V Veeiillllee T Teecch hn no ollo og giiq qu uee S Sééccu urriittéé Rapport N°122 Septembre 2008 CONNECTING BUSINESS & TECHNOLOGY Les informations fournies dans ce document ont été collectées et compilées à partir de sources d'origines diverses et publiquement accessibles: listes de diffusion, newsgroups, sites Web, ... Ces informations sont fournies pour ce qu'elles valent sans garantie d'aucune sorte vis à vis de l'exactitude, de la précision ou de la qualité de l'information. Les URL associées à certains thèmes sont validées à la date de la rédaction du document. Les symboles d’avertissement suivants seront éventuellement utilisés: 0 1 Site dont la consultation est susceptible de générer directement ou indirectement, une attaque sur l’équipement de consultation, voire de faire encourir un risque sur le système d’information associé. Site susceptible d’héberger des informations ou des programmes dont l’utilisation est répréhensible au titre de la Loi Française. Aucune garantie ne peut être apportée sur l'innocuité de ces sites, et en particulier, sur la qualité des applets et autres ressources présentées au navigateur WEB. LLaa ddiiffffuussiioonn ddee ccee ddooccuum meenntt eesstt rreessttrreeiinnttee aauuxx cclliieennttss aabboonnnnééss aauu sseerrvviiccee ddee vveeiillllee Les marques et les produits cités dans ce rapport sont la propriété des dépositaires respectifs. CONNECTING BUSINESS & TECHNOLOGY DEVOTEAM – BU Sécurité 1, rue GALVANI 91300 Massy Palaiseau Pour tous renseignements: Offre de veille http://www.devoteam.fr/ Informations [email protected] ©DEVOTEAM Solutions - Tous droits réservés Septembre 2008 Au sommaire de ce rapport … PRODUITS ET TECHNOLOGIES LES PRODUITS 7 7 MOBILITE 7 GOOGLE – ANDROID 7 SAUVEGARDE 8 CDRTFE – LOGICIEL DE GRAVURE PORTABLE 8 GSM 8 SECUSMART - GSM SDCARD LES TECHNOLOGIES 9 8 CONFERENCES 9 OWASP – APPSEC2008 / INDIA ET ISRAËL 9 CRYPTOGRAPHIE 10 ECRYPT – RECOMMANDATIONS 2007/2008 SUR LA TAILLE DES CLEFS RFID RFID - PHYSICALLY UNCLONABLE FUNCTIONS 10 11 11 INFORMATIONS ET LEGISLATION LES INFORMATIONS 13 13 CONFERENCE 13 DEFCON16 13 CYBER-DEFENSE 18 ADVANCED SOFTWARE ARMORING AND POLYMORPHIC KUNG FU THE BIG PICTURE: DIGITAL CINEMA TECHNOLOGY AND SECURITY BUILDING A REAL SESSION LAYER FLUX ON: EAS (EMERGENCY ALERT SYSTEM) THE WORLD OF PAGER SNIFFING: MORE ACTIVITY THAN ONE MAY SUSPECT BRINGING SEXY BACK: BREAKING IN WITH STYLE DHS – LE DEPARTEMENT DE LA SSECURITE INTERIEURE EPINGLE PAR LE GAO SENSIBILISATION ENISA - HOW TO RAISE INFORMATION SECURITY AWARENESS GUIDES DISA – GUIDES ET CHECKLISTS DE SECURISATION NSA - CATALOGUE DES GUIDES DE SECURITE NIST - ETAT DES GUIDES DE LA SERIE SP800 15 15 16 16 17 18 18 19 19 21 21 23 24 LOGICIELS LIBRES LES SERVICES DE BASE LES OUTILS 27 27 27 NORMES ET STANDARDS LES PUBLICATIONS DE L’IETF 29 29 LES RFC LES DRAFTS 29 29 NOS COMMENTAIRES 33 LES RFC RFC5246 33 33 ALERTES ET ATTAQUES ALERTES 35 35 AVIS OFFICIELS 37 GUIDE DE LECTURE FORMAT DE LA PRESENTATION SYNTHESE MENSUELLE ALERTES DETAILLEES ADOBE APPLE CISCO DJANGO DRUPAL FREEBSD GNOME HP Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés 35 36 36 37 37 37 38 39 39 40 41 41 Page 2/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 IBM ISC LANDESK SOFTWARE LIBPNG LINUX MACROVISION MERCURIAL MICROSOFT MOZILLA NETBSD NOVELL OPENSC OPENSSH PHPMYADMIN RED HAT STRONGSWAN SUN TWIKI TYPO3 WIRESHARK 41 41 41 42 42 42 42 42 43 43 43 43 44 44 44 44 44 44 45 45 ALERTES NON CONFIRMEES 45 3COM ACRESSO SOFTWARE ADOBE APPLE ATHEROS BITLBEE CA CHECK POINT CHILKAT CISCO CLAMAV DATA ENCRYPTION SYSTEMS D-LINK EMACSPEAK FFMPEG GALLERY GMANEDIT GNU HONEYD HORDE HP IBM IMAP INTEL JOOMLA! KYOCERA LIGHTTPD LINUX LINUX FEDORA MANTIS MICROSOFT MYSQL NETGEAR NOKIA NOVELL OPENSWAN PAM_MOUNT PDNSD PHP POSTFIX PROFTPD PYTHON R RED HAT RUBY ON RAILS SIEMENS SQUIRRELMAIL SSMTP SYMANTEC TREND