S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 07 octobre 2005
N° CERTA-2005-ACT-040
Affaire suivie par: CERT-FR
le 07 octobre 2005

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2005-40

Gestion du document

Référence CERTA-2005-ACT-040
Titre Bulletin d’actualité 2005-40
Date de la première version 07 octobre 2005
Date de la dernière version 07 octobre 2005
Source(s) Aucune
Pièce(s) jointe(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Activité en cours

1.1 Ports observés

Le tableau 3 et la figure 1 montrent les rejets pour les ports sous surveillance que nous avons constatés sur deux dispositifs de filtrage, entre le 29 septembre et le 06 octobre 2005.

1.2 Incident traité

Le CERTA a traité un cas d’infection de 4 machines par un cheval de Troie. La detection de cet incident a été rendue possible par l’analyse de journaux de routeur. En effet, le cheval de troie en question tentait d’établir des connexions vers des adresses réticulaires bien identifièes par ailleurs. Un examen du trafic «sortant» à destination de ces adresses a permis l’identification des machines compromises.

2 De l’utilité du filtrage des flux sortants

Le pare-feu est un élément incontournable de la sécurité périmétrique des réseaux. Il assure un rôle évident de protection d’un milieu dit «de confiance» vis-à-vis de l’extérieur (souvent de l’Internet). Il est d’ailleurs souvent uniquement configuré de telle sorte qu’il ne filtre que les flux entrants. Cependant notre expérience montre presque quotidiennement que cela ne suffit pas. Une machine ou un ensemble de machines infectées par un virus ou un cheval de Troie ne pourra être détecté qu’en appliquant également un filtrage des flux sortant. En effet, si une machine d’un réseau local tente de se connecter à un serveur afin d’y envoyer des informations compromettantes (identifiants de connexion, mots de passe…), une discrimination des flux sortants préviendra sans doute cette fuite d’information. Elle permettra, en outre, une identification plus rapide de la machine compromise en examinant les journaux du pare-feu.

Recommandation :

Il convient donc d’appliquer, dans la mesure du possible, une politique de filtrage pour les flux sortants. Comme pour les flux entrants, une bonne démarche consiste à n’autoriser que les flux définis comme légitimes par la PSSI en vigueur. Cela se traduira certainement par un gain en terme de sécurité au quotidien mais aussi en terme de rapidité de détection et de réponse à un incident. Si toutefois, en examinant vos journaux de pare-feux, vous identifiez ce type de comportement anormal de la part d’une ou de plusieurs de vos machines, veuillez en avertir le CERTA.

3 Rappel des avis et mises à jour émis

Durant la période du 26 au 30 septembre 2005, le CERTA a émis les avis suivants :

  • CERTA-2005-AVI-364 : Vulnérabilité de Courier-SqWebMail ;
  • CERTA-2005-AVI-365 : Vulnérabilité dans Xsun et Xprt sous Solaris ;
  • CERTA-2005-AVI-366 : Mauvaise interprétation des règles dans des produits Check Point ;
  • CERTA-2005-AVI-367 : Multiples vulnérabiltés dans le navigateur Opera ;
  • CERTA-2005-AVI-368 : Vulnérabilité des systèmes d’exploitation AIX ;
  • CERTA-2005-AVI-369 : Vulnérabilité dans Mozilla Thunderbird.

Pendant cette même période, les mises à jour suivantes ont été publiées :

  • CERTA-2005-AVI-280-004 : Vulnérabilités de Apache

    (ajout des bulletins IBM HMC)

  • CERTA-2005-AVI-314-001 : Vulnérabilité d’Evolution

    (ajout des références aux bulletins de sécurité Mandriva MDKSA-2005:141, RedHat RHSA-2005:743 et SUSE SUSE-SA:2005:054 ainsi qu’aux références CVE CAN-2005-2549 et CAN-2005-2550.)

  • CERTA-2005-AVI-345-003 : Vulnérabilité dans Xfree86/X11/Xorg

    (ajout de la référence au bulletin de sécurité SUSE SUSE-SA-2005:056.)

  • CERTA-2005-AVI-348-002 : Multiples vulnérabilités dans ClamAV

    (ajout des références aux bulletins de sécurité FreeBSD et SUSE)

  • CERTA-2005-AVI-356-001 : Vulnérabilité de Webmin et Usermin

    (ajout du lien vers les changements Usermin ainsi que des références aux bulletins de sécurité SNS No. 83, Gentoo GLSA 200509-17 et CVE CAN-2005-3042.)

  • CERTA-2005-AVI-276-005 : Vulnérabilité sur la bibliothèque zlib

    (ajout de la référence au bulletin de sécurité Gentoo GLSA 200509-18)

  • CERTA-2005-AVI-336-004 : Vulnérabilité du moteur d’expressions régulières PCRE

    (ajout de la référence au bulletin de sécurité Debian DSA-821)

  • CERTA-2005-AVI-207-001 : Vulnérabilité de GNU wget

    (ajout du Bulletin Red Hat)

  • CERTA-2005-AVI-348-003 : Multiples vulnérabilités dans ClamAV

    (ajout de la référence aux bulletin de sécurité Debian)

  • CERTA-2005-AVI-355-001 : Vulnérabilités dans le client de messagerie d’Opera

    (ajout des références CVE, de la page de mise à jour Opera et de la mise à jour de Suse)

Gestion détaillée du document

    le 07 octobre 2005
    version initiale.