp.org/guide/
LA
LEGISLATION
INVESTIGATION
LES OUTILS D’INVESTIGATION LIBRES
Description
La société américaine ‘AtStake’ a publié une intéressante étude portant sur l’intérêt de l’utilisation des outils
d’investigation développés en Open Source dans le cadre de la juridiction américaine. Intitulée ‘Open Source Digital
Forensics Tools : The Legal Argument’, cette étude vise à démontrer que l’accessibilité du code source des outils
diffusés en ‘Open Source’ permet de répondre en tout point aux exigences du test dit de ‘Daubert’, désormais utilisé
par les tribunaux américains.
Ce test qui tire son nom de la jurisprudence «Daubert contre Merrel Dow Pharmaceuticals» vise à déterminer si la
preuve scientifique apportée par un expert est admissible. Dans le cas d’une investigation sur un système
informatique, ce test pourrait être utilisé pour juger de la fiabilité du processus de relevé des preuves, et donc de la
validité des méthodes employées dans l’outillage ayant permis l’acquisition, l’analyse puis la présentation des données
présentées en tant qu’élément de preuve.
Le processus de validation mis en œuvre dans ce test conduit à devoir répondre à quatre grandes questions:
La vérification : la procédure employée peut-elle et a-t-elle déjà été testée ?
Le taux d’erreur : le taux d’erreur de la procédure employée est-il connu ?
La publication : la procédure a-t-elle fait l’objet d’une publication et a-t-elle été l’objet d’une validation par un tiers ?
La reconnaissance scientifique : la procédure a-t-elle été reconnue dans la communauté scientifique ?
L’auteur de l’étude démontre l’intérêt de pouvoir disposer des sources des outils dans ce contexte, la procédure de
relevé de preuve étant par nature automatisée, et donc, pour tout ou partie retranscrite dans le code source. L’analyse
de celui-ci permettra de confirmer et de valider la viabilité et le taux d’erreur de la méthode utilisée. L’auteur précise
que la seule mise à disposition d’un code source ne saurait résoudre ce problème et qu’il est nécessaire de préparer ce
terrain encore peu exploré. A cette fin, plusieurs actions sont suggérées dont:
- Le développement de jeux d’essai permettant de valider les outils d’analyse des systèmes de fichiers en complément
des jeux de test déjà développés par le NIST (Rapport N°46 - Mai 2002),
- La publication de l’architecture des différents outils pour faciliter la création de jeux de test performants et complets,
- La création d’une méthode de référence pour le calcul du taux d’erreur applicable aussi bien aux outils qu’aux
procédures,
- La publication des procédures spécifiques employées par les outils au moyen d’une description textuelle pour éviter
d’avoir à recourir systématiquement à l’étude des sources,
- La mise en place d’un débat public portant sur les procédures publiées afin de s’assurer qu’elles obtiennent
l’agrément de la majorité.
Difficilement transposable en dehors des Etats-Unis car portant sur des spécificités du modèle juridique américain, ce
document a cependant le mérite de poser clairement les fondements d’un problème latent et universel.
http://www.atstake.com/research/reports/acrobat/atstake_opensource_forensics.pdf
Page 16/58
Octobre 2002
http://www.clarkhill.com/law_media/daubert.html
DIVULGATION
AFFAIRE KITETOA
Description
Le site ‘Kitetoa’ a publié sur son site les conclusions du Parquet déclarant recevable l’appel relevé par le parquet
général de Paris dans le cadre de l’affaire opposant le WebMestre de ce site à la société ‘TATI’. Le jugement de la
cour d'appel n'ayant pas encore été rendu1, les arguments développés ne sauraient encore donner lieu à
jurisprudence. Plusieurs arguments nous paraissent cependant mériter quelques approfondissements.
Rappelons tout d'abord la chronologie des événements:
En 1999, Antoine Champagne, journaliste et webmestre du site ‘Kitetoa’, réussit à accéder à des données
confidentielles concernant les clients du site WEB de la société ‘TATI’. Cet accès a été rendu possible par l’existence
d’une faille de sécurité présente sur le site, faille exploitable par le biais d’une URL particulière et d'un simple
navigateur ‘WEB’. Après avoir averti les administrateurs du site et en l’absence de toute réponse de leur part,
A.Champagne publie sur le site ‘Kitetoa’ un article révélant l’existence de cette faille.
Avertis de la publication de l’article, les dirigeants de ‘TATI’ décident de poursuivre en justice A.Champagne pour
‘accès et maintien frauduleux dans un Système de Traitement Automatisé de Données’ ou ‘STAD’.
A l’issu du procès, A.Champagne est condamné à une amende de 1000€ avec sursis et dispensé de dommages et
intérêts. Les conclusions du jugement s’appuient sur le fait que A.Champagne «avait nécessairement
conscience que son accès et son maintien sur le site Tati étaient frauduleux» en reconnaissant cependant
«… que le fichier litigieux était accessible par la seule utilisation des fonctionnalités du navigateur
NETSCAPE».
Les réquisitions dénoncent l’existence d’une contradiction dans les motifs exposés « puisqu'une manipulation
considérée comme licite devient in fine une méthode frauduleuse par la seule conscience que l'on a d'avoir
découvert une chose à laquelle on n'a normalement pas accès ».
A la question fondamentale du caractère frauduleux de l’accès, le Parquet considère que celui-ci ayant été réalisé
uniquement à l’aide du navigateur ‘Netscape’ sans effectuer de manipulation particulière, ne saurait être considéré
comme frauduleux. Cette position est appuyée par le rappel des motivations d’A.Champagne qui n’étaient pas de
nuire à la société ‘TATI’ ou à ses clients mais de prouver la véracité de ses tests. Et d’énoncer un principe
fondamental sous la forme d’un exemple pratique « lorsqu’une base de donnée est, par la faute de celui qui
l’exploite, en accès libre […] le seul fait d’en prendre connaissance […] ne saurait constituer une
infraction ».
La responsabilité de l’exploitant est évoquée lorsque le Parquet remarque que seule l’absence de plainte l’a empêché
de poursuivre la société ‘TATI’ pour ne pas avoir protégé les données sur ses clients en vertu de l’article 226-17 du
code pénal !
On notera à ce propos la volonté exprimée d’éviter la mise en place d’une jurisprudence qui créerait une «insécurité
juridique et judiciaire pour les internautes […]». Cela va également dans le sens de la responsabilisation des
exploitants de systèmes informatiques.
Nous terminerons par cette phrase attribuée au garde des sceaux «Le droit pénal ne doit pas compenser
l’insuffisance ou la défaillance des mesures de sécurité». Ne pourrait-on trouver ici un argument de poids
permettant de justifier de la mise en place de mesures de protection du SI sans lesquelles l’infraction ne saurait être
constituée et l’entreprise susceptible d’être poursuivie au pénal.
http://www.kitetoa.com/Pages/Textes/Les_Dossiers/Tati_versus_Kitetoa/conclusions-parquet.shtml
1
30/10/2002 - Le jugement vient juste d’être rendu. Le Webmester de Kitetoa est relaxé comme le demandait le
Parquet.
Page 17/58
Octobre 2002
LO
OG
GIIC
CIIE
EL
LS
S LIIB
BR
RE
ES
S
LES
SERVICES DE BASE
Les dernières versions des services de base sont rappelées dans les tableaux suivants. Nous conseillons
d’assurer rapidement la mise à jour de ces versions, après qualification préalable sur une plate-forme
dédiée.
RESEAU
Nom
Fonction
BIND
Gestion de Nom (DNS) 9.2.2rc1
8.3.3
Serveur d’adresse
3.0p1
Serveur de temps
4.1.1a
Serveur de fichiers
2.6.2
DHCP
NTP4
WU-FTP
Ver.
Date
Source
14/08/02
28/06/02
08/05/02
23/03/02
29/11/01
http://www.isc.org/products/BIND
http://www.isc.org/products/DHCP/dhcp-v3.html
http://www.eecis.udel.edu/~ntp
http://www.wu-ftpd.org
MESSAGERIE
Nom
IMAP4
POP3
SENDMAIL
Fonction
Ver.
Date
Relevé courrier
Relevé courrier
Serveur de courrier
2002RC9
4.0.4
8.12.6
29/10/02 ftp://ftp.cac.washington.edu/imap/
12/04/02 ftp://ftp.qualcomm.com/eudora/servers/unix/popper/
26/08/02 ftp://ftp.sendmail.org/pub/sendmail/RELEASE_NOTES
Source
Fonction
Ver.
Date
WEB
Nom
APACHE
ModSSL
MySQL
SQUID
1.3.27
2.0.43
API SSL Apache 1.3.27 2.8.12
Base SQL
3.23.54
Cache WEB
2.5s1
Serveur WEB
Source
03/10/02
03/10/02
23/10/02
14/10/02
25/09/02
http://httpd.apache.org/dist
http://www.modssl.org
http://www.mysql.com/doc/N/e/News-3.23.x.html
http://www.squid-cache.org
AUTRE
Nom
INN
MAJORDOMO
OpenCA
OpenLDAP
LES
Fonction
Ver.
Gestion
Gestion
Gestion
Gestion
2.3.3
1.94.5
0.9.02
2.1.8
des news
des listes
de certificats
de l’annuaire
Date
Source
07/05/01
15/01/00
13/09/02
14/10/02
http://www.isc.org/products/INN
http://www.greatcircle.com/majordomo
http://www.openca.org/openca/download-releases.shtml
http://www.openldap.org
OUTILS
Une liste, non exhaustive, des produits et logiciels de sécurité du domaine public est proposée dans les
tableaux suivants.
LANGAGES
Nom
Fonction
Ver.
SPLINT
Perl
PHP
Analyse de code
Scripting
WEB Dynamique
3.0.1.6
5.8.0
4.2.3
Date
Source
18/02/02 http://lclint.cs.virginia.edu
12/08/02 http://www.cpan.org/src/index.html
06/09/02 http://www.php.net/downloads.php
ANALYSE RESEAU
Nom
Big Brother
Dsniff
EtterCap
Ethereal
IP Traf
Nstreams
SamSpade
TcpDump
Libpcap
TcpFlow
TcpShow
WinPCap
Fonction
Ver.
Visualisateur snmp
Boite à outils
Analyse & Modification
Analyse multiprotocole
Statistiques IP
Générateur de règles
Boite à outils
Analyse multiprotocole
Acquisition Trame
Collecte données
Collecte données
Acquisition Trame
1.9c
2.3
0.6.7
0.9.7
2.7.0
1.0.3
1.14
3.7.1
0.7.1
0.20
1.81
3.0alpha4
Date
Source
15/05/02
17/12/00
02/07/02
29/09/02
19/05/02
06/08/02
10/12/99
21/01/02
21/01/02
26/02/01
21/03/00
22/10/02
http://bb4.com/
http://www.monkey.org/~dugsong/dsniff
http://ettercap.sourceforge.net/index.php?s=history
http://www.ethereal.com
http://cebu.mozcom.com/riker/iptraf/
http://www.hsc.fr/ressources/outils/nstreams/download/
http://www.samspade.org/ssw/
http://www.tcpdump.org/
http://www.tcpdump.org/
http://www.circlemud.org/~jelson/software/tcpflow/
http://ftp7.usa.openbsd.org/pub/tools/unix/sysutils/tcpshow
http://winpcap.polito.it/news.htm
Page 18/58
Octobre 2002
ANALYSE DE JOURNAUX
Nom
Analog
Autobuse
SnortSnarf
WebAlizer
Fonction
Ver.
Journaux serveur http
Analyse syslog
Analyse Snort
Journaux serveur http
5.24
1.13
021024
2.01-10
Date
Source
25/06/02
31/01/00
16/05/02
24/04/02
http://www.analog.cx
http://www.picante.com/~gtaylor/autobuse
http://www.silicondefense.com/software/snortsnarf/
http://www.mrunix.net/webalizer/download.html
ANALYSE DE SECURITE
Nom
Fonction
Ver.
FIRELite
curl
Nessus
Nmap
Pandora
Saint
Sara
Tara (tiger)
Tiger
Trinux
WebProxy
Whisker
Boite à outils
Analyse http et https
Vulnérabilité réseau
Vulnérabilité Netware
Vulnérabilité système
Vulnérabilité système
Boite à outils
Analyse http et https
Requêtes HTTP
LibWhisker
0.2b
7.10.1
1.2.6
3.00
4.0b2.1
4.0.1
4.1.1
3.0.3
2.2.4p1
0.81pre0
1.0
2.0
1.5
Date
Source
19/08/02
11/10/02
08/10/02
01/08/02
12/02/99
18/10/02
30/09/02
15/08/02
19/07/99
07/11/01
23/04/02
05/05/02
22/09/02
http://biatchux.dmzs.com/
http://curl.haxx.se/
http://www.nessus.org
http://www.insecure.org/nmap/nmap_download.html
http://www.packetfactory.net/projects/pandora/
http://www.saintcorporation.com/updates.html
http://www.www-arc.com/sara/downloads/
http://www-arc.com/tara
ftp://net.tamu.edu/pub/security/TAMU/tiger
http://sourceforge.net/projects/trinux/
http://www.atstake.com/research/tools/index.html#WebProxy
http://www.wiretrip.net/rfp/p/doc.asp?id=21
CONFIDENTIALITE
Nom
OpenPGP
GPG
Fonction
Ver.
Signature/Chiffrement
Signature/Chiffrement
1.2.1
Date
Source
http://www.openpgp.org/
25/10/02 http://www.gnupg.org
CONTROLE D’ACCES
Nom
Fonction
Ver.
TCP Wrapper
Xinetd
Accès services TCP
Inetd amélioré
7.6
2.3.9
Date
Source
ftp://ftp.cert.org/pub/tools/tcp_wrappers
24/09/02 http://synack.net/xinetd/
CONTROLE D’INTEGRITE
Nom
Fonction
Ver.
Tripwire
ChkRootKit
Intégrité LINUX
Compromission UNIX
2.3.47
0.37
Date
Source
15/08/00 http://www.tripwire.org/downloads/index.php
16/09/02 http://www.chkrootkit.org/
DETECTION D’INTRUSION
Nom
Fonction
Deception TK Pot de miel
LLNL NID
IDS Réseau
Snort
IDS Réseau
Shadow
IDS Réseau
Ver.
19990818
2.6
1.9.0
1.7
Date
Source
18/08/99
10/10/02
03/10/02
21/09/01
http://all.net/dtk/index.html
http://ciac.llnl.gov/cstc/nid/nid.html
http://www.snort.org/dl/
http://www.nswc.navy.mil/ISSEC/CID/
GENERATEURS DE TEST
Nom
Elza
FireWalk
IPSend
IDSWakeUp
UdpProbe
Fonction
Ver.
Requêtes HTTP
Analyse filtres
Paquets IP
Détection d’intrusion
Paquets UDP
1.4.5
5.0
2.1a
1.0
1.2
Date
Source
01/04/00
20/10/02
19/09/97
13/10/00
13/02/96
http://www.stoev.org/elza/project-news.html
http://www.packetfactory.net/firewalk
ftp://coombs.anu.edu.au/pub/net/misc
http://www.hsc.fr/ressources/outils/idswakeup/download/
http://sites.inka.de/sites/bigred/sw/udpprobe.txt
PARE-FEUX
Nom
Fonction
Ver.
DrawBridge
IpFilter
PareFeu FreeBsd
Filtre datagramme
3.1
3.4.29
Date
Source
19/04/00 http://drawbridge.tamu.edu
30/08/02 http://coombs.anu.edu.au/ipfilter/ip-filter.html
TUNNELS
Nom
Fonction
Ver.
Date
Source
CIPE
FreeSwan
http-tunnel
Pile Crypto IP (CIPE)
Pile IPSec
Encapsulation http
1.5.4
1.98b
3.0.5
3.3 (dev)
0.9.6g
3.5
4.02
1.54
2.4.1
29/06/01
26/06/02
06/12/00
08/03/01
09/08/02
14/10/02
21/10/02
21/03/01
29/05/02
http://sites.inka.de/sites/bigred/devel/cipe.html
http://www.freeswan.org
http://www.nocrew.org/software/httptunnel.html
OpenSSL
OpenSSH
Stunnel
TTSSH
Zebedee
Pile SSL
Pile SSH 1 et 2
Proxy https
PlugIn SSH TeraTerm
Tunnel TCP/UDP
http://www.openssl.org/
http://www.openssh.com/
http://www.stunnel.org
http://www.zip.com.au/~roca/ttssh.html
http://www.winton.org.uk/zebedee/
Page 19/58
Octobre 2002
NO
OR
RM
ME
ES
SE
ET
T ST
TA
AN
ND
DA
AR
RD
DS
S
LES
LES
PUBLICATIONS DE L’IETF
RFC
Du 21/09/2002 au 28/10/2002, 31 RFC ont été publiés dont 1 RFC ayant trait à la
sécurité.
RFC TRAITANT DE LA SECURITE
Thème
AES
Num Date Etat Titre
3394
09/02 Inf
Advanced Encryption Standard (AES) Key Wrap Algorithm
RFC TRAITANT DE DOMAINES CONNEXES A LA SECURITE
Thème
POL
Num Date Etat Titre
3334
10/02 Exp
Policy-Based Accounting
AUTRES RFC
Thème
3GPP
BIA
DDDS
FAX
IANA
IGMP
IP
IPP
iSCSI
ISIS
LDAP
MIB
QoS
RTP
SCTP
SDP
SIP
TCP
TIFF
URN
LES
Num Date Etat Titre
3314
3338
3401
3402
3403
3404
3405
3249
3375
3376
3330
3374
3380
3381
3382
3385
3373
3384
3395
3387
3389
3309
3407
3311
3312
3390
3250
3302
3406
09/02
10/02
10/02
10/02
10/02
10/02
10/02
09/02
09/02
10/02
09/02
09/02
09/02
09/02
09/02
09/02
09/02
10/02
09/02
09/02
09/02
09/02
10/02
10/02
10/02
10/02
09/02
09/02
10/02
Inf
Exp
Inf
Pst
Pst
Pst
BCP
Inf
Inf
Pst
Inf
Inf
Inf
Pst
Pst
Inf
Inf
Inf
Pst
Inf
Pst
Pst
Pst
Pst
Pst
Pst
Pst
Pst
BCP
Recommendations for IPv6 in Third Generation Partnership Project (3GPP) Standards
Dual Stack Hosts Using "Bump-in-the-API" (BIA)
Dynamic Delegation Discovery System (DDDS) Part 1: The Comprehensive DDDS
Dynamic Delegation Discovery System (DDDS) Part 2: The Algorithm
Dynamic Delegation Discovery System (DDDS) Part 3: The Domain Name System (DNS) Database
Dynamic Delegation Discovery System (DDDS) Part 4: The Uniform Resource Identifiers (URI)
Dynamic Delegation Discovery System (DDDS) Part 5: URI.ARPA Assignment Procedures
Implementers Guide for Facsimile Using Internet Mail
Generic Registry-Registrar Protocol Requirements
Internet Group Management Protocol, Version 3
Special-Use IPv4 Addresses
Problem Desc.: Reasons For Performing Context Transfers Between Nodes in an IP Access Network
Internet Printing Protocol (IPP): Job and Printer Set Operations
Internet Printing Protocol (IPP): Job Progress Attributes
Internet Printing Protocol (IPP): The 'collection' attribute syntax
iSCSI Cyclic Redundancy Check (CRC)/Checksum Considerations
Three-Way Handshake for Intermediate System to Intermediate System Point-to-Point Adjacencies
Lightweight Directory Access Protocol (version 3) Replication Requirements
Remote Network Monitoring MIB Protocol Identifier Reference Extensions
Considerations from the Service Management Research Group (SMRG) on QoS in the IP Network
Real-time Transport Protocol (RTP) Payload for Comfort Noise (CN)
Stream Control Transmission Protocol (SCTP) Checksum Change
Session Description Protocol (SDP) Simple Capability Declaration
The Session Initiation Protocol (SIP) UPDATE Method
Integration of Resource Management and Session Initiation Protocol (SIP)
Increasing TCP's Initial Window
Tag Image File Format Fax eXtended (TIFF-FX) - image/tiff-fx MIME Sub-type Registration
Tag Image File Format (TIFF) - image/tiff MIME Sub-type Registration
Uniform Resource Names (URN) Namespace Definition Mechanisms
DRAFTS
Du 21/09/2002au 28/10/2002, 406 drafts ont été publiés: 257 drafts mis à jour, 149
nouveaux drafts, dont 21 drafts ayant directement trait à la sécurité.