MICRO TYPO3 VIGNETTE VMWARE WORDNET WORDPRESS XASTIR ZONE LABS AUTRES INFORMATIONS REPRISES D’AVIS ET CORRECTIFS Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés 45 45 45 45 45 45 46 46 46 46 46 46 46 47 47 47 47 47 47 47 47 48 48 48 48 48 48 48 49 49 49 49 50 50 50 50 50 50 51 51 51 51 51 51 51 52 52 52 52 52 52 52 52 53 53 53 53 53 53 Page 3/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 APPLE CIAC CITRIX FREEBSD HP IBM INGATE MICROSOFT NETBSD NORTEL LINUX DEBIAN LINUX FEDORA LINUX MANDRIVA LINUX REDHAT LINUX SUSE RUBY ON RAILS SUN VMWARE US-CERT 53 54 54 54 55 55 55 55 55 56 56 56 57 57 57 57 57 59 60 CODES D’EXPLOITATION 60 MICROSOFT 60 OUTILS 61 SECURELOGIX – VOIP SECURITY ASSESSMENT TOOL SUITE JAVA - COJAC Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés 61 62 Page 4/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 Le mot de la rédaction … Qui ne s’est trouvé un jour faire face au syndrome de la ‘feuille blanche’ cherchant l’un une histoire, l’autre une idée sans rien trouver qui sorte de l’ordinaire ou puisse simplement même avoir un intérêt pour le lecteur ? Et voici que, l’heure venue de jeter sur le papier les quelques lignes usuelles d’introduction à ce nouveau numéro de notre rapport de veille les idées viennent à nous manquer. Le mois écoulé aurait-il été à ce point morne et dénué de toute nouvelle digne d’intérêt dans le domaine de la sécurité des SI ? Certainement pas, car en matière de sécurité chaque nouveau jour amène son lot d’alertes et d’informations, bonnes ou mauvaises. En fait, la débâcle bancaire américaine a accaparé l’actualité quotidienne au point de reléguer au second plan le reste de l’information. Le mois écoulé aura pourtant vu la mise à disposition – trop hâtive peut-être – de Chrome, le navigateur à la sauce Google rapidement suivie de la publication de deux alertes de sécurité mais n’est-ce pas là chose normale pour une version non finalisée. Le principal atout de ce navigateur pourrait bien résider dans l’adoption d’un modèle de sécurité conçu pour minimiser la propagation des menaces et détaillé dans un très intéressant papier intitulé ‘The Security Architecture of the Chromium Browser’. http://crypto.stanford.edu/websec/chromium/chromium-security-architecture.pdf Septembre aura aussi été le mois de la découverte de deux nouveaux nombres premiers de ‘Mersenne’, portant ainsi à 46 la liste des nombres de ce type connus. Une recherche purement académique mettant cependant à contribution les dernières avancées techniques en matière de calcul distribué. Pour mémoire, est dénommé ‘Nombre de Mersenne’ – un religieux français mathématicien et philosophe du 17ième siècle – tout nombre de la forme 2n-1, n étant un nombre premier. On appelle ‘Nombre premier de Mersenne’ tout nombre de Mersenne qui est aussi un nombre premier. http://www.mersenne.org/ Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 5/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 Notons enfin l’intéressant rapport de 44 pages intitulé ‘Rapport sur la résilience des réseaux de télécommunications’ daté de juin 2007 et publié en mai dernier sur le site du Ministère de l’intérieur qui nous rassure – à court terme seulement – quant au risque d’une chute globale des réseaux de télécommunication … sauf cas de rupture prolongée de l'alimentation électrique. http://www.interieur.gouv.fr/sections/a_la_une/publications/rapports-iga/securite-policeprev-delinquance/07-023-01/view Bonne lecture Bertrand VELLE Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 6/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 P PR RO TEECCH OD DU HN UIIT NO OL TS LO SE OG GIIE ET TT ES S LES PRODUITS MOBILITE GOOGLE – ANDROID Description Le magazine Dr.Dobb nous propose un excellent article de fond ayant pour sujet le projet Android conduit par Google pour le compte de l’Open HandSet Alliance. Il