Veille Technologique Sécurité - cert devoteam

More documents

Recommendations

Info

Avril 2001 AXENT/SYMANTEC Détection du virus 'lion' par les produits Symantec Symantec annonce que la suite de ses produits IDS et antivirus est en mesure de détecter la présence et l'activité du virus 'lion'. Par ailleurs, nous vous recommandons la lecture de l'avis du SANS continuellement mis à jour ('http://www.sans.org/y2k/lion.htm'). http://www2.axent.com/swat/index.cfm?Doc=2001_03_26b Mise à jour pour 'ESM' (Enterprise Security Manager) Axent/Symantec a publié la 'Security Update 7' pour son produit ESM. Cette mise à jour intègre de nouvelles fonctionnalités pour Windows et pour de nombreux modules Unix (intégrité des comptes et du réseau, paramètres d'authentification...). http://www2.axent.com/swat/index.cfm?Doc=2001_04_05 Mise à jour 'SU4' pour 'Net Prowler 3.5.1' Axent/Symantec a publié la 'Security Update 4' pour son produit NetProwler. Cette mise à jour intègre de nouvelles signatures permettant la détection de caractères d'échappement, de remontée de répertoire, d'exploitation de vulnérabilités CGI et de débordement de buffer des serveurs FTP. Il renforce aussi la signature 'Stacheldraht' déjà présente. En somme, 22 nouvelles signatures viennent s'ajouter grâce à la mise à jour 'NetProwler 3.5.1 SU4'. http://www2.axent.com/swat/index.cfm?Doc=2001_04_06 Note au sujet des faux certificats Microsoft Symantec publie une note d'information au sujet des faux certificats Microsoft émis par VeriSign. Cette note fournit les recommandations d'usage afin de ne pas risquer de télécharger d'exécutables signés avec de faux certificats. http://www.symantec.com/avcenter/sirc/fraudulent.digital.certificate.html CERT Rapport annuel du CERT sur l'année 2000 Le CERT publie un rapport sur les incidents majeurs de l'année 2000 en matière de sécurité informatique. Dénis de service, vulnérabilités 'BIND', 'FTP' et 'rpc.statd', contrôles 'ActiveX' et virus y sont sommairement décrits et mis en relation aux alertes associées. http://www.cert.org/annual_rpts/cert_rpt_00.html Vulnérabilité Sun 'snmpXdmid' largement exploitée Le CERT publie, sous la référence CA-2001-05, un bulletin d'alerte au sujet de la vulnérabilité 'snmpXdmid' sous Sun Solaris 2.6, 7 et 8. Il reporte en effet qu'un grand nombre de sites ont été attaqués et fournit ainsi les indices permettant de détecter si un système a été compromis. Le bulletin est aussi disponible via FedCIRC sous la référence FA-2001-05 http://www.cert.org/advisories/CA-2001-05.html http://www2.fedcirc.gov/advisories/FA-2001-05.html Exploitation des vulnérabilités 'BIND' Le CERT publie, sous la référence IN-2001-03, une note recensant les différentes exploitations des vulnérabilités de 'BIND'. Elle permet de reconnaître un système infecté par un toolkit ou un ver exploitant une des failles. http://www.cert.org/incident_notes/IN-2001-03.html CIAC Récapitulatif des systèmes dont 'ntpd' est vulnérable Le CIAC publie, sous la référence L-071, un récapitulatif des systèmes dont le démon 'ntpd' est vulnérable. Les risques encourus sont critiques et peuvent mener un utilisateur distant à un déni de service, l'exécution de code distant, voire l'obtention d'un accès 'root' distant si la faille n'est pas corrigée. http://ciac.llnl.gov/ciac/bulletins/l-071.shtml IETF Faille de sécurité dans le protocole 'mobile IPv6' Le protocole 'Mobile IPv6' destiné à être utilisé dans les technologies 'sans-fils' apparait être moins sûr que prévu. Une vulnérabilité de conception dans l'un des mécanismes de sécurité pourrait amener le groupe de travail de l'IETF à revoir sa copie retardant ainsi sa mise en service. Aucune précision n'est disponible concernant cette vulnérabilité mais il semble qu'elle réside dans l'utilisation d'une adresse IPv6 en tant qu'élément fondamental de l'authentification du mobile, élement négocié lors du changement de zône du mobile par le biais de messages de mise à jour (Binding updates). La sécurité de ces messages est assurée par un mécanisme spécifique qui serait hélas susceptible d'une attaque de type 'Man-In-The-Middle'. http://www.idg.net/ic_497484_1794_9-10000.html ISC/BIND Disponibilité de BIND version 9.1.1 L'ISC annonce la disponibilité de la version stable de BIND 9.1.1. Cette nouvelle version n'apporte aucune nouvelle fonctionnalité mais en revanche corrige de nombreuses vulnérabilités dont 'TSIG' qui a été exploitée par le ver 'lion'. http://www.isc.org/products/BIND/bind9.html Veille Technologique Sécurité N°33 Page 36/59 © APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Avril 2001 LINUX REDHAT Annonce de la nouvelle version de Red Hat 7.1 (seawolf) Red Hat annonce sa nouvelle version du système d'exploitation Linux. La version 7.1 (seawolf) inclut de nombreuses améliorations et renforce la sécurité du système. Plusieurs outils de configuration ont été ajoutés. http://www.redhat.com/products/software/linux/rhl_new_features.html McAFEE Faux certificats VeriSign détectés par antivirus McAFEE propose une signature pour son antivirus permettant de détecter les faux certificats VeriSign. Il est en effet très astucieux d'utiliser