S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 26 août 2005
N° CERTA-2005-ACT-034
Affaire suivie par: CERT-FR
le 26 août 2005

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2005-34

Gestion du document

Référence CERTA-2005-ACT-034
Titre Bulletin d’actualité 2005-34
Date de la première version 26 août 2005
Date de la dernière version 26 août 2005
Source(s) Aucune
Pièce(s) jointe(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Activité en cours

1.1 Ports observés

Le tableau 3 et la figure 2 montrent les rejets pour les ports sous surveillance que nous avons constatés sur deux dispositifs de filtrage, entre le 18 et le 25 août 2005.

L’activité sur le port 445/tcp n’apparaît pas du tout car ce port est filtré par le fournisseur d’accès en amont.

2 Flux configurés par défaut des applications

Il nous arrive parfois, lors de l’analyse de journaux système, de détecter l’utilisation d’un port suspect par une machine du réseau local à destination d’une machine de l’Internet. Notre première réaction alors est souvent de penser à un cheval de Troie essayant d’établir une connexion vers l’extérieur. Cependant, il est possible que ce flux soit induit par une application légitime du parc logiciel cherchant à se connecter à l’extérieur du réseau (par exemple pour une mise à jour, pour signaler que la machine est en ligne, …). Il est donc important de connaître et de maîtriser son parc informatique tant d’un point de vue matériel que d’un point de vue logiciel.

Il est à noter toutefois que la plupart de ces fonctions et adresses Internet sont documentées (ce n’est pas toujours le cas), mais sont oubliées lors de la configuration initiale du logiciel ou de l’équipement. Il est quelque fois difficile de savoir si un flux est le résultat d’une utilisation légitime ou frauduleuse. Si vous constatiez ce type de phénomènes, veuillez avertir le CERTA.

3 Rappel des avis et mises à jour émis

Durant la période du 15 au 19 août 2005, le CERTA a émis les avis suivants :

  • CERTA-2005-AVI-313 : Vulnérabilité dans Veritas Backup Exec et dans Veritas NetBackup
  • CERTA-2005-AVI-314 : Vulnérabilité d’Evolution
  • CERTA-2005-AVI-315 : Vulnérabilité dans Adobe Acrobat
  • CERTA-2005-AVI-316 : Multiples vulnérabilités dans Mac OS X
  • CERTA-2005-AVI-317 : Vulnérabilité dans Cisco Clean Access

Pendant cette même période, les mises à jour suivantes ont été publiées :

  • CERTA-2005-AVI-278-005 : Vulnérabilité dans Fetchmail

    (ajout de la référence au bulletin de sécurité Debian DSA-774)

  • CERTA-2005-AVI-282-002 : Multiples vulnérabilités dans ProFTPD

    (ajout de la référence au bulletin de sécurité Mandriva)

  • CERTA-2005-AVI-307-001 : Vulnérabilité de AWStats

    (ajout du bulletin de sécurité FreeBSD)

  • CERTA-2005-AVI-311-001 : Multiples vulnérabilités dans Gaim

    (ajout des bulletins de sécurité OpenBSD et FreeBSD)

  • CERTA-2005-AVI-315-001 : Vulnérabilité dans Adobe Acrobat

    (ajout du bulletin de sécurité FreeBSD et de la référence CVE)

Deux alertes ont également fait l’objet d’une publication :

  • CERTA-2005-ALE-007 : Exploitation de la faille MS05-039
  • CERTA-2005-ALE-008 : Possible vulnérabilité de la bibliothèque msdds.dll

Gestion détaillée du document

    le 26 août 2005
    version initiale.