S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 15 septembre 2006
N° CERTA-2006-ACT-037
Affaire suivie par: CERT-FR
le 15 septembre 2006

Bulletin d'actualité du CERT-FR

Objet: Bulletin d’actualité 2006-37

Gestion du document

Référence CERTA-2006-ACT-037
Titre Bulletin d’actualité 2006-37
Date de la première version 15 septembre 2006
Date de la dernière version 15 septembre 2006
Source(s)
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

1 Activité en cours

1.1 Données insérées dans une base de données

Le CERTA a traité cette semaine un incident concernant une base de données. Celle-ci est accessible par le biais d’un formulaire d’une page web. les utilisateurs, en enregistrant différentes informations, remplissent à distance des champs de la base.

De manière générale, plusieurs services peuvent s’appuyer sur une même base de données. Ils interrogent celle-ci par différentes requêtes qui leur sont propres. Il est donc important de vérifier, avant toute nouvelle entrée dans une base de données :

  • la syntaxe des données introduites : il s’agit ici de vérifier le format des variables, ainsi que leur longueur, et leur contenu (interdiction de caractères spéciaux) ;
  • la sémantique des données introduites : il s’agit de vérifier ici que les données introduites gardent un sens. Dans le cas de dates de naissance par exemple, il faut donc limiter la valeur du champ ‘jour’ (1 à 31), du ‘mois’ (1 à 12), voire de l’année (supérieure à 1890). Une seconde illustration concerne les codes postaux associés aux noms de ville.
Ce contrôle doit se faire côté serveur avant l’insertion des nouvelles données dans la base. Celle-ci doit être aussi construite de manière à anticiper de mauvaises entrées ou des entrées incohérentes (rôle des clés primaires et droits sur les tables).

1.2 Configuration de Webdav

Dans le cadre d’un traitement d’incident, le CERTA recommande d’être vigilant dans l’usage de Webdav.

Webdav est une extension du protocole HTTP permettant la mise à jour de contenu HTML sur un serveur web sans utiliser d’autres services (ftp, sftp, samba) que le serveur web. Il convient de prendre garde à l’utilisation qui peut être faite d’un tel protocole. En effet l’utilisation de Webdav revient à autoriser la méthode PUT sur le serveur web. Celle-ci permet la dépose de fichiers sur un serveur web, parfois sans autorisation préalable. Un serveur web offrant des fonctionnalités webdav mal configurées permet à un éventuel attaquant de modifier un site web. De manière générale, il est fortement déconseillé d’utiliser webdav sur un serveur de production. Il est préférable de réserver cette technologie à un serveur interne de test ou de développement.

1.3 Publication concernant IPv6

Le CERTA a publié cette semaine une note d’information concernant les enjeux liés à la sécurité lors d’un déploiement vers IPv6. Cette note reprend quelques principes associés à ce nouveau protocole, et en explique différents risques. Elle présente aussi un ensemble de recommandations à considérer, que le déploiement soit envisagé ou pas.

La note est accessible à l’adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-INF-004/index.html

2 Mises à jour Microsoft du mois de septembre 2006

2.1 Récapitulatif

Microsoft a publié mardi 12 septembre 2006 trois nouveaux bulletins de sécurité, concernant :

  1. une vulnérabilité du protocole de diffusion (PGM) sur les systèmes d’exploitation Windows XP. Ce protocole n’est pas activé par défaut. (CERTA-2006-AVI-387)
  2. une vulnérabilité du service d’indexage concernant la majorité des systèmes d’exploitation Windows. Cependant cette vulnérabilité n’est exploitable que sous certaines conditions, avec l’utilisation sur le même système d’un serveur Web IIS. (CERTA-2006-AVI-388)
  3. une vulnérabilité jugée critique dans Microsoft Publisher. Une personne malveillante pourrait construire un fichier exploitant celle-ci, afin d’exécuter du code arbitraire sur le système où le document est ouvert. (CERTA-2006-AVI-389)

2.2 Correctifs de mises à jour

En complément des trois bulletins précédents, Microsoft a réédité deux bulletins :

  • MS06-040 : il s’agit d’un correctif lié au service Serveur. Le précédent correctif pouvait entraîner certains dysfonctionnements des systèmes d’exploitation Windows Server 2003 SP1 et Windows XP Professionnel Edition x64.
  • MS06-042 : il s’agit d’une deuxième mise à jour du bulletin (la première datant du 24 août 2006) lié à Internet Explorer. La précédente version introduirait une nouvelle vulnérabilité dans les navigateurs Internet Explorer 6 (version SP 1) et Internet Explorer 5.01 SP 4.

Le CERTA recommande, dans la mesure du possible, d’appliquer de nouveau les correctifs fournis par les précédents bulletins MS06-040 et MS06-042.

2.3 Problèmes liés à ActiveX

Une nouvelle vulnérabilité ciblant un contrôleur ActiveX (DirectAnimation Path) est actuellement exploitée, mais n’est pas corrigée par les bulletins Microsoft de septembre (http://www.microsoft.com/technet/security/advisory/925444.mspx). Ce contrôleur se trouve dans le module nommé Daxctle.ocx. Cette vulnérabilité non corrigée liée à ActiveX s’ajoute à celles dévoilées en juillet (cf. les bulletins d’actualité du CERTA du mois de juillet 2006).

