S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 04 février 2005
N° CERTA-2005-ACT-005
Affaire suivie par: CERT-FR
le 04 février 2005

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité N˚2005-05

Gestion du document

Référence CERTA-2005-ACT-005
Titre Bulletin d’actualité N˚2005-05
Date de la première version 04 février 2005
Date de la dernière version 04 février 2005
Source(s) Aucune
Pièce(s) jointe(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Activité en cours

Le tableau 3 montre les rejets que nous avons constatés sur trois dispositifs de filtrage, entre le 20 et le 27 janvier 2005. Le ver exploitant les mots de passe faibles sous MySQL (port 3306/tcp) n’a pas engendré énormément de trafic réseau. Il est le deuxième à exploiter des comptes mal protégés, et il est possible que d’autres vers de ce type s’attaquent à d’autres services, comme telnet (port 23/tcp), pop3 (port 110/tcp), etc. Il est donc important de s’assurer que des mots de passe sont utilisés pour les services réseau nécessitant une authentification.

Le 27 janvier 2005, le CERTA a publié un bulletin de sécurité concernant une faille dans l’outil awstats. Awstats est un outil d’analyse de fichiers journaux et de génération de statistiques pour les serveurs web, FTP ou mail. La tentative d’exploitation de cette vulnérabilité par les pirates a été observée. C’est pourquoi le CERTA vous demande dans un premier temps d’appliquer le correctif de sécurité le plus rapidement possible et dans un second temps de remonter au CERTA toute tentative observée. La commande suivante appliquée aux fichiers de journalisation Apache permet d’extraire les lignes relatives aux tentatives d’attaques :

cat access_log |grep -i « configdir=| »

2 Rappel sur les canulars par messagerie (Hoax)

Le nombre de hoax circulant encore sur la messagerie aujourd’hui a poussé le CERTA à faire un rappel sur les canulars de messagerie et les menaces que cela peut entraîner pour le système d’information.

Un hoax est un message electronique contenant une rumeur ou une fausse information destinée à faire exécuter une ou plusieurs actions à l’utilisateur dont l’action de renvoyer le message à un plus grand nombre de personnes possibles. Dans certains cas l’information propagée peut entraîner un déni de service du système de l’utilisateur en l’incitant à effectuer des actions destructrices sur son propre système et dans tous les cas un hoax aura pour effet de surcharger votre réseau voire même de réaliser un déni de service sur votre messagerie.

Même s’il existe des sites d’information destinés à repérer ces hoax, le CERTA recommande aux utilisateurs de la messagerie electronique de ne pas retransmettre les messages sans une certaine objectivité. Pour plus d’information sur les canulars de messageries il est conseillé de lire la note d’information CERTA-2000-INF-005 diffusée en 2000 et toujours d’actualité disponible à l’adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2000-INF-005

3 Rappel des avis et des mises à jour émis

Durant la période du 24 au 28 janvier 2005, le CERTA a émis l’avis suivant :

  • CERTA-2005-AVI-022 : Vulnérabilité de Ethereal
  • CERTA-2005-AVI-023 : Multiples vulnérabilités du noyau Linux
  • CERTA-2005-AVI-024 : Vulnérabilité de Veritas Backup Exec
  • CERTA-2005-AVI-025 : Correctif de sécurité cumulatif pour les produits Oracle
  • CERTA-2005-AVI-026 : Vulnérabilité des points d’accès 3Com OfficeConnect Wireless 11g
  • CERTA-2005-AVI-027 : Vulnérabilité de Konversation
  • CERTA-2005-AVI-028 : Failles dans les greffons Java de Sun
  • CERTA-2005-AVI-029 : Vulnérabilité du système d’exploitation Cisco IOS
  • CERTA-2005-AVI-030 : Vulnérabilités dans le traitement des paquets BGP par Cisco IOS
  • CERTA-2005-AVI-031 : Vulnérabilité les routeurs Cisco supportant MPLS
  • CERTA-2005-AVI-032 : Vulnérabilité IPv6 dans Cisco IOS
  • CERTA-2005-AVI-033 : Vulnérabilité des serveurs DNS BIND
  • CERTA-2005-AVI-034 : Multiples vulnérabilités dans Mac OS X
  • CERTA-2005-AVI-035 : Vulnérabilité de AWStats
  • CERTA-2005-AVI-036 : Vulnérabilité dans WinAMP

Pendant cette même période, les mises à jour suivantes ont été publiées :

  • CERTA-2004-AVI-405-003 : Multiples vulnérabilités de PHP

    (ajout référence au bulletin de sécurité Red Hat)

  • CERTA-2004-AVI-411-003 : Vulnérabilité de MIT Kerberos 5

    (ajout référence au bulletin de sécurité RedHat RHSA-2005-012)

  • CERTA-2005-AVI-019-019 : Vulnérabilité dans Xpdf

    (ajout des autres applications vulnérables et des références aux bulletins de sécurité Fedora et KDE)

  • CERTA-2004-AVI-373-002 : Vulnérabilité de unarj

    (ajout de la référence au bulletin de sécurité Debian)

  • CERTA-2005-AVI-004-002 : Vulnérabilité dans Xine

    (ajout référence au bulletin de sécurité Mandrake MDKSA-2005:011)

  • CERTA-2005-AVI-022-001 : Vulnérabilité de Ethereal

    (ajout des références aux bulletins de sécurité Mandrake et NetBSD)

  • CERTA-2005-AVI-027-001 : Vulnérabilité de Konversation

    (ajout de la référence au bulletin de sécurité Gentoo)

  • CERTA-2005-AVI-017-001 : CUPS : vulnérabilité dans l’impression de certains documents PDF

    (ajout de la référence au bulletin de sécurité Mandrakelinux)

  • CERTA-2005-AVI-019-002 : Vulnérabilité dans Xpdf

    (ajout des références aux bulletins de sécurité Mandrake)

Gestion détaillée du document

    le 04 février 2005
    version initiale.