Veille Technologique Sécurité

V
Veeiillllee T
Teecch
hn
no
ollo
og
giiq
qu
uee S
Sééccu
urriittéé
Rapport N°122
Septembre 2008
CONNECTING BUSINESS & TECHNOLOGY
Les informations fournies dans ce document ont été collectées et compilées à partir de sources d'origines diverses et
publiquement accessibles: listes de diffusion, newsgroups, sites Web, ...
Ces informations sont fournies pour ce qu'elles valent sans garantie d'aucune sorte vis à vis de l'exactitude, de la
précision ou de la qualité de l'information. Les URL associées à certains thèmes sont validées à la date de la rédaction
du document.
Les symboles d’avertissement suivants seront éventuellement utilisés:
0
1
Site dont la consultation est susceptible de générer directement ou indirectement, une attaque sur
l’équipement de consultation, voire de faire encourir un risque sur le système d’information associé.
Site susceptible d’héberger des informations ou des programmes dont l’utilisation est répréhensible au titre de
la Loi Française.
Aucune garantie ne peut être apportée sur l'innocuité de ces sites, et en particulier, sur la qualité des applets et autres
ressources présentées au navigateur WEB.
LLaa ddiiffffuussiioonn ddee ccee ddooccuum
meenntt eesstt rreessttrreeiinnttee aauuxx cclliieennttss aabboonnnnééss aauu
sseerrvviiccee ddee vveeiillllee
Les marques et les produits cités dans ce rapport sont la propriété des dépositaires respectifs.
CONNECTING BUSINESS & TECHNOLOGY
DEVOTEAM – BU Sécurité
1, rue GALVANI
91300 Massy Palaiseau
Pour tous renseignements:
Offre de veille http://www.devoteam.fr/
Informations vts-info@veille.apogee-com.fr
©DEVOTEAM Solutions - Tous droits réservés
Septembre 2008
Au sommaire de ce rapport …
PRODUITS ET TECHNOLOGIES
LES PRODUITS
7
7
MOBILITE
7
GOOGLE – ANDROID
7
SAUVEGARDE
8
CDRTFE – LOGICIEL DE GRAVURE PORTABLE
8
GSM
8
SECUSMART - GSM SDCARD
LES TECHNOLOGIES
9
8
CONFERENCES
9
OWASP – APPSEC2008 / INDIA ET ISRAËL
9
CRYPTOGRAPHIE
10
ECRYPT – RECOMMANDATIONS 2007/2008 SUR LA TAILLE DES CLEFS
RFID
RFID - PHYSICALLY UNCLONABLE FUNCTIONS
10
11
11
INFORMATIONS ET LEGISLATION
LES INFORMATIONS
13
13
CONFERENCE
13
DEFCON16
13
CYBER-DEFENSE
18
ADVANCED SOFTWARE ARMORING AND POLYMORPHIC KUNG FU
THE BIG PICTURE: DIGITAL CINEMA TECHNOLOGY AND SECURITY
BUILDING A REAL SESSION LAYER
FLUX ON: EAS (EMERGENCY ALERT SYSTEM)
THE WORLD OF PAGER SNIFFING: MORE ACTIVITY THAN ONE MAY SUSPECT
BRINGING SEXY BACK: BREAKING IN WITH STYLE
DHS – LE DEPARTEMENT DE LA SSECURITE INTERIEURE EPINGLE PAR LE GAO
SENSIBILISATION
ENISA - HOW TO RAISE INFORMATION SECURITY AWARENESS
GUIDES
DISA – GUIDES ET CHECKLISTS DE SECURISATION
NSA - CATALOGUE DES GUIDES DE SECURITE
NIST - ETAT DES GUIDES DE LA SERIE SP800
15
15
16
16
17
18
18
19
19
21
21
23
24
LOGICIELS LIBRES
LES SERVICES DE BASE
LES OUTILS
27
27
27
NORMES ET STANDARDS
LES PUBLICATIONS DE L’IETF
29
29
LES RFC
LES DRAFTS
29
29
NOS COMMENTAIRES
33
LES RFC
RFC5246
33
33
ALERTES ET ATTAQUES
ALERTES
35
35
AVIS OFFICIELS
37
GUIDE DE LECTURE
FORMAT DE LA PRESENTATION
SYNTHESE MENSUELLE
ALERTES DETAILLEES
ADOBE
APPLE
CISCO
DJANGO
DRUPAL
FREEBSD
GNOME
HP
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
35
36
36
37
37
37
38
39
39
40
41
41
Page 2/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
IBM
ISC
LANDESK SOFTWARE
LIBPNG
LINUX
MACROVISION
MERCURIAL
MICROSOFT
MOZILLA
NETBSD
NOVELL
OPENSC
OPENSSH
PHPMYADMIN
RED HAT
STRONGSWAN
SUN
TWIKI
TYPO3
WIRESHARK
41
41
41
42
42
42
42
42
43
43
43
43
44
44
44
44
44
44
45
45
ALERTES NON CONFIRMEES
45
3COM
ACRESSO SOFTWARE
ADOBE
APPLE
ATHEROS
BITLBEE
CA
CHECK POINT
CHILKAT
CISCO
CLAMAV
DATA ENCRYPTION SYSTEMS
D-LINK
EMACSPEAK
FFMPEG
GALLERY
GMANEDIT
GNU
HONEYD
HORDE
HP
IBM
IMAP
INTEL
JOOMLA!
KYOCERA
LIGHTTPD
LINUX
LINUX FEDORA
MANTIS
MICROSOFT
MYSQL
NETGEAR
NOKIA
NOVELL
OPENSWAN
PAM_MOUNT
PDNSD
PHP
POSTFIX
PROFTPD
PYTHON
R
RED HAT
RUBY ON RAILS
SIEMENS
SQUIRRELMAIL
SSMTP
SYMANTEC
TREND MICRO
TYPO3
VIGNETTE
VMWARE
WORDNET
WORDPRESS
XASTIR
ZONE LABS
AUTRES INFORMATIONS
REPRISES D’AVIS ET CORRECTIFS
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
45
45
45
45
45
45
46
46
46
46
46
46
46
47
47
47
47
47
47
47
47
48
48
48
48
48
48
48
49
49
49
49
50
50
50
50
50
50
51
51
51
51
51
51
51
52
52
52
52
52
52
52
52
53
53
53
53
53
53
Page 3/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
APPLE
CIAC
CITRIX
FREEBSD
HP
IBM
INGATE
MICROSOFT
NETBSD
NORTEL
LINUX DEBIAN
LINUX FEDORA
LINUX MANDRIVA
LINUX REDHAT
LINUX SUSE
RUBY ON RAILS
SUN
VMWARE
US-CERT
53
54
54
54
55
55
55
55
55
56
56
56
57
57
57
57
57
59
60
CODES D’EXPLOITATION
60
MICROSOFT
60
OUTILS
61
SECURELOGIX – VOIP SECURITY ASSESSMENT TOOL SUITE
JAVA - COJAC
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
61
62
Page 4/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
Le mot de la rédaction …
Qui ne s’est trouvé un jour faire face au syndrome de la ‘feuille blanche’
cherchant l’un une histoire, l’autre une idée sans rien trouver qui sorte de
l’ordinaire ou puisse simplement même avoir un intérêt pour le lecteur ?
Et voici que, l’heure venue de jeter sur le papier les quelques lignes usuelles
d’introduction à ce nouveau numéro de notre rapport de veille les idées
viennent à nous manquer.
Le mois écoulé aurait-il été à ce point morne et dénué de toute nouvelle digne
d’intérêt dans le domaine de la sécurité des SI ? Certainement pas, car en
matière de sécurité chaque nouveau jour amène son lot d’alertes et
d’informations, bonnes ou mauvaises. En fait, la débâcle bancaire américaine
a accaparé l’actualité quotidienne au point de reléguer au second plan le reste
de l’information.
Le mois écoulé aura pourtant vu la mise à disposition – trop hâtive peut-être
– de Chrome, le navigateur à la sauce Google rapidement suivie de la
publication de deux alertes de sécurité mais n’est-ce pas là chose normale
pour une version non finalisée. Le principal atout de ce navigateur pourrait
bien résider dans l’adoption d’un modèle de sécurité conçu pour minimiser la
propagation des menaces et détaillé dans un très intéressant papier intitulé
‘The Security Architecture of the Chromium Browser’.
http://crypto.stanford.edu/websec/chromium/chromium-security-architecture.pdf
Septembre aura aussi été le mois de la découverte de deux nouveaux
nombres premiers de ‘Mersenne’, portant ainsi à 46 la liste des nombres de ce
type connus. Une recherche purement académique mettant cependant à
contribution les dernières avancées techniques en matière de calcul distribué.
Pour mémoire, est dénommé ‘Nombre de Mersenne’ – un religieux français
mathématicien et philosophe du 17ième siècle – tout nombre de la forme 2n-1,
n étant un nombre premier. On appelle ‘Nombre premier de Mersenne’ tout
nombre de Mersenne qui est aussi un nombre premier.
http://www.mersenne.org/
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 5/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
Notons enfin l’intéressant rapport de 44 pages intitulé ‘Rapport sur la
résilience des réseaux de télécommunications’ daté de juin 2007 et
publié en mai dernier sur le site du Ministère de l’intérieur qui nous rassure –
à court terme seulement – quant au risque d’une chute globale des réseaux
de télécommunication … sauf cas de rupture prolongée de l'alimentation
électrique.
http://www.interieur.gouv.fr/sections/a_la_une/publications/rapports-iga/securite-policeprev-delinquance/07-023-01/view
Bonne lecture
Bertrand VELLE
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 6/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
P
PR
RO
TEECCH
OD
DU
HN
UIIT
NO
OL
TS
LO
SE
OG
GIIE
ET
TT
ES
S
LES PRODUITS
MOBILITE
GOOGLE – ANDROID
ƒ Description
Le magazine Dr.Dobb nous propose un excellent article de fond ayant pour sujet le projet Android
conduit par Google pour le compte de l’Open HandSet Alliance.
Il ne s’agit ici pas encore d’un produit à proprement parler mais d’un projet encore au stade du développement – la
version 0.9béta du kit de développement vient tout juste d’être livrée - visant à fournir une plate-forme mobile
ouverte, libre et gratuite. Une initiative concurrencée par Nokia qui, après avoir acquis le système d’exploitation pour
mobile Symbian, a annoncé en juin dernier sa volonté d’en ouvrir le code par le biais d’une fondation crée pour la
cause, la Symbian Fondation. Nombreux sont les chroniqueurs et experts qui s’accordent à considérer que les deux
projets devront tôt ou tard fusionner pour donner naissance à une plate-forme ouverte unique.
L’article technique publié par Dr.Dobb a le
mérite de faire le tour du projet Android sans
complaisance aucune et en tout indépendance
d’esprit.
Contrairement à Symbian qui résulte d’un
développement engagé dans les années 90 par
la célèbre société PSion pour ses non moins
célèbres assistants personnels, la plate forme
Android s’appuie intégralement sur du code
ouvert dont en particulier un noyau Linux 2.6
et d’autres paquetages classiques adaptés
pour répondre aux exigences d’une plateforme mobile dotée de ressources (encore)
limitées.
Le cœur du système réside dans la présence
d’une couche d’abstraction positionnée audessus du noyau LINUX et constituée d’un
interpréteur de code, dit DVM ou Dalvik
Virtual Machine, de librairies de soutien
offrant notamment une interface Java et d’un
socle de services techniques fournissant les
fonctions de présentation, de gestion de
données et de sécurité. Plusieurs instances de
l’interpréteur DVM, et donc d’applications
Android, pourront s’exécuter simultanément.
L’interactivité avec l’utilisateur sera assurée
par le biais d’un ensemble d’applications de
gestion écrites en langage Java formant la
partie visible de l’iceberg.
Après avoir brièvement présenté la plate-forme Android, Tom Thompson, l’auteur de l’article, s’attache à mettre en
évidence les spécificités d’une application Android au regard des applications Java ME actuelles conformes au
standard MIDP (Mobile Information Device Profile), notamment sur le plan du cycle de vie de l’application et des
événements qui décideront de son exécution. Le mécanisme de gestion des contextes d’Android autorise non
seulement l’exécution concurrentielle d’application ainsi qu’une plus grande souplesse de programmation comme le
prouve les exemples d’application proposés dans la troisième partie de l’article.
La lecture de cet article nous a tout naturellement conduit à nous poser la question de la sécurité de la plate-forme
Android, et plus particulièrement, celle de l’étanchéité de l’environnement d’accueil vis-à-vis du système
d’exploitation LINUX sous-jacent. La réponse à cette question nous est donnée dans la documentation accessible en
ligne au paragraphe ‘Security Model’, lequel paragraphe confirme ce que nous supposions: chaque application
‘Android’ s’exécute dans un bac à sable après s’être vue assigner un identifiant d’utilisateur unique – UID dans le
jargon UNIX - lors de son installation. Cet identifiant sera utilisé pour contrôler l’accès aux fichiers, l’application
pouvant autoriser l’accès d’application tierce à ses fichiers en marquant ceux-ci au moyen d’un flag World-Readable
et/ou World_Writable. Nous n’avons cependant trouvé aucune information concernant le mécanisme de gestion du bac
à sable (utilisation du chroot() du kernel ou bien d’un autre procédé), ni d’éléments permettant de déterminer
comment était implémenté le modèle des permissions d’accès à deux niveaux, user et world (encapsulation du modèle
original LINUX ou intégration d’un modèle spécifique dans le noyau).
La réponse pourra probablement être trouvée dans les échanges de l’un des nombreux forums de discussion traitant
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 7/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
d’Android, et le cas échéant, dans les sources du projet.
ƒ Complément d’information
http://ddj.com/cpp/210300551
http://code.google.com/android/
http://groups.google.com/group/android-security-announce
http://code.google.com/p/android/downloads/list
- Article du magazine Dr.Dobbs
- Portail d’accès au projet Android
- Annonce de sécurité
- Source d’Android
SAUVEGARDE
CDRTFE – LOGICIEL DE GRAVURE PORTABLE
ƒ Description
Un outil de gravure de CD et de DVD n’a, théoriquement, rien à voir avec le thème de la sécurité des SI sauf
quand celui-ci peut être installé sur un dispositif amovible permettant alors à un auditeur de sauvegarder de
gros volumes de données ou encore à un individu malveillant d’effectuer en toute discrétion la copie de
données sensibles.
L’utilitaire Windows ‘CDRTFE’ prend la forme
d’une interface d’accès graphique – un frontend – permettant d’accéder simplement au
célèbre paquetage ‘cdrtools’ issu du monde
UNIX et porté en environnement Microsoft
grâce à la librairie de compatibilité ‘CygWin’.
Les messages de notification produits par
‘cdrtools’ apparaissent d’ailleurs dans la
fenêtre d’information permettant de suivre
pas à pas le déroulement des opérations.
Les paquetages externes– cdrtools, cygwin,
Mode2CDMaker et VCDImage – sont tous
intégrés à la distribution rendant celle-ci
immédiatement exploitable pour un volume
occupé – au total, moins de 14Mo - restant
très raisonnable au regard des capacités des
supports amovibles actuels.
La version dite ‘portable’ ne diffère de la
version classique que par la fourniture d’un
fichier d’initialisation - ‘cdrtfe.ini’ - contenant
la ligne ‘PortableMode=1’. Il s’agit donc bien
ici d’une version nativement conçue pour être
portable, c’est-à-dire pouvant fonctionner en toute autonomie sans requérir l’enregistrement ou l’installation d’aucune
librairie ou composant spécifiques dans l’environnement du système d’accueil contrairement à certaines applications
rendues portables par encapsulation dans un environnement assurant soit le détournement des fonctions d’accès aux
fichiers de configuration soit la manipulation de paramètres de configuration avant et après l’exécution de l’application.
Les tests menés sur cet utilitaire nous ont donné toute satisfaction et nous l’avons inclus dans notre boîte à outils
conservée sur un disque USB dur amovible.
ƒ Complément d’information
http://cdrtfe.sourceforge.net/cdrtfe/index_en.html
GSM
SECUSMART - GSM SDCARD
ƒ Description
Il y a plus de 20 ans, le ‘Groupe Spécial Mobile’ spécifiait les bases de ce qui deviendra un incroyable
succès planétaire, le système de téléphonie mobile ‘GSM’. Cette norme intégrait dès l’origine un ensemble
de mécanismes de sécurité destinés à limiter les risques en cas d’interception du trafic entre le mobile et la
station de base gérant celui-ci, ce trafic étant transporté sur une liaison radioélectrique, un média accessible à tous.
Les normalisateurs auraient pu, à l’époque, considérer que les caractéristiques techniques de ce réseau de
communication moderne – modulation numérique, plan de fréquence UHF, accès mobile, … – le protégeait des
agressions, a minima, de celles conduites par des amateurs. Fort heureusement, en 1987, la sécurité était l’un des
grands axes de travail des organismes de normalisation européens, représentations nationales de l’ISO mais aussi
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 8/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
groupes indépendants dont l’ECMA.
Force est de constater que les mécanismes mis en œuvre ont globalement bien résistés à l’usure du temps quand bien
même certaines attaques ont pu être menées avec succès contre certaines des briques fondamentales de la sécurité
du GSM à savoir les algorithmes dits ‘A3’ (authentification), ‘A8’ (génération des clefs) et ‘A5’ (chiffrement/déchiffrement), à l’origine secrets, et dont on rappellera qu’ils sont tous identiques au sein d’un même réseau d’abonnés.
Ainsi, en 1998, l’algorithme COMP128 utilisé par les algorithmes ‘A3’ et ‘A8’ dans l’implémentation de référence du
GSM été mis à mal conduisant à faciliter le clonage d’une carte SIM. La même année, une attaque sur l’algorithme
A5/2 (d’une robustesse moyenne et principalement utilisé outre-atlantique) est mise en évidence qui permet de
réduire drastiquement le nombre d’opérations requises pour un déchiffrement.
En 1999, c’est au tour d’algorithme A5/1 (le plus robuste avec une taille de clef de 64 bits et utilisé en Europe) d’être
mis en défaut avec une attaque limitant le nombre d’essais à 240. En 2003, une attaque active est dévoilée qui permet
d’extraire la clef en quelques minutes moyennant la connaissance de quelques minutes de conversation en clair
réduites à quelques secondes en 2004, une exigence non triviale. En 2008, le groupe THC – The Hackers Choice – a
annoncé le lancement d’un projet visant à calculer une table ‘arc-en-ciel’ d’une taille estimée à 3To laquelle pourrait
permettre le déchiffrement d’un SMS, ces messages sont eux aussi chiffrés par l’algorithme A5/1, en quelques
minutes.
L’acquisition en temps réel de la teneur des conversations et des messages échangés par le biais du réseau GSM est
encore pour quelques temps une activité inaccessible à l’amateur peu fortuné, leur confidentialité à moyen terme doit
être considérée comme réellement mise en défaut. L’approche de THC, si elle aboutit, permettra de révéler la teneur
de conversations ayant été enregistrées – sous forme de flux numériques - par le passé!
De fait, dès la fin des années 90, des modules de chiffrement complémentaires adaptés à certains combinés GSM
étaient proposés par quelques sociétés visant une clientèle ayant un réel besoin de protection des communications. La
standardisation des interfaces embarquées dans les mobiles: interfaces électriques avec le slot MiniSD et
programmatiques avec l’interface Java dite ‘MIDP’ (Mobile Information Device Profile) autorisant l’accès aux services
du mobile dont l’accès au canal ‘Data’, a conduit à l’ouverture de ce marché au grand public.
En 2005, ‘Sagem’ lançait ainsi son MyX-8S doté d’un module de sécurité au format MiniSD et compatible avec le
MW3026-S mis sur le marché en 2003. En 2006, les sociétés ‘Circletech’ et ‘Cryptophone’ proposaient l’une un
logiciel de chiffrement transparent des SMS et l’autre un téléphone GSM chiffrant la voix (Rapport N°92 – Mars 2006).
C’est aujourd’hui au tour de la société Allemande ‘SecuSmart’ de proposer une solution de chiffrement de la voix
dénommée ‘SecuVoice’ s’appuyant sur un module de sécurité au format MiniSD. Ce dernier embarque, outre de la
mémoire flash, un co-processeur cryptographique permettant d’accélérer les opérations de mise à la clef – un Diffie
Hellman sur base ECC – et de chiffrement/déchiffrement – AES 128bits – des flux transmis à 9600Bds sur le canal
data. Le logiciel embarqué dans le module assure l’authentification des deux parties par le biais de certificats et la
mise à la clef ainsi que le chiffrement/déchiffrement des données en provenance et à destination du CODEC, le
composant assurant la numérisation de la voix et la restitution de celle-ci à partir du flux numérique reçu.
Les rares documents disponibles sur le site du fournisseur indiquent qu’aucune donnée sensible ne transite en dehors
du module, toutes les fonctions de sécurité étant embarquées et autonomes. Référence est faite au remarquable
système TETRA - Trans European Trunked Radio - et à son architecture spécialement étudiée pour répondre au besoin
de sécurité des réseaux professionnels utilisant une flotte d’équipements et requérant des services étendus tels les
groupes d’appel ou le PushToTalk. Aucune information technique n’est cependant disponible qui précise quels seraient
les éléments ou principes hérités de cette infrastructure. Il s’agit donc probablement ici encore d’un discours purement
commercial. Une solution compatible avec les besoins des organisations gouvernementales est annoncée dans un
‘futur proche’.
Ce module actuel est compatible avec les téléphones Nokia des séries E (E51, E66 et E71) et N (N78, N81, N82 et
N95) pour un prix non communiqué. Sa mise en œuvre ne nécessite aucune action spécifique autre que l’insertion du
module ce qui laisse à penser que les certificats sont générés, et contrôlés, par la société éditrice du produit. Gageons
que d’autres offres ne devraient tarder à rejoindre celle-ci, le marché de la sécurisation des communications mobiles
Voix et Data ne pouvant que croître dans les années à venir, au risque d’observer une régression de l’utilisation du
service ‘voix’ au profit du service ‘data’ parfaitement à même de transporter un flux audio sécurisé.
ƒ Complément d’information
http://www.secusmart.de/unternehmen.html?&L=4
http://www.cryptophone.de/
http://www.securegsm.com/home.php
http://www.sagem-ds.com/pdf/fr/MyX8_S_FR.pdf
- SecuSmart
- Cryptophone
- Secure GSM for PDA
- SAGEM MyX8-S
LES TECHNOLOGIES
CONFERENCES
OWASP – APPSEC2008 / INDIA ET ISRAËL
ƒ Description
Deux éditions de la conférence sur la sécurité des applications WEB – AppSec – organisée par l’OWASP se
sont tenues dernièrement: les 20 et 21 août à Delhi, Inde et le 14 septembre à Herzliya, Israël. Seuls les
supports de présentation de cette dernière édition sont disponibles sur le site de l’OWASP.
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 9/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
Conférence OWASP Israël
.NET Framework rootkits - backdoors inside your Framework
Achilles’ heel - Hacking Through Java Protocols
AJAX - new technologies new threats
Application Security - The code analysis way
Automated Crawling & Security Analysis of Flash/Flex based Web Applications
Automatic Patch-Based Exploit Generation
Black Box vs. White Box - pros and cons
Breaking CAPTCHA Myths
Cryptographic elections - how to simultaneously achieve verifiability and privacy
Defending against Phishing without Client-side Code
Defending Web App. from 0-Day Attacks with ModProfiler Using Traffic Profiling
Detection of Unknown Malicious Code via Machine Learning
GreenSQL - an open source database security gateway
Introduction to the Israeli Forum for Information Security
Korset: Code-based Intrusion Detection System for Linux
Testing the Tester - Measuring Quality of Security Testing
Trends in Web Hacking: What's hot in 2008
UTF7 XSS
Web Application Security and Search Engines - Beyond Google Hacking
ƒ Complément d’information
http://www.owasp.org/index.php/OWASP_AppSec_India_Conference_2008
http://www.owasp.org/index.php/OWASP_Israel_2008_Conference
Erez Metula
Shai Chen
David Movshovitz
Maty Siman
Ronen Bachar
Yossi Oren
A.Sharabani & Y.Haviv
S.Zalalichin & A.Douglen
Alon Rosen
Amir Herzberg
Ivan Ristic
Robert Moskovitch
Yuli Stremovsky
Avi Weissman
Ohad Ben-Cohen
Ofer Maor
Ofer Shezaf
Yaniv Miron
Amichai Shulman
- Agenda des présentations - Inde
- Agenda des présentations - Israël
CRYPTOGRAPHIE
ECRYPT – RECOMMANDATIONS 2007/2008 SUR LA TAILLE DES CLEFS
ƒ Description
Le réseau d’excellence Européen ‘eCrypt’ publie régulièrement un très intéressant rapport d’étude intitulé
‘Yearly Report on Algorithms and Key Lengths’ (Rapport N°104 - Mars 2007). Publié fin août, ce
rapport de 95 pages aborde un sujet épineux s’il en est, celui de l’évaluation de la taille optimale pour des clefs
utilisées dans les mécanismes cryptographiques désormais présents dans tous les systèmes d’informations.
En matière de cryptographie, les critères de sélection d’un algorithme de chiffrement sont principalement dictés par la
nature des fonctions attendues – chiffrement, signature, intégrité – et par la durée de vie minimale de la protection
offerte laquelle est bien souvent déterminée par la nature de données protégées. Que l’algorithme soit de nature
symétrique – la même clef est employée pour les opérations de chiffrement et de déchiffrement – ou asymétrique –
deux clefs différentes mais mathématiquement liées sont employées – la durée de la protection dépendra directement
de la taille des clefs en considérant toutefois que l’algorithme est exempt de tout biais permettant de réduire l’espace
à parcourir lors d’une recherche exhaustive.
Dés lors, toute recommandation ayant pour objet la détermination d’une taille optimale devra s’effectuer sur la base
d’une mesure moyenne de la durée de vie de la protection offerte et impérativement être bornée dans le temps pour
faire l’objet d’une réévaluation régulière.
Les recommandations publiées par ‘eCrypt’ sont ainsi régulièrement revues au regard des événements écoulés sur la
période séparant deux éditions successives, soit un an pour les éditions 2005 et 2006 publiées au mois de mars. Le
décalage dans la date de publication de la nouvelle édition conduit à étendre la période de référence sur l’année 2008
et à intituler celle-ci ‘ECRYPT Yearly Report on Algorithms and Keysizes (2007/2008)’.
x
Un barème établi en 1996, et Agresseur
Budget
Moyens
Min. 08 Min. 07 Min. 06
remis à jour à chaque nouvelle Hacker
0
PC
53 bits
52 bits
51 bits
édition, définit la taille minimale
<$400
PC/FPGA
58 bits
57 bits
56 bits
que doit avoir la clef d’un
0
Malware
62 bits
60 bits
59 bits
algorithme de chiffrement dit Petites organisations
$10K
PC/FPGA
64 bits
62 bits
62 bits
‘symétrique’ pour maintenir la Organisation moyennes
$200k
FPGA/ASIC 68 bits
67 bits
66 bits
confidentialité des données, de Grandes organisations
$10M
FPGA/ASIC 78 bits
77 bits
76 bits
quelques jours à un an, selon Agences
$300M
ASIC
84 bits
88 bits
81 bits
le budget de l’attaquant.
En 2008, cette taille est révisée à la hausse de 1 bit pour pratiquement toutes les catégories d’attaque, à l’exception
de la révision à la baisse – 4 bits – des clefs permettant de résister à une attaque menée par une agence
gouvernementale dotée d’un budget conséquent. Une révision dont nous n’avons pas trouvé la justification malgré la
lecture attentive du rapport. Les performances de systèmes de cassage dédiés à base d’ASIC auraient-elles été
surestimées dans l’édition précédente ?
Une synthèse des informations présentées dans les tableaux 7.1, 7.2, 7.3 et 7.4 du rapport est proposée dans la table
ci-dessous, laquelle indique les longueurs de clefs équivalentes pour les algorithmes à clefs publiques de type RSA,
DLOG (Discrete Logarithm) et EC (Elliptic Curves).
Niv.
1
Equ Sym.
32
RSA
248
DLOG
248 64
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
EC
64
Protection contre
Attaques en temps réel par des individus
Durée
heure
Page 10/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
2
64
816
816 128
128
Très court terme contre de petites organisations
mois
3
72
1024
1024 144
144
Court terme contre des organisations moyennes
année
4
80
1248
1248 160
160
Très court terme face à des agences
< 4 ans
5
96
1776
1776 192
192
Niveau standard type 3DES à 2 clefs
~10 ans
6
112
2432
2432 224
224
Moyen terme
~20 ans
7
128
3248
3248 256
256
Long terme
~30 ans
8
256 15424 15424 512
512
Au delà du futur appréciable
Quantum
Ces données diffèrent de celles établies par d’autres organismes de recherche dont le NIST et RSA Labs qui
suggèrent des clefs RSA, DLOG et EC moins longues. Les valeurs indiquées en italique et couleur rouge ont été
calculées à partir de la formule donnée en page 24 du rapport, celles-ci n’étant pas données en l’état dans les
tableaux. Il en va de même avec les durées de vie des niveaux 1, 2 et 3 extrapolées à partir des informations fournies
par RSA Labs.
Comme en 2007, une taille de clef équivalente de 80bits – niveau de protection 4 – permettra de se protéger des
scénarios d’attaque les plus courants en notant qu’il n’y a plus de différence marquée entre 80 et 128 bits si l’on doit
prendre en compte des scénarios utilisant des modèles basés sur des tables pré-calculées. Dans ce cas de figure, il est
recommandé d’appliquer la règle du ‘double’ en considérant une taille équivalente au double de la taille de clef
répondant au niveau de protection minimal attendu. Ainsi, une taille de clef de 128 bits –niveau 7 - offrira un niveau
équivalent à une taille de clefs de 80 bits – niveau 4 – face à des attaquants disposant d’un espace de stockage
suffisant pour héberger des tables pré-calculées.
Les grandes organisations devront ainsi considérer devoir employer une taille de clef offrant une robustesse similaire à
celle offerte en scénario classique par une clef de 80 bits si l’on considère le barème mis à jour. Si l’on tient compte
des réels risques posés par les modèles utilisant des tables pré-calculées, l’application de la règle du double conduit à
devoir sélectionner des tailles de clefs symétrique de 128bits, RSA de 3248 bits et de 256 bits dans le cas d’une
cryptographie utilisant les courbes elliptiques.
Que d’évolutions depuis la fin des années 80 où les experts s’entendaient tous sur le fait qu’une clef de 1024bits
pouvait être utilisée sans grande crainte par une autorité de certification, les utilisateurs pouvant se contenter, eux, de
clefs de 512bits !
ƒ Complément d’information
http://www.ecrypt.eu.org/documents/D.SPA.28-1.1.pdf
RFID
RFID - PHYSICALLY UNCLONABLE FUNCTIONS
ƒ Description
Après l’annonce en début de mois de la société Verayo, c’est la société Veratag qui a son tour indique
avoir intégré dans ses badges RFID une technologie interdisant leur clonage grâce à l’intégration de
fonctions non copiables ou PUF (Physically Unclonable Functions).
