Bulletin d’actualité 2005-30

1 Activité en cours

1.1 Ports observés

Le tableau 3 et la figure 1 montrent les rejets pour les ports sous surveillance que nous avons constatés sur deux dispositifs de filtrage, entre le 14 et le 21 juillet 2005.

Le CERTA a traité trois cas de défiguration de site web. Pour ces cas, la faille suspectée d’avoir été exploitée est de type php include, dans l’application PostNuke. Ce type d’attaque est expliqué dans la note d’information CERTA-2004-INF-001 intitulée « Sécurité des applications Web et vulnérabilité de type injection de données » :

http://www.certa.ssi.gouv.fr/site/CERTA-2004-INF-001/index.html

1.3 Prolifération des `rootkits` sous Windows

Le CERTA a été informé récemment de la découverte de rootkits (ensemble d’outils dont le but est de camoufler l’activité d’un pirate) sur des machines compromises sous Windows. Les rootkits, très souvent utilisés lors des piratages de machines linux, compliquent considérablement la détection des machines compromises. Les machines sur lesquelles ces outils ont été trouvés étaient utilisées comme serveur ftp warez (échange de fichiers piratés).

1.3.1 Recommandation :

Il est conseillé d’utiliser des outils de métrologie pour surveiller l’activité du réseau. Ces outils permettent de détecter les machines qui sont à l’origine (ou destinataire) d’un trafic important, ce qui peut être symptomatique de la présence d’un serveur ftp warez.

1.4 Recrudescence de l’activité `MyTob`

Un des abonnés du CERTA a signalé une recrudescence de l’activité du ver MyTob. Ce ver se propage principalement par la messagerie.

1.4.1 Recommandation :

Il est conseillé de lire l’avis CERTA-2003-AVI-084 intitulé « Rappel sur les virus de messagerie » et disponible à l’adresse :

http://www.certa.ssi.gouv.fr/site/CERTA-2003-AVI-084/index.html

2 Rappel des avis et mises à jour émis

Durant la période du 18 juillet au 22 juillet 2005, le CERTA a émis les avis suivants :

CERTA-2005-AVI-268 : Vulnérabilité de Shorewall
CERTA-2005-AVI-269 : Vulnérabilité de Sybase EAServer
CERTA-2005-AVI-270 : Multiples vulnérabilités de PowerDNS
CERTA-2005-AVI-271 : Vulnérabilité dans Sun Management Center
CERTA-2005-AVI-272 : Vulnérabilité de Kate / Kwrite
CERTA-2005-AVI-273 : Vulnérabilité dans Novell Groupwise
CERTA-2005-AVI-274 : Vulnérabilité dans SSH Tectia Server et Secure shell pour Windows
CERTA-2005-AVI-275 : Vulnérabilité dans Airport d’Apple
CERTA-2005-AVI-276 : Vulnérabilité sur la bibliothèque zlib
CERTA-2005-AVI-277 : Vulnérabilité dans Avast Antivirus
CERTA-2005-AVI-278 : Vulnérabilité dans Fetchmail

Pendant cette même période, les mises à jour suivantes ont été publiées :

CERTA-2005-AVI-239-002 : Multiples vulnérabilité dans heimdal telnetd server
(ajout de la référence au bulletin de sécurité Debian DSA-758)
CERTA-2005-AVI-242-008 : Vulnérabilités dans PHP PEAR
(ajout de la référence au bulletin de sécurité Gentoo GLSA 200507-15)
CERTA-2005-AVI-250-003 : Vulnérabilité de dhcpcd
(ajout de la référence au bulletin de sécurité Gentoo 200507-16, correction du produit en dhcpcd)
CERTA-2005-AVI-256-003 : Multiples vulnérabilité dans les produits Mozilla
(ajout des références CVE et de la référence au bulletin de sécurité FreeBSD)
CERTA-2005-AVI-257-003 : Vulnérabilité de MIT Kerberos 5
(ajout de la référence au bulletin de sécurité Debian DSA-757)
CERTA-2005-AVI-242-009 : Vulnérabilités dans PHP PEAR
(ajout de la référence au bulletin de sécurité SGI 20050703-01-U)
CERTA-2005-AVI-256-004 : Multiples vulnérabilité dans les produits Mozilla
(ajout de Mozilla Thunderbird dans la liste des systèmes affectés ainsi que de la remarque dans la description)
CERTA-2005-AVI-257-004 : Vulnérabilité de MIT Kerberos 5
(ajout des références aux bulletins de sécurité RedHat RHSA-2005:562 et SGI 20050703-01-U)
CERTA-2005-AVI-245-002 : Vulnérabilités dans OpenLDAP, nss_ldap et pam_ldap
(ajout de la référence au bulletin de sécurité Mandriva MDKSA-2005:121)
CERTA-2005-AVI-251-001 : Vulnérabilité de cpio
(ajout de la référence au bulletin de sécurité Mandriva MDKSA-2005:116-1)
CERTA-2005-AVI-227-001 : Multiples vulnérabilités de Cacti
(ajout de la référence au bulletin de sécurité Debian DSA-764)
CERTA-2005-AVI-243-003 : Multiples vulnérabilités de Cacti
(ajout de la référence au bulletin de sécurité Debian DSA-764)
CERTA-2005-AVI-268-001 : Vulnérabilité de Shorewall
(ajout de la référence au bulletin de sécurité Mandriva MDKSA-2005:123 et ajout de la référence CVE CAN-2005-2317)
CERTA-2005-AVI-272-001 : Vulnérabilité de Kate / Kwrite
(ajout de la référence au bulletin de sécurité Mandriva MDKSA-2005:122)
CERTA-2005-AVI-183-005 : Vulnérabilités dans gzip
(ajout de la référence au bulletin de sécurité Sun #101816)
CERTA-2005-AVI-251-002 : Vulnérabilité de cpio
(ajout de la référence au bulletin de sécurité RedHat RHSA-2005:378)
CERTA-2005-AVI-268-002 : Vulnérabilité de Shorewall
(ajout de la référence au bulletin de sécurité Gentoo GLSA 200507-20)
CERTA-2005-AVI-270-001 : Multiples vulnérabilités de PowerDNS
(ajout de la référence au bulletin de sécurité FreeBSD, de la référence CVE CAN-2005-2302)
CERTA-2005-AVI-256-005 : Multiples vulnérabilité dans les produits Mozilla
(ajout des références aux bulletins de sécurité RedHat RHSA-2005:586, RHSA-2005:587 et RHSA-2005:601)
CERTA-2005-AVI-124-005 : Multiples vulnérabilités dans le client Telnet
(ajout de la référence au bulletin de sécurité Debian DSA-765)

Référence	CERTA-2005-ACT-030
Titre	Bulletin d’actualité 2005-30
Date de la première version	29 juillet 2005
Date de la dernière version	29 juillet 2005
Source(s)	Aucune Pièce(s) jointe(s)
Pièce(s) jointe(s)	Aucune(s)

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2005-30

Gestion du document