1 Surveillance des journaux et mauvaises surprises
Le CERTA a été informé de la compromission d’un serveur web qui hébergeait un forum de type phpBB. L’analyse des journaux d’évènements a révélé la présence de requêtes malveillantes à l’attention de ce service. Celles-ci provenaient entre autres d’un serveur de messagerie installé dans le même réseau. L’analyse a ainsi permis de mettre en évidence la compromission d’une deuxième machine. Le CERTA rappelle à cette occasion que :
- les journaux d’évènements devraient contenir les traces de toute activité du serveur. Il ne faut pas limiter la journalisation et son analyse aux échanges entre le serveur et les machines à l’extérieur du réseau;
- il est important de s’assurer que les différents serveurs n’offrent que les services minima nécessaires à leur bon fonctionnement;
- il est important de vérifier que les communications autorisées entre les différents éléments du réseau suivent une politique de sécurité stricte.
Rappel des avis émis
Dans la période du 24 au 30 avril 2006, le CERT-FR a émis les publications suivantes :
- CERTA-2006-ALE-005 : Vulnérabilité dans Firefox
- CERTA-2006-AVI-169 : Vulnérabilités dans Symantec Scan Engine
- CERTA-2006-AVI-170-003 : Vulnérabilité dans le logiciel Ethereal
- CERTA-2006-AVI-171 : Multiples vulnérabilités dans PHP
- CERTA-2006-AVI-172 : Vulnérabilité dans 3Com Baseline Switch 2848-SFP Plus
- CERTA-2006-AVI-173 : Multiples vulnérabilités dans les mises en œuvres du protocole DNS
- CERTA-2006-AVI-174 : Vulnérabilité du logiciel client IVE de Juniper
- CERTA-2006-AVI-175 : Vulnérabilité de la bibliothèque multimedia xine-lib
Durant la même période, les publications suivantes ont été mises à jour :
- CERTA-2006-AVI-051-001 : Vulnérabilité sur les concentrateurs VPN 3000 CISCO
- CERTA-2006-AVI-130-003 : Vulnérabilités de Dia
- CERTA-2006-AVI-156-003 : Multiples vulnérabilités dans Firefox