Marianne ANSSI

CERT-FR

Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques

logo ANSSI
Informations utiles

Que faire en cas d'intrusion ?

Les systèmes obsolètes

Liens utiles

 

L'ANSSI recrute

 

 

Les documents du CERT-FR

Publications récentes

Les alertes en cours

Les bulletins d'actualité

Les notes d'information

Année en cours Archive

 

Les Flux RSS du CERT-FR

Flux RSS complet

RSS

Flux RSS des alertes

RSS

Flux RSS SCADA

RSS

 

CERTA-2011-ACT-045

Imprimer ce document

Version PDF

À propos du CERT-FR

Le CERT-FR

Nous contacter

Contact us ( Drapeau anglais )

A propos du site

Communauté CSIRT

Les CSIRT

Le FIRST

L'EGC

 
Archives du CERT-FR

Année 2014 Archive

Année 2013 Archive

Année 2012 Archive

Année 2011 Archive

Année 2010 Archive

Année 2009 Archive

Année 2008 Archive

Année 2007 Archive

Année 2006 Archive

Année 2005 Archive

Année 2004 Archive

Année 2003 Archive

Année 2002 Archive

Année 2001 Archive

Année 2000 Archive

 

S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information

République Française Paris, le 10 novembre 2011
No CERTA-2011-ACT-045

Affaire suivie par :

CERTA

Objet : Bulletin d'actualité 2011-45


Conditions d'utilisation de ce document : http://www.certa.ssi.gouv.fr/certa/apropos.html
Dernière version de ce document : http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-045

Gestion du document

Le bulletin d'actualité est disponible dans son intégralité et au format PDF à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-045.pdf

Un extrait du bulletin, ne reprenant que les articles de la semaine, se trouve en HTML à l'adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2011-ACT-045/

1 Outils d'injection SQL automatique

Le CERTA constate de nombreuses tentatives et des réussites dans les attaques par injection SQL. Cet article présente le principe des outils et des motifs permettant de déceler ces attaques et ces tentatives.

1.1 Principe d'une injection SQL

Le langage SQL (Structured Query Language) est un langage utilisé pour manipuler les bases de données. Le principe est d'envoyer une requête SQL à un système de gestion de base de données (SGBD), ce qui permet d'extraire, d'ajouter, de modifier ou de supprimer des données dans la base de données.

Une application web, comme un serveur web doté d'un interpréteur PHP, utilise parfois une base de données pour fonctionner. Lorsque la manipulation de la base de données est effectuée à l'aide d'une requête SQL construite avec des données entrées par un utilisateur et que ces données ne sont pas vérifiées correctement, l'application web est potentiellement vulnérable à une attaque de type injection SQL.

Une attaque de type injection SQL consiste à fournir en paramètre d'une requête HTTP des données qui, une fois intégrées dans la requête SQL, seront interprétées par le SGBD et auront pour conséquence de construire une requête malveillante. La requête SQL aura ainsi, sur la base de données, un effet autre que celui attendu par l'auteur de l'application web.

Une telle faille peut être exploitée à plusieurs fins dont voici une liste non exhaustive :

  • extraction, ajout, modification, suppression d'informations dans la base de données ;
  • exécution de code arbitraire à distance ;
  • élévation de privilèges ;
  • lecture de fichiers.

1.2 Outils automatisant l'exploitation d'une injection SQL

De nombreux sites sont la cible d'outils cherchant à exploiter de façon automatique des vulnérabilités de type injection SQL. L'utilisation la plus simple de ce type d'outil consiste généralement à entrer une URI vulnérable et laisser le programme trouver comment l'exploiter en laissant les paramètres par défaut. Cependant, pour des cas moins évident à exploiter, il est souvent possible de paramétrer l'outil manuellement.

Détection d'un scan d'un outil d'injection SQL automatique

Il existe quelques moyens simples pour tenter de déterminer si un site a été la cible d'un outil d'injection SQL automatique. Ainsi en inspectant les journaux d'un serveur web, certaines caractéristiques peuvent alerter :

  • certains outils, avec les paramètres par défaut, ajoutent une valeur spécifique dans l'en-tête HTTP User-Agent : ;
  • un nombre de requêtes HTTP par seconde anormalement élevé venant d'une même source ;
  • des variables entrées par les utilisateurs prenant des valeurs suspectes (les journaux d'un serveur web enregistrent souvent l'URI demandée par l'utilisateur où, dans le cas d'une requête GET, des variables entrées par les utilisateurs apparaissent).