NOUVEAUX DRAFTS TRAITANT DE LA SECURITE
Thème
Nom du Draft
Date Titre
AAA
draft-mun-aaa-localkm-mobileipv6-00
draft-ng-nemo-aaa-use-00
draft-renjie-aaa-extended-802dot1x-00
draft-gill-btsh-00
draft-ietf-cdi-threat-00
08/10
14/10
25/10
08/10
01/10
BGP
CDI
Localized Key Management for AAA in Mobile IPv6
Usage Scenario and Reqs for AAA in Network Mobility Support
Ext. IEEE802.1x Support Auth. of userssharing a Single Ether Port
The BGP TTL Security Hack (BTSH)
Security Threat for Content Internetworking
Page 20/58
Octobre 2002
CFRG
DHCP
EAP
IP
IPV6
OPES
PANA
SAODV
SDP
SPIRITS
SSH
VPN
draft-irtf-cfrg-advice-00
draft-droms-dhcp-relay-agent-ipsec-00
draft-ietf-eap-otp-00
draft-ietf-psamp-sample-tech-00
draft-ietf-ipngwg-temp-addresses-v2-00
draft-ietf-send-psreq-00
draft-savola-v6ops-6to4-security-00
draft-ietf-opes-threats-00
draft-forsberg-pana-secure-net-acc-auth-00
draft-ietf-pana-threats-eval-00
draft-ohba-pana-potls-00
draft-guerrero-manet-saodv-00
draft-baugher-mmusic-sdpmediasec-00
draft-ietf-spirits-security-00
draft-galb-secsh-publickey-subsystem-00
draft-duffy-ppvpn-ipsec-vlink-00
24/10
25/10
14/10
10/10
23/09
17/10
22/10
21/10
03/10
22/10
01/10
10/10
01/10
14/10
18/10
21/10
Advice on Writing an Internet Draft Amenable to Security Analysis
IPsec for Securing DHCPv4 Msg Exchanged Between Relay Agents
The OTP and Generic Token Card Authentication Protocols
Sampling and Filtering Techniques for IP Packet Selection
Privacy Extensions for Stateless Address Autoconfiguration in IPv6
IPv6 Neighbor Discovery trust models and threats
Security Considerations for 6to4
Security Threats and Risks for Open Pluggable Edge Services
Secure Network Access Authentication (SeNAA)
PANA Threat Analysis and security requirements
PANA over TLS
Secure Ad hoc On-Demand Distance Vector (SAODV) Routing
SDP Security Descriptions for Media Streams
SPIRITS protocol security
Secure Shell Public-Key Subsystem
Framework for IPsec Protected Virtual Links for PPVPNs
MISE A JOUR DE DRAFTS TRAITANT DE LA SECURITE
Thème
Nom du Draft
AAA
DHCP
draft-goswami-aaa-mipv4-wlan-auth-01
draft-ietf-dhc-agentopt-radius-01
draft-ietf-dhc-suboptions-kdc-serveraddr-01
DDOS
draft-moriarty-ddos-rid-02
DNS
draft-ietf-dnsext-dnssec-intro-03
draft-ietf-dnsext-dnssec-opt-in-03
draft-ietf-dnsext-keyrr-key-signing-flag-01
draft-ietf-dnsext-tkey-renewal-mode-02
FTP
draft-murray-auth-ftp-ssl-10
ICMP
draft-lakhiani-adminprohib-authreqd-02
IDWG
draft-ietf-idwg-beep-idxp-07
draft-ietf-idwg-requirements-10
IKE
draft-ietf-ipsra-pic-06
IPSEC
draft-ietf-ipsec-ikev2-03
draft-ietf-ipsec-sctp-04
draft-ietf-ipsp-ipsec-conf-mib-04
KERB
draft-ietf-cat-iakerb-09
draft-ietf-krb-wg-crypto-02
draft-ietf-krb-wg-hw-auth-02
draft-ietf-krb-wg-kerberos-clarifications-01
draft-ietf-krb-wg-kerberos-sam-01
MIB
draft-ietf-ips-auth-mib-02
MOBILEIP draft-ietf-mobileip-aaa-key-10
draft-ietf-mobileip-mipv6-ha-ipsec-01
draft-okazaki-mobileip-abk-01
MSEC
draft-ietf-msec-gkmarch-03
PANA
draft-ietf-pana-requirements-04
PKIX
draft-ietf-pkix-acpolicies-extn-01
draft-ietf-pkix-logotypes-06
draft-ietf-pkix-proxy-03
draft-ietf-pkix-usergroup-01
PPP
draft-aboba-pppext-key-problem-03
draft-arkko-pppext-eap-aka-05
draft-haverinen-pppext-eap-sim-06
draft-ietf-pppext-rfc2284bis-07
RFC2831
draft-melnikov-rfc2831bis-02
SACRED
draft-ietf-sacred-protocol-bss-03
SEC
draft-iab-sec-cons-01
SMIME
draft-ietf-smime-examples-08
SPNEGO
draft-brezak-spnego-http-04
SSH
draft-ietf-secsh-architecture-13
draft-ietf-secsh-assignednumbers-01
draft-ietf-secsh-auth-kbdinteract-04
draft-ietf-secsh-connect-16
draft-ietf-secsh-filexfer-03
draft-ietf-secsh-publickeyfile-03
draft-ietf-secsh-transport-15
draft-ietf-secsh-userauth-16
TLS
draft-ietf-tls-compression-03
W7CIPHER draft-thomas-w7cipher-03
WIN2K
draft-brezak-win2k-krb-authz-01
Date Titre
14/10
24/10
17/10
07/10
24/10
14/10
03/10
25/09
01/10
08/10
23/10
23/10
09/10
15/10
22/10
24/10
07/10
23/10
24/10
30/09
01/10
01/10
23/10
16/10
04/10
02/10
21/10
24/10
07/10
21/10
25/09
23/10
03/10
03/10
22/10
16/10
27/09
11/10
25/09
16/10
23/09
04/10
02/10
23/09
17/10
17/10
23/09
23/09
23/10
21/10
16/10
DIAMETER Application for Mobile-IPv4 and 802.11 Authentication
RADIUS Attributes Sub-option for the DHCP Relay Agent Inf Opt.
KDC Server Address Sub-option
DDOS Incident Handling:Real-Time Inter-Network Defense
DNS Security Introduction and Requirements
DNSSEC Opt-in
KEY RR Key Signing (KS) Flag
TKEY Secret Key Renewal Mode
Securing FTP with TLS
A Proposal for ICMP 'Authentication Required' Messages
The Intrusion Detection Exchange Protocol (IDXP)
Intrusion Detection Mesage Exchange Requirements
PIC, A Pre-IKE Credential Provisioning Protocol
Internet Key Exchange (IKEv2) Protocol
On the Use of SCTP with IPsec
IPsec Policy Configuration MIB
Initial & Pass Through Authentic. Using Kerberos V5 & GSS-API
Encryption and Checksum Specifications for Kerberos 5
Passwordless Initial Auth. to Kerberos by Hardware Preauthent.
The Kerberos Network Authentication Service (V5)
Integrating Single-use Authentication Mechanisms with Kerberos
Definitions of Managed Objects for User Identity Authentication
AAA Registration Keys for Mobile IP
IPsec to Protect Mobile IPv6 Signaling between Mobile Nodes …
Securing MIPv6 Binding Updates Using Address Based Keys
Group Key Management Architecture
PANA Requirements and Terminology
Attribute Certificate Policies Extension
Internet X.509 PKI: Logotypes in X.509 certificates
Internet X.509 PKI Proxy Certificate Profile
The PKIX UserGroupName GeneralName Type
The EAP Keying Problem
EAP AKA Authentication
EAP SIM Authentication
Extensible Authentication Protocol (EAP)
Using Digest Authentication as a SASL Mechanism
Securely Available Credentials Protocol
Guidelines for Writing RFC Text on Security Considerations
Examples of S/MIME Messages
HTTP Authentication: SPNEGO Access Authentication As … W2K
SSH Protocol Architecture
SSH Protocol Assigned Numbers
Generic Message Exchange Authentication For SSH
SSH Connection Protocol
SSH File Transfer Protocol
SECSH Public Key File Format
SSH Transport Layer Protocol
SSH Authentication Protocol
Transport Layer Security Protocol Compression Methods
The W7 Stream Cipher Algorithm
Utilizing the Windows 2000 Auth. Data in Kerberos Tickets for …
DRAFTS TRAITANT DE DOMAINES CONNEXES A LA SECURITE
Thème
Nom du Draft
Date Titre
AAA
draft-ietf-aaa-diameter-15
22/10 Diameter Base Protocol
Page 21/58
Octobre 2002
BMWG
EAP
IAB
ISATAB
LDAP
MOBILEIP
MPLS
NSIS
POLICY
RAP
TUNMAN
UDP
VPN
draft-ietf-aaa-diameter-mobileip-13
draft-loughney-aaa-cc-3gpp-00
draft-ohba-aaa-diameter-cxxapi-00
draft-ietf-bmwg-dsmterm-04
draft-ietf-bmwg-mcastm-09
draft-poretsky-routersalt-term-00
draft-ietf-eap-esteem-00
draft-iab-considerations-03
draft-ietf-ngtrans-isatap-05
draft-ietf-ldapbis-protocol-09
draft-legg-ldapext-component-matching-09
draft-zeilenga-ldapext-vlv-00
draft-ietf-mobileip-nat-traversal-06
draft-ietf-mpls-ldp-ft-06
draft-aoun-nsis-nat-imps-00
draft-ietf-policy-core-schema-16
draft-ietf-rap-feedback-frwk-03
draft-ietf-rap-rsvp-authsession-04
draft-jacquenet-tunman-reqts-02
draft-finlayson-umtp-07
draft-ietf-ppvpn-cl-tunneling-vpn-00
draft-ietf-ppvpn-rfc2547bis-03
draft-ishiguro-ppvpn-pe-ce-ospf-01
draft-nagarajan-ppvpn-generic-reqts-00
draft-shah-ppvpn-arp-mediation-01
07/10
22/10
03/10
21/10
24/10
24/10
25/10
09/10
18/10
22/10
02/10
02/10
27/09
30/09
24/10
11/10
17/10
17/10
18/10
23/09
03/10
25/10
16/10
25/09
21/10
Diameter Mobile IPv4 Application
Provisional Diameter Command Codes for 3GPP Release 5
Diameter C++ API
Term for Benchmarking Network-layer Traffic Control Mechanisms
Methodology for IP Multicast Benchmarking
Term. for Benchmarking Core Router Soft Accelerated Life Testing
Eap STate machinE dEsign teaM (ESTEEM) Discussions
General Architectural and Policy Considerations
Intra-Site Automatic Tunnel Addressing Protocol (ISATAP)
LDAP: The Protocol
LDAP & X.500 Component Matching Rules
LDAP (Alternative) Virtual List View Operation
Mobile IP NAT/NAPT Traversal using UDP Tunnelling
Fault Tolerance for the Label Distribution Protocol (LDP)
NSIS Network Address Translator implications
Policy Core LDAP Schema
Framework for Policy Usage Feedback for COPS-PR
Session Authorization Policy Element
Requirements for dynamic tunnel configuration
The UDP Multicast Tunneling Protocol
Scalable Connectionless Tunneling Arch. & Protocols for VPNs
BGP/MPLS VPNs
Instance of OSPF for the PE/CE protocol in BGP/MPLS VPNs
Generic Requirements for Provider Provisioned VPN
ARP Mediation for IP interworking of Layer 2 VPN
AUTRES DRAFTS
Thème
Nom du Draft
Date Titre
6TO4
AAA
ADSL
draft-moore-6to4-dns-03
draft-ietf-aaa-transport-08
draft-ietf-adslmib-adslext-12
draft-ietf-adslmib-hc-tc-02
draft-ietf-adslmib-vdsl-05
draft-linton-arcp-00
draft-ietf-atommib-opticalmib-06
draft-ietf-atommib-sonetaps-mib-09
draft-sparks-avt-2833-interop-00
draft-harold-beep-xmlrpc-02
draft-ietf-bridge-ext-v2-01
draft-housley-ccm-mode-01
draft-robinson-clec-application-00
draft-lear-config-issues-00
draft-wu-cpl-schema-00
draft-ietf-crisp-requirements-01
draft-ietf-dccp-ccid2-00
draft-ietf-dccp-ccid3-00
draft-ietf-dccp-problem-00
draft-droms-dhcpv6-stateless-guide-01
draft-ietf-dhc-dhcpv6-27
draft-ietf-dhc-dhcpv6-opt-dnsconfig-02
draft-ietf-dhc-dhcpv6-opt-prefix-delegation-00
draft-ietf-dhc-isnsoption-03.txt,.pdf
draft-polk-dhcp-geo-loc-option-00
draft-polk-dhcp-loc-insertion-00
draft-malis-diff-te-serviceclass-04
draft-sivabalan-diff-te-bundling-00
draft-stoica-diffserv-dps-02
draft-ietf-disman-alarm-mib-09
draft-ietf-disman-conditionmib-06
draft-liebsch-dmha-framework-00
draft-ietf-dnsext-delegation-signer-10
draft-ihren-dnsop-interim-signed-root-00
draft-josefsson-dns-url-06
draft-klensin-dns-role-04
draft-xhshi-dns-search-00
draft-xhshi-dns-search-caching-00
draft-paskin-doi-uri-02
draft-ietf-mmusic-sdp-srcfilter-02
draft-avsolov-dtpdia-01
draft-urien-eap-smartcard-00
draft-ietf-ips-fcip-mib-02
draft-ietf-ips-fcip-slp-04
draft-ietf-ips-ifcp-mib-03.txt,.pdf
draft-ietf-forces-framework-02
draft-ietf-forces-requirements-07
18/10
07/10
23/09
24/09
15/10
15/10
03/10
09/10
25/10
17/10
23/09
23/09
24/09
26/09
07/10
03/10
24/10
24/10
24/10
25/10
23/10
23/10
24/10
25/09
22/10
01/10
30/09
24/10
09/10
30/09
21/10
30/09
16/10
07/10
25/10
10/10
24/10
24/10
21/10
25/10
26/09
21/10
08/10
30/09
10/10
10/10
25/10
ARCP
ATOM
AVT
BEEP
BRIDGE
CCM
CLEC
CONFIG
CPL
CRISP
DCCP
DHCP
DIFF
DIFFSER
DISMAN
DMHA
DNS
DOI
DSP
DTPDIA
EAP
FCIP
FORCES
6to4 and DNS
Authentication, Authorization and Accounting Transport Profile
Definitions of Extension Managed Objects for ADSL
High Capacity Textual conv. for MIB Modules Using Perf. History
Definitions of Managed Objects for VDSL
Automatic Router Configuration Protocol
Definitions of Managed Objects for the Optical Interface Type
Definitions of Managed Objects for SONET Linear APS Architec.
AVT Tones (RFC 2833) Interoperability Statement
Using XML-RPC in BEEP
Def. of Managed Objects for Bridges with Traffic Classes, Multicast
Counter with CBC-MAC (CCM)
Application of Paul Robinson for CLEC permit
On Transport of Configuration Information
An Extensible Markup Language Schema for CPL
Cross Registry Internet Service Protocol (CRISP) Requirements
Profile DCCP Congestion Control ID 2:T CP-like Congestion Control
Profile DCCP Congestion Control ID 3:TFRC Congestion Control
Problem Statement for DCCP
A Guide to Implementing Stateless DHCPv6 Service
Dynamic Host Configuration Protocol for IPv6 (DHCPv6)
DNS Configuration Options for DHCPv6
IPv6 Prefix Options for DHCPv6
DHCP Options for Internet Storage Name Service
DHCP Option for Geographic Location
DHCP Option for Location Insertion
Protocol Ext. for Support of ATM Service Class-aware MPLS Traffic
Link Bundling support for Diff-Serv aware Traffic Engineering
Per Hop Behaviors Based on Dynamic Packet State
Alarm MIB
Alarm Report Control MIB
Arch. & Protocol framework for Dormant Mode Host Alerting
Delegation Signer Resource Record
An Interim Scheme for Signing the Public DNS Root
Domain Name System URI Scheme and MIME Media Types
Role of the Domain Name System
Integrating layered DNS search services within user agents
Caching Mechanisms in Layered DNS Search Services
The 'doi' URI Scheme for Digital Object Identifier (DOI)
SDP Source-Filters
Data Transfer Protocol for Distributed Information Acquisition
EAP support in smartcards
Definition of Managed Objects for FCIP
Finding FCIP Entities Using SLPv2
Definitions of Managed Objects For iFCP
ForCES Architectural Framework
Requirements for Separation of IP Control and Forwarding
Page 22/58
Octobre 2002
FTP
GSMP
HANDLE
I18N
IANA
ICAL
IDN
IEPREP
IETF
IGMP
IMAP
IMPP
IP
IPFIX
IPO
IPOIB
IPP
IPR
IPTEL
IPV6
ISATAP
iSCSI
ISIS
iSNS
IWARP
JXTA
L2TP
L2TRIGG
LAP
LDAP
LDP
LMP
draft-ietf-ftpext-mlst-16
draft-ietf-gsmp-reqs-03
draft-sun-handle-system-10
draft-hoffman-i18n-terms-09
draft-huston-iana-00
draft-kumar-avt-v150-registration-01
draft-mcdonald-iana-charset-mib-01
draft-many-ical-ski-06
draft-ietf-idn-idna-14
draft-ietf-idn-punycode-03
draft-jseng-idn-admin-01
draft-klensin-idn-tld-00
draft-ietf-ieprep-requirements-01
draft-ietf-ieprep-sip-reqs-01
draft-polk-ieprep-scenarios-01
draft-huston-ietf-pact-00
draft-rfc-editor-rfc2223bis-03
draft-zinin-ietf-jtc1-aggr-00
draft-ietf-idmr-igmp-mrdisc-09
draft-ietf-magma-igmpv3-and-routing-03
draft-ietf-magma-mld-source-02
draft-crispin-imap-multiappend-07
draft-ietf-imapext-acl-06
draft-ietf-imapext-thread-12
draft-melnikov-imap-disc-02
draft-melnikov-imap-unselect-00
draft-crispin-imapv-20
draft-ietf-impp-cpim-msgfmt-07
draft-shalunov-reordering-definition-01
draft-claise-ipfix-eval-netflow-03
draft-ietf-ipfix-reqs-06
draft-ietf-ipo-impairments-03
draft-ietf-ipoib-baseboard-mgmt-agent-00
draft-ietf-ipoib-perf-mgmt-agent-mib-00
draft-ietf-ipp-notify-get-08
draft-ietf-ipp-not-spec-10
draft-brim-ipr-wg-guidelines-00
draft-ietf-iptel-tgrep-00
draft-ietf-iptel-trip-mib-04
draft-beloeil-ipv6-dns-resolver-option-00
draft-daley-ipv6-mcast-dad-01
draft-desanti-ipv6-over-fibre-channel-00
draft-haberman-ipv6-anycast-rr-00
draft-hain-ipv6-pi-addr-03
draft-hain-ipv6-pi-addr-use-03
draft-ietf-ipngwg-rfc2292bis-08
draft-ietf-ipv6-ipaddressassign-04
draft-mkhalil-ipv6-fastra-02
draft-moore-ipv6-optimistic-dad-00
draft-narten-ipv6-iana-considerations-00
draft-noisette-v6ops-unmannet-isp-reqts-00
draft-ogura-ipv6-mapos-01
draft-pouffary-v6ops-ent-v6net-00
draft-savola-v6ops-6bone-mess-00
draft-savola-v6ops-firewalling-00
draft-savola-v6ops-multicast-issues-00
draft-thubert-nemo-reverse-routing-head-01
draft-van-beijnum-multi6-isp-int-aggr-00
draft-templin-isatap-issues-00
draft-ietf-ips-iscsi-18.txt,.pdf
draft-ietf-ips-iscsi-boot-07
draft-ietf-ips-iscsi-mib-06
draft-ietf-ips-iscsi-name-disc-08
draft-ietf-ips-iscsi-string-prep-03
draft-ietf-isis-wg-mib-10
draft-ietf-isis-wg-multi-topology-05
draft-ietf-ips-isns-13
draft-williams-iwarp-ift-00
draft-duigou-jxta-protocols-01
draft-dasilva-l2tp-relaysvc-04
draft-ietf-l2tpext-pwe3-ethernet-00
draft-singh-l2trigger-api-00
draft-allen-lap-ipv6-00
draft-legg-ldap-gser-02
draft-legg-ldap-gser-abnf-05
draft-bala-uni-ldp-rsvp-extensions-02
draft-rbradfor-ccamp-lmp-lol-00
23/09
27/09
03/10
17/10
22/10
02/10
09/10
25/10
23/10
09/10
21/10
21/10
25/10
21/10
10/10
25/10
10/10
24/10
26/09
07/10
10/10
27/09
16/10
08/10
16/10
16/10
02/10
16/10
16/10
18/10
30/09
27/09
16/10
25/10
15/10
15/10
04/10
04/10
14/10
01/10
08/10
21/10
04/10
02/10
02/10
16/10
23/09
03/10
14/10
22/10
27/09
08/10
25/09
24/10
25/09
07/10
11/10
25/10
18/10
30/09
25/09
01/10
30/09
16/10
21/10
02/10
23/09
10/10
11/10
30/09
22/10
10/10
11/10
02/10
02/10
24/09
22/10
Extensions to FTP
Requirements For Adding Optical Support To GSMPv3
Handle System Overview
Terminology Used in Internationalization in the IETF
Defining the Role and Function of the IETF-IANA
Registration of MIME types & SDP param. proposed ITU V.150.1
IANA Charset MIB
SKiCal - an extension of iCalendar
Internationalizing Domain Names In Applications (IDNA)
Punycode:A Bootstring encoding of Unicode for IDNA
IDN Registration & Adm Guideline for Chinese, Japanese & Korean
National and Local Characters in DNS TLD Names
Req for Emergency Telecommunication Capabilities in the Internet
Req for Resource Priority Mechanisms for SIP
IEPREP Topology Scenarios
A Proposal to Improve IETF Productivity
Instructions to Request for Comments (RFC) Authors
Agreement between ISOC/IETF & SO/IEC JTC1/SC6 on IS-IS
Multicast Router Discovery
IGMPv3/MLDv2 and Multicast Routing Protocol Interaction
Source Address Selection for Multicast Listener Discovery Protocol
INTERNET MESSAGE ACCESS PROTOCOL - MULTIAPPEND EXT.
