1 Activité en cours

1.1 Ports observés

Le tableau 3 ainsi que la figure 2 montrent les rejets pour les ports sous surveillance que nous avons constatés sur deux dispositifs de filtrage, entre le 02 et le 09 juin 2005.

1.2 Augmentation des rejets sur les ports 139/tcp et 80/tcp

Le CERTA constate, depuis le 01 juin 2005, une augmentation des rejets sur les ports 80/tcp et 139/tcp (voir figure 1). En effet, de nombreuses machines sous Windows semblent être à la recherche de ces deux ports.

Le CERTA n’est pas encore en mesure d’expliquer ce qui peut être à l’origine de cette activité.

Figure 1: Evolution des rejets sur les ports 80/tcp et 139/tcp
Image ports80et139

1.3 Activité sur le port 143/tcp

Cette activité, bien que très faible, correspond à une recherche des serveurs IMAP. Nous rappelons que de nombreuses vulnérabilités récemment publiées affectent le serveur IMAP du produit Ipswitch Imail (avis CERTA-2005-AVI-185). Des outils exploitant automatiquement ces vulnérabilités sont disponibles sur l’Internet.

Recommandation :

Il est extrêmement important d’appliquer les correctifs indiqués dans l’avis du CERTA dans les plus brefs délais, et de vérifier l’intégrité des serveurs qui n’ont pas encore été mis à jour.

2 Correctifs de Microsoft

Microsoft a publié cette semaine 10 correctifs de sécurité (avis CERTA-2005-AVI-210 à CERTA-2005-AVI-219). Certains de ces correctifs sont particulièrement critiques, puisqu’ils concernent des applications très répandues comme Internet Explorer et Outlook Express. A noter que selon la société Eeye, il existe encore au moins 3 vulnérabilités non corrigées dans ces produits permettant l’exécution de code arbitraire à distance.

Un des correctifs concerne le service SMB de Windows (qui utilise les ports 139/tcp et 445/tcp). Il est possible qu’un ver exploitant cette vulnérabilité soit prochainement publié, des tentatives de réaliser du reverse engineering de ce correctif ayant déjà eu lieu.

Recommandation :

Comme toujours, il est très fortement conseillé d’appliquer ces correctifs même sur des machines situées derrière un pare-feu.

3 Rappel des avis et mises à jour émis

Durant la période du 06 au 10 juin 2005, le CERTA a émis les avis suivants :

  • CERTA-2005-AVI-192 : Vulnérabilité de Net-SNMP
  • CERTA-2005-AVI-193 : Vulnérabilité du pare-feu Microsoft ISA Server 2000
  • CERTA-2005-AVI-194 : Vulnérabilité de Solaris
  • CERTA-2005-AVI-195 : Vulnérabilité de libtiff
  • CERTA-2005-AVI-196 : Vulnérabilité de type injection SQL dans Mailutils
  • CERTA-2005-AVI-197 : Vulnérabilité de Sun ONE Application Server
  • CERTA-2005-AVI-198 : Vulnérabilité d’IBM Websphere Application Server
  • CERTA-2005-AVI-199 : Vulnérabilités de rpc.mountd sous SGI IRIX
  • CERTA-2005-AVI-200 : Multiples vulnérabilités sous Mac OS X
  • CERTA-2005-AVI-201 : Multiples vulnérabilités sur BEA Weblogic

Pendant cette même période, les mises à jour suivantes ont été publiées :

  • CERTA-2005-AVI-186-001 : Multiples vulnérabilités dans Mailutils

    (ajout référence au bulletin de sécurité Debian)

  • CERTA-2005-AVI-038-006 : Multiples vulnérabilités dans SquirrelMail

    (ajout de la référence au bulletin de sécurité SUSE)

  • CERTA-2005-AVI-170-002 : Vulnérabilité dans FreeRADIUS

    (ajout du bulletin SUSE SUSE-SR:2005:014. Ajout référence CVE)

  • CERTA-2005-AVI-178-001 : Multiples vulnérabilités d’Ethereal

    (ajout référence au bulletin de sécurité SUSE)

  • CERTA-2005-AVI-180-001 : Vulnérabilités dans Qpopper

    (ajout référence au bulletin de sécurité SUSE)

  • CERTA-2004-AVI-308-001 : Vulnérabilité dans OpenSSH

    (ajout références aux bulletins RHSA-2005-106 et RHSA-2005-165 de Red Hat)

  • CERTA-2005-AVI-104-009 : Vulnérabilité de libXpm

    (ajout référence au bulletin de sécurité Red Hat (RHSA-2005:198) relatif à xorg-x11)

  • CERTA-2004-AVI-189-002 : Vulnérabilité de Mailman

    (ajout de la référence au bulletin de sécurité FreeBSD)

  • CERTA-2005-AVI-033-002 : Vulnérabilité des serveurs DNS BIND

    (ajout de la référence au bulletin de sécurité FreeBSD)

  • CERTA-2005-AVI-038-007 : Multiples vulnérabilités dans SquirrelMail

    (ajout de la référence au bulletin de sécurité FreeBSD)

  • CERTA-2005-AVI-042-005 : Multiples vulnérabilités dans Squid

    (ajout d’un bulletin de sécurité FreeBSD et modification des références FreeBSD)

  • CERTA-2005-AVI-048-002 : Vulnérabilité dans UW-Imapd

    (ajout de la référence au bulletin de sécurité FreeBSD)

  • CERTA-2005-AVI-078-002 : Vulnérabilité de l’application sympa

    (ajout de la référence au bulletin de sécurité FreeBSD)

  • CERTA-2005-AVI-084-006 : Vulnérabilité dans Squid

    (ajout de la référence au bulletin de sécurité FreeBSD)

  • CERTA-2005-AVI-097-002 : Vulnérabilité dans UW-imapd

    (ajout des références aux bulletins de sécurité Gentoo, Mandrake, Red Hat, FreeBSD)

  • CERTA-2005-AVI-114-003 : Multiples vulnérabilités de xli

    (ajout des références aux bulletins de sécurité FreeBSD)

  • CERTA-2005-AVI-164-001 : Multiples vulnérabilités dans tcpdump

    (ajout référence au bulletin de sécurité FreeBSD)