Description : Les composants suivants présents dans le systeme d'exploitation solaris sont vulnérables à des débordements de mémoire tampon (Buffer Overflow) : /usr/lib/utmp_update & les fonctions dbm_open et dbminit de la bibliothèque libc utilisées par Xsun. Ces buffer overflow permettent d'obtenir des privilèges supplémentaires en local, vous pourrez avoir plus de renseignements en parcourant les deux bulletins de sécurité édités par Sun.

Description : Windows 2000 permet en local une acquisition de privilèges à cause d'une mauvaige gestion des objects permettant d'isoler un processus d'un autre. Dans la sécurité théorique de windows 2000, les processus ont chacun leur session et un processus ne peut pas accéder aux bureaux (situé sous l'objet session lui même situé sous l'objet windows station) d'un autre processus, cette faille permet d'outrepasser ces mécanismes, dans le cas de processus comme winlogon Windows 2000 permet donc de récupérer des mots de passe ou des informations de confidentialité sur lesquels l'utilisateur mal intentionné ne devrait pas avoir accès. Ce sont les versions Windows 2000 Server, Windows 2000 Pro et Windows 2000 ADV SERVER qui sont vulnérables à cette faille, seul Windows 2000 TSE est imperméable à cette vulnérabilité de par le fait qu'à l'inverse des autres versions les utilisateurs sont propriétaires de leur propre session. Nous vous conseillons d'appliquer le correctif de Microsoft.

Description : Microsoft Internet Explorer dans ses version 5.01, 5.5 & 6.0 présente deux vulnérabilités qui peuvent permettre d'éxécuter du code arbitraire par le biais de requêtes mal intentionnées sur un support de type pages HTML hébergées sur un serveur web ou Mails format HTML. Ces deux vulnérabilités se présentent sous la forme d'un dépassement de mémoire tampon (Buffer Overflow) au niveau du code en charge du traitement de la propriété Type de la balise Object d'une page HTML ou d'un mail au format HTML pour la première vulnérabilité alors que la deuxieme vulnérabilité est au niveau de ressources HTML proposant des requêtes de téléchargements multiples. Nous vous conseillons d'appliquer les correctifs de Microsoft afin de palier à ces deux vulnérabilités.

Description : Apache qui est un serveur web http est vulnérable dans ses versions 2.0.40 à 2.0.45 au niveau du module HTTP basic Authenfication, cela peut permettre de réaliser un DoS (déni de service) et d'empêcher des utilisateurs réguliers d'accéder aux documents distribués par le serveur http, cette interdiction d'accès est possible grace à la mise en place de mot de passe par le biais du module HTTP Basic Authentification. Nous vous conseillons d'installer la version 2.0.46 d'apache.

Description : Le serveur http Apache présente une vulnérabilité dans une de ses bibliothèques utilisée par mod_dav, Apache Portable Runtime APR, cette vulnérabilité donne la possibilité de réaliser un déni de service (DoS) ou d'éxécuter du code arbitrairement. Ce sont les versions 2.0.37 à 2.0.45 qui sont vulnérables à cette faille. APR est vulnérable par un débordement de mémoire (buffer overflow) dans la routine APR_Psprintf. Nous vous conseillons d'installer la version 2.0.46 d'apache.

Description : Le système de service d'impression CUPS (Common Unix Printing System) des systèmes Unix/Linux basé sur le protocol d'impression réseau (IPP) présente une faille permettant un déni de service DoS sur le système d'impression, ce DoS lorsqu'il est exploité, permet d'empêcher l'ensemble des accès réguliers au système d'impression. La procédure temporaire afin d'éviter ce type de problème est de mettre en place un règle de filtrage sur le port utilisé par Internet Printing Protocol (631), vous pouvez aussi appliquer le correctif de l'éditeur de votre distribution si il éxiste.

Description : Microsoft vient de sortir un correctif pour son logiciel de messagerie Outlook Express. Ce sont les versions 5.5 & 6.0 qui sont affectées par la vulnérabilité corrigée par ce patch. Cette faille permet d'éxecuter du code arbitraire via un mauvais traitement des urls MIME Encapsulation of Aggregate HTML (MHTML) dans les Mails traités par ce logiciel de messagerie. Le MHTML permet d'inclure du html dans les mails. Nous vous conseillons pour éviter toutes mauvaises surprises d'appliquer le plus rapidement possible ce correctif que vous trouverez sur le site même de Microsoft.