IMAP4 ACL extension
INTERNET MESSAGE ACCESS PROTOCOL - THREAD EXTENSION
Synchronization operations for disconnected IMAP4 clients
IMAP UNSELECT command
INTERNET MESSAGE ACCESS PROTOCOL - VERSION 4rev1
Common Presence and Instant Messaging: Message Format
Definition of IP Packet Reordering Metric
Evaluation Of NetFlow Version 9 Against IPFIX Requirements
Requirements for IP Flow Information Export
Impairments And Other Constraints On Optical Layer Routing
Def. of Managed Objects for the Infiniband BMA
Def. of Managed Objects for the Infiniband PMA
IPP: The 'ippget' Delivery Method for Event Notifications
IPP: Event Notifications and Subscriptions
Guidelines for Working Groups on Intellectual Property Issues
A Telephony Gateway REgistration Protocol (TGREP)
Management Information Base for Telephony Routing over IP
IPv6 Router Advertisement DNS resolver Option
Duplicate Addr Detect. Opt using IPv6 Multicast Listener Discovery
IPv6 over Fibre Channel
IPv6 Anycast Binding using Return Routability
An IPv6 Provider-Independent Global Unicast Address Format
Use of the IPv6 Provider-Independent Global Unicast Add. Format
Advanced Sockets API for IPv6
Flex. Method for Managing the Assig. of Bites of IPv6 Add. Block
IPv6 Fast Router Advertisement
Optimistic Duplicate Address Detection
IANA Allocation Guidelines for Values in IPv6 and Related Headers
ISP requirements for IPv6 unmanaged networks
IP Version 6 over MAPOS
IPv6 Enterprise Networks Scenarios
Moving from 6bone to IPv6 Internet
Firewalling Considerations for IPv6
IPv6 Multicast Deployment Issues
IPv6 Reverse Routing Header and its application to Mobile Nets.
Provider-Internal Agg based on Geo. to Support Multihoming in v6
Proposed Solutions for ISATAP Operational Issues
iSCSI
Bootstrapping Clients using the iSCSI Protocol
Definitions of Managed Objects for iSCSI
iSCSI Naming and Discovery
String Profile for iSCSI Names
Management Information Base for IS-IS
M-ISIS: Multi Topology (MT)Routing in IS-IS
Internet Storage Name Service (iSNS)
iWARP Framing for TCP
JXTA v1.0 Protocols Specification
L2TP Active Discovery Relay for PPPoE
Transport of Ethernet Frames over L2TPv3
Fast Handoff L2 Trigger API
IPv6 for Large Access Providers
Generic String Encoding Rules for ASN.1 Types
Common Elements of GSER Encodings
LDP and RSVP Extensions for Optical UNI Signaling
LMP Extensions for Link discovery Using Loss of Light
Page 23/58
Octobre 2002
LSP
MBONED
MCOP
MEGACO
draft-kishan-lsp-btrace-04
draft-savola-mboned-mcast-rpaddr-00
draft-lehtonen-magma-mcop-01
draft-ietf-megaco-3015corr-02
draft-ietf-megaco-h248v2-02
draft-ietf-megaco-mib-04
draft-pitchandi-megaco-ringing-mib-00
draft-schwarz-megaco-relay-services-00
draft-walker-megaco-mg-t38-transition-00
MGCP
draft-andreasen-mgcp-moveconnection-00
draft-foster-mgcp-basic-packages-08
draft-foster-mgcp-r2-01
draft-foster-mgcp-redirect-00
MIB
draft-ietf-entmib-sensor-mib-02
draft-ietf-ips-fcmgmt-mib-03
draft-siddiqui-rmonmib-raqmon-framework-00
draft-siddiqui-rmonmib-raqmon-pdu-00
MIDCOM
draft-cordell-midcom-span-alt-00
MIME
draft-nakhjiri-seamoby-text-ct-01
draft-nussbacher-bourvine-hebrew-email-02
MLD
draft-vida-mld-v2-05
MMUSIC
draft-ietf-mmusic-reservation-flows-00
draft-levin-mmusic-xml-media-control-00
draft-westerlund-mmusic-sdp-bwparam-01
MOBILEIP draft-huang-mobileip-napt-00
draft-ietf-mobileip-fast-mipv6-05
draft-ietf-mobileip-hmipv6-07
draft-ietf-mobileip-reg-tunnel-07
draft-mccann-mobileip-80211fh-00
draft-mun-mobileip-layer2-handoff-mipv4-00
draft-sarikaya-mobileip-lmmframework-01
draft-vriz-mobileip-hbhlmap-01
MPLS
draft-allan-mpls-oam-frmwk-03
draft-ash-mpls-dste-bcmodel-max-alloc-00
draft-farrel-mpls-ldp-restart-applic-01
draft-hummel-mpls-hierarchical-lsp-03
draft-ietf-ccamp-gmpls-g709-02
draft-ietf-ccamp-gmpls-sonet-sdh-07
draft-ietf-mpls-bgp-mpls-restart-02
draft-ietf-mpls-crldp-unnum-08
draft-ietf-mpls-generalized-rsvp-te-09
draft-ietf-mpls-ldp-mib-09
draft-ietf-mpls-ldp-restart-06
draft-ietf-mpls-lsp-ping-01
draft-ietf-mpls-lsr-mib-09
draft-ietf-mpls-recovery-frmwrk-08
draft-ietf-mpls-rsvp-unnum-08
draft-ietf-mpls-tc-mib-04
draft-ietf-tewg-diff-te-proto-02
draft-ietf-tewg-diff-te-russian-00
draft-lin-ccamp-gmpls-ason-rsvpte-04
draft-vijay-mpls-rsvpte-lspsubobject-00
MSEC
draft-ietf-msec-gdoi-06
MSGHEAD draft-newman-msgheader-originfo-05
MSGTRK
draft-ietf-msgtrk-model-07
MSGTRK
draft-ietf-msgtrk-mtqp-09
MULTI
draft-coene-multi-share-00
NDP
draft-bichot-network-discovery-protocol-00
NEMO
draft-ernst-nemo-terminology-00
draft-thubert-nemo-ro-taxonomy-00
NETFLOW draft-claise-netflow-9-01
NFSV4
draft-eriksen-nfsv4-acl-01
draft-ietf-nfsv4-repl-mig-proto-00
draft-ietf-nfsv4-rfc3010bis-04
NGTRANS draft-ietf-ngtrans-mtp-03
NM
draft-iab-nm-workshop-00
NSIS
draft-ietf-nsis-fw-00
NSP
draft-ogura-mapos-nsp-multiexp-00
OPTIMAL
draft-lee-optimal-detect-pmtu-00
OSPF
draft-ietf-ospf-abr-alt-05
draft-ietf-ospf-dc-04
draft-ietf-ospf-hitless-restart-03
draft-ishiguro-ospf-ospfv3-traffic-01
draft-katz-yeung-ospf-traffic-09
draft-kompella-ospf-opaquev2-00
draft-pillay-esnault-ospf-v3-grace-lsa-01
draft-satish-ospf-cspf-support-00
10/10
10/10
18/10
27/09
04/10
02/10
08/10
08/10
15/10
10/10
23/09
24/10
04/10
17/10
10/10
23/10
23/10
10/10
23/09
23/09
16/10
14/10
04/10
23/10
27/09
01/10
21/10
23/10
24/09
08/10
30/09
09/10
22/10
17/10
14/10
22/10
21/10
21/10
14/10
07/10
09/10
11/10
14/10
09/10
11/10
24/10
18/10
11/10
24/10
25/10
08/10
01/10
11/10
28/05
25/10
25/10
25/10
25/10
25/10
11/10
08/10
17/10
14/10
01/10
15/10
10/10
03/10
27/09
08/10
24/10
23/09
24/10
16/10
23/10
08/10
24/10
18/10
Backtrace Messages for Label Switched Paths
Embedding the Address of RP in IPv6 Multicast Address
Multicast Control Protocol (MCOP)
Gateway Control Protocol Version 1
The Megaco/H.248v2 Gateway Control Protocol, version 2
Megaco MIB
Megaco Ringing MIB
Voiceband Data Transport Services in Megaco/H.248 Networks
CALL ESTABLISHMENT PROCEDURES FOR T.38 H.248/MEGACO
Media Gateway Control Protocol (MGCP) MoveConnection Package
Basic MGCP Packages
MGCP R2 CAS Package
MGCP Redirect and Reset Package
Entity Sensor Management Information Base
Fibre Channel Management MIB
Real-time App. QoS Monitoring (RAQMON) Framework
Real-time App. QoS Monitoring (RAQMON) Protocol Data Unit
Alternative Solutions for a SPAN Deliverable
Time Efficient context Transfer (TEXT)
Hebrew Character Encoding for Internet Messages
Multicast Listener Discovery Version 2 (MLDv2) for IPv6
Mapping of Media Streams to Resource Reservation Flows
XML Schema for Media Control
A Transport Independent Bandwidth Modifier for SDP
Guidelines for Integrating Mobile IP with NAPT
Fast Handovers for Mobile IPv6
Hierarchical Mobile IPv6 mobility management (HMIPv6)
Mobile IPv4 Regional Registration
Mobile IPv6 Fast Handovers for 802.11 Networks
Layer 2 Handoff for Mobile-IPv4 with 802.11
Arch. Framework for Global and Localized Mobility Management
Hop-by-Hop Local Mobility Agents Probing for Mobile IPv6
A Framework for MPLS User Plane OAM
Max alloc. with reserv BW Constraint Model for MPLS/DiffServ TE
Applicability Statement for Restart Mechanisms for the LDP
Hierarchical LSP
Generalized MPLS Signalling Extensions for G.709 Optical
Generalized MPLS Extensions for SONET and SDH Control
Graceful Restart Mechanism for BGP with MPLS
Signalling Unnumbered Links in CR-LDP
Generalized MPLS Signaling - RSVP-TE Extensions
Definitions of Managed Objects for the MPLS LDP
Graceful Restart Mechanism for LDP
Detecting MPLS Data Plane Liveness
MPLS Label Switching Router (LSR)Management Information Base
Framework for MPLS-based Recovery
Signalling Unnumbered Links in RSVP-TE
Definitions of Textual for MPLS Management
Protocol ext. for support of Diff-Serv-aware MPLS Traffic Eng.
Russian Dolls Bandwidth Constraints Model for Diff-Serv-aware …
GMPLS RSVP-TE Usage and Extensions For ASON
LSP Subobject for RSVP-TE
The Group Domain of Interpretation
Originator-Info Message Header
Message Tracking Model and Requirements
Message Tracking Query Protocol
Multihomed Loadsharing
Network Discovery Protocol (NDP)
Network Mobility Support Terminology
Taxonomy of Route Optimization models in the Nemo Context
Cisco Systems NetFlow Services Export Version 9
Mapping Between NFSv4 and Posix Draft ACLs
A Server-to-Server Replication/Migration Protocol
NFS version 4 Protocol
An IPv6/IPv4 Multicast Translator based on IGMP/MLD Proxying
Overview of the 2002 IAB Network Management Workshop
Next Steps in Signaling: Framework
A MAPOS NSP (Node Switch Protocol) Multicast Expansion - NSP+
Optimal Detecting Increases in PMTU
Alternative OSPF ABR Implementations
Detecting Inactive Neighbors over OSPF Demand Circuits
Hitless OSPF Restart
Traffic Engineering Extensions to OSPF version 3
Traffic Engineering Extensions to OSPF Version 2
OSPFv2 Opaque LSAs in OSPFv3
Grace LSA in OSPFv3
OSPF extensions for flexible CSPF algorithm support
Page 24/58
Octobre 2002
PANA
PATH
PHR
PPP
draft-ietf-pana-usage-scenarios-03
draft-seno-path-quality-verification-00
draft-westberg-rmd-mbac-phr-00
draft-aboba-pppext-eap-iana-02
draft-ietf-pppext-ipv6-dns-addr-01
PRINT
draft-ietf-printmib-finishing-14
draft-ietf-printmib-mib-info-13
PROVREG draft-ietf-provreg-epp-ext-00
PWE3
draft-bryant-pwe3-terms-00
draft-ietf-pwe3-arch-00
draft-ietf-pwe3-enet-mib-00
draft-ietf-pwe3-fragmentation-00
draft-ietf-pwe3-frame-relay-00
draft-malis-pwe3-cell-transport-00
draft-stein-pwe3-controlword-00
draft-vainshtein-pwe3-ucesopsn-00
QTP
draft-cornish-qtp-04
RFC2279
draft-yergeau-rfc2279bis-02
RFC2806
draft-antti-rfc2806bis-06
RFC791B draft-zeng-rfc791bis-00
RMD
draft-westberg-rmd-framework-02
draft-westberg-rmd-od-phr-02
RMONMIB draft-ietf-rmonmib-sspm-mib-06
draft-siddiqui-rmonmib-raqmon-mib-02
ROHC
draft-ietf-rohc-mib-rtp-03
draft-ietf-rohc-rtp-rfc3095-interoperability-00
draft-ietf-rohc-tcp-requirements-05
draft-ietf-rohc-terminology-and-examples-00
ROUTER
draft-templin-router-affiliation-00
RSERPOO draft-ietf-rserpool-common-param-02
RSVP
draft-brunner-nsis-rsvp2-00
draft-fu-rsvp-multicast-analysis-01
RTP
draft-ietf-avt-dsr-04
draft-ietf-avt-mwpp-midi-rtp-05
draft-ietf-avt-rfc3119bis-00
draft-ietf-avt-rtcp-report-extns-00
draft-ietf-avt-rtp-h264-00
draft-ietf-avt-uncomp-video-00
SCTP
draft-ietf-tsvwg-addip-sctp-06
draft-ietf-tsvwg-sctpimpguide-07
draft-ietf-tsvwg-sctpsocket-05
draft-stewart-rddp-sctp-00
SEAMOBY draft-ietf-seamoby-cardiscovery-issues-04
draft-ietf-seamoby-card-requirements-02
draft-ietf-seamoby-ct-reqs-05
SEM
draft-boudani-simple-xcast-02
SERVICE
draft-koodli-manet-servicediscovery-00
SIGCOMP draft-liu-sigcomp-recovery-00
draft-roach-sigcomp-nack-00
SIGTRAN draft-bidulock-sigtran-m2pa-test-02
draft-ietf-sigtran-dua-04
draft-ranjith-sigtran-gr303ua-00
SIMPLE
draft-ietf-simple-data-req-00
draft-lonnfors-simple-prescaps-ext-00
draft-niemi-simple-im-wireless-reqs-00
draft-olson-simple-publish-01
SIP
draft-dcsgroup-sipping-proxy-proxy-01
draft-elwell-sipping-qsig2sip-03
draft-idnani-sip-comb-reg-subscr-00
draft-idnani-sip-contact-timestamp-00
draft-ietf-sipping-3gpp-r5-requirements-00
draft-ietf-sipping-basic-call-flows-01
draft-ietf-sipping-content-indirect-02
draft-ietf-sip-symmetric-response-00
draft-khartabil-sip-congestionsafe-ci-01
draft-kuthan-sipping-diag-00
draft-kyzivat-simple-prescaps-reqts-00
draft-moran-sipping-filter-arch-01
draft-veltri-sip-qsip-01
SMTP
draft-brunner-epp-smtp-00
draft-shveidel-mediasize-01
SNMP
draft-ietf-snmpconf-bcp-10
draft-kalbfleisch-eos-select-00
SOAP
draft-liu-epp-soap-00
SPEECHS draft-ietf-speechsc-reqts-02
SSM
draft-ietf-ssm-overview-04
STEALTH draft-helbig-stealthkey-03
25/10
25/10
22/10
14/10
23/10
09/10
09/10
22/10
02/10
16/10
02/10
17/10
22/10
21/10
22/10
24/10
03/10
10/10
21/10
24/09
22/10
22/10
27/09
23/10
01/10
25/10
23/10
24/10
21/10
02/10
09/10
25/10
07/10
23/09
18/10
16/10
24/10
18/10
02/10
02/10
02/10
02/10
17/10
17/10
07/10
23/10
03/10
22/10
02/10
07/10
25/10
25/10
10/10
25/10
24/10
25/10
16/10
24/10
02/10
02/10
11/10
03/10
24/09
30/09
24/10
24/10
16/10
24/10
03/10
22/10
17/10
01/10
27/09
26/09
25/10
18/10
25/09
Problem Space and Usage Scenarios for PANA
Path Quality Verification over an All-Optical Network
Resource Mgmt in Diffserv Measurement-based Admission Control
EAP IANA Considerations
PPP IPV6 Control Protocol Extensions for DNS Server Addresses
Printer Finishing MIB
Printer MIB v2
Guidelines for Extending the Extensible Provisioning Protocol
PWE3 Common Terminology
PWE3 Architecture
Ethernet Pseudo Wire (PW) Management Information Base
PWE3 Fragmentation and Reassembly
Frame Relay over Pseudo-Wires
PWE3 ATM Transparent Cell Transport Service
The PWE3 Control Word
Unstructured TDM Circuit Emul. Service over Packet Switched Net.
Quick Transaction Protocol - QTP
UTF-8, a transformation format of ISO 10646
The Tel URI for Telephone Calls
Enhanced Internet Protocol Specification
Resource Management in Diffserv (RMD) Framework
Resource Management in Diffserv On DemAnd (RODA) PHR
Def. of Managed Objects for Synthetic Sources for Perf. Mon. Alg.
Real-time Application QoS Monitoring (RAQMON) MIB
Definitions of Managed Objects for Robus Header Compression
Interoperability of RFC 3095
Requirements for ROHC IP/TCP Header Compression
ROHC:Terminology and Examples for MIB's and Channel Mappings
Router Affiliation Protocol for v6-over-(foo)-over-IPv4
ASAP and ENRP common parameters document
Towards RSVP Version 2
Analysis on RSVP Regarding Multicast
RTP Payload Format for ETSI ES 201 108 Dist. Speech Recognition
The MIDI Wire Protocol Packetization (MWPP)
A More Loss-Tolerant RTP Payload Format for MP3 Audio
RTCP Reporting Extensions
RTP payload Format for JVT Video
RTP Payload Format for Uncompressed Video
SCTP Dynamic Address Reconfiguration
Stream Control Transmission Protocol (SCTP) Implementors Guide
Sockets API Extensions for Stream Control Transmission Protocol
SCTP Remote Direct Memory Access (RDMA) DDP Adaption
Issues in candidate access router disc. for seamless IP-lvlhandoffs
Requirements for CAR Discovery Protocols
General Requirements for a Context Transfer
Simple Explicit Multicast (SEM)
Service Discovery in On-Demand Ad Hoc Networks
A Recovery Mechanism for Signaling Compression
A Negative Ack. Mechanism for Signalling Compression
SS7 MTP2-User Peer-to-Peer Adaptation Layer Test Specifications
DPNSS/DASS 2 extensions to the IUA protocol
GR-303 extensions to the IUA protocol
Req. for Manipulation of Data Elements in SIMPLE Systems
SIMPLE PIDF presence capabilities extension
Requirements for Instant Messaging in 3GPP Wireless Systems
SIMPLE Presence Publication Mechanism
SIP Proxy-to-Proxy Extensions for Supporting DCS
Interworking between SIP and QSIG
SIP Combined Registration and Subscription
New Parameter for Contact Header
3GPP Release 5 requirements on the Session Initiation Protocol
Session Initiation Protocol Basic Call Flow Examples
Requirements for Content Indirection in SIP Messages
An Extension to SIP for Symmetric Response Routing
Congestion safety and Content Indirection
Requirements for Diagnostics Support in SIP
Requirements for SIP Capabilities in PIDF
Architecture for Event Notification Filters
SIP Extensions for QoS support
EPP transport mapping for SMTP
SMTP Service Extension for message Media Size declaration
Configuring Networks and Devices with SNMP
Select PDU for SNMPv3
Extensible Provisioning Protocol Over SOAP
Req. for Distributed Control of ASR, SI/SV and TTS Resources
An Overview of Source-Specific Multicast(SSM) Deployment
Zyfer's StealthKey Management for frequent rekeying
Page 25/58
Octobre 2002
STRINGP
STUN
TCP
draft-hoffman-stringprep-07
draft-ietf-midcom-stun-03
draft-allman-tcp-sack-13
draft-ayesta-to-short-tcp-00
draft-ietf-pilc-asym-08
draft-ietf-tsvwg-tcp-eifel-alg-05
draft-ietf-tsvwg-tfrc-05
draft-sarolahti-tsvwg-tcp-frto-01
URI
draft-nyckelgard-uri-lookup-00
URN
draft-allen-newsml-urn-rfc3085bis-00
draft-mealling-uuid-urn-00
draft-smith-urn-mpeg-01
USP
draft-shemsedinov-usp-04
VOIP
draft-ash-e2e-crtp-hdr-compress-00
draft-ash-e2e-vompls-hdr-compress-00
VPIM
draft-ietf-vpim-cc-08
draft-ietf-vpim-vpimdir-04
VPN
draft-ietf-ppvpn-framework-06
draft-shah-ppvpn-ipls-00
draft-sodder-ppvpn-vhls-00
WEBDAV
draft-ietf-webdav-bind-00
draft-ietf-webdav-ordering-protocol-03
draft-ietf-webdav-quota-00
draft-reschke-webdav-property-datatypes-03
WIRELES draft-gpaterno-wireless-pppoe-04
XML
draft-lee-xmlconf-xcli-00
XMPP
draft-miller-xmpp-core-01
draft-miller-xmpp-im-01
XPATH
draft-stlaurent-xpath-frag-00
ZEROCON draft-ietf-zeroconf-reqts-12
07/10
14/10
09/10
21/10
02/10
14/10
24/10
03/10
30/09
25/09
23/09
23/09
08/10
18/10
18/10
26/09
15/10
25/10
21/10
07/10
08/10
30/09
21/10
08/10
16/10
25/10
24/10
24/10
21/10
25/09
Preparation of Internationalized Strings ('stringprep')
Simple Traversal of UDP Through Network Address Translators
A Conservative SACK-based Loss Recovery Algorithm for TCP
Reducing the number of TimeOuts for short-lived TCP connections
TCP Performance Implications of Network Path Asymmetry
The Eifel Detection Algorithm for TCP
TCP Friendly Rate Control (TFRC):Protocol Specification
TCP RTO Recovery Algorithm for Avoiding Unnecessary Retrans.