Cette technologie repose sur les caractéristiques des processus de fabrication de composant lesquels
étant loin d’être parfait induiront des différences mineures entre deux composants pourtant réalisés sur
la même chaîne et dans les mêmes conditions.
Toute l’astuce consiste ici à transformer ces différences en une information exploitable ayant pour caractéristique
d’être non seulement non prédictible – elle résulte des aléas du processus de fabrication et ne sera donc connue qu’en
fin de processus – mais aussi non reproductible par le même processus de fabrication.
Cette information – une séquence de bits pseudo-aléatoire – à toutes les caractéristiques attendues d’un secret qui
pourra parfaitement être utilisé pour initialiser une fonction cryptographique. Le niveau de sécurité alors offert
dépendra de plusieurs facteurs:
- la nature du processus de fabrication qui devra effectivement autoriser une dispersion suffisante des caractéristiques
exploitées pour générer le secret,
- la conception de la fonction de génération du secret à partir des dispersions observées dans les caractéristiques du
composant qui devra produire un secret inaltérable,
- la conception du composant qui ne devra jamais exposer tout ou partie du secret sur ses interfaces externes ou sur
des pads ou des ‘vias’ internes même pour des raisons de contrôle de la qualité de la fabrication ou de
fonctionnement,
- la qualité de la fonction cryptographique qui ne devra pas permettre de recouvrer la clef sur des attaques de type
clair choisi,
Le terme ‘Function’ intervenant dans le sigle PUF désigne la fonction génératrice du secret et non la fonction
cryptographique l’utilisant. La nature de cette fonction, et l’implémentation, d’une telle fonction peut apparaître difficile
à appréhender d’autant que les caractéristiques susceptibles d’être exploitées sont multiples: variation dans le délai de
transit d’un signal le long d’une piste, état d’initialisation d’une bascule, d’une mémoire, temps de verrouillage d’une
bascule…
Le composant X512H mis au point par la société Verayo utilise un procédé permettant d’implémenter un système
d’authentification de type ‘défi/réponse’ sans pour autant faire appels à une quelconque fonction cryptographique,
trop coûteuse à implémenter dans une étiquette électronique. Ce procédé est décrit dans le papier intitulé ‘Design and
Implementation of PUF-Based - Unclonable - RFID ICs for Anti-Counterfeiting and Security Applications’ publié en avril
dernier dans une revue de l’IEEE.
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 11/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
Il utilise la différence du temps de propagation
d’un signal le long de deux chemins différents
sélectionnés aléatoirement: un mot de n bits,
dénoté ‘X’ sur le synoptique ci-contre, permet de
sélectionner les chemins à comparer en pilotant n
multiplexeurs permettant d’inverser les routes
suivies par les signaux de sortie.
Au final, une simple bascule D fournit un état ‘Y’ lié
à la différence du temps de transit du signal
d’entrée le long des deux cheminements
sélectionnés.
Cette fonction ne produisant qu’un seul bit d’information, il sera nécessaire de réitérer la mesure autant de fois que
requis pour obtenir une séquence de la longueur souhaitée en modifiant, à chaque itération, le mot générateur ‘X’.
Dans le procédé décrit par Verayo, ce mot est lui-même généré à partir d’un générateur pseudo-aléatoire construit
sur un registre à décalage bouclé – ou LFSR – initialisé par une donnée externe, le défi, la séquence constituée par la
succession de valeurs de ‘Y’ formant la réponse. Chaque couple ainsi produit ne peut l’avoir été que par une étiquette
‘authentique’.
La vérification de l’authenticité d’une étiquette nécessitera donc la création préalable d’une table de référence associée
au numéro de série de l’étiquette et contenant les réponses fournies par celle-ci pour une série de défis de 64bits tirés
aléatoirement. Cette étape pourra être engagée lors de la mise en circulation de l’étiquette. La vérification ultérieure
de l’authenticité se fera en soumettant, après lecture du numéro de série, l’un des défis attachés à cette étiquette et
en vérifiant que l’étiquette fournit la réponse attendue. Il sera alors possible de mettre à jour la table de référence en
générant de nouveaux couples.
Il s’agit ici d’un procédé d’authentification dit ‘simple’ par les concepteurs dont le point de faiblesse réside bien sûr
dans la table de référence contenant les réponses à chacun des défis. Que le contenu de cette table soit exposé, et
l’étiquette pourra être clonée logiquement par simple transfert de cette table dans une étiquette RFID conçue pour
simuler le protocole et fournir la réponse attendue, un ‘Yes RFID’. On notera que l’aspect physique de l’étiquette
devra impérativement intervenir dans le processus de contrôle, la réalisation d’une étiquette reprogrammable ayant la
même forme et apparence n’étant pas à la portée d’un amateur.
Dans une analyse publiée sur le blog des chercheurs du laboratoire de sécurité de l’université de Virginie, Karsten
Nohl (l’un des membres de l’équipe ayant mis à mal le composant ‘MiFare Classic’) met en garde les futurs
utilisateurs de cette technologie contre les abus de langage utilisés par les spécialistes du marketing. Comparant cette
technologie a une forme d’ADN ou d’empreinte électronique, ils oublient de préciser que même l’ADN peut de nos
jours être cloné. Tout n’est aujourd’hui qu’une question de moyens et donc d’espérance de gain. Et de rappeler trois
conditions à respecter pour que ce concept soit viable:
- la partie invariante du circuit doit être cryptographiquement forte,
- le nombre de paramètres d’entrée variables formant la clef doit être grand,
- l’entropie de ces entrées doit être grande.
Ces conditions nous semblent, à la lecture du papier publié, être respectées. Karsten Nohl rappelle cependant que
l’approche ici prise est proche de celle, fallacieuse et dangereuse, de ‘la sécurité par l’obscurité’:
«… conclude that only well-reviewed security primitives can be strong. PUF technology tries to achieve security in
exactly the opposite way: the PUF circuit is designed in a way so that not even the designer understands how
outputs are derived from inputs. Security-by-obscurity par excellence.
Every circuit, including PUFs, is a deterministic function; the only difference in PUF circuits is that some inputs to
the function vary across different tags. »
Soit, mais les arguments ici développés manquent singulièrement de force. Que le concepteur ne comprenne pas
comment les sorties sont dérivées des entrées est une affirmation contredite par le fonctionnement même du procédé
et notamment par le fait que l’exigence de reproductibilité de la réponse à un défi donné soit vérifiée par chacun des
composants. Ce ne serait pas le cas si les principes sous-jacents n’étaient pas parfaitement compris.
La technologie PUF n’en est qu’à ses balbutiements. Elle tente d’implémenter un principe indéniable – le ‘ce que l’on
ait cher aux procédés d’authentification biométrique – dans un système manufacturé en tirant parti des imperfections
inhérentes la chaîne de production de ce système. On pourrait, a contrario envisager, de produire un composant dans
des conditions conduisant à une précision de réalisation telle qu’elle ne puisse être approchée par une copie.
Une voie qui pourrait être ouverte avec les progrès actuels en nano-mécanique. Cette approche semble être étudiée
par certains laboratoires dont celui de l’université de Cornell lequel a mis en évidence une propriété inattendue de
certains dispositifs de type MEMS (Micro-Electro-Mechanical Systems) concernant leur fréquence de résonance propre.
Cette propriété permettrait d’offrir un système de signature pouvant être aisément embarqué dans des composants
tiers. Les résultats de travaux menés par l’université de Cornell ont conduit à la création de la société ‘Veratag’
chargée de commercialiser des dispositifs spécifiques dénommés ‘MEMFlakes’.
ƒ Complément d’information
http://www.pufcoinc.com/
http://www.veratag.com/Contact_Us.html#naturemems
http://www.verayo.com/downloads/Verayo_IEEE_RFID_Paper.pdf
http://www.jeffersonswheel.org/?p=69
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
- Composant Verayo X512H
- Composant Veratag
- Présentation du procédé Verayoi
- Analyse de Karsten Nohl
Page 12/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
IIN
NF
LEEG
FO
GIIS
OR
RM
SL
MA
LA
AT
AT
TIIO
TIIO
ON
ON
NS
N
SE
ET
TL
LES INFORMATIONS
CONFERENCE
DEFCON16
ƒ Description
Les supports des 114 présentations de la conférence DEFCON16 ont été mis en ligne. Cette conférence,
qui se tient à la suite de la conférence BlackHat, a généralement une orientation technique très poussée
portant sur des thématiques très éclectiques: de l’overclocking d’une calculatrice - la HP28 - datant de
1987 à l’étude des systèmes de vote électronique en passant par le hacking d’OpenVMS !
Une conférence abordant tous les sujets sans tabou où chacun pourra puiser en fonction de ses thèmes d’intérêts, de
l’intitulé d’une présentation ou encore du nom du présentateur. Il suffit pour cela de cliquer sur le titre de l’une des
présentations listées dans le tableau suivant.
10 Things That Are Pissing Me Off
365-Day: Active Https Cookie Hijacking
A Hacker Looks at 50
Advanced Software Armoring and Polymorphic Kung Fu
Anti-RE Techniques in DRM Code
Autoimmunity Disorder in Wireless LAN
BackTrack Foo - From Bug to 0day
Beholder: New Wifi Monitor Tool
Brain Games: Make your own Biofeedback Video Game
Bringing Sexy Back: Breaking in with Style
BSODomizer
Building a Real Session Layer
Buying Time - What is your Data Worth?
Bypassing Pre-boot Authentication Passwords
CAPTCHAs: Are they really hopeless? (Yes)
Career Mythbusters: Separating Fact from Fiction in your IS Career
Climbing Everest: An Insider's Look at one State's Voting Systems
Comparison of File Infection on Windows & Linux
Compliance: The Enterprise Vulnerability Roadmap
Compromising Windows Based Internet Kiosks
Could Googling Take Down a President, a Prime Minister, or an Average Citizen?
CSRF Bouncing†
Deciphering Captcha
Demonstration of Hardware Trojans
de-Tor-iorate Anonymity
Developments in Cisco IOS Forensics
Digital Security: A Risky Business
DNS Goodness
Evade IDS/IPS Systems using Geospatial Threat Detection
Every Breath You Take
Exploiting A Hundred-Million Hosts Before Brunch
Feed my Sat Monkey
Flux on: EAS (Emergency Alert System)
Forensics is ONLY for Private Investigators
Free Anonymous Internet Using Modified Cable Modems
Gaming - The Next Overlooked Security Hole
Generic, Decentralized, Unstoppable Anonymity: The Phantom Protocol
Going Beyond Social Engineering and Dumpster Diving
Good Viruses. Evaluating the Risks
Grendel-Scan: A new web application scanning tool
Hacking Data Retention: Small Sister your digital privacy self defense
Hacking Desire
Hacking E.S.P.
Hacking OpenVMS
Ham For Hackers- Take Back the Airwaves
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Renderman
M.Perry
G. M.Hardy
N.Harbour
J.Newger
Ahmad, Murthy, Vartak
M.Aharoni
N.Murilo & L.Eduardo
Ne0nRa1n
D.Maynor & R.Graham
J.Grand & Zoz
D.J. Capelis
A.Bregenzer
JoN.Brossard
M.Spindel & S.Torborg
L.Kushner & M.Murray
S.Clark
lclee_vx & lychan25
Weasel
P.Craig
G.Conti
M.Brooks
M.Brooks
F.Kiamilev & R.Hoover
N.Evans & C.Grothoff
FX
IO.Angell
D.Kaminsky
R.Trost
J.O'Leary
Frei, Ollmann, May
Major Malfunction
M.Krick
S.Moulton
Self, Durandal, Bitemytaco
F.Schober
Magnus Bråding
E.Schmiedl
I.Muttik
D.Byrne & E.Duprey
B.De Winter
I.Clarke
J.Cicero & M.Vieau
Öberg, Nyberg & Tusini
JonM
Page 13/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
Hijacking the Outdoor Digital Billboard Network
How Can I Pwn Thee? Let Me Count the Ways
How to make Friends & Influence Lock Manufacturers
Identification Card Security: Past, Present, Future
Inducing Momentary Faults Within Secure Smartcards / Microcontrollers
Is That a Unique Credential in Your Pocket or Are You Just Pleased to See Me?
Journey to the Center of the HP28
Keeping Secret Secrets Secret and Sharing Secret Secrets Secretly
Let's Sink the Phishermen's Boat!
Living in the RIA World
Making a Text Adventure Documentary
Making the DEFCON 16 Badge
Malware Detection through Network Flow Analysis
Malware RCE: Debuggers and Decryptor Development
Markets for Malware: A Structural Economic Approach
Medical Identity Theft
MetaPost-Exploitation
Mobile Hacker Space
ModScan: A SCADA MODBUS Network Scanner
Nail the Coffin Shut, NTLM is Dead
New Ideas for Old Practices - Port-Scanning Improved
New Tool for SQL Injection with DNS Exfiltration
Next Generation Collaborative Reversing with Ida Pro and CollabREate
Nmap: Scanning the Internet
Open in 30 Seconds: Cracking One of the Most Secure Locks in America
Owning the Users with The Middler
Password Cracking on a Budget
Pen-Testing is Dead, Long Live the Pen Test
Playing with Web Application Firewalls
Predictable RNG in the Vulnerable Debian OpenSSL Package, What and How
Race-2-Zero Unpacked
RE:Trace: The Reverse Engineer's Unexpected Swiss Army Knife
Satan is on my Friends list: Attacking Social Networks
Scada: Fear, Uncertainty and the Digital Armageddon
Security and Anonymity Vulnerabilities in Tor: Past, Present, and Future
Shifting the Focus of WiFi Security: Beyond cracking your neighbor's WEP key
Sniffing Cable Modems
Snort Plug-in Development: Teaching an Old Pig New Tricks
Solid State Drives Destroy Forensic & Data Recovery Jobs: Animated!
Stealing The Internet - A Routed, Wide-area, Man in the Middle Attack
StegoFS
Taking Back your Cellphone
The Anatomy of a Subway Hack: Breaking Crypto RFID's and Magstripes
The Big Picture: Digital Cinema Technology and Security
The Death Envelope: A Medieval Solution to a 21st Century Problem
The Death of Cash
The Emergence (and Use) of Open Source Warfare
The true story of the Radioactive Boyscout
The Wide World of WAFs
The World of Pager Sniffing: More Activity Than One May Suspect
They're Hacking Our Clients! Introducing Free Client-side Intrusion Prevention
Ticket to Trouble
Time-Based Blind SQL Injection using heavy queries
Toasterkit, a Modular NetBSD Rootkit
Toying With Barcodes
Tuning Your Brain
Under the iHood
Urban Exploration - A Hacker's View
Virtually Hacking
VLANs Layer 2 Attacks: Their Relevance and their Kryptonite
VoIPER: Smashing the VoIP Stack While You Sleep
VulnCatcher: Fun with Vtrace and Programmatic Debugging
War Ballooning-Kismet Wireless "Eye in the Sky"
Web Privacy and Flash Local Shared Objects
What To Do When Your Data Winds Up Where It Shouldn't
When Lawyers Attack! Dealing with the New Rules of Electronic Discovery
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Tottenkoph
Renderman
C.Towne & J.King
D.Farre
C.Tarnovsky
Z.Franken
T.Goodspeed
V.Vandal
Teo Siong & H.Joseph
Stamos, Thiel, Osborne
J.Scott
J.Grand
B.Potter
M.Ligh & G.Sinclair
B.K. Edwards & SJ.Flaim
E.Smith & S.Dardan
Valsmith & C.Ames
T.Wilhelm
M.Bristow
K.Grutzmacher
F.Yamaguchi & FX
R.Ricks
C.Eagle & T.Vidas
Fyodor
MW.Tobias & M.Fiddler
J.Beale
M.Weir & S.Aggarwal
T.Banks & Carric
W.Guglielmetti
L.Bello & M.Bertacchini
S.Howard
Weston & Beauchamp
N.Hamiel & S.Moyer
M.Marquis-Boire
R.Dingledine
T.Bouvette & R.Farina
G.Martin
B.Feinstein
S.Moulton
A.Kapela & A.Pilosov
J.Shewmaker
A.Lash
Anderson, Ryan & Chiesa
M.Renlund
M.Yoder
T.Howlett
P.Berghammer
P.F. Renda
B.Feinstein
NYCMIKE
J.Beale
B.De Winter
C.Alonso & J.Parada
A.Martinez & T.Bowen
FX
Lyn
C.Hotchkies
Phreakmonkey
J.Fitzpatrick
Figueroa, Williams
N.N.P.
atlas
R.Hill
C.Wong
DM.Blumenthal
J.Benson
Page 14/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
WhiteSpace: A Different Approach to JavaScript Obfuscation
Working with Law Enforcement
Xploiting Google Gadgets: Gmalware and Beyond
Kolisar
DM.Blumenthal
Stracener & Hansen
Une rapide lecture des supports de présentation disponibles nous a permis de découvrir quelques présentations sortant
de l’ordinaire au titre du sujet traité ou de l’intérêt de l’analyse.
Advanced Software Armoring and Polymorphic Kung Fu
N.Harbour
A l’occasion de la présentation de PE-Scrambler, un utilitaire destiné à complexifier l’analyse d’un code binaire
Intel, l’auteur nous dévoile différents ‘trucs’ permettant d’induire en erreur aussi bien l’analyste que l’outil
d’analyse. On découvre à cette occasion que le code assembleur INTEL est loin d’être non ambiguë notamment
de par l’encodage des instructions via des séquences binaires de longueur variable lesquelles ne sont pas toujours
alignées sur l’organisation de la mémoire, 32 bits ou 64 bits pour les processeurs récents.
Un encodage à longueur variable peut donc conduire à une interprétation erronée d’une séquence binaire lorsque
l’on ne connaît pas avec certitude la position du premier octet d’une instruction valide. Cette ambiguïté pourra
généralement être manuellement levée par le parcours du code ou, automatiquement, par l’analyse du flot
d’instruction lorsque aucune information n’est disponible ce qui est généralement le cas d’un code capturé en
mémoire ou dont l’en-tête a été manipulée.
Il semble qu’il existe cependant des cas où aucune décision ne pourra raisonnablement être prise quant à la
validité d’une interprétation parmi toutes les interprétations possible, et ceci, quand le code est pourtant exécuté
sans erreur par le processeur. On pourrait raisonnablement penser quesi ce dernier est à même de sélectionner la
bonne ‘interprétation’, n’importe qui d’autre ayant connaissance des tables de décision pourrait aussi bien le faire.
Les quelques exemples présentés semblent démontrer que cela n’est pas le cas, et que des séquences ambiguës
peuvent réellement être employées comme chausse-trappes dans lesquels tomberont la majorité si ce n’est tous
les désassembleurs dont le célèbre IDA Pro. Autant d’exemples que nous avons vérifiés et qui laissent songeurs…
Un subtil travail d’entrelacement – de tissage
pourrions nous dire – d’instructions dont le seul
but est de conduire le désassembleur, et
l’analyste avec, à produire une analyse erronée.
Cela ne serait que simple nuisance si des outils
n’étaient désormais à même de transformer un
code binaire ‘normal’ en un code binaire
exécutable mais impossible à analyser en temps
contraint.
Nous ne résistons pas au plaisir de dévoiler cicontre l’un des ‘trucs’ présentés par l’auteur, un
tour de passe-passe que les aficionados de la
programmation assembleur apprécieront, nous
en sommes sûrs, à sa juste valeur.
Il serait temps d’abandonner les architectures utilisant des jeux d’instructions aussi problématiques, un problème
aussi posé par l’usage de l’encodage ASN.1 dit ‘BER’ – Basic Encoding Rules – en lieu place de l’encodage ‘DER’
– Distinguished Encoding Rules – lequel ne laisse place à aucune ambiguïté dans le décodage au détriment, il
est vrai, d’un codage plus volumineux. L’économie de quelques octets ne se justifie plus vraiment de nos jours.
The Big Picture: Digital Cinema Technology and Security
M.Renlund
Cette présentation ne traite que très indirectement de la sécurité au sens informatique du terme. Elle n’en est pas
moins passionnante car ouvrant une fenêtre sur un domaine dont il est rarement question en dehors de certains
cercles de spécialistes ou de passionnés: le cinéma dit ‘numérique’ par opposition au cinéma classique utilisant
une bonne vieille pellicule argentique.
Le terme ‘analogique’ ne s’appliquerait d’ailleurs à celui-ci
que pour la piste image puisque les pellicules récentes
comportent, comme le montre l’auteur, plusieurs pistes
encodées numériquement. Pour être distribués en salle, les
films sont transportés dans des containers spécifiques
assurant l’intégrité du support contre diverses formes de
malversations.
L’auteur aborde ensuite le cœur du sujet: le cinéma
numérique et l’architecture mise en œuvre pour transférer
en toute sécurité – au sein informatique du terme – un flot
de données entre une unité de stockage à grande capacité
et un système de projection numérique.
Nous sommes loin du système iMax et de sa pellicule de
70mm de côté puisque les projecteurs numériques
professionnels ressemblent, en plus grand il est vrai, aux
projecteurs accessibles aux particuliers: un système de traitement du son et de l’image couplé à un dispositif de
projection utilisant des technologies dont les auteurs de science-fiction n’auraient pas eu l’idée dans les années
70.
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 15/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
Nous pensons notamment à la technologie DLP inventée à la fin des années
80 qui utilise une surface constituée de milliers de miroirs de quelques µm,
lesquels par déplacement permettent de moduler un faisceau de lumière
incident. Que l’on assemble astucieusement trois surfaces de ce type
éclairées par trois faisceaux correspondant aux trois couleurs primaires et
l’on dispose d’un système de restitution de l’image dont la finesse dépendra
de la taille et du nombre des miroirs. On imagine la complexité des processus
ayant permis la réalisation d’un tel chef-d’œuvre – cf. l’image ci-contre
extraite de la présentation – en tenant compte de la présence d’un actuateur
au pied de chaque miroir.
Building a Real Session Layer
D.J. Capelis
Constitué de quelques 100 pages ne contenant que quelques mots voire ci ou là une phrase complète, le support
de cette présentation n’est pas spécialement attirant et n’aura, a priori, de sens que pour celui qui aura assisté à
la présentation ou encore pour toute personne ayant encore en tête le fabuleux modèle en couche développé dans
les années 80 par l’ISO, modèle dit ‘OSI’. Ce modèle spécifie une architecture de communication ouverte dans
laquelle les services, rendus par le biais d’interfaces normalisées, sont organisés selon sept niveaux, chacun
apportant sa contribution dans la construction de l’édifice: PLRTSPA ou ‘Physique / Liaison / Réseau / Transport /
Session / Présentation / Application’.
Il est usuellement considéré que le modèle de communication employé sur l’Internet respecte 5 des 7 couches :
Physique avec le média, Liaison avec le protocole Ethernet, Réseau avec le protocole IP et Transport avec les
protocoles TCP et UDP. Les services offerts par les couches Sessions et Présentations sont bien souvent intégrées
dans un ensemble au contour mal défini mais proche des applications. La comparaison des deux modèles est en
pratique bien plus complexe que cette simple équivalence, le modèle OSI définissant un modèle de couche
générique et une terminologie très spécifique: service (rendu par la couche N à la couche de niveau supérieur
N+1), protocole (communication entre deux couches de même niveau) et interface (point d’accès au service).
L’auteur, pourtant jeune, milite pour l’intégration d’une véritable couche 5 dite ‘Session’ dans le modèle de
communication de l’Internet en vantant les mérites de la séparation des services notamment sur le plan de la
compartimentation des risques. Il imagine ce que pourrait être une couche ‘Session’ en s’appuyant sur les
caractéristiques du service TCPMUX lequel autorise le multiplexage des services sur un même transport. Et de
considérer qu’il serait ainsi possible de faire fi des numéros de ports, selon lui, une véritable nuisance qu’il
convient d’éliminer. Et de considérer que:
If TCP/UDP hadn’t done them (ports number), we’d have had a real session layer 20 years ago.
Cette assertion, totalement erronée de notre point de vue, participe à une forme de réécriture de l’histoire à
l’américaine contre laquelle nous nous élevons et qui nous conduit à commenter cette présentation. Le modèle
OSI, avec ses avantages et inconvénients, a fait l’objet d’implémentations parfaitement réussies, notamment en
Europe et particulièrement en France, et ce sur l’intégralité des 6 premières couches. Nous disposions donc il y a
20 ans d’une véritable couche ‘Session’ conforme en tout point à l’esprit du modèle ‘OSI’.
Le fait est, hélas, que le développement d’une architecture normalisée est un projet long et coûteux, tant sur le
plan normatif que sur celui de la certification de conformité des produits s’agissant d’une norme ISO. Dans le
même temps, était développée aux USA, une architecture n’ayant d’autres contraintes que la résilience et sans
aucune des exigences de qualité ou d’interopérabilité portant sur les développements ISO. Ajoutons à cela qu’à
l’époque le coût – en terme de ressources occupées et de temps de développement - d’une pile TCP/IP était
largement inférieur à celui d’une pile TP4/X25 et l’on comprendra que le monde se soit tourné vers un standard
de fait s’appuyant sur des spécifications incomplètes et/ou incohérentes. Encore un effet pervers de l’économie de
marché dont nous payons le prix fort 20 ans après. Ceci étant, le modèle OSI – construction superbe de rigueur
et de symétrie – était probablement trop parfait et contraignant pour répondre aux besoins très terre à terre du
marché d’alors. Serait-il plus adapté de nos jours et aurait-il été aussi fragile que son homologue du DARPA, c’est
là la véritable question ?
Pour en revenir à la louable initiative de DJ. Capelis, force est de constater qu’elle ne pourra conduire qu’à la
réalisation d’une cinquième couche ayant pour intérêt d’éventuellement préciser la situation de certains protocoles
de sécurité mais n’ayant cependant pas grand-chose à partager avec les spécificités de la couche 5 du modèle
OSI. Certains de nos lecteurs ne partageront peut être pas notre position et nous serions heureux d’en discuter,
ce sujet – le modèle OSI, ses apports et les conditions ayant conduit à sa déshérence – nous tenant
particulièrement à cœur.
Flux on: EAS (Emergency Alert System)
M.Krick
De jours encore, le moyen d’alerte et d’information le plus efficace, hors le RNA dont le seul rôle est de signaler
un incident, reste la radiodiffusion à condition toutefois de disposer d’un poste de réception et de connaître les
bandes de fréquence utilisées. Ce moyen d’alerte, qui a connu son apogée au temps de la guerre froide, que ce
soit en Europe où aux USA, semble être désormais bien peu connu de nos citoyens à l’exception peut-être des
expatriés qui tous savent qu’en cas de problème, les fréquences de diffusion utilisées par RFI – Radio France
Internationale – pourront être utilisées pour diffuser les consignes à suivre. En France, ce rôle est dévolu à
France Inter et à son réseau de diffusion, en FM mais aussi en GO sur la fréquence de 162Khz. Les restrictions
budgétaires, l’arrêt des diffusions de RFI à l’attention de certaines zones et le passage au tout numérique –
diffusion et support - pourrait bien hélas sonner le glas d’un système d’alerte et d’information robuste et efficace
en place depuis plus de 40 ans.
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 16/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
Il n’en va pas de même aux USA où, il est vrai, l’étendu du territoire mais aussi des risques de catastrophes
naturelles, a conduit à mettre en place des réseaux d’information dont le plus connu est celui géré par le NOAA –
le NOAA Weather Alert. Celui-ci, qui concerne les états susceptibles d’être touchés par un cyclone ou une
tornade, utilise sept fréquences dédiées dans la bande VHF automatiquement veillées par de nombreux récepteurs
grands publics vendus aux USA dont les matériels de la célèbre société Tandy/RadioShack.
La présentation de Matt Krick porte sur l’histoire de la mise en place du premier réseau d’alerte concomitant au
déclenchement de la Guerre Froide et à son extension progressive pour prendre en compte de nouveaux types
d’incident mais aussi l’évolution des technologies. Ainsi, de 1951 à 1963, le réseau d’alerte aux radiations – dit
CONELRAD - s’est développé en s’appuyant sur l’ensemble des stations de radiodiffusion couvrant le territoire
américain, les stations ne participant pas au réseau étant tenu d’arrêter immédiatement leur transmission en cas
d’alerte, les deux fréquences de veille étant inscrites sur le cadran de toutes les radios de l’époque soit 640Khz et
1240Khz en petites ondes (PO), les grandes ondes (GO) n’étant pas utilisées aux USA.
Ce réseau s’est modernisé de 1963 à 1997 pour devenir le réseau EBS – Emergency Broadcast System - pour
couvrir d’autres risques en introduisant un signal d’alerte spécifique et une infrastructure de stations relais
opérées 24/24h. En 1994, l’extension des missions affectées à ce réseau renommé EAS - Emergency Alert System
- ont conduit à intégrer un mécanisme de signalisation numérique permettant non seulement une gestion
automatisée de la fonction de veille par les récepteurs mais aussi la désignation de la nature de l’alerte et
l’affichage d’informations complémentaires. Le mécanisme utilisé permettait d’éviter toute rupture avec les
moyens de transmission de l’époque puisque les structures d’en-tête (ZCZC) et de fin (NNNN) de message
respectait un standard de messagerie toujours en vigueur, les données étant encodées en ASCII 7bits et
transmises à 520 bauds par le biais d’une modulation deux tons ou ‘AFSK’.
L’architecture de l’ensemble du système, lequel doit répondre à des exigences de disponibilité draconiennes est
décrite très en détail dans la présentation. Ce système devrait de nouveau subir une nouvelle évolution
permettant d’intégrer de multiples supports – voix, texte et image – tout en permettant la transmission d’alertes
‘certifiées’ et pouvant être géographiquement ciblées.
The World of Pager Sniffing: More Activity Than One May Suspect
NYCMIKE
Cette présentation s’avère être une excellente introduction à la présentation ‘Scada: Fear, Uncertainty and the
Digital Armageddon’ de M.Marquis-Boire et plus précisément au chapitre concernant la collecte d’informations
utiles par l’écoute des notifications transmises par radio par certains systèmes de gestion industrielle ou SCADA
dans le jargon. Dans cette dernière présentation, l’auteur détaille le cas du logiciel ‘SCADAlarm’ édité par la
société ‘Wonderware’ qui automatise l’envoi en temps réels de notification d’événements sur divers équipements
terminaux, GSM mais aussi ‘pagers’. Les informations contenues dans ces messages de notification peuvent
contenir des informations sensibles – identification d’un système, adresse IP, numéro de téléphone… - dont il
serait souhaitable qu’elles ne tombent pas entre des mains malintentionnées.
D’aucuns pourraient imaginer que le risque de fuite d’information par ce moyen de transfert est faible. Ce serait
ignorer que les systèmes de diffusion commerciaux permettant de joindre à tout moment un dispositif d’alerte –
pager ou beeper – utilisent à quelques exceptions près un canal de transmission certes fiable (le message est
retransmis régulièrement sur l’ensemble du réseau de diffusion) mais non confidentiel (le message est transmis en
clair).
