Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2011-ACT-033

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 19 août 2011
No CERTA-2011-ACT-033

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2011-33


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-033

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-033.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-033/

1 Mise à jour des produits Mozilla

Cette semaine, Mozilla a publié un nombre important de mises à jour pour Firefox, Thunderbird et SeaMonkey. Certaines de ces mises à jour concernent des vulnérabilités jugées critiques par l'éditeur. Elles permettent notamment à une personne malintentionée d'exécuter du code arbitraire à distance. Le CERTA recommande de mettre à jour l'ensemble des produits concernés dans les plus brefs délais.

Documentation

2 Fin du support ISC DHCP 3.1

Comme indiqué dans le bulletin de sécurité ISC du 10 août 2011 (avis CERTA-2011-AVI-452), le support de la version 3.1-ESV de ISC HCP arrive à son terme.

Le CERTA recommande donc aux utilisateurs des versions 3.x de planifier le passage en version 4 de ISC DHCP dès que possible.

Documentation

3 Ordiphones et sécurité : le juicejacking

Lors de la conférence Defcon qui s'est tenue du 4 au 7 août 2011 à Las Vegas, les chercheurs en sécurité informatique Brian Markus, Joseph Mlodzianowski et Robert Rowley ont mené une expérience grandeur nature afin de démontrer la faisabilité d'une nouvelle attaque visant les ordiphones : le juicejacking.

Ces trois chercheurs ont installé sur le site de la conférence une borne en libre service permettant de recharger un ordiphone. Les bornes de ce type sont en règle générale installées dans les gares, les aéroports ou tout autre lieu ouvert au public.

Cependant, la borne installée était quelque peu différente des bornes classiques. En effet, au lieu de simplement délivrer de l'énergie afin de recharger l'ordiphone, elle essayait aussi d'établir une connexion vers ce dernier. Ce type de connexion est possible car les ordiphones utilisent souvent un seul et même port pour le rechargement et le transfert de données (mini-usb ou autre). Les chercheurs ont ainsi pu confirmer leur soupçons : la plupart des appareils mobiles qui ont été connectés étaient configurés pour accepter automatiquement les connexions sur ce port.

Il devenait alors possible d'accéder aux données contenues sur le téléphone. Bien entendu, dans certains cas l'accès à ces données était limité voire bloqué. Cependant, il convient de prendre en compte ce type de menace lors de la connexion de son ordiphone sur un équipement non maîtrisé.

Il est possible de se prémunir de ce type d'attaques. En effet, certains téléphones permettent de bloquer toute connexion sur le port de communication ou bien peuvent être configurés pour demander une confirmation avant l'établissement de une connexion. Cependant, si ces options ne sont pas disponibles, il reste toujours possible de se connecter à ces bornes grâce à un cable usb ne transférant que l'énergie et pas les données, bloquant de fait toute connexion extérieure. Bien entendu, la meilleure des solutions reste tout de même de n'utiliser que son chargeur secteur personnel.

Documentation


4 Rappel des avis émis

Dans la période du 12 août au 18 août 2011, le CERTA a émis les publications suivantes :
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-453/index.htmlCERTA-2011-AVI-453 : Vulnérabilités dans McAfee SaaS Endpoint Protection
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-454/index.htmlCERTA-2011-AVI-454 : Vulnérabilités dans Apache Tomcat
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-455/index.htmlCERTA-2011-AVI-455 : Vulnérabilités dans Symantec Veritas Enterprise Administrator
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-456/index.htmlCERTA-2011-AVI-456 : Vulnérabilité dans CA ARCserve D2D
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-457/index.htmlCERTA-2011-AVI-457 : Vulnérabilités dans différents produits Mozilla
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-458/index.htmlCERTA-2011-AVI-458 : Multiples vulnérabilités dans RealPlayer
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-459/index.htmlCERTA-2011-AVI-459 : Multiples vulnérabilités dans Ruby on Rails

Durant la même période, les publications suivantes ont été mises à jour :

  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-429/index.htmlCERTA-2011-AVI-429-001 : Vulnérabilités dans Apple QuickTime (ajout de références CVE)
  • http://www.certa.ssi.gouv.fr/site/CERTA-2011-AVI-452/index.htmlCERTA-2011-AVI-452-001 : Vulnérabilités dans ISC DHCP (ajout des références aux bulletins Debian, Red Hat et Ubuntu)


Liste des tableaux

Gestion détaillée du document

19 août 2011
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2014-07-25