S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 02 septembre 2005
N° CERTA-2005-ACT-035
Affaire suivie par: CERT-FR
le 02 septembre 2005

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2005-35

Gestion du document

Référence CERTA-2005-ACT-035
Titre Bulletin d’actualité 2005-35
Date de la première version 02 septembre 2005
Date de la dernière version 02 septembre 2005
Source(s) Aucune
Pièce(s) jointe(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Activité en cours

1.1 Ports observés

Le tableau 3 et la figure 2 montrent les rejets pour les ports sous surveillance que nous avons constatés sur deux dispositifs de filtrage, entre le 25 août et le 01 septembre 2005.

1.2 Incidents traités

Le CERTA a traité trois cas de défiguration de site web. Pour l’un de ces deux cas, la vulnérabilité exploitée semble être une faille de Web Calendar. Les autres cas sont en cours de résolution.

Par ailleurs, un cas concernant plusieurs serveurs compromis dans le même domaine est en cours de traitement. L’origine de la compromission semble être de l’exploitation d’un mot de passe faible pour SSH. Ce type d’incidents est très fréquent.

Recommandation :

Le CERTA suggère la lecture de la note d’information CERTA-2005-INF-001 avant la mise en place de tout service requérant une authentification par mot de passe. Ce document est disponible à l’adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2005-INF-001

2 Vulnérabilité sur DameWare

Le CERTA a émis un avis sur DameWare Mini Remote Control (avis CERTA-2005-AVI-326). Cette application, qui fait à la fois office de client et de serveur, permet d’administrer à distance des postes sous Windows. Une précédente vulnérabilité (voir avis CERTA-2003-AVI-214) de cette application avait été largement exploitée (l’automatisation de l’exploitation de cette faille est souvent intégrée dans les chevaux de Troie, notamment ceux des « familles » rbot, sdbot, phatbot –voir alerte CERTA-2004-ALE-003–).

Cette vulnérabilité a un caractère particulier : le serveur web de l’éditeur localisé en Louisiane n’est pas joignable, ce qui ne permet pas de télécharger les correctifs.

Le CERTA a donc indiqué le site www.dameware.co.uk qui semble être un distributeur du produit DameWare, mais il convient de vérifier que les correctifs sont à jour.

Des outils exploitant automatiquement cette vulnérabilité existent déjà et sont disponibles sur l’Internet.

Recommandation :

Il est conseillé de lire la note d’information CERTA-2001-INF-004 (« acquisition des correctifs ») disponible à l’adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2001-INF-004

3 Rappel des avis et mises à jour émis

Durant la période du 22 au 26 août 2005, le CERTA a émis les avis suivants :

  • CERTA-2005-AVI-318 : Vulnérabilités dans Computer Associates Message Queuing
  • CERTA-2005-AVI-319 : Vulnérabilité dans PEAR XML_RPC (PHP)
  • CERTA-2005-AVI-320 : Vulnérabilité dans Cisco IDS Management Software
  • CERTA-2005-AVI-321 : Vulnérabilité dans le client de messagerie electronique ELM

Pendant cette même période, les mises à jour suivantes ont été publiées :

  • CERTA-2005-AVI-315-002 : Vulnérabilité dans Adobe Acrobat

    (ajout des Bulletins de sécurité Gentoo et Suse)

  • CERTA-2005-AVI-201-001 : Multiples vulnérabilités sur BEA Weblogic

    (modification du correctif pour la vulnérabilité de type Cross Site Scripting)

Gestion détaillée du document

    le 02 septembre 2005
    version initiale.