cette méthode, le certificat pouvant s'apparenter à un virus par sa signature. http://vil.nai.com/vil/virusSummary.asp?virus_k=99058 MICROSOFT Outil de recherche par 'produit/service pack' Le site de Microsoft propose un nouvel outil en ligne permettant de connaître tous les bulletins liés à un produit et un service pack donnés. Il est ainsi possible recenser l'ensemble des correctifs appartenant à un service pack tout en ciblant le système utilisé. http://www.microsoft.com/technet/security/current.asp Décalage horaire dans certaines applications Microsoft Il semble qu'à partir du premier avril 2001, certaines applications soient susceptibles de renvoyer une heure incorrecte dans diverse routines C++, malgré un affichage correct de l'horloge. D'après Bugtraq, le problème en question durera jusqu'au 8 avril 2001. Il ne semble pas que cette annonce soit un poisson d'avril, un document officiel de Microsoft ayant été publié. http://msdn.microsoft.com/visualc/headlines/2001.asphttp://www.securityfocus.com/archive/1/172205 SANS Nouvel outil de déni de service distribué 'CARKO' Le SANS vient d'être informé de l'existence d'un nouvel outil de déni de service distribué (DDoS) appelé 'CARKO'. Il s'agirait d'une variante de 'Stacheldraht'. Les systèmes d'exploitation de Sun seraient ciblés. Le contenu du lien fourni est susceptible d'évoluer. http://www.sans.org/current.htm Note d'information sur ADORE Le GIAC publie une note annoncant la disponibilité de l'outil 'adorefind' destiné à détecter la compromission d'un système LINUX par un vers dénommé 'adore' par le SANS. Notons que l'utilisation de ce nom porte à confusion, un 'rootkit' du même nom étant diffusé sur l'Internet depuis plus de 6 mois par le groupe TESO. En pratique, la note du GIAC décrit ce qu'il convient d'appeler un 'autorooter', c'est à dire un script permettant l'automatisation de l'installation d'un 'rootkit'. Bien entendu, un tel script peut être très rapidement adapté pour installer un autre 'rootkit' que celui initialement prévu. La découverte de ce nouvel avatar de 'ramen' confirme les risques de diffusion rapide de nouveaux 'rootkit' par le biais du la même technique d'installation. A ce jour, une quarantaine de 'rootkit' ont été inventoriés... Est-il nécessaire de rappeler l'urgence de l'installation des versions immunes de 'statd', 'lprNG', 'bind', 'wu-ftpd' et de tout autre service vulnérable accessible depuis l'Internet. http://www.sans.org/y2k/adore.htm VERS LION Analyse détaillée du ver 'lion' Le site 'whitehats' propose une analyse extrêmement fournie du ver 'lion'. Cette analyse détaille comment et pourquoi 'lion' a été conçu puis aborde la partie technique en décomposant les cycles d'infection et de propagation des différentes versions du ver. Plusieurs liens et explications aident à la prévention à la fois sur un système et un réseau local. Les scripts originaux du virus sont aussi proposés. http://www.whitehats.com/library/worms/lion/index.html VIGILANTe Annonce de fusion entre VIGILANTe et Networks Vigilance Networks Vigilance, et VIGILANTe, deux sociétés spécialisée dans les outils et services dans le domaine des réseaux et de la sécurité annoncent leur fusion. Ce rapprochement renforce l'intérêt que les multinationales comme 'VIGILANTe', Dano-Américaine, portent aux entreprises Françaises telles que 'Networks Vigilance'. http://www.vigilante.com/press/releases/nv_merger.htm Veille Technologique Sécurité N°33 Page 37/59 © APOGEE Communications - Tous droits réservés Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Page 1 and 2: APOGEE Communications Rapport de Ve
Page 3 and 4: Avril 2001 MICROSOFT 27 NCM 27 NETS
Page 5 and 6: Avril 2001 LES PRODUITS TELEPHONIE
Page 7 and 8: Avril 2001 LES TECHNOLOGIES SYSTEME
Page 9 and 10: Avril 2001 LES INFORMATIONS CERT IN
Page 11 and 12: Avril 2001 technologiques avec des
Page 13 and 14: Avril 2001 LES SERVICES DE BASE LOG
Page 15 and 16: Avril 2001 NORMES ET STANDARDS LES
Page 17 and 18: Avril 2001 Thème Nom du Draft Date
Page 19 and 20: Avril 2001 SIP draft-ietf-simple-im
Page 21 and 22: Avril 2001 IPv6, en l'absence d'une
Page 23 and 24: Avril 2001 FORMAT DE LA PRESENTATIO
Page 25 and 26: Avril 2001 Déni de service sur les
Page 27 and 28: Avril 2001 MICROSOFT Débordement d
Page 29 and 30: Avril 2001 WATCHGUARD Déni de serv
Page 31 and 32: Avril 2001 PGP Exposition de clé p
Page 33 and 34: Avril 2001 Reprise de l'avis CERT C
Page 35: Avril 2001 OpenBSD Disponibilité d
Page 39 and 40: Avril 2001 MS00-098 Indexing Servic
Page 41 and 42: Avril 2001 y a quelques années ave
Page 43 and 44: Avril 2001 GET /guest/default.asp/.
Page 45 and 46: Avril 2001 Une synthèse commentée
Page 47 and 48: Avril 2001 NC 6969 3149 3163 'del s
Page 49 and 50: Avril 2001 Microsoft(R) Windows NT(
Page 51 and 52: Avril 2001 12/26/00 07:10p New Fol
Page 53 and 54: Avril 2001 C:\Program Files\Common
Page 55 and 56: Avril 2001 12/15/00 07:05p 673 lrfp
Page 57 and 58: Avril 2001 11/26/00 12:34p 0 AUTOEX
Page 59: Avril 2001 Conclusion 1. Deux vague

Veille Technologique Sécurité - cert devoteam

Create successful ePaper yourself

Delete template?

Save as template?