S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 12 août 2005
N° CERTA-2005-ACT-032
Affaire suivie par: CERT-FR
le 12 août 2005

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2005-32

Gestion du document

Référence CERTA-2005-ACT-032
Titre Bulletin d’actualité 2005-32
Date de la première version 12 août 2005
Date de la dernière version 12 août 2005
Source(s) Aucune
Pièce(s) jointe(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Activité en cours

1.1 Ports observés

Le tableau 3 et la figure 2 montrent les rejets pour les ports sous surveillance que nous avons constatés sur deux dispositifs de filtrage, entre le 04 et le 11 août 2005.

1.2 Correctifs de sécurité Microsoft du 9 août 2005 :

Suite à la parution des correctifs Microsoft du 9 août 2005, des outils exploitant ces vulnérabilités ont été rendus publics. C’est le cas en particulier pour la vulnérabilité décrite dans l’avis CERTA-2005-AVI-302 concernant les fonctions plug and play de Microsoft Windows. Nous avons la confirmation qu’il existe au moins un outil fonctionnel capable de compromettre un système vulnérable.

1.2.1 Recommandations :

Il est recommandé d’appliquer sans tarder les correctifs de sécurité mis à disposition par Microsoft pour chacune des vulnérabilités concernées.

1.3 Activité anormale sur le port 6101/tcp :

Nous constatons depuis cette semaine une activité croissante sur le port 6101/tcp comme le montre la figure 1. Cette activité est sans doute liée à la mise à disposition d’outils malveillants visant à exploiter des vulnérabilités du logiciel de sauvegarde Veritas Backup Exec décrites dans l’avis CERTA-2005-AVI-229 du 23 juin 2005.

1.3.1 Recommandations :

Il est encore une fois recommandé d’appliquer les correctifs de sécurité associés à ces vulnérabilités. Il est également conseillé de filtrer les flux à destination du port 6101/tcp et provenant de l’Internet.

Figure 1: Trafic sur le port 6101/tcp pour la semaine du 04.08.2005 au 11.08.2005
Image 6101tcp

2 Rappel des avis et mises à jour émis

Durant la période du 01 au 05 août 2005, le CERTA a émis les avis suivants :

  • CERTA-2005-AVI-293 : Vulnérabilité dans BrightStor ARCserve/Enterprise Backup
  • CERTA-2005-AVI-294 : Vulnérabilité de HP NonStop DCE Core Services
  • CERTA-2005-AVI-295 : Vulnérabilité dans SAP R/3 Internet Graphic Server
  • CERTA-2005-AVI-296 : Vulnérabilité de apt-cacher
  • CERTA-2005-AVI-297 : Vulnérabilité de Business Objects Enterprise et Crystal Reports
  • CERTA-2005-AVI-298 : Multiples Vulnérabilités dans Oracle for Openview (OfO)

Pendant cette même période, les mises à jour suivantes ont été publiées :

  • CERTA-2005-AVI-128-001 : Vulnérabilité dans Sylpheed

    (ajout de la référence au bulletin de sécurité FreeBSD)

  • CERTA-2005-AVI-195-002 : Vulnérabilité de libtiff

    (ajout de la référence au bulletin de sécurité FreeBSD)

  • CERTA-2005-AVI-246-005 : Vulnérabilité de la bibliothèque zlib

    (ajout de la référence au bulletin de sécurité Gentoo GLSA 200508-01)

  • CERTA-2005-AVI-276-004 : Vulnérabilité sur la bibliothèque zlib

    (ajout de la référence au bulletin de sécurité Gentoo GLSA 200508-01)

  • CERTA-2005-AVI-284-001 : Multiples vulnérabilités dans le logiciel Ethereal

    (ajout de la référence au bulletin de sécurité FreeBSD)

  • CERTA-2005-AVI-287-002 : Vulnérabilité de Opera

    (ajout des références aux bulletins de sécurité FreeBSD)

  • CERTA-2005-AVI-292-001 : Vulnérabilité de l’éditeur Vim

    (ajout des références aux bulletins de sécurité FreeBSD)

  • CERTA-2005-AVI-282-001 : Multiples vulnérabilités dans ProFTPD

    (ajout de la référence au bulletin de sécurité Gentoo GLSA 200508-02 et à la référence CVE CAN-2005-2390)

Gestion détaillée du document

    le 12 août 2005
    version initiale.