1 Activité en cours
1.1 Incident traité
Le CERTA a traité un cas de compromission par exploitation en SSH d’un mot de passe faible pour le compte root. La machine ainsi compromise a ensuite été utilisée pour attaquer -avec succès- d’autres serveurs SSH.
Il est rappelé l’importance d’utiliser des mots de passe robustes, même pour des machines de test.
2 Attaques sur Claroline/Dokeos
Le CERTA constate que les attaques sur Claroline et Dokeos continuent. Elles se manifestent dans les journaux par des tentatives d’inclusion php (php include). Il est possible de mettre en évidence ces attaques avec des commandes du type :
grep -i includePath access.log
La variable includePath est utilisée pour exécuter des programmes situés sur des serveurs http distants généralement compromis.
Il est important de vérifier de telles tentatives d’intrusion dans les journaux et de les signaler au CERTA.
Rappel des avis émis
Dans la période du 10 au 16 avril 2006, le CERT-FR a émis les publications suivantes :
- CERTA-2006-AVI-144-001 : Vulnérabilités dans phpBB
- CERTA-2006-AVI-145-001 : Vulnérabilités sur CACTI
- CERTA-2006-AVI-146-001 : Vulnérabilité dans Mailman
- CERTA-2006-AVI-147 : Vulnérabilité sur les commutateurs 11500 CISCO
- CERTA-2006-AVI-148-001 : Vulnérabilité dans l’explorateur de Microsoft Windows
- CERTA-2006-AVI-149 : Vulnérabilité dans Microsoft Outlook Express
- CERTA-2006-AVI-150 : Multiples vulnérabilités dans Microsoft Internet Explorer
- CERTA-2006-AVI-151 : Vulnérabilité sur la fonction Microsoft Data Access Components (MDAC)
- CERTA-2006-AVI-152 : Vulnérabilité dans Microsoft FrontPage
- CERTA-2006-AVI-153 : Vulnérabilité dans Horde Application Framework 3
- CERTA-2006-AVI-154 : Vulnérabilité de LDAP2 sous Sun Solaris
- CERTA-2006-AVI-155 : Vulnérabilité de LDAP2 sous Sun Solaris
Durant la même période, les publications suivantes ont été mises à jour :
- CERTA-2005-ALE-008 : Possible vulnérabilité de la bibliothèque msdds.dll
- CERTA-2005-ALE-012 : Vulnérabilité de Netscape 8
- CERTA-2006-ALE-002-001 : Multiples vulnérabilités dans Microsoft Internet Explorer
- CERTA-2006-AVI-129-001 : Vulnérabilité dans Samba
- CERTA-2006-AVI-140-001 : Multiples vulnérabilités dans ClamAV
- CERTA-2006-AVI-142-001 : Vulnérabilité dans phpMyAdmin
- CERTA-2006-AVI-143-001 : Vulnérabilités dans Claroline