1 Activité en cours
1.1 Ports observés
Le tableau 3 et la figure 1 montrent les rejets pour les ports sous surveillance que nous avons constatés sur deux dispositifs de filtrage, entre le 06 octobre et le 13 octobre 2005.
2 Bulletins de sécurité Microsoft du 11 octobre 2005 :
Suite à la publication des bulletins de sécurité de Microsoft du 11 octobre 2005, le CERTA a émis des avis de sécurité. Nous attirons tout particulièrement votre attention sur les failles décrites dans les bulletins CERTA-2005-AVI-395 et CERTA-2005-AVI-399.
Le premier avis concerne une vulnérabilité du client ftp (File Transfert Protocol) de Windows (MS05-44) et fait déjà l’objet de codes malveillants l’exploitant. Le second avis, quant à lui, concerne une vulnérabilité d’un composant de Microsoft Exchange (MS05-048) et fait l’objet d’une preuve de faisabilité d’exploitation (Proof of Concept).
La nature de la seconde vulnérabilité nous laisse à penser que du code malveillant l’exploitant pourrait apparaître dans un avenir plus ou moins proche. Compte tenu de la nature du protocole utilisé (smtp : Simple Mail Transfert Protocol) ainsi que du nombre de produit Exchange déployés, l’impact de tels codes pourrait être important.
Recommandation :
De manière plus générale, les failles décrites dans les bulletins de sécurité Microsoft pour le mois d’octobre sont qualifiées par l’éditeur comme critiques ou importantes pour la plupart d’entre elles. Il est donc impératif d’appliquer les correctifs dans les plus brefs délais. Il convient également de surveiller l’activité sur les ports concernés (Exchange : 25/tcp, ftp : 21/tcp, …). Si toutefois vous constatiez une activité anormale sur les ports ou les composants concernés par ces différentes vulnérabilités, il convient d’en informer le CERTA.3 Rappel des avis et mises à jour émis
Durant la période du 03 au 07 octobre 2005, le CERTA a émis les avis suivants :
- CERTA-2005-AVI-370 : Vulnérabilité de l’utilitaire AIX getconf ;
- CERTA-2005-AVI-371 : Vulnérabilité de Squid ;
- CERTA-2005-AVI-372 : Vulnérabilité dans Bugzilla ;
- CERTA-2005-AVI-373 : Vulnérabilité de ZoneAlarm ;
- CERTA-2005-AVI-375 : Vulnérabilité dans Sun Java Desktop System ;
- CERTA-2005-AVI-376 : Vulnérabilités dans Apachetop ;
- CERTA-2005-AVI-377 : Vulnérabilités dans MailEnable ;
- CERTA-2005-AVI-378 : Vulnérabilité de l’antivirus Kaspersky ;
- CERTA-2005-AVI-374 : Vulnérabilité de CVS ;
- CERTA-2005-AVI-379 : Vulnérabilités dans HP OpenView;
- CERTA-2005-AVI-380 : Vulnérabilité de l’antivirus Symantec ;
- CERTA-2005-AVI-381 : Vulnérabilité de l’antivirus BitDefender ;
- CERTA-2005-AVI-382 : Vulnérabilité de IBM Tivoli Monitoring ;
- CERTA-2005-AVI-383 : Vulnérabilité dans UW-imapd ;
- CERTA-2005-AVI-384 : Multiples vulnérabilités dans cfengine ;
- CERTA-2005-AVI-385 : Vulnérabilité de l’interpréteur de script Ruby.
Pendant cette même période, les mises à jour suivantes ont été publiées :
- CERTA-2005-AVI-337-004 : Multiples vulnérabilités dans Squid
(ajout de la référence au bulletin de sécurité Suse.)
- CERTA-2005-AVI-346-001 : Vulnérabilité des clients web Mozilla, Firefox et Netscape
(ajout de la référence au bulletin de sécurité Debian.)
- CERTA-2005-AVI-353-001 : Vulnérabilité dans MySQL
(ajout des références aux Bulletins de sécurité Debian et Suse.)
- CERTA-2005-AVI-346-002 : Vulnérabilité des clients web Mozilla, Firefox, Thunderbird et Netscape
(ajout de Mozilla Thunderbird dans la section « Systèmes affectés ».)
- CERTA-2003-AVI-180-004 : Vulnérabilité de la commande ls sous Linux
(ajout de la références au bulletin de sécurité Avaya.)
- CERTA-2005-AVI-069-004 : Vulnérabilité de cpio
(ajout de la référence au bulletin de sécurité Avaya.)
- CERTA-2005-AVI-329-002 : Vulnérabilité de OpenSSH
(Bulletin de sécurité Red Hat.)
- CERTA-2005-AVI-369-002 : Vulnérabilité dans Mozilla Thunderbird
(Ajout des références Slackware.)
