S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 13 juillet 2006
N° CERTA-2006-ACT-028
Affaire suivie par: CERT-FR
le 13 juillet 2006

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2006-28

Gestion du document

Référence CERTA-2006-ACT-028
Titre Bulletin d’actualité 2006-28
Date de la première version 13 juillet 2006
Date de la dernière version 13 juillet 2006
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Problèmes liés à extCalendar

Plusieurs défigurations ont été relevées cette semaine, certaines impliquant des sites institutionnels ou académiques. Le traitement de ces incidents, en collaboration avec le CERT Renater, a permis d’identifier dans les journaux la cause de celles-ci. Il s’agit d’une vulnérabilité affectant le produit extCalendar. Ce composant permet de faire apparaître un calendrier. Il s’interface avec les produits Mambo et Joomla!, très souvent utilisés pour développer des sites Internet. L’attaque permet d’acquérir les droits du serveur web et de modifier toute page du serveur. La prise de contrôle de la machine est possible et a été constatée dans les incidents traités. La vulnérabilité n’étant pas corrigée, le CERTA a émis une alerte (CERTA-2006-ALE-008) en indiquant un contournement provisoire. Le CERTA appelle l’attention des responsables sécurité et des administrateurs sur les risques d’attaques via cette vulnérabilité compte tenu du déploiement massif de ce composant. Il est par ailleurs vivement conseillé de n’installer que les modules applicatifs nécessaires au bon fonctionnement du site.

2 Site Web et redirection d’URL

Le traitement d’un incident cette semaine conduit le CERTA a rappelé quelques principes concernant les redirections d’URL (ou adresses réticulaires).

Au niveau applicatif :

Quand une adresse appelle un script qui permet d’insérer un objet référencé sous forme d’une seconde adresse, il est important de vérifier le format de celle-ci. Par exemple, considérons l’adresse de la forme :

http://www.A.B/index.php?AfficheObjet insert=http://adresse_Objet.C.D/etc..

Il est important de vérifier que le domaine C.D est bien celui de la redirection voulue. Dans le cas contraire, le site peut fonctionner comme un outil de redirection vers d’autres sites. Rien n’empêche alors une personne malveillante d’envoyer un courriel contenant la nouvelle adresse, pour rediriger le lecteur vers un site compromis via le site légitime.

Au niveau du pare-feu :

Le serveur Web n’a souvent aucune raison d’initier des connexions HTTP ou FTP vers des machines extérieures, ou alors il s’agit de sites clairement identifiés. Ces connexions doivent donc être correctement bloquées au niveau du pare-feu séparant le site web du monde extérieur. Cette opération protège également du problème de redirection mentionné ci-dessus.

3 Recommandations pour l’été

Le CERTA souhaite aux lecteurs du bulletin d’actualité d’excellentes vacances d’été. Nous rappelons à cet égard qu’il est important d’identifier au sein de l’administration des systèmes d’information une personne suppléante qui pourra s’occuper des problèmes de sécurité pendant l’été.

Rappel des avis émis

Dans la période du 03 au 09 juillet 2006, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :

Gestion détaillée du document

    le 13 juillet 2006
    version initiale.