DNS look-up for services related to a URI
URN Namespace for NewsML Resources
A UUID URN Namespace
A URN Namespace for MPEG
Universal Service Protocol: USP Version 3
End-to-End VoIP Header Compression Using cRTP
End-to-End VoIP over MPLS Header Compression
Critical Content MIME Parameter
Voice Messaging Directory Service
A Framework for Layer 3 Provider Provisioned VPN
IP over LAN Service (IPLS)
Virtual Hierarchical LAN Services
Binding Extensions to WebDAV
WebDAV Ordered Collections Protocol
Quota and Size Properties for DAV Collections
Datatypes for WebDAV properties
Using PPPoE to authenticate Wireless LANs
CLI-based Mediation mech. using XML for Config Management
XMPP Core
XMPP Instant Messaging
The XPointer xpath1() Scheme
Requirements for Automatic Configuration of IP Hosts
Page 26/58
Octobre 2002
NOS COMMENTAIRES
LES RFC
RFC3330
Special-Use IPv4 Addresses
Ce RFC résulte de l’adoption de la proposition ‘draft-iana-special-ipv4-01.txt’ (Rapport N°45 – Avril 2002). Il
propose un récapitulatif clair et complet du statut des blocs d’adresses éparts, jusqu’alors réservés et gérés par cet
organisme. A ce jour, 18 blocs sont ainsi répertoriés dont 5 devraient être libérés à très court terme:
BLOC
0.0.0.0/8_
10.0.0.0/8_
14.0.0.0/8_
24.0.0.0/8_
39.0.0.0/8_
127.0.0.0/8_
128.0.0.0/16
169.254.0.0/16
172.16.0.0/12
191.255.0.0/16
192.0.0.0/24
192.0.2.0/24
192.88.99.0/24
192.168.0.0/16
198.18.0.0/15
223.255.255.0/24
224.0.0.0/4_
240.0.0.0/4_
RFC
RFC1700
RFC1918
RFC1700
RC1797
RFC1700
LINK
RFC1918
TEST
RFC3068
RFC1918
RFC2544
RFC3171
RFC1700
Usage
Références aux systèmes attachés au segment local. Non routé
Réservé aux réseaux privés. Non routé sur l’Internet
Assigné aux réseaux de donnés internationaux
Etait réservé ‘Cable Television System’ désormais réalloué par l’ARIN
Réservé ‘Class A subnet Experiment’ mais devrait être libéré pour réallocation
Communications locales au système. Non routé
Premier bloc réservé de la ‘Classe B’ mais devrait être libéré pour réallocation
Réservé à l’auto-configuration en l’absence d’un serveur DHCP
Dernier bloc réservé de la ‘Classe B’ mais devrait être libéré pour réallocation
Premier bloc réservé de la ‘Classe C’ mais devrait être libéré pour réallocation
Réservé aux tests. Non routé sur l’Internet
Relayage des adresses 6to4
Réservé pour les tests et benchmark d’équipements
Dernier bloc réservé de la ‘Classe C’ mais devrait être libéré pour réallocation
Précédemment référencé comme ‘Classe D’. Réservé aux multicasts IPV4
Précédemment référencé comme ‘Classe E’. Réservé pour utilisation future.
ftp://ftp.isi.edu/in-notes/rfc3330.txt
LES DRAFTS
DRAFT-GILL-BTSH-00
The BGP TTL Security Hack (BTSH)
Cette proposition de standard spécifie une utilisation particulière de certaines valeurs du champ ‘TTL’ ou ‘Time-ToLive’ dans l’optique de renforcer la protection des infrastructures BGP contre certaines attaques en déni de service.
Rappelons que ce champ défini dans la structure IP d’un paquet permet de comptabiliser la ‘durée de vie’ maximale
de ce paquet dans le réseau : ce champ est décrémenté lors de chaque passage dans un équipement de routage, le
paquet étant rejeté lorsque la valeur 0 est atteinte.
La méthode proposée repose sur le fait que les routeurs BGP étant adjacents, la valeur du champ ‘TTL’ reçu n’aura
été décrémentée que d’une seule unité. L’affectation d’une valeur initiale de 255 conduira alors à rejeter tout paquet
BGP dont la valeur du champ TTL ne serait pas 255 ou 254.
Cette proposition offre une solution simple à mettre en œuvre mais ne saurait prétendre se substituer aux
alternatives s’appuyant sur des mécanismes cryptographiques, dont notamment la proposition de signature des
sessions BGP (RFC2385 – Protection of BGP Sessions via the TCP MD5 signature option) ou encore le projet
de sécurisation du protocole ‘Secure GBP’ ou ‘S-BGP’.
Les auteurs de cette proposition font par ailleurs référence à
M=N-2
M-1
M-2
un document fort intéressant publié dans une liste de diffusion
à la suite d’une vague d’attaque. Une technique permettant de
déterminer les paquets usurpés en s’appuyant sur la viabilité
de la valeur présentée dans le champ TTL y est présentée.
N
Pour ne pas être détecté, l’usurpateur devra déterminer sans
erreur le nombre de sauts (Hop) séparant l’usurpé de la cible.
Toute erreur d’estimation peut conduire à sa détection en
N-1
N-2
N-3
N-4
comparant le TTL reçu avec un TTL de référence.
ftp://ftp.nordu.net/internet-drafts/draft-gill-btsh-00.txt
http://www.hacker.pl/gminick/pliki/notmine/detecting_spoof.txt
Page 27/58
Octobre 2002
DRAFT-IETF-CDI-THREAT-00
Security Threat for Content Internetworking
Co-signé par des membres des sociétés IBM, Nortel, Cisco et AT&T, cette proposition de standard propose une
analyse détaillée des risques de sécurité et des menaces touchant la technologie connue sous le sigle de CDI ou
Content Distribution Internetworking.
Détaillée dans le très intéressant document ‘A Model for Content Internetworking (CDI)’, la terminologie ‘CDI’
englobe l’ensemble des procédés et technologies permettant de gérer dynamiquement l’association établie entre un
fournisseur de contenu – un serveur WEB par exemple – et ses clients – les navigateurs WEB – en tenant compte de
la problématique de l’optimisation de la performance.
Plusieurs modèles ont vu le jour qui tiennent compte de la localisation géographique de l’accédant, des
caractéristiques de la connectivité et de multiples autres paramètres. Citons ainsi les trois modèles les plus
classiques:
2. les fermes de serveurs
3. les réseaux de distributions
1. les systèmes de cache
L’analyse détaillée de la sécurité du dernier modèle doit tenir compte d’une caractéristique inhérente au mécanisme
de distribution : l’établissement d’une chaîne de confiance transitive entre le propriétaire du contenu original et le
client (‘CLIENT’) puisque qu’une entité tierce qui agit pour le propriétaire (‘ORIGIN’) est présente dans l’échange.
Sont ainsi étudiées en détail les menaces suivantes :
- Déni de service (Denial of service)
- Déformation du contenu (Content distortion)
- Menaces sur l’identité (Threats to identité)
- Menaces sur la vie privée (Threats to privacy)
- Vol de contenu (Content theft)
- Menaces sur la sécurité (Security Threat)
- Menaces économiques (Threats to finance)
Cette étude reste cependant très décevante car se situant sur un niveau conceptuel et n’apportant aucune réponse
pratique aux questions soulevées. Elle a cependant le mérite d’exister. Le lecteur désireux d’en savoir plus sur le
sujet méconnu de la distribution de contenu pourra lire avec intérêt le document ‘A Model for Content
Internetworking (CDI)’
http://www.ietf.org/internet-drafts/draft-ietf-cdi-threat-00.txt
http://www.ietf.org/internet-drafts/draft-ietf-cdi-model-02.txt
Page 28/58
Octobre 2002
ALLEER
RT
TE
ES
SE
ET
T AT
TT
TA
AQ
QU
UE
ES
S
ALERTES
GUIDE DE LECTURE
La lecture des avis publiés par les différents organismes de surveillance ou par les constructeurs n’est pas
toujours aisée. En effet, les informations publiées peuvent être non seulement redondantes mais aussi
transmises avec un retard conséquent par certains organismes. Dès lors, deux alternatives de mise en
forme de ces informations peuvent être envisagées :
Publier une synthèse des avis transmis durant la période de veille, en classant ceux-ci en fonction de
l’origine de l’avis,
Publier une synthèse des avis transmis en classant ceux-ci en fonction des cibles.
La seconde alternative, pour séduisante quelle soit, ne peut être raisonnablement mise en œuvre étant
donné l’actuelle diversité des systèmes impactés. En conséquence, nous nous proposons de maintenir une
synthèse des avis classée par organisme émetteur de l’avis.
Afin de faciliter la lecture de ceux-ci, nous proposons un guide de lecture sous la forme d’un synoptique
résumant les caractéristiques de chacune des sources d’information ainsi que les relations existant entre
ces sources. Seules les organismes, constructeurs ou éditeurs, disposant d’un service de notification officiel
et publiquement accessible sont représentés.
Avis Spécifiques
Constructeurs
Réseaux
Systèmes
Avis Généraux
Editeurs
Systèmes
Indépendants
Editeurs
Hackers
Editeurs
Organismes
Autres
US
Autres
Aus-CERT
3Com
Compaq
Linux
Microsoft
l0pht
AXENT
BugTraq
CERT
Cisco
HP
FreeBSD
Netscape
rootshell
ISS
@Stake
CIAC
IBM
NetBSD
SGI
OpenBSD
SUN
SCO
Typologies des informations publiées
Publication de techniques et de programmes d’attaques
Détails des alertes, techniques et programmes
Synthèses générales, pointeurs sur les sites spécifiques
Notifications détaillées et correctifs techniques
L’analyse des avis peut être ainsi menée selon les trois stratégies suivantes :
Recherche d’informations générales et de tendances :
Lecture des avis du CERT et du CIAC
Maintenance des systèmes :
Lecture des avis constructeurs associés
Compréhension et anticipation des menaces :
Lecture des avis des groupes indépendants
Aus-CERT
CERT
3Com
Compaq
Microsoft
Cisco
HP
Netscape
BugTraq
rootshell
AXENT
NetBSD
@Stake
l0pht
ISS
OpenBSD
IBM
Xfree86
SGI
Linux
SUN
FreeBSD
CIAC
Page 29/58
Octobre 2002
FORMAT DE LA PRESENTATION
Les alertes et informations sont présentées classées par sources puis par niveau de gravité sous la forme
de tableaux récapitulatifs constitués comme suit :

Présentation des Alertes
EDITEUR
TITRE
Description sommaire
Informations concernant la plate-forme impactée
Gravité
Date
Produit visé par la vulnérabilité
Description rapide de la source du problème
Correction
URL pointant sur la source la plus pertinente
Référence

Présentation des Informations
SOURCE
TITRE
Description sommaire
URL pointant sur la source d’information
SYNTHESE MENSUELLE
Le tableau suivant propose un récapitulatif du nombre d’avis publiés pour la période courante, l’année en
cours et l’année précédente. Ces informations sont mises à jour à la fin de chaque période de veille.
L’attention du lecteur est attirée sur le fait que certains avis sont repris et rediffusés par les différents
organismes. Ces chiffres ne sont donc représentatifs qu’en terme de tendance et d’évolution.
Période du 21/09/2002 au 28/10/2002
Période
14
Organisme
CERT-CA
2
CERT-IN
0
CIAC
12
15
Constructeurs
Cisco
2
HP
10
IBM
1
SGI
2
Sun
0
Editeurs
10
Macromedia
1
Microsoft
9
Netscape
0
Sco
0
37
Unix libres
Linux RedHat
10
Linux Debian
13
Linux Mandr.
13
FreeBSD
1
1
Autres
@Stake
0
Safer
0
X-Force
1
Cumul
2002 2001
134
186
29
36
5
15
100
135
179
123
35
34
81
49
6
10
51
17
6
13
107
131
7
31
61
60
2
2
37
38
287
340
89
83
89
94
70
95
39
68
28
54
8
13
0
5
20
36
Cumul 2002- Constructeurs
Sun
3% Cisco
20%
SGI
28%
IBM
3%
Cumul 2001 - Constructeurs
SGI
14%
HP
39%
Cumul 2002 - Editeurs
Netscape
2%
Cisco
28%
IBM
8%
HP
46%
Sco
35%
Sun
11%
Macromedia
7%
Microsoft
56%
Cumul 2001 - Editeurs
Netscape
2%
Sco
29%
Macromedia
24%
Microsoft
45%
Page 30/58
Octobre 2002
ALERTES DETAILLEES
AVIS OFFICIELS
Les tables suivantes présentent une synthèse des principales alertes de sécurité émises par un organisme
fiable, par l’éditeur du produit ou par le constructeur de l’équipement. Ces informations peuvent être
considérées comme fiables et authentifiées. En conséquence, les correctifs proposés, s’il y en a, doivent
immédiatement être appliqués.
APACHE
Exposition de code source des pages '.jsp' (variante)
Une autre faille permet d'obtenir le code source d'une page '.jsp' présente sur un serveur Tomcat.
Forte
15/10 Apache Tomcat 4.0.x jusqu'à la version 4.0.5 incluse, Tomcat 4.1.x jusqu'à la version 4.0.12 incluse
Serveurs 'Tomcat'
Mauvaise invocation des servlet
Palliatif proposé
http://jakarta.apache.org/site/news.html
Apache Group
jakarta-announce http://marc.theaimsgroup.com/?l=jakarta-announce&m=103418094104779&w=2
Déni de service local dans 'Apache'
Une faille dans Apache permet d'envoyer un signal sous les droits 'root' et de provoquer un déni de service local.
Moyenne 03/10 Apache HTTP Server version 1.3.26 et inférieures (versions Unix)
Exploitation du format des 'scoreboards'
Correctif existant 'scoreboards'
http://www.apache.org/dist/httpd/Announcement.html
Apache Group
http://online.securityfocus.com/archive/1/294026
iDefense
Vulnérabilité de type 'CSS' dans mod_ssl
L'utilisation de mod_ssl avec Apache 1.x est susceptible de provoquer une faille de type 'Cross Site Scripting'.
Moyenne 22/10 Apache 1.x/mod_ssl 2.8.11 et inférieurs
Non échappement du champs 'Host'
Correctif existant mod_ssl
http://www.modssl.org
Mod_SSL
http://www.debian.org/security/2002/dsa-181
DSA-181-1
AVAYA
Présence de deux comptes privilégiés dans Avaya Cajun
Deux comptes privilégiés existent dans les commutateurs Cajun avec un mot de passe par défaut.
Critique 11/10 Avaya Cajun P882/P880/P580/P550R software version 5.2.14
Présence de comptes privilégiés non documentés
Correctif existant Firmware
http://support.avaya.com/japple/css/japple?PAGE=avaya.css.OpenPage&temp.template.name=Avaya_P580_
Avaya
Bugtraq
P882_Undocumented
BALABIT
Débordement de buffer dans 'syslog-ng'
Un débordement de buffer dans 'syslog-ng' autorise l'exécution de code arbitraire.
Critique 10/10 BalaBit syslog-ng versions 1.4.15 (stable) et 1.5.20 (dev)
Débordement de buffer
Correctif existant Macros dans 'syslog-ng'
http://www.balabit.hu/static/zsa/ZSA-2002-014-en.txt
ZSA-2002-014
BEA
Non respect des règles de sécurité dans WebLogic
Une faille des serveurs WebLogic peut amener le serveur à ne pas respecter les règles de sécurité.
Forte
17/10 BEA WebLogic Express, Integration, Platform, Server 7.0 SP1BEA WebLogic Integration 7.0
WebLogic
Mauvaise gestion des associations (mapping)
Palliatif proposé
http://online.securityfocus.com/bid/5971
Security Focus
http://dev2dev.bea.com/resourcelibrary/advisoriesdetailprint.jsp?path=components/dev2dev/resourcelibrary
BEA02-22.00
/advisoriesnotifications/ADVISORY_BEA02-22.htm
CISCO
Déni de service distant des commutateurs Catalyst
Le serveur HTTP embarqué des commutateurs Catalyst est vulnérable à un débordement de buffer conduisant à un
déni de service.
Forte
17/10 Cisco CatOS versions 5.4 à 7.3 (avec serveur HTTP embarqué) sur commutateurs Cisco Catalyst
Serveur HTTP embarqué
Palliatif proposé
http://www.cisco.com/warp/public/707/catos-http-overflow-vuln.shtml
[CSCdy26428]
Page 31/58
Octobre 2002
Passage d'appels internationaux non autorisés via Unity
Cisco Unity ne bloque pas correctement les appels vers l'international.
Forte
04/10 Cisco Unity software version 3.1.5 et inférieures, incluant toutes les versions 2.x
Non restriction de l'indicatif international
Correctif existant Cisco Unity
http://www.cisco.com/warp/public/707/toll-fraud-pub.shtml
[CSCdy54570]
COMPAQ
Vulnérabilité dans WEBES/’Compaq Analyze’
Une vulnérabilité a été découverte dans WEBES.
Forte
21/09 WEBES 2.0 à 4.0 SP5
Non disponible
Correctif existant WEBES
http://www-1.ibm.com/services/continuity/recover1.nsf/MSS/MSS-OAR-E01-2002.715.1
[SSRT2362]
GNU TAR/UNZIP
Problème de chemins relatifs dans 'tar'
La version GNU de l'utilitaire 'tar' contient une faiblesse dans la vérification des chemins des archives.
Moyenne 27/09 GNU tar 1.3.19 et précédents, unzip 5.42 et précédents
Mauvaise sécurisation des chemins relatifs
Correctif existant Interprétation des chemins
http://www.linuxsecurity.com/advisories/redhat_advisory-2388.html
SA-2002:096-24
HP
Vulnérabilité dans LDAP-UX
Une vulnérabilité dans LDAP-UX permet d'exécuter des commandes avec des droits usurpés.
Forte
30/09 HP LDAP-UX versions B.02.00 et B.03.00, sur HP-UX 11.00 et11.11
Non disponible
Correctif existant Module 'pam_authz'
HPSBUX0209-221 http://europe-support.external.hp.com
Vulnérabilité dans 'OnlineJFS'
Une faille de sécurité affecte le produit 'OnlineJFS'.
Forte
09/10 HP HP-UX versions 10.20 et 11.00 sur HP9000 Series 700/800'OnLineJFS' version 3.1
Le 'sticky bit' de OnLineJFS ne fonctionne pas correctement
Correctif existant Produit 'OnLineJFS'
http://europe-support.external.hp.com/
HPSBUX0210-223
Vulnérabilité dans les commutateurs ProCurve
La gamme de commutateurs HP ProCurve contient une vulnérabilité conduisant à un déni de service et
éventuellement à un accès non autorisé au commutateur.
Moyenne 23/09 HP ProCurve 4000M, 8000M, 2424M, 2400M et 1600M
Non disponible
Correctif existant Non disponible
HPSBUX0208-209 http://europe-support.external.hp.com/
HP/COMPAQ
Exposition de fichiers via 'ypxfrd' et 'ypserv'
Les binaires 'ypxfrd' et 'ypserv' peuvent être utilisés afin de lire illicitement des fichiers présents sur le serveur YP.
Forte
07/10 HP Tru64 UNIX versions 4.0F, 4.0G, 5.0A, 5.1, 5.1AHP-UX versions 10.20, 11.0, 11.11 et 11.22
Non disponible
Correctif existant 'ypxfrd' et 'ypserv'
SSRT2339/2368
Accès non autorisé aux fichiers sur Tru64 UNIX
Une vulnérabilité dans 'routed' permet d'accéder illicitement aux fichiers du système.
Forte
08/10 HP Tru64 UNIX Tru64 4.0F, 4.0G, 5.0A, 5.1, 5.1A
Non disponible
Correctif existant Binaire '/usr/sbin/routed'
Security Focus
http://ftp.support.compaq.com/patches/.new/unix.shtml
SSRT2208
HTCHECK
Vulnérabilité 'cross site scripting'
Le moteur de recherche HTCHECK est susceptible de propager des attaques de type 'cross site scripting'.
Forte
25/09 Ht://Check
Non vérification des résultats collectés
Correctif existant Interface PHP
DSA-169-1
Page 32/58
Octobre 2002
IBM
Vulnérabilité dans 'telnet'
Une vulnérabilité dans le programme 'telnet' permet d'obtenir les droits root.
Forte
23/09 IBM AIX 4.3.x et 5.1.0
Correctif existant mode vt100
OAR-E01-02:725 http://www-1.ibm.com/services/continuity/recover1.nsf/MSS/MSS-OAR-E01-2002.725.1
IPSEC
Déni de service contre plusieurs implémentations
Il est possible de provoquer un déni de service contre plusieurs implémentations d'IPSec
Forte
22/10 NetBSD non mis à jour depuis le 23/08/2002FreeBSD inférieur à la 4.7-RELEASEFreeS/WAN
Mauvaise vérification de la longueur des paquets
Correctif existant Pile IPSec
ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2002-016.txt.asc
SA2002-016
http://www.kb.cert.org/vuls/id/459371
VU#459371
KDE
Mauvaises restrictions dans les partages par 'kpf'
L'utilitaire 'kpf' permet de lire tout fichier n'appartenant pas au répertoire partagé.
Moyenne 10/10 Utilitaire 'kpf' livré avec KDE versions 3.0.1 à 3.0.3a
Mauvaises restrictions dans les partages
Correctif existant Utilitaire 'kpf'
http://www.kde.org/info/security/advisory-20021008-2.txt
20021008-2
Kerberos
Débordement de buffer dans 'kadmind'
Le service 'kadmind' contient un débordement de buffer exploitable pour exécuter du code distant.
Critique 21/10 Kerberos V4, V5 jusquà 5.1.2.6 inclus et implémentations dérivées dont celle de Cygnus Network
Correctif existant 'kadmind'
http://www.openbsd.org/errata31.html#kadmin
OpenBSD
SA2002-O26
http://www.cert.org/advisories/CA-2002-29.html
CA-2002-29
http://ciac.llnl.gov/ciac/bulletins/n-009.shtml
N-009
LINUX
Débordement de buffer dans 'heartbeat'
Un débordement de buffer dans 'heartbeat' permet d'exécuter du code distant sous les droits 'root'.
