S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 11 février 2005
N° CERTA-2005-ACT-006
Affaire suivie par: CERT-FR
le 11 février 2005

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité N˚2005-06

Gestion du document

Référence CERTA-2005-ACT-006
Titre Bulletin d’actualité N˚2005-06
Date de la première version 11 février 2005
Date de la dernière version 11 février 2005
Source(s) Aucune
Pièce(s) jointe(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Activité en cours

Le tableau 3 montre les rejets pour les ports sous surveillance que nous avons constatés sur trois dispositifs de filtrage, entre le 27 janvier et le 03 février 2005.

Un de nos correspondants nous a signalés qu’au moins une machine de son réseau a tenté de télécharger un fichier exécutable à maintes reprises. L’utilisation d’un antivirus à jour sur le poste concerné a permis de mettre en évidence un cheval de Troie de type downloader (code malicieux effectuant de multiples téléchargements de fichiers).

2 Correctifs de Microsoft

Microsoft a publié cette semaine douze correctifs. Beaucoup d’entre eux concernent des failles applicatives sur le poste client (CERTA-2005-AVI-050, 052, 053, 054, 056, 058, 059, 060). La plupart des vulnérabilités indiquées dans ces avis peuvent être exploitées en incitant l’utilisateur à visualiser un site web en cliquant sur un lien.

Une des vulnérabilités concerne le traitement des images au format PNG (Portable Network Graphics). L’outil de messagerie instantanée MSN messenger est affecté par cette cette vulnérabilité. Un petit programme permettant de façonner un fichier PNG mal formé dans le but d’exploiter la vulnérabilité sous MSN messenger a été rendu public.

Il est extrêmement important d’appliquer ces correctifs dans les plus brefs délais, notamment parce que le pare-feu ne protégera pas les utilisateurs dans le cas des failles applicatives (le flux est légitime).

Le tableau 2 a été mis à jour pour prendre en compte l’avis CERTA-2005-AVI-051. Pour la vulnérabilité décrite dans cet avis, les tentatives d’exploitation sont visibles au niveau du pare-feu (accès non sollicité au port 445/tcp de la machine).

3 Propagation d’un faux message du MRAP

Le CERTA a été informé de la propagation d’un faux message du MRAP à caractère diffamatoire. Nous vous rappelons qu’avant de prendre toute mesure concernant ce type de messages (en bloquant l’adresse de messagerie de l’expéditeur par exemple), nous vous invitons à vérifier dans l’en-tête complet l’adresse IP qui a réellement émis le message, et à prendre contact avec le CERTA.

4 Rappel des avis et des mises à jour émis

Durant la période du 31 janvier au 04 février 2005, le CERTA a émis l’avis suivant :

  • CERTA-2005-AVI-037 : Vulnérabilité de Evolution
  • CERTA-2005-AVI-038 : Multiples vulnérabilités dans SquirrelMail
  • CERTA-2005-AVI-039 : Vulnérabilité dans BlackBerry Enterprise Server
  • CERTA-2005-AVI-040 : Vulnérabilité de ncpfs
  • CERTA-2005-AVI-041 : Vulnérabilité de mailman
  • CERTA-2005-AVI-042 : Multiples vulnérabilités dans Squid
  • CERTA-2005-AVI-043 : Vulnérabilité sur Juniper
  • CERTA-2005-AVI-044 : Vulnérabilité de ClamAV
  • CERTA-2005-AVI-045 : Vulnérabilité de Eudora
  • CERTA-2005-AVI-046 : Vulnérabilité de Perl
  • CERTA-2005-AVI-047 : Vulnérabilité des équipements IP/VC de Cisco
  • CERTA-2005-AVI-048 : Vulnérabilité dans UW-Imapd

Pendant cette même période, les mises à jour suivantes ont été publiées :

  • CERTA-2005-AVI-033-001 : Vulnérabilité des serveurs DNS BIND

    (ajout de la référence CVE et des références aux bulletins de sécurité Mandrake et NetBSD)

  • CERTA-2005-AVI-020-002 : Vulnérabilité de ImageMagick

    (ajout de la référence au second bulletin de sécurité Gentoo et au bulletin de sécurité NetBSD)

  • CERTA-2005-AVI-014-002 : Multiples vulnérabilités dans Exim

    (ajout des références à un second bulletin Debian, aux bulletins de sécurité OpenBSD, FreeBSD et NetBSD, et de la note de vulnérabilité de l’US-CERT)

  • CERTA-2005-AVI-019-003 : Vulnérabilité dans Xpdf

    (ajout de la référence au bulletin de sécurité RedHat)

  • CERTA-2005-AVI-038-001 : Multiples vulnérabilités dans SquirrelMail

    (ajout de la référence au bulletin de sécurité Debian DSA-662 et de la référence CVE CAN-2005-0152)

  • CERTA-2005-AVI-019-004 : Vulnérabilité dans Xpdf

    (ajout des références aux bulletins de sécurité RedHat RHSA-2005:049, Debian DSA-645 et Debian DSA-648)

  • CERTA-2005-AVI-038-002 : Multiples vulnérabilités dans SquirrelMail

    (ajout de la référence au bulletin de sécurité Gentoo GLSA 200501-39)

  • CERTA-2005-AVI-040-001 : Vulnérabilité de ncpfs

    (ajout de la référence au bulletin de sécurité Mandrake MDKSA-2005:028)

  • CERTA-2005-AVI-022-002 : Vulnérabilité de Ethereal

    (ajout de la référence au bulletin de sécurité RedHat RHSA-2005:011)

  • CERTA-2005-AVI-042-001 : Multiples vulnérabilités dans Squid

    (mise à jour des vulnérabilités, ajout des références aux bulletins de sécurité OpenBSD, NetBSD, Gentoo et des références CVE CAN-2005-096, 097, 0173, 0174, 0175)

  • CERTA-2004-AVI-402-007 : Vulnérabilité de Samba

    (ajout références aux bulletins de sécurité HP HPSBUX01115 et Sun #57730)

  • CERTA-2005-AVI-040-002 : Vulnérabilité de ncpfs

    (ajout de la référence au bulletin de sécurité Debian DSA-665)

Gestion détaillée du document

    le 11 février 2005
    version initiale.