Veille Technologique Sécurité
Contents
1. N N raft petrescu nemo threats 00 MSEC raft ietf msec ipsec signatures 00 I O m N Q m m Veille Technologique S curit N 65 Page 16 48 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003 Act MISE J OUR DE DRAFTS TRAITANT DE LA S CURIT Draft Date Titre Jdraft ietf send cga 04 Cryptographically Generated Addresses CGA CMS M Use of the PSS Signature Algorithm in CMS COPS jdraft vatiainen mcop cops 01 7 12 Multicast Control Protocol MCOP over COPS CRYPTO draft eastlake randomness2 05 andomness Requirements for Security raft nakajima camellia 03 key lengths 06 neme A S NS raft ietf dnsext dnssec intro 08 raft ietf dnsext dnssec protocol 04 raft ietf dnsext dnssec records 06 raft ietf dnsext keyrr key signing flag 12 raft ietf dnsext nsec rdata 03 P D EAP draft ietf eap rfc2284bis 07 raft ietf Idapbis authmeth 09 raft ietf msec mikey 08 MOBILEIP draft carroll dynmobileip cdma 03 draft nikander mobileip v6 ro sec 02 draft ietf mip4 aaa nai 02 2 draft ietf pkix proxy 10 23 12 Internet X 509 Proxy Certificate Profile draft ietf sasl crammds5 01 draft ietf sasl rfc2222bis 04 draft nourse scep 09 draft yang scxp 01 ECURITY DRAFTS TRAI T2. Communications oport de iogique p x Les informations fournies dans ce document ont t collect es et compil es partir de sources d origines diverses et publiquement accessibles mailing lists newsgroups sites Web Ces informations sont fournies pour ce qu elles valent sans garantie d aucune sorte vis vis de l exactitude de la pr cision ou de la qualit de l information Les URL associ es certains th mes sont valid es la date de la r daction du document Les symboles d avertissement suivants seront ventuellement utilis s Site dont la consultation est susceptible de g n rer directement ou indirectement une attaque sur l quipement de consultation voire de faire encourir un risque sur le syst me d information associ Site susceptible d h berger des informations ou des programmes dont l utilisation est r pr hensible au titre de la Loi Francaise Aucune garantie ne peut tre apport e sur l innocuit de ces sites et en particulier sur la qualit des applets et autres ressources pr sent es au navigateur WEB La diffusion de ce document est restreinte aux clients des services VTS RAPPORT et VTS ENTREPRISE Les marques et les produits cit s dans ce rapport sont la propri t des d positaires respectifs APOGEE Communications Pour tous renseignements 15 Avenue du Cap Horn Offre de veille http www apogee com fr veille ZA de Courtaboeuf Informations vts i
3. X J f Cassage de mots de passe Cracklib2 NEEN John the ripper XX J Chiffrement Cryptat e X 2 X L GPG J 412434 J J J X49 X e XX OpenSSL 097a BE ZE PE SSLWrap EE Tel XX Firewall j Gtk I pTables X Swatch SysLogd WE iL Pot de Miel E MM Honeyd ___ ethereal 2095 A 4 X X J JA X EtherRape 0823 X J X O ettercap echoping X I p sorcerer C X l 9 J LinNeighboorhood EE iil JB Macchangr Veille Technologique S curit N 65 Page 7 48 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003 Apogi paketto Samba O tcpdump O _ tcpflowv Service 0 S Httptunnel Utilitaires Windows THC CuPass nbtdump md5deep pdd Cette liste comparative met bien en vidence les deux probl mes end miques toutes les distributions autonomes savoir une s lection anarchique des outils et applications embarqu es en notant toutefois que la distribution PHLAK int gre nombre de paquetages directeme
4. ALERTES AT ALERTES GUI DE DE LECTURE La lecture des avis publi s par les diff rents organismes de surveillance ou par les constructeurs n est pas toujours ais e En effet les informations publi es peuvent tre non seulement redondantes mais aussi transmises avec un retard cons quent par certains organismes D s lors deux alternatives de mise en forme de ces informations peuvent tre envisag es Publier une synth se des avis transmis durant la p riode de veille en classant ceux ci en fonction de l origine de l avis Publier une synth se des avis transmis en classant ceux ci en fonction des cibles La seconde alternative pour s duisante quelle soit ne peut tre raisonnablement mise en oeuvre tant donn l actuelle diversit des syst mes impact s En cons quence nous nous proposons de maintenir une synth se des avis class e par organisme metteur de l avis Afin de faciliter la lecture de ceux ci nous proposons un guide de lecture sous la forme d un synoptique r sumant les caract ristiques de chacune des sources d information ainsi que les relations existant entre ces sources Seules les organismes constructeurs ou diteurs disposant d un service de notification officiel et publiquement accessible sont repr sent s Avis S p cifiques nd pendants R seaux Syst mes Syst mes Editeurs _ Autres IBM NetBSD Typologies des informations publi es Ope
5. 4 06 ______ 22 12 draft ietf v6ops ipv4survey ops 05 22 12 draft ietf v6ops ipv4survey routing 03 05 12 draft ietf v6ops ipv4survey subip O4 01 12 draft ietf v6ops ipv4survey trans 05 04 12 draft ietf v6ops isp scenarios analysis 00 05 12 draft nickless ipv4 mcast unusable 03 08 12 draft dupont ipv6 imei 06 16 12 draft ietf ipv6 flow label O9 1 16 12 IPv6 Flow Label Specification draft ooms v6ops bgp tunnel 01 22 12 Connecting I Pv6 Islands across IPv4 Clouds with raft ietf isis experimental tlv 01 raft ietf isis ip interoperable 02 raft ietf isis iso interoperable 02 raft dasilva I2tp relaysvc 08 raft ietf ccamp Imp test sonet sdh 04 raft ietf ccamp Imp wdm 03 raft ietf mboned ipv4 mcast unusable 01 raft lehtonen mboned mcop operation 01 raft stiemerling midcom server mib 00 raft vida mld v2 08 raft baker tsvwg mlef concerns 00 raft baker tsvwg mlpp that works 00 Veille Technologique S curit N 65 Page 18 48 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003 MMUSIC draft ietf ccamp gmpls ason reqts 05 01 12 Requirements for GMPLS Signaling Usage amp Extensions for ASON NLTP draft jeong nsis mobility ntlp 01 02 12 Mobility Functions in the NTLP NOID drafttemplin isnoid 01 03 12 Operation of the NOID Multihom
6. APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003 Ainsi le choix du nom svchost exe la porte d rob e Dewin offre une couverture id ale Ce nom d signe en effet une application g n rique d nomm e Generic Host Process for Win32 Services destin e servir de support aux services Internet impl ment s sous la forme d une librairie dynamique partages r seaux acc s distants Aucune information concernant le service associ chaque instance de cette application n tant d livr e par les outils d administration on comprendra la difficult que rencontrera un utilisateur s parer le grain de l ivraie Le concepteur de la seconde porte d rob e a choisi une voie alternative plus compliqu e sur le plan de la programmation Une instance masqu e du navigateur Internet Explorer est ex cut e puis le code de la porte d rob e contenu dans une librairie dynamique est greff sur cette instance en utilisant les fonctions ad hoc offertes par le syst me Windows L utilisateur remarquera tout au plus l existence d un processus correspondant une instance du navigateur et n en sera pas alarm moins de ne jamais avoir ouvert ce navigateur Nombre de situations de ce type pourraient tre vit es par la mise disposition d outils ergonomiques et fiables permettant de visualiser les ressources associ es
7. Cette annonce est presque trop belle pour tre vraie d autant qu aucune information n est fournie sur la technologie sous jacente par ailleurs annonc e pouvoir parer toutes les vuln rabilit s connues dans Windows ou Internet Explorer et ce dans l attente de la fourniture du correctif mensuel promis par Microsoft Nous avons d cid de tester ce produit en consid rant qu il serait cependant x difficile d valuer son efficacit r elle aucune s rie de tests n tant disponible dans ce contexte contrairement ce qui se pratique dans le domaine de la protection anti virale L installation de Qwik Fix est ais e et sans aucune surprise Une ic ne pr sente dans la barre des t ches permet d acc der la fen tre de configuration permettant de d sactiver la protection pour ventuellement modifier la liste des protections propos es ou encore mettre jour le produit Wl wik Fix by PivX GIE QWIKFIX Options Check desired fixes Unchecked fixes will not be enabled Click SAVE below and then ENABLE PROTECTION apply changes VERSION 0 57 PIVX LABS Status Protection Enabled Help Feedback Check for Updates Qwik Fix is designed to pro actively prevent current and future security threats in Windows and Internet Explorer Qwik Fix is automatically Advanced Options updated whenever new threats are detected Disable Protection OWIK FIX powered by PivX Le fonctio
8. 03 22 22 SES 09 MM 09s 09 s BECK 0 oo 29 03s 09s poc 40 17 25 COSE SU Sc S9 Sii Sab SCH 42 42 22 46 07 08 01 16 105 12 d 12 12 127 12 12 STE 154 154 15247 154 12597 215 2105 sede 212 1 1 96 1 26 97 136 97 136 97 136 175 242 15552 o TO 212470 SE SORA This mail was powered by anapirate Extrait du rapport de synth se Feu c alarme 200 2005 EDU INTE 00 SE TEE AU RS 22 DIOS 0172102722 00 9 EDI 20 02 12 2003 027262220108 02 42 7200 027402727008 HH pos 09e 22 22E css GER TOR IOE ES us MM 09 055 06 0 SN I7 POR SIE OOE Siga 5 lignes log cisco ou 10 packets Masques lignes ignorees sample ignore cert DD MM YYYY SS 31 IRG 40 01 46 07 05 05 01 16 toO toO toO Lo toO to Lo toO toO toO DD MM YYYY 30 11 2003 30 11 2003 30 11 2003 30 11 2003 30 11 2003 01 12 2003 30 11 2003 0272102727 010 027262772010 0272027200 027102727008 Veille Technologique S curit N 65 APOGEE Communications Tous droits r serv s HH Lles EE 22 QS 09 MOE 03 9 OS MM 09 09 OHE 30 g E ds 57 Sion 50o 30 99 31 31 Sch 42 42 46 07 05 05 01 16 EE 127 qu d 12 12 12
9. IF Ver Tripwire lint grit LINUX 2 3 47 15 08 00 http www tripwire org downloads index php ChkRootKit Compromission UNIX 27 12 03 http www chkrootkit org D TECTI ON D I NTRUSI ON Nom Fonction Mer Date Soure ttp all net dtk index html ttp ciac IInl gov cstc nid nid html Snort IDS R seau Bin 18 12 03 http www snort org dl Shadow IDS R seau D 30 04 03 http www nswc navy mil ISSEC CID N on Dat So Elsa Requ tes HTTP L4 5 01 04 00 fhttp www stoev org elza project news html FireWalk JjAnalysefiltres Su 20 10 02 fhttp www packetfactory net firewalk O y O IPSend Pequetts lP 21 19 09 97 tp coombs anu edu au pub net misc O Z O Z O Z O O DrawBridge FreeBsd 19 04 00 lhhttp drawbridge tamu edu IpFilter Filtre datagramme 3 4 33p2 24 11 03 http coombs anu edu au ipfilter ip filter html INetFilter Pare Feu IpTables 02 11 03 http www netfilter org downloads html No Foncti Ver Date Sourc FreeSwan PilelPSec Bot 13 11 03 lhttp www freeswan org http tunnel Encapsulation http Dos 06 12 00 http www nocrew org software httptunnel html Pile SSH 1 et 2 3 7 1 16 09 03 http www openssh com Stunnel Proxy https 4 04 12 01 03 http www stunnel org TeraTerm Pro Terminal SSH2 08 10 02 http www ayera co
10. une position fixe et ceci pour des raisons d efficacit Cette m thode fonctionne parfaitement dans le cas des impl mentations standards Cependant rien n interdit de transmettre une requ te identique mais encod e dans une forme alternative telle que la position laquelle est recherch e l identification de la requ te contienne une valeur autoris e par la r gle de filtrage On notera ce propos qu il y a quelques ann es l impl mentation du protocole snmp dans les syst mes Windows posait probl me certains quipements de filtrage Microsoft ayant choisi d encoder l une des structures de donn es dans sa forme longue d calant ainsi d un octet la position du code de la requ te Nous conclurons en rappelant que comme toujours dans le domaine de la s curit l essentiel n est pas d assurer une s curit absolue mais d tre inform et de connaitre les limitations des technologies et de leur impl mentation afin d y palier par la mise en place des proc dures ad hoc Dans l exemple cit pr c demment le plus grand risque n tait pas celui g n r par la limitation fonctionnelle du produit connue de l diteur mais non document e mais la m connaissance de celle ci qui laissait croire l utilisateur qu il tait totalement prot g La simple documentation du probl me aurait permis ce dernier de choisir librement d utiliser ou non cette fonctionnalit en connaissance de cause Compl ment d information htt
11. Deux vuln rabilit s dans Cisco Firewall Services Module peuvent entra ner un d ni de service des quipements Forte _ 15 12 Cisco FWSM version 1 1 2 et inf rieure pour Catalyst s ries 6500 617600 2 Mauvaise gestion des requ tes SNMPv3 CVS Une vuln rabilit dans CVS peut autoriser un utilisateur distant cr er des fichiers et des r pertoires de mani re arbitraire Mauvaise gestion des requ tes Security Tracker http www securitytracker com alerts 2003 Dec 1008420 html http ccvs cvshome org servlets NewsitemView newsID 848 ServSessionl dservlets28u3x1myavi1 A A A A THERE Forte os np BEhereal0916 Geannb z Onuru R v lation de la cl priv e ElGamal si Une faille dans GnuPG autorise un utilisateur prendre connaissance de la cl priv e ElGamal sign encrypt de son correspondant Forte 27 11 GnuPG version 1 0 2 et sup rieures lors de l utilisation de cl s ElGamal sign encrypt type 20 Aucun correctif G n ration de cl s type 20 Utilisation d un facteur commun pour le chiffrement et la signature http lists gnupg org pipermail gnupg announce 2003q4 000276 html Cr ation non s curis e de fichiers dans shar Une vuln rabilit dans l utilitaire shar peut conduire un utilisateur local acqu rir des droits privil gi s Forte 01 12 HP HP UX versions B 11 00 B 11 04 et B 11 11 Correctif existant Cr ation de fichiers
12. est automatiquement attach l utilisateur guest et que ce dernier a la visibilit des bases syst mes Master et Msdb Deux questions se posent alors quelles sont les tables impact es par l autorisation d acc s li e au r le Public quels sont les risques encourus r voquer l acc s du r le Public sur ces tables S il est relativement ais de r pondre la premi re question en utilisant les fonctionnalit s offertes par le langage SQL la seconde question requiert d employer une approche moins rigoureuse consistant r voquer les acc s Public table par table jusqu constater un dysfonctionnement de l application s lectionn e pour le test Autant dire que cette approche ne peut garantir que le r sultat sera applicable tous les contextes Fort heureusement bien que peu d information ait t publi e par la soci t Microsoft ce propos les documents Veille Technologique S curit N 65 Page 9 48 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003 diffus s l occasion du dernier d fi OpenHack viennent notre secours Publiquement relev par les soci t s Microsoft et Oracle ce d fi dont la derni re dition a eu lieu en novembre 2002 avait pour objectif d attaquer une architecture WEB dont la configuration avait t pr alablement optimis e par chaque participant Les r sultats ont
13. 219 2 215 TSF L35 154 154 97 136 97 136 97 136 97 136 dome 212 559 154 9204 76 2 Ox 0d 6 2 62402 oS CARS 594 L198 L196 IP 62 62 627 62 627 ze 62 O2 62 62 62 ds gt qp ggg 0 w uvu wv w w w 5 24 T29 22 22 m 2 2 14 20 25 184 24 20164925 Responsable securite Security Manager my SEE MY TOWN IP dst 62 627 Oz 62 ES 62 Oz mn WU DJ g e v v v w 24 28 23 27 20 s 14 250 so 24 125 Service dst Nbre AMS 1 tep 135 12 tcp 445 14 tco m tcp 445 T1 udp 1026 ii 445 1 9 1 tco 193 i tep 21 1 2 Service dst Nbre 445 il tep 1335 12 Ecb 445 14 EccL S9 T3 tcp 445 EE tcp 445 1 tep 135 ii pco 1 tep 9 1 EUM 1 rep 2 43 48 Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003 A l usage AnaPirate s av re offrir une tr s int ressante visibilit sur les tentatives d acc s illicites dont la volum trie est g n ralement masqu e par les regroupements op r s par les outils traditionnels que ce soit detescan ou encore le remarquable outil fwlogwatch Rapport N 53 D cembre 2002 On notera l absence de quelques fonctionnalit s qui seraient pourtant bien utiles dans le contexte d utilisation de ce type d outil et notamment la
14. D cembre 2003 HP a r vis le bulletin HPSBUX0303 252 sur xdrmem getbytes afin d annoncer la disponibilit des correctifs PHCO 28480 et PHCO 28481 pour HP UX versions B 11 00 et B 11 11 Ils corrigent un d bordement de buffer dans la fonction xdrmem getbytes http wwwb itrc hp com service cki docDisplay do docl d ZHPSBUX0303 252 R vision du bulletin HPSBUX0310 291 HP a r vis le bulletin HPSBUX0310 291 sur OpenView Network Node Manager NNM afin d annoncer la vuln rabilit des versions 5 02 6 01 6 10 et 6 31 pour environnement Microsoft Windows Ce bulletin indique par ailleurs que les versions pour HP HP UX et Sun Solaris ne sont pas vuln rables HP annonce aussi la disponibilit de nouveaux correctifs http wwwA itrc hp com service cki docDisplay do docl d HPSBUX0310 291 Mise jour du bulletin HP HPSBUX0311 303 HP a mis jour son bulletin HPSBUX0311 303 concernant une vuln rabilit dans BIND pouvant conduire un d ni de service IlI annonce la disponibilit du correctif PHNE 30068 pour HP HP UX B 11 11 rempla ant le correctif initial SSRT3653UX depot http wwwA4 itrc hp com service cki docDisplay do docl d HPSBUX0311 303 CAN 2003 0914 Correctifs pour OpenSSH HP a annonc la disponibilit des correctifs pour OpenSSH pour HP UX B 11 04 VVOS avec Virtualvault A 04 60 Une vuln rabilit peut conduire l ex cution de code arbitraire distant sous des droits privil gi s http
