S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 08 juillet 2005
N° CERTA-2005-ACT-027
Affaire suivie par: CERT-FR
le 08 juillet 2005

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2005-27

Gestion du document

Référence CERTA-2005-ACT-027
Titre Bulletin d’actualité 2005-27
Date de la première version 08 juillet 2005
Date de la dernière version 08 juillet 2005
Source(s) Aucune
Pièce(s) jointe(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Activité en cours

1.1 Ports observés

Le tableau 3 et la figure 1 montrent les rejets pour les ports sous surveillance que nous avons constatés sur deux dispositifs de filtrage, entre le 23 et le 30 juin 2005.

Nous pouvons constater l’apparition de rejets sur le port 10000/tcp. Ces connexions correspondent à des tentatives d’exploitation d’une faille de Veritas Backup Exec (voir CERTA-2005-AVI-229).

1.2 Incidents traités

Le CERTA a traité plusieurs cas de défiguration de site web. Pour l’un de ces incidents, c’est l’exploitation d’une faille d’autologin du forum phpBB qui a été exploitée (voir avis CERTA-2005-AVI-096). Elle permet à un utilisateur mal intentionné de se connecter avec les droits de l’administrateur du forum. Ceci se traduit généralement par des modifications mineures du forum (changement du nom des modérateurs, remplacement des bannières, etc).

Dans un autre cas, c’est la dernière faille de phpBB qui a été exploitée (voir avis CERTA-2005-AVI-237). Cette faille affecte le paramètre highlight du fichier viewtopic.php, et est très proche de la vulnérabilité massivement exploitée en décembre 2004 (voir CERTA-2005-ALE-014). Son exploitation est très critique, puisqu’elle permet de prendre totalement le contrôle du serveur web à distance. Un outil permettant d’exécuter n’importe quelle commande en exploitant cette vulnérabilité a été mis à disposition sur l’Internet le 30 juin. De nombreuses remontées de nos correspondants ont permis de montrer que des attaques s’appuyant sur cet outil avaient débuté dans l’après-midi du 30 juin. Il est possible qu’un ver fasse bientôt son apparition, sur le même modèle que Santy (voir CERTA-2005-ALE-014).

Recommandation :

Il est conseillé de déterminer si le produit phpBB est utilisé sur vos réseaux, et de le mettre à jour le cas échéant.

2 Rappel des avis et mises à jour émis

Durant la période du 27 juin au 01 juillet 2005, le CERTA a émis les avis suivants :

  • CERTA-2005-AVI-231 : Multiples vulnérabilités dans le noyau Linux
  • CERTA-2005-AVI-232 : Vulnérabilité dans SGI IRIX
  • CERTA-2005-AVI-233 : Vulnérabilité dans la base de données DB2
  • CERTA-2005-AVI-234 : Vulnérabilité de ClamAV
  • CERTA-2005-AVI-235 : Multiples vulnérabilités des produits Adobe pour Mac OS X
  • CERTA-2005-AVI-236 : Vulnérabilité du chargeur ld.so sous Solaris
  • CERTA-2005-AVI-237 : Vulnérabilité dans phpBB
  • CERTA-2005-AVI-238 : Vulnérabilité de RADIUS Authentication sous CISCO IOS
  • CERTA-2005-AVI-239 : Multiples vulnérabilité dans heimdal telnetd server
  • CERTA-2005-AVI-240 : Vulnérabilités FreeBSD (ipfw)
  • CERTA-2005-AVI-241 : Vulnérabilités dans la pile TCP de FreeBSD
  • CERTA-2005-AVI-242 : Vulnérabilités dans PHP PEAR

Pendant cette même période, les mises à jour suivantes ont été publiées :

  • CERTA-2005-AVI-165-003 : Vulnérabilité dans Squid

    (ajout de la référence au bulletin de sécurité Mandriva)

  • CERTA-2005-AVI-221-001 : Vulnérabilité de gedit

    (ajout des références aux mises à jour de sécurité Fedora)

  • CERTA-2005-AVI-178-003 : Multiples vulnérabilités d’Ethereal

    (ajout références aux bulletins FreeBSD et NetBSD)

  • CERTA-2005-AVI-226-003 : Vulnérabilité dans l’utilitaire sudo

    (ajout de la référence au bulletin de sécurité Suse)

  • CERTA-2005-AVI-230-001 : Multiples vulnérabilités des lecteurs RealPlayer

    (ajout références aux bulletins de SuSE, Red Hat, Fedora et FreeBSD. Ajout références CVE)

  • CERTA-2005-AVI-203-001 : Vulnérabilité d’ImageMagick et GraphicsMagick

    (Ajout référence à la mise-à-jour Fedora. Ajout référence au bulletin de sécurité de Mandriva)

  • CERTA-2005-AVI-225-005 : Vulnérabilité dans SpamAssassin

    (ajout de la référence au bulletin de sécurité Mandriva)

  • CERTA-2005-AVI-226-004 : Vulnérabilité dans l’utilitaire sudo

    (ajout de la référence au bulletin de sécurité RedHat)

  • CERTA-2005-AVI-234-001 : Vulnérabilité de ClamAV

    (ajout de la référence au bulletin de sécurité OpenBSD)

  • CERTA-2005-AVI-225-006 : Vulnérabilité dans SpamAssassin

    (ajout de la référence au bulletin de sécurité Debian)

  • CERTA-2005-AVI-226-005 : Vulnérabilité dans l’utilitaire sudo

    (ajout de la référence au bulletin de sécurité Debian)

  • CERTA-2005-AVI-188-004 : Multiples vulnérabilités dans bzip2

    (ajout de la référence au bulletin de sécurité FreeBSD SA-05:14)

Gestion détaillée du document

    le 08 juillet 2005
    version initiale.