Dés lors quiconque dispose de l’équipement ad’hoc pourra collecter tous les messages transmis par le relais le plus
proche du lieu d’écoute. Et comme le démontre ‘NYCMIKE’ dans la présentation ‘The World of Pager Sniffing:
More Activity Than One May Suspect’, l’équipement nécessaire peut être assemblé par n’importe quel
amateur, encore faut-il qu’un service de diffusion de message soit actif dans le pays.
L’Europe pour ne citer qu’elle dispose encore de réseau de diffusion de messages privés, l’un couplé avec le
système RDS mais rarement utilisé du moins à notre connaissance, l’autre hérité des grands réseaux de radiomessagerie des années 90 (AlphaPage, Tatoo, Expresso, Tam-Tam, Kobby…) , lesquels ont été soit
abandonnés, soit repris par des sociétés spécialisées dont principalement la société Allemande ‘e*Message’. Et il
est de fait que les fréquences allouées à ces réseaux sont de nos jours encore très actives en France, les
messages d’alertes ayant remplacés les mots doux et autres échanges autrefois véhiculés par ce moyen.
Toutes les informations délivrées par l’auteur de la présentation 'The World of Pager Sniffing: More Activity
Than One May Suspect' sont réelles et connues de longue date de certaines populations. Nombreux sont les
sites fournissant librement les données complémentaires nécessaires – protocoles en usage, plan de fréquence,
logiciels de décodage – bien que la seule diffusion de certaines de ces informations soit répréhensible dans
certains pays.
En France, la possession d’un moyen de réception permettant ce type d’interception – cf ‘Arrêté du 29 juillet 2004
fixant la liste d'appareils prévue par l'article 226-3 du code péna’ - est encadrée par la loi au titre de l’atteinte à la
vie privée, laquelle stipule « l’acquisition ou la détention d’un tel équipement est soumise à une autorisation
délivrée par le premier Ministre » - Décret nº 97-757 du 10 juillet 1997 art. 6 Journal Officiel du 13 juillet 1997.
Cette obligation, méconnue, n’arrêtera certainement pas un individu déterminé à collecter un maximum
d’information sur un système de traitement automatisé d’autant que cette source de fuite d’information est
rarement traitée au niveau des plans de sécurité pourtant établis par des spécialistes. N’oublions pas que les
ondes radio ne connaissent ni frontières ni distance de sécurité à l’air libre.
De tout ceci, on retiendra que dans bien des cas, les services de radio-messagerie sont indispensables au bon
fonctionnement d’une organisation et qu’ils sont susceptibles de véhiculer des informations sensibles sans que les
utilisateurs en soient toujours conscients.
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 17/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
Dans le domaine de la gestion des SI et de la surveillance des processus informatique, il conviendra de définir un
format de notification concis et sans ambiguïté pour le(s) destinataire(s) tout en masquant les informations
potentiellement sensibles: noms d’interlocuteurs, lieux, adresses IP, identifiant de système totalement qualifié. On
prendra garde à intégrer l’ensemble de la chaîne de notification dans la réflexion, la notification d’alerte pouvant
parfaitement être gérée – sans retraitement - par un système éloigné du lieu de production du message original.
Bringing Sexy Back: Breaking in with Style
D.Maynor & R.Graham
Avec cette présentation, David Maynor et Robert Graham tentent selon leurs propres termes de faire évoluer
les tests d’intrusion vers quelque chose de moins ‘ennuyeux’ et ‘répétitif’, en un mot ‘de plus sexy’. De fait
l’expérience qu’ils nous présentent est pour le moins nouvelle et attirante quoique que potentiellement coûteuse!
Leur idée consiste en effet à faire voyager par courrier
une plate-forme mobile astucieusement configurée pour
appeler son propriétaire à heure fixe et établir une
connexion sécurisée. Ce dernier peut alors engager des
tests d’intrusion à destination des équipements WIFI à
portée immédiate de la plate-forme, où qu’elle se
trouve. Une approche pour le moins séduisante autant
pour l’aspect technique que pour la part d’aléa qu’elle
introduit, nul ne peut savoir où se trouvera la plateforme lorsque la connexion sera établie.
On pourrait même envisager, et nul doute que les
auteurs de la présentation n’y aient eux aussi pensé, de
transformer cette plate-forme en système d’analyse
automatique, relevant les caractéristiques de tous les
points d’accès à portée, tentant de s’y connecter
automatiquement et journalisation leur localisation à
condition de disposer d’un GPS embarqué.
Rien n’interdit – éthique et morale mises de côté - d’aller au-delà et d’intégrer un point d’accès malicieux servant
une page piégée aux malheureux qui s’y connecteraient pensant avoir trouver un hot-spot ouvert.
La plate-forme conçue par les auteurs s’appuie sur un iPhone –
doté des capacités de communication requises – couplée à une
batterie auxiliaire lui assurant 5 jours d’autonomie, l’ensemble
étant intégré dans la boîte d’origine de l’iPhone. Ce dernier a
fait l’objet d’une modification visant à le rendre plus
communiquant, en l’occurrence par l’installation du soussystème BSD et de l’outillage ad hoc: SSH, NetCat, TcpDump,
ApLogger…
Aucune information n’est donnée quant aux résultats de
l’expérience, ni sur l’état de l’iPhone et de son disque dur une
fois arrivé à destination.
Pour mémoire, une équipe de bidouilleurs avait par le passé déjà
utilisé un service de messagerie américain pour transporter un
paquet contenant un GPS journalisant le trajet emprunté par
celui-ci avec un dispositif plus volumineux que celui proposé par
la société ‘BrickHouse Security’.
ƒ Complément d’information
https://www.defcon.org/html/links/defcon-media-archives.html
CYBER-DEFENSE
DHS – LE DEPARTEMENT DE LA SSECURITE INTERIEURE EPINGLE PAR LE GAO
ƒ Description
Le GAO (United State Government Accountability Office), une autorité de surveillance similaire
à notre cours des comptes, a publié trois rapports inquiétants car mettant en cause la capacité
de réaction du département de la sécurité intérieure – DHS ou Department of Homeland
Security - en cas face aux risques d’attaque des infrastructures critiques.
Le premier rapport de 67 pages intitulé ‘DHS Faces Challenges in Establishing a Comprehensive National
Capability’ met en évidence de nombreux manques dans le suivi des risques et menaces assuré par le célèbre centre
de gestion des incidents, l’US-CERT. Selon le GAO, une cellule d’analyse et d’alerte doit assurer 15 missions réparties
dans les quatre activités fondamentales d’un CERT: la surveillance (monitoring), l’analyse (analysis), l’alerte (warning)
et la réponse (response).
Monitoring
Establish a baseline understanding of network assets and normal network traffic volume and flow
Assess risks to network assets
Obtain internal information on network operations via technical tools and user reports
Obtain external information on threats, vulnerabilities, and incidents
Detect anomalous activities
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 18/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
Analysis
Warning
Response
Verify that an anomaly is an incident (threat of attack or actual attack)
Investigate the incident to identify the type of cyber attack, estimate impact, and collect evidence
Identify possible actions to mitigate the impact of the incident
Integrate results into predictive analysis of broader implications or potential future attack
Develop attack and other notifications that are targeted and actionable
Provide notifications in a timely manner
Distribute notifications using appropriate communications methods
Contain and mitigate the incident
Recover from damages and remediate vulnerabilities
Evaluate actions and incorporate lessons learned
En pratique, l’audit mené de Juin 2007 à Juillet 2008 par le GAO montre que certaines missions ne sont pas assurées,
ou le sont incomplètement. L’US-CERT doit quotidiennement faire face à de nouvelles menaces qui l’empêchent
d’assurer correctement les missions de fond qui lui sont dévolues dont celles directement liées à la coordination de
l’effort national en matière de lutte contre la cybercriminalité. Le GAO lui reproche principalement de ne pas avoir
encore engagé les actions permettant de gérer les menaces à venir et leur impact sur les systèmes critiques: absence
de référentiel permettant de qualifier l’état des infrastructures réseau critiques, non utilisation des données acquises à
des fins d’analyse prédictive, mécanisme de notification non déterministe et difficilement exploitable.
Le GAO émet dix recommandations ayant pour objectif d’améliorer le fonctionnement de l’US-CERT dont notamment
l’amélioration des échanges avec les autres entités fédérales, et non fédérales, travaillant dans le domaine, le
recrutement de personnels compétents, l’acquisition d’outils permettant de gérer l’augmentation de la charge de
travail et la stabilisation de l’organisation par la mise en place des profils ad hoc aux postes clefs. En conclusion, l’USCERT doit se réorganiser pour (re)devenir performant et efficace face à une évolution très rapide de la menace.
Le second rapport de 39 pages - ‘DHS Needs to Fully Address Lessons Learned from Its First Cyber Storm
Exercise’ – pointe du doigt l’insuffisance de la prise en compte des leçons acquises à l’occasion de la toute première
simulation d’attaque à grande échelle ayant été engagée en février 2006. Huit axes d’amélioration avaient alors été
identifiés pour lesquels quelques 66 actions devaient être rapidement engagées. L’audit mené par la GAO indique que
23 de ces actions ne sont toujours pas finalisées, 16 d’entres-elles étant en cours de traitement et 7 non encore
planifiées. La seconde simulation d’attaque lancée en mars dernier a confirmé que la majorités des difficultés
rencontrées étaient toujours d’actualité.
Dans son dernier rapport intitulé ‘DHS Needs to Better Address Its Cybersecurity Responsibilities’, le GAO
prend acte des problèmes et difficultés liés aux missions du DHS relatives à la sécurité des infrastructures critiques.
Les manquements constatés amènent le GAO à devoir considérer une augmentation du risque d’atteinte de ces
infrastructures par des terroristes, des états ennemis et autres menaces.
ƒ Complément d’information
http://www.gao.gov/new.items/d08588.pdf
http://www.gao.gov/new.items/d08825.pdf
http://www.gao.gov/new.items/d081157t.pdf
SENSIBILISATION
ENISA - HOW TO RAISE INFORMATION SECURITY AWARENESS
ƒ Description
En 2006, l’ENISA engageait un vaste programme portant sur la sensibilisation des acteurs du monde de
l’information, structures et organisations gouvernementales mais aussi entreprises du secteur privé
(Rapport N°91 – Février 2006). La tenue d’un atelier de travail permettait une mise en commun des
bonnes pratiques en matière d’éducation, de formation et d’information.
Ce partage d’expérience conduisait à la publication en août 2006 d’un guide de 64 pages intitulé ‘A Users’ Guide:
How to Raise Information Security Awareness’ regroupant conseils et recommandations à l’attention des états
membres de l’Europe souhaitant engager un programme national de sensibilisation à large spectre.
Ce guide mettait en avant trois facteurs essentiels à la réussite d’un tel programme:
- La mise en place d’une véritable stratégie de communication s’appuyant sur les fondamentaux des métiers de la
communication et tenant compte des spécificités et des besoins des groupes cibles de la campagne,
- Le recours à une approche de type ‘gestion du changement’ pour toutes les actions de communication, de
formation et d’évaluation,
- La mise en place d’un processus d’évaluation de l’efficacité du programme permettant de définir et d’engager
les ajustements nécessaires.
Une nouvelle édition de ce guide vient de voir le jour qui prend en compte les nombreux commentaires et les premiers
retours d’expérience. Désormais forte de 100 pages, cette édition diffère principalement de la précédente sur les
quatre points suivants:
- l’amélioration de la méthodologie par la mise en place d’un système d’identification des processus et des activités,
mais aussi par l’intégration des principes permettant d’intégrer les besoins et de gérer les changements,
- l’inclusion, dans le chapitre ‘Conduct evaluations’, d’indicateurs de performance permettant de mesurer l’efficacité de
la campagne,
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 19/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
- l’intégration du retour d’expérience de certaines organisations dans la mise en œuvre d’un programme de
sensibilisation par le biais de commentaires et d’inserts dans les différentes sections du document,
- la fourniture de nouveaux modèles ‘type’ – annexes V, VI, VII, X, XI, XII, XIII, XIV – et d’une liste d’outils
susceptibles d’être utilisés.
La présentation du guide a par ailleurs été revue afin de rendre celui-ci plus attractif notamment par l’inclusion
d’inserts, de schémas et de photos. Conçu, nous l’avons rappelé, à l’attention des états membres de l’Europe, ce guide
présente une méthodologie parfaitement adaptable à des contextes plus spécifiques tels que la mise en place d’un
programme de sensibilisation au sein de l’entreprise. Quelques activités devront tout au plus être adaptées voire
allégées pour prendre en compte la dimension de l’entreprise et les contraintes budgétaires.
La table des matières de ce guide est la suivante :
EXECUTIVE SUMMARY
PART 1: THE IMPORTANCE OF INFORMATION SECURITY AWARENESS PROGRAMMES
INTRODUCTION
AWARENESS: A DEFINITION
WHEN INFORMATION SECURITY PROGRAMMES ARE NECESSARY
PART 2: MAIN PROCESSES FOR EXECUTING INFORMATION SECURITY AWARENESS PROGRAMMES
Process mapping hierarchy
Main processes for executing information security awareness programmes
Phase I - Plan, assess and design
Establish initial programme team
Take a change management approach
Define goals and objectives
Define target groups
Identify personnel and material needed for the programme
Evaluate potential solutions
Select solution and procedure
Obtain appropriate senior management support and funding
Prepare work plan
Develop the programme and checklists of tasks
Define a communications concept
Define indicators to measure the success of the programme
Establish baseline for evaluation
Document lessons learned
Phase II - Execute and manage
Confirm the programme team
Review work plan
Launch and implement programme
Deliver communications
Document lessons learned
Phase III - Evaluate and adjust
Conduct evaluations
Gather data
Incorporate communications feedback
Review programme objectives
Implement lessons learned
Adjust programme as appropriate
Relaunch the programme
PART 3: OVERCOME OBSTACLES TO SUCCEED
OBSTACLES TO SUCCESS
CRITICAL SUCCESS FACTORS
CONCLUSION
REFERENCES AND SOURCES FOR FURTHER READING
APPENDICES - TEMPLATES AND SAMPLES
Appendix I
- Target group data capture template
Appendix II
- Request for proposal sample
Appendix III
- Weekly status report template
Appendix IV
- Work plan sample
Appendix V
- Roles to topic mapping example
(NEW)
Appendix VI
- Information security awareness inventory worksheet template
(NEW)
Appendix VII - Information security awareness baseline worksheet template
(NEW)
Appendix VIII - Awareness questionnaire sample — for use by a public authority
Appendix IX
- Lessons learned capture form template
Appendix X
- Feedback form sample
(NEW)
Appendix XI
- Incident report sample
(NEW)
PROCESS MAPPING
Appendix XII - Plan, assess and design
(NEW)
Appendix XIII - Execute and manage
(NEW)
Appendix XIV - Evaluate and adjust
(NEW)
Avec cette nouvelle édition du guide ‘How to Raise Information Security Awareness’, l’ENISA nous propose une
approche ‘clef en main’ intégrant non seulement une méthodologie validée par l’expérience mais aussi tous les
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 20/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
éléments requis pour une mise en œuvre quasi-immédiate. Nous avons particulièrement apprécié le travail effectué
sur le fond et sur la forme conduisant à la mise à disposition d’un document didactique et accessible à tous.
La lecture de ce guide pourra être complétée par celle d’un document de support – 54 pages - tout juste mis à
disposition et intitulé ‘Obtaining support and funding from senior management: While planning an awareness
initiative’.
La table des matières de ce document est la suivante :
EXECUTIVE SUMMARY
Part 1: Information Security Governance And The Investment Approval Process
Introduction
Obtaining Support And Funding From Senior Management While Planning An Awareness Initiative
The Need For Information Security Awareness
Aims Of The Security Awareness Initiative
Obtaining Support And Funding From Senior Management
Create A Clear Education Strategy
The Senior Management Briefing
Education Strategy Components
All Personnel In The Enterprise Must Be Aware
Information Security Governance And Internal Controls Principles
Information Security Risk Management And Awareness
Understanding Awareness In The Context Of Corporate Investment Approval Processes
Identifying Opportunities To Document And Measure The Value Of The Awareness Campaign
Main Activities
Define Investment Rationale And Stakeholders
Develop The Business Case
Programme Costs
Business Benefits
Calculate Performance Metrics
Validate Investment Rationale
How To Communicate Within Your Organisations
Senior Management Is Barraged With Requests
The Synergy Between Awareness And Risk Control May Not Be Understood
How Do We Build The Business Case For Senior Management?
Main Challenges And Risks To Obtaining Sufficient Investment
Part 2: Guidelines For Good Practice
Good Practice Guidelines
Recommendations
Conclusions
References And Sources For Further Reading
Appendices
Appendix I - Financial Calculations Used For Investment Requests
Appendix II - Legend
ƒ Complément d’information
http://enisa.europa.eu/doc/pdf/deliverables/new_ar_users_guide.pdf
- Edition 2008
http://www.iwar.org.uk/comsec/resources/ENISA/infosec-awareness.pdf
- Edition 2006
http://www.enisa.europa.eu/doc/pdf/deliverables/obtaining_support_and_funding_from_senior_management.pdf
GUIDES
DISA – GUIDES ET CHECKLISTS DE SECURISATION
ƒ Description
La DISA a publié un nouveau guide, et la liste de contrôles associée, portant sur la sécurité et le
développement des applications ainsi que la mise à jour des listes de contrôles liées aux
environnements et équipements VoIP, Desktop, Blackberry, DNS, Unix, VMWare, Windows
XP, 2000, 2003 et Vista.
STIG
Checklist
[11 Mise(s) à jour, 1 Nouveau(x) document(s)]
APPLICATIONS
Applications
(Sécurité et Développement)
2.1
24/08/08
2.1.12 24/07/08 PDF N
Applications
(Services)
1.1
17/01/06 PDF 1.1.1
21/09/06 PDF
ESM
1.2
05/06/06 PDF
ERP
(PeopleSoft, SAP)
1.1
10/04/07 PDF 1.0
01/06/06 DOC
Database
(Générique + Oracle, SQL Server)
8.1
19/10/07 PDF 8.1
08/01/08 ZIP
(MS SQL Server 2005)
8.1.1
08/01/08 ZIP
VoIP
2.2
21/04/06 PDF 2.2.4
22/09/08 PDF M
ENVIRONNEMENTS
Access Control
2.1
17/10/07 PDF
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 21/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
Directory Service
Collaboration
(environnements collaboratifs)
Desktop
Enclave
(Périmètre)
.NET
(Draft)
Secure Remote Computing
Voice vidéo Collaboration
Instant Messaging
PERIPHERIQUES RESEAUX
Sharing peripheral across the network
- Multi-Function Device (MFD) and Printer Checklist
- Keyboard, Video, and Mouse (KVM) Switch Checklist
- Storage Area Network (SAN) Checklist
- Universal Serial Bus (USB) Checklist
RESEAU
Network
Cisco
(Supplément)
Juniper
(Supplément)
IP WAN
Wireless
(Liste de contôle générique)
Wireless
BlackBerry
Wireless
Apriva
Wireless
Motorola
Wireless
Windows
Wireless LAN Security Framework Addendum
Wireless LAN Site Survey Addendum
Wireless LAN Secure Remote Access Addendum
Wireless Mobile Computing Addendum
SERVICES
DNS
Web Servers
(Générique)
(IIS)
(Netscape/Sun)
(Apache)
(TomCAT)
(WebLogic)
SYSTEMES
OS/390 & z/OS
OS/390 Logical Partition
OS/390 RACF
OS/390 ACF2
OS/390 TSS
OS/390 Self assessment
MacOS X
TANDEM
UNISYS
UNIX
VM IBM
SOLARIS
(2.6 à 2.9)
VMS VAX
Windows VISTA
Windows 2008
Windows 2003
Windows 2000
Windows XP
Windows NT
Windows 2000/XP/2003/Vista Addendum
VMware ESX
TECHNOLOGIES
Biométrie
SPECIFIQUE DoD
Backbone transport
Defense switch network
Secure telecommunication Red switch network
DODI 8500.2 IA
N Nouveau
M Mis à jour
1.1
1.1
3.1
4.2
10/03/06
28/03/07
09/03/07
31/03/08
PDF
ZIP
PDF
PDF
1.2
1.1
1.2
10/08/05 DOC
26/06/08 PDF
15/02/08 PDF
1.1
29/07/05 PDF
7.1
25/10/07 PDF
5.2.1
15/11/07 PDF
1.1.3
1.1
3.1.7
4.2
1.2
21/03/08
28/03/07
15/09/08
31/03/08
28/04/06
PDF
DOC
DOC
PDF
DOC
1.1.4
21/07/08 PDF
1.1.2
1.1.2
1.1.3
1.1.2
14/04/06
14/04/06
19/05/06
06/04/06
PDF
PDF
PDF
PDF
7.1.5
6.1
6.4
2.3
5.2.2
5.2.2
5.2.1
5.2.1
5.2.1
14/05/08
02/12/05
02/12/05
12/08/04
12/05/08
22/09/08
15/11/07
15/11/07
15/11/07
PDF
PDF
PDF
PDF
PDF
PDF
PDF
PDF
PDF
M
M
2.1
1.1
1.1
1.1
31/10/05
31/10/05
31/10/05
31/10/05
PDF
PDF
PDF
PDF
4.1
6.1
17/10/07 PDF
11/12/06 PDF
4.1.4
6.1.6
6.1.9
6.1.3
6.1.7
6.1.3
6.1.3
15/09/08
18/07/08
18/07/08
18/07/08
18/07/08
18/07/08
18/07/08
PDF
ZIP
ZIP
ZIP
ZIP
ZIP
ZIP
5.2
2.2
19/09/06 PDF
04/03/05 PDF
1.1
2.2
7.2
5.1
2.2
15/06/04
04/03/05
28/08/06
28/03/06
04/03/05
5.2.7
2.1.4
5.2.9
5.2.9
5.2.9
5.2.9
1.1.3
2.1.2
7.1.2
5.1.14
2.1.2
2.2.3
6.1.8
6.1.1
6.1.8
6.1.8
6.1.8
4.1.21
17/01/08
04/06
17/07/08
17/07/08
17/07/08
17/07/08
28/04/06
17/04/06
17/04/06
22/09/08
04/06
20/01/04
17/04/06
22/09/08
17/07/08
22/09/08
22/09/08
22/09/08
28/07/06
DOC
DOC
DOC
DOC
DOC
DOC
DOC
DOC
PDF
DOC
DOC
DOC
DOC
ZIP
ZIP
ZIP
ZIP
ZIP
DOC
M
1.1.2
16/09/08 PDF
M
PDF
PDF
PDF
PDF
PDF
1.8
3.1
6.1
1.1.0
12/01/03
26/12/02
21/05/07
28/04/08
PDF
DOC
PDF
PDF
1.3
10/11/05 PDF
1.3.1
31/10/05 DOC
1.1
2.3
1.1
05/06/06 PDF
30/04/06 PDF
26/03/06 PDF
1.1.1
2.3.2
18/01/07 PDF
01/05/06
1.1.1
18/01/07 PDF
M
M
M
M
M
R
R
R
R
R Accès restreint
ƒ Complément d’information
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 22/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
http://iase.disa.mil/stigs/index.html
http://iase.disa.mil/stigs/stig/index.html
http://iase.disa.mil/stigs/checklist/index.html
- Pages d’accueil
- STIG
- Checklists
NSA - CATALOGUE DES GUIDES DE SECURITE
ƒ Description
La NSA vient de publier un nouveau mémorandum qui porte sur la sécurisation de environnement MAC OS-X
10.5 dit ‘Léopard’.
G
R
P
Guide de mise en œuvre et/ou manuel d’utilisation
Recommandations et principes élémentaires
Procédures et mise en application
N
O
Document nouvellement publié
Document obsolète
Windows VISTA
R Windows Vista Security Guide
How to Securely Configure Microsoft Windows Vista BitLocker
I
-
25/10/2006
15/09/2007
MIC
NSA
V2.1
V1.0
V2.1
V2.1
V2.1
V1.0
V1.0
26/04/2006
12/09/2006
26/04/2006
26/04/2006
26/04/2006
01/04/2005
-
MIC
NSA
MIC
MIC
MIC
NSA
CIS
V1.0
12/09/2006
NSA
V1.0
V1.08
19/04/2001
02/03/2001
NSA
NSA
V1.1
V1.22
V1.01
V1.0
V1.0
V1.1
V1.02
V1.02
13/10/2001
12/09/2006
26/11/2002
09/04/2001
01/01/2001
27/06/2001
01/05/2001
23/01/2001
NSA
NSA
NSA
NSA
NSA
NSA
NSA
NSA
V1.0
V1.0
06/03/2001
01/12/2000
NSA
NSA
V2.11
V2.02
V4.0
10/10/2001
10/10/2001
08/04/2002
NSA
NSA
NSA
V1.5
V1.3
V1.0
V1.0
V1.2
08/08/2002
19/07/2002
02/07/2001
13/08/2001
24/11/2003
NSA
NSA
NSA
NSA
NSA
Guide to Securing Microsoft Windows NT Networks
V4.2
18/09/2001
NSA
Guide to the Secure Configuration of Solaris 8
Guide to the Secure Configuration of Solaris 9
Apple Mac OS X v10.3.x Security configuration guide
Apple Mac OS X Server v10.3.x Security configuration guide
Apple Mac OS X v10.4.x Security configuration guide
Apple Mac OS X Server v10.4.x Security configuration guide
Guide to the Secure Configuration of Red Hat Enterprise Linux 5
VMWare ESX Server 3 configuration guide
V1.0
V1.0
V1.1
V1.0
Ed. 2
Ed. 2
-
09/09/2003 NSA
16/07/2004 NSA
21/12/2004 NSA
08/07/2005 NSA
12/03/2007 Apple
12/03/2007 Apple
19/11/2007 NSA
03/03/2008 NSA
Router Security Configuration Guide - Executive Summary
Router Security Configuration Guide
Router Security Configuration Guide – Security for IPV6 Routers
Cisco IOS Switch Security Configuration Guide
Configuring a PC to Remotely Administer a Cisco Router Using the Router Console
Configuring a Cisco Router for Remote Administration Using the Router Console
Port Security on Cisco Access Switches
V1.1
V1.1c
V1.0
V1.0
03/03/2006
15/12/2005
23/05/2006
21/06/2004
18/05/2007
04/05/2007
08/01/2008
Windows 2003
R
R
R
R
R
G
G
The Windows Server 2003 - Security Guide
NSA Windows Server 2003 Security Guide Addendum
Testing the Windows Server 2003 - Security Guide
Supporting the Windows Server 2003 - Security Guide
Delivering the Windows Server 2003 - Security Guide
Systems Management Server 2003 Security Guide
Exchange Server 2003 Benchmark
Windows XP
Système
N R NSA Windows XP Security Guide Addendum
Windows 2000
Références
I
I
Microsoft Windows 2000 Network Architecture Guide
Group Policy Reference
Systèmes
G
I
P
P
P
P
P
R
Guide to Securing Microsoft Windows 2000 Group Policy
Guide to Securing Microsoft Windows 2000 Group Policy: Security Configuration Tool
Guide to Securing Microsoft Windows 2000 File and Disk Resources
Guide to Securing Microsoft Windows 2000 DNS
Guide to Securing Microsoft Windows 2000 Encrypting File System
Guide to Windows 2000 Kerberos Settings
Microsoft Windows 2000 Router Configuration Guide
Guide to Securing Windows NT/9x Clients in a Windows 2000 Network
Annuaire
I
I
Guide to Securing Microsoft Windows 2000 Schema
Guide to Securing Microsoft Windows 2000 Active Directory
Certificats
R
R
R
Guide to the Secure Config. & Admin. of Microsoft Windows 2000 Certificate Services
Guide to the Secure Config. & Admin. of Microsoft Windows 2000 Certificate Services (check)
Guide to Using DoD PKI Certificates in Outlook 2000
Services annexes
I
P
P
P
P
Guide to Secure Configuration & Administration of Microsoft ISA Server 2000
Guide to Securing Microsoft Windows 2000 DHCP
Guide to Securing Microsoft Windows 2000 Terminal Services
Microsoft Windows 2000 IPsec Guide
Guide to the Secure Configuration and Administration of Microsoft Exchange 2000
Windows NT
P
Unix
P
P
P
P
P
P
P
P
Cisco
R
P
P
P
I
I
I
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
-
NSA
NSA
NSA
NSA
NSA
NSA
NSA
Page 23/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
Sans-Fils
G
G
G
I
Guidelines for the Development and Evaluation of IEEE 802.11 IDS
Recommended 802.11 Wireless Local Area Network Architecture
Security Guidance for Bluetooth Wireless Keyboards and Mice
So Your Boss Bought you a New Laptop How do you identify & disable wireless capabilities
V1.1
-
01/10/2005
23/09/2005
26/09/2006
04/06/2007
NSA
NSA
NSA
NSA
V3.0
V3.0
V1.1
ND
ND
14/11/2003
07/01/2002
20/12/1999
08/02/2002
05/02/2004
25/10/2007
NSA
NSA
NSA
NSA
NSA
NSA
V1.5
V1.2
V1.2
15/01/2003
30/10/2003
12/2006
12/2006
-
NSA
NSA
NSA
NSA
CIS
V1.0
04/04/2005
16/01/2004
07/2002
04/2003
NSA
NSA
NSA
NSA
ND
V1.73
V1.33
V1.33
V1.12
V1.14
V2.1
V1.0
V1.5
-
ND
03/07/2001
04/03/2002
04/03/2002
24/04/2001
05/10/2001
15/03/2006
01/04/2004
11/11/2005
01/08/2006
01/08/2006
01/08/2006
01/02/2007
01/02/2007
01/02/2007
01/04/2007
01/04/2007
08/01/2008
03/10/2007
19/09/2007
21/05/2008
03/2008
05/2008
05/2008
18/03/2008
09/2008
NSA
NSA
NSA
NSA
NSA
NSA
NSA
NSA
NSA
NSA
NSA
NSA
NSA
NSA
NSA
NSA
NSA
NSA
NSA
NSA
NSA
NSA
NSA
NSA
NSA
14/02/2006
01/05/2006
19/09/2007
NSA
NSA
NSA
Contenus exécutables
O
O
O
R
R
I
Outlook E-mail Security in the Wake of Recent Malicious Code Incidents
Guide to the Secure Configuration and Administration of Microsoft Exchange 5
Microsoft Office 97 Executable Content Security Risks and Countermeasures
Microsoft Office 2000 Executable Content Security Risks and Countermeasures
Microsoft Office 2003 Executable Content Security Risks and Countermeasures
Data Execution Prevention (DEP)
Bases de données
R
R
G
G
R
Web
R
P
R
R
Guide to the Secure Configuration and Administration of Microsoft SQL Server 2000
Guide to the Secure Configuration and Administration of Oracle9i
Oracle Application Server on Windows 2003 Security Guide
Oracle Application Server Security Recommendations and DoDI 8500.2 IA Control
Benchmark for Oracle 9i/10g
BEA WebLogic Platform Security Guide
Guide to the Secure Configuration & Administration of Microsoft IIS 5.0
Guide to Securing Microsoft Internet Explorer 5.5 Using Group Policy
Guide to Securing Netscape Navigator 7.02
V2.0
V1.4
V1.0
V1.1
Documents de Support
I
O
O
O
O
R
R
R
R
I
I
I
I
I
I
I
I
P
P
P
P
P
P
P
P
P
Defense in Depth
Guide to the Secure Configuration & Administration of iPlanet Web Serv Ent. Ed. 4.1
Guide to the Secure Conf. and Admin. of Microsoft IIS 4.0
Guide to the Secure Conf. and Admin. of Microsoft IIS 4.0 (Checklist Format)
Secure Config. of the Apache Web Server, Apache Server V1.3.3 on Red Hat Linux 5.1
Microsoft NetMeeting 3.0 Security Assessment and Configuration Guide
The 60 Minute Network Security Guide
Guide to Sun Microsystems Java Plug-in Security
Guide to Microsoft .NET Framework Security
Enterprise Firewall Types
Desktop or Enterprise Firewall ?
