1 Activité en cours
1.1 Incidents traités par le CERTA
Le CERTA a traité un nouveau cas de défiguration par exploitation d’une faille de Claroline/Dokeos (voir avis CERTA-2006-AVI-192 et CERTA-2006-AVI-193). Ces deux logiciels ont fait l’objet de très nombreuses attaques récemment. Il est important de noter que la défiguration n’est qu’un aspect visible et non systématique d’une attaque, et que les vulnérabilités (rendues publiques) affectant Claroline et Dokeos permettent l’exécution de code à distance (à condition que le paramètre register_globals soit positionné sur ON dans le fichier php.ini).
2 Vulnérabilité affectant RealVNC
Une vulnérabilité a été récemment publiée dans le produit RealVNC (voir avis CERTA-2006-AVI-198). Ce logiciel est généralement déployé afin de permettre la télé-administration de certains postes de travail. Quelques outils exploitant cette vulnérabilité ont été publiés sur l’Internet.
Il est donc à prévoir une forte augmentation du trafic à destination du port 5900/tcp. Le CERTA constate une augmentation significative des rejets sur ce port depuis le 15 mai 2006.
Recommandations :
Le CERTA suggère de mettre en place des filtres sur le port 5900/tcp et des intrusions dans les systèmes non corrigés. En général, la télé-administration se fait depuis des machines bien identifiées, il est donc possible de restreindre les connexions entrantes sur le port 5900/tcp provenant d’adresses ou de classes d’adresses précises.
Il est aussi recommandé d’appliquer les correctifs de sécurité indiqués par l’éditeur.
Rappel des avis émis
Dans la période du 08 au 14 mai 2006, le CERT-FR a émis les publications suivantes :
- CERTA-2006-AVI-186 : Vulnérabilité dans les produits Cisco PIX, ASA et FWSM
- CERTA-2006-AVI-187 : Vulnérabilité dans Microsoft Exchange
- CERTA-2006-AVI-188 : Vulnérabilités dans Macromedia Flash Player sous Windows
- CERTA-2006-AVI-189 : Multiples vulnérabilités du service Windows MSDTC
- CERTA-2006-AVI-190 : Vulnérabilité dans Sun Solaris
- CERTA-2006-AVI-191 : Vulnérabilité des antivirus Sophos
- CERTA-2006-AVI-192 : Vulnérabilités dans Claroline
- CERTA-2006-AVI-193 : Vulnérabilité dans Dokeos
- CERTA-2006-AVI-194 : Multiples vulnérabilités du logiciel QuickTime
- CERTA-2006-AVI-195 : Multiples vulnérabilités sous Mac OS X
Durant la même période, les publications suivantes ont été mises à jour :
- CERTA-2006-ALE-004-001 : Multiples vulnérabilités sous Mac OS X d’Apple
- CERTA-2006-AVI-148-001 : Vulnérabilité dans l’explorateur de Microsoft Windows