15. Exp 646 12 03 Pst 643 12 03 Eet IETF 3299 12 03 Inf Request for Comments Summary RFC Numbers 3200 3299 49 12 03 Inf Request for Comments Summary RFC Numbers 3400 3499 599 12 03 nf Request for Comments Summary RFC Numbers 3500 3599 677 12 03 BCP ISOC Board of Trustee Appointment Procedures MGCP 660 12 03 Inf Basic Media Gateway Control Protocol Packages 661 12 03 Inf Media Gateway Control Protocol MGCP Return Code Usage MIB 3621 12 03 Pst 3665 12 03 BCP 3649 12 03 Exp HighSpeed for Large Congestion Windows WEBDAV 3648 12 03 Pet Web Distributed Authoring and Versioning WebDAV Ordered Collections Protocol LES DRAFTS NOUVEAUX DRAFTS TRAI TANT DE LA S CURI T itr e 2 SOBER 128 A Fast Stream Cipher with Simultaneous MAC 2 Service Authentication Architecture Using EAP Key HTTP URL Scheme extension for authentication raft paddon sober128 00 02 raft yanagiya eap saa 00 aft melnikov http auth url 00 raft hoffman pki4ipsec profile 00 PSEC raft ietf ipsec esp ah algorithms 00 RYPTO I O LA N N LA lt N rofile for Certificate Use in IKE version 1 j S S P 2 raft lior radius attribute type extension 00 18 12 SPAM raft stout antispam 00 4 Anti Spam Recommendations 11 for SMTP MTAs raft stebila secsh ecdh 00 02 12 EC Diffie Hellman Key Exchange for SSH Transport Level Protocol N N UJ
16. Le communiqu de presse publi sur le site gouvernemental de la s curit des syst mes d information pr cise que cette agence n a pas pour vocation le traitement au jour le jour des incidents informatiques lesquels seront trait s par les quipes nationales existantes de r ponse aux incidents Elle sera plus particuli rement charg e de l analyse des risques et de la promotion des actions de pr vention des incidents Compl ment d information http www ssi gouv fr fr actualites aecsri html Communiqu de presse du SSI Veille Technologique S curit N 65 Page 13 48 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003 LOGICIELS LIBRES LES SERVICES DE BASE Les derni res versions des services de base sont rappel es dans les tableaux suivants Nous conseillons d assurer rapidement la mise jour de ces versions apr s qualification pr alable sur une plate forme d di e 7 8 4 3 24 11 03 DHCP Serveur d adresse 3 0p2 15 01 03 http www isc org products DHCP dhcp v3 html NTP4 15 10 03 http www ntp org downloads html WU FTP Serveur de fichiers 2 6 2p 28 08 03 http www wu ftpd org lon gt IMAP4 Relev courrier 2002e 09 09 03 fftp ftp cac washington edu imap POP3 Relev courrier 4 0 5 13 03 03 fftp ftp qualcomm com eudora servers unix popper SENDMAIL Serveur de courrier 8 12 10 24 09 03 f
17. Reprise de l avis Sun 57451 Le CIAC a repris sous la r f rence O 041 l avis Sun 57451 traitant de multiples vuln rabilit s dans les services d impression de Sun Solaris peuvent conduire un utilisateur local acqu rir les droits privil gi s root http www ciac org ciac bulletins o 041 shtml Reprise de l avis Red Hat RHSA 2003 403 Le CIAC a repris sous la r f rence O 041 les avis Red Hat RHSA 2003 403 et RHSA 2003 404 traitant des d bordements de buffer dans le client ftp Iftp pouvant conduire l ex cution de code arbitraire http www ciac org ciac bulletins o 042 shtml CAN 2003 0963 Reprise de l avis HP HPSBUX0311 302 Le CIAC a repris sous la r f rence O 030 l avis HP HPSBUX0311 302 au sujet d un d bordement de buffer dans OpenSSH pour le syst me HP UX B 11 04 VVOS avec VirtualVault A 04 60 http www ciac org ciac bulletins 0o 030 shtml Reprise de l avis Red Hat RHSA 2003 408 Le CIAC a repris sous la r f rence O 043 l avis Red Hat RHSA 2003 408 au sujet de la disponibilit des correctifs noyaux 115 liminent une vuln rabilit autorisant un utilisateur local acqu rir des droits privil gi s lui permettant d acc der aux descripteurs de fichiers restreints http www ciac org ciac bulletins 0o 043 shtml CAN 2003 0476 Reprise de l avis Sun 57455 Le CIAC a repris sous la r f rence O 044 l avis Sun 57455 concernant une vuln rabilit dans l interpr teur de commande tcsh
18. exe Adobe Acrobat Assistant This background task is installed when vou install the full version af forme d un tableau de trois colonnes Adobe Adobe Acrobat It comes into action when you dont la premi re r f rence le nom du create PDF files from nan Adobe applications en through the watched Folders feature af processus la seconde indique le nom EE de l application ayant activ ce T Recommendation EE et la derni re EE Hn Usually harmless Only disable with Startup commentaire apportant diverses Manager if you specifically experience problems pr cisions techniques with it Un index alphab tique permet Activation Activation Microsoft s Activation module for their Windows d acc l rer l acc s aux informations XP and Microsoft Office XP 2002 products contenues dans ce tableau dont un deed Recommendation extrait est propos ci contre pour alone We are not yet sure as to how exemple exactly ACTIVATION ESE works however given T D the problems one can run into with inactivated Nous avons particuli rement appr ci Windows XP Office XP Office 2002 products at en maintes occasions la pertinence the best af times we do not recommend doing des l ments fournis en regrettant SE cependant de ne pas disposer d une Addrbook Addrbook exe Novell Groupwise Address Book This task interface de recherche plus volu e appears when you first use the GroupWise Compl ment d information http www
19. impacte directement les dispositifs de filtrage ou de s curit devant inspecter le contenu du flux de donn es pour d terminer les r gles applicables S il est ais de traiter les flux de donn es pour lesquels les l ments pertinents se trouvent des positions fixes et immuables il en va tout autrement avec les flux comportant des donn es encod es en BER ou DER et plus largement sous une forme Longueur Valeur Le syst me de filtrage doit alors int grer les fonctions de d codage pour assurer pleinement sa fonction et ce au d triment des performances et avec les risques que l on sait d sormais si les donn es ne sont pas encod es correctement Le concepteur de tels syst mes est alors confront au dilemme suivant d coder totalement le flux de donn es avec une perte de performance cons quente et une possibilit non n gligeable d atteinte en d ni de service d coder le flux de donn es de mani re approximative en acceptant le risque d autoriser certains flux normalement interdits Cette derni re option est g n ralement retenue Un cas pratique permettra de mieux cerner le probl me celui du filtrage volu du protocole SNMP dont les donn es sont structur es en ASN 1 au format BER et g n ralement en forme concise tant donn e la faible taille des structures Certains filtres vont alors directement rechercher le code correspondant la requ te get getnext ou set par exemple
20. la premi re application disponible permet de traiter le protocole FastTrack et donc de g rer dynamiquement les applications utilisant celui ci Kazaa bien entendu mais aussi th oriquement tous les d riv s dont KazaaLite K iMesh Grokster WinMX OpenNAP La version 1 est annonc e avoir t test e avec succ s face Kazaa 2 1 1 et 2 5 1 KazaaLite 2 0 2 K 2 4 3 iMesh 4 1 build 132 et 4 2 build 138 Groskter 1 7 e et enfin WinMX 3 31 mm La version 2 en cours de test int gre un m canisme 4662 4665 4672 4673 Figures extraites de l article publi dans Linux ournal 1 UDP Packet OUTPUT INPUT compl mentaire permettant de bloquer le trafic en Chain Chain provenance des clients WinMX et OpenNAP en se r f rant au nom des serveurs contact s La complexit du protocole FastTrack a conduit l auteur WT p enm de FTWall ne pas aborder le probl me de front mais LT ftwall 3ospooted Reply Packet biaiser en exploitant certaines sp cificit s de ce protocole L id e g n rale est ainsi de leurrer le client afin de l obliger se maintenir dans le mode de fonctionnement le plus simple traiter L article publi sur le site LinuxJournal par Chris Lowth pr sente de mani re d taill e le fonctionnement de FTWall face aux diff rentes situations qui peuvent tre rencontr es Durant son initialisation le client Kazaa transmet une s rie de paquets de reconna
21. me distribution nous conclurons en sugg rant l auditeur ou au consultant de s curit de tester les distributions R E et Knoppix PHLAK pour retenir celle la plus adapt e en compl tant celle ci avec les utilitaires requis mais absents Compl ment d information http knoppix std org Distribution Knoppix STD http www phlak org Distribution Knoppix PHLAK http knoppixfr tuxfamily org index php page downloadz knoppixmib Distribution Knoppix MI B http www knoppix net Distribution originale de Knoppix http www linux forensics com downloads html Distribution PenguinSleuth http www distrowatch com dwres php resource cd Liste des distributions LiveCD Veille Technologique S curit N 65 Page 8 48 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003 INFORMATIONS ET LEGI SLATION LES NFORMATI ONS S CURI SATI ON WINDOWS IDENTIFICATION DES PROCESSUS Description Le site AnswersThatWork propose une int ressante liste des processus s ex cutant en t che de fond en environnement Windows L utilisateur mais surtout l exploitant pourront ainsi identifier explicitement les applications actives autrement que par un nom abscons tel que Isass exe ou encore msimm exe pour ne citer que deux exemples classiques Cette liste est pr sent e sous 1 Acrotray amp croTray
22. un processus dans le cas pr sent l URL trait e par le navigateur Internet Explorer et le nom de la librairie de service h berg e par le service svchost Fort heureusement Microsoft semble avoir pris en compte ce besoin dont tout laisse penser qu il pourrait bien tre int gr dans les tous prochains services pack Compl ment d information http www klake org jt malware Articles de arkko Turkulainen http www sysinternals com ntw2k freeware procexp shtml Process Explorer Di GRESSI ONS AUTOUR DE L ENCODAGE ASN 1 Description D Le NISCC centre anglais de coordination des probl mes de s curit a publi mi novembre un tr s int ressant article accompagnant la diffusion de trois alertes ayant pour point commun le traitement incorrect des structures de donn es encod es au format ASN 1 par de nombreuses impl mentations protocolaires dont X400 SMI ME et SSL En 2001 le groupe de recherche en s curit informatique de l universit finlandaise de Oulu d marrait le projet PROTOS destin valider le comportement d un protocole de communication qui l on soumettrait des structures de donn es incoh rentes Les r sultats d sastreux de la premi re campagne de test effectu e sur le protocole LDAP publi s en juillet 2001 passaient quasiment inapercus en dehors de la diffusion de l avis CA 2001 18 du CERT CC La faible diffusion de ce protocole l poque peut expliquer cela En
23. 1100 1200 et 1400 avec Cisco IOS 12 2 8 JA 12 2 11 JA et 12 2 11 J A1 Palliatif propos Cisco IOS Mauvaise gestion des traps SNMP Cisco 46468 http www cisco com warp public 707 cisco sa 20031202 SNMP trap shtml les vuln rabilit s sur Cisco Uni Les r centes installations de Cisco Unity sur serveurs IBM poss dent des comptes utilisateur et des adresses IP positionn s par d faut qu il est n cessaire de supprimer ou de d sactiver Forte 11 12 Cisco Unity sur serveurs cf liste part numbers Palliatif propos Cisco Unity l Existence d un compte utilisateur 2 3 Existence d adresses IP positionn es par d faut Cisco 47186 http www cisco com warp public 707 cisco sa 20031210 unity shtml D ni de service dans les pare feu Pix Deux vuln rabilit s conduisant un d ni de service affectent les pare feu Cisco Pix 15 12 1 Cisco PIX firewall version 6 3 1 6 2 2 et inf rieures 6 1 4 et inf rieures et 5 x x et inf rieures 2 Cisco PIX firewall version 6 2 3 et inf rieures Correctif existant 1 Traitement paquet SNMPv3 1 Mauvais traitement des paquets 2 Client VPN 2 Conflit d acc s sur les sessions Cisco 47284 http www cisco com warp public 707 cisco sa 20031215 pix shtml Veille Technologique S curit N 65 Page 25 48 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003
24. 17 R Guide to Securing Windows NT 9x Clients in a Windows 2000 Network V1 03 06 03 2002 10 Annuaire I Guide to Securing Microsoft Windows 2000 Schema V1 0 06 03 2001 09 I Guide to Securing Microsoft Windows 2000 Active Directory V1 0 01 12 2000 05 Certificats R Guide to the Secure Config amp Admin of Microsoft W2K Certificate Services V2 11 10 10 2001 12 R Guide to the Secure Config amp Admin of Microsoft W2K Certificate Services check V2 02 10 10 2001 13 R Guide to Using DoD PKI Certificates in Outlook 2000 V3 1 08 04 2002 15 Services annexes I Guide to Secure Configuration amp Administration of Microsoft I SA Server 2000 V1 41 07 01 2002 11 P Guide to the Secure Configuration amp Administration of Microsoft IIS 5 0 V1 31 04 03 2002 14 P Guide to Securing Microsoft Windows 2000 DHCP V1 2 25 06 2001 18 P Guide to Securing Microsoft Windows 2000 Terminal Services V1 0 02 07 2001 19 P Microsoft Windows 2000 IPsec Guide V1 0 13 08 2001 20 Y P Guide to the Secure Configuration and Administration of Microsoft Exchange 2000 V1 2 24 11 2003 21 Windows NT P Guide to Securing Microsoft Windows NT Networks V4 2 18 09 2001 ntl Cisco R Router Security Configuration Guide Executive Summary V1 0c 27 12 2001 1 Router Security Configuration Guide V1 1 27 09 2002 cis2 Contenus ex cutables Veille Technologique S curit N 65 Page 11 48 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services
25. 4 02 p fn Le serveur de liste LISTSERV est sensible des attaques de type Cross Site Scripting XSS Forte 27 12 L Soft LISTSERV Lx S O Le client ftp LFTP est sensible des d bordements de buffer pouvant conduire l ex cution de code arbitraire Forte 14 12 lTPversionsimf rieues 2 610 O O O OOOO OSOS Security Tracker http www securitytracker com alerts 2003 Dec 1008463 html CAN 2003 0963 Forte 03 12 Linksys Wireless G Broadband Router WRTSAG v1 0 Firmware 142 3 Cross Site Scripting dans Macromedia Run 4 Une faille de type Cross Site Scripting permet d ex cuter un script arbitraire via l interface administrative de JRun Forte 27 11 Macromedia JRun 4 build 61650 toutes plate formes Interface administrative J Run Cross Site Scripting http members lycos co uk r34ct main Macromedia JRUN MacrOmedia jrun 4 0 txt v D ME MI CROSOFT Multiples vuln rabilit s dans Internet Explorer De multiples vuln rabilit s affectent le navigateur Internet Explorer et peuvent compromettre le syst me 25 11 Microsoft Internet Explorer 6 SP1 et inf rieurs Internet Explorer Multiples vuln rabilit s http www securityfocus com archive 1 345619 Liu Die Yu http die leox com DirSvc security originality microsoft ie index html http www securityfocus com archive 1 345614 Forte 10 12 Mi
26. CATALOGUE DES GUI DES DE SECURITE Description La parution d une nouvelle version du Guide to the Secure Configuration and Administration of x Microsoft Exchange 2000 Rapport N 47 Juin 2002 nous am ne publier la mise jour de notre catalogue qui liste ces documents en mettant en vidence le th me de rattachement le titre le num ro de rimes r vision et la date de publication Les codes suivants sont utilis s I Document d information et ou de synth se Y Document r cemment mis jour G Guide de mise en uvre et ou manuel d utilisation Document nouvellement publi R Recommandations et principes l mentaires P Proc dures et mise en application Windows XP Syst me G Guide to Securing Microsoft Windows XP V1 0 30 10 2002 01 Windows 2000 R f rences Microsoft Windows 2000 Network Architecture Guide V1 0 19 04 2001 01 1 Group Policy Reference V1 08 02 03 2001 04 Syst mes G Guide to Securing Microsoft Windows 2000 Group Policy V1 1 13 11 2001 02 I Guide to Securing Microsoft Windows 2000 Group Policy Security Configuration Tool V1 1 22 01 2002 03 P Guide to Securing Microsoft Windows 2000 File and Disk Resources V1 0 19 04 2001 08 P Guide to Securing Microsoft Windows 2000 DNS V1 0 09 04 2001 06 P Guide to Securing Microsoft Windows 2000 Encrypting File System V1 0 01 01 2001 07 P Guide to Windows 2000 Kerberos Settings V1 1 27 06 2001 16 P Microsoft Windows 2000 Router Configuration Guide V1 02 01 05 2001
27. CMSControl DNS Control librairie DNS ocx livr e avec le Si paquetage Qwik Fix Les diff rentes m thodes expos es E dispinterface DNS HRESULT AddressToNamei Se par objet montrent qu il CN rietse DNS GE E Mni ji impl mente les fonctions classiques bem AddressToName de r solution d un nom partir de M NameT address l adresse et vice versa Ee P Inherited Interfaces Le r le exact de cet objet dans le H coclass DNS m canisme de protection reste ee cependant impossible d terminer i mpi i m HesalveCampleted H P Inherited Interfaces File View idi 0x60030004 Plus largement aucun l ment ne permet de d terminer si Qwik Fix joue un r le de protection dynamique et si oui comment Une rapide tude de l ex cutable QwickFix exe montre apr s d compression que l application a t crite en Visual Basic et r v le certaines des techniques utilis es pour assurer les autres fonctions de protection Modification de la clef r f rencant le type MIME application hta en application hta1928 afin de rendre inop rant les traitements associ s aux documents utilisant ce type de contenu et donc d liminer les risques d attaque tirant parti de la vuln rabilit associ e Modification de la clef autorisant l activation des services DCOM sur les interfaces r seaux D sactivation du service Messenger en inhibant le d marrage automatique et en arr tan
28. Moyenne 25 11 Sun Cluster 2 2 pour Solaris 2 6 7 et 8 Sparc Sun Cluster 3 0 et 3 1 pour Solaris 8 et 9 Spar D gradation de performances sur Sun Fire B1600 L envoi de paquets ARP destination du port d administration de Sun Fire B1600 peut conduire la d gradation des performances r seau Moyenne 24 11 Sun Fire B1600 Blade System Chassis Correctif existant Perte de paquets Sun 57430 http sunsolve sun com pub cgi retrieve pl doc fsalert 57430 ALERTES NON CONFI RMEES Les alertes pr sent es dans les tables de synth se suivantes ont t publi es dans diverses listes d information mais n ont pas encore fait l objet d une annonce ou d un correctif de la part de l diteur Ces alertes n cessitent la mise en place d un processus de suivi et d observation D ni de service dans Appleshare IP Une vuln rabilit non document e dans le serveur FTP Appleshare IP permet un utilisateur distant authentifi de orovoquer un d ni de service Forte 05 12 Apple Appleshare IP version 6 3 1 et inf rieures Correctif existant Serveur FTP Appleshare IP Non disponible http www securityfocus com archive 1 346612 D bordement de buffer dans cd9660 util Une vuln rabilit affecte l utilitaire cd9660 util livr avec Mac OS X Forte 15 12 Apple Mac OS X Utilitaire cd9660 util D bordement de buffer local Securitv Tracker http www securitytracker com alerts 2003 Dec 1008484 html Vuln rabili