Enterprise Firewalls in Encrypted Environments
Security Guidance for Using Mail Clients
Mail Client Security Cheat Sheet
Secure Instant Messaging
Disabling USB Storage Drives
Biometrics Security Considerations
Internet Protocol Version 6
Firewall design consideration for IPV6
A filtering strategy for Mobile IPV6
Bluetooth Security
Mitigating Monday: Defense against malicious Email attachments
802.11 Wireless LAN Intrusion Detection Systems
Minimize the Effectiveness of SQL Injection Attacks
How to Safely Publish Sanitized Reports Converted From Word 2007 to PDF
Hardening Tips for the Default Installation of MAC OS X 10.5 "Leopard"
V1.0
-
VoIP
R
R
P
Security Guidance for Deploying IP Telephony Systems
Recommended IP Telephony Architecture
Video Teleconferencing
ƒ Complément d'information
http://www.nsa.gov/snac/
http://www.nsa.gov/snac//factsheets/macosx_hardening_tips.pdf
V1.0
-
- Portail d’accès aux guides
-
NIST - ETAT DES GUIDES DE LA SERIE SP800
ƒ Description
Le NIST publie, pour relecture, la première révision du guide SP800-70 ‘NCP for IT Products Guidelines for Checklist Users and Developers’ ainsi qu’une seconde version de la proposition de
guide SP800-116 ‘A Recommendation for the Use of PIV Credentials in Physical Access
Control Systems’
SP800-12
SP800-18.1
SP800-21.1
SP800-26
SP800-26.1
SP800-27a
An Introduction to Computer Security: The NIST Handbook
Guide for Developing Security Plans for Federal Information Systems
Guideline for Implementing Cryptography in the Federal Government
Security Self-Assessment Guide for Information Technology Systems
Guide for Inform. Security Program Assessments & System Reporting Form
Engineering Principles for Information Technology Security – Rev A
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
[R]
[R]
[D]
[F]
[R]
[F]
10/1995
08/2005
09/2005
11/2001
08/2005
06/2004
Page 24/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
SP800-28V2 Guidelines on Active Content and Mobile Code
[R]
SP800-29
Comparison of Security Reqs for Cryptographic Modules in FIPS 140-1 & 140-2
[F]
SP800-30
http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf
[F]
SP800-31
Intrusion Detection Systems
[F]
SP800-32
Introduction to Public Key Technology and the Federal PKI Infrastructure
[F]
SP800-33
Underlying Technical Models for Information Technology Security
[F]
SP800-34
Contingency Planning Guide for Information Technology Systems
[F]
SP800-35
Guide to Selecting IT Security Products
[F]
SP800-36
Guide to IT Security Services
[F]
SP800-37
Guidelines for the Security C&A of Federal Information Technology Systems
[F]
SP800-37r1 Guidelines for the Security C&A of Federal Information Technology Systems
[R]
SP800-38A Recommendation for Block Cipher Modes of Operation – Method and Techniques
[F]
SP800-38B Recommendation for Block Cipher Modes of Operation – RMAC
[D]
SP800-38C Recommendation for Block Cipher Modes of Operation – CCM
[F]
SP800-38D Recommendation for Block Cipher Modes of Operation – GCM
[R]
SP800-39
Managing Risk from Information Systems: An Organizational Perspective
[R]
SP800-40
Applying Security Patches
[F]
SP800-40-2 Creating a Patch and Vulnerability Management Program
[F]
SP800-41
Guidelines on Firewalls and Firewall Policy
[F]
SP800-41r1 Guidelines on Firewalls and Firewall Policy
[R]
SP800-42
Guidelines on Network Security testing
[F]
SP800-43
System Administration Guidance for Windows2000
[F]
SP800-44V2 Guidelines on Securing Public Web Servers
[F]
SP800-45V2 Guide On Electronic Mail Security
[F]
SP800-46
Security for Telecommuting and Broadband Communications
[F]
SP800-47
Security Guide for Interconnecting Information Technology Systems
[F]
SP800-48r1 Guide to Securing Legacy IEEE 802.11 Wireless Networks
[F]
SP800-49
Federal S/MIME V3 Client Profile
[F]
SP800-50
Building an Information Technology Security Awareness & Training Program
[F]
SP800-51
Use of the Common Vulnerabilities and Exposures Vulnerability Naming Scheme
[F]
SP800-52
Guidelines on the Selection and Use of Transport Layer Security
[D]
SP800-53-2 Recommended Security Controls for Federal Information Systems
[R]
SP800-53A Guide for Assessing the Security Controls in Federal Information Systems
[R]
SP800-54
Border Gateway Protocol Security
[F]
SP800-55r1 Security Metrics Guide for Information Technology Systems
[R]
SP800-56A Pair-Wise Key Establishment Schemes Using Discrete Logarithm Cryptography
[M]
SP800-57
Recommendation for Key Management, Part 1: General Guideline
[F]
Recommendation for Key Management, Part 2: Best Practices
[F]
SP800-58
Security Considerations for Voice Over IP Systems
[F]
SP800-59
Guideline for Identifying an Information System as a National Security System
[F]
SP800-60
Guide for Mapping Types of Information & Information Systems to Security Categories [F]
SP800-60r1 Guide for Mapping Types of Information & Information Systems to Security Categories [R]
SP800-61r1 Computer Security Incident Handling Guide
[R]
SP800-63r1 Electronic Authentication Guidelines
[R]
SP800-64r2 Security Considerations in the Information System Development Life Cycle
[R]
SP800-65
Recommended Common Criteria Assurance Levels
[F]
SP800-66r1 An Introductory Resource Guide for Implementing the HIPAA Security Rule
[R]
SP800-67
Recommendation for the Triple Data Encryption Algorithm Block Cipher
[F]
SP800-68
Guidance for Securing Microsoft Windows XP Systems for IT Professionals
[F]
SP800-68r1 Guidance for Securing Microsoft Windows XP Systems for IT Professionals
[R]
SP800-69
Guidance for Securing Microsoft Windows XP Home Edition
[R]
SP800-70
The NIST Security Configuration Checklists Program
[F]
SP800-70r1 NCP for IT Products - Guidelines for Checklist Users and Developers
[R]
SP800-72
Guidelines on PDA Forensics
[F]
SP800-73r2 Integrated Circuit Card for Personal Identity Verification
[R]
SP800-73-2 Interfaces to Personal Identity Verification
[R]
SP800-76-1 Biometric Data Specification for Personal Identity Verification
[F]
SP800-77
Guide to Ipsec VPNs
[F]
SP800-78-1 Cryptographic Algorithms and Key Sizes for Personal Identity Verification
[R]
SP800-79-1 Guidelines for Certification & Accreditation of PIV Card Issuing Organizations
[F]
SP800-80
Guide for Developing Performance Metrics for Information Security
[R]
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
09/2007
10/2001
01/2004
11/2001
02/2001
12/2001
06/2002
10/2003
10/2003
04/2004
08/2008
12/2001
12/2001
05/2004
04/2006
04/2008
09/2002
11/2005
01/2002
07/2008
10/2003
11/2002
09/2007
02/2007
11/2002
09/2002
08/2008
11/2002
03/2003
09/2002
09/2004
11/2007
12/2007
07/2007
09/2007
05/2006
08/2005
08/2005
03/2005
08/2003
06/2004
11/2007
03/2008
02/2008
03/2008
01/2005
05/2008
06/2008
10/2005
07/2008
08/2006
05/2005
09/2008
11/2004
10/2007
03/2008
01/2007
12/2005
07/2006
06/2008
05/2006
Page 25/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
SP800-81
SP800-82
SP800-83
SP800-84
SP800-85B
SP800-86
SP800-87r1
SP800-88
SP800-89
SP800-90
SP800-92
SP800-94
SP800-95
SP800-96
SP800-97
SP800-98
SP800-100
SP800-101
SP800-103
SP800-104
SP800-106
SP800-107
SP800-108
SP800-110
SP800-111
SP800-113
SP800-114
SP800-115
SP800-116
SP800-121
SP800-123
SP800-124
Secure Domain Name System (DNS) Deployment Guide
[D]
Guide to SCADA and Industrial Control Systems Security
[R]
Guide to Malware Incident Prevention and Handling
[F]
Guide to Single-Organization IT Exercises
[R]
PIV Middleware and PIV Card Application Conformance Test Guidelines
[F]
Computer, Network Data Analysis: Forensic Techniques to Incident Response
[F]
Codes for the Identification of Federal and Federally-Assisted Organizations
[F]
Guidelines for Media Sanitization
[M]
Recommendation for Obtaining Assurances for Digital Signature Applications
[F]
Random Number Generation Using Deterministic Random Bit Generators
[F]
Guide to Computer Security Log Management
[R]
Guide to Intrusion Detection and Prevention (IDP) Systems
[F]
Guide to Secure Web Services
[F]
PIV Card / Reader Interoperability Guidelines
[M]
Guide to IEEE 802.11i: Robust Security Networks
[F]
Guidance for Securing Radio Frequency Identification (RFID) Systems
[F]
Information Security Handbook: A Guide for Managers
[M]
Guidelines on Cell Phone Forensics
[F]
An Ontology of Identity Credentials, Part I: Background and Formulation
[R]
A Scheme for PIV Visual Card Topography
[F]
Randomized Hashing Digital Signatures
[R]
Recommendation for Using Approved Hash Algorithms
[R]
Recommendation for Key Derivation Using Pseudorandom Functions
[R]
Information System Security Reference Data Model
[R]
Guide to Storage Encryption Technologies for End User Devices
[R]
Guide to SSL VPNs
[F]
User’s Guide to Securing External Devices for Telework and Remote Access
[F]
Technical Guide to Information Security Testing
[R]
A Recommendation for the Use of PIV Credentials in Physical Access Control Systems [R]
Guide to Bluetooth Security
[R]
Guide to General Server Security
[F]
Guidelines on Cell Phone and PDA Security
[R]
[F] Finalisé
[R] Pour commentaire et relecture
[*] Récemment finalisé
[D] En cours de développement
ƒ Complément d’information
http://csrc.nist.gov/publications/PubsSPs.html
http://csrc.nist.gov/publications/drafts/800-70-rev1/Draft-SP800-70-r1.pdf
http://csrc.nist.gov/publications/drafts/800-116/SP800-116-2nd-draft-v2.pdf
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
05/2006
09/2007
11/2005
08/2005
07/2006
08/2006
04/2008
08/2006
11/2006
06/2006
04/2006
02/2007
08/2007
07/2006
02/2007
04/2007
03/2007
05/2007
09/2006
06/2007
08/2008
07/2008
05/2008
09/2007
11/2007
07/2008
11/2007
11/2007
09/2008
07/2008
07/2008
07/2008
[M] Mise à jour
- Catalogue des publications
- SP800-70r1 - Draft
- SP800-116 – Second Draft
Page 26/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
L
LO
OG
LIIB
GIIC
BR
RE
CIIE
ES
S
EL
LS
SL
LES SERVICES DE BASE
Les dernières versions des services de base sont rappelées dans les tableaux suivants. Nous conseillons
d’assurer rapidement la mise à jour de ces versions, après qualification préalable sur une plate-forme
dédiée.
RESEAU
Nom
Fonction
BIND
DHCP
NTP4
OpenNTPD
Gestion de Nom (DNS) 9.5.0p2
Serveur d’adresse
4.0.0
Serveur de temps
4.2.4
Serveur de temps
4.3
Ver.
Date
Source
09/07/08
19/12/07
10/09/07
01/05/08
http://www.isc.org/
http://www.isc.org/
http://ntp.isc.org/bin/view/Main/SoftwareDownloads
http://www.openntpd.org/
MESSAGERIE
Nom
Fonction
Ver.
Date
Source
IMAP4
POP3
POPA3D
SENDMAIL
Relevé courrier
Relevé courrier
Relevé courrier
Serveur de courrier
2007b
4.0.14
1.0.2
8.14.3
28/03/08
27/06/08
23/05/06
03/05/08
ftp://ftp.cac.washington.edu/imap/
ftp://ftp.qualcomm.com/eudora/servers/unix/popper/
http://www.openwall.com/popa3d/
http://www.sendmail.org/
Nom
Fonction
Ver.
APACHE
Serveur WEB
WEB
ModSSL
MySQL
SQUID
Date
Source
1.3.41
2.0.63
2.2.9
API SSL Apache 1.3.41 2.8.31
Base SQL
5.1.29
6.0.6
Cache WEB
2.7s4
3.0s9
19/01/08
19/01/08
13/06/08
08/02/08
28/08/08
11/08/08
08/08/08
9/09/08
http://httpd.apache.org/dist
Fonction
Ver.
Date
Source
Gestion de l’identité
Gestion des news
Gestion de certificats
Gestion de l’annuaire
Gestion de fichiers
Anonymat
2.1.1
2.4.5
0.9.3rc1
2.4.11
3.2.4
0.2.0.30
25/09/08
10/07/08
10/10/06
17/07/08
18/09/08
28/06/08
http://www.freeradius.org/
http://www.isc.org/
http://pki.openca.org/projects/openca/downloads.shtml
ftp://ftp.openldap.org/pub/OpenLDAP/openldap-release/
http://us1.samba.org/samba/
http://tor.eff.org/download.html
http://www.modssl.org
http://dev.mysql.com/doc/refman/5.1/en/news.html
http://dev.mysql.com/doc/refman/6.0/en/news.html
http://www.squid-cache.org/Versions/
AUTRE
Nom
FreeRadius
INN
OpenCA
OpenLDAP
Samba
Tor
LES OUTILS
Une liste, non exhaustive, des produits et logiciels de sécurité du domaine public est proposée dans les
tableaux suivants.
LANGAGES
Nom
Fonction
Ver.
Date
Source
Perl
Python
Ruby
PHP
Scripting
Scripting
Scripting
WEB Dynamique
5.8.8
2.5.2
1.8.7p72
5.2.6
10/02/06
22/02/08
11/09/08
01/05/08
http://www.cpan.org/src/README.html
http://www.python.org/download/
http://www.ruby-lang.org/en/downloads/
http://www.php.net/downloads.php
ANALYSE RESEAU
Nom
Dsniff
EtterCap
Nstreams
TcpDump
Libpcap
TcpFlow
WinPCap
Wireshark
Fonction
Ver.
Date
Source
Boîte à outils
Analyse & Modification
Générateur de règles
Analyse multiprotocole
Acquisition Trame
Collecte données
Acquisition Trame
Analyse multiprotocole
2.3
0.7.3
1.0.3
3.9.8
0.9.8
0.21
4.1b4
1.1.0
17/12/00
29/05/05
06/08/02
25/09/07
25/09/07
07/08/03
27/05/08
14/09/08
http://www.monkey.org/~dugsong/dsniff
http://ettercap.sourceforge.net/index.php?s=history
http://www.hsc.fr/ressources/outils/nstreams/download/
http://www.tcpdump.org/
http://www.tcpdump.org/
http://www.circlemud.org/~jelson/software/tcpflow/
http://www.winpcap.org/news.htm
http://www.wireshark.org/
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 27/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
ANALYSE DE JOURNAUX
Nom
Fonction
Ver.
Date
Source
Analog
AWStats
fwLogWatch
OSSIM
SnortSnarf
WebAlizer
Journaux serveur http
Analyse log
Analyse log
Console de gestion
Analyse Snort
Journaux serveur http
6.00
6.8
1.1
0.9.9
050314.1
2.20-01
19/12/04
20/07/08
17/04/06
22/02/08
05/03/05
12/07/08
http://www.analog.cx
http://awstats.sourceforge.net/
http://cert.uni-stuttgart.de/projects/fwlogwatch/
http://www.ossim.net/
http://www.snort.org/dl/contrib/data_analysis/snortsnarf/
http://www.mrunix.net/webalizer/download.html
ANALYSE DE SECURITE
Nom
Fonction
Ver.
Date
Source
BackTrack
curl
FIRE
Nessus
Boîte à outils
Analyse http et https
Boîte à outils
Vulnérabilité réseau
Helix
Nikto
nmap
Saint
Sara
Wikto
Whisker
Boîte à outils
Analyse http et https
Vulnérabilité réseau
Vulnérabilité réseau
Vulnérabilité réseau
Analyse http et https
LibWhisker
3.0
7.19.0
0.4a
2.2.11
3.2.1
1.9a
2.03
4.76
6.8.3
7.8.3
2.0.2924
2.4
18/06/08
01/09/08
14/05/03
27/07/07
12/06/08
13/07/07
04/09/08
12/09/08
29/09/08
01/09/08
03/01/08
03/07
http://www.remote-exploit.org/backtrack_download.html
http://curl.haxx.se/
http://sourceforge.net/projects/biatchux/
http://www.nessus.org/download/
http://www.nessus.org/download/
http://www.e-fense.com/helix/
http://www.cirt.net/nikto/
http://www.insecure.org/nmap/nmap_changelog.html
http://www.saintcorporation.com/resources/updates.html
http://www-arc.com/sara/
http://www.sensepost.com/research/wikto/
http://www.wiretrip.net/rfp/lw.asp
CONFIDENTIALITE
Nom
Fonction
Ver.
Date
Source
GPG
GPG4Win
GPG S/MIME
LibGCrypt
Signature/Chiffrement
Signature/Chiffrement
Signature/Chiffrement
Signature/Chiffrement
2.0.8
1.0.6
1.9.20
1.2.3
20/12/07
29/08/06
20/12/05
29/08/06
http://www.gnupg.org/news.en.html
http://www.gnupg.org/news.en.html
http://www.gnupg.org/news.en.html
http://www.gnupg.org/news.en.html
CONTROLE D’ACCES RESEAU
Nom
Fonction
Ver.
Date
Source
Xinetd
Inetd amélioré
2.3.14
24/10/05
http://www.xinetd.org/
CONTROLE D’INTEGRITE
Nom
Fonction
Ver.
Date
Source
RootKit hunt
ChkRootKit
RKRevealer
Compromission UNIX
Compromission UNIX
Compromission WIN
1.3.2
0.48
1.71
18/03/08
17/12/07
01/11/06
http://www.rootkit.nl/projects/rootkit_hunter.html
http://www.chkrootkit.org/
http://www.microsoft.com/technet/sysinternals/default.mspx
DETECTION D’INTRUSION
Nom
P0f
Snort
Fonction
Ver.
Date
Source
Identification passive
IDS Réseau
2.0.8
2.8.3
06/09/06
04/09/08
http://lcamtuf.coredump.cx/p0f.shtml
http://www.snort.org/dl/
GENERATEURS DE TEST
Nom
NetDude &all
Scapy
Fonction
Ver.
Date
Source
Rejeu de paquets
Génération de paquet
0.5.0
2.0.09
01/09/08
12/09/08
http://netdude.sourceforge.net/download.html
http://hg.secdev.org/scapy/
PARE-FEUX
Nom
Fonction
Ver.
Date
Source
IpFilter
NetFilter
Filtre datagramme
Pare-Feu IpTables
4.1.30
1.4.2.rc1
07/08
23/07/08
http://coombs.anu.edu.au/ipfilter/ip-filter.html
http://www.netfilter.org/projects/iptables/downloads.html
Fonction
Ver.
Date
Source
Pile SSL
Pile SSH 1 et 2
Pile IPSec
Terminal SSH2
Proxy https
Tunnel TCP/UDP
0.9.8i
5.1
2.6.16
0.60
4.26
2.4.1a
15/09/08
21/07/08
18/08/07
30/04/07
20/09/08
06/09/05
http://www.openssl.org/
http://www.openssh.com/
http://www.openswan.org/code/
http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
http://www.stunnel.org
http://www.winton.org.uk/zebedee/
TUNNELS
Nom
OpenSSL
OpenSSH
OpenSwan
PuTTY
Stunnel
Zebedee
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 28/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
N
NO
OR
STTA
RM
AN
ME
ND
ES
DA
SE
AR
RD
ET
DS
TS
S
LES PUBLICATIONS DE L’IETF
LES RFC
Du 30/08/2008 au 29/09/2008, 24 RFC ont été publiés dont 3 RFC ayant trait à la sécurité.
RFC TRAITANT DE LA SÉCURITÉ
Thème
Num Date Etat Titre
KERB
LTP
MIB
5349
5327
5324
09/08 Inf
09/08 Exp
09/08 Pst
Support for Public Key Cryptography for Initial Authentication in Kerberos (PKINIT)
Licklider Transmission Protocol - Security Extensions
MIB for Fibre-Channel Security Protocols (FC-SP)
RFC TRAITANT DE DOMAINES CONNEXES A LA SECURITE
Thème
Num Date Etat Titre
HOSTID
5338
09/08 Exp
Using the Host Identity Protocol with Legacy Applications
AUTRES RFC
Thème
Num Date Etat Titre
IANA
5341
5342
5350
5286
5325
5326
5339
5334
5329
5262
5261
5264
5196
5263
5335
5336
5337
5343
5348
5328
IP
LTP
MPLS
OGG
OSPF
PIDF
POF
PRES
SIP
SMTP
SNMP
TCP
URN
09/08 Pst
09/08 BCP
09/08 Pst
09/08 Pst
09/08 Inf
09/08 Exp
09/08 Inf
09/08 Pst
09/08 Pst
09/08 Pst
09/08 Pst
09/08 Pst
09/08 Pst
09/08 Pst
09/08 Exp
09/08 Exp
09/08 Exp
09/08 Pst
09/08 Pst
09/08 Inf
The IANA tel Uniform Resource Identifier (URI) Parameter Registry
IANA Considerations and IETF Protocol Usage for IEEE 802 Parameters
IANA Considerations for the IPv4 and IPv6 Router Alert Options
Basic Specification for IP Fast Reroute: Loop-Free Alternates
Licklider Transmission Protocol - Motivation
Licklider Transmission Protocol - Specification
Evaluation of Existing GMPLS Protocols against Multi-Layer and Multi-Region Networks (MLN/MRN)
Ogg Media Types
Traffic Engineering Extensions to OSPF Version 3
Presence Information Data Format (PIDF) Extension for Partial Presence
An Extensible Markup Language (XML) Patch Operations Framework Utilizing XPath Selectors
Publication of Partial Presence Information
SIP User Agent Capability Extension to Presence Information Data Format (PIDF)
Session Initiation Protocol (SIP) Extension for Partial Notification of Presence Information
Internationalized Email Headers
SMTP Extension for Internationalized Email Addresses
Internationalized Delivery Status and Disposition Notifications
Simple Network Management Protocol (SNMP) Context EngineID Discovery
TCP Friendly Rate Control (TFRC): Protocol Specification
A Uniform Resource Name (URN) Namespace for the Digital Video Broadcasting Project (DVB)
LES DRAFTS
Du 30/08/2008au 29/09/2008, 164 drafts ont été publiés : 128 drafts mis à jour, 36
nouveaux drafts, dont 3 drafts ayant directement trait à la sécurité.
NOUVEAUX DRAFTS TRAITANT DE LA SECURITE
Thème
Nom du Draft
Date Titre
SASL
SEND
SSH
draft-ietf-sasl-4422bis-00
draft-ietf-csi-hash-threat-00
draft-igoe-secsh-suiteb-00
31/08 Simple Authentication and Security Layer (SASL)
10/09 SeND Hash Threat Analysis
11/09 Suite B Cryptographic Suites for Secure Shell
MISE A JOUR DE DRAFTS TRAITANT DE LA SECURITE
Thème
Nom du Draft
Date Titre
CAMELLIA
CAPWAP
EAP
GSSAPI
HTTPBIS
IPV4
KERB
draft-kato-camellia-ctrccm-04
draft-ietf-capwap-threat-analysis-04
draft-arkko-eap-aka-kdf-05
draft-ietf-kitten-gssapi-channel-bindings-05
draft-ietf-httpbis-p7-auth-04
draft-gont-opsec-ip-security-01
draft-ietf-krb-wg-anon-09
draft-lha-krb-wg-ticket-extensions-02
draft-ietf-pkix-ecc-subpubkeyinfo-08
draft-ietf-sidr-res-certs-13
draft-ietf-sidr-rpki-manifests-03
16/09 Camellia Counter mode and Counter with CBC Mac mode alg.
10/09 CAPWAP Threat Analysis for IEEE 802.11 Deployments
12/09 EAP Method for 3rd Generation Authentication and Key Agreement
23/09 Clarifications & Ext. to GSS-API for the Use of Channel Bindings
29/08 HTTP/1.1, part 7: Authentication
31/08 Security Assessment of the Internet Protocol version 4
10/09 Anonymity Support for Kerberos
14/09 Kerberos ticket extensions
22/09 Elliptic Curve Cryptography Subject Public Key Information
18/09 A Profile for X.509 PKIX Resource Certificates
23/09 Manifests for the Resource Public Key Infrastructure
PKIX
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 29/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
RADIUS
SENDER
SIP
SMIME
SRTP
TLS
draft-zorn-radius-encattr-14
draft-kucherawy-sender-auth-header-16
draft-munakata-sip-privacy-guideline-04
draft-ietf-smime-sha2-08
draft-ietf-smime-3850bis-07
draft-ietf-avt-dtls-srtp-05
draft-ietf-avt-seed-srtp-05
draft-zimmermann-avt-zrtp-09
draft-rescorla-tls-suiteb-06
draft-ietf-tls-extractor-02
draft-ietf-tls-psk-new-mac-aes-gcm-03
29/08 Transmitting Confidential Data in RADIUS
23/09 Message Header Field for Indicating Message Auth. Status
25/09 Guidelines for Using the Privacy Mechanism for SIP
26/09 Using SHA2 Algorithms with Cryptographic Message Syntax
26/09 S/MIME Version 3.2 Certificate Handling
11/09 DTLS Extension to Establish Keys for SRTP
18/09 The SEED Cipher Algorithm and Its Use with SRTP
28/09 ZRTP: Media Path Key Agreement for Secure RTP
17/09 Suite B Cipher Suites for TLS
11/09 Keying Material Extractors for Transport Layer Security (TLS)
25/09 Pre-Shared Key Cipher Suites with SHA-256/384 & AES GCM
DRAFTS TRAITANT DE DOMAINES CONNEXES A LA SECURITE
Thème
Nom du Draft
ANTISPAM draft-turner-antispam-using-messageid-01
DCCP
draft-ietf-behave-dccp-02
DIAMETER draft-ietf-dime-mip6-split-12
draft-korhonen-dime-pmip6-04
GSSAPI
draft-lha-gssapi-delegate-policy-01
IPV6
draft-deng-multimob-pmip6-requirement-00
MPLS
draft-ietf-bmwg-mpls-forwarding-meth-00
draft-ietf-mpls-lsp-ping-enhanced-dsmap-01
MSFD
draft-ietf-mipshop-mstp-solution-07
NETLMM
draft-ietf-netlmm-pmip6-ipv4-support-05
draft-ietf-netlmm-pmipv6-heartbeat-00
RADIUS
draft-tiwari-radext-tunnel-type-02
SIP
draft-ietf-sipping-nat-scenarios-09
Date Titre
27/09 Spam reduction using messageid.