Description : Microsoft vient de sortir un correctif pour son logiciel de navigation Web, Internet Explorer ; ce correctif permet de corriger pas moins de quatres failles dans les version 5.01, 5.5 et 6.0 qui permettent d'exploiter des vulnérabilités via un site ou un mail avec du code html malicieusement développé. Parmi ces failles, on compte un défaut au niveau du File Upload Control qui gêre les téléchargements de fichiers et permet de récupérer des fichiers situés sur la machine du client ; la faille suivante donne la possibilité d'éxécuter du code arbitraire grace à un buffer overflow (dépassement de mémoire tampon) au niveau de la bibliotheque URLMON.DLL, les deux dernieres failles permettent d'éxécuter du code arbitraire via un script, à cause d'une mauvaise gestion des adresses hypertext (URL) pour l'une et des feuilles de style (CSS) pour l'autre. En face d'une telle avalanche de failles, nous ne serions que trop vous conseiller nouveau d'installer le correctif de Microsoft pour ces versions d'Internet Explorer.

Description : Une faille a été récemment découverte dans l'ensemble des systèmes de commutation Cisco de type Catalyst 4000, 6000 & 6500. Ces systèmes utilisent le systeme d'exploitation Cisco Catalyst dans une version 7.5.1. Cette faille exploite une vulnérabilité des configurations basées sur des authentifications locales ; elle permet d'obtenir, sans pour autant en connaitre le mot de passe, les droits du super utilisateur Root en Local à partir d'une console systeme ou en Remote via un acces telnet (23) ou ssh (22) afin de modifier les configurations des commutateurs Cisco Catalyst. Pour corriger cette vulnérabilité, vous pouvez mettre à jour le système d'exploitation de votre matériel actif de commutation Cisco vers la version 7.6.1, en attendant de le faire vous avez aussi la possibilité de dresser une liste exhaustive des machines abilitées à accéder aux services d'accés distant des Catalysts, les règles d'accés sont de la forme suivante : set ip permit <IP> <MASK> <PROTOCOL> ; remplacer <IP> par l'adresse de la machine autorisée, <MASK> par le masque de sous réseau de cette machine et enfin <PROTOCOL> par les protocols d'acces distant, c'est à dire ssh et telnet puis activer la configuration set ip permit enable.

Description : Une faille présente dans le systeme de preprocessing stream4 (préprocessing qui permet de réassembler des segments tcp avant d'effectuer une recherche des signatures d'attaques) a été découverte dans le logiciel de détection d'intrusion snort. Elle peut permetre d'éxécuter à distance du code arbitraire en lui faisant parvenir des paquets contenant des instructions malicieuses. Cette faille permet aussi de provoquer un déni de service Dos sur la machine éxécutant une version de snort vulnérable. Ce sont l'ensemble des versions inférieures à la version 2.0.0 qui sont vulnérables à cause d'un dépassement de la mémoire tampon "Buffer Overflow" au niveau du stream4. Pour vous prévenir de cette vulnérabilité nous vous conseillons de mettre à jour votre version vers la 2.0.0 ou tout au moins en attendant de désactiver le préprocessing stream4 au niveau du fichier de configuration de snort : snort.conf

Description : Samba permet à des systèmes Unix d'acceder à des imprimantes et des dossiers partagées sur des systemes autres tel que les systemes microsoft grace au protocol SMB. Cette nouvelle faille, qui se présente sous la forme d'un dépassement de tampon dans la fonction trans2.c de smbd, concerne les versions inférieures à la 2.2.8a et Samba-TNG 0.3.2. La faille donne à celui qui l'exploite, la possibilité d'éxécuter en tant que super utilisateur Root du code arbitraire ou un Déni de service DoS sur la machine qui héberge le serveur Samba.Pour ceux qui utilisent cette implémentation du protocol SMB, vous pouvez corriger cette vulnérabilité en utilisant les versions les plus récentes de samba, la 2.2.8a, et de Samba-TNG, la 0.3.2 ; pour les utilisateurs de la version 2.0.x de Samba, sachez qu'une mise à jour est disponible.