29. O 042 les avis Red Hat RHSA 2003 403 et RHSA 2003 404 traitant des d bordements de buffer dans le client ftp Iftp pouvant conduire l ex cution de code arbitraire http www ciac org ciac bulletins 0o 042 shtml CAN 2003 0963 DEED Fa d DL onibilit de plusieurs correctifs FreeBSD annonce la disponibilit des correctifs corrigeant les vuln rabilit s pr sentes dans les paquetages bind FreeBSD SA 03 19 http www linuxsecurity com advisories freebsd html R vision du bulletin HPSBUX0307 271 HP a r vis le bulletin HPSBUX0307 271 afin d annoncer la disponibilit des correctifs pour HP UX B 11 04 vuln rable un d ni de service dans certains programmes suite un trafic r seau sp cifique http wwwd4A itrc hp com service cki docDisplay do docl dZHPSBUX0307 271 R vision du bulletin HPSBUX0309 281 HP a r vis le bulletin HPSBUX0309 281 sur Sendmail afin d annoncer la disponibilit des correctifs PHNE 29912 et 29913 pour HP UX versions B 11 22 et B 11 23 correspondant la version Sendmail 8 11 1 115 corrigent un d bordement de buffer exploitable distance lors du traitement des en t tes http wwwb itrc hp com service cki docDisplay do docl d HPSBUX0309 281 CAN 2003 0694 CAN 2003 0681 Veille Technologique S curit N 65 Page 34 48 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE
30. VTS RAPPORT et VTS ENTREPRISE D cembre 2003 we E mail Security in the Wake of Recent Malicious Code Incidents V2 5 20 08 2001 1 P Guide to the Secure Configuration and Administration of Microsoft Exchange 5 V3 0 07 01 2002 2 R Microsoft Office 97 Executable Content Security Risks and Countermeasures V1 1 20 12 1999 eec3 R Microsoft Office 2000 Executable Content Security Risks and Countermeasures ND 08 02 2002 eech Documents de Support Defense in Depth ND ND 5401 Guide the Secure Configuration amp Administration of iPlanet Web Serv Ent 4 1 V1 73 03 07 2001 sd02 Guide to the Secure Conf and Admin of Microsoft 115 4 0 V1 33 04 03 2002 sd03 Guide to the Secure Conf and Admin of Microsoft 115 4 0 Checklist Format V1 33 04 03 2002 5004 P Secure Config of the Apache Web Server Apache Server V1 3 3 Hat Linux 5 1 V1 12 24 04 2001 5405 R Microsoft NetMeeting 3 0 Security Assessment and Configuration Guide V1 14 05 10 2001 5406 R The 60 Minute Network Security Guide V1 1 18 02 2002 sdO7 R Guide to Securing Microsoft I nternet Explorer 5 5 Using Group Policy V1 0 07 2002 sd08 R Guide to the Secure Configuration and Administration of Microsoft SQL Server 2000 V1 5 15 01 2003 sd09 R Guide to Securing Netscape Navigator 7 0 V1 0 02 2002 5410 R Guide to the Secure Configuration and Administration of Oracle9i V1 2 30 10 2003 5411 Compl ment d information http nsal www conxion com Acc
31. cup rer les adresses de messagerie contenues dans les champs TechEmail OrgTechEmail OrgAbuseEmail e mail de l enregistrement person ou indiqu es dans le champ E mail de l enregistrement Abuse Le format sp cifique au serveur whois cyberabuse org est parfaitement g r Les syst mes pour lesquels aucun point de contact n a pu tre d couvert sont list s dans le rapport g n r apr s chaque activation de l utilitaire Aucun message de notification n est cr pour les incidents ayant pour origine ces syst mes Cette strat gie ne prend h las pas en compte les informations contenues dans certains champs d information Ainsi l analyse de la r ponse whois dont un extrait est pr sent ci dessous conduira envoyer une notification l adresse hostmaster mistral cz quand l adresse devant tre utilis e est abuse mistral cz COT DATTELKABEL II UPC Internet CATV inetnum netname descr remarks d ek ce ec We ce eec Er OR Weed cA UA X ra Or ra X remarks PNR Case heackosbtadaecks scans please remarks send abuse notifications to remarks abuse8mistral cz i remarks GEES remarks In case of spam please send abuse 3 remarks Nh Dotgcdcdtr ons to EE descr UPC Ceska republika a s mnt by DKI MNT changed MATI
32. d montr qu un excellent niveau de s curit pouvait tre atteint moyennant l utilisation d une configuration particuli rement soign e Ainsi et dans le cas de la base SQLServer utilis e dans le cadre de ce d fi les acc s du r le Public avaient t r voqu s sur toutes les tables l exception d une table et d une proc dure stock e Cette configuration on ne peut plus restrictive n est h las pas applicable dans la majorit des environnements et notamment ceux utilisant un client Microsoft Access ou encore des connexions DSN sur la base de donn es On pourra cependant s inspirer de la d marche sugg r e par Microsoft et des r sultats de l tude men e par Brian Kelley Le lecteur trouvera dans cette tude une liste non exhaustive des proc dures stock es rendues ex cutables via le r le Public et des tables syst mes avec pour ces derni res une indication du niveau de risque Secure aucun risque d exposition d information 4 nsecure risque av r de fuite d information sensible et Not sensitive fuite possible d informations publiques Un tableau r capitulatif est propos ci dessous le lecteur se reportera avec int r t aux commentaires pr sent s dans le rapport d tude pour mesurer le degr d exposition des donn es contenues dans les tables Nom de la table Nom de la table sysconfigures syscolumns syscurconfigs syscomments Contexte User Databases Contexte Master Databa
33. dans un mode bien plus difficile process filtrer le contenu des paquets tant chiffr et de multiples ad Figure 3 UDP Fast track status probe connexions TCP tant engag es en parall le Dans ce mode et pour assurer le filtrage des adresses cibles non encore identifi es FTWall va tout simplement interdire toute les tentatives d ouverture d un flux TCP I P depuis le client et ce pour une dur e pr d finie et r arm e par chaque tentative de connexion vers l une des adresses cibles identifi es Le revers de la m daille est que bien entendu le poste h bergeant le client Kazaa ne pourra plus du tout communiquer avec le monde ext rieur du moins tant que le client reste actif En dernier recours le client Kazaa va abandonner de nouveau ce mode pour tenter d tablir une session TCP IP la fois mais en augmentant consid rablement le d lai entre deux tentatives Le m canisme de protection pr c dent peut alors tre mis en chec La seule parade viable pour FTWall consiste p riodiquement tester la pr sence active du client Kazaa en lui transmettent un paquet UDP judicieusement construit En cas de r ponse le filtrage TCP est maintenu L article de Chris Lowth illustre parfaitement les tenants et aboutissants d un march non encore mature mais tr s prometteur s il n est pas rapidement contr sur le plan technique et ou juridique Tous les efforts des acteurs qui esp rent bien pouvoir contr ler durable
34. est ainsi plus obligatoirement utilis par la toute derni re version de FastTrack le protocole de communication de Kazaa La version 2 peut en effet et l instar des protocoles Gnutella et Napster s adapter dynamiquement au contexte Ainsi en cas de filtrage du port 1214 le client fournisseur tentera de s enregistrer sur le r seau Kazaa en utilisant un port destination normalement r serv un protocole classiquement non filtr le port 80 du service HTTP le port 53 du service DNS Ce canal sera ensuite maintenu ouvert afin d obtenir le num ro de port ouvert par le client demandeur dans l hypoth se o la tentative de connexion de ce client serait rejet e par l quipement de filtrage En pratique la strat gie mise en oeuvre est bien plus complexe et fait intervenir aussi bien les protocoles UDP que TCP On retiendra que l utilisation d un canal de contr le ouvert entre chaque client et le r seau Kazaa permet de d jouer la majorit des politiques de filtrage quitte donner l initiative de l ouverture de la connexion de transfert au client fournisseur C est donc dans l optique de garantir la fiabilit des m canismes de filtrage que Chris Lowth a initi en juillet dernier le projet P2PWall dont l objectif est le d veloppement d applications sp cifiques de filtrage venant en compl ment du m canisme I PTables bien connu des utilisateurs de l environnement LI NUX D nomm e FTWall FastTrack Wall
35. f vrier 2002 l quipe du projet publiait les r sultats des tests men s sur de nombreuses impl mentations du c l bre protocole d administration r seau SNMP d j connu pour ne pas tre un mod le du genre en mati re de s curit D montrant par la pratique qu aucune des impl mentations test es n tait capable de g rer correctement et sans risque les situations d exception auxquelles elles taient soumises ces r sultats ont imm diatement fait la Une de la presse sp cialis e et des organismes d alerte avis du CERT CC CA 2002 03 du SANS I aura ainsi fallu 6 mois et le choix d engager une campagne de validation portant sur un protocole connu et largement diffus pour que soit enfin tal au grand jour un probl me pourtant connu de longue date des sp cialistes de la validation et des personnels des services qualit Doit on rappeler qu l poque d sormais r volue des protocoles OSI les diteurs taient tenus de faire valider leur impl mentation aupr s d un centre de test CTS ou Conformance Testing Service pour se voir d livrer un certificat de conformit De notre point de vue la situation d nonc e en 2002 par les universitaires d Oulu et aujourd hui par le NI SCC r sulte tout simplement de la strat gie engag e par le DARPA dans les ann es 80 autour des technologies qui devaient donner le jour l Internet Pilot e par des universitaires et r pondant des contraintes purement tactiques dont notamm
36. http www securityfocus com archive 1 347847 CAN 2003 0914 Correctifs pour OpenSSL Oracle a annonc la disponibilit des correctifs pour OpenSSL liminant de multiples vuln rabilit s dans les impl mentations SSL TLS Les versions suivantes sont affect es Oracle8i Database Server Release 3 V 8 1 7 Oracle9i Database Server Release 1 V 9 0 1 Oracle9i Database Server Release 2 V 9 2 0 Oracle9i Application Server V 9 0 2 et 9 0 3 Oracle9i Application Server Release 1 V 1 0 2 1s et 1 0 2 2 Oracle HTTP Server V 8 1 7 9 0 1 et 9 2 CAN 2003 0544 CAN 2003 0545 CAN 2003 0543 CVE 2002 0082 CAN 2003 0078 CAN 2003 0147 CAN 2003 0131 m Correctif pour BI ND SCO a publi un correctif pour SCO UnixWare 7 1 1 au sujet de la vuln rabilit dans BIND permettant de corrompre le cache DNS ftp ftp sco com pub updates UnixWare CSSA 2003 SCO 33 CSSA 2003 SCO 33 txt CAN 2003 0914 Correctif cumulatif pour SGI Advanced Linux SGI a publi le correctif cumulatif 10039 pour sa plateforme 5 Advanced Linux ProPack v2 3 fixant ainsi les vuln rabilit s dans pan apache wget et p ftp patches sgi com support free security advisories 20031203 01 U asc CAN 2003 0855 CAN 2003 0542 CAN 2002 1565 CAN 2003 0971 SGI a publi des correctifs pour SGI ProPack v2 3 fixant une vuln rabilit dans la fonction do brk permettant d acqu rir les droits root ftp patches sgi com support free security
37. l alerte HPSBUX0311 295 sur VM Classloader HP a r vis l alerte HPSBUX0311 295 sur Java VM Classloader pour pr ciser que la faille affecte HP UX version 11 04 VVOS avec Virtualvault A 04 50 A 04 60 ou A 04 70 Les correctifs sont disponibles http wwwA4 itrc hp com service cki docDisplay do docl d HPSBUX0311 295 R vision du bulletin HPSBUX0311 299 sur DCE HP a r vis le bulletin HPSBUX0311 299 afin d annoncer la disponibilit des correctifs pour HP UX version B 11 23 vuln rable un d ni de service dans DCE http wwwd itrc hp com service cki docDisplay do docld HPSBUX0311 299 LID CAMDAA DI DA D Correctifs pour BI ND sur Tru64 HP COMPAQ a publi les correctifs pour HP Tru64 UNIX 4 0 et 5 1 liminant la vuln rabilit dans BIND permettant de corrompre le cache DNS http www itrc hp com service patch patchDetail do patchid T64KI T0020650 V51BB24 ES 20031112 http www itrc hp com service patch patchDetail do patchid T64KI T0020665 V51BB22 ES 20031113 http www itrc hp com service patch patchDetail do patchid T64KI T0020675 V51AB24 ES 20031113 http www itrc hp com service patch patchDetail do patchid T64KI T0020694 V51AB23 ES 20031114 http www itrc hp com service patch patchDetail do patchid T64KI T0020695 V51B20 ES 20031114 http www itrc hp com service patch patchDetail do patchid DUXKIT0020667 V40FB22 ES 20031113 http www itrc hp com service patch patchDetail do patchid T64KI T002
38. non s curis e HPSBUX0312 304 http wwwA itrc hp com service cki docDisplay do docl dZHPSBUX0312 304 D gradation des performances r seau sur HP ProCurve Les commutateurs HP ProCurve sont vuln rables des attaques par d ni de service Moyenne 24 11 HP ProCurve Switch 5304XL 5348XL 5372XL et 5308XL Correctif existant Trafic RPC g n r par les vers D gradation des performances r seau Blaster et Welchia HPSBMIO311 00606 http wwwA itrc hp com service cki docDisplay do docl dZHPSBMIO0311 006 Multiples vuln rabilit s dans les commandes AIX Des vuln rabilit s dans les commandes enq et diag peuvent autoriser un utilisateur local acqu rir des droits orivil gi s Forte 17 12 4 3 5 1 et 5 2 1 Mauvaise gestion cha nes de caract res 2 Commande dag 2 Non disponible http www 1 ibm com services continuity recover1 nsf mss MSS OAR E01 2003 1600 1 OAR E01 03 1599 http www 1 ibm com services continuity recover1 nsf mss MSS OAR E01 2003 1599 1 CAN 2003 1018 Cr ation de r pertoires non s curis e dans DB2 La base de donn es DB2 est vuln rable des cr ations non s curis es de r pertoires Moyenne 18 12 IBM DB2 Universal Database 7 x pour AIX Correctif existant Cr ation non s curis e de r pertoires 1 44841 http www 306 ibm com cgi bin db2www data db2 aparlib d2w display details aparno zlY44841 Veille Technolo
39. o OZ OMC s249 ud OG 2497162 o 2d O o O2 o 249 o O2 APCE s249 02 TOC 240062 o 2A 9 o O2 6 27 627 62 62 62 62 62 EE 62 62 02 62 62 62 62 62 62 IP dst 14 SEG S17 SCIES s L s20 25i 22 2 24 2215 s20 s29 20 2B TO ge PHP PPRP DPP PRH 0 wvv ww wW Responsable securite Security Manager Service dat tep 1335 Ce Stop nis activity Could you help us by searching some information about that host in Rapport anapirate concernant les sites de la soci t Apogee communications Eeler T 010 O O 2 00 200 Re TIS BEER ER 2005 SE RE T 027210272008 My Name and Surname cel gs EE EE E Fax http www orleans ird fr pub anapirate anapirate site html HH 18 09 22 22 0S 5 LL MM DEL 058 06 3368 E 23 03s 09s 09s 40 I 2 S0 10 lignes log cisco ou 50 packets Masques lignes ignorees sample ignore cert DD MM YYYY S9 31 S 16 40 vu 46 07 08 QUE 16 to toO TO TO to TO TO to to tO DD MM YYYY 30 11 2003 30 11 2003 30 11 2003 30 11 2003 30 11 2003 01 12 2003 01 12 2003 30 11 2003 30 11 2003 0 602740272008 My 5 les
40. parameters for pl ccTLD TT Befthetenpeck epo rap Redemption Grace Period Mapping for Ext Provisioning Protocol FAX DMP draft fecyk dmp 01 18 12 Designated Mailers Protocol DNS draft ietf dnsext dnssec 2535type change 06 raft ietf dnsext mdns 27 raft ietf dnsop ipv6 dns issues 03 raft ietf ipcdn docs rfmibv2 09 ENUM let enum pres 00 draft ietf enum sip 01 EPP FAX raft ietf fax esmtp conneg 09 FORCES draft draft ietf forces evaluation 00 raft ietf forces evaluation 00 raft ietf forces framework 12 raft ietf idr bgp4 23 draft ietf idr bgp identifier 03 03 12 GEOPRIV Jjdraft ietf geopriv dhcp lIci option 03 09 12 DHCP Option for Coordinate based Location Configuration Info raft iab liaison mgt 00 raft meyer wg post meeting 00 IETF Session Minutes and Presentation Materials raft mrose ietf posting 04 2 12 raft gellens lemonade push 00 raft ietf imapext condstore 05 12 Extension for Conditional STORE operation raft ietf imapext sort 14 raft ietf lemonade catenate 00 raft fair ipdvb req 04 raft fenner traceroute ipm 00 draft ietf ipoib ip over infiniband 05 18 12 initial IANA registry contents draft ietf ieprep ets telephony 07 02 12 draft ietf ieprep framework 07 03 12 Framework for Supporting IEPS in IP Telephony draft ietf voops ipv4survey apps 04 2 12 urvey of IPv4 Addr in Currently Deployed IETF Application Area
41. peuvent tre consid r es comme fiables et authentifi es En cons quence les correctifs propos s s il y en a doivent imm diatement tre appliqu s l Forte 19 12 Apple Mac OS X version 10 3 2 Correctif existant http www auscert org au render html it 3704 amp cid 1 CAN 2003 1007 CAN 2003 1005 CAN 2003 1006 CAN 2003 1009 CAN 2003 0792 CAN 2003 1010 CAN 2003 0962 CAN 2003 1008 CAN 2003 1011 BIND Forte 26 11 ISC BIND versions inf rieures 38 3 7 eL B3 OO OCS Correcifexistant BND Enregistrement non autoris de donn es dans le cache CAN 2003 0914 les vuln rabilit s dans Unicenter Remote Control De multiples vuln rabilit s dans les produits Unicenter Remote Control et ControllT peuvent conduire l acquisition de droits privil gi s et un d ni de service uM 11 12 1 CA Unicenter Remote Control 5 2 Option 5 0 Option 5 1 Control IT Enterprise 5 0 5 1 Control IT Ad 5 0 2 3 Computer Associates Unicenter Remote Control 6 0 Correctif existant Remote Control et ControllT Non disponible http support ca com techbases rp urc6x secnote html http support ca com techbases rp urc5x secnote html PE dm dm dm SCO wil 2 No SU Forte 10 12 Cisco ACNS versions inf rieures 4 2 1100 5 05 OO SSS Exposition des cl s WEP statiques Une vuln rabilit dans Cisco Aironet permet d exposer les cl s WEP statiques Forte 02 12 Cisco Aironet s ries