11/09 NAT Behavioral Requirements for DCCP
23/09 Support for Home Agent to Diameter Server Interaction
15/09 Support For Mobile Access Gateway and Local Mobility Anchor
23/09 GSS-API: Delegate if approved by policy
16/09 Multicast Support Requirements for Proxy Mobile IPv6
15/09 MPLS Forwarding Benchmarking Methodology
21/09 Mechanism for performing LSP-Ping over MPLS tunnels
24/09 Mobility Services Framework Design (MSFD)
23/09 IPv4 Support for Proxy Mobile IPv6
14/09 Heartbeat Mechanism for Proxy Mobile IPv6
29/08 New Tunnel-Type Values
17/09 Best Current Practices for NAT Traversal for Client-Server SIP
AUTRES DRAFTS
Thème
Nom du Draft
Date Titre
3-PCN
6MAN
AS
AVT
BEHAVE
CALDAV
CAPWAP
draft-geib-baseline-encoding-3state-00
draft-ietf-6man-overlap-fragment-00
draft-huston-as-documentation-reservation-00
draft-lakaniemi-avt-rtp-evbr-03
draft-baker-behave-ivi-01
draft-desruisseaux-caldav-sched-05
draft-ietf-capwap-protocol-specification-13
draft-ietf-capwap-protocol-binding-ieee…10
draft-ietf-dccp-serv-codes-07
draft-ietf-dccp-simul-open-03
draft-ietf-dhc-relay-id-suboption-02
draft-bajko-v6ops-port-restricted-ipaddr-…-00
draft-ietf-dkim-ssp-06
draft-cheshire-dnsext-multicastdns-07
draft-cheshire-dnsext-nbp-06
draft-cheshire-dnsext-dns-sd-05
draft-barwood-dnsext-fr-resolver-mitig…-02
draft-irtf-dtnrg-bundle-previous-hop-block-04
draft-irtf-dtnrg-bundle-metadata-block-00
draft-ietf-fecframe-dvb-al-fec-00
draft-ietf-eai-downgrade-09
draft-young-esds-concepts-04
draft-thompson-esds-commands-04
draft-thompson-esds-schema-04
draft-begen-fecframe-1d2d-parity-scheme-01
draft-ietf-forces-model-15
draft-ietf-forces-protocol-17
draft-ietf-forces-mib-10
draft-rosenau-ftp-single-port-05
draft-peterson-streamlined-ftp-command…06
draft-ietf-geopriv-pdif-lo-profile-13
draft-ietf-httpbis-p1-messaging-04
draft-ietf-httpbis-p2-semantics-04
draft-ietf-httpbis-p3-payload-04
draft-ietf-httpbis-p4-conditional-04
draft-ietf-httpbis-p5-range-04
draft-ietf-httpbis-p6-cache-04
draft-ietf-httpbis-method-registrations-00
draft-vyncke-http-server-64aware-00
draft-ietf-opsec-icmp-filtering-00
draft-ietf-idnabis-rationale-02
draft-ietf-idnabis-protocol-05
draft-ietf-idr-as-representation-01
draft-francis-idr-intra-va-01
19/09 Signaling 3 PCN states with baseline encoding
22/09 Handling of overlapping IPv6 fragments
10/09 AS Number Reservation for Documentation Use
28/09 RTP payload format for G.718 speech/audio
16/09 IVI Update to SIIT and NAT-PT
19/09 CalDAV Scheduling Extensions to WebDAV
22/09 CAPWAP Protocol Specification
26/09 CAPWAP Protocol Binding for IEEE 802.11
19/09 The DCCP Service Code
26/09 Simultaneous-Open Tech. to Facilitate NAT/Middlebox Traversal
19/09 The DHCPv4 Relay Agent Identifier Suboption
24/09 DHCP Options for Port Restricted IP Address Assignment
19/09 DKIM Author Domain Signing Practices (ADSP)
11/09 Multicast DNS
11/09 Requirements for Replacing AppleTalk
11/09 DNS-Based Service Discovery
28/09 Resolver side mitigations
15/09 Delay-Tolerant Networking Previous Hop Insertion Block
15/09 Delay-Tolerant Networking Metadata Extension Block
29/08 DVB Application-Layer Hybrid FEC Protection
16/09 Downgrading mechanism for Email Address Internationalization
29/08 Extensible Supply-chain Discovery Service Concepts
29/08 Extensible Supply-chain Discovery Service Commands
29/08 Extensible Supply-chain Discovery Service Schema
11/09 RTP Payload Format for Non-Interleaved & Interleaved Parity FEC
11/09 ForCES Forwarding Element Model
25/09 ForCES Protocol Specification
10/09 ForCES MIB
18/09 FTP EXTENSION ALLOWING IP FORWARDING (NATs)
29/08 Streamlined FTP Command Extensions
17/09 PIDF-LO Usage Clarification, Considerations, Recommendations
29/08 HTTP/1.1, part 1: URIs, Connections, and Message Parsing
29/08 HTTP/1.1, part 2: Message Semantics
29/08 HTTP/1.1, part 3: Message Payload and Content Negotiation
29/08 HTTP/1.1, part 4: Conditional Requests
29/08 HTTP/1.1, part 5: Range Requests and Partial Responses
29/08 HTTP/1.1, part 6: Caching
29/08 Initial Hypertext Transfer Protocol (HTTP) Method Registrations
17/09 IPv6 Connectivity Check and Redirection by HTTP Servers
31/08 Recommendations for filtering ICMP messages
12/09 IDNA: Definitions, Background and Rationale
26/09 Internationalized Domain Names in Applications (IDNA): Protocol
22/09 Textual Representation of AS Numbers
15/09 FIB Suppression with Virtual Aggregation and Default Routes
DCCP
DHCP
DKIM
DNS
DTNRG
DVB
EAI
ESDS
FEC
FORCES
FTP
GEOPRIV
HTTP
ICMP
IDNA
IDR
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 30/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
draft-pmohapat-idr-fast-conn-restore-00
draft-hoffman-utf8-rfcs-02
draft-irtf-iccrg-cc-rfcs-06
draft-rfc-image-files-01
draft-jaeggli-ietf-streaming-media-status-00
IMAP
draft-melnikov-imapext-filters-06
draft-newman-imap-decaf-00
IP
draft-ietf-mipshop-mos-dns-discovery-02
draft-iab-ip-config-07
draft-sarikaya-mext-bu-prefixdelegation-00
IPFIX
draft-ietf-ipfix-mediators-problem-stat…-01
IPV4
draft-ietf-mip4-nemov4-dynamic-02
draft-arkko-townsley-coexistence-00
IPV6
draft-krishnan-ipv6-exthdr-04
draft-ietf-v6ops-addcon-10
draft-ietf-v6ops-ra-guard-01
IRTF
draft-irtf-rfcs-03
KERB
draft-ietf-krb-wg-otp-preauth-08
LDP
draft-delord-jounay-pwe3-ldp-aii-reach…-02
LEMONAD draft-ietf-lemonade-streaming-07
LTRU
draft-ietf-ltru-4646bis-17
MANAGES draft-martin-managesieve-12
MANET
draft-ietf-manet-packetbb-16
draft-ietf-manet-timetlv-08
MBONED
draft-ietf-mboned-ssmping-05
METALINK draft-bryan-metalink-03
MIB
draft-ietf-magma-mgmd-mib-12
MPLS
draft-ietf-ccamp-pc-and-sc-reqs-06
draft-ietf-ccamp-rwa-info-00
draft-ietf-mpls-soft-preemption-13
draft-ietf-mpls-p2mp-lsp-ping-07
draft-ietf-mpls-ldp-end-of-lib-01
draft-ietf-mpls-gmpls-lsp-reroute-02
NAT
draft-bagnulo-behave-nat64-01
draft-wing-nat-pt-replacement-comparison-01
NETCONF draft-ietf-netmod-yang-01
NFS
draft-ietf-nfsv4-federated-fs-dns-srv-…-00
draft-ietf-nfsv4-federated-fs-admin-00
draft-ietf-nfsv4-federated-fs-reqts-00
draft-ietf-nfsv4-federated-fs-protocol-00
NINA
draft-thubert-nina-03
NMRG
draft-irtf-nmrg-snmp-measure-06
OLSR
draft-dearlove-olsrv2-metrics-03
OSPF
draft-acee-ospf-multi-instance-02
draft-acee-ospf-transport-instance-01
draft-ogier-ospf-manet-mdr-or-comparison-00
draft-ogier-ospf-manet-mdr-mpr-comp…-00
draft-ietf-ospf-manet-or-01
PCE
draft-lee-pce-ted-alternatives-00
PCN
draft-ietf-pcn-architecture-06
PSAMP
draft-ietf-psamp-info-10
PWE3
draft-ietf-pwe3-ms-pw-arch-05
RBNF
draft-farrel-rtg-common-bnf-05
RE
draft-briscoe-re-pcn-border-cheat-02
RFC3920 draft-saintandre-rfc3920bis-07
RMT
draft-ietf-rmt-flute-revised-06
ROLL
draft-vasseur-roll-terminology-01
draft-ietf-roll-home-routing-reqs-03
draft-ietf-roll-protocols-survey-01
RSVP
draft-rhodes-ccamp-rsvp-recovery-fix-00
RTP
draft-ietf-avt-rtp-howto-05
draft-ietf-avt-rtp-svc-14
draft-ietf-avt-rfc4749-dtx-update-02
draft-ietf-avt-rtp-g719-02
draft-ietf-fecframe-interleaved-fec-scheme-00
draft-schmidt-avt-rfc3016bis-00
SAM
draft-despres-sam-scenarios-00
SDP
draft-ietf-mmusic-decoding-dependency-03
draft-johansson-mmusic-image-attributes-02
SIEVE
draft-ietf-sieve-mime-loop-06
SIMPLE
draft-blau-simple-msrp-acm-01
SIP
draft-ietf-bliss-shared-appearances-00
draft-saklikar-comm-diversion-notification-00
draft-patel-ecrit-sos-parameter-00
draft-ietf-sipping-update-pai-06
SMIME
draft-ietf-smime-3851bis-06
SOFTWIR draft-ietf-softwire-mesh-framework-05
IETF
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
27/09 Fast Connectivity Restoration Using BGP Add-path
26/09 Using non-ASCII Characters in RFCs
22/09 Congestion Control in the RFC Series
25/09 Images in RFCs
17/09 IETF Streaming Media, Current Status
22/09 IMAP4 extension for named searches (filters)
16/09 Decrypted Content Attachment Flag for IMAP
22/09 Locating Mobility Servers using DNS
18/09 Principles of Internet Host Configuration
15/09 BU/BA Based Prefix Delegation Support for Mobile Networks
26/09 IPFIX Mediation: Problem Statement
29/08 Dynamic Prefix Allocation for NEMOv4
19/09 IPv4 Run-Out and IPv4-IPv6 Co-Existence Scenarios
24/09 An uniform format for IPv6 extension headers
22/09 IPv6 Unicast Address Assignment Considerations
10/09 IPv6 RA-Guard
22/09 Definition of an IRTF Document Stream
15/09 OTP Pre-authentication
22/09 LDP extension for AII reachability
26/09 Streaming Internet Messaging Attachments
17/09 Tags for Identifying Languages
13/09 A Protocol for Remotely Managing Sieve Scripts
26/09 Generalized MANET Packet/Message Format
26/09 Representing multi-value time in MANETs
18/09 Multicast Ping Protocol
18/09 The Metalink Download Description Format
16/09 Multicast Group Membership Discovery MIB
15/09 Conversion Between Permanent & Switched Connections
29/08 Routing and Wavelength Assignment Information Model
22/09 MPLS Traffic Engineering Soft Preemption
10/09 Detecting Data Plane Failures in Point-to-Multipoint MPLS
15/09 LDP End-of-LIB
19/09 PathErr Message Triggered MPLS and GMPLS LSP Reroute
19/09 NAT Translation from IPv6 Clients to IPv4 Servers
26/09 A Comparison of Proposals to Replace NAT-PT
29/08 YANG - A data modeling language for NETCONF
26/09 Using DNS SRV to Specify a Global File Name Space with NFS V4
26/09 Administration Protocol for Federated Filesystems
26/09 Requirements for Federated File Systems
26/09 NSDB Protocol for Federated Filesystems
12/09 Network In Node Advertisement
16/09 SNMP Traffic Measurements and Trace Exchange Formats
16/09 Link Metrics for OLSRv2
21/09 OSPF Multi-Instance Extensions
25/09 OSPF Transport Instance Extensions
22/09 Comparison of OSPF-MDR and OSPF-OR
22/09 Comparison of OSPF-MDR and OSPF-MPR
21/09 Extensions to OSPF to Support Mobile Ad Hoc Networking
26/09 Alternative Approaches to Traffic Engineering Database Creation
10/09 Pre-Congestion Notification (PCN) Architecture
11/09 Information Model for Packet Sampling Exports
25/09 An Architecture for Multi-Segment Pseudowire Emulation E2E
12/09 RBNF: A Syntax Used in Various Protocol Specifications
13/09 Emulating Border Flow Policing using Re-PCN on Bulk Data
18/09 Extensible Messaging and Presence Protocol (XMPP): Core
25/09 FLUTE - File Delivery over Unidirectional Transport
13/09 Terminology in Low power And Lossy Networks
11/09 Home Automation Routing Requirement in Low Power & Lossy Net
26/09 Overview of Existing Routing Protocols for Low Power & Lossy Net
24/09 RSVP-TE Recovery Signaling Fixes
11/09 How to Write an RTP Payload Format
26/09 RTP Payload Format for SVC Video
26/09 G.729.1 RTP Payload Format update: DTX support
17/09 RTP Payload format for G.719
29/08 RTP Payload Format for 1-D Interleaved Parity FEC
19/09 RTP Payload Format for MPEG-4 Audio/Visual Streams
28/09 IPv4-IPv6 Coexistence Scenarios
25/09 Signaling media decoding dependency in SDP
19/09 Negotiation of Generic Image Attributes in SDP
12/09 Sieve Email Filtering
12/09 An Alternative Connection Model for MSRP
25/09 Shared Appearances of a SIP Address of Record (AOR)
10/09 A SIP Event Package for Communication Diversion Information
12/09 Marking of SIP requests related to emergency services
23/09 Updates to Asserted Identity in the Session Initiation Protocol
22/09 S/MIME Version 3.2 Message Specification
18/09 Softwire Mesh Framework
Page 31/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
TSVWG
uRPF
WEB
WEBDAV
draft-ietf-softwire-bgp-te-attribute-03
draft-ietf-tsvwg-port-randomization-02
draft-kumari-blackhole-urpf-01
draft-reschke-webdav-search-18
draft-reschke-webdav-post-00
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
10/09 BGP Traffic Engineering Attribute
31/08 Port Randomization
26/09 Remote Triggered Black Hole filtering with uRPF
30/08 Web Distributed Authoring and Versioning (WebDAV) SEARCH
22/09 Using POST to add to WebDAV Collections
Page 32/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
NOS COMMENTAIRES
LES RFC
RFC5246
The Transport Layer Security (TLS) Protocol Version 1.2
Edité par Eric Rescorla et Tim Dierks, ce document de standardisation spécifie la version 1.2 de la couche de
transport sécurisée – dite ‘TLS’ ou ‘Transport Layer Security’. Il remplace ainsi le document de spécification de la
V1.1 – le RFC4346 – publié en avril 2006, la version 1.0 ayant été spécifiée en Janvier 1999 dans le RFC2246.
Le positionnement de ce protocole vis-à-vis de son homologue SSL spécifié par la société Netscape est clairement
établi au chapitre ‘3. Goals of this document’ lequel indique que les spécifications de TLS 1.2 ont été calquées sur
celles de SSLv3 telles que publiées par Netscape. Cependant des différences existent qui peuvent conduire les
différentes versions de TLS et de SSLv3 à ne pas pouvoir interopérer bien que des mécanismes aient été
implémentés de part et d’autre pour se replier sur un mode compatible avec la version précédente.
Force est de constater que le sigle SSL désigne désormais aussi bien le protocole TLS que le protocole SSL. La
librairie GnuTLS implémente ainsi toutes les variations de ce qui pourrait parfaitement devenir un protocole de
transport sécurisé unifié, et le deviendra à terme avec l’abandon progressif de l’implémentation SSLv3 comme cela
est déjà le cas de la version SSLv2 considérée comme non sûre. La version GnuTLS 2.4.2 offre le support des
protocoles SSLv3, TLS1.0, TLS1.1 et TLS1.2, cette dernière version étant actuellement désactivée par défaut
quand le paquetage OpenSSL assure encore la compatibilité SSLv2, SSLv3 et TLS1.0.
La version 1.2 diffère principalement de la précédente par l’abandon des la combinaison des algorithmes MD5 et
SHA-1 dans toutes les fonctions et les suites cryptographiques l’utilisant. Obligation est désormais faite
d’implémenter à minima la suite cryptographique ‘TLS_RSA_WITH_AES_128_CBC_SHA’, les suites IDEA et DES
étant déclarées obsolètes.
La compatibilité avec l’annonce ‘HELLO’ du protocole SSLv2 n’est plus mandataire, la transmission d’une annonce
SSLv2 compatible étant désormais interdite. Enfin, les extensions spécifiées dans les RFC4366 ‘TLS Extensions
definition’ et RFC3268 ‘AES Cipher Suites’ ont été intégrées pour fournir un document de spécification unique et
autonome. Ces différences sont décrites en détail au chapitre ‘1.2. Major Differences from TLS 1.1’.
La table des matières de cette spécification de 102 pages est la suivante:
1. Introduction
2. Goals
3. Goals of This Document
4. Presentation Language
4.1. Basic Block Size
4.2. Miscellaneous
4.3. Vectors
4.4. Numbers
4.5. Enumerateds
4.6. Constructed Types
4.7. Cryptographic Attributes
4.8. Constants
5. HMAC and the Pseudorandom Function
6. The TLS Record Protocol
6.1. Connection States
6.2. Record Layer
6.3. Key Calculation
7. The TLS Handshaking Protocols
7.1. Change Cipher Spec Protocol
7.2. Alert Protocol
7.3. Handshake Protocol Overview
7.4. Handshake Protocol
8. Cryptographic Computations
8.1. Computing the Master Secret
9. Mandatory Cipher Suites
10. Application Data Protocol
11. Security Considerations
12. IANA Considerations
Appendix A. Protocol Data Structures and Constant Values
A.1. Record Layer
A.2. Change Cipher Specs Message
A.3. Alert Messages
A.4. Handshake Protocol
A.5. The Cipher Suite
A.6. The Security Parameters
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 33/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
A.7. Changes to RFC 4492
Appendix B. Glossary
Appendix C. Cipher Suite Definitions
Appendix D. Implementation Notes
D.1. Random Number Generation and Seeding
D.2. Certificates and Authentication
D.3. Cipher Suites
D.4. Implementation Pitfalls
Appendix E. Backward Compatibility
E.1. Compatibility with TLS 1.0/1.1 and SSL 3.0
E.2. Compatibility with SSL 2.0
E.3. Avoiding Man-in-the-Middle Version Rollback
Appendix F. Security Analysis
F.1. Handshake Protocol
F.2. Protecting Application Data
F.3. Explicit IVs
F.4. Security of Composite Cipher Modes
F.5. Denial of Service
F.6. Final Notes
Normative References
Informative References
Working Group Information
Contributors
ftp://ftp.isi.edu/in-notes/rfc5246.txt
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 34/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
A
ALLEER
ATTTTA
RT
AQ
TE
QU
ES
UE
SE
ES
S
ET
TA
ALERTES
GUIDE DE LECTURE
La lecture des avis publiés par les différents organismes de surveillance ou par les constructeurs n’est pas
toujours aisée. En effet, les informations publiées peuvent être non seulement redondantes mais aussi
transmises avec un retard conséquent par certains organismes. Dès lors, deux alternatives de mise en
forme de ces informations peuvent être envisagées :
o Publier une synthèse des avis transmis durant la période de veille, en classant ceux-ci en fonction de
l’origine de l’avis,
o Publier une synthèse des avis transmis en classant ceux-ci en fonction des cibles.
La seconde alternative, pour séduisante quelle soit, ne peut être raisonnablement mise en œuvre étant
donné l’actuelle diversité des systèmes impactés. En conséquence, nous nous proposons de maintenir une
synthèse des avis classée par organisme émetteur de l’avis.
Afin de faciliter la lecture de ceux-ci, nous proposons un guide de lecture sous la forme d’un synoptique
résumant les caractéristiques de chacune des sources d’information ainsi que les relations existant entre
ces sources. Seules les organismes, constructeurs ou éditeurs, disposant d’un service de notification officiel
et publiquement accessible sont représentés.
Avis Spécifiques
Constructeurs
Avis Généraux
Editeurs
Indépendants
Organismes
Réseaux
Systèmes
Systèmes
Editeurs
Hackers
Editeurs
Autres
US
Autres
Cisco
Apple
Linux
Microsoft
K-Otik
ISS
BugTraq
USCERT
Aus-CERT
Juniper
HP
FreeBSD
Netscape
3aPaPa
Symantec
@Stake
CIAC
Nortel
IBM
NetBSD
SGI
OpenBSD
SUN
SCO
Typologies des informations publiées
Publication de techniques et de programmes d’attaques
Détails des alertes, techniques et programmes
Synthèses générales, pointeurs sur les sites spécifiques
Notifications détaillées et correctifs techniques
L’analyse des avis peut être ainsi menée selon les trois stratégies suivantes :
o Recherche d’informations générales et de tendances :
Lecture des avis du CERT et du CIAC
o Maintenance des systèmes :
Lecture des avis constructeurs associés
o Compréhension et anticipation des menaces :
Lecture des avis des groupes indépendants
Aus-CERT
US-CERT
Cisco
Apple
Microsoft
BugTraq
K-Otik
ISS
NetBSD
Juniper
HP
Netscape
@Stake
3aРaPa
Symantec
OpenBSD
IBM
Xfree86
SGI
Linux
SUN
FreeBSD
CIAC
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 35/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
FORMAT DE LA PRESENTATION
Les alertes et informations sont présentées classées par sources puis par niveau de gravité sous la forme
de tableaux récapitulatifs constitués comme suit :
Présentation des Alertes
EDITEUR
TITRE
Description sommaire
Informations concernant la plate-forme impactée
Gravité
Date
Produit visé par la vulnérabilité
Description rapide de la source du problème
Correction
URL pointant sur la source la plus pertinente
Référence
Référence(s) CVE si définie(s)
Présentation des Informations
SOURCE
TITRE
Description sommaire
URL pointant sur la source d’information
Référence(s) CVE si définie(s)
SYNTHESE MENSUELLE
Le tableau suivant propose un récapitulatif du nombre d’avis publiés pour la période courante, l’année en
cours et l’année précédente. Ces informations sont mises à jour à la fin de chaque période de veille.
L’attention du lecteur est attirée sur le fait que certains avis sont repris et rediffusés par les différents
organismes. Ces chiffres ne sont donc représentatifs qu’en terme de tendance et d’évolution.
Période du 30/08/2008 au 29/09/2008
Organisme
US-CERT TA
US-CERT ST
CIAC
Constructeurs
Cisco
HP
IBM
SGI
Sun
Editeurs
BEA
Oracle
Macromedia
Microsoft
Novell
Unix libres
Linux RedHat
Linux Fedora
Linux Debian
Linux Mandr.
Linux SuSE
FreeBSD
Autres
iDefense
eEye
NGS Soft.
Période
32
2
2
28
46
14
4
2
0
26
9
0
0
2
4
3
78
12
24
10
24
5
3
3
2
0
1
Cumul
2008 2007
331
324
34
39
19
23
278
262
328
482
45
43
33
45
46
35
0
11
204
348
128
165
30
51
2
4
24
38
55
62
17
10
1 084 1 164
181
257
430
409
205
175
203
232
56
82
9
9
112
215
109
173
0
11
3
31
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Cumul 2008 - Constructeurs
Cumul 2007 - Constructeurs
Cisco
14%
Cisco
9%
HP
9%
HP
10%
Sun
62%
SGI
0%
IBM
14%
SGI
2%
Cumul 2007 - Editeurs
Cumul 20087 - Editeurs
Novell
13%
IBM
7%
Sun
73%
BEA
23%
Novell
6%
Microsoft
38%
Microsoft
43%
Oracle
Macromedia 2%
19%
BEA
31%
Macromedia
23%
Oracle
2%
Page 36/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
ALERTES DETAILLEES
AVIS OFFICIELS
Les tables suivantes présentent une synthèse des principales alertes de sécurité émises par un organisme
fiable, par l’éditeur du produit ou par le constructeur de l’équipement. Ces informations peuvent être
considérées comme fiables et authentifiées. En conséquence, les correctifs proposés, s’il y en a, doivent
immédiatement être appliqués.
ADOBE
Exécution de code dans 'Illustrator CS2'
Une faille dans 'Illustrator CS2' pour plate-forme Macintosh permet à un attaquant d'exécuter du code arbitraire.
Critique
16/09 Adobe 'Illustrator CS2'
Traitement des fichiers 'AI'
Non disponible
Aucun correctif
http://www.adobe.com/support/security/advisories/apsa08-07.html
Adobe
CVE-2008-3961
APPLE
Multiples failles dans le lecteur 'QuickTime'
De multiples failles dans le lecteur 'QuickTime' permettent d'exécuter du code arbitraire, entre autres choses.
Forte
09/09 Apple 'QuickTime' versions inférieures à 7.5.5
Erreur de conception, débordement de pile, débordement de tas, d'entier
Correctif existant Codecs
http://lists.apple.com/archives/security-announce//2008/Sep/msg00000.html
Apple
CVE-2008-3614, CVE-2008-3615, CVE-2008-3624, CVE-2008-3625, CVE-2008-3626, CVE-2008-3627, CVE-2008-3628, CVE-20083629, CVE-2008-3635
Multiples failles dans 'Mac OS X' et 'Mac OS X Server'
De multiples failles permettent d'exécuter du code et de provoquer des dénis de service, entre autres choses.
Forte
15/09 Apple 'Mac OS X' et Mac OS X Server' version 10.4.11 et 10.5 à 10.5.4
Débordement de tas, erreur de conception, déréférencement de pointeur
Correctif existant Composants divers
http://lists.apple.com/archives/security-announce/2008/Sep/msg00005.html
Apple
CVE-2008-2305, CVE-2008-2329, CVE-2008-2330, CVE-2008-2331, CVE-2008-2332, CVE-2008-3608, CVE-2008-3609, CVE-20083610, CVE-2008-3611, CVE-2008-3613
Exécution de code arbitraire dans 'iPod Touch'
De multiples failles permettent d'exécuter du code, et de mener des attaques de type "Spoofing".
Forte
10/09 Apple 'iPod Touch' versions inférieures à 2.1
Erreurs de conception, de traitement
Correctif existant Applications
http://lists.apple.com/archives/security-announce/2008/Sep/msg00003.html
Apple
CVE-2008-1447, CVE-2008-1806, CVE-2008-1807, CVE-2008-1808, CVE-2008-3612, CVE-2008-3631, CVE-2008-3632
Exécution de code arbitraire dans 'iTunes'
Un débordement d'entier permet à un utilisateur d'obtenir une élévation de privilèges et ainsi d'exécuter du code.
Moyenne 10/09 Apple 'iTunes' versions inférieures à 8.0
Débordement d'entier
Correctif existant Non disponible
http://lists.apple.com/archives/security-announce/2008/Sep/msg00001.html
Apple
CVE-2008-3636
Exécution de code via 'Java'
Deux failles dans 'Java' 'Mac OS X' et 'Mac OS X Server' permettent d'exécuter du code arbitraire.
Forte
24/09 Apple 'Mac OS X' et 'Mac OS X Server' version 10.4.11 et 10.5.4
Validation insuffisante des données, Erreur de conception
Correctif existant Fournisseur 'HMAC'
http://lists.apple.com/archives/security-announce/2008/Sep/msg00007.html
msg00008.html
Apple
CVE-2008-3637, CVE-2008-3638
Fausse impression de sécurité dans 'iTunes'
Une erreur d'avertissement dans 'iTunes' donne un faux sentiment de sécurité à l'utilisateur.
Forte
10/09 Apple 'iTunes' versions inférieures à 8.0
Erreur d'avertissement
Correctif existant Firewall
http://lists.apple.com/archives/security-announce/2008/Sep/msg00001.html
Apple
CVE-2008-3634
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 37/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
Multiples failles dans 'Bonjour for Windows'
Deux failles permettent de provoquer un déni de service ou d'usurper des informations.
Forte
09/09 Apple 'Bonjour for Windows' versions inférieures à 1.0.5
Déréférencement de pointeur NULL, Erreur de conception
Correctif existant Composant 'mDNSResponder'
http://lists.apple.com/archives/security-announce//2008/Sep/msg00002.html
Apple
CVE-2008-2326, CVE-2008-3630
CISCO
Déni de service dans 'Application Inspection Control'
Une erreur de traitement permet à un attaquant de provoquer un déni de service.
Forte
25/09 Cisco 'IOS' version 12.4(9)T
Erreur de traitement
Correctif existant Paquet HTTP malformé
http://www.cisco.com/en/US/products/products_security_advisory09186a0080a01545.shtml
Cisco
Déni de service dans 'Cisco Secure ACS'
Une faille dans 'Cisco Secure ACS' permet à un attaquant de provoquer un déni de service.
Forte
03/09 Cisco 'Cisco Secure ACS' versions 3.x à 4.2.x
Non disponible
Correctif existant Paquet 'EAP'
http://www.cisco.com/warp/public/707/cisco-sr-20080903-csacs.shtml
Cisco
CVE-2008-2441
Déni de service dans 'Inter-Process Communication'
Une erreur de traitement permet à un attaquant de provoquer un déni de service.
Forte
25/09 Cisco 'Cisco 10000', 'Cisco uBR10012', 'Cisco uBR7200'
Erreur de traitement
Correctif existant Paquet UDP
http://www.cisco.com/en/US/products/products_security_advisory09186a0080a014ae.shtml
Cisco
CVE-2008-3805
Déni de service dans 'IOS' ('multicast')
Deux failles dans Cisco 'IOS' permettent de provoquer des dénis de service à l'aide de paquets 'PIM' ('multicast').
Forte
24/09 Cisco 'IOS' versions 12.0 à 12.4
Non disponible
Correctif existant Traitement des paquets 'PIM'
http://www.cisco.com/warp/public/707/cisco-sa-20080924-multicast.shtml
Cisco
CVE-2008-3808, CVE-2008-3809
Déni de service dans 'IOS' ('SSL')
Une faille dans Cisco 'IOS' permet de provoquer un déni de service d'un équipement à l'aide d'un paquet 'SSL'.
Forte
24/09 Cisco 'IOS' version 12.4(16)MR, 12.4(16)MR1, 12.4(16)MR2, 12.4(17)
Erreur de conception
Correctif existant Traitement de paquets 'SSL'
http://www.cisco.com/warp/public/707/cisco-sa-20080924-ssl.shtml
Cisco
CVE-2008-3798
Déni de service dans 'Layer 2 Tunneling Protocol'
Une erreur de conception dans le protocole 'L2TP' permet à un attaquant de provoquer un déni de service.
Forte
25/09 Cisco 'IOS' version 12.2 et version 12.4
Erreur de conception
Correctif existant Démon 'mgmt'
http://www.cisco.com/en/US/products/products_security_advisory09186a0080a0157a.shtml
Cisco
CVE-2008-3813
Déni de service dans 'Multi Protocol Label Switching'
Une erreur de traitement permet à un attaquant de provoquer un déni de service.
Forte
25/09 Cisco 'IOS'
Correctif existant 'Multi Forwarding Infrastructure' Erreur de traitement
http://www.cisco.com/en/US/products/products_security_advisory09186a0080a014ac.shtml
Cisco
CVE-2008-3804
Déni de service dans Unified Communications Manager
Deux failles permettent de provoquer des dénis de service.
Forte
24/09 Se référer à l’avis original
Non disponible
Correctif existant Implémentation 'SIP'
http://www.cisco.com/warp/public/707/cisco-sa-20080924-cucm.shtml
Cisco
CVE-2008-3800, CVE-2008-3801
Déni de service de Cisco 'IOS' ('SCCP')
Une faille dans 'IOS' permet de provoquer un redémarrage d'un équipement à l'aide de paquets 'SCCP' fragmentés.
Forte
24/09 Cisco 'IOS' version 12.4
Non disponible
Correctif existant Messages 'SCCP'
http://www.cisco.com/warp/public/707/cisco-sa-20080924-sccp.shtml
Cisco
CVE-2008-3810, CVE-2008-3811
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 38/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
Déni de service de 'IOS' ('IPS')
Une faille non documentée dans la fonctionnalité 'IPS' de Cisco 'IOS' permet de provoquer un déni de service.
Forte
24/09 Cisco 'IOS' versions 12.3 à 12.4
Non disponible
Correctif existant Fonctionnalité 'IPS'
http://www.cisco.com/warp/public/707/cisco-sa-20080924-iosips.shtml
Cisco
CVE-2008-2739
Elévation de privilèges dans le protocole 'SNMP'
Une erreur de configuration permet à un attaquant d'obtenir une élévation de privilèges.
Forte
25/09 Cisco 'Cisco uBR10012'
Erreur de configuration
Correctif existant Routeur 'Cisco uBR10012'
http://www.cisco.com/en/US/products/products_security_advisory09186a0080a014b1.shtml
Cisco
CVE-2008-3807
Exposition d'informations dans 'MPLS VPN'
Une erreur de conception dans 'Multiprotocol Label Switching' (MPLS) 'Virtual Private Networks' (VPN) permet à un
attaquant d'obtenir des informations.
Forte
25/09 Cisco 'Cisco IOS' version 12.0S, version 12.2, version 12.3, version 12.4
Erreur de conception
Correctif existant Création de "virtual networks"
http://www.cisco.com/en/US/products/products_security_advisory09186a0080a014a9.shtml
Cisco
CVE-2008-3803
Multiples failles dans les produits 'ASA' et 'PIX'
Des failles permettent de provoquer un déni de service d'un produit vulnérable ou l'exposition d'informations.