Critique 14/10 Paquetage 'heartbeat' versions 0.4.9a à 0.4.9d et 0.4.9.1, Debian Linux 3.0 (woody), SuSE Linux 8.0 et 8.1
Correctif existant Paquetage 'heartbeat'
http://linux-ha.org/security/sec01.txt
HA Linux Project
http://www.suse.de/de/security/2002_037_heartbeat.html
SA:2002:037
DSA-174-1
LINUX DEBIAN
Accès non autorisé aux comptes désactivés via PAM
PAM considère comme vides les mots de passe désactivés, ce qui permet de s'authentifier sur les comptes associés.
Critique 17/10 Debian Linux unstable (sid)PAM version 0.76
Non rejet d'authentification sur un compte désactivé
Correctif existant PAM
DSA-177-1
Vulnérabilité dans 'bugzilla'
Une vulnérabilité dans 'bugzilla' permet d'obtenir des droits privilégiés.
Forte
09/10 Debian Linux 3.0 (woody)
Mauvaise gestion des groupes
Correctif existant 'bugzilla'
DSA-173-1
Vulnérabilité dans NIS
Une vulnérabilité dans le serveur NIS sur Linux permet de prendre connaissance d'informations privées.
Moyenne 21/10 NIS, utilisant une version de ypserv inférieure à la 2.5
Défaut de la gestion de la mémoire
Correctif existant 'ypserv'
http://www.linuxsecurity.com/advisories/debian_advisory-2476.html
DSA 180-1
Fichiers temporaires non sécurisés dans 'tkmail'
'tkmail' créé des fichiers temporaires de manière non sécurisée.
Moyenne 08/10 Debian Linux 2.2 (potato) et 3.0 (woody)
Création non sécurisée de fichiers temporaires
Correctif existant Programme 'tkmail'
DSA-172-1
Page 33/58
Octobre 2002
LINUX REDHAT
Cross-site scripting dans 'squirrelmail'.
Une vulnérabilité de type cross-site scripting affecte l'interface mail 'squirrelmail'.
Forte
09/10 Red Hat Linux 8.0SquirrelMail version 1.2.7
Vulnérabilité de type cross-site scripting
Correctif existant Scripts PHP de 'squirrelmail'
http://rhn.redhat.com/errata/RHSA-2002-204.html
RHSA-2002-204
Vulnérabilité dans 'dvips'
Une vulnérabilité dans 'dvips' permet d'exécuter à distance des commandes arbitraires sous les droits 'lp'
Forte
14/10 Red Hat Linux 6.2, 7.0, 7.1, 7.2, 7.3 et 8.0
Utilitaire 'dvips' (filtre DVI vers Utilisation non sécurisée de la commande 'system()'
Palliatif proposé
RHSA-2002:194
PostScript)
Multiples vulnérabilités du noyau
De multiples vulnérabilités affectent le noyau Linux.
Forte
15/10 Red Hat Linux 7.3 et 8.0
Mauvaise gestion des fonctions de base
Correctif existant Pilotes de périphériques
RHSA-2002:206
LINUX SUSE
Vulnérabilité dans Heimdal
Plusieurs débordements de buffers ont été découverts dans l'implémentation de Kerberos de Heimdal.
Critique 30/09 Heimdal
Débordements de buffer
Correctif existant Serveur Heimdal
http://www.suse.de/de/security/2002_034_heimdal.html
SA:2002:034
Plusieurs vulnérabilités dans 'HylaFAX'
L'architecture client/serveur 'HylaFAX' contient plusieurs vulnérabilités.
Forte
07/10 SuSE Linux versions 7.0, 7.1, 7.2, 7.3 et 8.0, SuSE Linux Connectivity, Enterprise et Office Server
Mauvais formatage de chaîne de caractères et Débordement de buffer
Correctif existant 'faxgetty'
http://www.suse.de/de/security/2002_035_hylafax.html
SA:2002:035
MACROMEDIA
Exposition de fichiers locaux via 'Shockwave'
Le lecteur 'Shockwave' peut exposer à un serveur web malicieux des fichiers locaux.
Moyenne 07/10 Macromedia 'Shockwave' player versions inférieures à 8.5.1r106 pour Windows et 8.5.1r105 pour Mac
Contournement des restriction liées au domaine
Correctif existant Lecteur 'Shockwave'
http://www.macromedia.com/v1/handlers/index.cfm?ID=23415
MPSB02-11
MICROSOFT
Vulnérabilité dans l'interpréteur SmartHTML
L'interpréteur SmartHTML de Microsoft contient un débordement de buffer qui selon les versions peut être exploité
pour provoquer un déni de service ou l'exécution de code distant.
Critique 25/09 Microsoft FrontPage Server Extensions 2000 et 2002
Correctif existant SmartHTML ('shtml.dll')
http://www.microsoft.com/technet/security/bulletin/MS02-053.asp
MS02-053
Multiples vulnérabilités dans SQL Server
Plusieurs vulnérabilités dans SQL Server ont conduit Microsoft a publier un nouveau correctif cumulatif.
Critique 02/10 Microsoft SQL Server 7.0, Data Engine (MSDE) 1.0, SQLServer 2000, Desktop Engine (MSDE) 2000
Correctif existant SQL Server
MS02-056
Résurgence de la vulnérabilité sur Sun RPC
L'utilisation de code issu de la bibliothèque RPC de Sun provoque les mêmes failles dans l'implémentation de
Microsoft.
Critique 02/10 Microsoft Services pour UNIX (SFU) 3.0 sur Windows NT 4.0,2000 et XP
Correctif existant Bibliothèque RPC
MS02-057
Page 34/58
Octobre 2002
Exécution de code arbitraire via Outlook Express
Un débordement de buffer dans l'implémentation S/MIME de Outlook Express autorise l'exécution de code
arbitraire.
Critique 10/10 Microsoft Outlook Express 6.0 et 5.5
Correctif existant Implémentation 'S/MIME'
MS02-058
http://www.securiteam.com/windowsntfocus/6D00B005PU.html
Securiteam
Acquisition de privilèges dans SQL Server
Une mauvaise gestion des permissions des procédures stockées permet d'acquérir potentiellement des privilèges.
Critique 16/10 Microsoft SQL Server 7.0 et 2000Microsoft Data Engine 1.0 et Desktop Engine 2000 (MSDE)
Mauvaise gestion des permissions
Correctif existant Procédures stockées
MS02-061
Vulnérabilités des répertoires compressés
La fonctionnalité de répertoires compressés contient des failles permettant l'exécution de code.
Forte
02/10 Microsoft Windows 98 avec le Pack Plus!, Me, et XP
Débordement de buffer et Mauvais répertoire d'extraction
Correctif existant Répertoires compressés
MS02-054
Exposition du contenu de fichiers via Word et Excel
La fonctionnalité d'insertion de données issues de fichiers locaux peut exposer leur contenu à un tiers.
Forte
16/10 Microsoft Word 97, 98(J), 2000 et 2002Microsoft Word 98, 2001 et X pour Macintosh Microsoft Excel 2002
Mise à jour automatique des champs
Correctif existant Code champ (Word)
MS02-059
Mise à jour externe (Excel)
Suppression de fichier local via le 'HSC'
'Help and Support Center' peut être utilisé malicieusement afin de supprimer un fichier local.
Forte
16/10 Microsoft Windows XP
Utilisation détournée d'une fonction de suppression
Correctif existant 'Help and Support Center'
MS02-060
Sauvegarde des mots de passe d'accès aux bases ODBC
Les documents Word et Excel dont les données sont issues de requêtes ODBC contiennent dans le documents les
informations permettant d'accéder à ces données.
Moyenne 25/09 Microsoft Excel et Word
Stockage des informations d'accès à la base ODBC
Correctif existant Word/Excel
http://www.ciac.org/ciac/bulletins/m-127.shtml
M-127
NetBSD
Multiples vulnérabilité du démon 'kfd'
Plusieurs débordements de buffer exploitables à distance affectent le démon 'kfd'.
Critique 16/09 NetBSD-current (sources inférieures au 10/09/2002), NetBSD 1.4.x, 1.5, 1.5.1, 1.5.2, 1.5.3, 1.6
Débordement de buffer distant
Correctif existant Démon 'kfd'
SA2002-018
Débordement de buffer dans 'pic'
Un débordement de buffer affecte la commande 'pic'.
Critique 08/10 NetBSD-current (sources inférieures au 28/09/2002), NetBSD 1.5, 1.5.1, 1.5.2, 1.5.3, 1.6
Correctif existant Commande 'pic'
SA2002-022
Security Focus
Débordement de buffer dans plusieurs outils
Plusieurs outils dans NetBSD sont vulnérables à des débordements de buffer.
Forte
16/09 NetBSD-current, 1.6beta, 1.5, 1.5.1, 1.5.2, 1.5.3 et 1.4.*
Correctif existant Outils 'mrinfo', 'mtrace',
SA2002-014
Démon 'pppd'
Débordement de buffer dans 'talkd'
Un débordement de buffer affecte le démon 'talkd'.
Forte
08/10 NetBSD-current (sources inférieures au 20/09/2002), NetBSD 1.5, 1.5.1, 1.5.2, 1.5.3, 1.6
Correctif existant Démon 'talkd'
SA2002-019
Page 35/58
Octobre 2002
Consommation inattendue des ressources noyau
Une mauvaise gestion des sockets TCP peut conduire à une consommation inattendue des ressources noyau.
Moyenne 16/09 NetBSD-current (sources inférieures au 07/09/2002), NetBSD 1.4.x, 1.5, 1.5.1, 1.5.2, 1.5.3, 1.6 beta
Mauvaise gestion des sockets
Correctif existant Socket TCP
SA2002-017
Débordements de buffer dans 'rogue'
Multiples débordements de buffer dans le jeu 'rogue'
Moyenne 08/10 NetBSD-current (sources inférieures au 02/10/2002), NetBSD 1.5, 1.5.1, 1.5.2, 1.5.3, 1.6
Correctif existant Jeu 'rogue'
SA2002-021
OPEN BSD
Ecriture dans la mémoire du noyau via 'setitimer'
Une vulnérabilité dans 'setitimer' permet d'écrire dans la mémoire du noyau.
Forte
02/10 OpenBSD 3.1
Mauvaise vérification des arguments
Correctif existant Appel système 'setitimer'
http://www.openbsd.org/errata.html#kerntime
OpenBSD
ORACLE
Déni de service distant dans Oracle Net Listener
Une vulnérabilité dans Oracle Net Services peut être exploitée afin de provoquer un déni de service.
Forte
04/10 Oracle9i Release 2 (9.2, toutes versions), Oracle9i Release 1 (9.0.x, toutes versions), Oracle8i (8.1.x, toutes
Correctif existant
Oracle SA
versions)
Oracle Net Listener
Mauvaise gestion des commandes soumises au service
http://otn.oracle.com/deploy/security/pdf/2002alert42rev1.pdf
Déni de service dans Oracle9i Application Server
Le module d'administration Oracle9iAS Web Cache est vulnérable à des attaques de déni de service
Forte
04/10 Oracle9i Application Server version 9.0.2 pour Windows (technologie Web Cache)
Module d'administration
Mauvaise gestion des requêtes malformées
Palliatif proposé
Oracle SA
Contournement d'authentification dans Oracle E-Business
Une classe Java dans Oracle E-Business peut permettre le contournement de l'authentification.
Forte
04/10 Oracle E-Business Suite 11i (fichier 'AolSecurityPrivate.class' version 115.7 à 115.18)
Contournement de l'authentification
Correctif existant Oracle E-Business
Oracle SA
RSA SECURITY
Vulnérabilité dans l'API ACE
Une vulnérabilité existe dans les versions UNIX de l'API ACE.
Critique 25/09 RSA ACE/Agent pour Apache
Correctif existant
RSA Security
RSA ACE/Server 5.0 pour wu-ftp
RSA ACE/Server 5.0.x RADIUS sur UNIX
RSA ACE/Server 5.0.x TACACS+ sur UNIX
RSA ACE/Agent 5.0 pour UNIX (sdshell, sdshell_adm, AdminTool Kit)
API API
Non disponible
ftp://ftp.rsasecurity.com/support/Hot-Fixes/Ace/Server/5.0.2/api/readme.txt
SENDMAIL
Cheval de Troie dans la distribution 'Sendmail'
Un cheval de Troie a été introduit dans le code source de 'Sendmail'.
Critique 08/10 'Sendmail' version 8.12.6
Présence d'un cheval de Troie
Correctif existant Code source
http://www.sendmail.org/
Sendmail
http://www.cert.org/advisories/CA-2002-28.html
CA-2002-28
SGI
Plusieurs failles dans IRIX
SGI est vulnérable à plusieurs failles dont certaines sont connues.
Critique 15/10 SGI IRIX 6.5 à 6.5.12SGI IRIX 6.5.13m à 6.5.17m et 6.5.13f à 6.5.17f
Multiples vulnérabilités exploitables à distance.
Correctif existant Système IRIX
ftp://patches.sgi.com/support/free/security/advisories/20021001-01-P
20021001-01-P
Page 36/58
Octobre 2002
Plusieurs vulnérabilités dans des commandes IRIX
Plusieurs commandes utilisateur fournies avec les versions IRIX 6.5.x sont vulnérables.
Forte
03/10 SGI IRIX 6.5 à 6.5.17 et 6.5.13m à 6.5.17m
Suivi de liens symboliques et Débordement de buffer
Correctif existant Commandes utilisateurs
ftp://patches.sgi.com/support/free/security/advisories/20020903-01-P
20020903-01-P
SUN
Vulnérabilité dans SunFire
Il est possible à un utilisateur local de provoquer l'arrêt du système.
Moyenne 30/09 Sun Fire 280R, V880 et V480 sur Solaris 8
Non disponible
Correctif existant Mécanisme de supervision
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F43908&zone_32=category%3Asecurity
ID 43908
SYMANTEC
Exposition de la topologie du réseau
'Simple, secure webserver 1.1' livré avec plusieurs pare-feu Symantec permet de déterminer la topologie du
réseau.
Forte
14/10 Raptor Firewall 6.5 (Windows NT) et 6.5.3 (Solaris), Symantec Enterprise Firewall 6.5.2 (Windows 2000/NT)
Mauvaise gestion des requêtes
Correctif existant Simple, secure webserver 1.1
http://www.ai-sec.dk/modules.php?op=modload&name=News&file=article&sid=30
02-10-2002
http://securityresponse.symantec.com/avcenter/security/Content/2002.10.11a.html
Symantec
Déni de service dans les pare-feu
'Simple, secure webserver 1.1' livré avec plusieurs pare-feu Symantec peut conduire à un déni de service.
VelociRaptor Model 500/700/1000/1100/1200/1300
Forte
15/10 Raptor Firewall 6.5 (Windows NT) et 6.5.3 (Solaris)
Correctif existant
01-10-2002
Symantec
Symantec Enterprise Firewall 6.5.2 (W2000/NT)
Enterprise Firewall 7.0 (Solaris, Windows 2000/NT)
Symantec Gateway Security 5110/5200/5300
Simple, secure webserver 1.1
http://www.ai-sec.dk/modules.php?op=modload&name=News&file=article&sid=29
http://securityresponse.symantec.com/avcenter/security/Content/2002.10.11.html
Exécution de code sous des droits privilégiés via Norton
Norton Antivirus peut amener un utilisateur local à exécuter du code sous des droits privilégiés.
Forte
15/10 Symantec Norton AntiVirus Corporate Edition 7.5, 7.5.1, 7.6
Console de Norton Antivirus
Utilisation détournée de 'winhlp32.exe'
Palliatif proposé
Security Focus
http://securityresponse.symantec.com/avcenter/security/Content/2002.10.15.html
Symantec
TARANTELLA
Vulnérabilités de la bibliothèque OpenSSL de Tarantella
La bibliothèque OpenSSL utilisée par les logiciels Tarantella sont vulnérables.
Critique 07/10 Tarantella Enterprise 3 versions 3.2x, 3.1x et 3.0x (toussystèmes)
Multiples débordements de buffers
Correctif existant Bibliothèque OpenSSL
http://www.tarantella.com/security/bulletin-05.html
Tarantella SB
Non vérification du champ 'Basic Constraints'
Les clients natifs Tarantella ne vérifient pas le champ 'Basic Constraints' pour la chaîne de certificats.
Critique 07/10 Tarantella Enterprise 3, Native Clients versions 3.2x, 3.1xet 3.0x (tous systèmes)
Clients natifs Tarantella
Non vérification du champ 'Basic Constraints'
Aucun correctif
http://www.tarantella.com/security/bulletin-06.html
Tarantella SB
WATCHGUARD
Etablissement illicite d'une connexion TCP
Les pare-feu WatchGuard permettent d'établir une connexion TCP illicite.
Forte
09/10 WatchGuard SOHO firmware version 5.1.6 et inférieuresWatchGuard Vclass/RSSA version 3.2 SP1 et
Correctif existant
VU#328867
inférieures
Processus d'analyse
Non maintient de l'état des commandes et réponses FTP
http://www.kb.cert.org/vuls/id/328867
Page 37/58
Octobre 2002
ZOPE
Multiples vulnérabilités
Plusieurs vulnérabilités ont été découvertes dans Zope.
Forte
25/09 Zope 2.0 à 2.5.1
Non disponibles
Correctif existant Zope
http://www.linuxsecurity.com/advisories/redhat_advisory-2384.html
RHSA-2002:060
ALERTES NON CONFIRMEES
Les alertes présentées dans les tables de synthèse suivantes ont été publiées dans diverses listes
d’information mais n’ont pas encore fait l’objet d’une annonce ou d’un correctif de la part de l’éditeur. Ces
alertes nécessitent la mise en place d’un processus de suivi et d’observation.
APACHE
Multiples vulnérabilités dans Apache
De multiples vulnérabilités affectent les serveurs HTTP Apache. Plusieurs affectent aussi les versions Windows.
Forte
17/10 Apache versions 1.3 à 1.3.27, Apache versions 1.3.17 à 1.3.26 (Windows)
Serveur HTTP Apache
1 - Création non sécurisée de fichier temporaire
Aucun correctif
Security Focus
Bugtraq
2 - Appel non sécurisé à 'system()'
3 - Création non sécurisée de fichier temporaire
4 - Débordement de buffer
Vulnérabilité de type Cross-Site Scripting dans Apache
Une vulnérabilité de type Cross-Site Scripting affecte les serveurs web Apache.
Moyenne 02/10 Apache 2.0.x inférieur à la version 2.0.43
Mauvais filtrage du champ 'Host'
Correctif existant Génération des pages d'erreur
Bugtraq
BUGZILLA
Vulnérabilités dans Bugzilla
Plusieurs vulnérabilités ont été découvertes dans Bugzilla.
Forte
01/10 Bugzilla 2.14.x et 2.16
Défaut de filtrage des données utilisateurs
Correctif existant 'bugzilla_email_append.pl'
Bugtraq
DLINK
Non protection du serveur TFTP embarqué
Le point d'accès WiFi D-Link DWL-900AP+ contient un serveur TFTP qui n'est pas protégé contre des accès
frauduleux.
Critique 21/10 D-Link DWL-900AP+
Serveur TFTP embarqué
Non protection du serveur
Aucun correctif
http://www.securiteam.com/securitynews/6N00S0A5RI.html
Securiteam
FETCHMAIL
Débordements de buffer dans Fetchmail
Plusieurs débordements de buffer ont été découverts dans Fetchmail.
Critique 29/09 Fetchmail 6.0.0 et précédents
Débordements de buffers
Correctif existant Analyse des en-têtes
Bugtraq
GV
Débordement de buffer dans 'gv'
L'utilitaire 'gv' contient un débordement de buffer exploitable pour provoquer l'exécution de code non sollicité.
Forte
27/09 gv 3.5.8
'gv'
Aucun correctif
iDEFENSE
Page 38/58
Octobre 2002
IBM
Vulnérabilité de type 'CSS' dans Websphere
Il est possible d'utiliser le serveur proxy-cache de Websphere pour effectuer des attaques de type 'Cross Site
Scripting'.
Moyenne 23/10 IBM Web Traffic Express Caching Proxy Server v4.x (inclus dans IBM WebSphere Edge Server v2.0),
Correctif existant
Bugtraq
IBM Web Traffic Express Caching Proxy Server v3.6
Serveur proxy-cache
Non échappement de certaines données utilisateur
Déni de service contre Websphere
Websphere inclus un CGI permettant de provoquer un déni de service contre le serveur.
Faible
23/10 IBM Web Traffic Express Caching Proxy Server v4.x (inclus dans IBM WebSphere Edge Server v2.0)
Correctif existant
Bugtraq
IBM Web Traffic Express Caching Proxy Server v3.6
Script '/cgi-bin/helpout.exe'
Mauvaise écriture du script
IPFILTER
Ouverture de ports sur les serveurs FTP
Une faille dans IPFilter permet d'ouvrir des ports sur les serveurs FTP placés derrière le proxy.
Moyenne 19/10 IPFilter versions 3.1.x, 3.2.x, 3.3.x et 3.4.1 à 3.4.28
Correctif existant IPFilter
Security Focus
JETTY
Vulnérabilité 'cross site scripting'
La servlet Jetty est vulnérable à une attaque de type 'cross site scripting'
Moyenne 30/09 Jetty
Jetty
Génération de pages d'erreurs sans suppression des drapeauxde scripting.
Aucun correctif
Bugtraq
MICROSOFT
Exécution de code Javascript dans Internet Explorer
Une faille dans Internet Explorer 6 permet d'exécuter du code Javascript.
Forte
04/10 Microsoft Internet Explorer version 6
'(NewWindow).location.assign'
Accès non restreint à la référence sauvegardée
Palliatif proposé
Bugtraq
Vulnérabilités dans le cache d'Internet Explorer
Le mécanisme de cache d'Internet Explorer peut être utilisé pour outrepasser les restrictions de zones de sécurité.
Forte
22/10 Microsoft Internet Explorer 5.5 et 6.0
Mauvais cloisonnement du cache
Correctif existant Mécanisme de cache
http://sec.greymagic.com/adv/gm012-ie/
Grey Magic
Vulnérabilité dans Internet Explorer via 'Document'
Les règles de sécurité d'Internet Explorer ne s'appliquent pas à la propriété 'Document'.