Voici un format typique d'une ligne suspecte apparaissant dans un journal de serveur web :

<ip_source> - - <date_et_heure> "GET /uri/vulnerable.php?Submit=Submit&id=
999999.9%27+union+all+select+<...>2C0x31303235343830303536+and+%27x%27%3D%27x 
HTTP/1.1" 200 4567 "-" <User-Agent_suspect>

Ici deux caractéristiques peuvent attirer notre attention :

  • la variable id possède une valeur suspecte, où l'on voit notamment des commandes SQL (union, select, etc.) ;
  • le User Agent a un nom caractérisant un outil d'injection SQL automatique.

1.3 Documentation

2 Mise à jour Microsoft du mois de novembre et alerte

Cette semaine, Microsoft a publié quatre bulletins de sécurité pour ses produits. Parmi ces bulletins, deux traitent de vulnérabilités permettant de l'exécution de code arbitraire à distance. Une vulnérabilité dans la pile TCP/IP de Windows est considérée comme critique.

Il est important de noter qu'aucun de ces bulletins ne corrige la vulnérabilité mentionnée dans l'alerte CERTA-2011-ALE-006 publiée la semaine dernière. Le CERTA recommande donc le maintien du contournement provisoire, proposé par Microsoft, en attendant que cette vulnérabilité soit corrigée ; sous réserve de test avant déploiement.

Documentation

3 Sortie de la version 8 de Firefox

La nouvelle version du navigateur Web de la fondation Mozilla a été publiée le 08 novembre 2011. Elle apporte un certain nombre d'améliorations au niveau de la sécurité ainsi que différents correctifs.

Parmi les vulnérabilités corrigées, certaines, jugées critiques par l'éditeur, autorisent une exécution de code arbitraire à distance. Il est donc important d'effectuer la migration vers cette nouvelle version au plus vite.

La gestion des modules complémentaires (add-ons) a, elle aussi, été revue. Tout module de ce type ayant été installé par des programmes tiers est désormais désactivé jusqu'à la validation explicite de l'installation par l'utilisateur. Une fenêtre permettant la désactivation des modules déjà installés est aussi présentée à l'utilisateur lors de la mise à jour. Ces différentes mesures devraient permettre une meilleure gestion des add-ons par les utilisateurs et notamment empêcher l'installation d'extensions non désirées.

Documentation


4 Rappel des avis émis

Dans la période du 04 au 10 novembre 2011, le CERTA a émis les publications suivantes :

  • CERTA-2011-AVI-613 : Vulnérabilité dans les produits Cisco Small Business SRP500 Series
  • CERTA-2011-AVI-614 : Vulnérabilité dans Novell Messenger
  • CERTA-2011-AVI-615 : Vulnérabilité dans Squid
  • CERTA-2011-AVI-616 : Vulnérabilités dans IBM AIX Bind
  • CERTA-2011-AVI-617 : Vulnérabilité dans EMC Documentum eRoom
  • CERTA-2011-AVI-618 : Vulnérabilités dans HP OpenView Network Node Manager
  • CERTA-2011-AVI-619 : Vulnérabilité dans Juniper
  • CERTA-2011-AVI-620 : Vulnérabilité dans RSA Key Manager Appliance
  • CERTA-2011-AVI-621 : Vulnérabilité dans la pile TCP/IP de Windows
  • CERTA-2011-AVI-622 : Vulnérabilité dans Microsoft Windows
  • CERTA-2011-AVI-623 : Vulnérabilité dans Windows Mail et l'espace de collaboration Windows
  • CERTA-2011-AVI-624 : Vulnérabilité dans Microsoft Active Directory
  • CERTA-2011-AVI-625 : Multiples vulnérabilités dans Adobe Shockwave Player
  • CERTA-2011-AVI-626 : Multiples vulnérabilités dans les produits Mozilla

Durant la même période, les publications suivantes ont été mises à jour :

  • CERTA-2011-ALE-006-002 : Exploitation d'une vulnérabilité dans la gestion des polices TrueType sur Windows (ajout de la référence CVE)

Gestion détaillée du document

10 novembre 2011
version initiale.


CERTA
2014-01-17
Premier Ministre / Secrétariat Général de la Défense et de la Sécurité Nationale / Agence nationale de la sécurité des systèmes d'information webmestre Dernière mise à jour : le 2014-08-01