42. possibilit de Visualiser l avancement du traitement lorsque celui ci est activ depuis une console et non en arri re plan Masquer les adresses locales dans le rapport destin tre transmis aux CERTs quand bien m me celles ci sont publiques Signer les messages transmis l attention des services tiers voire chiffrer le rapport transmis aux CERTSs Le format actuellement utilis est le format de remont e d incident sp cifi par le CERT Renater L utilitaire AnaPirate devient rapidement indispensable qui souhaite prendre une part active dans l radication des syst mes infect s l origine de la majorit des nuisances actuellement rencontr es L incroyable gain de temps offert par cet outil ne devra cependant pas faire oublier qu il peut lui aussi devenir rapidement une nuisance pour les autres lorsqu il est employ en mode automatique s il n est pas correctement configur et son fonctionnement r guli rement contr l En effet la strat gie de d termination des services contacter ne peut tre consid r e comme parfaitement fiable Elle peut conduire envoyer un ou plusieurs messages de notification sur la bo te lettre d un tiers non directement concern qui verra d un mauvais oeil une sollicitation qui pourrait s apparenter du SPAM La strat gie actuellement mise en uvre consiste interroger les bases Whol s sur l adresse IP ou le nom de domaine l origine de la nuisance et r
43. pouvant autoriser un utilisateur local acqu rir des droits privil gi s et la manipulation de fichiers arbitraires http www ciac org ciac bulletins o 044 shtml Veille Technologique S curit N 65 Page 33 48 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003 Reprise de l avis Linux Le CIAC a repris sous la r f rence O 031 l avis Linux au sujet d un d bordement de buffer dans la fonction do brk permettant d acqu rir les droits privil gi s root http ciac Ilnl gov ciac bulletins o 031 shtml CAN 2003 0961 Reprise de l avis HPSBUX0312 304 Le CIAC a repris sous la r f rence O 032 l avis HP HPSBUX0312 304 au sujet de la cr ation non s curis de fichiers temporaires par l utilitaire shar http ciac Ilnl gov ciac bulletins o 032 shtml Reprise de l avis Sun 57419 Le CIAC a repris sous la r f rence O 033 l avis Sun 57419 traitant d une vuln rabilit lors de la cr ation de fichiers temporaires permettant de cr er ou d craser tout fichier pr sent sur le syst me http www ciac org ciac bulletins 0o 033 shtml Reprise de l avis Linux rsync Le CIAC a repris sous la r f rence O 034 l avis rsync au sujet d un d bordement de buffer pouvant tre exploit pour ex cuter un code arbitraire http www ciac org ciac bulletins o 034 shtml CAN 2003 0962 Reprise de
44. root Forte 04 12 Sun Solaris 2 6 9 Sparcetite Veille Technologique S curit N 65 Page 28 48 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003 Cr ation non s curis e de fichiers dans ed Correctif existant l ed Cr ation de fichiers non s curis e Sun 57443 http sunsolve sun com pub cgi retrieve pl doc fsalert 57443 uisition de droits dans Sun Solaris De multiples vuln rabilit s dans les services d impression de Sun Solaris peuvent conduire l acquisition de droits orivil gi s Forte 12 12 Sun Solaris 2 6 9 Sparcet EI OC OCOS Correctif existant Ipstat et biblioth que libprint Non disponible Sun 57451 http sunsolve sun com pub cgi retrieve pl doc fsalert 57451 Vuln rabilit dans tcsh Une vuln rabilit non document e dans l interpr teur de commande tcsh peut autoriser un utilisateur local acqu rir des droits privil gi s et la manipulation de fichiers arbitraires Forte 22 12 Sun Solaris 8 Sparc et x86 Correctif existant Non disponible Sun 57455 http sunsolve sun com pub cgi retrieve pl doc fsalert 57455 IMoyenne 27 11 Sun oneweb Server I y yS http members lycos co uk r34ct main SUN WEB SERVER 6 1 SUN web server 6 1 CSS txt Un conflit d acc s au port TCP peut conduire un d ni de service sur Sun Cluster
45. wwwd itrc hp com service cki docDisplay do docld HPSBUX0311 302 CAN 2003 0693 Correctifs pour BI ND HP a annonc la disponibilit des correctifs pour BIND pour les versions HP UX B 11 00 et B 11 11 Une vuln rabilit exploitable distance permet de corrompre le cache DNS provoquant ainsi un d ni de service ftp bind bind1 hprc external hp com Cependant les fichiers annonc s dans le bulletin HP SSRT3653UX depot pour HP UX B 11 11 et BIND812v005 depot pour HP UX B 11 00 ne coincident pas avec ceux propos s dans le r pertoire FTP Notons par ailleurs que BIND 8 1 2 pour HP UX B 11 00 atteindra sa fin de vie en mars 2004 et ne fera plus l objet d aucune mise jour http www4A itrc hp com service cki docDisplay do docl dZHPSBUX0311 303 CAN 2003 0914 HP a r vis le bulletin HPSBUX0309 281 afin d annoncer de nouveaux correctifs pour HP UX B 11 00 B 11 04 B 11 11 B 11 22 et B 11 23 Un d bordement de buffer exploitable distance lors du traitement des en t tes par Sendmail permet d obtenir les droits root http wwwb itrc hp com service cki docDisplay do docl d HPSBUX0309 281 CAN 2003 0694 CAN 2003 0681 Correctifs pour la biblioth c HP a annonc la disponibilit des correctifs pour la biblioth que libdthelp so pour HP Tru64 UNIX version 5 1 Un d bordement de buffer permet d acqu rir des droits privil gi s http www auscert org au render html it23660 amp cid 1 CAN 2003 0834 R vision de
46. 02 12 Yahoo Instant Messenger version 5 6 0 1347 et inf rieures Palliatif propos Composant ActiveX YAUTO DLL D bordement de buffer distant Full Disclosure http lists netsys com pipermail full disclosure 2003 December 014434 html AUTRES 1 NFORMATI ONS Les vuln rabilit s suivantes d j publi es ont t mises jour reprises par un autre organisme ou ont donn lieu la fourniture d un correctif Correctifs pour le navigateur Safari Apple a annonc la disponibilit des correctifs du navigateur Safari pour Mac OS X 10 2 8 et 10 3 1 Une faille permet de r cup rer les cookies utilisateurs appartenant un site tiers http www info apple com kbnum n120282 http www info apple com kbnum n120283 CAN 2003 0975 r mmm CERT sm BA l ment d informations sur la vuln rabilit BI ND Un compl ment d informations a t publi par le CERT au sujet de la vuln rabilit affectant BIND et pouvant conduire un d ni de service La liste des diteurs vuln rables recense ce jour les impl mentations FreeBSD Guardian Digital HP Immunix ISC NetBSD Nixu Sun SuSE et Trustix Par ailleurs SCO est aussi vuln rable CAN 2003 0914 Reprise de l avis Cisco 47284 Le CIAC a repris sous la r f rence O 040 l avis Cisco 47284 traitant de deux vuln rabilit s dans les pare feu Pix pouvant conduire un d ni de service http www ciac org ciac bulletins o 040 shtml
47. 03 03 http www analog cx http www picante com gtaylor autobuse http cert uni stuttgart de projects fwlogwatch SnortSnarf Analyse Snort 021111 02 11 02 fhttp www silicondefense com software snortsnarf http www mrunix net webalizer download html ANALYSE DE S CURI T FIRE Boite outils 0 4a 14 05 03 http sourceforge net projects biatchux curl Jnelysehttpethttps 7 10 8 01 11 03 lhttp curl haxx se Nessus X JVuln rabilit r seau 2 0 9 05 11 03 lhttp www nessus org Nmap Vuln rabilit r seau 3 48 28 10 03 http www insecure org nmap nmap download html andora uln rabilit Netware ttp www packetfactory net projects pandora Vuln rabilit r seau ttp www saintcorporation com updates html Vuln rabilit r seau ttp www Wwww arc com sara downloads ara tiger uln rabilit syst me ttp www arc com tara tp net tamu edu pub security TAMU tiger ttp sourceforge net projects trinux Whisker LibWhisker L 26 09 03 fhttp www wiretrip net rfp p doc asp id 21 CONFI DENTI ALI T Non Dat OpenPGP Signature Chiffement http wWww openpgp org GPG Signature Chiffrement 24 12 03 http www gnupg org CONTR LE D ACCES No Fonci Date So Wrapper services Ch be fftp ftp cert org pub tools tcp_ wrappers Xinetd Inetd am lior 2 3 12 05 08 03 http synack net xinetd CONTR LE NT GRI T
48. 041970396419174304649658927425623934102 0864383202110372958725762358509643110564073501508187510676594629205563685529475213 500852879416377328533906109750544334999811150056977236890927563 150 000 463 1847699703211741474306835620200164403018549338663410171471785774910651696711161249 8593376843054357445856160615445717940522297177325246609606469460712496237204420222 6975675668737842756238950876467844093328515749657884341508847552829818672645133986 3364931908084671990431874381283363502795470282653297802934916155811881049844908319 5450098483937752272570525785919449938700736957556884369338127796130892303925696952 53261620823676490316036551371447913932347169566988069 Veille Technologique S curit N 65 Page 12 48 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003 A Ce RSA 2048 200 000 617 2519590847565789349402718324004839857142928212620403202777713783604366202070759555 6264018525880784406918290641249515082189298559149176184502808489120072844992687392 8072877767359714183472702618963750149718246911650776133798590957000973304597488084 2840179742910064245869181719511874612151517265463228221686998754918242243363725908 5141865462043576798423387184774447920739934236584823824281198163815010674810451660 3773060562016196762561338441436038339044149526344321901146575444541784240209246165 1572335077870774981712577246796292638635637328991215483143816789
49. 0666 V40GB22 ES 20031113 CAN 2003 0914 Veille Technologique S curit N 65 Page 35 48 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003 Une erreur dans BIND version 8 4 3 a conduit l ISC retirer cette version II ne s agit pas d un probl me de s curit mais peut sous certaines condition g n rer un grand nombre de requ tes et avoir un impact op rationnel comparable un d ni de service BIND 8 4 4 sera bient t disponible N utilisez pas BIND 8 4 3 dans un environnement en production La question de la pr sence de ce dysfonctionnement reste ouverte l ensemble des correctifs fournis par chaque diteur annonc vuln rable http www isc org products BlI ND bind8 html Nouvelle clef GPG IBM a publi un document informant de l utilisation d une nouvelle clef GPG pour signer tout mail mis par la liste AI X Security Cette clef sera valide jusqu au 15 d cembre 2004 Les informations concernant l obtention de la clef sont disponibles l adresse suivante http www 1 ibm com services continuity recoverl1 nsf mss MSS OAR E01 2003 1598 1 http www 1 ibm com services continuity recover1 nsf mss MSS OAR E01 2003 1598 1 Correctif pour BI ND 7 D Z D z 7 D a publi le correctif 1Y49881 pour AIX 5 1 liminant la vuln rabilit dans BIND permettant de corrompre le cache DNS http w
50. 3 72 et inf rieures _____ O m ran D bordement de buffer dans FreeRADI US Le module exp rimental lm smb de FreeRADIUS est sensible un d bordement de buffer pouvant conduire un utilisateur acqu rir des droits privil gi s sur le syst me ou provoquer un d ni de service Forte 26 11 FreeRADIUS version 0 9 3 et inf rieures Correctif existant Module lm smb D bordement de buffer http www securityfocus com archive 1 345692 3NU era Moyenne 28 11 GNU screen versions 4 0 1 3 9 15 Eer O Z Cross Site Scripti dans Tivoli Directory Server Une faille de type Cross Site Scripting permet d ex cuter du script arbitraire sur IBM Directory Server Moyenne 02 12 IBM Tivoli Directory Server version 4 1 sur Windows Programme Idacgi exe Cross Site Scripting http www securityfocus com archive 1 346181 Vuln rabilit s dans les impl mentations I KE Plusieurs impl mentations IKE sont sensibles deux vuln rabilit s 1 2 Certicom Movian VPN Cisco client VPN 3002 Hardware et client VPN 5000 VPN Client 2 0 4 0 2 C 2 FreeS WAN versions 1 9 1 9 6 Microsoft Windows 2000 et XP Veille Technologique S curit N 65 Page 30 48 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003 I PSWITCH Forte 18 12 Ipswitch WS_FTP Server version
51. 988504044536402352 7381951378636564391212010397122822120720357 On notera que l une des op rations de crible a t partiellement prise en charge par la grille de calcul distribu e NSFNET actuellement activ e sur la validation de la primalit du nombre de Mersenne M811 prenant la forme 2 811 1 Rappelons ce propos que le plus grand nombre premier connu ce jour a t d couvert le 2 d cembre par l un des 60 000 syst mes priv s participant la grille de calcul GI MPS Great Internet Mersenne Prime Search II s agit du nombre de Mersenne M20996011 2 20996011 1 constitu de quelques 6 320 430 chiffres Compl ment d information http www rsasecurity comy rsalabs challenges factoring numbers html Pr sentation des d fis RSA http www loria fr zimmerma records rsa576 Annonce de la factorisation http www nfsnet org faq nfs html Foire aux questions http www cybersciences com Cyber 3 0 N3344 asp Le plus grand nombre premier LA LEGI SLATI ON SECURI TE EU CREATION DE L AGENCE EUROPEENNE CHARGEE DE LA SECURI TE DES RESEAUX ET DE L INFORMATI ON Description Le 19 novembre dernier le Parlement Europ en a adopt le texte de r glement officialisant la cr ation de l agence europ enne charg e de la s curit des r seaux et de l information L adoption de ce texte vient confirmer la volont de la Communaut Europ enne d am liorer sa capacit traiter les probl mes de s curit
52. AN 2003 0925 CAN 2003 0926 CAN 2003 0927 Veille Technologique S curit N 65 Page 38 48 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003 Correctif pour OpenSSL Tarantella a annonc la disponibilit d un nouveau Security Pack pour Tarantella Enterprise 3 versions 3 0 3 3 11 corrige une vuln rabilit dans OpenSSL lors traitement de la syntaxe ASN 1 pouvant conduire un d ni de service distant http www tarantella com security bulletin 08 html CAN 2003 0543 CAN 2003 0544 CAN 2003 0545 CODES D EXPLOI TATI ON Les codes d exploitation des vuln rabilit s suivantes ont fait l objet d une large diffusion Code d exploitation pour DameWare Mini Remote Control Un code d exploitation pour la vuln rabilit affectant DameWare Mini Remote Control versions inf rieures 3 73 a t publi 11 permet d obtenir distance un interpr teur de commandes sur Windows 2000 et XP sur lequel est install e une version vuln rable de DameWare Les tentatives d acc s au port tcp 6129 utilis par d faut par DameWare sont en augmentation http seclists org lists fulldisclosure 2003 Dec 0617 html BULLETI NS ET NOTES Les bulletins d information suivants ont t publi s par les organismes officiels de surveillance et les diteurs F Pr vision des rituelles attaques de fin d ann e Les f tes de fi
53. ANT DE DOMAI NES CONNEXES LA S CURI T A m E n du 8 12 MWG DHC raft daniel dhc dhcpv6 ctep opt 01 2TP raft townsley 12tpv3 mpls 01 draft ietf Idapbis protocol 19 raft legg Idap transfer 02 raft sciberras xed eldif 01 raft sermersheim ldap csn 00 raft behringer mpls vpn auth 03 draft hsmit mpls igp spf 01 OSPF draft ietf ospf 2547 dnbit 02 raft mirtorabi ospf tunnel adjacency 01 16 raft tacsik pppext ipcp opt ipv6 sip pro 00 5 draft tacsik pppext ipv6cp opt sip proxy 00 18 draft blunk rpsing 02 draft ietf syslog protocol 00 draft bergeson uddi ldap schema 02 8 12 Draft ate Diameter Credit control Application enchmarking OPSF Single Router Control Plane Convergence Configured Tunnel End Point Option for DHCPV6 Encapsulation of MPLS over Layer 2 Tunneling Protocol Version 3 LDAP The Protocol LDAP Transfer Encoding Options The Extended LDAP Data Interchange Format ELDIF The LDAP Change Sequence Number Syntax and Matching Rules MPLS VPN Import Export Verification Calculating IGP routes over Traffic Engineering tunnels Using an LSA Options Bit to Prevent Looping in BGP MPLS IP VPNs SPF Tunnel Adjacency v6CP option for IPv6 SIP Proxy address Pv6CP option for SIP Proxy address Routing Policy Specification Language next generation RPSLng The syslog Protocol Ldap Schema for UDDI VPN Performance Measurements an open model based proposal equirements for Conference P
54. ESE MENSUELLE Le tableau suivant propose un r capitulatif du nombre d avis publi s pour la p riode courante l ann e en cours et l ann e pr c dente Ces informations sont mises jour la fin de chaque p riode de veille L attention du lecteur est attir e sur le fait que certains avis sont repris et rediffus s par les diff rents organismes Ces chiffres ne sont donc repr sentatifs qu en terme de tendance et d volution P riode du 28 11 2003 au 29 12 2003 Cumul 2003 Constructeurs Cumul 2002 Constructeurs P riode 12002 2002 Organisme CA SR ES CERT IN T CIAC Se Ee An PP 18 i 5 2 2 1 4 10 128 8 Editeurs 3 127 SE E 5 Cumul 2003 Editeurs Cumul 2002 Editeurs Netscape 0 ins 1 29 SCO Macromedia ei ieres 20 faea 1 GE Macromedia 31 Linux RedHat 129 102 33 9 1076 Linux Debian 192 120 LN Linux Mandr SCH Netscape Netscape 0 2 Micros oft Microsoft 58 57 m sta Autres _ Ps eEye s 22 Veille Technologique S curit N 65 Page 24 48 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003 ALERTES DETAI LLEES AVIS OFFICIELS Les tables suivantes pr sentent une synth se des principales alertes de s curit mises par un organisme fiable par l diteur du produit ou par le constructeur de l quipement Ces informations
55. N EE SIND OISR Or Toles address phone EE e mail trouble trouble trouble trouble changed source person address pc e mail nic hall s notifys mate E changed source Mystreb contdgct Role UPC Ceska republika p 420 2 61107111 420 2 61107100 hostmaster imistral Customer Contact Mistral Hotline 420 2 410053572 customer contact Miesrral Aorcline Brno 420 g4AA 111372 hostmasterimistral 20050612 RIPE UPC Ceska republika a s 420 2 61107100 hostmaster mistral cz MK23104 RIPE hostmaster mistral cz DKI MNT hositmcstesxiem sttadteez 20090710 RIPE DS On comprendra l importance du bon usage des enregistrements Whols et de la mise jour r guli re de ceux concernant les adresses des contacts techniques et administratifs adresses qui ne sont plus obligatoirement nominatives mais peuvent tre attach es un r le Veille Technologique S curit N 65 APOGEE Communications Tous droits r serv s Page 44 48 Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003 Nous conclurons cette rapide pr sentation par tableau r capitulant les quipements support s par ces deux produits et fwlogwatch CI SCOIOS CI SCO IOS CI SCO IOS LanCom Allied Telesys Foundry Cabletron Extreme Networks jpfiirPerr 1 TrueUnixscreend Syslog Solaris 2 6 et 2 7 CISCO PI X CISCO PI X Netscreen snot sn