MaJ : Digital Defense qui a rendu publique la faille un peu "trop tot" selon Samba.org, a présenté ses excuses et promis qu'à l'avenir il ferait attention à ne plus commettre ce genre de bévue, comme celle de mettre un lien vers trans2root.pl dans leur alerte, qui est un script perl permettant d'exploiter cette nouvelle vulnérabilité de Samba apres celle du 17 mars.

Description : L'Apache Software Foundation vient de sortir une nouvelle version mise à jour de son serveur http apache 2.0, cette version est la 2.0.45 qui permet de combler une vulnérabilité de type deni de service DoS révélée par iDefense et découverte par David Endler, les vulnérabilités DoS peuvent rendre dans ce cas le service web inaccessible à cause d'un flux de donnée trop important. Pour les utilisateurs d'OS/2,sachez que cette mise à jour ne vous mets pas à l'abri et que vous devrez attendre la version 2.0.46. Selon Netcraft, Apache serait le serveur web le plus utilisé au monde avec 65 % environ du parc des machines faisant office de serveurs web loin devant iis de microsoft qui se positionne à 30 % et le iplanet web server de Sun qui lui n'enleve qu'une très faible part du marché avec environ 2 %.

Ce DoS est en fait provoqué par un vulnérabilité au niveau de l'allocation de mémoire pour les caractères de retour à la ligne, 80 octects par caractere minimum et aucune limite vers le haut d'ou la possibilité de mettre hors de service un serveur en lui envoyant un maximum de requetes incluant un maximum de retour à la ligne.

Description : Une nouvelle faille dans le processus de traitement des headers (From, To, Cc, Cci) du serveur de messagerie sendmail qui représente tout de même environ 60 % des serveurs. Tous comme pour la version 8.12.8, cette version 8.12.9 met à jour sendmail sur une faille de type dépassement de tampon (buffer-overflow) permettant d'exécuter avec les privilèges du compte super-utilisateur/root du code arbitraire sur la machine.
Pour les administrateurs de messagerie qui ne souhaitent plus perdre leur temps à combler les nombreuses failles de sécurité de sendmail, deux ce mois çi, nous leur conseillons si ils le peuvent de migrer vers des logiciels comme qmail ou postfix.

Description : Cette faille, qui n'est pas présente dans l'ensemble des implémentations des protocoles SSL/TLS, donne la possibilité de récupérer la private key RSA lors d'une session Client/Serveur, ce qui revient à dire que si une personne récupère cette clé, elle peut sniffer une session et la décrypter afin d'accéder aux données sensibles que peuvent contenir ce genre de sessions (Banquaire, Vente, Messagerie). Cette faille est rendu possible grâce à l'ouverture de multiples sessions avec des paquets cryptés contenant du code spécifique afin d'obtenir la version décrypté par la private key du texte, on peut alors soit comme on le disait plus haut décrypter une session entre deux tiers ou bien se faire passer pour le serveur. Nous vous recommandons comme toujours en cas de vulnérabilité sur ce genre de services de mettre à jour le plus rapidement possible la bibliothèque Crypto++ vers sa version 5.1, la bibliothèque OpenSSL, et les implémentations dont essentiellement Stunnel, Mod_SSL et OpenSSH, La liste des systèmes ou applications affectées ci-dessous :

- l'ensemble des applications basées sur les versions inférieures à la 3.6 de OpenSSH
- l'ensemble des systèmes (Stunel, mod_SSL), basés sur les fonctions des versions de la bibliothèque openssl de la 0.9.7a & 0.9.6i.
- l'ensemble des applications basées sur Crypto++
- l'ensemble des applications basées sur les kits de développement fournis par la société SSH Communication Security "SSH Certificate/TLS" et "SSH IPSEC express"

