Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2011-ACT-027

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 08 juillet 2011
No CERTA-2011-ACT-027

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2011-27


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-027

Gestion du document


Tableau 1: Gestion du document
Référence CERTA-2011-ACT-027
Titre Bulletin d'actualité 2011-27
Date de la première version 08 juillet 2011
Date de la dernière version -
Source(s) -
Pièce(s) jointe(s) Aucune

Une gestion de version détaillée se trouve à la fin de ce document.

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-027.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-027/

1 Alerte du CERTA concernant des vulnérabilités dans Apple iOS

Cette semaine, le CERTA a émis une alerte car deux vulnérabilités dans Apple iOS ont été publiées et sont actuellement exploitées.

Utilisées pour débloquer (jailbreaker) les iPhones, iPads ou iPods, elles peuvent cependant être également employées à des fins malveillantes. En effet, l'exploitation réussie de ces deux vulnérabilités permet d'exécuter du code arbitraire à distance avec des privilèges élevés, donnant ainsi à l'attaquant le contrôle total de l'appareil.

Les deux vulnérabilités sont similaires à celles découvertes en août 2010 (voir avis CERTA CERTA-2010-380) et peuvent être exploitées au moyen d'un document PDF spécialement conçu. Le CERTA recommande donc la plus grande prudence lors de la navigation et l'utilisation de liens sur des sites, courriels et MMS.

Le CERTA recommande de ne pas procéder au déblocage de son appareil, celui-ci brisant le modèle de sécurité mis en place. De même, l'installation d'applications dont l'origine est peu contrôlée n'est pas recommandée.

Enfin, une vigilance particulière doit être apportée par les responsables de la sécurité informatique quant à l'utilisation de ces appareils dans leur système d'information et à sensibiliser les utilisateurs à l'importance de ne pas traiter d'informations sensibles dessus. S'il s'agit d'appareils professsionnels, les limites d'utilisation doivent être établies.

Documentation

2 Compromission de vsftpd

Cette semaine, une compromission des sources du serveur vsftpd a été mise au jour. En effet, il est apparu que la version 2.3.4 du serveur FTP vsftpd disponible sur le serveur principal du projet comportait une porte dérobée. La compromission a pu être détectée simplement en vérifiant la signature GPG de l'archive contenant les sources. En effet la signature calculée à partir de l'archive .tar.gz ne correspondait pas au contenu du fichier .asc disponible sur le serveur du projet ou sur les autres miroirs.

Par ailleurs, la porte dérobée n'était pas réellement discrète et a donc pu être rapidement identifiée dans le code source.

Recommandations :

Dans l'hypothèse où vous auriez utilisé les sources de vsftpd version 2.3.4 récemment pour déployer un serveur FTP, il convient de calculer sans délais la signature de l'archive téléchargée et de la comparer avec la signature disponible sur le site de vsftpd afin de vous assurer que vous n'utilisez pas la version compromise.

De manière générale et quand cela est possible, il convient de vérifier la signature des logiciels téléchargés sur l'Internet. Ceci ne constitue pas une garantie absolue puisque les signatures ont pu, elles aussi, être altérées mais elles permettent au moins une première vérification.

3 Vulnérabilité dans Bind

Cette semaine, le CERTA a publié l'avis CERTA-2011-AVI-381 relatif à deux vulnérabilités présentes dans le serveur DNS Bind. Son éditeur ISC qualifie lui-même la première faille (CVE-2011-2464) de sérieuse et invite les utilisateurs du produit à le mettre à jour dans les plus brefs délais. En effet, cette vulnérabilité touche de nombreuses versions réparties dans les branches 9.6, 9.7 et 9.8 de Bind. Par ailleurs, un seul paquet suffit à un éventuel attaquant distant pour provoquer un arrêt inopiné du service named. Plusieurs distributions ou fournisseurs de systèmes d'exploitation, comme FreeBSD, Debian ou Ubuntu, ont déjà publié une version corrigeant le problème.

Recommandations :

Dans la mesure où le service de nommage DNS constitue un élément critique du système d'information ; si celui-ci s'appuie sur Bind, il conviendra de mettre à jour dès la publication du correctif pour votre plate-forme.

4 Filtrage Google sur des domaines malveillants

Depuis quelque temps, Google n'affiche plus, lors du résultat d'une recherche, des sites appartenant à certains sous-domaines, pour cause d'hébergement de codes malveillants. Le but est d'éviter que les internautes aillent sur un site malveillant après une recherche sur un sujet porteur (par exemple, la mort d'une personne, une catastrophe naturelle, etc.). Il y a quelques semaines, les sites du sous-domaine cz.cc ont ainsi été purgés des recherches. C'est désormais au tour de co.cc de faire l'objet d'un déréférencement de la part de Google.

Cette politique de filtrage n'a qu'une efficacité relative. Elle n'empêche pas les internautes de suivre des liens, et donc de se rendre malgré tout sur des sites malveillants. De plus, les attaquants changent les noms de domaine utilisés, ce qui ne fait que déplacer le problème. Enfin, elle est réellement pénalisante pour ceux possédant un site légitime dans ces sous-domaines.

La politique de filtrage mise en place par Google n'est pas clairement définie. Il pourrait donc être possible de provoquer un déréférencement du moteur de recherche Google en déployant un grand nombre de codes malveillants, après une intrusion par exemple.

Documentation :


5 Rappel des avis émis

Dans la période du 01 au 07 juillet 2011, le CERTA a émis les avis suivants :

  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-ALE-004/index.htmlCERTA-2011-ALE-004 : Vulnérabilités dans Apple iOS
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-376/index.htmlCERTA-2011-AVI-376 : Vulnérabilités dans Opera
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-377/index.htmlCERTA-2011-AVI-377 : Vulnérabilité dans Zope et Plone
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-378/index.htmlCERTA-2011-AVI-378 : Vulnérabilité dans Drupal
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-379/index.htmlCERTA-2011-AVI-379 : Vulnérabilité dans WordPress
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-380/index.htmlCERTA-2011-AVI-380 : Multiples vulnérabilités dans phpMyAdmin
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-381/index.htmlCERTA-2011-AVI-381 : Multiples vulnérabilités dans Bind
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-382/index.htmlCERTA-2011-AVI-382 : Vulnérabilité dans Cisco Content Services Gateway
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-383/index.htmlCERTA-2011-AVI-383 : Vulnérabilité dans Qemu


Liste des tableaux

Gestion détaillée du document

08 juillet 2011
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2014-10-23