56. OPTIONAL ZE le signerl nfos Signerl nfos EE E 15 eB 124 Signerl nfo SEQUENCE 1 ZEN E 250 version CMSVersion M sid Signerl dentifier E detaT digestAlgorithm DigestAlgorithml dentifier o DE car 302 signatureAlgorithm SignatureAlgorithml dentifier T signature SignatureValue 372 SignatureAlgorithml dentifier T Algorithmi dentifier SignatureAlgorithms E Cip G92 SignatureAlgorithms ALGORITHM DL 410 OID dsa with shal PARMS NolV i B 57 OID ecdsa with SHA1 PARMS NolV EE NE 88 20529 OID shalWithRSAEncryption PARMS NolV J5 no 578 p BHMIgpl l6 La caract ristique unique de cette approche est d avoir B DAD sp cifi une structure permettant d organiser et de E m Ei r f rencer chacun des objets ainsi cr s par le biais d un D n identifiant construit en tenant compte de la hi rarchie de 722 l objet dans l organisation de la structure DL ut S 261 I devient alors possible de r f rencer une structure par la EHE use seule connaissance de cet identifiant dit OID ou Object TE e Identifier EHE orgaruzation l La d finition ASN 1 d un objet une clef publique par ER z39 5061 003 exemple indique sa structure mais ne pr cise rien sur le 10006 plan du codage des donn es lors du transfert de l objet A NM M entre deux entit s 01 i EI ieee 02 1Ef1000 Cet encodage est sp cifi dans les normes 150 8824 208 Specification of A
57. Service RADIUS Usage Guidelines 3585 3586 LA 09 2003 PacketCable Security Ticket Control Sub Option for the DHCP CCC Option Seul le sommaire concernant la s rie 33xx est encore manquant mais gageons qu il ne devrait pas tarder tre publi ftp ftp rfc editor org in notes rfc3299 txt RFC 3299 ftp ftp rfc editor org in notes rfc3499 txt RFC 3499 ftp ftp rfc editor org in notes rfc3599 txt RFC 3599 Veille Technologique S curit N 65 Page 21 48 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003 Apogi LES DRAFTS L IETF a approuv derni rement le passage du document de travail intitul Internet X 509 Public Key Infrastructure Logotypes in X 509 certificates l tat de proposition de standard Ce document sp cifie une nouvelle extension permettant de r f rencer un logo ou plus pr cis ment d indiquer la localisation des donn es num riques repr sentatives d une image visuelle ou sonore associ e au d tenteur du certificat ou son organisation d appartenance L id e ici d velopp e n est pas de stocker ces donn es dans le certificat ce qui serait d raisonnable notamment sur le plan du volume de donn es devant tre stock mais plus simplement d enregistrer le chemin d acc s ces donn es sous la forme d une URI l int grit du logo tant v rifi e par l
58. advisories 20031201 01 A asc CAN 2003 0961 Revision du bulletin SGI 20030904 01 P SGI a r vis le bulletin 20030904 01 P au sujet de multiples vuln rabilit s dans OpenSSL et OpenSSH Il indique la disponibilit de nouveaux correctifs fixant un d ni de service dans OpenSSL d clench par la mauvaise gestion des s quences ASN 1 ainsi que des conflits de paquetages suivant les versions de SGI IRIX ftp patches sgi com support free security advisories 20030904 02 P asc Mise jour du bulletin SGI 20031102 01 P SGI a mis jour son bulletin 20031102 01 P concernant de multiples vuln rabilit s dans le service rpc mountd du serveur NFS pour indiquer la disponibilit des correctifs 5426 5427 5428 et 5429 rempla ant les correctifs 5387 5388 et 5389 ftp patches sgi com support free security advisories 20031102 02 P asc CAN 1999 1225 CAN 2003 0796 CAN 2003 0797 Veille Technologique S curit N 65 Page 37 48 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003 Correctif pour rsync SGI a publi un correctif pour rsync pour la plateforme SGI Advanced Linux ProPack v2 3 fixant ainsi un d bordement de buffer permettant d ex cuter du code arbitraire Correctif cumulatif pour SGI Advanced Linux SGI a publi un correctif cumulatif pour sa plateforme SGI Advanced Linux ProPack v2 3 fixant ainsi des vuln
59. answersthatwork com Tasklist pages tasklist htm SQLSERVER LE ROLE PUBLIC Description Le document intitul SQL Server 2000 Permissions on System Tables granted to logins due to the public role t publi sur le site du SANS Institute dans le cadre de la certification GIAC d livr e par ce m me organisme Ce document est particuli rement int ressant car il aborde un sujet peu document celui des privil ges accord s certains r les pr d finis dans les syst mes de base de donn es dans le cas pr sent le syst me SQLServer A travers une analyse m thodique et rigoureuse l auteur met en lumi re les probl mes pos s par le r le Public normalement attach tout nouvel utilisateur et notamment le non respect du principe du moindre privil ge par les concepteurs de ce syst me de base de donn es Ainsi de nombreuses tables syst mes et proc dures stock es dont l utilisation n est pas requise pour l utilisateur lambda sont pourtant rendues accessibles par ce r le Brian Kelley l auteur de ce document d montre que ce probl me de s curit est aggrav par l existence d un utilisateur sp cial dit guest attach chaque base de donn es Cet utilisateur peut tre activ pour offrir un acc s restreint aux comptes d acc s dit login non associ s un utilisateur d clar sur la base de donn es On devine ais ment les cons quences qui d coulent du fait que le r le Public
60. aquelle le syst me tout juste install est encore vuln rable suffit pour que celui ci soit sond identifi puis imm diatement compromis La parade la plus efficace consiste respecter une proc dure d installation prenant en compte les risques associ s chacune des tapes Ainsi et dans le cas des exemples pr c demment cit s la d sactivation des services sensibles ou encore la mise en place pr alable la mise jour via Internet d un dispositif de protection personnel aurait permis d viter la compromission du syst me Dans sa note technique le CERT CC propose un mode op ratoire en quatre phases permettant d assurer le raccordement d un syst me Windows XP ou ntosh OS X en encourant un minimum de risque 1 Dans la mesure du possible positionner le syst me derri re un pare feu r seau 2 Activer le pare feu logiciel g n ralement livr avec le syst me d exploitation service ICF en environnement Windows ou Firewall en environnement MacOS X 3 D sactiver tous les services non absolument essentiels l op ration de mise jour et notamment les services de partage de fichiers et d imprimantes Ces services pourront tre r activ s une fois la mise jour effectu e 4 Enfin connecter le syst me au r seau et t l charger les mises jour depuis un site r put de confiance Compl ment d information http www cert org tech tips before you plug in html Recommandations du CERT NSA
61. bstract Syntax Notation One et 150 8825 209 Specification of Basic Encoding Rules for Abstract Syntax Notation One S appuyant sur un formalisme de type TLV ou Type Longueur Valeur ces normes distinguent deux m thodes d encodage s La premi re m thode dite BERT ou Basic Encoding Rules autorise l encodage d une m me donn e de plusieurs mani res en jouant notamment sur l encodage du champ r serv la longueur L exemple ci apr s repris du guide pr cit met en vidence les diff rentes possibilit s d encodage d une simple valeur num rique La cha ne de caract res APOGEE peut ainsi tre encod e sous la forme d une cha ne simple Type Longueur A mais aussi de la succession de sous cha nes de forme concise Type Longueur A 16 Ou d une combinaison de formes Type Longueur A Forme concise Forme tendue S quence de Forme concise Forme concise Forme concise S quence de Forme tendue Forme tendue Forme concise Veille Technologique S curit N 65 APOGEE Communications Tous droits r serv s Page 47 48 Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003 On imagine sans peine la complexit de la fonction dencodage qui doit imp rativement conna tre la taille de chacun des l ments pr alablement l encodage et celle de la fonction de d codage qui doit pouvoir traiter tous
62. crosoft Windows 2000 et XP avec les services RPC actes _ CORE 03 12 05 http Www coresecurity com common showdoc php idx 393 amp idxseccion 10 CAN 2003 0003 CAN 2003 0352 CAN 2003 0717 CAN 2003 0812 9ation du domaine visit via Internet Explorer Une faille dans Internet Explorer permet l usurpation du domaine visit Forte 09 12 Microsoft Internet Explorer version 6 et inf rieures Aucun correctif Internet Explorer Non chappement des caract res de contr le d une URL Zap The Dinabat http zapthedingbat com security ex01 vun1 htm Vuln rabilit dans 115 Le serveur WEB IIS n enregistre pas la requ te TRACK dans les journaux Moyenne 28 12 Microsoft Internet Information Services 5 0 II est possible que des versions inf rieures soient vuln rables Aucun correctif Internet Information Services Mauvaise gestion de la commande HTTP TRACK AQ 03 02 http www agqtronix com Advisories AQ 2003 02 txt Veille Technologique S curit N 65 Page 31 48 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003 Ex cution de code arbitraire via Internet Explorer Une faille dans Internet Explorer permet de contourner des messages d alerte lors du t l chargement d un fichier Moyenne 23 12 Microsoft Internet Explorer test sur Windows 2003 Aucun correctif Processus de t l chargement Contourner des message
63. e Modification du comportement par t l chargement r gulier de mises jour partielles ou totales du code Les deux portes d rob es tudi es par Jarkko Turkulainen sont conformes ce mod le Elles sont particuli rement int ressantes du point de vue du protocole de communication et de la technique de dissimulation Nous invitons le lecteur lire les deux analyses disponibles sur le site de l auteur en proposant cependant un tableau de synth se des caract ristiques des deux codes BackDoor Dewin k BackDoor Spotcom 37 Ko Format UPX Non sp cifi Image Nom d un service existant svchost exe Remplace le service QoS RSVP rsvp exe Insertion dans une instance masqu e de IE Reverse Connexion sortante vers serveur Reverse Connexion sortante vers serveur Protocole Protocole sp cifique sur le service DNS Serveur Param trable par script Fix 218 242 252 211 T l chargement de fichiers Commandes 19 commandes natives dont 6 commandes natives GetURL Synchronize Sleep TimeOut Update Listen AddServer Connect Get Reg Monitor Set Reg GetFile La technique de dissimulation employ e par ces deux codes repose sur la confusion susceptible d tre cr e dans l esprit de l utilisateur par l emploi d un nom d application d j connu et directement associ des communications r seaux Veille Technologique S curit N 65 Page 45 48
64. e biais d une somme cryptographique stock e dans le certificat Pour viter toute ambiguit la signification du logo sera explicitement d sign e par un attribut permettant d encoder le niveau de rattachement de celui ci Logo rattach une communaut d int r t un service une marque Logo rattach l organisation identifi e dans le champ Issuer du certificat Logo rattach l organisation identifi e dans le champ Subject du certificat Logo dont la signification n est pas explicitement sp cifi e La proposition pr cise que le support du format image est mandataire le support du format audio tant optionnel L image devra avoir une taille allant de 60x45 200x150 pixels Dans le cas du format audio la dur e de l enregistrement devra tre comprise entre 1 et 30 secondes L adoption de ce standard devrait permettre d humaniser la notion de certificat X 509 en lui associant un visuel directement et ais ment interpr table par l tre humain Bien entendu la fonctionnalit propos e suppose que les l ments externes non contenus dans le certificat savoir la localisation du logo et sa constitution soient invariables ftp ftp nordu net internet drafts draft ietf pkix logotypes 13 txt Veille Technologique S curit N 65 Page 22 48 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003
65. e du fichier detescan pl sur la machine centralisant les journaux et la configuration des quelques param tres sp cifiques au contexte seuils d alerte adresse de messagerie collectant les r sultats L activation r guli re de cet utilitaire par le biais d un ordonnanceur permettra de disposer d une vue synth tique des diff rentes sources de menace et d engager les actions qui s imposent Le rapport d analyse transmis en format texte tabul liste les diff rentes sources de sondage puis d taille pour chacune d elles la liste des services objet de ce sondage Premiere section du rapport Nov 30 05 44 22 scan tcp de host129 159 pool80116 interbusiness it sur le port 139 netbios ssn Nov 30 06 02 39 scan tcp de host222 109 pool80181 interbusiness it sur le port 135 16 machines 17 machines Nov 30 06 10 11 scan tcp de 62 14 211 190 es jazztelbone net sur le port 135 17 machines Nov 30 06 19 07 scan icmp de ac52 mistral cz de type icmp 8 0 17 machines Nov 30 06 22 06 scan tcp de u209 d226215061 ctt ne jp sur le port 135 15 machines Seconde section du rapport Nov 30 06 19 07 scan icmp de ac52 mistral cz de type icmp 8 0 17 machines Nov 30 06 19 07 A B C D 990423 18w1d 96SEC 6 IPACCESSLOGDP list 1 denied icmp A B C E gt A B X X 8 0 1 packet Nov 30 06 19 25 A B C D 990432 18w1d SEC 6 IPACCESSLOGDP list 1 denied icmp A B C E gt A B X Z 8 0 1 packet Veille Technol
66. e l ensemble des mod les des lettres qui seront automatiquement transmises aux entit s Le premier mod le correspond au message transmis au service responsable du traitement des plaintes pour l adresse concern e le second au mod le de message transmis au x CERT s Cet outil destin tre r guli rement activ sur les journaux g n re une impressionnante quantit de courriers Ainsi le traitement de la journalisation des v nements collect s en 24 heures sur le point d acc s r serv notre service de veille conduit la g n ration de plus de 410 courriers Cet important volume est principalement d au mode de fonctionnement retenu consistant envoyer un courrier pour chaque source de nuisance sans agr ger ceux ci par service destinataire Le volume g n r peut tre partiellement r duit en modifiant les deux param tres descriptifs des seuils de notification applicables chaque level warning option s sp cifiant le nombre minimum de sondages requis pour envoyer une notification packet warning option p indiquant le nombre minimum de paquets devant tre recus pour une notification Nos tests mettent en vidence la difficult que l on rencontrera pour trouver le compromis id al c est dire le param trage minimisant le volume de courrier retransmettre tout en conservant les sources de nuisance les plus s v res Dans nos exemples le positionnement de seuils 20 et 80 resp le
67. ectif n est pour l instant disponible http sunsolve sun com pub cgi retrieve pl doc fsalert 57434 CAN 2003 0914 Correctifs pour Apache et mod sel Sun a annonc la disponibilit des correctifs pour Apache et mod sel pour les versions Qube3 RaQ4 RaQ550 et RaQXTR http sunsolve sun com pub cgi show pl target cobalt qube3 eng http sunsolve sun com pub cgi show pl target cobalt rag4 eng http sunsolve sun com pub cgi show pl target cobalt raq550 eng http sunsolve sun com pub cgi show pl target cobalt ragxtr eng CAN 2003 0020 CAN 2003 0192 Correctifs pour Sendmail Sun a annonc la disponibilit des correctifs pour Sendmail sur Rag4 Un d bordement de buffer exploitable distance lors du traitement des en t tes par Sendmail permet d obtenir les droits root http sunsolve sun com pub cgi show pl target cobalt raq4 eng CAN 2003 0694 CAN 2003 0681 Correctif pour zebra Sun a annonc la disponibilit d un correctif pour zebra pour Sun Linux 5 x corrigeant deux vuln rabilit s pouvant conduire un d ni de service http sunsolve sun com patches linux security html CAN 2003 0795 CAN 2003 0858 Correctifs pour Ethereal Sun a annonc la disponibilit des correctifs pour Ethereal pour Sun Linux 5 x Ils fixent plusieurs d bordement de buffer dans Ethereal exploitables via les dissecteurs GTP MSISDN MEGACO et SOCKS http sunsolve sun com patches linux security html C
68. ent celle de disposer d une infrastructure de communication r siliente cette strat gie a conduit insidieusement l tablissement de standards de fait g n ralement incomplets et souvent inadapt s aux besoins r els des professionnels On ne peut h las refaire le monde et c est dans cette logique que s inscrit l article du NISCC intitul fort propos Working together to beat vulnerabilities Travaillons en effet ensemble pour combattre les vuln rabilit s ou plus pr cis ment d finissons en commun les cibles devant prioritairement faire l objet d une campagne de validation similaire celles engag es par l quipe de l universit d Oulu C est en ces termes que le NISCC pr sente le projet ayant permis de s lectionner les protocoles X400 SMI ME SSL et men l identification des vuln rabilit s pr cit es Les r sultats obtenus par le NISCC sont forts int ressants 115 ont non seulement permis d identifier un mode de d faillance commun ces trois protocoles l encodage de la syntaxe ASN 1 mais aussi de mettre en d faut l id e recue que l utilisation d un langage de description des donn es puisse renforcer la r silience d une application vis vis de donn es mal format es Un rapide historique de la gen se de la syntaxe ASN 1 permettra de mieux comprendre les probl mes d couverts par le NI SCC le lecteur tant par ailleurs invit lire la remarquable pr sentation intitul e A layman s guide to a subse