Description : Remote Procedure Call RPC est un protocol utilisé pour répartir les applications sur une architecture de type client/serveur, afin de solutionner les différents problèmes rencontrés face à la unicité ou plutot à la non unicité de la représentation internet des objets entre des machines différentes, le protocol RPC utilise le protocol XDR (eXternal Data Representation) en transparence. Cette nouvelle faille, basée sur une vulnérabilité de la fonction xdrmem_getbytes, permet d'éxecuter du code arbitraire ou de provoquer un Déni de Service DoS sur la machine où sont installées les Sun RPC et l'ensemble des bibliothéques qui ont été développées à partir du code initial des RPC dont les implémentation dans des plateformes de type Unix ou Linux (libc, glibc). Pas de mise à jour pour cette vulnérabilité pour l'instant, en attendant nous pouvons toujours vous conseiller d' arreter les services RPC qui exploite la fonction xdrmem_getbytes, filtrer les applications utilisant RPC, filtrer le port 111/ tcp & udp (RPC Portmapper), vous pouvez aussi faire un peu ménage en arretant d'utiliser les services RPC dont vous n'avez pas besoin.

Description : C'est une faille de type Buffer Overflow (dépassement de tampon) qui est exploitable au niveau du composant WebDAV (Web Distributed Authoring and Versioning) sous windows 2000 avec service pack 3 et moins, WebDAV est un des composants du logiciel IIS Web Server, permet essentiellement de manipuler à distance des fichiers du serveur web. Cette faille permet d'éxécuter du code arbitraire sur la machine à la suite de l'injection de requête http mal formée à cause d'un débordement de tampon "buffer overflow" dans la librairie ntdll.dll. Microsoft met à votre disposition un patch permattant de corriger ce problème.

Description : Les kernels 2.2 & 2.4 permettent uniquement en local à un utilisateur d'obtenir des priviléges super utilisateur (root) sur la machine grace à un probleme de developpement dans l'appel système ptrace qui permet de suivre un processus et donc d'implémenter des points d'arret dans le débuging. Cette faille n'est pas disponible pour un acces distant. A savoir que les versions 2.0 et 2.5 ne proposent pas l'exploitation de cette faille. Nous vous recommandons evidement de mettre votre kernel à jour le plus rapidement possible. Vous pouvez aussi utiliser le script anti-faille ptrace que vous trouverez sur le site de securiteam (Cf. url ci-dessous).

Description : Pour ceux qui ne le savent pas, Samba est basé sur le protocole SMB/CIFS (Server Message Block/Common Internet File System) pour partager des fichiers et des imprimantes entre des machines fonctionnant sur des systèmes d'exploitation différents ou similaires. Cette faille a été découverte par l'équipe Suse en charge de la partie sécurité en Allemagne. Elle concerne le smbd de samba .Ce sont les versions 2.x à la 2.2.7a qui sont concernées. Elle permet d'acquerir des priviléges super utilisateur root à distance sur la machine qui fait tourner le smbd en éxécutant du code arbitraire. Vous pouvez mettre à jour votre version vers la 2.2.8 afin de corriger cette faille.

Description : Cette faille de type châine de format concerne l'ensemble des versions antérieures à la 0.9.10 de Ethereal, elle est due à la gestion du protocol SOCKS ; Ethereal est un sniffeur de réseau qui permet d'analyser des flux de données à partir d'un fichier ou directement du réseau. Un fichier ou un paquet qui serait destiné à être traité par Ethereal pourait contenir du code arbitraire ou bien encore provoquer un Déni de Service DoS en inondant Ethereal de données et donc par conséquent provoquer un Déni de Service également sur la machine faisant tourner Ethereal à condition bien sur que votre version soit inférieure à la 0.9.10, si ce n'est pas le cas, nous vous recommandons fortement de mettre à jour
via cette nouvelle version ou bien encore de désactiver la gestion du protocol SOCKS.

Description : Un important trou de sécurité, révélé par le groupe ISS X-forcfe, qui affecte les versions 5.79 à 8.12.7 dans l'un des serveurs de mails sinon le serveur de mail le plus répendu. Cette faille est un buffer overflow situé au niveau des applications en charge du déchiffrement des en-têtes, qui peut permettre à un intru de prendre le control de sendmail et de lancer des commandes en tant que super utilisateur sur votre serveur. Cette faille peut être corrigé en appliquant le patch adéquat soit en mettant à jour votre sendmail sur une version 8.12.8. Pour infos, aucun n'exploit n'est encore à ce jour révélé pour cette faille mais comme d'habitude lors de la découverte d'une nouvelle faille sur un service essentiel, nous ne serions que trop vous conseiller de faire la mise à jour de votre version.

