S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 30 septembre 2005
N° CERTA-2005-ACT-039
Affaire suivie par: CERT-FR
le 30 septembre 2005

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2005-39

Gestion du document

Référence CERTA-2005-ACT-039
Titre Bulletin d’actualité 2005-39
Date de la première version 30 septembre 2005
Date de la dernière version 30 septembre 2005
Source(s) Aucune
Pièce(s) jointe(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Activité en cours

1.1 Ports observés

Le tableau 3 et la figure 1 montrent les rejets pour les ports sous surveillance que nous avons constatés sur deux dispositifs de filtrage, entre le 22 et le 29 septembre 2005.

1.2 Incident traité

Le CERTA a traité un cas d’infection d’une machine par des chevaux de Troie. La particularité de cet incident est que l’administrateur de la machine infectée a découvert l’un des chevaux de Troie durant son installation. L’utilisateur de la machine a visité un site malveillant après une recherche avec Google de pilotes pour une carte réseau. Le site malveillant figurait parmi les meilleures réponses à la recherche, et semblait correspondre aux attentes de l’utilisateur. Le navigateur utilisé était Internet Explorer, mais les correctifs de sécurité n’étaient pas tous appliqués.

La plupart des utilisateurs pensent que les sites malveillants sont généralement des sites à caractère pornographique ou des sites de pirates. L’expérience montre que l’apparence du site n’est pas forcément un gage de sécurité : les pirates s’emploient à réaliser des sites dont l’aspect n’éveille pas l’attention. Ils utilisent ensuite des techniques reposant sur une multitude de mots-clef et sur des référencements mutuels de sites pour figurer dans les meilleures places lors des recherches avec des moteurs.

D’autre part, des sites légitimes peuvent être piratés puis modifiés de façon à contenir du code exploitant des vulnérabilités des navigateurs.

Recommandation :

Il n’est pas possible de préjuger de l’innocuité d’un site web et même si l’on restreint sa navigation à quelques sites qui semblent légitimes, on ne peut jamais être sûr de ne pas visiter des pages web contenant du code malveillant. La seule parade efficace consiste à se tenir informé des vulnérabilités affectant les différents navigateurs et à appliquer dès leur sortie les correctifs de sécurité pour ces produits. Cette mesure n’est cependant pas suffisante dans le cas des vulnérabilités découvertes qui n’ont pas de correctif.

2 Rappel des avis et mises à jour émis

Durant la période du 19 au 23 septembre 2005, le CERTA a émis les avis suivants :

  • CERTA-2005-AVI-348 : Multiples vulnérabilités dans ClamAV
  • CERTA-2005-AVI-349 : Vulnérabilité dans TWiki
  • CERTA-2005-AVI-350 : Vulnérabilité de GNU mailutils
  • CERTA-2005-AVI-351 : Multiples vulnérabilités de FreeRADIUS
  • CERTA-2005-AVI-352 : Vulnérabilité de SQUID
  • CERTA-2005-AVI-353 : Vulnérabilité dans MySQL
  • CERTA-2005-AVI-354 : Vulnérabilité de Veritas Storage
  • CERTA-2005-AVI-355 : Vulnérabilités dans le client de messagerie d’Opera
  • CERTA-2005-AVI-356 : Vulnérabilité de Webmin et Usermin
  • CERTA-2005-AVI-357 : Vulnérabilité de Sun Solaris
  • CERTA-2005-AVI-358 : Vulnérabilité de Firefox
  • CERTA-2005-AVI-359 : Vulnérabilité de util-linux
  • CERTA-2005-AVI-360 : Vulnérabilité de kdebase
  • CERTA-2005-AVI-361 : Vulnérabilités de Apple MacOS X
  • CERTA-2005-AVI-362 : Multiples Vulnérabilités dans Secure Web Browser d’OpenVMS
  • CERTA-2005-AVI-363 : Vulnérabilité du système de fichiers UFS sous SUN Solaris

Pendant cette même période, les mises à jour suivantes ont été publiées :

  • CERTA-2005-AVI-073-004 : Vulnérabilité de ht://Dig

    (ajout de la référence au bulletin de sécurité FreeBSD)

  • CERTA-2005-AVI-262-002 : Vulnérabilité de SquirrelMail

    (ajout de la référence au bulletin de sécurité FreeBSD)

  • CERTA-2005-AVI-331-001 : Vulnérabilité dans mod_ssl

    (ajout des bulletins de sécurité SuSE, RedHat, Mandriva, Gentoo, Debian et de la référence CVE)

  • CERTA-2005-AVI-336-002 : Vulnérabilité du moteur d’expressions régulières PCRE

    (ajout de la référence au bulletin de sécurité Debian DSA-817)

  • CERTA-2005-AVI-345-001 : Vulnérabilité dans Xfree86/X11/Xorg

    (ajout de la référence CVE CAN-2005-2495 et des références aux bulletins de sécurité FreeBSD, Sun, RedHat RHSA-2005-396 et Mandriva)

  • CERTA-2005-AVI-337-003 : Multiples vulnérabilités dans Squid

    (ajout de la référence au bulletin de sécurité RedHat)

  • CERTA-2005-AVI-345-002 : Vulnérabilité dans Xfree86/X11/Xorg

    (ajout de la référence au bulletin de sécurité Debian DSA-816)

  • CERTA-2005-AVI-348-001 : Multiples vulnérabilités dans ClamAV

    (ajout de la référence au bulletin de sécurité Mandriva MDKSA-2005:166 et aux références CVE CAN-2005-2919 et CAN-2005-2920)

  • CERTA-2005-AVI-358-001 : Vulnérabilité de Firefox

    (ajout de la référence au bulletin de sécurité FreeBSD)

  • CERTA-2005-AVI-336-003 : Vulnérabilité du moteur d’expressions régulières PCRE

    (ajout de la référence au bulletin de sécurité Debian DSA-819)

  • CERTA-2005-AVI-358-002 : Vulnérabilités de Mozilla Firefox et Mozilla Suite

    (ajout des références aux bulletins de sécurité Mozilla, ajout du produit Mozilla Suite, ajout des bulletins de sécurité RedHat et des références CVE)

Gestion détaillée du document

    le 30 septembre 2005
    version initiale.