69. es huit cat gories suivantes S curisation des SI 8 documents R ponse aux incidents 8 documents s S curit des sites WEB 4 documents Abus de la messagerie 2 documents Comprendre les attaques 5 documents Connaissance technique 2 documents Ordinateurs personnels 2 documents Autres sujets 8 documents Diffus e mi d cembre la note intitul e Before You Connect a New Computer to the I nternet aborde un th me d autant plus pertinent qu il int resse l utilisateur aussi bien dans le cadre professionnel que dans le cadre priv Qui de nos jours n a pas eu raccorder son ordinateur personnel sur Internet ordinateur par ailleurs susceptible d tre employ pour travailler sur des dossiers professionnels en retard et pour lequel la s curit reste un pr requis Si priori l installation d un ordinateur et son raccordement sur Internet peut sembler une op ration b nigne l exp rience montre qu il n en est rien notamment en ce qui concerne les op rations de mise jour du syst me d exploitation et des applications associ es Page 10 48 Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE Veille Technologique S curit N 65 APOGEE Communications Tous droits r serv s D cembre 2003 Nombreux sont les exemples de syst mes ayant t compromis durant la phase de mise jour effectu e via le r seau La courte fen tre de quelques minutes durant l
70. ft reschke webdav allprop include 05 draft ietf xcon conference scenarios 00 draft legg xed asd 01 raft legg xed glue 01 raft legg xed roadmap 02 draft legg xed schema 01 XML draft ietf xmldsig xc14n 02 03 12 Exclusive XML Canonicalization Version 1 0 Veille Technologique S curit N 65 Page 20 48 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003 Apogi NOS COMMENTAI RES Les RFC Les r f rences de RFC se terminant en 99 identifient le sommaire des 99 derniers documents publi s La publication ce mois ci des RFC 3299 RFC 3499 RFC 3599 rattrape enfin le retard accumul depuis plusieurs ann es puisque le dernier sommaire le RFC 3199 publi en f vrier dernier s arr tait au RFC 3198 datant lui de novembre 2001 Nous proposons ci apr s une liste r capitulative des RFC ayant trait au domaine de la s curit 30 pages RFC publi s entre D cembre 2001 et Septembre 2002 3206 3207 3211 3217 01 2002 Preventing the Million Message Attack on Cryptographic Message Syntax 3225 3226 3227 3230 3235 Network Address Translator NAT Friendly Application Design Guidelines 02 2002 Microsoft Windows 2000 Kerberos Change Password and Set Password Protocols 3268 3274 04 2002 Use of Elliptic Curve Cryptography ECC Algorithms in Cryptographic Message Syntax CMS 04 2002 Algorithms and Ide
71. gique S curit N 65 Page 26 48 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003 Balayage des ports TCP sur KPF Une vuln rabilit dans Kerio Personal Firewall autorise un utilisateur distant contourner le Forte 21 12 Kerio Personal Firewall version 4 0 9 et inf rieures Correctif existant Kerio Personal Firewall Contournement du pare feu http www kerio com kpf releasehistory html D bordement de buffer distant dans rsync Un d bordement de buffer exploitable distance dans rsync permet d ex cuter un code arbitraire sur les serveurs vuln rables Critique 05 12 rsync verson 256 etinf riures OOS OpenBSD http wWww auscert org au render html it 3669 amp cid 1 DSA 404 1 http lists debian org debian security announce debian security announce 2003 msg00213 html RHSA 03 398 07 https rhn redhat com errata RHSA 2003 398 html CAN 2003 0962 D bordement de buffer dans le noyau Linux Un d bordement de buffer dans le noyau Linux peut autoriser un utilisateur acqu rir des droits privil gi s sur le syst me Critique 01 12 Linux noyau versions 2 4 22 et inf rieures Correctif existant Fonction do brk D bordement de buffer DSA 403 1 http www debian org security 2003 dsa 403 RHSA 03 392 05 https rhn redhat com errata RHSA 2003 392 html ISEC Securit http isec pl vulnerabilitie
72. hether or not it believes a message is or is not spam We will reserve the ability to do filtering based on these headers until a later time after more analysis is performed On ne peut qu esp rer que cette d marche soit suivie par les autres grandes organisations pour lesquelles le syst me de messagerie repr sente un moyen privil gi de communication notamment par le biais des listes de diffusions wm e Ue nb Nous terminerons notre propos en souhaitant une bonne Ann e 2004 a tous nos lecteurs L quipe de Veille Technologique Veille Technologique S curit N 65 Page 4 48 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003 PRODUITS ET TECHNOLOGIES LES PRODUITS INTERNET EXPLORER Description Pr sent comme un produit miracle permettant de pr venir des atteintes susceptibles d tre perp tr es via des vuln rabilit s n ayant pas encore fait l objet de correctifs Qwik Fix est disponible gratuitement sur le site de la soci t de Thor Larholm bien connu des lecteurs de la liste BugTraq Qwik Fix est ainsi annonc corriger les probl mes de gestion des zones de s curit en environnement Internet Explorer les probl mes RPC DCOM les vuln rabilit s li es au service Messenger la faille pr sente dans la gestion des flux ADO et pour finir les vuln rabilit s li es la gestion du type Mime HTA
73. ier la position des sp cialistes de la s curit Avec une port e tendue 100 m tres et une int gration de fait dans la majorit des dispositifs de communication r cents cette technologie offre une nouvelle possibilit d acc s aux donn es personnelles ou professionnelles stock es dans ces dispositifs Les r gles de s curit applicables aux r seaux WiFi vont devoir tre adapt es pour tenir compte des caract ristiques propres a la technologie Bluetooth offrant un v ritable bus de communication sans fil Nous recommandons la lecture du communiqu de presse publi ce sujet par la soci t Stake bien connue de nos lecteurs http www atstake com events news press releases template html europe 121603 Dans un tout autre registre nous regrettons le silence entourant le futur des d fis propos s r guli rement depuis maintenant 3 ans par l quipe du projet Honeynet On ne peut qu esp rer qu il ne s agisse que d un arr t temporaire et qu une nouvelle s rie de d fis verra le jour l ann e prochaine Enfin l IETF a annonc que le moteur de filtrage SpamAssassin serait activ mi d cembre sur son syst me de messagerie afin de pr venir toute tentative de d tournement de celui ci This is to inform you that we are planning to turn on SpamAssassin on all IETF mail on Monday 12 15 at 3PM Eastern Time The only thing SpamAssassin will be doing at this time is adding headers to messages indicating w
74. in d emp cher une exploitation de cette vuln rabilit http xforce iss net xforce alerts id 159 http support microsoft com id 833786 Veille Technologique S curit N 65 Page 36 48 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003 Usurpation de lien dans Mozilla La vuln rabilit autorisant l usurpation du domaine visit dans IE affecte aussi le navigateur Mozilla version 1 5 Les diff rences sont que le caract re 0x00 permet d exploiter cette faille et que le lien usurp apparait lors du passage de la souris v nement MouseOver Ces vuln rabilit s fonctionnent aussi bien via les protocole HTTP et HTTPS http www securityfocus com bid 9203 Ic a MOM EL L W I E Correctif OpenSSL pour eDirector Novell a annonc la disponibilit d un correctif pour eDirectory version 8 7 1 et inf rieures Elle r soud les vuln rabilit s d couvertes dans OpenSSL http support novell com cgi bin tidfinder 2967586 CAN 2003 0543 CAN 2003 0544 A DCF el P m 1 D O T D a NetBSD a annonc la disponibilit des correctifs pour BIND pour NetBSD version NetBSD 1 5 1 6 2_RC2 et current BIND 8 est vuln rable des attaques permettant de compromettre le cache DNS et conduisant un d ni de service ftp ftp netbsd org pub NetBSD security advisories NetBSD SA2003 018 txt asc
75. ing Protocol on ISATAP Nodes OPES draft ietf opes end comm 06 draft ietf opes iab 04 draft ietf opes ocp core 04 OSPF draft ietf ospf ospfv3 auth 04 draft ietf pwe3 fragmentation 04 09 12 PWE3 Fragmentation and Reassembly RMON draft ietf rmonmib raqmon framework 04 draft ietf rmonmib ragmon mib 03 draft ietf rmonmib ragmon pdu 04 draft ietf rmonmib rmon oid assignments 01 ROHC draft ietf rohc mib rtp 08 draft ietf rohc sigcomp impl guide 02 123 12 Implementer s Guide for SigComp draft ietf rohc sigcomp nack 00 draft ietf rohc udp lite 02 draft ietf ccamp rsvp te exclude route O1 04 12 Exclude Routes Extension to RSVP TE draft ietf avt ilbc codec 04 draft ietf avt rtp clearmode 04 draft ietf avt rtp ilbc 04 draft ietf avt text red 00 TT ue ietf tsvwg prsctp 02 draft EE SIEVE draft homme sieve variables 02 draft madanganeshv sieve remove attach 00 draft A Veille Technologique S curit N 65 Page 19 48 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003 IT hermon utfenesders 0 draft malamud no soliciting 02 102 12 No Soliciting SMTP Service Extension draft chisholm snmp infomode 01 draft irtf nmrg snmp getrange 00 Sch aen yerazunts inoculation 01 A MIME Encoding for Spam Inoculation Messages WEBDAV draft dusseault caldav 00 raft ietf webdav bind 03 ra
76. issance UDP ais ment identifiables FTWall note les adresses IP source et destination puis transmet un paquet de r ponse cr de toute pi ce Ces fausses r ponses conduisent le client conclure l absence de filtrage et donc continuer de tenter de contacter le r seau Kazaa dans ce mode Veille Technologique S curit N 65 APOGEE Communications Tous droits r serv s process Figure 1 openning shot UDP packets Non Fast Track Packets 4 Forwarded Wa SR 1 UDP or TCP IP SYN OUTPUT E INPUT m Chain z w Chain a E Fast Track Client 4 pRop ftwall process Identified Fast Track Packets Figure 2 Other UDP and TCP IP SYN Packets Page 40 48 Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003 4 En parall le le client va tenter d ouvrir une connexion TCP IP destination de la cible dont l adresse IP est FORWARD d sormais connue FTWall peut alors rejeter les paquets Chain UDP contenant cette adresse sans tenir compte du num ro de port et autoriser tous les autres paquets pd 3 GUSUS e 2 Reply m Le client va continuer de tenter de contacter d autres LN pe points d entr e dans le r seau Kazaa dont les adresses 2 E seront consign es par FTWall M ul Fast Track Au bout d un certain temps le client va changer de Client se 4 Drop 1 Fake Openning shot UDP tactique et basculer
77. l avis Sun 57441 Le CIAC a repris sous la r f rence O 035 l avis Sun 57441 traitant d une vuln rabilit dans dtprintinfo permettant d ex cuter un code arbitraire sous les droits root http www ciac org ciac bulletins 0o 035 shtml Reprise de l avis Cisco 47184 Le CIAC a repris sous la r f rence O 036 l avis Cisco 47184 traitant d un d bordement de buffer dans ACNS pouvant autoriser un utilisateur distant ex cuter du code arbitraire http www ciac org ciac bulletins o 036 shtml Reprise de l avis Red Hat RHSA 2003 390 Le CIAC a repris sous la r f rence O 037 l avis Red Hat RHSA 2003 390 traitant d une faille dans GnuPG autorisant un utilisateur prendre connaissance de la cl priv e ElGamal sign encrypt de son correspondant Reprise de l avis Cisco 47186 Le CIAC a repris sous la r f rence O 038 l avis Cisco 47186 traitant des r centes installations de Cisco Unity sur serveurs poss dant des comptes utilisateurs et des adresses IP positionn s par d faut qu il est n cessaire de supprimer ou de d sactiver http www ciac org ciac bulletins o 038 shtml Reprise de l avis Cisco 47288 Le CIAC a repris sous la r f rence O 039 l avis Cisco 47288 traitant de deux vuln rabilit dans Cisco Firewall Services Module FWSM pouvant conduire un d ni de service http www ciac org ciac bulletins o 039 shtml Reprise de l avis Red Hat RHSA 2003 403 Le CIAC a repris sous la r f rence
78. les cas possibles en rejetant les encodages non conformes Cette m thode est cependant celle utilis e par la quasi totalit des protocoles requ rant l usage de structures ASN 1 La seconde m thode dite DER ou Distinguished Encoding Rules simplifie quelque peu le travail des fonctions d encodage et de d codage en imposant l utilisation d une forme d encodage la forme concise ou Short Form dans le cas d une donn e dont la taille est compatible avec le stockage de la longueur sur un octet la forme tendue ou Long Form dans les autres cas Bien qu aucune information pr cise ne soit fournie dans les alertes mises par l UNI RAS il est fort probable que les probl mes mis en vidence par le NISCC proviennent des fonctions de d codage des structures encod es BERT traitements ne prenant g n ralement pas en compte les irr gularit s d encodage Force est de constater que nombre de librairies de d codage librement accessibles ont t d velopp es en consid rant que les param tres fournis sont correctement structur s les erreurs d int grit ayant normalement t corrig es par la couche de service sous jacente Rappelons en effet que ces librairies ont t d velopp es dans le cadre des protocoles OSI Cette br ve pr sentation du langage de description ASN 1 et de ses particularit s nous permet d aborder un sujet plus rarement trait pour ne pas dire confidentiel La complexit inh rente l encodage ASN 1
79. m de son concepteur MI chel Bouissou Rapport N 58 Mai 2003 Deux autres versions sp cialis es dans le domaine de l audit et des tests de s curit ont vu le jour derni rement et quasiment simultan ment la version Knoppix STD diffus e en octobre dernier a version Knoppix PHLAK elle aussi diffus e pour la premi re fois en octobre dernier mais ayant d j fait l objet d une mise jour Une liste non exhaustive des principales applications et outils int gr s dans ces deux distributions est propos e ci dessous Nous y avons rajout titre indicatif la distribution PenguinSleuth toujours bas e sur Knoppix mais r alis e l attention de ses homologues par Ernest Baca un sp cialiste am ricain de l investigation informatique Knoppix STD Knoppix PHLAK Penguin Sleuth Utilisation Audit Test de p n tration Audit Test de p n tration Forensic Utilitaires LI NUX Chkrootkit __ dnswalk J J J 4 flawfinder le __ O nn f ri hping2 idswakeup le BS Veille Technologique S curit N 65 Page 6 48 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003 Winscan j Authentification ll freRadus _ O08 3 PAMconfig
80. m teraterm Zebedee Tunnel TCP UDP 29 05 02 http www winton org uk zebedee Veille Technologique S curit N 65 Page 15 48 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003 Apogi NORMES ET STANDARDS LES PUBLICATIONS DEL I LES RFC RFC TRAITANT DE LA S CURIT tre le 1 oO F E h eme d Uii d OLK LO 3634 12 03 Pst Server Address Sub option for the DHCP CableLabs Client Configuration CCC Option SECUR 3631 12 03 ecurity Mechanisms for the Internet S XML 3653 12 03 nf XML Signature XPath Filter 2 0 RFC TRAITANT DE DOMAINES CONNEXES LA S CURIT Th me Num Date DNS 3658 12 03 Pst Delegation Signer DS Resource Record RR LDAP 3671 12 03 Pst Collective Attributes in the Lightweight Directory Access Protocol LDAP 3672 12 03 Pst Subentries in the Lightweight Directory Access Protocol LDAP 3673 12 03 Pst Lightweight Directory Access Protocol version 3 LDAPv3 All Operational Attributes 12 03 Pet Feature Discovery in Lightweight Directory Access Protocol LDAP 3663 12 03 Exp omain Administrative Data in Lightweight Directory Access Protocol LDAP AUTRES RFC Theme AT ate DHCP 3633 12 03 Pst IPv6 Prefix Options for Dynamic Host Configuration Protocol DHCP version 6 662 DMDP 3656 12 03
81. ment ce march vont dans le m me sens contourner les obstacles et d faire les m canismes de protection au risque de cr er un syst me terme incontr lable et mena ant l quilibre m me de l Internet Compl ment d information http www linuxjournal com article php sid 6945 Pr sentation de FTWall par son auteur http p2pwall sourceforge net Site FTWall http www ndnn org the kazaa problem pptg Protocole d change FastTrack V2 http www kazaa com Infrastructure Kazaa http www kazaalite nl Infrastructure KazaaLite K http www imesh com Infrastructure iMesh http www grokster com Infrastructure Grokster http www winmx com Infrastructure WinMX http opennap sourceforge net Infrastructure OpenNAP DETESCAN ANAPIRATE Description Deux outils d analyse de journaux d velopp s par des universitaires Fran ais ont attir notre attention Pr sent l occasion des Journ es R seaux 2003 l utilitaire DeteScan vient au secours des exploitants en leur offrant la possibilit d analyser rapidement les v nements journalis s par les diff rents quipements r seaux afin de mettre en vidence les tentatives de sondages R sultant d une collaboration entre plusieurs universitaires cet utilitaire crit en langage perl a pour principal avantage sa simplicit d installation et d utilisation Sa mise en oeuvre en environnement Linux ne n cessite en effet d autre op ration que la copi
82. n d ann es sont une p riode propice aux attaques Internet De r centes vuln rabilit s n tant toujours pas corrig es le SANS encourage les utilisateurs teindre les machines non critiques afin de limiter les vecteurs de propagation des attaques Par ailleurs un grand nombre d attaques par r plication ou phishing attacks a t recens Leur but est de tromper l utilisateur sur la l gitimit du site visit comme ici pour Visa http isc sans org diary html date 2003 12 22 http isc sans org diary html date 2003 12 23 Nouvelles techniques d vasion de script Plusieurs services de courrier lectronique accessibles via le web sont vuln rables de nouvelles techniques d vasion de script II est donc possible de passer un script malicieux qui sera ex cut lors de la visualisation du mail Excite Outblaze et Yahoo sont vuln rables lorsque le script est contenu entre deux balises sp cialement construites 3CRIP2malicious code lt 3CRIP gt Il est possible de voir appara tre des virus exploitant cette faille http www finjan com news press show cfm press release id 124 http www kb cert org vuls id 707100 Publication de deux articles sur la faille Exchange De nombreux cas concernant la vuln rabilit affectant Exchange Server 2003 et Outlook Web Access OWA ont t rapport s Microsoft L installation de SharePoint Services 2 0 peut conduire la d sactivation de l authentification Kerberos s