Description : BIND (Berkeley Internet Name Domain) est un logiciel en charge d'orienter les requêtes de nom de domaine vers l'adresse ip qui correspond au serveur en charge de l'hebergement du site correspondant à ce noms de domaine. Régulierement montré du doigt par la profession "sécurité" en raison de ses nombreuses vulnérabilités révélées depuis deja un certain temps, BIND se devait de se refaire une peau neuve et c'est chose faite avec la version 9.2.2 qui a été annoncée par l'International Sotfware Consortium (ISC) comme une version de maintenance, ne vous attendez donc pas à y trouver une quelconque nouvelle fonctionnalité mais bien des correctifs sur les différents problèmes de dépassement de tampon "buffer overflow" ou bien encore les failles liés à l'utilisation des modules openssl dédiés aux paiements, que l'on pouvait encore trouver jusque dans la version 9.2.1. Même si cette nouvelle version est une bonne nouvelle pour l'ensemble des administrateurs de serveurs de nom de domaine BIND, l'ISC est resté assez évasif vis à vis de la nature et du nombre de failles que cette mise à jour concerne et de nombreux experts en sécurité restent sur leur faim. Pour ceux qui ne font plus confiance à BIND et qui veulent un serveur de nom de domaine sécurisé, nous pouvons leur conseiller djbdns développé par Daniel J. Bernstein, aussi auteur de qmail, alternative securisé à sendmail.

Description : «Nous sommes les premiers à avoir découvert cette faiblesse du SSL» Avec cette phrase, le Professeur Serge Vaudenay, directeur du laboratoire de sécurité et de cryptographie, peut se targuer d'avoir, lui et son équipe, cassé un protocol pourtant réputé inviolable. C'est en effet à l'École polytechnique fédérale de Lausanne (EPFL) que l'on vient de mettre à jour une faille dans le protocol Secure Sockets Layer SSL. Cette faille qui fonctionne sur l'algorythme de chiffrement cipher block chaining CBC, les produits microsoft basés sur SSL utilise des méthodes de chiffrement RSA et ne sont donc pas concernés par cette faille permet de retrouver, au bout d'un certain nombre de connexion (160 dans ce cas bien précis), le mot de passe utilisé lors d'une connexion de type transactionnel censée être sécurisée (secteur bancaire, vente, messagerie). Les produits microsoft basés sur SSL utilise des méthodes de chiffrement RC4 et ne sont donc pas concernés par cette faille. L'équipe en charge du développement du protocol SSL a, des qu'elle a été prévenue par les scientifiques de Lausanne, publié un patch corrigeant ce probleme et rendant donc ce protocol à nouveau sécurisé et fiable.

Description : Le PHP Group a révélé dans un bulletin de sécurité une nouvelle faille dans PHP (Personal Home Page) qui est un langage de développements orientés web, c'est une faille dans PHP CGI SAPI qui permet dans les version antérieure à la 4.3.1 (pour rappel, la version la 4.3.0 corrigeait une faille dans la fonction wordwrap qui permettait un débordement de tampon mémoire buffer overflow) et postérieure à la version 4.1.2 d'acceder à l'ensemble des fichiers appartenant au user sous lequel fonctionne le serveur http/web quand celui est configuré pour utiliser le module prenant en charge les CGI.

Description : L' alerte d'E-Matters a mis à jour une vulnérabilité dans CVS (Concurrent Version System) qui est un outil de gestion des codes sources utilisés principalement par une grande majorité des produits OpenSource ; cette vulnérabilité permet d'éxécuter du code arbitraire via les commandes Checkin-prog & Update-prog ou d'effectuer un Déni de Service DoS sur la machine hébergeant le serveur CVS, c'est une problème de configuration (chaîne de format spécifique dans la création du nom d'un répertoire) de CVS qui permet d'usurper les droits en lecture seule et d'obtenir des droits supplémentaires anonymement sans avoir à passer par un quelconque processus d'authentification au niveau du serveur CVS. Ce sont principalement les versions antérieures à la version 1.11.4 qui sont concernées par cette vulnérabilité. Si vous aussi vous utilisez un serveur CVS pour gérer le code source de vos développements, vous pouvez corriger cette faille en mettant à jour votre version de CVS vers la 1.11.5