Le CERTA recommande donc vivement de vérifier que les options ActiveX sont désactivées par défaut dans le navigateur Internet Explorer. Elles ne doivent être utilisées que ponctuellement, au cours de la visite de pages web de confiance.

Pour désactiver ActiveX sous Internet Explorer :

  • Ouvrir Internet Explorer
  • Cliquer sur le menu «Outils»
  • Choisir «Options Internet»
  • Afficher l’onglet «Sécurité»
  • Cliquer sur «Personnaliser le niveau»
  • Sélectionner Désactiver pour les lignes suivantes :
    • ‘Contrôles ActiveX et Plugins’
    • ‘Contrôles ActiveX reconnus sûrs pour l’écriture de scripts’
    • ‘Contrôles d’initialisation et de script ActiveXnon marqués comme sécurisés’
    • ‘Exécuter les contrôles ActiveX et les plugins’
    • ‘Télécharger les contrôles ActiveX’ (signés et non signés)

3 Pourriels

3.1 Remarques concernant les pourriels

Des abonnés du CERTA ont signalé une recrudescence d’un pourriel à caractère antisémite très largement distribué. Ces courriers électroniques avaient déjà étaient diffusés par le passé. Les messages contiennent une diatribe de plus de 60 pages. L’objet du message est «Trop c’est trop…».

Il est rappelé de ne jamais répondre aux messages non sollicités et de s’appuyer sur la note d’information du CERTA sur le Spam (http://www.certa.ssi.gouv.fr/site/CERTA-2005-INF-004/index.html). Vous trouverez aussi sur le site Signal-spam (http://www.signal-spam.fr) des informations et des moyens de lutter contre le spam.

3.2 Protection des machines personnelles

Le CERTA a été informé dans le cadre de la coopération internationale entre CSIRTs d’un nombre conséquent de machines compromises par un cheval de Troie connu (Haxdoor). Ce cheval de Troie est muni d’une fonctionnalité de capture des frappes clavier (keylogger). Ainsi de nombreux internautes se connectant sur des sites (institutionnels, marchands, bancaires, etc) laissent fuir à leur insu les informations confidentielles saisies sur les pages web. Cette fuite a lieu que la connexion soit sécurisée ou pas.

D’une façon générale, le CERTA rappelle les bonnes pratiques suivantes en matière de protection de son ordinateur personnel :

  • l’Internet est une rue : il faut rester vigilant lorsque l’on s’y déplace;
  • être vigilant lors de l’ouverture des pièces jointes aux messages électroniques. Ces pièces jointes sont traditionnellement un moyen facile pour compromettre un ordinateur;
  • mettre à jour régulièrement ses logiciels (système d’exploitation, navigateur Internet, messagerie, anti virus, etc.) : les codes malveillants profitent souvent des logiciels non corrigés pour se propager;
  • utiliser un pare-feux pour filtrer ce qui entre et sort de votre ordinateur;
  • ne jamais répondre aux messages non sollicités (spam);
  • ne jamais ouvrir des messages dont l’origine est inconnue ou l’objet douteux.

Pour comprendre les termes techniques de la sécurité des systèmes d’information, nous vous invitons à consulter le document suivant :

http://www.certa.ssi.gouv.fr/site/CERTA-2006-INF-002/index.html

Pour de plus amples informations sur la façon de se protéger contre les codes malveillants, nous vous recommandons de lire le mémento du CERTA à ce sujet, disponible à l’adresse suivante :

http://www.certa.ssi.gouv.fr/site/CERTA-2005-INF-002/index.html

3.3 Signalement au CERTA de courriers électroniques anormaux

Dans le cas où vous souhaiteriez demander l’avis technique du CERTA concernant des courriers électroniques reçus, il est important de lui envoyer l’ensemble des informations disponibles. Cela inclut l’en-tête du message dans son intégralité, celle-ci contenant des indications de l’origine (adresses IPs). Attention, quand vous utilisez Transférer sous Outlook, l’intégralité du message d’origine n’est pas transmise, et en particulier l’en-tête.

Concernant Outlook (versions 2000 et XP), une en-tête complète peut se récupèrer de la façon suivante :

  1. Sélectionner le message
  2. Cliquer sur le menu «Affichage»
  3. Choisir «Options»
  4. Copier-coller l’en-tête complète qui s’affiche dans la fenêtre

Concernant Mozilla Thunderbird :

  1. Sélectionner le message
  2. cliquer sur le menu «Affichage»
  3. Choisir «Source du message»
  4. Copier-coller le texte qui s’affiche dans une nouvelle fenêtre

Rappel des avis émis

Dans la période du 04 au 10 septembre 2006, le CERT-FR a émis les publications suivantes :


Durant la même période, les publications suivantes ont été mises à jour :

Gestion détaillée du document

    le 15 septembre 2006
    version initiale.