83. nBSD Publication de techniques et de programmes d attaques D tails des alertes techniques et programmes SUN SCO Synth ses g n rales pointeurs sur les sites sp cifiques Notifications d taill es et correctifs techniques L analyse des avis peut tre ainsi men e selon les trois strat gies suivantes Recherche d informations g n rales et de tendances Lecture des avis du CERT et du CIAC Maintenance des syst mes Lecture des avis constructeurs associ s Compr hension et anticipation des menaces Lecture des avis des groupes ind pendants SES Veille Technologique S curit N 65 Page 23 48 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003 ALTA Ce FORMAT DE LA PRESENTATION Les alertes et informations sont pr sent es class es par sources puis par niveau de gravit sous la forme de tableaux r capitulatifs constitu s comme suit Pr sentation des Alertes TITRE Description sommaire Gravit Date Informations concernant la plate forme impact e Correction Produit vis par la vuln rabilit Description rapide de la source du probl me R f rence URL pointant sur la source la plus pertinente R f rence s CVE si d finie s Pr sentation des Informations TITRE Description sommaire URL pointant sur la source d information R f rence s CVE si d finie s SYNTH
84. nSSL Sun 57444 http sunsolve sun com pub cgi retrieve pl doc fsalert 57444 CAN 2003 0543 CAN 2003 0544 CAN 2003 0545 D marrage d ex cutables distance via J 2EE Une vuln rabilit dans le composant Pointbase permet de d marrer un ex cutable quelconque via une requ te SQL Forte 16 12 Sun J2EE RI 1 4 pour Windows avec composant Pointbase 4 6 Palliatif propos J2bEE RI et Pointbase 4 6 Mauvais gestion des requ tes SQL Security Tracker http www securitytracker com alerts 2003 Dec 1008491 html Acc s non autoris aux fichiers via PC Netlink Une vuln rabilit dans PC Netlink permet d acc der des fichiers ou des r pertoires J Forte 01 12 Sun PC Netlink 1 x Sparc et Intel Correctif existant Processus de sauvegarde Perte des informations concernant les ACLs Sun 27807 http sunsolve sun com pub cgi retrieve pl doc fsalert 27807 Cr ation non s curis e de fichiers dans Xsun Les syst mes Solaris utilisant Xsun sont vuln rables lors de la cr ation de fichiers temporaires Forte 02 12 Sun Solaris 2 6 9 Sparc et Intel Correctif existant Serveur graphique Xsun Cr ation de fichiers non s curis e Sun 57419 http sunsolve sun com pub cgi retrieve pl doc fsalert 57419 Forte 02 12 Sun ONE iPlanet Web Server 4 1 SP12 et inf rieurs Windows Web Server 6 0 5 5 et inf rieurs Windows Une vuln rabilit dans dtprintinfo permet d ex cuter un code arbitraire sous les droits
85. nfo apogee com fr 91940 Les ULIS Devoteam APOGEE Tous droits r serv s D cembre 2003 Au sommaire de ce rapport PRODUITS ET TECHNOLOGI ES 5 LES PRODUITS 5 INTERNET EXPLORER 5 Pivx Qwik F1x 5 OUTILS 6 KNOPPIX STD vs PHLAK 6 I NFORMATI ONS ET L GI SLATI ON 9 LES INFORMATIONS 9 S CURISATION 9 WINDOWS IDENTIFICATION DES PROCESSUS 9 SOLSERVER LE ROLE PUBLIC 9 CERT AVANT DE CONNECTER UN NOUVEAU SYST ME SUR INTERNET 10 NSA CATALOGUE DES GUIDES DE S CURIT 11 CRYPTOGRAPHIE 12 CHALLENGE RSA 576 12 LA L GISLATION 13 S CURIT 13 EU CR ATION DE L AGENCE EUROP ENNE CHARG E DE LA S CURIT DES R SEAUX ET DE L INFORMATION 13 LOGICIELS LIBRES 14 LES SERVICES DE BASE 14 LES OUTILS 14 NORMES ET STANDARDS 16 LES PUBLICATIONS 16 LES RFC 16 LES DRAFTS 16 NOS COMMENTAIRES 21 LES RFC 21 RFC 3299 3499 3599 21 LES DRAFTS 22 DRAFT IETF PKI X LOGOTYPES 22 ALERTES ET ATTAQUES 23 ALERTES 23 GUIDE DE LECTURE 23 FORMAT DE LA PR SENTATI ON 24 SYNTH SE MENSUELLE 24 ALERTES D TAILL ES 25 AVIS OFFICIELS 25 APPLE 25 BI ND 25 CA 25 CI SCO 25 CVs 26 ETHEREAL 26 GNUPG 26 HP 26 IBM 26 KERI O 27 LI NUX 27 LINUX SuSE 27 MACROMEDI A 27 MODPYTHON 27 NOVELL 27 OPERA 28 SOAP 28 SUN 28 ALERTES NON CONFIRM ES 29 APPLE 29 APPLI ED WATCH 30 ARC 30 CYBERGUARD 30 Veille Technologique S curit N 65 Page 2 48 APOGEE Communications Tous droits r serv s Diffusi
86. nnement de Qwik Fix est totalement transparent et il ne nous a pas t possible d obtenir la moindre fen tre de notification malgr nos tentatives d attaque sur la machine prot g e par cette application L analyse des fichiers livr s avec l application permet heureusement de comprendre la technique employ e pour renforcer la gestion des zones de s curit sous Internet Explorer La lecture du fichier ac r v le en effet que celui ci contient la liste des identifiants ou CLSID de 82 objets Active X qui seront inscrits sous la clef de registre HKLMY Software Policies Microsoft Windows Current Version AllowedControls L article Q182569 de la base de connaissance pr cise que cette clef permet de sp cifier les seuls objets dont l ex cution sera implicitement autoris e Son association avec la clef Internet Settings et diverses clefs d riv es permet ainsi de restreindre les fonctionnalit s et autorisations d ex cution en environnement Internet Explorer V6 au strict minimum requis Nous laissons le soin au lecteur int ress de rechercher le nom des objets ainsi autoris s Veille Technologique S curit N 65 Page 5 48 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003 e L un des objets r f renc s appara t IPN Ini xj tre le control nomm DNSControl Celui ci est impl ment dans la E
87. nt issus de l environnement natif Debian Ce ph nom ne est directement li au concept m me du LiveCD v ritable reflet de la pens e et de l organisation de son concepteur On regrettera la prolif ration actuellement constat e de distributions n ayant pas grand int r t quand l nergie ainsi d pens e pourrait tre mieux employ e la cr ation d un syst me de g n ration automatique de distributions Live l utilisation de versions de logiciels notoirement obsol tes voire dangereux du point de vue de la s curit int gr s des distributions pourtant r centes Ce probl me vient conforter notre position pr c dente et milite en faveur de la cr ation d outils facilitant la r g n ration automatique d une distribution partir d un mod le type Les distributions Knoppix STD et Knoppix PHLAK viennent concurrencer les remarquables paquetages F I R E ex Biatchux et Trinux Rapport N 43 F vrier 2002 A ce jour et de notre point de vue notre choix pr f rentiel se porte toujours sur la distribution F I R E compl te mature et int grant outre les paquetages LI NUX divers utilitaires destin s tre activ s en environnement Windows et Solaris Bien moins mature la distribution PHLAK n en pr sente pas moins l int r t de s appuyer sur la distribution Knoppix remarquablement stable et compl te notamment en terme de support du mat riel h te Au risque de se voir reprocher de vouloir cr er une n i
88. ntifiers for the Internet X 509 Certificate and CRL Profile 04 2002 Internet X 509 Public Key Infrastructure Certificate and Certificate Revocation List CRL Profile EZ 04 2002 An Internet Attribute Certificate Profile for Authorization RFC 3499 pages publi s entre Octobre 2002 et Mars 2003 3439 TERES Some Internet Architectural Guidelines and Philosoph 02 2003 Public Key Cryptography Standards PKCS 1 RSA Cryptography Specifications Version 2 1 CLIS 01 2003 Dynamic Host Configuration Protocol DHCPv4 Configuration of IPsec Tunnel Mode 01 2003 Requirements for IPsec Remote Access Scenarios 03 2003 STUN Simple Traversal of User Datagram Protocol Through Network Address Translators RFC 3599 pages oubli s entre Avril 2002 et Octobre 2003 3511 Benchmarking Methodology for Firewall Performance 3519 CLYZS 06 2003 Gateway Control Protocol Version 1 3526 More Modular Exponential Diffie Hellman groups for Internet Key Exchange IKE 3537 Wrapping a HMAC key with a Triple DES Key or an Advanced Encryption Standard AES Ke 3538 Secure Electronic Transaction SET Supplement for the v1 0 Internet Open Trading Protocol 3539 ci 1 28 06 2003 Transport Layer Security TLS Extensions 3552 3554 3560 3562 3565 CELL 09 2003 The AES XCBC MAC 96 Algorithm Its Use With IPsec 3567 3575 3576 3579 EIU 09 2003 IEEE 802 1X Remote Authentication Dial In User
89. ogique S curit N 65 Page 41 48 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003 Nov 30 06 19 25 A B C D 990433 18w1d 96SEC 6 IPACCESSLOGDP list 1 denied icmp A B C E gt A B X T 8 0 1 packet Nov 30 06 22 06 scan tcp de u209 d226215061 ctt ne jp sur le port 135 15 machines Le lecteur en conviendra le format de pr sentation est ici r duit au strict minimum mais il permet de mettre rapidement en vidence l importance et la dur e d une vague de sondage Comme pr c demment mentionn la mise en oeuvre de detescan pl est imm diate et sans difficult aucune du moins lorsque le format des enregistrements trait s est celui sp cifi par d faut pour l quipement Nous avons ainsi d l g rement modifier le code pour traiter les enregistrements g n r s par un routeur Cisco ins rant l identification de l interface dans les enregistrements cas de figure a priori non pr vu par les auteurs de l utilitaire Nov 30 05 36 33 X Y Z T 990246 18w1d 96 SEC 6 IPACCESSLOGP list Externel nterne denied tcp A B C D 4318 FastEthernetO 0 0008 21be d560 gt X Y Z T 445 1 packet L utilitaire DeteScan supporte une impressionnante liste d quipements routeurs Cisco Allied Telesys Foundry Cabletron Extreme Networks pare feu et Filtres Cisco PI X screend ipchain iptables et enfin la sonde de d tection d intr
90. olicy Control Protocol HI N lt H N Q OJO Ww 4 he N IN N HI N zZ r r UJ J un U HIA OlOIH IN 112 O BR H N Q m N O 2 HI N CO m N ojo WIR N OJO e N 20 En 3 4 A a di DW en En i m VOIR 7 ait litre VT draft jones avt audio t38 03 03 12 Real Time Facsimile audio t38 MIME Sub type Registration BCP38 draft savola bcp38 multihoming update 03 23 12 ngress Filtering for Multihomed Networks draft ietf grow bgp med considerations 00 03 12 MED Considerations draft ietf grow collection communities 01 15 12 BGP Communities for Data Collection Veille Technologique S curit N 65 Page 17 48 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003 03 01 22 2 d DHCP Failover Protocol d draft ietf dhc server mib 09 ynamic Host Configuration Protocol for IPv4 Server MIB draft ietf dhc subscriber id 04 DHCP Subscriber ID Suboption for the DHCP Relay Agent Option d i raft ietf dhc rapid commit opt 00 raft vijay dhc dhcpv6 ipv6trans 00 HCPv6 support for IPV6 Transition raft ietf dhc failover 12 HCP Failover Protocol draft zygmuntowicz epp pltld 01 PP
91. on restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003 DAMEWARE 30 FREERADI US 30 GNU 30 IBM 30 IKE 30 I PSWI TCH 31 L SOFT 31 LFTP 31 LI NKSYS 31 MACROMEDI A 31 MI CROSOFT 31 NETGEAR 32 OPENCA 32 PHP 32 SQUI RRELMAIL 32 SYBASE 32 WEBSENSE 32 XEROX 32 YAHOO 33 AUTRES INFORMATIONS 33 REPRISES D AVIS ET CORRECTIFS 33 APPLE 33 CERT 33 CI AC 33 FREEBSD 34 HP 34 HP COMPAQ 35 ISC 36 IBM 36 LI NUX DEBI AN 36 LI NUX MANDRAKE 36 LI NUX REDHAT 36 MI CROSOFT 36 MOZI LLA 37 NOVELL 37 NETBSD 37 ORACLE 37 SCO 37 SGI 37 SUN 38 TARANTELLA 39 CODES D EXPLOITATION 39 DAMEWARE 39 BULLETINS ET NOTES 39 ATTAQUES 39 MICROSOFT 39 ATTAQUES 40 OUTILS 40 FTWALL KAZAA 40 D T SCAN ANAPIRATE 41 TECHNI QUES 45 MALWARE 45 DIGRESSIONS AUTOUR DE L ENCODAGE ASN 1 46 Veille Technologique S curit N 65 Page 3 48 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003 Le mot de la r daction Apr s la technologie Wifi c est la technologie Bluetooth qui pourrait bien faire la Une des articles consacr s la s curit Si les quipements de premi re g n ration ne posaient pas de v ritable probl me de s curit tant donn e leur port e r duite la nouvelle g n ration qui devrait arriver prochainement en masse sur le march pourrait conduire devoir modif
92. ot J ipchain ipchain iptables iptables Windows XP ICF apache X Compl ment d information https www orleans ird fr pub anapirate anapirate site html AnaPirate http www igh cnrs fr perso denis pugnere detescan Detescan http cert uni stuttgart de projects fwlogwatch FwLogWatch http www sawmill net index html SawMill TECHNI QUES MALWARE Description ie site personnel de Jarkko Turkulainen nous propose une analyse d taill e de deux portes d rob es assez r centes BackDoor Dewin k et BackDoor Spotcom Pour m moire le r le d un tel logiciel est d autoriser le contr le distance du syst me sur lequel il a t g n ralement illicitement install Pour tre exploitable le plus longtemps possible et comme son nom l indique une porte d rob e devra tre concue pour masquer son activit sur le syst me compromis mais aussi dans l environnement d accueil de celui ci Les codes actuels qu il s agisse de portes d rob es de vers ou de virus int grent ainsi plusieurs m canismes permettant de les rendre invisibles Manipulation des structures du syst me pour masquer l activit g n r e par l ex cution et dissimuler les modifications effectu es sur le syst me lors de l installation Dissimulation des communications en r utilisant un protocole connu afin de noyer les donn es chang es dans la masse et de passer travers les dispositifs de filtrag
93. p www uniras gov uk vuls 2003 006489 x400 htm Alerte X400 http www uniras gov uk vuls 2003 006489 smime htm Alerte SMI ME http www uniras gov uk vuls 2003 006489 openssl2 htm Alerte OpenSSL http www niscc gov uk News newsnovO03 pdf Article d accompagnement http luca ntop org Teaching Appunti asn1 html Le guide ASN 1 http www isi salford ac uk books osi chap8 html Un excellent historique http asn1 elibel tm fr oid ASN 1 OID http www itu int itudoc itu t rec x x200 499 x208 22887 html Norme X208 DER http www itu int itudoc itu t rec x x200 499 x209 24177 html Norme X209 BER Veille Technologique S curit 65 Page 48 48 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE
94. p To d un e mail envoy avec SquirrelMail permet d ex cuter des commandes arbitraires Forte 24 12 SquirrelMail toutes plate formes gpg_encrypt php Non validation des donn es utilisateurs Site bugtradg org http www bugtraq org advisories BSSADV 0001 txt CAN 2003 0990 Forte 10 12 Sybase SQL SS SSS i V CE E WM PS VM E D LINE W Ben d Hm Cross Site Scripti dans Websense Enterprise Websense Entrprise est vuln rable des attaques par Cross Site Scripting Forte 03 12 Websense Enterprise version 4 3 0 et 5 1 Cross Site Scripting http www securityfocus com archive 1 346340 XEROX Exposition de donn es sensibles sur Document Centre Une vuln rabilit du serveur web embarqu sur Xerox Document Centre permet d acc der des donn es sensibles Forte 22 12 Xerox Document Centre 470 255ST avec Xerox MicroServer Xerox11 0 19 5 509 Palliatif propos Serveur web embarqu Non filtrage des URLs Securitv Tracker http www securitytracker com alerts 2003 Dec 1008523 html Veille Technologique S curit N 65 Page 32 48 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003 YAHOO n F D bordement de buffer distant dans Instant Messenger Un d bordement de buffer distant affecte Instant Messenger Forte
95. r l quipe indique seulement que la m thode de crible dite General Number Field Sieve ou GNFS a encore une fois RSA 155 1999 512bits 30 sem t employ e avec succ s Sept d fis de la nouvelle s rie restent ce jour ouverts qui souhaite tenter sa chance Digits Nombre factoriser RSA 640 20 000 3107418240490043721350750035888567930037346022842727545720161948823206440518081504 5563468296717232867824379162728380334154710731085019195485290073377248227835257423 86454014691736602477652346609 RSA 704 30000 212 7403756347956171282804679609742957314259318888923128908493623263897276503402826627 6891996419625117843995894330502127585370118968098286733173273108930900552505116877 063299072396380786710086096962537934650563796359 RSA 768 50 000 232 1230186684530117755130494958384962720772853569595334792197322452151726400507263657 5187452021997864693899564749427740638459251925573263034537315482685079170261221429 13461670429214311602221240479274737794080665351419597459856902143413 RSA 896 75 000 270 4120234369866595438555313653325759481798116998443279828454556264338764455652484261 9809887042316184187926142024718886949256093177637503342113098239748515094490910691 0269861031862704114880866970564902903653658867433731720813104105190864254793282601 391257624033946373269391 RSA 1024 100 000 309 1350664108659952233496032162788059699388814756056670275244851438515265106048595338 3394028715057190944179820728216447155137368
96. rabilit s dans stunnel et la biblioth que glibc ftp patches sgi com support free security advisories 20031103 01 U asc CAN 2003 0740 CAN 2003 0689 7 Mise jour du bulletin Sun 55221 Sun mis jour son bulletin 55221 concernant de multiples vuln rabilit s affectant les serveurs d application SunONE en environnement Windows Il annonce la disponibilit de Sun ONE Application Server 7 0 Update Release 2 corrigeant les vuln rabilit s dans les fonctions de journalisation et dans le moteur SP http sunsolve sun com pub cgi retrieve pl doc fsalert 55221 Correctifs pour bash Sun a annonc la disponibilit des correctifs pour Sun Cobalt Qube 3 RaQ 4 et RaQ XTR pour la vuln rabilit affectant l interpr teur de commandes bash Celui ci est vuln rable lors de l utilisation de l op rateur de redirection Les fichiers temporaires cr s ont un nom pr visible pouvant tre utilis s dans des attaques par lien symbolique http sunsolve sun com pub cgi show pl target cobalt qube3 eng http sunsolve sun com pub cgi show pl target cobalt rag4 eng http sunsolve sun com pub cgi show pl target cobalt ragxtr eng CAN 2000 1134 Reprise de l alerte BI ND Sun a publi sous la r f rence 57434 l alerte concernant la compromission du cache dans BIND 8 Il annonce que le service in named fournit avec les plateformes Sun Solaris versions 7 9 Sparc et x86 est vuln rable Aucun corr
