1 Réutilisation d’identifiants
Dans le cadre de l’analyse d’un incident, le CERTA a mis en évidence un vol d’identifiants de connexion à une base de données MySQL en utilisant une ancienne vulnérabilité de phpBB. Ces identifiants ont ensuite été rejoués par l’attaquant pour se connecter au service ftp de la même machine.
Recommandation :
Il est suggéré d’utiliser des mots de passe différents pour chaque service. Il ne faut pas oublier que certains services stockent les identifiants de connexion sans chiffrement dans des fichiers.
2 Mise à jour de l’avis MS06-025
Microsoft a mis à jour le correctif indiqué dans l’avis MS06-025. Celui-ci posait quelques problèmes pour les utilisateurs connectés à l’Internet avec un modem classique (RTC).
Le CERTA n’a pas fait de mise à jour de l’avis CERTA-2006-AVI-244 puisque les informations qui y sont contenues ainsi que les références restent inchangées.
A noter qu’il existe déjà des outils exploitant automatiquement cette vulnérabilité. Les systèmes sous Windows 2000 et Windows XP Service Pack 1 sont plus exposés car l’exploitation de la vulnérabilité peut se faire sans authentification préalable (contrairement aux systèmes sous Windows XP Service Pack 2 et sous Windows 2003 pour lesquels une authentification est nécessaire).
Rappel des avis émis
Dans la période du 19 au 25 juin 2006, le CERT-FR a émis les publications suivantes :
- CERTA-2006-AVI-248 : Vulnérabilité dans l’authentification sur HP System Management Homepage
- CERTA-2006-AVI-249 : Vulnérabilité dans Cisco CallManager
- CERTA-2006-AVI-250 : Plusieurs vulnérabilités dans IBM WebSphere Application Server
- CERTA-2006-AVI-251 : Vulnérabilité du noyau Linux
- CERTA-2006-AVI-252 : Vulnérabilité dans Invision Power Board
- CERTA-2006-AVI-253 : Multiples vulnérabilités dans MAILsweeper de Clearswift
- CERTA-2006-AVI-254 : Vulnérabilité dans Webmin
- CERTA-2006-AVI-256 : Vulnérabilité du navigateur Opera
- CERTA-2006-AVI-257 : Vulnérabilité dans FortiGate
Durant la même période, les publications suivantes ont été mises à jour :
- CERTA-2005-AVI-490-005 : Vulnérabilité sur le module mod_imap d’Apache
- CERTA-2006-AVI-124-005 : Vulnérabilité de Sendmail
- CERTA-2006-AVI-246-001 : vulnérabilité du serveur Sendmail
