S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 28 octobre 2005
N° CERTA-2005-ACT-043
Affaire suivie par: CERT-FR
le 28 octobre 2005

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2005-43

Gestion du document

Référence CERTA-2005-ACT-043
Titre Bulletin d’actualité 2005-43
Date de la première version 28 octobre 2005
Date de la dernière version 28 octobre 2005
Source(s) Aucune
Pièce(s) jointe(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Activité en cours

1.1 Ports observés

Le tableau 3 et la figure 1 montrent les rejets pour les ports sous surveillance que nous avons constatés sur deux dispositifs de filtrage, entre le 20 octobre et le 27 octobre 2005.

2 Le ver Mocbot et faille de sécurité associée

Suite à la publication des bulletins de sécurité Microsoft du 11 octobre dernier, est apparu cette semaine un ver exploitant, à première vue, la vulnérabilité décrite dans l’avis CERTA-2005-AVI-398 (correspondant au bulletin MS05-047 de Microsoft). Ceci est un phénomène classique d’apparition de code malveillant quelques semaines suivant la publication de la faille. Cependant, après une analyse plus approfondie, il est apparu que le ver en question n’exploitait pas la faille du module Plug-and-Play décrite dans MS05-047 mais une autre faille plus ancienne dans ce même module correspondant à l’avis CERTA-2005-AVI-302 et à l’alerte CERTA-2005-ALE-007. Cette faille est d’ailleurs exploitée par le ver Zotob.

Recommandation :

Bien que la vulnérabilité mise en jeu ici soit plus ancienne que supposée de prime abord, il n’en reste pas moins que la faille décrite dans le bulletin MS05-047 de Microsoft demeure critique et pourrait tout aussi bien faire l’objet d’une exploitation par un ver. Il convient donc d’appliquer le correctif de sécurité associé à cette vulnérablilité dans les plus brefs délais.

3 Rappel des avis et mises à jour émis

Durant la période du 17 au 21 octobre 2005, le CERTA a émis les avis suivants :

  • CERTA-2005-AVI-409 : Vulnérabilité dans TotalStorage SAN Volume Controller ;
  • CERTA-2005-AVI-410 : Vulnérbilité d’AIX LSCFG ;
  • CERTA-2005-AVI-408 : Vulnérabilité de Snort ;
  • CERTA-2005-AVI-411 : Vulnérabilité du système de fichiers proc sous Solaris 10 ;
  • CERTA-2005-AVI-412 : Multiples vulnérabilités dans Nortel Centrex IP CLient Manager ;
  • CERTA-2005-AVI-413 : Multiples vulnérabilités dans IBM DB2 ;
  • CERTA-2005-AVI-415 : Vulnérabilité de NetPBM ;
  • CERTA-2005-AVI-414 : Multiples vulnérabilités d’Oracle ;
  • CERTA-2005-AVI-416 : Vulnérabilité sur phpMyAdmin ;
  • CERTA-2005-AVI-417 : Multiples vulnérabilités dans le logiciel Ethereal ;
  • CERTA-2005-AVI-418 : Vulnérabilité de Squid ;
  • CERTA-2005-AVI-419 : Multiples vulnérabilités dans les produits Symantec pour Mac OS ;
  • CERTA-2005-AVI-420 : Vulnérabilité de certains produits Cisco ;
  • CERTA-2005-AVI-421 : Vulnérabilité dans HP OpenView.

Pendant cette même période, la mise à jour suivante a été publiée :

  • CERTA-2005-AVI-407-001 : Vulnérabilité dans la bibliothèque libcURL (ajout de la référence au bulletin de sécurité Ubuntu)

Gestion détaillée du document

    le 28 octobre 2005
    version initiale.