97. s or 07g BS 07 ues Os 07 Omg 01 oii 01 015 Ee oi QUE Ql s SE Omi QT s OME gus DL 99 07 08 08 08 07 08 14 1 Je 13 L3 d DS 14 14 14 1e TO EG TO TO TO TO TO toO Lo TO TO toO TO TO Lo TO details DD MM YYYY 01 12 2003 01 12 2003 01 12 2003 01 12 2003 01 12 2003 01 12 2003 01 12 2003 01 12 2003 01 12 2003 01 12 2003 01 12 2003 01 12 2003 01 12 2003 01 12 2003 01 12 2003 01 12 2003 01 12 2003 We would appreciate any help to against our institute EE EE Thank you for your help Best regards My Name and Surname Tel SOA XX IX IX Sq gg D Xy Fax my email or ori 07 Omi 07 07 07 07 OTS 07 Om O7 OTs OTs 07 075 SKS My company 1 Que 01 e GAME 01 Ee Sab Q1 s EC ON ss MY TOWN This mail was powered by anapirate http www orleans ird fr pub anapirate anapirate site html Exemple d un courrier transmis au x CERT s Subject ANAPIRATE CERT summary o9 07 08 08 08 07 08 14 13 1e 13 L3 To To 14 14 14 217 2 18 217 ZAT 217 2160 2 0 217 217 24107 210 2107 219 2407 260 217 217 224 224 224 224 224 224 224 224 224 224 224 224 224 224 224 2224 224 Find the author of this sc aT me ancl I cum Ce o 249 o O2 2062 o 2A S
98. s aux guides CRYPTOGRAPHI E CHALLENGE RSA 576 Description En 1991 la soci t RSA Security lancait la communaut des cryptanalystes une s rie de 41 d fis intitul s RSA Factoring challenge dont l objectif consistait en la factorisation r duction sous la forme des deux facteurs premiers de nombres dont la longueur s chelonnait de 100 500 chiffres par pas de 10 chiffres Par le pass cinq de ces d fis ont t remport s dont RSA 129 RSA 130 RSA 140 termin le 2 02 1999 RSA 155 termin le 22 08 1999 et tout derni rement RSA 160 termin le 01 04 2003 Mi Mai 2001 la soci t RSA Security annon ait la continuation de la s rie de d fis RSA Factoring challenge sous une nouvelle forme en offrant une dotation allant de 10 000 200 000 avec l ouverture de huit nouveaux d fis Rapport N 34 Mai 2001 Le 3 d cembre l quipe de l universit de Bonn ayant M Date Taille Dur e emport le dernier d fi de E premi re s rie annon ait avoir r ussi factoriser le premier d fi de la nouvelle s rie savoir RSA 110 1992 NA un nombre de 576 bits c est dire constitu de 174 chiffres d cimaux RSA 120 1993 NA NA A l heure de l criture de cet article aucune information RSA 129 1977 426bits 32 sem pr cise concernant la dur e de la factorisation et la puissance RSA 130 1996 428bits 33 sem de calcul requise n est disponible Le message transmis pa
99. s d alerte Info Hackino http www infohacking com I NFOHACKING RESEARCH Our Advisories IE index html Exposition d informations dans I nternet Explorer x Une vuln rabilit dans le navigateur Internet Explorer pour syst me Mac OS peut conduire l exposition d informations Moyenne 26 12 Microsoft Internet Explorer 5 22 pour syst me Mac OS S O Aucun correctif Internet Explorer Non respect de la norme HTTP 1 1 NETGEAR Forte 11 12 NetGear WAB102 avec firmware verson 123 O OCO OSS SyS S 7 Utilisation d un certificat expi Une vuln rabilit dans OpenCA permet d accepter un certificat expir ou r voqu Forte 01 12 OpenCA version 0 9 1 3 et inf rieures Correctif existant Biblioth que crypto utils lib Mauvaises v rification de la cha ne de certificats Module OpenCA PKCS7 Full Disclosure http lists netsys com pipermail full disclosure 2003 November 014273 html CAN 2003 0960 Vuln rabilit dans le module mod php Une vuln rabilit dans le module mod php permet de d tourner le service HTTPS Forte 26 12 PHP versions 4 2 et 4 3 avec le module php sous Apache version 2 0 Module mod php Mauvaise gestion des appels externes http www securityfocus com archive 1 348368 mp een Tx CAI A A g BI IVE Ex cution de commandes arbitraires via SauirrelMail Le passage de donn es sp cialement construites au cham
100. s isec 0012 do_brk txt CAN 2003 0961 pour SuSE Forte 03 12 SuSE Linux versions 7 3 8 0 8 1 8 2 9 0 et serveurs 2 Code client 2 Mauvais formatage de cha ne de caract res SUSE SA 03 048 http www suse de de security 2003 048 gpg html CAN 2003 0971 Exposition d informations via Flash Player Forte 16 12 Macromedia Flash Player versions inf rieures 7 0190 O C OCOC 7 7 y yS MOD Une vuln rabilit dans mod python peut provoquer un d ni de service du serveur Apache Forte 28 11 mod python versions inf rieures 2 7 9 Apache V 1 3 et versions inf rieures 3 0 4 Apache V 2 0 Contournement des restrictions d acc s dans NFS Une vuln rabilit dans NetWare 6 5 peut permettre un utilisateur malveillant de contourner les restrictions d acc s des partages NFS Forte 04 12 Correctif existant XNFS NLM Mauvaise gestion des fichiers de configuration Novell 10089375 http support novell com cgi bin tidfinder 10089375 Veille Technologique S curit N 65 Page 27 48 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003 Vuln rabilit dans le navigateur Opera Une vuln rabilit dans le navigateur Opera peut autoriser un utilisateur distant craser ou supprimer des fichiers arbitraires Forte 12 12 Opera
101. se Niveau de risque Insecure Insecure Niveau de risque Insecure Insecure Svsdatabases sysdevices syslockinfo syslocks sysservers sysaltfiles syscacheobjects syscursorcolumns syscursorrefs syscursortables sysperfinfo sysprocesses sysxlogins Insecure Insecure Insecure Insecure Insecure Insecure Secure Secure Secure Secure Secure Secure Secure Secure sysdepends sysfilegroups sysfiles sysforeignkeys sysfulltextcatalogs sysindexes sysindexkeys sysmembers sysobjects syspermissions sysprotects sysreferences systypes sysusers Insecure Insecure Insecure Insecure Insecure Insecure Insecure Insecure Insecure Insecure Insecure Insecure Insecure Insecure Secure Secure Secure Not sensitive sysfiles1 sysfulltextnotify sysproperties Nom de table Backup LogMarkHistory MSWebTasks Insecure Restore Insecure RTbI Compl ment d information http www sans org rr papers index php id 1273 http www eweek comy article2 0 4149 743002 00 asp Contexte Niveau de risque Insecure Insecure Dossier OpenHack 4 CERT AVANT DE CONNECTER UN NOUVEAU SYSTEME SUR INTERNET Description Le CERT CC publie r guli rement une s rie de notes techniques ou tech tips simples et concises traitant de mani re approfondie d un sujet ayant trait la s curit Ainsi et ce jour quelques 39 notes sc techniques ont t publi es dans l une d
102. t dans Mac OS X Une vuln rabilit dans Mac OS X peut conduire introduire un serveur d authentification malicieux dans la liste des sources d authentification du syst me Forte 26 11 Apple Mac OS X 10 2 10 3 1 Il est possible que les versions inf rieurs de Mac OS X soient vuln rables Veille Technologique S curit N 65 Page 29 48 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003 Vuln rabilit s dans Applied Watch Command Center De nombreuses vuln rabilit s affectent Applied Watch Command Center Hg 27 11 Applied Watch Server versions inf rieures 1 4 5 Applied Watch Command Center Linux Solaris OpenBSD HP UX Tru64 et Windows NT Palliatif propos Applied Watch Console et Node Multiples vuln rabilit s Applied Watch http www bugtraq org advisories BSSADV 0000 VENDOR RESPONSE txt 5 0000 http www bugtraq org advisories BSSADV 0000 txt CAN 2003 0970 CAN 2003 0971 Ex cution de Script arbitraire via le Une faille de type Cross Site Scripting permet l ex cution de script arbitraire via le proxy HTTP de CyberGuard Forte 22 12 CyberGuard proxy firewall version 5 1 Palliatif propos Proxy HTTP Cross Site Scripting Security Tracker http www securitytracker com alerts 2003 Dec 1008526 html Forte 15 12 DameWareversion
103. t le service actif Ready On remarquera aussi la pr sence dans le code de l adresse 64 186 255 98 qui se r v le tre celle du site qwikfix pivx com h bergeant les mises jour du produit Notre premi re impression est que Qwik Fix n apporte rien qui ne puisse tre effectu par le biais d un script de configuration voire m me par un fichier de configuration mais peut tre n avons nous pas d couvert toutes les subtilit s du produit L utilisateur n encourt cependant pas grand risque installer cet utilitaire et faire sien le pari de Pascal II devra pourtant prendre garde au fait que la protection statique apport e par Qwik Fix n est pas permanente les param tres de la base de registre tant repositionn s leur valeur originale si l on quitte l application Compl ment d information http www pivx com qwikfix faq html Foire aux questions http support microsoft com support kb articles Q182 5 69 ASP amp NoWebContent 1 Article de la base de connaissance OUTILS KNOPPIX STD vs PHLAK Description KN PPIX net Parmi les distributions LINUX autonomes dites Live CD la distribution Knoppix bas e sur FROM zero Gnu Lini FIVE mures l environnement DEBI AN semble raporter un succ s consid rable Sont ainsi actuellement r pertori es quelques 11 variations francis es de cette distribution dont notamment la version orient e s curit dite Knoppix MI B du no
104. t of ASN 1 BER and DER publi e il y a quelques ann es 1993 par la soci t RSA I nc Contrairement aux protocoles d velopp s autour des r seaux DARPA dont la syntaxe tait intelligible par un tre humain les concepteurs des protocoles OSI ont opt pour l utilisation de structures de donn es norm es et d finies par le biais d un langage de description dit ASN 1 ou Abstract Langage Notation Number 1 norme ISO 8824 Veille Technologique S curit N 65 Page 46 48 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003 Ce langage autorise la d finition de types de donn es Ces itut volu s partir d un ensemble de types l mentaires tels Mosi que INTEGER pour un entier SEQUENCE pour une EHE ENER collection ordonn e d objets encore OBJECT DE standardill I DENTI FI ER pour un identifiant d objet euin A EFE registration authority 1 L extrait de la d finition des objets sp cifi s par la norme X9 84 CMS pr sent ci dessous permet de visualiser leur member bodyrz construction TE BE 3 SignedData SEQUENCE version CMSVersion B DCH digestAlgorithms DigestAlgorithmldentifiers pe CT encapContentinfo EncapsulatedContentl nfo 4 11 certificates 0 CertificateSet OPTIONAL 3 DESEE cris 1 CertificateRevocationLists DL 567
105. tp ftp sendmail org pub sendmail RELEASE NOTES APACHE Serveur WEB 1 3 29 24 10 03 http httpd apache org dist 2 0 48 24 10 03 ModSSL API SSL Apache 1 3 29 2 8 16 01 11 03 http www modssl org MySQL Base SQL 3 23 58 11 09 03 http www mysql com doc N e News 3 23 x html 14 10 03 Cache WEB 15 09 03 http www squid cache org AUTRE estion des news MAJORDOMO Gestion des listes OpenCA estion de certificats OpenLDAP estion de l annuaire LES OUTILS Une liste non exhaustive des produits et logiciels de s curit du domaine public est propos e dans les tableaux suivants LANGAGES Non T VIV L S Analyse de code 3 13 Scripting 65 8 2 BOobs 21 12 03 S O Big Brother Visualisateur snmp 1 9c Dsniff Boite outils D EtterCap Analyse amp Modification 0 6 b 03 07 03 http ettercap sourceforge net index php s history Ethereal Analyse multiprotocole 0100 12 12 03 lhttp www ethereal com UU O Nstreams G n rateur r gles 1 0 3 06 08 02 lhttp www hsc fr ressources outils nstreams download _ Veille Technologique S curit N 65 Page 14 48 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003 Apogi WinPCap 13 06 03 http winpcap polito it news htm ANALYSE DE J OURNAUX l Analog Journaux serveur http 15 32 23
106. ur 115 II est alors possible d acc der la boite aux lettres d un utilisateur Exchange authentifi Deux articles pr cisent la mani re de corriger et d viter ce probl me http support microsoft com id 832769 http support microsoft com id 832749 http www uniras gov uk 11 12 13 brief2003 brief 64503 txt Veille Technologique S curit N 65 Page 39 48 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003 ATTAQUES OUTILS Description Les infrastructures d change et de partage d information peuvent tre consid r es comme une v ritable nuisance lorsque celles ci sont acc d es par les salari s depuis leur poste de travail Les protocoles utilis s dits protocoles P2P ou Peer To Peer sont consid r s comme difficilement filtrables et ce d autant plus que chaque nouvelle version int gre g n ralement de nouvelles fonctionnalit s visant contourner les quipements de filtrage Le tableau ci contre r capitule ainsi les num ros de port TCP utilis s par les clients des principales applications d change et de partage de fichiers 6346 6347 La mise en place de filtres destin s rejeter les 6699 connections effectu es destination de ces ports depuis les clients internes reste recommand e titre pr ventif On restera cependant vigilant r guli rement mettre jour cette liste Le port 1214 n
107. usion snort Sa conception conduit cependant r server son utilisation pour l analyse de journaux d un volume raisonnable les auteurs annon ant en effet une occupation m moire de 676Mo durant l analyse de 2 millions d enregistrements contenant 900 000 rejets D velopp par Luc Veillon de l IRD Institut de Recherche et de D veloppement l outil AnaPirate permet d automatiser la t che fastidieuse de recherche des tentatives d acc s illicites et de notification des entit s comp tentes le service abuse du fournisseur d acc s et si besoin le CERT le plus proche Constitu d une dizaine de fichiers dont 6 librairies perl le paquetage AnaPirate n cessite une phase de configuration avant utilisation requ rant l dition du fichier principal pour le positionnement ventuel des seuils d alerte par d faut ces seuils pouvant tre modifi s directement sur la ligne de commande du fichier de configuration pour la s lection des sources de donn es qui seront prises en compte dans l analyse Sont actuellement reconnus les journaux g n r s par les routeurs CI SCO par le serveur Apache et enfin par le syst me d exploitation Solaris On notera toutefois quelques restrictions fonctionnelles en ce qui concerne le traitement des deux derni res sources Ce fichier de configuration contient par ailleurs la liste des serveurs whois qui seront interrog s pour d terminer les points de contact des entit s notifier d
108. vel warning et packet warning a permis de r duire le volume de message de 410 73 ces param tres tant configur s par d faut 5 et 10 dans le code et non 10 et 50 comme le laisse entendre la documentation est en cons quence fortement recommand de d marrer sur un petit fichier de journalisation en mode manuel mode pour lequel les courriers sont transmis sur une adresse de test afin d optimiser la configuration des seuils L option autorisant la transmission automatique de ces courriers aux services concern s pourra ensuite tre activ e Exemple d un courrier transmis au service abuse Our REF 2003 67 Dest abuseQt ipnet de postmaster dip t dialin net For Deutsche Abuse Generic email Dear colleague s We have seen a host from your domain 217 224 249 62 pd9e0f93e dip t dialin net scanning Ports 139 beginning ar SOS EE EE NTE synchronizecl ending at s 01 12 2003 07301314 on these addresses in our networks 62 Bs 14 16 31 Veille Technologique S curit N 65 Page 42 48 APOGEE Communications Tous droits r serv s Diffusion restreinte aux clients abonn s aux services VTS RAPPORT et VTS ENTREPRISE D cembre 2003 Or 1E you DOMM SCC SE EP 272100015 42722008 PA 0142 7200 2005 DEE BEER 0182482722 008 BEKI SEPTA TUIS 01 42 2008 BE 2006 prefer more HH 07 O78 07 0072 07 OTs 07 07 075 OT
109. version 7 22 et inf rieure pour plateforme Windows Correctif existant Mauvaise gestion des caract res http opera rainyblue org modules cjaycontent index php id 16 Vuln rabilit s dans Opera Deux vuln rabilit s affectent le navigateur Opera UNIS T C NN 2 Opera versions 6 06 7 22 2 Non chappement des caract res de contr le d une URL D ni de service dans les serveurs SOAP Un mauvais traitement des requ tes par les serveurs SOAP permet de provoquer un d ni de service 09 12 IBM WebSphere versions 5 0 0 5 0 1 5 0 2 et 5 0 2 1 Microsoft ASP NET Web Services NET framework 1 0 er 1 1 Macromedia J 4 0 toutes ditions ColdFusion MX 6 0 6 1 et MX 6 0 6 1 2 toutes ditions Correctif existant Analyseur XML Crimson Mauvais traitement des requ tes Microsoft 832878 http support microsoft com default aspx kbid2832878 MPSBO03 07 http www macromedia com devnet security security zone mpsb03 07 html PQ81278 http www 1 ibm com support docview wss rs 180 amp context SSEQTP amp q zPQ81278 amp uid swg24005943 http www securityfocus com archive 1 346973 SUN D P BY Vuln rabilit s OpenSSL sur Sun Grid En Sun Grid Engine est vuln rables aux failles OpenSSL r cemment d couvertes Critique 22 12 Sun Grid Engine 5 3 Sparc 32 et 64 bits Intel incluant le format de paquetage NON Solaris pour Sun Linux Correctif existant OpenSSL Vuln rabilit aux failles Ope
110. ww 1 ibm com support docview wss uid isg11Y49881 CAN 2003 0914 Debian annonce la disponibilit des correctifs corrigeant les vuln rabilit s pr sentes dans les paquetages kernel image DSA 403 rsync DSA 404 7 Mandrake annonce la disponibilit des correctifs corrigeant les vuln rabilit s pr sentes dans les paquetages gnupg MDKSA 2003 109 9 0 9 1 9 2 FW 8 2 CS 2 1 kernel MDKSA 2003 110 rsync MDKSA 2003 111 CVS MDKSA 2003 112 screen MDKSA 2003 113 ethereal MDKSA 2003 114 net snmp MDKSA 2003 115 Iftp MDKSA 2003 116 irssi MDKSA 2003 117 xfree 86 MDKSA 2003 118 I NIIY MANDRAKE IN B V B EA OOOO O XO O O o o o o O N NN HHpBBHHBHB W REDHAT RedHat annonce la disponibilit des correctifs corrigeant les vuln rabilit s pr sentes dans les paquetages kernel RHSA 2003 392 01 net snmp RHSA 2003 335 01 rsync RHSA 2003 398 01 gnupg RHSA 2003 390 01 Iftp RHSA 2003 403 01 apache RHSA 2003 320 01 apache RHSA 2003 405 01 7 1 7 2 7 3 l ment d informations sur l usurpation de domaine Un compl ment d informations au sujet de la vuln rabilit affectant Microsoft Internet Explorer Outlook et Outlook Express a t publi au travers de la base de connaissance de Microsoft et d une alerte ISS X Force Cette derni re oropose un outil s int grant au navigateur af
Download Pdf Manuals
Related Search