Forte
15/10 Microsoft Internet Explorer 5.5 (SP2) et 6.0
Correctif existant
[GM#011-IE]
Toute application utilisant 'WebBrowser control' (Outlook, MSN Explorer)
'WebBrowser control'
Les règles ne s'appliquent pas à la propriété 'Document'
http://sec.greymagic.com/adv/gm011-ie/
Déni de service dans RPC
Le service RPC peut être arrêté à l'aide d'un paquet spécialement formaté.
Forte
18/10 Microsoft Windows 2000 (toutes versions) jusqu'au SP3inclus
Service RPC
Mauvaise gestion des paquets malformés
Palliatif proposé
http://www.immunitysec.com/vulnerabilities/Immunity_svchost_DoS.txt
Immunity Sec
Security Focus
Cross-Site Scripting dans Internet Information Server
Une vulnérabilité dans Internet Information Server (IIS) autorise des attaques de type Cross-Site Scripting.
Forte
08/10 Microsoft Internet Information Server 5.0
Internet Information Server
Palliatif proposé
Security Focus
Page 39/58
Octobre 2002
Déni de service dans IIS
Une faille dans la bibliothèque 'shtml.dll' peut provoquer un déni de service des serveurs IIS.
Forte
10/10 Microsoft IIS 5.0 et 5.1
'shtml.dll'
Mauvaise gestion du champ 'HOST' des en-têtes HTTP
Aucun correctif
Security Focus
Bugtraq
Non transmission des alertes dans Windows 2000 et XP
Sous certaines conditions, les alertes ne sont pas remontées si le journal des évènement est saturé.
Forte
17/10 Microsoft Windows 2000 jusqu'au SP2 inclus, Microsoft Windows XP
Mauvaise gestion des alertes
Correctif existant Journalisation des évènements
Security Focus
Acquisition de droits utilisateurs via WMP pour Solaris
Une vulnérabilité de Windows Media Player 6.3 pour Solaris permet d'obtenir les droits d'un autre utilisateur.
Forte
18/10 Microsoft Windows Media Player 6.3 (Solaris)
Installation
Mauvaise permission des fichiers
Palliatif proposé
Security Focus
Bugtraq
Obtention locale des droits système via NetDDE
Une vulnérabilité de l'agent NetDDE permet d'obtenir localement les droits système.
Forte
06/10 Microsoft Windows 2000 toutes versions jusqu'au SP3 inclus
Agent NetDDE
Mauvaise gestion des messages
Aucun correctif
http://getad.chat.ru/
Serus
Security Focus
Accès aux informations de restauration du système
Les sous-répertoires contenant les informations de restauration du système sont accessibles librement.
Moyenne 04/10 Microsoft Windows XP Professional
Mauvaises restrictions d'accès
Correctif existant Windows XP
Security Focus
Bugtraq
NETGEAR
Multiples vulnérabilités dans Netgear FM114P
De multiples vulnérabilités affectent les dispositifs Netgear FM114P.
Forte
10/10 Netgear FM114P Cable/DSL Prosafe 802.11b Wireless Firewall
Netgear FM114P
1 - Mauvaise gestion des connexions TCP
Aucun correctif
Bugtraq
Security Focus
2 - Enregistrement de données sensibles en clair
OPENVMS
Vulnérabilité dans le serveur POP
Une vulnérabilité dans le serveur POP d'OpenVMS permet à un utilisateur local d'écraser tout fichier présent sur le
système.
Moyenne 27/09 OpenVMS avec UCX
Correctif existant 'SYS$SYSTEM:UCX$POP_SERVE Mauvais droits positionnés à l'installation
Bugtraq
R.EXE'
PAREFEU
Blocage d'adresses IP légitimes dans BlackICE et Norton
Il est possible de bloquer des adresses IP légitimes dans les pare-feu BlackICE et Norton.
Moyenne 09/10 BlackICE Defender pour serveur version 2.9.cap, BlackICE Server Protection
Aucun correctif
Bugtraq
version
3.5.cdf,
Norton personal firewall 2002 (version 4.0)
Pare-feu personnels
Bannissement d'adresses par 'auto-block'
PHPNUKE
Cross-site scripting dans PHP-Nuke
Plusieurs vulnérabilités de type cross-site scripting affectent PHP-Nuke.
Forte
11/10 PHP-Nuke version 6.0
'PHP-Nuke'
Non validation/filtrage des données passées en paramètre
Aucun correctif
Security Focus
Bugtraq
Page 40/58
Octobre 2002
SENDMAIL
Contournement des protections de 'smrsh'
Il est possible de contourner les protections apportées par 'smrsh'.
Forte
02/10 Sendmail 8.12.6 et Sendmail 8.11.6-15
Filtrage insuffisant des commandes
Correctif existant smrsh
http://www.linuxsecurity.com/advisories/other_advisory-2397.html
iDEFENSE
Utilisation de Sendmail anonymement grâce à Ident
Il est possible d'utiliser Ident de façon à ce que son identité ne soit pas journalisée par le serveur Sendmail.
Moyenne 21/09 Sendmail 8.12. et inférieurs
Mécanisme de journalisation
Limitation de la taille totale de l'entrée journalisée
Aucun correctif
Bugtraq
SERVEURS WEB
Accès non autorisé dans des serveurs Web sur Win32
Plusieurs serveurs web légers fonctionnant sur des plate-formes Win32 permettent l'accès sans authentification à
des pages normalement restreintes.
Moyenne 24/10 Liteserve Web Server v2.0BRS, WebWeaver Web Server v1.01, BadBlue Web Server v1.7
Serveurs Web
Mauvaise analyse du chemin de la requête
Aucun correctif
Bugtraq
SYMANTEC
Augmentation de privilèges avec Norton Antivirus
Il est possible à un utilisateur d'un poste sur lequel est installé Norton Antivirus Corporate Edition d'obtenir les
droits du système local.
Forte
24/10 Norton Antivirus Corporate Edition (Final 7.60.962)
Exécution d'une application tierce avec les droits système
Correctif existant Norton Antivirus
Bugtraq
TOMCAT
Exposition de code source des pages '.jsp'
Il est possible d'obtenir le code source d'une page '.jsp' présente sur un serveur Tomcat
Forte
24/09 Apache Tomcat 4.0.1 à 4.0.4 et 4.1.0 à 4.1.10
Invocation du mauvais handler
Correctif existant Tomcat
Bugtraq
AUTRES INFORMATIONS
REPRISES D’AVIS
ET
CORRECTIFS
Les vulnérabilités suivantes, déjà publiées, ont été mises à jour, reprises par un autre organisme, ou ont
donné lieu à la fourniture d’un correctif :
CIAC
Reprise de l'avis Microsoft MS02-058
Le CIAC a repris, sous la référence N-007, l'avis Microsoft MS02-058 au sujet d'un débordement de buffer dans
l'implémentation S/MIME de Outlook Express permettant d'exécuter du code arbitraire.
http://www.ciac.org/ciac/bulletins/n-007.shtml
Le CIAC a repris, sous la référence N-008, l'avis Microsoft MS02-061 au sujet de la mauvaise gestion des
permissions des procédures stockées dans SQL Server et permettant d'acquérir potentiellement des privilèges
élevés.
Reprise de l'avis Apple Quicktime
Le CIAC a repris sous la référence M-128 l'avis d'Apple portant sur une vulnérabilité dans son logiciel Quicktime.
Le CIAC a repris sous la référence M-129 l'avis Microsoft MS02-053 portant sur une vulnérabilité dans l'interpréteur
SmartHTML.
Page 41/58
Octobre 2002
Le CIAC a repris sous la référence M-126 l'avis Microsoft MS02-052 portant sur des vulnérabilités de la machine
virtuelle java.
Le CIAC a repris, sous la référence N-001, l'avis Microsoft MS02-054 au sujet d'une vulnérabilité dans la
fonctionnalité de répertoires compressés, pouvant entraîner l'exécution de code arbitraire.
Le CIAC a repris, sous la référence N-002, l'avis Microsoft MS02-055 traitant d'une vulnérabilité du système d'aide
en ligne. Un utilisateur mal intentionné peut exécuter du code non sollicité via un débordement de buffer dans un
contrôle ActiveX.
Le CIAC a repris, sous la référence N-003, l'avis Microsoft MS02-056 décrivant plusieurs débordements de buffer
dans SQL Server. Un attaquant distant peut les exploiter afin d'exécuter du code sur le système.
Reprise de l'avis SGI 20020903-01-P
Le CIAC a repris, sous la référence N-004, l'avis SGI 20020903-01-P au sujet d'une vulnérabilité de plusieurs
commandes utilisateur fournies avec les versions IRIX 6.5.x.
Reprise de l'avis sur Apache
Le CIAC a repris, sous la référence N-005, l'avis traitant de plusieurs vulnérabilités du serveur HTTP Apache version
1.3.26 et inférieures, dont une pouvant provoquer un déni de service local.
Reprise de l'avis HP HPSBUX0209-221
Le CIAC a repris, sous la référence N-006, l'avis HP HPSBUX0209-221 au sujet d'une vulnérabilité dans le module
'pam_authz' de LDAP-UX et permettant d'exécuter des commandes avec des droits usurpés.
CISCO
Correction des vulnérabilités liées à OpenSSL dans SCA
Le produit Cisco SCA 11000 Series (Secure Content Accelerator) est vulnérables aux attaques liées à OpenSSL,
exploitées par le ver baptisé 'slapper' . Cisco fournit la version 3.2.0.20 de Cisco Secure Content Accelerator qui
corrige ce problème. http://www.cisco.com/cgi-bin/tablebuild.pl/cs-conacc
Seule la note suivante documente cette correction.
http://www.cisco.com/univercd/cc/td/doc/product/webscale/css/css_sca/sca_320/v320b20.htm#xtocid13
http://www.securiteam.com/securitynews/6V0031P5PO.html
FREEBSD
Disponibilité de plusieurs correctifs
FreeBSD annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages :
issues in ports
FreeBSD-SN-02:06
http://www.linuxsecurity.com/advisories/
HP
Correctifs pour 'fetchmail'
HP a annoncé la disponibilité des correctifs pour 'fetchmail'. Plusieurs débordements de buffer s'avèrent sensibles
pour la sécurité du système.
Correctifs pour 'gv' et 'ggv'
HP a annoncé la disponibilité des correctifs pour 'gv' et 'ggv'. Un débordement de buffer dans ces utilitaires permet
de provoquer l'exécution de code non sollicité.
Correctifs pour 'tetex' (dvips)
HP a annoncé la disponibilité des correctifs pour TeTeX (dvips). Une vulnérabilité dans le filtre de conversion permet
d'exécuter à distance des commandes arbitraires sous les droits 'lp'
Révision 7 du bulletin HPSBUX0208-209
HP a révisé le bulletin HPSBUX0208-209 au sujet des vulnérabilités affectant les résolveurs DNS et par conséquent
BIND. Ces révisions indiquent que les correctifs pour les versions vulnérable HP-UX 10.24 et 11.04 (VVOS) sont
disponibles.
Page 42/58
Octobre 2002
Publication de correctifs pour Tomcat
HP a publié des correctifs pour ses plate-formes VirtualVault utilisant le serveur Apache-Tomcat, sujet à une
vulnérabilité permettant la visualisation des pages '.jsp'. Les correctifs à installer sont : PHSS_27921 pour
Virtualvault A.04.50 et PHSS_27922 pour Virtualvault A.04.60
http://europe-support.external.hp.com
Correctifs pour 'resolver'
HP a annoncé la disponibilité des correctifs pour 'resolver'. Il recommande d'installer les RPMs disponibles sur le site
Red Hat.
Correctifs pour 'nss_ldap'
HP a annoncé la disponibilité des correctifs pour 'nss_ldap'. Il recommande d'installer les RPMs disponibles sur le
site Red Hat.
Précisions sur la vulnérabilité sur ProCurve
Des détails concernant la vulnérabilité dans les commutateurs ProCurve ont été postés sur la liste Bugtraq. La
vulnérabilité est due à la présence dans le serveur d'administration HTTP embarqué de scripts CGI ne vérifiant pas
l'authentification de celui qui effectue la requête.
HP/COMPAQ
Correctifs pour 'zlib'
HP a annoncé la disponibilité des correctifs pour 'zlib' pour HP Tru64 UNIX version 5.1A. Une vulnérabilité
exploitable à distance dans la librairie offrant des fonctions de compression permet d'exécuter du code ou des
commandes arbitraires ou de provoquer un déni de service. Cette vulnérabilité a été reprise par la suite par le CERT
dans l'alerte [CA-2002-07] .
http://www.auscert.org.au/render.html?it=2491&cid=1
KDE
Disponibilité des correctifs pour 'KGhostview'
KDE a annoncé la disponibilité des correctifs pour 'KGhostview' livré avec toutes les versions KDE 1.1 à 3.0.3a. Un
débordement de buffer lors de l'analyse d'un fichier PostScript ou PDF peut autoriser l'exécution de code arbitraire.
'KGhostview' est dérivé de l'utilitaire 'gv'.
http://www.kde.org/info/security/advisory-20021008-1.txt
http://www.linuxsecurity.com/advisories/other_advisory-2428.html
LINUX CALDERA
Disponibilité de nombreux correctifs
Caldera annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages :
webalizer
CSSA-2002-036.0
ethereal
CSSA-2002-037.0
inn
CSSA-2002-038.0
http://www.linuxsecurity.com/advisories/caldera.html
LINUX DEBIAN
Debian annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages :
htcheck
DSA-169-1
tomcat4
DSA-170-1
fetchmail
DSA-171-1
tkmail
DSA-172-1
bugzilla
DSA-173-1
heartbeat
DSA-174-1
syslog-ng
DSA-175-1
gv
DSA-176-1
pam
DSA-177-1
heimdal
DSA-178-1
gnome-gv
DSA-179-1
nis
DSA-180-1
libapache
DSA-181-1
http://www.debian.org/security/2002/
Page 43/58
Octobre 2002
LINUX MANDRAKE
Mandrake annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages :
tcltk
MDKSA-2002:060
7.1 / 7.2 / CS1.0.1 / 8.0 / 8.1 / 8. 2 /
FW 7.2
glibc
MDKSA-2002:061
7.1 / 7.2 / CS1.0.1 / 8.0 / 8.1 / 8. 2 /
FW 7.2
postgresql
MDKSA-2002:062
7.2 /
8.0 / 8.1 / 8. 2 / 9.0 / FW 7.2
fetchmail
MDKSA-2002:063
7.1 / 7.2 / CS1.0.1 / 8.0 / 8.1 / 8. 2 / 9.0 / FW 7.2
kdelibs
MDKSA-2002:064
8.1 / 8. 2
unzip
MDKSA-2002:065
7.1 / 7.2 / CS1.0.1 / 8.0 / 8.1 / 8. 2
FW 7.2
tar
MDKSA-2002:066
7.1 / 7.2 / CS1.0.1 / 8.0 / 8.1 / 8. 2 / 9.0 / FW 7.2
apache
MDKSA-2002:068
7.2 /
/ 8.0 / 8.1 / 8. 2 / 9.0
gv/ggv
MDKSA-2002:069
/ 8.0 / 8.1 / 8. 2 / 9.0
tetex
MDKSA-2002:070
7.2 /
/ 8.0 / 8.1 / 8. 2 / 9.0
kdegraphics
MDKSA-2002:071
8.1 / 8. 2 / 9.0
mod_ssl
MDKSA-2002:072
7.2 /
/ 8.0 / 8.1 / 8. 2 / 9.0 / FW 7.2
http://www.linux-mandrake.com/en/security/
LINUX REDHAT
RedHat annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages :
analog
RHSA-2002:059-13
7.1
zope
RHSA-2002:060-17
7.1 / 7.2
tcpdump
RHSA-2002:094-16
6.2 / 7.0 / 7.1 / 7.2
unzip/tar
RHSA-2002:096-24
6.2 / 7.0 / 7.1 / 7.2 / 7.3
glibc
RHSA-2002:197-06
6.2 / 7.0 / 7.1 / 7.2 / 7.3
nss_ldap
RHSA-2002:175-16
6.2 / 7.0 / 7.1 / 7.2 / 7.3
mozilla
RHSA-2002:192-13
7.2 / 7.3 / 8.0
xinetd
RHSA-2002:196-09
7.0 / 7.1 / 7.2 / 7.3
dvips
RHSA-2002:194-18
6.2 / 7.0 / 7.1 / 7.2 / 7.3 / 8.0
squirrelmail
RHSA-2002:204-10
/ 8.0
kernel
RHSA-2002:205-15
7.1 / 7.2
kernel
RHSA-2002:206-12
/ 7.3 / 8.0
gv/gvv
RHSA-2002:207-14
6.2 / 7.0 / 7.1 / 7.2 / 7.3 / 8.0
gv/gvv
RHSA-2002:212-06
7.1 / 7.2
fecthmail
RHSA-2002:215-09
6.2 / 7.0 / 7.1 / 7.2 / 7.3
ypserv
RHSA-2002:223-07
6.2 / 7.0 / 7.1 / 7.2 / 7.3
http://www.linuxsecurity.com/advisories/redhat.html
MICROSOFT
Publication de correctif pour l'aide Windows
Microsoft a publié un correctif pour son système d'aide en ligne, dont un contrôle ActiveX contient un débordement
de buffer permettant l'exécution de code non sollicité.
ORACLE
Vulnérabilité dans le serveur web 'OHS'
Le serveur web Oracle HTTP Server (OHS), basé sur 'Apache', est vulnérable aux mêmes failles. Les versions
affectées sont : OHS dans Oracle Database versions 8.1.7.x, 9.0.1.x et 9.2.x OHS dans Oracle9i Application Server
versions 1.0.2.x et 9.0.2.x Suivez la parade décrite et appliquez le correctif 2611482.
SUN
Correctifs pour 'gv'
Sun a annoncé la disponibilité d'un correctif pour 'gv'. Cet utilitaire contient un débordement de buffer dont
l'exploitation permet de provoquer l'exécution de code non sollicité.
Correctif pour la pile TCP/IP
Sun a publié un correctif pour sa pile TCP/IP. Celle-ci était peu robuste contre certaines attaques de déni de service
évoquées durant l'année 2000. Solaris 9 n'est pas concerné par cette mise à jour.
Publication de correctifs pour Fetchmail
Sun a annoncé la disponibilité de correctifs pour 'fetchmail' pour ses systèmes Linux et Cobalt. Plusieurs
débordements de buffer s'avèrent sensibles pour la sécurité du système.
Page 44/58
Octobre 2002
Publication de correctifs pour Crypto Accelerator 1000
Sun a publié des correctifs pour le pilote de sa carte d'accélération SSL Crypto Accelerator 1000. Celle-ci est en
effet impactée par la vulnérabilité touchant OpenSSL. Sun précise toutefois que les cartes configurées pour
fonctionner avec iPlanet ne sont pas affectées.
Publication d'un code d'exploitation pour telnet
Un code d'exploitation pour une vulnérabilité telnet dans Solaris a été publié sur la liste Bugtraq. La vulnérabilité
concernée a été corrigée depuis quelques temps et le correctif est inclus dans les 'Recomended Patches' de Sun.
Cependant, la criticité et la facilité d'utilisation de ce code d'exploitation nous incitent à mettre en garde les
administrateurs quand au niveau de mise à jour appliqué.
CODES D’EXPLOITATION
Les codes d’exploitation des vulnérabilités suivantes ont fait l’objet d’une large diffusion :
MICROSOFT
Code d'exploitation disponible pour MS02-55
Thor Larholm propose un code d'exploitation pour la vulnérabilité décrite dans le bulletin Microsoft MS02-055. La
méthode 'showHelp' d'un contrôle ActiveX contient un débordement de buffer permettant l'exécution de code non
sollicité.
http://www.pivx.com/larholm/adv/TL004/
SENDMAIL
Code d'exploitation disponible pour Sendmail
Un code d'exploitation pour Sendmail 8.11.x et permettant à un utilisateur local d'obtenir les droits root est
disponible sur le site de PacketStorm.
http://packetstormsecurity.nl/filedesc/sendmail-8-11-x.c.html
BULLETINS ET NOTES
Les bulletins d’information suivants ont été publiés par les organismes officiels de surveillance et les
éditeurs :
MICROSOFT
Article sur l'utilisation détournée de champs dans Word
Plusieurs articles ont soulevé le problème de capture de fichiers en utilisant les champs 'INCLUDETEXT' ou
'INCLUDEPICTURE' de Microsoft Word. Ils permettent d'inclure le contenu d'un fichier local de type texte ou image.
Ainsi, un utilisateur recevant un fichier Word malicieux peut exposer des fichiers locaux, s'il met à jour ces champs
et renvoie le fichier Word contenant les nouvelles informations. Une exploitation est donc difficile à mettre en
oeuvre. Ce comportement n'est pas vu comme une vulnérabilité car il correspond au fonctionnement normal décrit
dans l'application Word. D'après le CIAC, Microsoft Word 6 et supérieurs autorisent ce type de champ et sont donc
potentiellement vulnérables sur toutes les plates-formes.
http://www.microsoft.com/technet/security/topics/secword.asp
http://www.ciac.org/ciac/techbull/CIACTech02-005.shtml
http://www.counterpane.com/crypto-gram-0209.html#7
VIRUS
Forte activité virale
Plusieurs rapports d'incidents indiquent la propagation d'au moins deux vers (nommés Bugbear et Scrup) utilisant
entre autres pour se propager les partages de fichiers de Windows pour lesquels aucune mot de passe n'est défini.