Forte
03/09 Cisco 'ASA' versions 7.0(7)16 à 8.1(1)8 et 'PIX' versions 7.0(7)16 à 8.1(1)8
Non disponible
Correctif existant Se référer à l’avis original
http://www.cisco.com/warp/public/707/cisco-sa-20080903-asa.shtml
Cisco
CVE-2008-2732, CVE-2008-2733, CVE-2008-2734, CVE-2008-2735, CVE-2008-2736
DJANGO
"Cross-Site Request Forgery" dans 'Django'
Une erreur de conception permet à un attaquant de mener des attaques de type "Cross-Site Request Forgery".
Forte
10/09 django 'Django' version 0.91, version 0.95, version 0.96
Erreur de conception
Correctif existant Application d'administration
http://www.djangoproject.com/weblog/2008/sep/02/security/
Django
CVE-2008-3909
DRUPAL
Contournement de la sécurité dans 'Plugin Manager'
Une faille permet à un attaquant de contourner certains mécanismes de sécurité.
Forte
24/09 Drupal 'Plugin Manager' versions inférieures à 6.x-1.2
Non disponible
Correctif existant Non disponible
http://drupal.org/node/312898
Drupal
"Cross-Site Scripting" dans le module 'Simplenews'
Un manque de validation permet à un attaquant de mener des attaques de type "Cross-Site Scripting".
Forte
25/09 Drupal 'Simplenews' versions 5.x à 5.x-1.4, 'Simplenews' versions 6.x à 6.x-1.0-Beta 3
Manque de validation
Correctif existant Catégories 'Newsletter'
http://drupal.org/node/312944
Drupal
"Cross-Site Scripting" via le greffon 'Answers'
Un manque de validation permet de mener des attaques de type "Cross-Site Scripting".
Forte
18/09 Drupal 'Answers' toute versions
Non disponible
Validation insuffisante des données
Aucun correctif
http://drupal.org/node/310223
Drupal
"Cross-Site Scripting" via 'Link To Us'
Un manque de validation permet de mener des attaques de type "Cross-Site Scripting".
Forte
17/09 Drupal 'Link To Us' versions inférieures à 5.x-1.1
Validation insuffisante des données
Correctif existant Gestion du texte
http://drupal.org/node/309861
Drupal
"Cross-Site Scripting" via 'Mailsave'
Une faille dans le greffon 'Mailsave' pour Drupal permet de mener des attaques de type "Cross-Site Scripting".
Forte
17/09 Drupal 'Mailsave' versions inférieures à 5.x-3.3, versions inférieures à 6.x-1.3
Erreur de conception
Correctif existant Gestion du type 'MIME'
http://drupal.org/node/309802
Drupal
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 39/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
"Cross-Site Scripting" via 'Stock'
Une faille dans le greffon 'Stock' pour Drupal permet de mener des attaques de type "Cross-Site Scripting".
Forte
24/09 Drupal 'Stock' versions inférieures à 6.x-1.0
Validation insuffisante des données
Correctif existant Gestion du texte
http://drupal.org/node/312923
Drupal
Exposition d'informations dans 'Drupal'
Une erreur de conception dans 'Drupal' permet à un attaquant d'obtenir des informations.
Forte
23/09 Drupal 'Drupal' versions 5.0 à 6.4
'Cookie'
Erreur de conception
Aucun correctif
http://www.securityfocus.com/bid/31285
SecurityFocus
CVE-2008-3661
Injection de code SQL via 'Brilliant Gallery'
Une faille dans le greffon 'Brilliant Gallery' pour Drupal permet d'injecter du code SQL arbitraire.
Forte
24/09 Drupal 'Brilliant Gallery' toute versions
Non disponible
Erreur de conception, validation insuffisante des données
Aucun correctif
http://drupal.org/node/313054
Drupal
Injection de code SQL via 'Mailhandler'
Une faille dans le greffon 'Mailhandler' pour Drupal permet d'injecter du code SQL arbitraire.
Forte
17/09 Drupal 'Mailhandler' version 5.x-1.4, version 6.x-1.4
Validation insuffisante des données, erreur de conception
Correctif existant Gestion des requêtes
http://drupal.org/node/309769
Drupal
Multiples failles dans 'Ajax Checklist'
Deux failles permettent d'injecter du code SQL arbitraire et de mener des attaques de type "Cross-Site Scripting".
Forte
24/09 Drupal 'Ajax Checklist' versions inférieures à 5.x-1.1
Erreur de conception, validation insuffisante des données
Correctif existant Non disponible
http://drupal.org/node/312968
Drupal
Multiples failles dans le greffon 'Talk'
De multiples failles permettent de mener des attaques de type "Cross-Site Scripting".
Forte
17/09 Drupal 'Talk' versions inférieures à 5.x-1.3, versions inférieures à 6.x-1.5
Validation insuffisante des données, Erreur de conception
Correctif existant Se référer à l’avis original
http://drupal.org/node/309758
Drupal
"Cross-Site Scripting" via le greffon 'CCK'
Un manque de validation permet à un attaquant de mener des attaques de type "Cross-Site Scripting".
Moyenne 04/09 Drupal 'CKK' versions inférieures à 5.x-1.8
Validation insuffisante des données
Correctif existant Gestion des paramètres
http://drupal.org/node/304093
Drupal
FREEBSD
Déni de service via des paquets 'IPv6'
Une faille dans 'FreeBSD' permet de provoquer un déni de service à l'aide de paquets 'IPv6'.
Forte
03/09 FreeBSD 'FreeBSD' versions 6.3 à 7.0
Non disponible
Correctif existant Module 'sys_netinet6'
http://security.freebsd.org/advisories/FreeBSD-SA-08:09.icmp6.asc
FreeBSD
CVE-2008-3530
Elévation de privilèges dans 'FreeBSD'
Une erreur de conception dans 'FreeBSD' pour les plate-formes 64 bits permet d'obtenir des droits privilégiés.
Moyenne 03/09 FreeBSD 'FreeBSD' versions 6.3 à 7.0
Erreur de conception
Correctif existant Module 'sys_amd64
http://security.freebsd.org/advisories/FreeBSD-SA-08:07.amd64.asc
FreeBSD
CVE-2008-3890
Exécution de code via 'nmount'
Une faille dans 'nmount' permet à un utilisateur local d'exécuter du code arbitraire.
Moyenne 03/09 FreeBSD 'FreeBSD' version 7.0
Débordement de buffer
Correctif existant Appel systeme 'nmount'
http://security.freebsd.org/advisories/FreeBSD-SA-08:08.nmount.asc
FreeBSD
CVE-2008-3531
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 40/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
GNOME
Exécution de code dans 'yelp'
Une erreur de chaîne de formatage permet d'exécuter du code arbitraire à distance.
Moyenne 29/08 Gnome 'yelp' versions supérieures à 2.19.90
Erreur de chaîne de formatage
Correctif existant Fichier 'yelp-window.c'
http://bugzilla.gnome.org/show_bug.cgi?id=546364
Gnome Bugzilla
HP
Déni de service dans OpenView Network Node Manager
Deux failles permettent de provoquer des dénis de service à distance.
Forte
02/09 HP 'OpenView Network Node Manager' versions 7.01, 7.51, 7.53
Non disponible
Correctif existant Non disponible
http://www12.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01537275-1
HP
CVE-2008-3536, CVE-2008-3537
Déni de service via 'rpcbind'
Une faille dans 'HP-UX' permet de provoquer un déni de service.
Forte
22/09 HP 'HP-UX' version B.11.11, B.11.23
Non disponible
Correctif existant Composant 'rpcbind'
http://www12.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01556916-1
HP
CVE-2007-0165
Elévation de privilèges dans 'OpenVMS'
Une faille dans 'OpenVMS' permet à un utilisateur local d'obtenir des droits privilégiés.
Moyenne 10/09 Se référer à l’avis original
Non disponible
Correctif existant Bibliothèque 'SMGRTL'
http://www12.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01539423-1
HP
CVE-2008-3540
Exposition d'informations dans OpenView Select Identity
Une faille non documentée permet d'exposer des informations.
Moyenne 04/09 HP 'OpenView Select Identity'
Non disponible
Correctif existant Non disponible
http://www12.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01531379-1
HP
IBM
Déni de service dans 'DB2'
De multiples failles dans 'DB2' permettent à un attaquant de provoquer un déni de service.
Forte
09/09 IBM 'DB2' version 8
Erreur de traitement
Correctif existant Se référer à l’avis original
http://www-01.ibm.com/support/docview.wss?uid=swg1JR29274
IBM
Elévation de privilèges via 'swcons'
Une erreur de conception dans l'exécutable 'swcons' permet à un utilisateur d'obtenir des droits privilégiés.
Moyenne 03/09 IBM 'AIX' version 5.2, 5.3, 6.1
Erreur de conception
Correctif existant Outil 'swcons'
http://www14.software.ibm.com/webapp/set2/subscriptions/pqvcmjd?mode=18&ID=4356
IBM
ISC
Déni de service de 'BIND' sur plate-forme Windows
Une faille permet à un attaquant de provoquer un déni de service du produit.
Moyenne 22/09 ISC 'BIND' version 9.5.1b2 et inférieures
Non disponible
Correctif existant Gestion des paquets 'UDP'
http://www.auscert.org.au/render.html?it=9859
AusCERT
LANDESK SOFTWARE
Exécution de code arbitraire dans 'Management Suite'
Un débordement de buffer dans 'Management Suite' permet à un attaquant d'exécuter du code arbitraire.
Forte
16/09 Se référer à l’avis original
Débordement de buffer
Correctif existant Exécutable 'qipsrvr.exe'
http://community.landesk.com/support/docs/DOC-3276
LANDesk
CVE-2008-2468
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 41/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
LIBPNG
Déni de service via 'libpng'
Deux failles dans la bibliothèque 'libpng' permettent de provoquer un déni de service.
Moyenne 09/09 Libpng 'libpng' version 1.2.31 et inférieures
Débordement de buffer
Correctif existant Se référer à l’avis original
http://sourceforge.net/project/shownotes.php?release_id=624518
Libpng
LINUX
Déni de service dans le noyau Linux
Une erreur de codage dans le noyau Linux provoque un déni de service.
Moyenne 25/09 Linux 'Noyau 2.6' versions inférieures à 2.6.23
Erreur de codage
Correctif existant Implémentation 'Direct-IO'
https://bugzilla.redhat.com/show_bug.cgi?id=461082
Red Hat Bugzilla
CVE-2007-6716
Dénis de service via la bilbiothèque 'libxml2'
Deux failles permettent de provoquer des dénis de service et l'exécution potentielle de code arbitraire.
Moyenne 12/09 Linux 'libxml2' versions inférieures à 2.7.0
Débordement de tas
Correctif existant Non disponible'une entité XML
http://rhn.redhat.com/errata/RHSA-2008-0886.html
Red Hat
CVE-2003-1564, CVE-2008-3529
Déni de service sur l'architecture s390
Une faille dans le noyau Linux pour l'architecture s390 permet de provoquer un déni de service du système.
Moyenne 15/09 Linux 'Noyau 2.6' versions inférieures à 2.6.27-rc6
Erreur de conception
Correctif existant Fonctionnalité 'ptrace'
http://kernel.org/pub/linux/kernel/v2.6/testing/ChangeLog-2.6.27-rc6
Kernel.org
CVE-2008-1514
Dénis de service dans le noyau Linux
Plusieurs failles dans le noyau Linux permettent de provoquer un déni de service d'une plate-forme vulnérable.
Moyenne 12/09 Linux 'Noyau 2.6' version 2.6.27 et inférieures
Erreur de conception, Débordement de tas
Correctif existant Se référer à l’avis original
http://xforce.iss.net/xforce/xfdb/44492
http://xforce.iss.net/xforce/xfdb/44489
ISS X-Force
https://bugzilla.redhat.com/show_bug.cgi?id=461101
Red Hat Bugzilla
CVE-2008-3534, CVE-2008-3535, CVE-2008-3915
Contournement de la sécurité dans le noyau Linux
Une faille dans un pilote du noyau Linux permet de contourner certains mécanismes de sécurité.
Moyenne 09/09 Linux 'Noyau 2.4' et 'Noyau 2.6' version 2.6.26.3 et inférieures
Validation insuffisante des données
Correctif existant Se référer à l’avis original
http://www.openwall.com/lists/oss-security/2008/08/29/2
Oss-Security
CVE-2008-3525
MACROVISION
Exécution de scripts via 'FLEXnet Connect'
Une faille dans le produit 'FLEXnet Connect' permet d'injecter et d'exécuter du script arbitraire.
Forte
16/09 Macrovision 'FLEXnet Connect'
Méthode de récupération
Erreur de conception
Palliatif proposé
http://www.kb.cert.org/vuls/id/837092
US-CERT
CVE-2008-1093
MERCURIAL
Exposition d'informations dans 'Mercurial'
Une erreur de conception dans 'Mercurial' permet à un attaquant d'obtenir des informations sensibles.
Forte
18/09 Mercurial 'Mercurial' version 1.0.1
Erreur de conception
Correctif existant Permission 'allowpull'
http://www.selenic.com/mercurial/wiki/index.cgi/WhatsNew#headMercurial
905b8adb3420a77d92617e06590055bd8952e02b
MICROSOFT
Exécution de code arbitraire dans Microsoft Office
Une faille dans Microsoft Office permet à un attaquant d'exécuter du code arbitraire.
Critique
09/09 Se référer à l’avis original
Validation insuffisante des données
Correctif existant Protocole de type 'OneNote'
http://www.microsoft.com/technet/security/Bulletin/MS08-055.mspx
Microsoft
CVE-2008-3007
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 42/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
Exécution de code arbitraire dans Windows Media Player
Une faille dans le lecteur 'Windows Media Player' permet d'exécuter du code arbitraire.
Critique
09/09 Se référer à l’avis original
Erreur de conception
Correctif existant listes de type 'SSPL'
http://www.microsoft.com/technet/security/Bulletin/MS08-054.mspx
Microsoft
CVE-2008-2253
Exécution de code dans 'GDI+'
Une faille dans le composant 'GDI+' des produits Microsoft permet d'exécuter du code arbitraire.
Critique
09/09 Se référer à l’avis original
Débordement de tas, Corruption de la mémoire
Correctif existant Se référer à l’avis original
http://www.microsoft.com/technet/security/Bulletin/MS08-052.mspx
Microsoft
CVE-2007-5348, CVE-2008-3012, CVE-2008-3013, CVE-2008-3014, CVE-2008-3015
Exécution de code dans Windows Media Encoder
Une faille dans un contrôle ActiveX de 'Windows Media Encoder' permet d'exécuter du code arbitraire.
Critique
09/09 Se référer à l’avis original
Erreur de conception, validation insuffisante des données
Correctif existant Contrôle ActiveX 'wmex.dll'
http://www.microsoft.com/technet/security/Bulletin/MS08-053.mspx
Microsoft
CVE-2008-3008
MOZILLA
Exécution de code arbitraire dans les produits Mozilla
Un débordement de buffer dans 'Thunderbird' et 'SeaMonkey' permet à un attaquant d'exécuter du code arbitraire.
Critique
26/09 Mozilla 'SeaMonkey' versions inférieures à 1.1.12, versions inférieures à 2.0.0.17
Débordement de buffer
Correctif existant Messages de "newsgroup"
http://www.mozilla.org/security/announce/2008/mfsa2008-46.html
Mozilla
CVE-2008-4070
Multiples failles dans les produits Mozilla
De multiples failles permettent de provoquer l'exécution de code et des dénis de service, entre autres choses.
Forte
23/09 Se référer à l’avis original
Se référer à l’avis original
Correctif existant Se référer à l’avis original
http://www.mozilla.org/security/announce/2008/mfsa2008-37.html
Mozilla
http://www.mozilla.org/security/announce/2008/mfsa2008-38.html
Mozilla
http://www.mozilla.org/security/announce/2008/mfsa2008-39.html
Mozilla
http://www.mozilla.org/security/announce/2008/mfsa2008-40.html
Mozilla
http://www.mozilla.org/security/announce/2008/mfsa2008-41.html
Mozilla
http://www.mozilla.org/security/announce/2008/mfsa2008-42.html
Mozilla
http://www.mozilla.org/security/announce/2008/mfsa2008-43.html
Mozilla
http://www.mozilla.org/security/announce/2008/mfsa2008-44.html
Mozilla
http://www.mozilla.org/security/announce/2008/mfsa2008-45.html
Mozilla
CVE-2008-0016, CVE-2008-3835, CVE-2008-3836, CVE-2008-3837, CVE-2008-4058, CVE-2008-4059, CVE-2008-4060, CVE-20084061, CVE-2008-4062, CVE-2008-4063, CVE-2008-4064, CVE-2008-4065, CVE-2008-4066, CVE-2008-4067, CVE-2008-4068, CVE2008-4069
NETBSD
Déni de service de 'NetBSD'
Une faille permet de provoquer un déni de service à l'aide d'un paquet 'ICMPv6' spécialement construit.
Forte
04/09 NetBSD 'NetBSD' version 4.0, 'NetBSD' version current
Non disponible
Correctif existant Gestion des paquets 'ICMPv6'
http://archives.neohapsis.com/archives/netbsd/2008-q3/0043.html
NetBSD
CVE-2008-2464
NOVELL
Exécution de commandes 'TCL' dans Novell 'Forum'
Une faille non documentée dans Novell 'Forum' permet à un attaquant d'exécuter des commandes 'TCL' arbitraires.
Forte
01/09 Novell 'Forum' versions 7.0 à 8.0
Non disponible
Correctif existant Gestion des URL
http://download.novell.com/Download?buildid=6k-5X-UPnrM~
Novell
OPENSC
Vulnérabilité dans 'pkcs15-tool'
Une vulnérabilité non documentée affecte le produit 'OpenSC'.
Moyenne 29/09 OpenSC 'OpenSC' versions inférieures à 0.11.6
Erreur de codage
Correctif existant Non disponible
http://xforce.iss.net/xforce/xfdb/45045
ISS X-Force
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 43/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
OPENSSH
Déni de service dans 'OpenSSH'
Une erreur de conception dans 'OpenSSH' permet à un attaquant de provoquer un déni de service.
Forte
17/09 OpenSSH 'OpenSSH' version 4.3, version 4.6
Erreur de conception
Correctif existant Gestionnaire de signal
http://www.debian.org/security/2008/dsa-1638
Debian
CVE-2008-4109
PHPMYADMIN
"Cross-Site Scripting" via 'Internet Explorer'
Une faille permet de mener des attaques de type "Cross-Site Scripting".
Forte
23/09 phpMyAdmin 'phpMyAdmin' versions inférieures à 2.11.9.2
Non disponible
Correctif existant Non disponible
http://www.phpmyadmin.net/home_page/security.php?issue=PMASA-2008-8
phpMyAdmin
Exécution de code dans 'phpMyAdmin'
Une faille dans un script de 'phpMyAdmin' autorise un utilisateur malveillant à exécuter du code arbitraire.
Forte
15/09 phpMyAdmin 'phpMyAdmin' versions inférieures à 2.11.9.1
Non disponible
Correctif existant Script 'server_databases.php'
http://www.phpmyadmin.net/home_page/security.php?issue=PMASA-2008-7
phpMyAdmin
RED HAT
Exposition d'informations dans 'Red Hat Enterprise IPA'
Une faille dans 'Red Hat Enterprise IPA' permet à un attaquant d'obtenir des informations sensibles.
Moyenne 10/09 Red Hat 'Red Hat Enterprise IPA' version 1EL5
Erreur de conception
Correctif existant Procédure d'installation
http://rhn.redhat.com/errata/RHSA-2008-0860.html
Red Hat
CVE-2008-3274
STRONGSWAN
Déni de service dans 'strongSwan'
Une faille dans 'strongSwan' permet de provoquer un déni de service.
Moyenne 19/09 strongSwan 'strongSwan' version 4.2.6 et inférieures
Déréférencement de pointeur NULL
Correctif existant Démon IKE2 'charon'
http://labs.mudynamics.com/advisories/MU-200809-01.txt
Mu Dynamics
SUN
Déni de service via le module 'SunMC PRM'
Une faille non documentée permet de provoquer un déni de service d'un système vulnérable.
Forte
15/09 Sun 'SunMC' versions 3.6.1 à 4.0
Non disponible
Correctif existant Module 'SunMC PRM'
http://sunsolve.sun.com/search/document.do?assetkey=1-66-241686-1
Sun
Déni de service via les systèmes de fichiers 'UFS'
Une faille dans les systèmes de fichiers 'UFS' de 'Solaris' permet de provoquer un déni de service d'un système.
Moyenne 19/09 Sun 'OpenSolaris' versions snv_01 and above, 'Solaris' versions 8 à 10
Systèmes de fichiers 'UFS'
Non disponible
Aucun correctif
http://sunsolve.sun.com/search/document.do?assetkey=1-66-242267-1
Sun
Exécution de code via les éditeurs de texte sur Solaris
Une faille permet d'exécuter du code arbitraire avec des droits privilégiés.
Moyenne 17/09 Sun 'Solaris' versions 8 à 10
Non disponible
Correctif existant 'vi', 'ex', 'vedit', 'view' et 'edit'
http://sunsolve.sun.com/search/document.do?assetkey=1-66-237987-1
Sun
TWIKI
Exposition d'informations via 'TWiki'
Un manque de validation dans 'TWiki' permet d'obtenir des informations.
Forte
12/09 TWiki 'TWiki' versions inférieures à 4.2.3
Validation insuffisante des données
Correctif existant Variable 'image'
http://twiki.org/cgi-bin/view/Codev/SecurityAlert-CVE-2008-3195
TWiki
http://www.kb.cert.org/vuls/id/362012
US-CERT
CVE-2008-3195
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 44/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
TYPO3
Multiples failles dans des extensions de 'Typo3'
De multiples failles permettent d'injecter du code SQL, et d'exécuter du code, entre autres choses.
Forte
22/09 Se référer à l’avis original
Se référer à l’avis original
Se référer à l’avis original
Aucun correctif
http://typo3.org/teams/security/security-bulletins/typo3-20080919-1/
Typo3
WIRESHARK
Déni de service dans 'Wireshark'
De multiples failles dans 'Wireshark' permettent de provoquer un déni de service du produit.
Forte
04/09 Wireshark 'Wireshark' versions 0.9.7 à 1.0.2
Se référer à l’avis original
Correctif existant Se référer à l’avis original
http://www.wireshark.org/security/wnpa-sec-2008-05.html
Wireshark
ALERTES NON CONFIRMEES
Les alertes présentées dans les tables de synthèse suivantes ont été publiées dans diverses listes
d’information mais n’ont pas encore fait l’objet d’une annonce ou d’un correctif de la part de l’éditeur. Ces
alertes nécessitent la mise en place d’un processus de suivi et d’observation.
3COM
Déni de service dans Wireless 8760
Une erreur de conception permet à un attaquant de provoquer un déni de service.
Moyenne 08/09 3Com 'Wireless 8760 Dual Radio 11a/b/g PoE Access Point'
Interface de gestion d'Internet
Erreur de conception
Aucun correctif
http://secunia.com/advisories/31714/
Secunia
ACRESSO SOFTWARE
Déni de service dans 'InstallShield Update Service'
Un débordement de buffer permet de provoquer un déni de service et l'exécution potentielle de code arbitraire.
Forte
18/09 Acresso Software 'InstallShield Update Service'
Débordement de buffer
Correctif existant Contrôle ActiveX 'isusweb.dll'
http://www.securityfocus.com/bid/31235
SecurityFocus
CVE-2008-2470
ADOBE
Injection de contenu dans 'Flash Player'
Une faille non documentée permet à un attaquant d'injecter du contenu dans le presse papier de l'utilisateur.
Forte
12/09 Adobe 'Flash Player' version 8.x.x, version 9.x.x
Non disponible
Non disponible
Aucun correctif
http://www.securityfocus.com/bid/31117
SecurityFocus
CVE-2008-3873
APPLE
Déni de service de 'QuickTime' et 'iTunes'
Un débordement de buffer permet de provoquer un déni de service ou l'exécution potentielle de code arbitraire.
Forte
16/09 Apple 'iTunes' version 8 et 'QuickTime' version 7.5.5
Non disponible
Débordement de buffer
Aucun correctif
http://www.securityfocus.com/bid/31212
SecurityFocus
ATHEROS
Déni de service dans le composant 'AR5416-AC1E'
Le composant 'AR5416-AC1E' est vulnérable à un déni de service et à une exécution potentielle de code arbitraire.
Forte
04/09 Atheros 'AR5416-AC1E'
Non disponible
Validation insuffisante des données
Aucun correctif
http://www.securityfocus.com/bid/31012
SecurityFocus
CVE-2007-5474
BITLBEE
Contournement de la sécurité dans 'BitlBee'
Une faille non documentée permet à un utilisateur local de contourner certains mécanismes de sécurité.
Moyenne 08/09 BitlBee 'BitlBee' version 1.2 et version 1.2.1
Non disponible
Correctif existant Non disponible
http://www.securityfocus.com/bid/30858
SecurityFocus
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 45/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
CA
"Cross-Site Scripting" dans des produits CA
Des manques de validation permettent à un attaquant de mener des attaques de type "Cross-Site Scripting".
Forte
29/09 CA 'CMDB' versions 11.0 à 11.2, CA 'Service Desk' version 11.2
Validation insuffisante des données
Correctif existant Formulaires
http://securitytracker.com/id?1020949
SecurityTracker
CVE-2008-4119
CHECK POINT
"Cross-Site Scripting" dans 'Connectra'
Un manque de validation permet à un attaquant de mener des attaques de type "Cross-Site Scripting".
Forte
25/09 Check Point 'Connectra' version NGX R62 HFA_01
Fichier 'index.php'
Manque de validation
Aucun correctif
http://www.securityfocus.com/bid/31369/
SecurityFocus
Déni de service dans ZoneAlarm Internet Security Suite
Une faille dans 'ZoneAlarm Internet Security Suite' permet à un attaquant de provoquer un déni de service.
Forte
29/09 Check Point 'ZoneAlarm Internet Security Suite' version 8.0.020
Composant 'TrueVector'
Non disponible
Aucun correctif
http://www.securityfocus.com/bid/31431
SecurityFocus
CHILKAT
Compromission de fichiers dans 'Chilkat'
Une erreur de conception dans 'Chilkat' permet à un attaquant d'effacer ou de réécrire des fichiers.
Forte
24/09 Chilkat 'ChilkatUtil.dll' version 3.0.3.0 et inférieures
Contrôle ActiveX 'ChilkatUtil.dll' Erreur de conception
Aucun correctif
http://www.securityfocus.com/bid/31332
SecurityFocus
CISCO
"Cross-Site Request Forgery" dans le routeur 871
Une faille non documentée permet à un attaquant de mener des attaques de type "Cross-Site Request Forgery".
Forte
18/09 Cisco '871 Integrated Services'
Non disponible
Non disponible
Aucun correctif
http://www.securityfocus.com/bid/31218
SecurityFocus
CLAMAV
Déni de service dans 'ClamAV'
Une corruption de mémoire permet à un attaquant de provoquer un déni de service, et d'exécuter du code.
Forte
09/09 ClamAV 'ClamAV' versions inférieures à 0.94
Corruption de mémoire
Correctif existant Non disponible
http://www.securityfocus.com/bid/31051
SecurityFocus
CVE-2008-3912, CVE-2008-3913, CVE-2008-3914
Déni de service dans 'ClamAV'
Une faille dans l'anti-virus 'ClamAV' permet de provoquer un déni de service du produit.
Moyenne 03/09 ClamAV 'ClamAV' versions inférieures à 0.94
Correctif existant Fichier 'libclamav/chmunpack.c', Non disponible
https://wwws.clamav.net/bugzilla/show_bug.cgi?id=1089
ClamAV Bugzilla
CVE-2008-1389
DATA ENCRYPTION SYSTEMS
Déni de service dans 'DESlock+'
Un débordement de buffer dans 'DESlock+' permet à un attaquant de provoquer un déni de service.
Forte
23/09 Data Encryption Systems 'DESlock+' version 3.2.7 et inférieures
Non disponible
Débordement de buffer
Aucun correctif
http://www.securityfocus.com/bid/31273
SecurityFocus
D-LINK
Contournement de la sécurité du produit 'DIR-100'
Une faille dans le produit 'DIR-100' permet de contourner la sécurité offerte par le serveur mandataire Web.
Forte
08/09 D-Link 'DIR-100'
Serveur mandataire Web
Non disponible
Aucun correctif
http://lists.grok.org.uk/pipermail/full-disclosure/2008-September/064303.html
Full-Disclosure
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 46/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
EMACSPEAK
Corruption de fichiers dans 'Emacspeak'
Une erreur de conception dans 'Emacspeak' permet à un attaquant d'effacer ou de réécrire des fichiers.
Moyenne 19/09 Emacspeak 'Emacspeak' version 26, version 28
Fichier 'extract-table.pl'
Création non sécurisée
Aucun correctif
http://www.securityfocus.com/bid/31241
SecurityFocus
FFMPEG
Déni de service dans 'FFmpeg'
Une erreur de traitement dans 'FFmpeg' permet à un attaquant de provoquer un déni de service.
Forte
19/09 FFmpeg 'FFmpeg' version 0.4.9-pre1
Erreur de traitement
Correctif existant Fichiers animés GIF
http://www.securityfocus.com/bid/31234
SecurityFocus
CVE-2008-3230
GALLERY
"Cross-Site Scripting" dans 'Gallery'
Un manque de validation permet à un attaquant de mener des attaques de type "Cross-Site Scripting".
Forte
09/09 Gallery 'Gallery' version 2.0
Données utilisateur
Manque de validation
Aucun correctif
http://www.securityfocus.com/bid/31060
SecurityFocus
GMANEDIT
Exécution de code arbitraire dans 'gmanedit'
Un débordement de buffer permet à un attaquant d'exécuter du code arbitraire.
Forte
08/09 gmanedit 'gmanedit' version 0.4.1
Données utilisateur
Débordement de buffer
Aucun correctif
http://www.securityfocus.com/bid/31040
SecurityFocus
CVE-2008-3533
GNU
Exécution de code dans 'Emacs'
Une faille dans l'interaction entre 'Python' et 'Emacs' permet à un utilisateur local d'exécuter du code arbitraire.
Moyenne 08/09 Gnu 'Emacs' version 22.1 et inférieures
Erreur de conception
Correctif existant Commande 'run-python'
http://www.securityfocus.com/bid/31052
SecurityFocus
HONEYD
Elévation de privilèges dans 'Honeyd'
Une création non sécurisée des fichiers temporairespermet à un utilisateur local d'obtenir des droits privilégiés.
Moyenne 28/08 Honeyd 'Honeyd' version 1.5c et inférieures
Script 'test.sh'
Création non sécurisée des fichiers temporaires
Aucun correctif
http://secunia.com/advisories/31658/
Secunia
HORDE
"Cross-Site Scripting" dans les produits Horde
Des manques de validatione listés permettent à un attaquant de mener des attaques de type "Cross-Site Scripting".