Bien que susceptibles de générer une grande quantité de scans sur le port 137 aux points d'accès internet du
réseau d'entreprise, ces vers ne représentent pas de réel danger pour une entreprise ayant pris des mesures de
sécurité élémentaires.
http://vil.nai.com/vil/content/v_99728.htmhttp://vil.nai.com/vil/content/v_99729.htm
Nouveau virus 'opasoft' ('opaserv')
Le virus 'Opaserv', appelé aussi 'Opasoft', est un ver se propageant sur les lecteurs 'C:\’ partagés d'un même
domaine. Il ouvre une porte dérobée, envoie des information à un site distant et peut se mettre à jour depuis celuici. Le ver se réplique dans le fichier 'SCRSVR.EXE' du répertoire Windows sur la machine locale ainsi que sur toutes
les machines distantes possédant un partage. Le balayage des machine se fait via le port 137 et l'infection utilise le
port 139 qu'il conviendra de surveiller ou de filtrer.
http://www.fsecure.com/v-descs/opasoft.shtml http://www.sophos.co.uk/virusinfo/analyses/w32opaserva.html
http://securityresponse.symantec.com/avcenter/venc/data/w32.opaserv.worm.html
http://vil.nai.com/vil/content/v_99729.htm
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_OPASOFT.D
Page 45/58
Octobre 2002
Informations sur le virus 'Bugbear'
Le virus 'Bugbear' continue sa propagation, véhiculé par email et via les partages de fichiers NetBIOS. Ses
fonctionnalités ne sont pas à négliger. 'Bugbear' contient un composant permettant l'envoi d'e-mails en masse ou le
balayage des partages NetBIOS. Il désactive les principaux antivirus et pare-feu personnels et s'exécute à chaque
redémarrage. Il ouvre aussi une porte dérobée sur le système infecté. Ce virus est aussi connu sous le nom de
'Tanatos'.
http://bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=21301
http://www.nipc.gov/warnings/advisories/2002/02-008.htm
Page 46/58
Octobre 2002
ATTAQUES
TECHNIQUES
CROSS SITE SCRIPTING
Description
Si le signe ‘CSS’ ou ‘XSS’ évoque immédiatement une classe d’attaques fort à la mode ces temps-ci, peu d’articles
proposent une description simple et claire de la technique employée. L’article écrit par ‘P.S.Lee’ disponible sur le site
‘IBM DevelopperWorks’ vient heureusement combler ce manque. Nous proposons donc de passer en revue les
différentes méthodes employées en s’inspirant des illustrations accompagnant cet article dont nous recommandons la
lecture. Notre propos est ici, non pas de plagier l’article, mais d’en présenter une synthèse pertinente.
Le terme ‘Cross Site Scripting’ fait référence à la possibilité d’injecter un script au sein d’une session établie avec un
site WEB digne de confiance. Le navigateur ne pourra alors différencier les flux et exécutera le dit script dans le
contexte de sécurité établi pour le site de confiance. On notera à ce propos que le sigle ‘CSS’ un temps utilisé a assez
rapidement été remplacé par le sigle ‘XSS’ afin d’éviter une confusion possible avec le mécanisme des ‘Cascading
Style Sheets’ ou ‘CSS’ aussi utilisé dans le contexte des serveurs WEB.
Contrairement à la majorité des failles de sécurité rencontrées dans les environnements WEB, le problème du ‘XSS’
trouve son origine dans une erreur ou un défaut de conception du serveur WEB et non du navigateur, l’idée étant
d’induire celui-ci en erreur. En conséquence, ce sont donc les sites vulnérables qui sont pointés du doigt mettant à mal
l’image de marque des sociétés exploitants ceux-ci. L’utilisateur n’est qu’une malheureuse victime, et ce d’autant plus,
qu’il lui sera difficile de détecter et de contrer ce problème.
Un rapide tour d’horizon des alertes mentionnant explicitement un problème de ‘Cross-Site Scripting’ montre
qu’aucune application WEB n’est à l’abri de ce problème sauf à n’utiliser ni formulaires ni scripts d’aucune sorte.
Quelques alertes représentatives de problèmes de ‘Cross-Site Scripting’ découverts dans des applications génériques
bien connues sont présentées ci-dessous à titre d’exemple:
Editeur
Microsoft
Microsoft
Novell
Cisco
Delegate
OKS
Oracle
Horde
HtDig
Cacheflow
MailMan
Oracle
MhOnArc
HtCheck
Tomcat
Référence
MS00-060
MS00-084
CgiSA#09
Bugtraq
Bugtraq
Securiteam
OSA#31
Bugtraq
Bugtraq
4.1.00doc
DSA-147
OSA#41
DSA-163
DSA-169
WP02-08
Date
25/08/00
02/11/00
03/12/01
06/12/01
29/12/01
26/03/02
01/04/02
06/04/02
24/06/02
24/07/02
08/08/02
14/08/02
09/09/02
25/09/02
10/10/02
Intitulé de l’alerte
Patch Available for 'IIS Cross-Site Scripting' Vulnerabilities
Patch Available for 'Indexing Services Cross Site Scripting' Vulnerability
Netware Web Search Engine & Microsoft IIS Help File Search CSS Holes
Cisco Secure ACS Cross-site Scripting Vulnerability
DeleGate Cross-Site Scripting Vulnerability
Keyservers Cross Site Scripting (When CSS Gets Dangerous)
Oracle Configurator Security Issue: Potential Cross-site Scripting Attacks
potential cross-site scripting (CSS) attacks
ht://Dig htsearch Cross Site Scripting Vulnerability
Modified default error pages to eliminate cross-site scripting attack
mailman -- cross-site scripting
Oracle9i Application Server Oracle Java Server Page Demos Vulnerability
mhonarc -- cross-site scripting
htcheck -- cross site scripting
Apache Tomcat Cross Site Scripting
La technique permettant d’injecter un script dans une session WEB a officiellement été dévoilée par le CERT-CC® dans
le bulletin d’alerte CA-2000-02 intitulé ‘Malicious HTML Tags Embedded in Client Web Requests’ et diffusé le 2
février 2000. Cette technique tire avantage de l’absence de (ou des limitations inhérentes aux) mécanismes de filtrage
dans la majorité des programmes de traitement attachés aux fonctionnalités dynamiques d’un serveur WEB,
programmes connus sous le terme générique de ‘cgi-bin’. Elle consiste à insérer une séquence HTTP correspondant à
une section de code exécutable par le navigateur dans les données attendues par un quelconque programme de
traitement.
Deux exemples concrets sont présentés ci-après:
1- Absence de filtrage
En l’absence de tout filtrage,
Requête initiale
http://www.phpnuke.org/user.php?op=userinfo&uname=<script>alert(document.cookie);</script>
Page en retour
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<HTML><HEAD>
<TITLE>404 Not Found</TITLE>
</HEAD><BODY>
<H1>Not Found</H1>
The requested URL /<script>alert(document.cookie);</script> was not found on this server.<P>
<HR>
<ADDRESS>Apache/1.3.22 Server at phpnuke.org Port 80</ADDRESS>
</BODY></HTML>
Page 47/58
Octobre 2002
Ainsi, la chaîne ‘<script>alert(document.cookie);</script>’ est traitée par le programme ‘user.php’ comme
désignant l’identifiant d’un utilisateur bien évidemment inexistant provoquant l’envoi d’un page d’erreur
contenant la chaîne associée à l’identifiant, c’est à dire, une séquence HTTP valide. Celle-ci est alors exécutée
par le navigateur.
2- Filtrage insuffisant
Le filtrage de la séquence suivante par l’utilitaire ‘MhOnArc’ conduit à dévoiler une séquence HTML valide
Avant filtrage
<HTML> <SCR<SCRIPT></SCRIPT>IPT>alert(document.domain)</SCR<SCRIPT></SCRIPT>IPT> </HTML>
Après filtrage
<HTML><SCRIPT>alert(document.domain)</SCRIPT></HTML>
En conséquence, la conversion d’un mail anodin au format HTML par ‘MhOnArc’ conduira à l’exécution de la
séquence de code délimitée par la balise <SCRIPT> par le navigateur visualisant le message, et ce dans le
contexte de sécurité associé à la session HTTP.
Le lecteur pourra objecter que le risque reste faible, l’attaquant devant amener l’utilisateur à utiliser une URL ayant
une forme spécifique donc incitant ‘normalement’ à la prudence. A cette objection, nous répondrons qu’il est rare que
l’utilisateur - averti ou non - vérifie systématiquement les URL associées aux liens actifs que ceux-ci soient présentés
sur un site WEB ou dans un message électronique. Quand bien même ce contrôle visuel serait opéré, l’utilisateur aura
probablement quelques difficultés à valider l’innocuité de la requête, les balises ayant fort bien pu être elles-mêmes
encodées (Rapports N°10 – Mai 1999 et N°35 – Mai 2001).
L’auteur de l’article propose ainsi trois variations d’un scénario simple à mettre en œuvre et dont l’efficacité ne pourra
être mise en doute.
1- Activation via un message piégé
La technique couramment employée pour initialiser l’attaque consiste à transmettre un lien pointant par le biais
d’un message au format HTML, ce message devant être suffisamment attractif pour amener l’utilisateur à
l’actionner. Le lien transmis peut soit conduire immédiatement l’utilisateur sur le site légitime, soit l’amener sur
un site hostile contenant une page piégée. En pratique, lors de l’activation du lien piégé, la requête contenant la
séquence ‘HTML’ destinée à être insérée dans la page en retour sera transmise vers le site légitime avec les
conséquences que l’on connaît.
attaquant
utilisateur
Navigateur
Exécution
Site hostile
Site légitime
1 - Construction du lien piégé
2 - Envoi du lien par courrier
3 - Activation du lien
4 - Demande de la page
5 - Transfert de la page
6 - Exécution du script
2- Vol d’un cookie
Le script exécuté à la suite de la réception de la page dans laquelle la séquence tierce aura été incluse peut
collecter les ‘cookies’ associés au site légitime puis les transférer sur le site hostile. Les mécanismes de sécurité
intégrés dans le navigateur et dans le langage de ‘scripting’ peuvent conduire à devoir ruser afin d’être autorisé
à ouvrir une session vers un site tiers depuis le script. Une fois en possession de l’attaquant, les ‘cookies’
pourront être disséqués et réutilisés.
attaquant
utilisateur
Navigateur
Exécution
Site hostile
Site légitime
7 - Redirect
8 - Transferts des cookies
Page 48/58
Octobre 2002
3- Usurpation d’identité
Ce même script peut aussi engager différentes actions exécutées sur le site légitime sous l’autorité de
l’utilisateur, ce scénario nécessitant cependant une bonne connaissance des fonctionnalités offertes sur le dit site
et par conséquent une étude préalable.
attaquant
utilisateur
Navigateur
Exécution
Site hostile
Site légitime
7 - Engagement d’actions programmées
Le scénario d’attaque le plus intéressant car le plus dévastateur reste cependant celui dans lequel l’attaquant tire profit
d’une faiblesse dans le mécanisme de filtrage d’un quelconque système de stockage de documents: système de
gestion d’archives de messagerie, de forum, … Dans un tel scénario, l’attaquant va transmettre un document
visualisable ultérieurement par tout abonné du service, document contenant une séquence de script. Cette séquence
se déclenchera lors de la lecture de l’archive.
FORUM
attaquant
script
abonnés
Diffusion
script
Archivage
visiteur
Consultation
script
La faiblesse présente dans le système de conversion ‘MhOnArc’, précédemment exposée, convient ainsi à merveille:
un message contenant une telle séquence sera transmis dans un quelconque forum de discussion utilisant ‘MhOnArc’
comme outil de présentation des messages archivés. La
lecture de ce message dans les archives conduira
irrémédiablement à la présentation d’une page HTML contenant le script malicieux…
La méthode employée n’est pas sans rappeler une attaque fort usitée dans les années 80 et tirant parti de la capacité
de mémorisation d’un terminal informatique, ou même d’un Minitel. L’attaquant connecté sur le système envoyait une
commande ‘ANSI’ sur le terminal d’un utilisateur privilégié provoquant la mise en mémoire d’une séquence, une série
de commandes en l’occurrence. Il envoyait ensuite par le même canal, une seconde commande ‘ANSI’ demandant la
restitution de la séquence mémorisée. Cette séquence était interprétée par le système comme ayant été tapée au
clavier par l’utilisateur, et en conséquence, exécutée avec ses droits.
utilisateur
attaquant
Terminal ANSI
Système UNIX
Terminal
1 - Demande de mémorisation d’une séquence
2 - Demande de restitution de la séquence
3 - Envoi de la séquence
Session ‘tty’
de l’utilisateur
4 - Exécution de
la séquence
sous les droits
de l’utilisateur
Session ‘tty’
de l’attaquant
Du point de vue de l’utilisateur, la parade la plus efficace contre ce type d’atteinte consiste à limiter l’autorisation
d’exécution des scripts quels qu’ils soient aux seuls sites de confiance, l’inspection visuelle des liens permettant
généralement - et avec un peu d’habitude - d’identifier le risque. Cette approche devient hélas impraticable lorsqu’il
s’agit d’analyser le contenu d’une page complexe susceptible d’intégrer un script inséré par un tiers.
Page 49/58
Octobre 2002
En ce qui concerne les serveurs WEB, le problème est difficilement solvable car non seulement très lié au contexte
d’utilisation – l’utilisation de scripts et de variables accessibles par l’utilisateur est-elle réellement nécessaire - mais
aussi très dépendant des limitations inhérentes aux mécanismes de filtrage consommateurs de ressources et donc
facteurs de ralentissement.
On notera l’approche préconisée par l’auteur de l’article qui suggère l’utilisation d’une librairie Java dont le rôle sera
d’encoder systématiquement le contenu de toute page HTML avant sa transmission. Le décodage sera
automatiquement effectué par le navigateur sous réserve d’utiliser un encodage remplaçant chaque caractère ISO
8859-1 par son code numérique. Ainsi, la balise ‘<SCRIPT>’ insérée par l’attaquant sera transmise comme la
séquence «&#3C&#53&#43&#52&#49&#50&#54&#3E», le code de chaque caractère étant ici exprimé en base
16 ou hexadécimal.
Le coût de l’opération n’est pas nul puisque le volume de données transmis est multiplié par 4. Une méthode similaire
est utilisée pour encoder les données acquises avant l’insertion de celles-ci dans une requête ‘SQL’ offrant ainsi une
parade contre les atteintes de type ‘injection de code SQL’.
http://www-106.ibm.com/developerworks/security/library/s-csscript/?dwzone=security
http://www.cgisecurity.com/articles/xss-faq.shtml
FLOPPY - HONEYNET SCAN OF THE MONTH
Description
Le défi du mois d’octobre sort de l’ordinaire puisqu’il a pour objectif l’analyse du contenu d’une
disquette dont l’image binaire est fournie. Ce défi est proposé par l’équipe du ‘Digital Forensic
Research Workshop’ ou ‘DFRWS’, une association regroupant plusieurs experts de l’investigation.
Les auteurs du défi nous proposent de se mettre dans la peau d’un investigateur mandaté par les autorités policières
pour examiner le contenu d’un disquette saisie à l’occasion de l’arrestation d’un revendeur de drogue. Nous
soumettons au lecteur le texte du scénario original:
Joe Jacobs, 28, was arrested yesterday on charges of selling illegal drugs to high school students. A local police
officer posed as a high school student was approached by Jacobs in the parking lot of Smith Hill High School.
Jacobs asked the undercover cop if he would like to buy some marijuana. Before the undercover cop could
answer, Jacobs pulled some out of his pocket and showed it to the officer. Jacobs said to the officer "Look at this
stuff, Colombians couldn't grow it better! My supplier not only sells it direct to me, he grows it himself."
Jacobs has been seen on numerous occasions hanging out at various local high school parking lots around
2:30pm, the time school usually ends for the day. School officials from multiple high schools have called the police
regarding Jacobs' presence at their school and noted an increase in drug use among students, since his arrival.
The police need your help. They want to try and determine if Joe Jacobs has been selling drugs to students at
other schools besides Smith Hill. The problem is no students will come forward and help the police. Based on Joe's
comment regarding the Colombians, the police are interested in finding Joe Jacob's supplier/producer of
marijuana.
Jacobs has denied selling drugs at any other school besides Smith Hill and refuses to provide the police with the
name of his drug supplier/producer. Jacobs also refuses to validate the statement that he made to the undercover
officer right before his arrest. Upon issuing a search warrant and searching of the suspect's house the police were
able to obtain a small amount of marijuana. The police also seized a single floppy disk, but no computer and/or
other media was present in the house.
The police have imaged the suspect's floppy disk and have provided you with a copy. They would like you to
examine the floppy disk and provide answers to the following questions. The police would like you to pay special
attention to any information that might prove that Joe Jacobs was in fact selling drugs at other high schools
besides Smith Hill. They would also like you to try and determine if possible who Joe Jacob's supplier is.
Jacob's posted bail set at $10,000.00. Afraid he may skip town, the police would like to get him locked up as soon
as possible. To do so, the police have asked that you have the results fully completed and submitted by October
25, 2002. Please provide the police with a strong case consisting of your specific findings related to the questions,
where the findings are located on the disk, processes and techniques used, and any actions that the suspect may
have taken to intentionally delete, hide and/or alter data on the floppy disk. Good Luck!
Any names, locations, and situations presented are completely made up. Any resemblance to any name, locations
and/or situation is purely coincidence.
L’analyste devra ici répondre aux 6 questions suivantes:
1. Qui est le fournisseur de marijuana de Joe Jacob et quelle est son adresse ?
2. Quelle sont les données présentes dans le fichier ‘coverpage.jpg’ et pourquoi sont-elles importantes ?
3. Quelles sont les collèges autres que Smith Hill fréquentés par Joe Jacob?
4. Pour chaque dossier, quelle a été la technique de dissimulation utilisée ?
5. Quelle méthode avez-vous employé pour examiner le contenu de ces dossiers ?
Question subsidiaire:
6. Quel outil Microsoft a été utilisé pour créer le fichier page de garde et sur quelles bases solides pouvez-vous
appuyer pour le prouver ?
Préparation de l’environnement
Page 50/58
Octobre 2002
La première étape consiste à préparer l’environnement d’analyse sur nos systèmes LINUX et Windows. Nous
profiterons de l’occasion offerte par ce défi pour tester les produits commerciaux ‘Forensic Toolkit’ et ‘WinHex’ dans
leur version de démonstration fonctionnant en environnement Windows™.
L’environnement classique d’investigation constitué de ‘TASK’ et de son indispensable interface graphique ‘Autopsy’
(Rapport N°46 – Mai 2002) sera accessible sur un système LINUX dans l’optique de confronter les résultats obtenus.
Notons à sujet, la mise à disposition fin Septembre d’une nouvelle version de cet environnement, version qui arrive
fort à propos !
Validation de l’image
Le fichier ‘image.zip’ contient l’image exacte de la disquette 3’’1/4 objet de l’analyse. Un rapide contrôle
somme cryptographique ‘MD5’ du fichier ‘.zip’ permet de s’assurer de l’intégrité de la distribution, ici:
C:>\tools\md5 image.zip
B676147F63923E1F428131D59B1D6A72
de la
à comparer avec:
Download:
image.zip MD5 = b676147f63923e1f428131d59b1d6a72 ( image.zip )
L’intégrité de l’archive téléchargée est confirmée – du moins en considérant que la somme de contrôle annoncée sur
celui-ci n’a pas aussi été manipulée.
Caractérisation de l’image
Les auteurs du défi nous annoncent que l’image de la disquette a été produite avec l’utilitaire UNIX ‘dd’. Plusieurs
options peuvent nous permettre de travailler sur la dite ‘image’, le choix final dépendant des caractéristiques des
outils d’investigation employés:
Caractérisation à partir d’une copie de la disquette originale
L’image logique produite avec l’utilitaire ‘dd’ peut être utilisée pour reconstituer une disquette 1.44Mo
indépendamment du système ayant produit celle-ci. Ce même utilitaire pourra être utilisé pour régénérer la
disquette:
# dd
dd if=image of=/dev/fd0
2880+0 records in
2880+0 records out
# mount /dev/fd0 /mnt
# ls –als /mnt
total 25
7 drwxrwxr-x
2 root
root
7168 Jan 1 1970 .
1 drwxr-xr-x
18 root
root
1024 Aug 28 12:19 ..
16 -rwxrwxr-x
1 root
root
15585 Sep 11 08:30 cover page.jpgc___________
1 –rwxrwxr-x
1 root
root
1000 May 24 08:20 schedu~1.exe
En environnement Windows32, l’excellent utilitaire libre ‘NtRawrite’ assurera cette fonction:
C:> ntrawrite
NTRawrite v1.0.1 by Blake Ramsdell <[email protected]>
Please type the image pathname: image
Please type the diskette drive: a:
Please insert a diskette and press any key.
Copying image file image to floppy drive A.
****************************************]
Verifying image file image with floppy drive A.
****************************************]
Completed
C:> dir a:
Volume in drive A has no label.
Volume Serial Number is C4B1-CDCF
Directory of A:\
11/09/2002 08:30
15 585 cover page.jpgc
24/05/2002 08:20
1 000 SCHEDU~1.EXE
2 File(s)
16 585 bytes
0 Dir(s)
1 439 232 bytes free
Caractérisation à partir de l’image de la disquette originale
L’image logique peut aussi être analysée sans avoir à faire appel à une disquette comme support intermédiaire en
s’appuyant sur l’utilitaire ‘file’ pour déterminer le type de système de fichier puis en ‘montant’ celui-ci via
l’interface ‘loop’ en environnement LINUX:
# file
image: x86 boot sector, system MSDOS5.0, FAT (12 bit)
# mount –o loop image /mnt
# ls –als /mnt
total 25
7 drwxrwxr-x
2 root
root
7168 Jan 1 1970 .
1 drwxr-xr-x
18 root
root
1024 Aug 28 12:19 ..
16 -rwxrwxr-x
1 root
root
15585 Sep 11 08:30 cover page.jpgc___________
1 –rwxrwxr-x
1 root
root
1000 May 24 08:20 schedu~1.exe
ou sous Windows en faisant appel à la remarquable application shareware ‘WinImage’, cette dernière autorisant la
Page 51/58
Octobre 2002
visualisation et l’extraction des fichiers contenus dans l’image.