Forte
11/09 Se référer à l’avis original
Manque de validation
Correctif existant Pièce-jointe MIME
http://secunia.com/advisories/31842/
Secunia
CVE-2008-3823, CVE-2008-3824
"Cross-Site Scripting" dans 'Turba Contact Manager'
Un manque de validation permet à un attaquant de mener des attaques de type "Cross-Site Scripting".
Forte
16/09 Horde 'Turba Contact Manager' version H3 2.2.1
Fichier '/imp/test.php'
Manque de validation
Aucun correctif
http://www.securityfocus.com/bid/31168
SecurityFocus
HP
Exécution de code dans OpenVMS
Une erreur de chaîne de formatage permet d'exécuter du code arbitraire ou de provoquer un déni de service.
Moyenne 01/09 HP 'TCP/IP Services for OpenVMS' version 5.x
Client 'finger'
Erreur de chaîne de formatage
Aucun correctif
http://secunia.com/advisories/31587/
Secunia
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 47/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
IBM
Elévation de privilèges dans Netcool/Webtop
Une faille dans 'Tivoli Netcool/Webtop' permet à un utilisateur d'obtenir des droits privilégiés.
Forte
29/09 IBM 'Tivoli Netcool/Webtop' versions 2.1 à 2.1 Fix Pack 4
Non disponible
Correctif existant Non disponible
http://www.securityfocus.com/bid/31414
SecurityFocus
Faille dans 'WebSphere Application Server'
Une faille non documentée aux conséquences inconnues affecte 'WebSphere Application Server'.
N/A
16/09 IBM 'WebSphere Application Server' version 6.1.x
Correctif existant 'Servlet Engine/Web Container' Non disponible
http://secunia.com/advisories/31892/
Secunia
IMAP
Déni de service dans plusieurs serveurs IMAP
Une faille non documentée dans plusieurs serveurs IMAP permet de provoquer un déni de service de ces produits.
Forte
23/09 Se référer à l’avis original
'IMAP login requests'
Non disponible
Aucun correctif
http://www.securityfocus.com/bid/31318
SecurityFocus
INTEL
Elévation de privilèges via plusieurs produits Intel
Une faille dans les produits Intel permet d'obtenir des droits privilégiés.
Moyenne 25/08 Se référer à l’avis original
Non disponible
Correctif existant 'BIOS'
http://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00017&languageid=en-fr
Intel
JOOMLA!
Multiples failles dans Joomla!
De multiples failles permettent à un attaquant d'obtenir des informations et de corrompre des données.
Forte
11/09 Joomla! 'Joomla!' versions inférieures à 1.5.7
Non disponible
Correctif existant Se référer à l’avis original
http://secunia.com/advisories/31789/
Secunia
CVE-2007-0373
KYOCERA
Exposition d'informations dans 'FS-118MFP'
Une faille permet d'obtenir des informations sensibles à l'aide d'une attaque de type traversée de répertoire.
Moyenne 02/09 Kyocera 'FS-1118MFP'
'Command Center'
Validation insuffisante des données
Aucun correctif
http://www.securityfocus.com/bid/30971
SecurityFocus
LIGHTTPD
Déni de service dans 'lighttpd'
Une erreur de traitement dans 'lighttpd' permet à un attaquant de provoquer un déni de service.
Forte
29/09 Lighttpd 'lighttpd' versions inférieures à 1.4.20
Erreur de traitement
Correctif existant Conditions exceptionnelles
http://www.securityfocus.com/bid/31434
SecurityFocus
LINUX
Déni de service dans le noyau de Linux
Une faille dans le noyau de Linux permet à un attaquant de provoquer un déni de service.
Moyenne 17/09 Linux 'Noyau' versions inférieures à 2.6.22.2
Non disponible
Correctif existant 'add_to_page_cache_lru()'
http://www.securityfocus.com/bid/31201
SecurityFocus
Déni de service dans le noyau Linux
Deux failles permettent de provoquer un déni de service ou l'exposition d'informations sensibles.
Moyenne 11/09 Linux 'Noyau 2.6' versions inférieures à 2.6.26.4
Déréférencement de pointeur NULL
Correctif existant Se référer à l’avis original
http://www.trapkit.de/advisories/TKADV2008-007.txt
Tobias Klein
CVE-2008-3792
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 48/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
LINUX FEDORA
Effacement de fichiers dans 'initscripts'
Une erreur de conception dans 'initscripts' permet à un attaquant d'effacer des fichiers ou des répertoires.
Moyenne 26/09 LINUX FEDORA 'initscripts' version 8.76.3
Correctif existant Fichiers '/var/lock' et '/var/run' Erreur de conception
https://bugzilla.redhat.com/show_bug.cgi?id=458652
Bugzilla
CVE-2008-3524
MANTIS
Exposition d'informations dans 'Mantis'
Une faille non documentée dans 'Mantis' permet à un attaquant d'obtenir des informations sensibles.
Forte
25/09 Mantis 'Mantis' version 1.1.2 et inférieures
Non disponible
Correctif existant 'Cookie'
http://www.securityfocus.com/bid/31344
SecurityFocus
CVE-2008-3102
MICROSOFT
Corruption de fichiers via un contrôle ActiveX
Une faille dans le contrôle ActiveX 'WIA Logger' permet de corrompre des fichiers arbitraires.
Moyenne 08/09 Microsoft 'Windows Image Aquisition Logger'
Contrôle ActiveX 'WIA Logger'
Erreur de conception
Aucun correctif
http://www.securityfocus.com/bid/31069
SecurityFocus
Déni de service dans 'GDI+'
Une erreur de traitement dans 'GDI+' permet à un attaquant de provoquer un déni de service.
Forte
29/09 Microsoft 'Windows XP'
Bibliothèque 'GDIPLUS.dll'
Erreur de traitement
Aucun correctif
http://www.securityfocus.com/bid/31432
SecurityFocus
Déni de service dans 'Internet Explorer'
Une erreur de traitement dans 'Internet Explorer' permet à un attaquant de provoquer un déni de service.
Forte
18/09 Microsoft 'Internet Explorer' version 7
Fichiers 'PNG'
Erreur de traitement
Aucun correctif
http://www.securityfocus.com/bid/31215
SecurityFocus
Déni de service dans les plate-formes Windows
Une faille dans les plate-formes Windows permettent de provoquer un déni de service.
Moyenne 15/09 Se référer à l’avis original
Traitement des paquets 'SMB'
Non disponible
Aucun correctif
http://www.securityfocus.com/bid/31179
SecurityFocus
Déni de service dans 'Windows Mobile'
Un manque de validation dans 'Windows Mobile' permet à un attaquant de provoquer un déni de service.
Forte
29/09 Microsoft 'Windows Mobile' version 6.0
Données utilisateur
Manque de validation
Aucun correctif
http://www.securityfocus.com/bid/31420
SecurityFocus
Déni de service dans 'WordPad'
Une erreur de traitement dans 'WordPad' permet à un attaquant de provoquer un déni de service.
Forte
26/09 Microsoft 'WordPad'
Fichier '.doc'
Erreur de traitement
Aucun correctif
http://www.securityfocus.com/bid/31399
SecurityFocus
Exécution de code arbitraire dans 'SQL Server'
Un débordement de buffer dans 'SQL Server' permet à un attaquant d'exécuter du code arbitraire.
Forte
12/09 Microsoft 'SQL Server' version 2000
Contrôle ActiveX 'sqlvdir.dll'
Débordement de buffer
Aucun correctif
http://www.securityfocus.com/bid/31129
SecurityFocus
MYSQL
Déni de service dans 'MySQL'
Une erreur de traitement dans 'MySQL' permet à un attaquant de provoquer un déni de service.
Moyenne 12/09 MySQL 'MySQL' versions inférieures à 5.0.66, versions inférieures à 5.1.26
Erreur de traitement
Correctif existant Chaîne de caractères vide
http://secunia.com/advisories/31769/
Secunia
CVE-2008-3963
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 49/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
NETGEAR
Déni de service dans le point d'accès 'WN802T'
Une faille dans le point d'accès Netgear 'WN802T' permet de provoquer un déni de service du produit.
Forte
04/09 Netgear 'WN802T'
paquets de type 'EAPoL-Key'
Validation insuffisante des données
Aucun correctif
http://www.securityfocus.com/bid/31013
SecurityFocus
CVE-2008-1144
NOKIA
Déni de service du Nokia 'E90 Communicator'
Une faille dans le téléphone Nokia 'E90 Communicator' permet de provoquer un déni de service.
Forte
15/09 Nokia 'E90 Communicator'
Non disponible
Correctif existant Non disponible
http://www.securityfocus.com/bid/31175
SecurityFocus
NOVELL
"Cross-Site Scripting" via Novell IDM
De multiples manques de validation permettent de mener des attaques de type "Cross-Site Scripting".
Forte
01/09 Se référer à l’avis original
Se référer à l’avis original
Correctif existant Se référer à l’avis original
http://secunia.com/advisories/31678/
Secunia
Exécution de code arbitraire dans 'iPrint Client'
Un débordement de buffer dans Novell 'iPrint Client' permet d'exécuter du code arbitraire.
Forte
03/09 Se référer à l’avis original
Débordement de tas
Correctif existant Bibliothèque 'nipplib.dll',
http://secunia.com/advisories/31370/
Secunia
CVE-2008-2436
Exécution de code arbitraire dans 'ZENworks'
Un débordement de buffer permet à un attaquant d'exécuter du code arbitraire.
Forte
29/09 Novell 'ZENworks Desktop Management' version 6.5
Fonction 'CanUninstall()'
Débordement de buffer
Aucun correctif
http://www.securityfocus.com/bid/31435
SecurityFocus
Multiples failles dans Novell 'eDirectory'
De multiples failles permettent d'exécuter du code et de mener des attaques de type "Cross-Site Scripting"
Forte
01/09 Novell 'eDirectory' version 8.8
Se référer à l’avis original
Correctif existant Se référer à l’avis original
http://secunia.com/advisories/31684/
Secunia
OPENSWAN
Corruption de fichiers dans 'Openswan'
Une erreur de conception dans 'Openswan' permet à un attaquant d'effacer ou de réécrire des fichiers.
Moyenne 19/09 Openswan 'Openswan' versions 1.0.4 à 2.4.4
Fichiers temporaires
Erreur de conception
Aucun correctif
http://www.securityfocus.com/bid/31243
SecurityFocus
PAM_MOUNT
Elévation de privilèges dans 'pam_mount'
Une faille dans 'pam_mount' permet à un utilisateur d'obtenir des droits privilégiés.
Moyenne 06/09 pam_mount 'pam_mount' versions 0.10 à 0.45
Erreur de codage
Correctif existant Commande 'luserconf'
http://www.securityfocus.com/bid/31041
SecurityFocus
PDNSD
Déni de service dans 'pdnsd'
Une faille non documentée dans 'pdnsd' permet à un attaquant de provoquer un déni de service.
Forte
16/09 pdnsd 'pdnsd' versions 1.2-par à 1.2.6-par
Non disponible
Correctif existant Fichier 'src/dns_query.c'
http://www.securityfocus.com/bid/31195
SecurityFocus
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 50/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
PHP
Contournement de la sécurité dans 'PHP'
Des failles non documentées dans 'PHP' permettent de contourner des restrictions de sécurité.
Moyenne 08/09 PHP 'PHP' version 5.2.5
Restrictions de sécurité
Non disponible
Aucun correctif
http://www.securityfocus.com/bid/31064
SecurityFocus
Injection de code dans 'PHP'
Un manque de validation dans 'PHP' permet à un attaquant d'injecter du code.
N/A
26/09 PHP 'PHP' version 5.2.6
Fonction 'create_function()'
Manque de validation
Aucun correctif
http://www.securityfocus.com/bid/31398
SecurityFocus
POSTFIX
Déni de service local dans 'Postfix'
Une erreur de conception dans 'Postfix' permet à un utilisateur de provoquer un déni de service.
Moyenne 02/09 Se référer à l’avis original
Erreur de conception
Correctif existant Descripteur de fichier 'epoll'
http://securitytracker.com/id?1020800
SecurityTracker
PROFTPD
"Cross-Site Request-Forgery" dans 'ProFTPD'
Une erreur de traitementpermet à un attaquant de mener des attaques de type "Cross-Site Request-Forgery".
Forte
23/09 ProFTPd 'ProFTPD' version 1.3.1
Erreur de traitement
Correctif existant Certaines commandes
http://www.securityfocus.com/bid/31289
SecurityFocus
PYTHON
Corruption de fichiers dans 'Python'
La création de fichiers de façon insécurisée permet à un attaquant d'effacer ou de réécrire des fichiers.
Moyenne 16/09 Python 'Python' version 2.3.4
Outil 'move-faqwiz.sh'
Création de fichiers non sécurisée
Aucun correctif
http://www.securityfocus.com/bid/31184
SecurityFocus
CVE-2008-4108
R
Elévation de privilèges dans 'R'
Une erreur de traitement dans le projet 'R' permet à un attaquant d'obtenir une élévation de privilèges.
Moyenne 11/09 R 'R' version 2.7.2
Erreur de traitement
Correctif existant Script 'javareconf'
http://secunia.com/advisories/31647/
Secunia
CVE-2008-3931
RED HAT
Elévation de privilèges via 'cman'
Une création non sécurisée de fichiers temporaires permet à un utilisateur d'obtenir des droits privilégiés.
Moyenne 28/08 Red Hat 'cluster2' version 2.3.7
Script 'fence_egenera'
Création non sécurisé de fichiers temporaires
Aucun correctif
http://www.securityfocus.com/bid/30898
SecurityFocus
Exposition d'informations dans JBoss
Une faille dans le produit 'JBoss Enterprise Application Platform' permet à un attaquant d'obtenir des informations.
Moyenne 22/09 Red Hat 'JBoss Enterprise Application Platform' versions 4.2 à 4.3
'class download service'
Erreur de configuration
Correctif existant
http://www.securityfocus.com/bid/31300
SecurityFocus
CVE-2008-3519
RUBY ON RAILS
Injection de code SQL dans 'Ruby on Rails'
Un manque de validation dans 'Ruby on Rails' permet à un attaquant d'injecter du code SQL.
Forte
16/09 Ruby on Rails 'Ruby on Rails' versions inférieures à 2.1.1
Manque de validation
Correctif existant Paramètres ':offset' et ':limit'
http://secunia.com/advisories/31875/
Secunia
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 51/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
SIEMENS
Accès non autorisé au produit 'Gigaset WLAN Camera'
Un mot de passe par défaut permet à un attaquant d'obtenir un accès non autorisé.
Moyenne 02/09 Siemens 'Gigaset WLAN Camera'
Mot de passe par défaut
Erreur de conception
Aucun correctif
http://www.securityfocus.com/bid/30973
SecurityFocus
SQUIRRELMAIL
Détournement de sessions dans 'Squirrelmail'
Une faille dans la gestion des cookies dans 'Squirrelmail' permet à un attaquant de détourner des sessions.
Forte
23/09 SquirrelMail 'Squirrelmail' version 1.4.15 et inférieures
Gestion des cookies
Erreur de conception
Aucun correctif
http://lists.grok.org.uk/pipermail/full-disclosure/2008-September/064624.html
Full-Disclosure
SSMTP
Exposition d'informations dans 'sSMTP'
Une faille non documentée dans 'sSMTP' permet à un attaquant d'obtenir des informations sensibles.
Forte
10/09 ssmtp 'sSMTP' version 2.6.2
Non disponible
Correctif existant Fonction 'from_format()'
http://www.securityfocus.com/bid/31094
SecurityFocus
CVE-2008-3962
SYMANTEC
Exécution de code arbitraire dans 'Veritas NetBackup'
Une erreur de conception permet d'obtenir une élévation de privilèges et ainsi d'exécuter du code arbitraire.
Forte
25/09 Se référer à l’avis original
Erreur de conception
Correctif existant Administration GUI ('jnbSA')
http://www.symantec.com/avcenter/security/Content/2008.09.24a.html
Symantec
TREND MICRO
Exécution de code arbitraire dans 'OfficeScan'
Un débordement de pile dans 'OfficeScan' permet à un attaquant d'exécuter du code arbitraire.
Forte
12/09 Se référer à l’avis original
Débordement de pile
Correctif existant Exécutable 'cgiRecvFile.exe'
http://secunia.com/advisories/31342/
SecurityFocus
CVE-2008-2437
TYPO3
"Cross-Site Scripting" dans 'freeCap CAPTCHA'
Un manque de validation permet à un attaquant de mener des attaques de type "Cross-Site Scripting".
Forte
25/09 Typo3 'freeCap CAPTCHA' versions inférieures à 1.0.4
Manque de validation
Correctif existant Données utilisateur
http://www.securityfocus.com/bid/31370
SecurityFocus
VIGNETTE
Elévation de privilèges dans 'Vignette'
Un contournement de sécurité permet à un attaquant d'obtenir une élévation de privilèges.
Forte
24/09 Se référer à l’avis original
Contournement de la sécurité
Correctif existant Non disponible
http://www.securityfocus.com/bid/31328
SecurityFocus
VMWARE
Déni de service dans VMware 'Server'
Une faille dans l'extension 'ISAPI' de VMware 'Server' permet de provoquer un déni de service.
Forte
30/08 VMWare 'Server' version 1.0.7
Non disponible
Correctif existant Extension 'ISAPI'
http://www.securityfocus.com/bid/30935
SecurityFocus
CVE-2008-3697
Elévation de privilèges via 'OpenProcess'
Une faille dans les produits VMware permet à un utilisateur local du système hôte d'obtenir des droits privilégiés.
Moyenne 30/08 Se référer à l’avis original
Non disponible
Correctif existant Composant 'OpenProcess'
http://www.securityfocus.com/bid/30936
SecurityFocus
CVE-2008-3698
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 52/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
Multiples failles dans des contrôles ActiveX
De multiples failles permettent de provoquer des dénis de service et l'exécution de code arbitraire.
Forte
30/08 Se référer à l’avis original
Non disponible
Correctif existant Contrôles ActiveX
http://www.securityfocus.com/bid/30934
SecurityFocus
CVE-2007-5438, CVE-2008-3691, CVE-2008-3692, CVE-2008-3693, CVE-2008-3694, CVE-2008-3695, CVE-2008-3696
Exposition d'informations dans 'ESX Server'
Une faille dans 'ESX Server' permet à un utilisateur d'obtenir des informations sensibles.
Moyenne 30/08 VMWare 'ESX Server' versions 3.0.1 à 3.5
Erreur de conception
Correctif existant 'VMware Consolidated Backup'
http://www.securityfocus.com/bid/30937
SecurityFocus
CVE-2008-2101
WORDNET
Exécution de code dans 'WordNet'
De multiples débordements de buffer dans le produit 'WordNet' permettent d'exécuter du code arbitraire.
Moyenne 02/09 Se référer à l’avis original
Fonction 'searchwn'
Débordement de buffer
Aucun correctif
http://www.securityfocus.com/bid/29208
SecurityFocus
CVE-2008-2149
WORDPRESS
Effacement de mots de passe dans 'WordPress'
Un accès non autorisé dans 'WordPress' permet à un attaquant d'effacer les mots de passe des comptes utilisateur.
Forte
09/09 WordPress 'WordPress' version 2.6.1
Non disponible
Accès non autorisé
Aucun correctif
http://www.securityfocus.com/bid/31068
SecurityFocus
Exposition d'informations dans 'WordPress'
Une faille dans 'WordPress' permet à un attaquant d'obtenir des informations.
Forte
11/09 WordPress 'WordPress' version 2.6.1
Génération de mots de passe
Entropie
Aucun correctif
http://www.securityfocus.com/bid/31115/
SecurityFocus
XASTIR
Elévation de privilèges dans 'Xastir'
Une création non sécurisée de fichiers temporaires permet à un utilisateur d'obtenir des droits privilégiés.
Moyenne 05/09 Xastir 'Xastir' version 1.9.2
Gestion des fichiers temporaires Création non sécurisée de fichiers temporaires
Aucun correctif
http://www.securityfocus.com/bid/31030
SecurityFocus
ZONE LABS
Exécution de code dans 'ZoneAlarm Security Suite'
Un débordement de buffer dans 'ZoneAlarm Security Suite' permet à un attaquant d'exécuter du code arbitraire.
Forte
12/09 Zone Labs 'ZoneAlarm Security Suite' version 7.0.483.000
Analyse de virus
Débordement de buffer
Aucun correctif
http://www.securityfocus.com/bid/31124
SecurityFocus
AUTRES INFORMATIONS
REPRISES D’AVIS ET CORRECTIFS
Les vulnérabilités suivantes, déjà publiées, ont été mises à jour, reprises par un autre organisme ou ont
donné lieu à la fourniture d’un correctif:
APPLE
Correctifs 'Java' pour 'Mac OS X' et 'Mac OS X Server'
Apple a annoncé la disponibilité de correctifs 'Java' pour les plate-formes 'Mac OS X' et 'Mac OS X Server' versions
10.4.11 et 10.5.4. Ils corrigent de nombreuses failles qui permettent d'exécuter du code arbitraire, entre autres
choses.
http://lists.apple.com/archives/security-announce/2008/Sep/msg00008.html
http://lists.apple.com/archives/security-announce/2008/Sep/msg00007.html
CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-20081192, CVE-2008-1193, CVE-2008-1194, CVE-2008-1195, CVE-2008-1196, CVE-2008-3103, CVE-2008-3104, CVE-2008-3105, CVE2008-3106, CVE-2008-3107, CVE-2008-3108, CVE-2008-3109, CVE-2008-3110, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113,
CVE-2008-3114, CVE-2008-3115
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 53/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
Correctifs pour 'Mac OS X' et 'Mac OS X Server'
Apple a annoncé la disponibilité de correctifs pour les plate-formes 'Mac OS X' et 'Mac OS X Server' versions
10.4.11 et 10.5 à 10.5.4. Ils corrigent de multiples failles dans les composants 'ClamAV', 'ImageIO', 'libresolv',
'mDNSResponder', 'OpenSSH' et 'QuickDraw Manager'.
http://lists.apple.com/archives/security-announce/2008/Sep/msg00005.html
CVE-2008-0314, CVE-2008-1100, CVE-2008-1382, CVE-2008-1387, CVE-2008-1447, CVE-2008-1483, CVE-2008-1657, CVE-20081833, CVE-2008-1835, CVE-2008-1836, CVE-2008-1837, CVE-2008-2327, CVE-2008-2713, CVE-2008-3215, CVE-2008-3614
Nouvelle version du micro-logiciel pour Apple 'iPhone'
Apple a annoncé, dans le bulletin APPLE-SA-2008-09-12, la disponibilité de la version 2.1 du micro-logiciel pour
Apple 'iPhone'. Ils corrigent de multiples failles qui permettent de contourner certains mécanismes de sécurité et
d'exécuter du code arbitraire, entre autres choses.
http://lists.apple.com/archives/security-announce/2008/Sep/msg00004.html
CVE-2008-1447, CVE-2008-1806, CVE-2008-1807, CVE-2008-1808, CVE-2008-3612, CVE-2008-3631, CVE-2008-3632, CVE-20083633
Version 3.2.2 du produit 'Apple Remote Desktop'
Apple a annoncé la disponibilité de la version 3.2.2 du produit 'Apple Remote Desktop'. Cette version corrige une
faille dans 'ARDAgent' qui permet à un utilisateur local d'obtenir des droits privilégiés.
http://lists.apple.com/archives/security-announce/2008/Sep/msg00006.html
CVE-2008-2830
CIAC
Reprise de l'alerte Cisco 107696
Le CIAC a repris, sous la référence S-376, l'alerte Cisco 107696 concernant une erreur de configuration dans
'Simple Network Management Protocol' (SNMP) qui permet à un attaquant d'obtenir une élévation de privilèges.
http://www.ciac.org/ciac/bulletins/s-376.shtml
CVE-2008-3807
Reprise de l'avis Microsoft MS08-052
Le CIAC a repris, sous la référence S-372, l'avis Microsoft MS08-052 concernant des failles dans le composant
'GDI+' qui permet d'exécuter du code arbitraire.
http://www.ciac.org/ciac/bulletins/s-372.shtml
CVE-2007-5348, CVE-2008-3012, CVE-2008-3013, CVE-2008-3014, CVE-2008-3015
Reprise de l'avis Microsoft MS08-053
Le CIAC a repris, sous la référence S-373, l'avis Microsoft MS08-053 concernant une faille dans un contrôle ActiveX
de 'Windows Media Encoder' qui permet d'exécuter du code arbitraire.
http://www.ciac.org/ciac/bulletins/s-373.shtml
CVE-2008-3008
Reprise de l'avis Microsoft MS08-054
Le CIAC a repris, sous la référence S-374, l'avis Microsoft MS08-054 concernant une faille dans le lecteur 'Windows
Media Player' qui permet d'exécuter du code arbitraire.
http://www.ciac.org/ciac/bulletins/s-374.shtml
CVE-2008-2253
Reprise de l'avis Microsoft MS08-055
Le CIAC a repris, sous la référence S-375, l'avis Microsoft MS08-055 concernant une faille dans Microsoft Office qui
permet à un attaquant d'exécuter du code arbitraire.
http://www.ciac.org/ciac/bulletins/s-375.shtml
CVE-2008-3007
CITRIX
Faille 'DNS' dans le produit 'Access Gateway'
Citrix a annoncé, dans le bulletin CTX118183, la vulnérabilité du produit 'Access Gateway' à la faille 'DNS'
référencée CVE-2008-1447. Elle permet de corrompre le cache d'une machine vulnérable. Un correctif est
disponible.
http://support.citrix.com/article/CTX118183
CVE-2008-1447
FREEBSD
Disponibilité de plusieurs correctifs
FreeBSD annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages:
amd64
FreeBSD-SA-08:07
nmount
FreeBSD-SA-08:08
icmp6
FreeBSD-SA-08:09
http://www.freebsd.org/security/advisories.html
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 54/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
HP
Publication du document HPSBMA02369 (SSRT080115)
HP a annoncé, dans le bulletin HPSBMA02369 (SSRT080115), la vulnérabilité du produit HP ProLiant Essentials
Rapid Deployment Pack (RDP) aux failles affectant Symantec 'Altiris Deployment Solution'. Elles permettent de
provoquer des dénis de service et l'exécution de code arbitraire. HP préconise d'installer les correctifs Symantec.
http://www12.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01548422-1
CVE-2008-2286, CVE-2008-2287, CVE-2008-2288, CVE-2008-2289, CVE-2008-2290, CVE-2008-2291
Publication du document HPSBST02372 (SSRT080133)
HP a annoncé, dans le bulletin HPSBST02372 (SSRT080133), la vulnérabilité de 'Storage Management Appliance'
(SMA) aux failles Microsoft référencées CVE-2007-5348, CVE-2008-3012, CVE-2008-3013, CVE-2008-3014, CVE2008-3015, CVE-2008-3008, CVE-2008-2253, CVE-2008-3007. Elles permettent l'exécution de code arbitraire. HP
préconise d'installer les correctifs Microsoft.
http://www11.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01560892-1
CVE-2007-5348, CVE-2008-2253, CVE-2008-3007, CVE-2008-3008, CVE-2008-3012, CVE-2008-3013, CVE-2008-3014, CVE-20083015
Publication du document HPSBUX02354 (SSRT080113)
HP a publié le document HPSBUX02354 (SSRT080113) concernant la vulnérabilité du produit 'Red Hat Directory
Server' livré avec 'HP-UX' aux failles référencées CVE-2008-2928, CVE-2008-2929, CVE-2008-2930 et CVE-20083283. Elles permettent de mener des attaques de type "Cross-Site Scripting" et de provoquer des dénis de service.