Conclusion
Durant cette première phase, le format du système de fichiers de la disquette a pu être identifié comme étant un
système FAT sans plus de précisions. La caractérisation des deux fichiers présents sur la disquette peut être
effectuée dans un premier avec l’utilitaire UNIX ‘file’, en tenant compte des erreurs inhérentes à la méthode
d’analyse employée par cet utilitaire:
# file /mnt
/mnt/cover page.jpgc
: PC formatted floppy with no filesystem
/mnt/schedu~1.exe:
Zip archive data, at least v2.0 to extract
Le lecteur remarquera immédiatement quelques anomalies dans le résultat: le nom du premier fichier est constitué
de la chaîne ‘cover page.jpgc’ suivie de onze espaces, la détermination du type de fichier étant potentiellement
erronée. Le second fichier est annoncé être une archive au format ‘ZIP’.
Toute tentative de recopie du premier fichier – ou d’extraction - se solde par un échec:
C:> copy a:*.* c:\temp
a:cover page.jpgc
The system cannot find the file specified.
a:SCHEDU~1.EXE
1 file(s) copied.
Enfin, la constitution du nom du second fichier - ‘schedu~1.exe’ - permet d’affirmer que celui-ci a été copié
depuis un système Windows™, le nom ici révélé correspondant au nom ‘8.3’ (8 caractères dans le nom et 3 dans
l’extension) automatiquement généré lors de la copie d’un fichier utilisant un nom long sur un support FAT.
En environnement Windows, il sera nécessaire de faire appel à un outillage spécialisé, aucun équivalent de
l’utilitaire ‘file’ n’étant livré avec le système.
Analyse de l’image
Plusieurs techniques d’analyse approfondie peuvent être utilisées allant de la simple visualisation du contenu du fichier
image jusqu’à l’étude semi-automatisée de sa structure. En pratique, aucune technique n’est à privilégier a priori, le
choix dépendant fortement du contexte de l’investigation, du délai imparti et des outils disponibles sur le lieu de
l’analyse.
Dans le cadre de ce défi et dans un but pédagogique, nous allons utiliser successivement trois techniques.
Utilisation d’un éditeur quelconque
L’utilisation d’un éditeur binaire basique permet d’affiner l’identification en travaillant directement sur l’image de la
disquette. On notera que l’éditeur de texte ‘Wordpad’ généralement livré avec les systèmes Windows peut aussi
faire l’affaire, offrant ainsi un moyen d’analyse directement disponible sur le système cible. En environnement
UNIX, l’éditeur ‘vi’ activé en mode édition binaire (option ‘-b’) pourra être utilisé conjointement à l’utilitaire
‘strings’. L’utilisateur prendra garde à travailler sur une copie du fichier étudié afin de ne pas modifier
involontairement l’original.
En environnement Windows, les deux premières lignes du fichier binaire ‘image’ ouvert à l’aide de ‘Wordpad’
nous confirment qu’il s’agit bien d’une disquette au format FAT12 et annoncée formatée sous MSDOS5.0.
ë< MSDOS5.0______à_@
ð
_______________)ÏÍ±ÄNO NAME
FAT12
3ÉŽÑ¼ð{ŽÙ¸_ ŽÀü½_|8N$}$‹Á™è<_r_ƒë:f¡_|&f;_&ŠWüu_€Ê_ˆV_
Quelques lignes plus loin nous découvrons le texte suivant qui nous révèle le nom du fournisseur de Joe Jacobs.
Page 52/58
Octobre 2002
Jungle
626 Jungle Ave Apt 2
Jungle, NY 11111
Jimmy:
Dude, your pot must be the best – it made the cover of High Times Magazine! Thanks for sending me the Cover
Page. What do you put in your soil when you plant the marijuana seeds? At least I know your growing it and
not some guy in Columbia.
These kids, they tell me marijuana isn’t addictive, but they don’t stop buying from me. Man, I’m sure glad
you told me about targeting the high school students. You must have some experience. It’s like a guaranteed
paycheck. Their parents give them money for lunch and they spend it on my stuff. I’m an entrepreneur. Am I
only one you sell to? Maybe I can become distributor of the year!
I emailed you the schedule that I am using. I think it helps me cover myself and not be predictive. Tell
me what you think. To open it, use the same password that you sent me before with that file. Talk to you
later.
Thanks,
Joe
Puis noyées dans les caractères binaires ici remplacés par le caractère ‘_’, quelques informations sur les outils
utilisés.
_______h_______ä_______
___Jimmy
Jungle__o__________imm________0000_
Ju_________STC_________STC________Normal_u________0000tl_u________9_TC________Microsoft Word 10.0
Et enfin au milieu de toutes les données, un élément pouvant conduire à révéler le mot de passe dont il est
question ainsi que le nom complet du fichier ‘Excel’ contenant probablement l’agenda de Joe Jacob.
Š_ÿÙ_______________________________________________________________pw=goodtimes____________________________
___________________________________________________________________________________________________________
_____________________________________________________________________________PK________˜Z·,ÇU` ê____B______
Scheduled Visits.xls»È1*ãI
Cette analyse purement visuelle nous a permis de deviner le contenu de la disquette: un document ‘Word’ suivi
d’un document ‘Excel’ probablement protégé par le mot de passe ‘goodtimes’ et cela en moins d’une minute. Il
est possible d’aller au-delà dans l’analyse en étudiant notamment le contenu des deux FAT – File Allocation Table
– les structures situées dans les premiers secteurs de la disquette au moyen d’un éditeur hexadécimal et d’une
bonne référence permettant de décoder ces tables.
En pratique, l’effort n’en vaut pas la peine, de très nombreux outils libres ou commerciaux qui automatisent cette
tâche sont disponibles sur le marché dont ‘WinHex’.
Utilisation ‘WinHex’ sous Windows™
Editeur universel, ‘WinHex’ est par excellence l’outil que tout informaticien se doit d’avoir dans sa boite à outil, la
version la plus élaborée coûtant cependant 99€. Pour tirer parti de la fonction d’analyse structurelle du système de
fichiers, ‘WinHex’ devra travailler directement sur le volume physique, donc sur la copie de la disquette.
Les lecteurs ayant quelques souvenirs du
format utilisé sous MS-DOS reconnaîtrons
très certainement le code ‘E5’ présent à
l’offset 2640 sur la première entrée du
répertoire racine.
Ce code est utilisé pour indiquer une
entrée détruite en se substituant au
premier caractère du nom du fichier.
Il sera possible de recouvrer tout ou partie
des éléments détruits, du moins tant que
le système n’a pas réutilisé les zones de
stockage ou clusters affectées à ces
éléments. La probabilité de récupération
dépendra directement de la fréquence de
mise à jour du support.
Comme beaucoup d’autres utilitaires de récupération de données, ‘WinHex’ nous offre la possibilité de reconstruire
les objets détruits.
L’option
‘Recover
Directory’
nous
permet
ainsi
de
reconstruire
les
structures nous permettant d’accéder aux
trois fichiers par leur nom long.
La tentation est forte d’essayer d’ouvrir ces trois fichiers avec les applications associées à l’extension, le risque
restant assez faible dans l’hypothèse où l’analyste utilise un poste sacrifiable et protégé par un anti-virus à jour.
Une rapide inspection visuelle du contenu reste cependant de mise pour confirmer la bonne identification de ces
trois fichiers.
‘cover page.jpgc’:
Page 53/58
Octobre 2002
L’extension ici présentée laisse planer
un doute quant au contenu du fichier,
une image au format ‘JPEG’. La
visualisation du contenu de ce fichier
révèle une succession ininterrompue de
‘F6’, ce code étant employé pour
remplir les zones de données lors de
l’initialisation d’un support magnétique.
Pour une raison non encore expliquée,
cette entrée du répertoire racine pointe
vers une zone de données non allouée.
‘Jimmy Jingle.doc’:
L’étude du contenu de ce fichier révèle
la présence des marqueurs spécifiques à
l’application ‘Word’. Son ouverture
avec cette application nous présente un
texte identique à celui déjà relevé lors
de l’analyse visuelle de l’image.
La lecture des propriétés du document
nous apprend que celui-ci a été écrit le
Lundi 15 Avril 2002 en 19 minutes avec
9 enregistrements intermédiaires et ce,
entre 13h30 et 14h42.
‘Scheduled Visits.exe’:
La présence de la chaîne ‘PK’ en tête du
fichier nous indique qu’il s’agit ici d’un
fichier ‘ZIP’ auto-décompressant. Cette
archive contient le fichier ‘Scheduled
Visits.xls’, un fichier ‘Excel’ si l’on se
réfère à l’extension. L’ouverture du
fichier à l’aide de l’utilitaire ‘WinRar’ se
solde hélas par un échec : l’archive est
incomplète. La fonction ‘Repair Archive’
de ‘WinRar’ nous annonce pouvoir
réparer automatiquement cette archive.
L’ouverture
de
l’archive
après
réparation nous permet d’accéder
comme prévu à un fichier Excel protégé
par un mot de passe.
La tentative d’ouverture de celui-ci avec le mot de passe découvert lors de l’inspection visuelle se solde hélas
par un échec : le mot de passe ‘goodtimes’ est le bon, mais l’intégrité de l’archive n’est pas vérifiée.
L’opération de réparation effectuée via ‘WinRar’ n’a pas fonctionné !
La conclusion s’impose d’elle-même, la singularité rencontrée lors de l’analyse du fichier ‘cover page.jpgc’ n’est
pas le fait du hasard mais bien le résultat d’une volonté de dissimulation par la modification délibéré de 2 entrées
du répertoire: celles référençant les fichiers ‘cover page.jpgc’ et ‘Scheduled Visits.exe’.
Page 54/58
Octobre 2002
L’utilitaire ‘WinHex’ nous offre la possibilité d’obtenir la
cartographie de l’allocation des unités de stockage (ou
clusters). En théorie, sur un support vierge et en
l’absence d’arborescences complexes, les fichiers sont
stockés dans des zones contiguës en respectant l’ordre
de création.
L’analyse menée jusqu’à présent nous permet de
considérer qu’un support quasiment vierge a été utilisé.
Les zones de stockage non référencées contiennent
encore le code de formatage et le répertoire racine n’est
pas encombré d’entrées invalidées.
En conséquence, la sauvegarde des fichiers doit
respecter à quelque chose près l’ordonnancement des
entrées dans ce répertoire. Ainsi, le contenu du fichier
‘cover page.jpgc’ devrait se trouver quelques clusters
après ceux utilisés pour enregistrer le fichier ‘Jimmy
Jungle.doc’. Ce n’est pas le cas, ce fichier étant
annoncé démarrer en cluster ‘420’, c’est à dire en pleine
zone libre.
Une inspection visuelle des secteurs situés après la zone
de stockage du fichier ‘Jimmy Jungle.doc’ fait
apparaître un secteur contenant la signature d’un fichier
‘JPEG’, en cluster 42 exactement, soit 420/10.
Plusieurs méthodes peuvent permettre de révéler ce
fichier : la substitution du numéro du cluster dans
l’entrée du répertoire – 420 est remplacé par 42 – ou
l’utilisation de la fonction d’extraction d’un fichier
proposée par ‘WinHex’, la longueur de celui-ci étant
connue et réputée fiable : 15585 octets.
BOOT
Secteur 0
Secteur 1
FAT N°1
Secteur 0b
FAT N°2
Secteur 19
Secteur 33
Cluster
2
Secteur 73
Secteur 42
Secteur 104
Cluster 73
Secteur 451
Cluster 420
‘Jimmy
Jungle.doc’
‘cover
page.jpgc’
‘scheduled
visits.exe’
‘cover
page.jpgc’
Les deux manipulations s’avèrent fonctionnelles et permettent enfin de
visualiser le fichier ‘cover page.jpgc’. Il nous reste à vérifier que cette
remarquable publicité ne cache rien d’autre que le message accessible
à tous. Une rapide analyse du contenu ne permet pas de mettre en
évidence la présence d’un message caché par un quelconque procédé
de stéganographie. Le message contenu dans le fichier ‘WORD’ indique
pourtant clairement que le mot de passe utilisé pour protéger le fichier
Excel est le même que celui transmis précédemment avec la couverture
du ‘High Times Magazine’.
Thanks for sending me the Cover Page … To open it, use the
same password that you sent me before with that file
Notre erreur nous apparaît finalement évidente : la longueur du fichier
‘cover page.jpgc’ n’est pas un multiple de la taille d’un secteur (ici
512 octets). Le fichier reconstitué ne contient donc pas les 287 octets
résiduels. La visualisation de ceux-ci dans l’image originale révèle le
secret … que nous avions déjà et involontairement découvert.
Nous avons maintenant confirmation
de la validité de l’hypothèse initiale,
ce mot de passe est utilisé pour
protéger l’archive ‘Zip’ qu’il va falloir
maintenant reconstituer.
Les informations en notre disposition
concerne l’emplacement de départ
de ce fichier – cluster 104 - et la
longueur annoncée: 1000 octets.
Ici encore, une rapide inspection
visuelle du contenu des clusters 73
et suivants montre que le fichier
pourrait s’étendre sur 5 clusters,
plus exactement sur 2420 octets.
Cette longueur a été déterminée en
analysant la structure terminale
d’une archive ‘.zip’ connue.
Page 55/58
Octobre 2002
L’extraction du fichier est ici encore réalisée par le biais de la fonction ‘File Retrievial’ proposée par ‘WinHex’.
Nous obtenons alors un fichier archive reconnu valide par l’application
‘WinZip’ et que nous pouvons maintenant ouvrir avec le mot de passe
‘goodtimes’. Ce fichier nous révèle les visites planifiées par Joe Jacob
pour les mois d’avril, mai et juin.
Le lecteur remarquera l’ordonnancement retenu par Joe Jacob, qui
visite ses clients selon un ordre totalement prédictible: [ A, B, C , D, E,
F ], [A, B, C, D, E, F ], …
Les propriétés du fichier nous apprennent que celui-ci a été créé le 23 Mai 2002 par un certain ‘CSTC’ de la société
‘AFRL’. L’identifiant unique associé à l’application Excel utilisée peut être retrouvé en fin de fichier permettant de
confirmer si besoin que ce fichier a été produit sur un système qui aurait par ailleurs été saisi.
Utilisation de TASK sous UNIX
Cet environnement constitué d’une interface HTML (‘autopsy’) et d’un ensemble d’outils spécialisés (‘TASK’) reste
notre environnement de prédilection car instantanément mis en œuvre sur n’importe quel système LINUX à partir
d’un support éventuellement pré configuré sur CDROM (Rapport 46 – Mai 2002).
La procédure d’installation est d’une simplicité extrême : après récupération des deux distributions et extraction
dans un répertoire quelconque, l’utilisateur engagera l’installation par le biais de la commande ‘make’ sous le
répertoire d’accueil du paquetage ‘autopsy’.
Après avoir répondu à quelques
questions concernant l’environnement
puis renseigné le fichier ‘fsmorgue’
avec les paramètres concernant
l’image objet de l’analyse, l’utilisateur
activera le serveur WEB embarqué en
indiquant le numéro de port à utiliser
pour la connexion ainsi que l’adresse
du poste hébergeant le navigateur.
La structure du système de fichier
peut
alors
être
immédiatement
visualisée, mettant en évidence la
présence d’un fichier supprimé.
On remarquera que toutes les
informations concernant les fichiers
sont visualisées sans avoir à activer
une seule fonction ce qui n’est pas le
cas avec ‘WinHex’.
Avec un peu d’habitude, l’utilisateur
apprendra à naviguer dans l’outil afin
d’aller immédiatement à l’essentiel, la
visualisation du contenu des secteurs
attachés à un fichier donné par
exemple.
Certaines fonctions complémentaires
seront accessibles via les options de
configuration des utilitaires accédés
en mode ligne de commande.
Page 56/58
Octobre 2002
Cependant aucune fonction autorisant
l’extraction conditionnelle de données
n’est
proposée
contrairement
à
‘WinHex’. L’utilisateur pourra fort
heureusement écrire assez facilement
un ‘script’ assurant cette fonction en
s’appuyant sur la phénoménale quantité d’outils nativement disponibles en environnement UNIX.
Information de dernière minute: le 10 octobre, une nouvelle version de TASK - la version 1.52 – a été annoncée
alors que nous avions finalisé notre analyse. Cette version autorise désormais l’extraction conditionnelle de
données permettant ainsi que reconstituer les deux fichiers dont les entrées ont été manipulées dans le répertoire.
Thu, 10 Oct 2002
TASK 1.52 and Autopsy 1.62 are now available.
What is New?
- Autopsy has new features that make the Honeynet Scan of the Month a little easier:
- Extract or view any number of consecutive data units (fragments, sectors, clusters etc.).
- The file type (output from 'file') is shown when viewing a data unit.
- Autopsy has a bug fix that caused problems when key word searching a large file (thanks to Michael Stone)
- TASK has a beta version of a new tool: 'sorter'.
- It runs 'file' on every file in the system and sorts them based on type. It either just writes the name to a file or will
save the file.
- It also does extension checking to verify the type corresponds the extension.
Utilisation du ‘Forensic Toolkit’ sous Windows™
Cet outil commercial est destiné à analyser le contenu d’un support physique ou logique (une image mais aussi un
répertoire ou un fichier).
Une
base
de
donnée
contenant les signatures
des applications et fichiers
connus peut être installée
en supplément.
On notera que cette base
intègre
les
signatures
gérées
par
le
NIST
(Rapport 41 – Décembre
2001).
Cet outil s’il s’avère être
très performant sur le plan
de la collecte de preuve
n’autorise hélas ni la
reconstitution de données
ne respectant la structure
du système de fichiers, ni
la modification de ces
mêmes structures.
On notera aussi que le
fichier ‘cover page.jpgc’
n’a pas été identifié.
Cet outil devra donc être
réservé à la collecte de
preuves dans les contextes
ne
requerrant
pas
la
reconstruction de données.
Réponse aux questions
Arrivé à ce niveau de l’analyse, nous disposons de tous les éléments permettant de répondre aux 5 questions:
1.
2.
3.
Qui est le fournisseur de marijuana de Joe Jacob et quelle est son adresse?
Le fichier ‘Jimmy Jungle’ nous donne pour adresse :
Jimmy Jungle
626 Jungle Ave Apt 2
Jungle, NY 11111
Quelle sont les données présentes dans le fichier ‘coverpage.jpg’ et pourquoi sont-elles importantes ?
Le fichier ‘cover page.jpgc’ contient le mot de passe utilisé pour protéger l’accès la feuille ‘excel’ contenant la
planification des prochaines visites de Joe Jacob. Ce mot de passe est situé dans une zone terminale ne
contenant aucune donnée utiles.
Quelles sont les collèges autres que Smith Hill que Joe Jacobs fréquente ?
L’agenda de Joe Jacob nous apprends qu’il ‘démarche’ 6 collèges dont le collège ‘Smith Hill’.
Page 57/58
Octobre 2002
4.
5.
6.
A- Smith Hill High School
B- Key High School
C- Leetch High School
D- Birard High School
E- Richter High School
F- Hull High School
Pour chaque dossier, quelle a été la technique de dissimulation utilisée ?
a) Le contenu du fichier ‘Jimmy Jungle.doc’ a été protégé en positionnant le flag indiquant un fichier détruit
dans le répertoire racine – probablement par simple destruction du fichier - et en manipulant diverses
informations dans la zone réservée au stockage du nom long.
b) Le contenu du fichier ‘cover page.jpgc’ a été protégé en modifiant la référence du premier cluster de
donnée et en manipulant diverses informations dans la zone réservée au stockage du nom long.
c) Le contenu du fichier ‘Scheduled Visits.exe’ a été protégé en altérant simplement la longueur réelle de
celui-ci dans le répertoire racine.
Quelle méthode avez-vous employé pour examiner le contenu de ces dossiers ?
Se reporter à l’analyse précédente.
Quel outil Microsoft a été utilisé pour créer le fichier page de garde et sur quelles bases solides pouvez-vous
appuyer pour le prouver ?
Nous devons avouer n’avoir trouvé aucun indice permettant d’identifier l’application utilisée et ce malgré la
lecture des spécifications du standard JPEG.
Conclusion
Annoncé d’un niveau ‘DEBUTANTà MOYEN’, le défi proposé ce mois-ci fait appel à une bonne connaissance du
format du système de fichier FAT utilisé par MSDOS puis Windows. Cette exigence conduit à devoir utiliser de
préférence les outils conçus pour fonctionner dans ce contexte, et notamment ‘WinHex’ qui sort grand vainqueur du
comparatif. On notera cependant la bonne performance de ‘TASK’, la souplesse de l’environnement UNIX venant au
secours de l’investigateur. Dans le cas présent, il est fort probable qu’un outil du type ‘éditeur de disque’ – le bon
vieux ‘Norton Disk Doctor’ pour ne citer que lui - aurait permis d’aller très rapidement à l’essentiel en autorisant la
modification au vol de la structure de la FAT et du répertoire racine.
Pour conclure, nous ferons remarquer que la méthode de dissimulation retenue par ‘Joe Jacob’ est absolument
illusoire et complexe à souhait, celui-ci devant disposer d’un utilitaire dédié pour révéler et accéder à ses données.
L’utilisation d’un système de fichier chiffrant, ou plus simplement d’un utilitaire de chiffrement de fichiers bien conçu
aurait rendu la tâche d’analyse quasiment impossible … mais le défi n’aurait pu être relevé …
http://project.honeynet.org/scans/scan24/
http://www.accessdata.com/Product04_Overview.htm?ProductNum=04
http://www.sf-soft.de/winhex/index-m.html
http://www.atstake.com/research/tools/task/index.html
http://www.atstake.com/research/tools/autopsy/
Page 58/58