Des correctifs sont disponibles.
http://www12.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01532861-1
CVE-2008-2928, CVE-2008-2929, CVE-2008-2930, CVE-2008-3283
Révision du bulletin HPSBOV02364 (SSRT080078)
HP a révisé le bulletin HPSBOV02364 (SSRT080078) concernant une faille dans 'OpenVMS' qui permet à un
utilisateur local d'obtenir des droits privilégiés. Cette révision annonce la vulnérabilité de la plate-forme 'OpenVMS
VAX' versions 6.2 et 7.3, ainsi que la disponibilité des correctifs associés.
http://www12.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01539423-2
CVE-2008-3540
Révision du bulletin HPSBOV02364 (SSRT080078)
HP a révisé le bulletin HPSBOV02364 (SSRT080078) concernant une faille dans 'OpenVMS' qui permet à un
utilisateur local d'obtenir des droits privilégiés. Cette révision inclus le correctif Alpha version 6.2.
http://www11.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01539423-3
CVE-2008-3540
IBM
Correctifs CVE-2008-2939 pour WebSphere
IBM a annoncé, dans le bulletin PK70937, la disponibilité de la version 6.1.0.21 pour 'WebSphere Application Server
for z/OS'. Elle corrige un manque de validation dans le module 'mod_proxy_ftp' du serveur 'Apache' qui permet de
mener des attaques de type "Cross-Site Scripting".
http://www-01.ibm.com/support/docview.wss?uid=swg1PK70937
CVE-2008-2939
INGATE
Faille CVE-2008-1447 dans les produits Ingate
Ingate a annoncé la disponibilité de la version 4.6.4 pour les produits Ingate 'Firewall' et 'SIParator'. Cette nouvelle
version corrige la faille 'DNS' référencée CVE-2008-1447, permettant de corrompre le cache d'une machine
vulnérable.
http://www.ingate.com/relnote-464.php
CVE-2008-1447
MICROSOFT
Révision du bulletin MS08-052 (954593)
Microsoft a révisé le bulletin MS08-052 (954593) concernant des failles dans 'GDI+' dans les produits Microsoft qui
permettent d'exécuter du code arbitraire. Cette révision ajoute de nouveaux produits dans la liste des produits
vulnérables.
http://www.microsoft.com/technet/security/Bulletin/MS08-052.mspx
CVE-2007-5348, CVE-2008-3012, CVE-2008-3013, CVE-2008-3014, CVE-2008-3015
NETBSD
Correctifs 'racoon' pour 'NetBSD'
Le projet NetBSD a annoncé, dans le bulletin NetBSD-SA2008-012, la disponibilité de correctifs pour 'racoon' sur
'NetBSD' version 4.0. Ils corrigent une faille qui permet de provoquer un déni de service.
http://archives.neohapsis.com/archives/netbsd/2008-q3/0046.html
CVE-2008-3652
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 55/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
NORTEL
Faille CVE-2008-0960 dans les produits Nortel
Nortel a annoncé la vulnérabilité des produits Nortel 'Switched Firewall 5100 Series' et 'Switched Firewall 6000
Series' à la faille référencée CVE-2008-0960. Cette faille dans l'implémentation SNMP permet d'usurper des paquets
SNMPv3 authentifiés.
http://support.nortel.com/go/main.jsp?cscat=BLTNDETAIL&id=766427
CVE-2008-0960
Faille DNS dans un produit Nortel
Nortel a annoncé la vulnérabilité du produit 'Business Communications Manager' (BCM) versions 4.x à la faille 'DNS'
référencée CVE-2008-1447. Elle permet de corrompre le cache d'une machine vulnérable. Il n'y a pas de correctif
actuellement disponible.
http://support.nortel.com/go/main.jsp?cscat=BLTNDETAIL&id=762152
CVE-2008-1447
LINUX DEBIAN
Disponibilité de nombreux correctifs
Debian annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages:
slash
DSA-1633
wordnet
DSA-1634
freetype
DSA-1635
linux 2.6.24
DSA-1636
git-core
DSA-1637
openssh
DSA-1638
twiki
DSA-1639
python-django DSA-1640
phpmyadmin
DSA-1641
horde3
DSA-1642
http://www.debian.org/security/2008/
LINUX FEDORA
Disponibilité de nombreux correctifs
Fedora annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages:
samba
F8
F9 FEDORA-2008:7243
wordpress
F8
FEDORA-2008:7463
F9 FEDORA-2008:7279
bitlbee
F8
FEDORA-2008:7712
F9 FEDORA-2008:7274
xastir
F8
FEDORA-2008:7269
F9 FEDORA-2008:7739
amarok
F8
FEDORA-2008:7719
fedora
F8
FEDORA-2008:7747
F9 FEDORA-2008:7748
libtiff
F8
FEDORA-2008:7388
F9 FEDORA-2008:7370
awstats
F8
FEDORA-2008:7684
F9 FEDORA-2008:7663
openoffice
F8
FEDORA-2008:7531
F9 FEDORA-2008:7680
django
F8
FEDORA-2008:7288
F9 FEDORA-2008:7672
packagekit
F9 FEDORA-2008:7748
libxml2
F8
FEDORA-2008:7724
F9 FEDORA-2008:7395
xine-lib
F8
FEDORA-2008:7572
F9 FEDORA-2008:7512
adminutil
F8
FEDORA-2008:7642
F9 FEDORA-2008:7339
rpy
F8
FEDORA-2008:7619
F9 FEDORA-2008:7670
yelp
F8
FEDORA-2008:7293
R
F8
FEDORA-2008:7619
F9 FEDORA-2008:7670
bluez
F8
FEDORA-2008:6133
drupal
F8
FEDORA-2008:7467
F9 FEDORA-2008:7626
xastir
F9 FEDORA-2008:7541
fedora-ds-base
F8
FEDORA-2008:7891
F9 FEDORA-2008:7813
bitlbee
F8
FEDORA-2008:7761
F9 FEDORA-2008:7830
wordpress
F8
FEDORA-2008:7760
F9 FEDORA-2008:7902
poppler
F9 FEDORA-2008:7012
httrack
F8
FEDORA-2008:7896
F9 FEDORA-2008:7862
tomcat
F9 FEDORA-2008:7977
wireshark
F8
FEDORA-2008:7894
F9 FEDORA-2008:7936
fedora-release
F9 FEDORA-2008:7748
libHX / pam_mount
F8
FEDORA-2008:7973
F9 FEDORA-2008:7976
ipa
F8
FEDORA-2008:7987
F9 FEDORA-2008:8003
ssmtp
F8
FEDORA-2008:8040
F9 FEDORA-2008:8069
fedora-package
F8
FEDORA-2008:8100
F9 FEDORA-2008:8073
tomcat
F8
FEDORA-2008:8130
F9 FEDORA-2008:8113
viewvc
F8
FEDORA-2008:8270
F9 FEDORA-2008:8252
initscript
F9 FEDORA-2008:7667
phpMyAdmin
F8
FEDORA-2008:8286
F9 FEDORA-2008:8335
rkhunter
F8
FEDORA-2008:8364
F9 FEDORA-2008:8314
phpMyAdmin
F9 FEDORA-2008:8370
rubygem
F9 FEDORA-2008:8322
navigateurs
F8
FEDORA-2008:8399
F9 FEDORA-2008:8425
seamonkey
F8
FEDORA-2008:8401
F9 FEDORA-2008:8429
https://www.redhat.com/archives/fedora-package-announce/index.html
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 56/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
LINUX MANDRIVA
Disponibilité de nombreux correctifs
Mandrake annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages:
ipsec-tools
MDVSA-2008:181
2007.1 2008
2008.1
CS4.0 MNF2.0
wordnet
MDVSA-2008:182
2008
2008.1
opensc
MDVSA-2008:183
2007.1 2008
2008.1
CS4.0
libtiff
MDVSA-2008:184
2007.1 2008
2008.1 CS3.0 CS4.0 MNF2.0
python-django
MDVSA-2008:185
2007.1 2008
2008.1
python
MDVSA-2008:186
CS3.0
MNF2.0
tomcat5
MDVSA-2008:188
2008
2008.1
clamav
MDVSA-2008:189
2007.1 2008
2008.1 CS3.0 CS4.0
postfix
MDVSA-2008:190
2008
2008.1
rsh
MDVSA-2008:191
2007.1 2008
2008.1 CS3.0
libxml2
MDVSA-2008:192
2007.1 2008
2008.1 CS3.0 CS4.0
kolab-server
MDVSA-2008:193
CS3.0
apache2
MDVSA-2008:194
CS3.0
MNF2.0
apache
MDVSA-2008:195
2007.1 2008
2008.1 CS3.0 CS4.0 MNF2.0
mplayer
MDVSA-2008:196
2008
2008.1 CS3.0
koffice
MDVSA-2008:197
2008
2008.1
R-base
MDVSA-2008:198
2008
2008.1
wireshark
MDVSA-2008:199
2008
2008.1
CS4.0
ed
MDVSA-2008:200
2007.1 2008
2008.1 CS3.0 CS4.0
pan
MDVSA-2008:201
2008
2008.1
phpMyAdmin
MDVSA-2008:202
CS4.0
awstats
MDVSA-2008:203
CS4.0
blender
MDVSA-2008:204
2008
2008.1
firefox
MDVSA-2008:205
2008
2008.1 CS3.0 CS4.0
thunderbird
MDVSA-2008:206
2008
2008.1 CS3.0
http://www.mandriva.com/en/security/advisories
LINUX REDHAT
Disponibilité de nombreux correctifs
RedHat annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages:
libtiff
RHSA-2008:0847-01
AS.ES.WS 5.0
libtiff
RHSA-2008:0848-01
AS.ES.WS 4.0
libtiff
RHSA-2008:0863-01 AS.ES.WS 2.1 AS.ES.WS 3.0
redhat-ds-base RHSA-2008:0858-01
ipa
RHSA-2008:0860-01
libxml2
RHSA-2008:0884-01
AS.ES.WS 3.0 AS.ES.WS 4.0
AS.ES.WS 5.0
libxml2
RHSA-2008:0886-01 AS.ES.WS 2.1
bzip2
RHSA-2008:0893-01 AS.ES.WS 2.1 AS.ES.WS 3.0 AS.ES.WS 4.0
AS.ES.WS 5.0
RealPlayer
RHSA-2008:0812-01
AS.ES.WS 3.0 AS.ES.WS 4.0
firefox
RHSA-2008:0879-01
AS.ES.WS 4.0
AS.ES.WS 5.0
seamonkey
RHSA-2008:0882-01 AS.ES.WS 2.1 AS.ES.WS 3.0 AS.ES.WS 4.0
kernel
RHSA-2008:0885-01
AS.ES.WS 5.0
IPA
IPA
https://www.redhat.com/archives/enterprise-watch-list/
LINUX SuSE
Disponibilité de nombreux correctifs
SuSE annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages:
kernel
SUSE-SA:2008:044
ibm-java
SUSE-SA:2008:045
gnu-tls
SUSE-SA:2008:046
Security Report
SUSE-SR:2008:017
Security Report
SUSE-SR:2008:018
http://www.novell.com/linux/security/advisories.html
RUBY ON RAILS
Disponibilité de la version 2.0.4
La version 2.0.4 de 'Ruby on Rails' est disponible. Elle corrige la faille référencée CVE-2008-3790 dans le module
'REXML'. Elle permet de provoquer un déni de service.
http://weblog.rubyonrails.org/2008/9/3/rails-2-0-4-maintenance-release
CVE-2008-3790
SUN
Publication du bulletin 241646
Sun a publié le document 241646 concernant un débordement de buffer dans l'outil 'tar' qui affecte Solaris versions
9 et 10 et OpenSolaris. Cette faille permet à un attaquant d'exécuter du code arbitraire et de provoquer un déni de
service.
http://sunsolve.sun.com/search/document.do?assetkey=1-66-241646-1
CVE-2006-0300
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 57/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
Publication du document 239908
Sun a publié le document 239908 concernant une erreur de conception dans 'Veritas NetBackup' qui permet à un
attaquant d'obtenir une élévation de privilèges et ainsi d'exécuter du code arbitraire. Un correctif est disponible.
http://sunsolve.sun.com/search/document.do?assetkey=1-66-239908-1
Publication du document 241786
Sun a annoncé, dans le bulletin 241786, la vulnérabilité de la commande 'bzip2' et de la bibliothèque 'libbz2' fournis
avec 'Solaris' à la faille référencée CVE-2008-1372. Elle permet d'exécuter du code arbitraire. Des correctifs sont
disponibles.
http://sunsolve.sun.com/search/document.do?assetkey=1-66-241786-1
CVE-2008-1372
Révision du bulletin 200070 (anciennement 102720)
Sun a révisé le bulletin 200070 (anciennement 102720) concernant la vulnérabilité des plate-formes Sun 'Solaris'
version 10 et Sun 'JDS release 2' à la faille CVE-2006-3404, affectant 'gimp' qui peut entraîner un déni de service et
l'exécution de code arbitraire. Cette révision résout et clos le bulletin.
http://sunsolve.sun.com/search/document.do?assetkey=1-66-200070-1
CVE-2006-3404
Révision du bulletin 200386 (anciennement 101918)
Sun a révisé le bulletin 200386 (anciennement 101918) concernant une erreur de conception dans le produit Sun
'Java System Access Manager' qui peut permettre à un utilisateur local malveillant d'obtenir des informations
sensibles. Cette révision met à jour les solutions.
http://sunsolve.sun.com/search/document.do?assetkey=1-66-200386-1
Révision du bulletin 200558 (anciennement 103180)
Sun a révisé le bulletin 200558 (anciennement 103180) concernant des failles non documentées dans 'Sun Java
System Identity Manager' qui permettent à des attaquants locaux et distants de mener des attaques de type
"Cross-Site Scripting", d'injecter du code 'HTML' et de rediriger le navigateur vers d'autres sites. Cette révision
résout et clos le bulletin.
http://sunsolve.sun.com/search/document.do?assetkey=1-66-200558-1
Révision du bulletin 201227 (anciennement 103175)
Sun a révisé le bulletin 201227 (anciennement 103175) concernant une faille dans Sun 'Ray Server Software' qui
permet de provoquer un déni de service du produit et de corrompre des informations sur le serveur. Cette révision
annonce la mise à jour des sections "Contributing Factors" et "Resolution", et clos le bulletin.
http://sunsolve.sun.com/search/document.do?assetkey=1-66-201227-1
Révision du bulletin 201251
Sun a révisé le bulletin 2201251 concernant une faille dans la console d'administration 'Java System Access
Manager' qui permet à un attaquant de mener des attaques de type "Cross-Site Scripting". Cette révision met à
jour les solutions.
http://sunsolve.sun.com/search/document.do?assetkey=1-66-201251-1
Révision du bulletin 201320 (anciennement 103170)
Sun a révisé le bulletin 201320 (anciennement 103170) concernant la vulnérabilité de l'application 'GIMP' fournie
avec 'Solaris' aux failles référencées CVE-2005-1046, CVE-2007-2356 et CVE-2007-2949. Elles permettent de
provoquer un déni de service de l'application ou l'exécution de code arbitraire. Cette révision annonce la mise à jour
des sections "Contributing Factors" et "Resolution", et clos le bulletin.
http://sunsolve.sun.com/search/document.do?assetkey=1-66-201320-1
CVE-2005-1046, CVE-2007-2356, CVE-2007-2949
Révision du bulletin 201331 (anciennement 103160)
Sun a révisé le bulletin 201331 (anciennement 103160) concernant la vulnérabilité de la bibliothèque 'libtiff' de
'Solaris' versions 8, 9 et 10 aux failles référencées CVE-2006-2193, CVE-2006-3459, CVE-2006-3460, CVE-20063461, CVE-2006-3462, CVE-2006-3463, CVE-2006-3464 et CVE-2006-3465. Cette révision annonce la mise à jour
des sections "Contributing Factors" et "Resolution", et clos le bulletin.
http://sunsolve.sun.com/search/document.do?assetkey=1-66-201331-1
CVE-2006-2193, CVE-2006-3459, CVE-2006-3460, CVE-2006-3461, CVE-2006-3462, CVE-2006-3463, CVE-2006-3464, CVE-20063465
Révision du bulletin 201505 (anciennement 103125)
Sun a révisé le bulletin 201505 (anciennement 103125) concernant la vulnérabilité du navigateur 'Mozilla' version
1.7 fourni avec 'Solaris' versions 8 à 10 aux failles référencées CVE-2007-2868. Cette révision met à jour les
sections "Contributing Factors" et "Resolution", et clos le bulletin.
http://sunsolve.sun.com/search/document.do?assetkey=1-66-201505-1
CVE-2007-2868
Révision du bulletin 239930
Sun a révisé le bulletin 239930 concernant une faille dans Sun 'Netra T5220 Server' qui permet de provoquer un
déni de service de ce produit. Cette révision annonce la mise à jour des sections "Products", "Impact", "Contributing
Factors" et "Resoluton".
http://sunsolve.sun.com/search/document.do?assetkey=1-66-239930-1
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 58/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
Révision du bulletin 239312
Sun a révisé le bulletin 239312 concernant des failles dans le serveur 'Tomcat' livré avec 'Solaris' versions 9 et 10.
Elles permettent de provoquer un déni de service entre autres choses. Cette révision annonce la mise à jour des
sections "Contributing Factors" et "Resolution" et clos le bulletin.
http://sunsolve.sun.com/search/document.do?assetkey=1-66-239312-1
CVE-2002-1148, CVE-2002-1394, CVE-2002-2006, CVE-2003-0866, CVE-2005-2090, CVE-2005-3164, CVE-2005-3510, CVE-20063835, CVE-2007-0450, CVE-2007-1355, CVE-2007-1358, CVE-2007-2450, CVE-2007-5461
Révision du bulletin 239312
Sun a révisé le bulletin 239312 concernant des failles dans le serveur 'Tomcat' livré avec 'Solaris' versions 9 et 10.
Elles permettent de provoquer un déni de service entre autres choses. Cette révision annonce la mise à jour des
sections "Contributing Factors" et "Resolution" et clos le bulletin.
http://sunsolve.sun.com/search/document.do?assetkey=1-66-239312-1
CVE-2002-1148, CVE-2002-1394, CVE-2002-2006, CVE-2003-0866, CVE-2005-2090, CVE-2005-3164, CVE-2005-3510, CVE-20063835, CVE-2007-0450, CVE-2007-1355, CVE-2007-1358, CVE-2007-2450, CVE-2007-5461
Révision du bulletin 239312
Sun a révisé le bulletin 239312 concernant des failles dans le serveur 'Tomcat' livré avec 'Solaris' versions 9 et 10.
Elles permettent de provoquer un déni de service entre autres choses. Cette révision annonce la mise à jour des
sections "Contributing Factors" et "Resolution" et clos le bulletin.
http://sunsolve.sun.com/search/document.do?assetkey=1-66-239312-1
CVE-2002-1148, CVE-2002-1394, CVE-2002-2006, CVE-2003-0866, CVE-2005-2090, CVE-2005-3164, CVE-2005-3510, CVE-20063835, CVE-2007-0450, CVE-2007-1355, CVE-2007-1358, CVE-2007-2450, CVE-2007-5461
Révision du bulletin 228526 (anciennement 102550)
Sun a révisé le bulletin 228526 (anciennement 102550) concernant de multiples failles dans la suite Mozilla qui
permettaient en particulier de provoquer des dénis de services et l'exécution de code arbitraire, et d'obtenir une
élévation de ses privilèges. Cette révision résout et clos le bulletin.
http://sunsolve.sun.com/search/document.do?assetkey=1-66-228526-1
CVE-2005-4134, CVE-2006-0292, CVE-2006-0293, CVE-2006-0296, CVE-2006-0748, CVE-2006-0749, CVE-2006-0884, CVE-20061724, CVE-2006-1727, CVE-2006-1728, CVE-2006-1729, CVE-2006-1730, CVE-2006-1731, CVE-2006-1732, CVE-2006-1733, CVE2006-1734, CVE-2006-1735, CVE-2006-1736, CVE-2006-1737, CVE-2006-1738, CVE-2006-1739, CVE-2006-1740, CVE-2006-1741,
CVE-2006-1742, CVE-2006-1790
Révision du bulletin 238686
Sun a révisé le bulletin 238686 concernant la vulnérabilité du serveur X fourni avec 'Solaris' et 'OpenSolaris' aux
failles référencées CVE-2008-2360, CVE-2008-2361, CVE-2008-2362, CVE-2008-1379 et CVE-2008-1377. Elles
permettent de provoquer l'exécution de code arbitraire, un déni de service et l'exposition d'informations. Cette
révision met à jour les sections "Contributing Factors" et "Resolution".
http://sunsolve.sun.com/search/document.do?assetkey=1-66-238686-1
CVE-2008-1377, CVE-2008-1379, CVE-2008-2360, CVE-2008-2361, CVE-2008-2362
Révision du bulletin 240106
Sun a révisé le bulletin 240106 concernant de multiples vulnérabilités dans Adobe 'Reader' fourni avec 'Solaris'
version 10. Cette révision met à jour les sections "Contributing Factors" et "Resolution", et clos le bulletin.
http://sunsolve.sun.com/search/document.do?assetkey=1-66-240106-1
CVE-2008-0883, CVE-2008-2641
Révision du bulletin 240706
Sun a révisé le bulletin 240706 concernant une faille dans le noyau des plate-formes 'Solaris' qui permet à deux
processus locaux non privilégiés de contourner certains mécanismes de sécurité. Cette révision annonce la mise à
jour de la section "Resolution".
http://sunsolve.sun.com/search/document.do?assetkey=1-66-240706-1
VMWARE
Correctifs 'openwsman' pour 'ESX' et 'ESXi'
VMware a publié le document VMSA-2008-0015 annonçant la disponibilité de correctifs pour 'Openwsman' sur
VMware 'ESX' et 'ESXi' version 3.5. Ils corrigent des débordements de buffer qui permettent de provoquer des dénis
de service et l'exécution de code arbitraire.
http://lists.grok.org.uk/pipermail/full-disclosure/2008-September/064554.html
CVE-2008-2234
Correctifs pour 'freetype', 'cairo', 'libpng' et 'bind'
VMware a annoncé, dans le bulletin VMSA-2008-0014, la disponibilité de correctifs pour 'freetype', 'cairo', 'libpng' et
'bind' pour les produits VMware. Ils corrigent de multiples failles qui permettent d'exécuter du code arbitraire ou de
provoquer un déni de service, entre autres choses.
http://marc.info/?l=bugtraq&m=122011465815314&w=2
CVE-2007-5269, CVE-2007-5503, CVE-2008-1447, CVE-2008-1806, CVE-2008-1807, CVE-2008-1808
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 59/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
US-CERT
Reprise de l'alerte Apple 2008-006
L'US-CERT a repris, sous la référence TA08-260A, l'alerte Apple 2008-006 concernant de multiples failles dans 'Mac
OS X' et 'Mac OS X Server' qui permettent d'exécuter du code arbitraire et de provoquer des dénis de service, entre
autres choses.
http://www.us-cert.gov/cas/techalerts/TA08-260A.html
CVE-2008-2305, CVE-2008-2329, CVE-2008-2330, CVE-2008-2331, CVE-2008-2332, CVE-2008-3608, CVE-2008-3609, CVE-20083610, CVE-2008-3611, CVE-2008-3613
Reprise des avis Microsoft de Septembre 2008
L'US-CERT a repris, sous la référence TA08-253A, les avis Microsoft de Septembre 2008 concernant de multiples
failles dans les produits Windows, Windows Media Encoder et Office. Ces failles permettent d'exécuter du code
arbitraire.
http://www.uscert.gov/cas/techalerts/TA08-253A.html
CVE-2007-5348, CVE-2008-2253, CVE-2008-3007, CVE-2008-3008, CVE-2008-3012, CVE-2008-3013, CVE-2008-3014, CVE-20083015
CODES D’EXPLOITATION
Les codes d’exploitation des vulnérabilités suivantes ont fait l’objet d’une large diffusion :
MICROSOFT
Code d'exploitation pour la faille MS08-053
Un code a été publié sur le site Web Milw0rm. Il exploite la faille Microsoft MS08-053, un débordement de buffer
dans un contrôle ActiveX de 'Windows Media Encoder' qui permet d'exécuter du code arbitraire. Ce code permet
d'exécuter la calculatrice.
http://milw0rm.com/exploits/6454
CVE-2008-3008
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 60/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
OUTILS
SECURELOGIX – VOIP SECURITY ASSESSMENT TOOL SUITE
ƒ Description
Début septembre, Mark Collier, directeur technique de la société SecureLogix et auteur de
l’ouvrage ‘Hacking Exposed: VoIP’, annonçait dans son blog la prochaine mise à disposition des
outils d’analyse et de test développés dans le cadre de cet ouvrage. Et en effet, le 21 septembre, un paquetage était
rendu accessible sur le site de la société SecureLogix sous la forme d’un fichier d’archive de 5.6Mo contenant les
sources de quelques 37 outils et librairies de support, moyennant toutefois un enregistrement préalable.
Ces outils sont annoncés avoir tous été testés en environnement Linux RedHat mais doivent pouvoir être compilés
dans tout environnement LINUX sans grandes modifications par toute personne ayant une bonne connaissance du
langage ‘C’, de l’environnement de développement et des outils associés. Les utilitaires sont en effet livrés ‘brut de
fonderie’ sous la forme d’autant de fichiers d’archive qu’il y a d’outils, chaque archive ne contenant d’autres fichiers
d’accompagnement que le fichier d’aide à la compilation, le célèbre Makefile, et un fichier ‘readme’ contenant quelques
indications utiles sur les dépendances et les options d’utilisation.
En l’absence de fichier de compilation global, de script de génération de configuration et même de procédures
d’installation, l’utilisateur devra parcourir chacun des répertoires pour compiler le source s’y trouvant puis déplacer
l’exécutable, ou les librairies de support, dans le répertoire ad hoc, généralement les répertoires ‘/usr/local/bin’ et
‘/usr/local/lib’.
Le tableau ci-dessous liste les outils et librairies livrés dans le paquetage actuellement diffusé par SecureLogix
(‘SecureLogix_VOIP_tools_091508’) triés par catégorie et protocole.
check_sync_reboot
teardown
Byeflood
subflood
regflood
optionsflood
inviteflood
sip_rogue
regquery
add_registrations
reghijacker
redirectpoison
erase_registrations
dirscan
distillusers
dirsniff
dirsortmerge
CallMonitor
sipsniffer
authtool
iaxflood
spitter
rtpflood
rtpinsertsound
rtpmixsound
udpflood.tar
udpfloodVLAN
tcpsynflood
vlanping
g711conversions
xmms_g711_rtp
hack_library
libnet
libpcap
libattackaudio
libfindrtp
libmd5
2.1
1.0
1.0
1.0
1.0
2.2
1.2
1.0
1.1
1.1
1.1
1.1
3.0
1.0
1.0
1.4
1.3
1.1
SIP
SIP
SIP
SIP
SIP
SIP
SIP
SIP
SIP
SIP
SIP
SIP
SIP
SIP
SIP
SUIP
SIP
SIP
IAX
IAX
RTP
3.0
RTP
3.0
RTP
UDP
UDP
TCP
TCP
AUD
RTP
NET
NET
0.9.4 NET
RTP
0.4b RTP
SEC
Réinitialise un équipement par l’envoi d’une requête NOTIFY
Sature un équipement par l’envoi d’une multitude de requêtes BYE
Sature un équipement par l’envoi d’une multitude de requêtes BYE
Sature un équipement par l’envoi d’une multitude de requêtes SUBSCRIBE
Sature un équipement par l’envoi d’une multitude de requêtes REGISTER
Sature un équipement par l’envoi d’une multitude de requêtes OPTIONS
Sature un équipement par l’envoi d’une multitude de requêtes INVITE
Simule un équipement SIP programmable par le biais de scénarios
Collecte des informations d’enregistrement via la requête REGISTER
Ajoute de nouveaux contact par le biais de requêtes REGISTER
Manipule les enregistrements
Retourne une réponse 301 – Move Permanently – sur une requête INVITE
Détruit tous les contacts via des requêtes REGISTER
Sonde un environnement par le biais de requêtes OPTIONS
Analyse les résultats produits par l’outil ‘dirscan’
Collecte tous les messages SIP transitant sur le réseau
Analyse les fichiers contenant les messages SIP collecté par l’outil ‘dirsniff’
Surveille le trafic SIP et interagit avec celui-ci
Collecte et génère des conversations. Fonctionne avec CallMonitor
Collecte les requêtes contenant un digest MD5 et tente de forcer celui-ci
Sature un équipement par l’envoi d’une multitude de paquets IAX
Génère des appels indésirables de type SPIT (Spam)
Sature un équipement par l’ouverture de multiple flux RTP
Insère un flux RTP
Manipule un flux RTP
Flood UDP
Flood UDP VLAN
Flood TCP SYN
Ping VLAN
CODEC G711
Module G711 pour XMMS
Librairie de support
Librairie de support
Librairie de support
Librairie de support
Librairie de support
Librairie de support
ƒ Complément d’information
http://voipsecurityblog.typepad.com/marks_voip_security_blog/
http://www.securelogix.com/voipscanner/index.htm
http://download.securelogix.com/library/SecureLogix_VOIP_tools_091508.zip
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
Page 61/62
Diffusion restreinte aux clients abonnés au service de veille technologique
Septembre 2008
JAVA - COJAC
ƒ Description
Présenté dans le numéro du mois de Septembre du journal Dr.Dobb, l’utilitaire COJAC – le sigle de Checked
Overflows in JAva Code – a été développé par Frédéric Bapst, un professeur de l’école d’ingénieurs de
Fribourg – EIA-FR- aidé de deux de ses étudiants.
Cet utilitaire permet de détecter les problèmes de débordements d’entier dans un code Java, problèmes pouvant
conduire non seulement à des dysfonctionnements de l’application mais aussi à mettre en péril la sécurité de
l’application. Le terme ‘débordement d’entier’ est associé à une classe de problèmes indépendant du langage de
programmation utilisé, problèmes longtemps considérés comme relevant d’une simple erreur de codage et n’ayant pas
grande implication en terme de sécurité. Il n’en est rien comme cela a été publiquement mis en évidence il y a
maintenant 6 ans dans un remarquable article du numéro 60 du fabuleux magazine en ligne, Phrack.
Nous laisserons à nos lecteurs le soin de découvrir par le menu les implications d’une erreur de calcul ayant pour
origine une opération mathématique conduisant à affecter à la variable d’arrivée un résultat ne pouvant y être stocké
sans risque de troncature. Un cas qui, s’il est rarement rencontré avec les langages dits non typés ou avec nos bonnes
vieilles calculatrices, n’en reste pas moins un piège classique dans lequel tombent un jour où l’autre tous les
développeurs, ayant oublié qu’une variable de type ‘entier’ ne pourra contenir de nombres supérieurs à une certaine
limite dépendant généralement du langage et dans une moindre mesure du processeur.
Ainsi, en langage ‘C’, le type ‘entier’ – ‘int’ – est non seulement stocké dans un mot de 2 octets – 32 bits - mais
s’avère aussi être, par défaut, un nombre signé. Une variable déclarée de ce type ne pourra ainsi contenir de valeurs
supérieures à 2147483647 et inférieures à -2147483648 sauf à être tronquée ou à changer de signe.
Certains langages disposent de ‘garde-fous’ permettant d’avertir d’un problème potentiel lors d’opérations susceptibles
de générer une erreur dans le calcul ou dans l’évaluation d’une condition, d’autres non. Cependant, combien de
développeurs font réellement attention aux messages d’avertissement délivrés par leur compilateur, combien d’entres
eux sont réellement à même de comprendre le risque encouru à ne pas corriger correctement le problème ainsi
identifié. Que l’on compile un quelconque code source ‘C’ du domaine public pour découvrir dans la grande majorité
des cas des messages d’avertissement concernant un risque lié à l’utilisation d’un type erroné.
L’approche retenue par l’auteur de l’utilitaire COJAC consiste à instrumenter le code intermédiaire – dit ‘Byte Code’ généré par le compilateur Java avant d’exécuter celui-ci. Les résultats des opérations mathématiques liées à
l’utilisation de variables entières sont tous contrôlés par le biais de fonctions définies pour ne pas être elles-mêmes
impactées par un dépassement de capacité. Une approche classique et efficace mais opérant durant la phase
d’exécution de l’application avec les limitations associées: un ralentissement de l’exécution et une découverte aléatoire
et au fil de l’eau des problèmes.
La mise en œuvre de l’utilitaire COJAC est extrêmement simple puisqu’il suffit de compiler le code contenant l’outil
devant être vérifié avec la librairie d’archive.
java -jar cojac-0.91.jar [options] Class_Or_Jar_Filename
Cette approche pourrait parfaitement être intégrée dans la machine virtuelle Java chargée de l’exécution du code
intermédiaire quitte à être activée par le biais d’une option spécifique. A ce jour, la JVM – Java Virtual Machine – ne
gère d’autres exceptions que la division par zéro conduisant à ne pas détecter de nombreux cas de figures conduisant
à générer un résultat erroné: opérations d’incrémentation, d’addition, de soustraction, de division et de complément et
affectation d’un entier dans un type inférieur (short ou byte).
Nous conseillons à nos lecteurs, la lecture de page WEB consacrée au projet VisualAudio auquel a participé l’auteur
de COJAC. Ce projet vise à restituer le contenu sonore d’un disque de musique à partir de l’analyse de la photographie
des microsillons, et ce, quand bien même la laque constituant le support de gravure serait écaillée. Un projet bien
éloigné de nos préoccupations quotidiennes mais qui démontre que le problème de la récupération de données sur des
supports obsolètes parfois bien malmené n’est pas toujours une opération impossible. L’écoute de certains des
morceaux ainsi sauvés de l’oubli donne le frisson, en particulier l’enregistrement de 31s datant de 1916 relatif à
l’arrivée des troupes Anglaises en France.
ƒ Complément d’information
http://www.ddj.com/java/210500001
http://home.hefr.ch/bapst/cojac
http://www.phrack.org/issues.html?issue=60&id=10#article
http://project.eia-fr.ch/visualaudio/sounds.htm
Veille Technologique Sécurité N°122
© DEVOTEAM - Tous droits réservés
- La présentation de l’’outil dans la revue Dr.Dobb
- L’outil COJAC
- Article ‘Basic Integer Overflows’ – Phrack 60
- Projet Visual Record
Page 62/62
Diffusion restreinte aux clients abonnés au service de veille technologique
">