ne s’agit ici pas encore d’un produit à proprement parler mais d’un projet encore au stade du développement – la version 0.9béta du kit de développement vient tout juste d’être livrée - visant à fournir une plate-forme mobile ouverte, libre et gratuite. Une initiative concurrencée par Nokia qui, après avoir acquis le système d’exploitation pour mobile Symbian, a annoncé en juin dernier sa volonté d’en ouvrir le code par le biais d’une fondation crée pour la cause, la Symbian Fondation. Nombreux sont les chroniqueurs et experts qui s’accordent à considérer que les deux projets devront tôt ou tard fusionner pour donner naissance à une plate-forme ouverte unique. L’article technique publié par Dr.Dobb a le mérite de faire le tour du projet Android sans complaisance aucune et en tout indépendance d’esprit. Contrairement à Symbian qui résulte d’un développement engagé dans les années 90 par la célèbre société PSion pour ses non moins célèbres assistants personnels, la plate forme Android s’appuie intégralement sur du code ouvert dont en particulier un noyau Linux 2.6 et d’autres paquetages classiques adaptés pour répondre aux exigences d’une plateforme mobile dotée de ressources (encore) limitées. Le cœur du système réside dans la présence d’une couche d’abstraction positionnée audessus du noyau LINUX et constituée d’un interpréteur de code, dit DVM ou Dalvik Virtual Machine, de librairies de soutien offrant notamment une interface Java et d’un socle de services techniques fournissant les fonctions de présentation, de gestion de données et de sécurité. Plusieurs instances de l’interpréteur DVM, et donc d’applications Android, pourront s’exécuter simultanément. L’interactivité avec l’utilisateur sera assurée par le biais d’un ensemble d’applications de gestion écrites en langage Java formant la partie visible de l’iceberg. Après avoir brièvement présenté la plate-forme Android, Tom Thompson, l’auteur de l’article, s’attache à mettre en évidence les spécificités d’une application Android au regard des applications Java ME actuelles conformes au standard MIDP (Mobile Information Device Profile), notamment sur le plan du cycle de vie de l’application et des événements qui décideront de son exécution. Le mécanisme de gestion des contextes d’Android autorise non seulement l’exécution concurrentielle d’application ainsi qu’une plus grande souplesse de programmation comme le prouve les exemples d’application proposés dans la troisième partie de l’article. La lecture de cet article nous a tout naturellement conduit à nous poser la question de la sécurité de la plate-forme Android, et plus particulièrement, celle de l’étanchéité de l’environnement d’accueil vis-à-vis du système d’exploitation LINUX sous-jacent. La réponse à cette question nous est donnée dans la documentation accessible en ligne au paragraphe ‘Security Model’, lequel paragraphe confirme ce que nous supposions: chaque application ‘Android’ s’exécute dans un bac à sable après s’être vue assigner un identifiant d’utilisateur unique – UID dans le jargon UNIX - lors de son installation. Cet identifiant sera utilisé pour contrôler l’accès aux fichiers, l’application pouvant autoriser l’accès d’application tierce à ses fichiers en marquant ceux-ci au moyen d’un flag World-Readable et/ou World_Writable. Nous n’avons cependant trouvé aucune information concernant le mécanisme de gestion du bac à sable (utilisation du chroot() du kernel ou bien d’un autre procédé), ni d’éléments permettant de déterminer comment était implémenté le modèle des permissions d’accès à deux niveaux, user et world (encapsulation du modèle original LINUX ou intégration d’un modèle spécifique dans le noyau). La réponse pourra probablement être trouvée dans les échanges de l’un des nombreux forums de discussion traitant Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 7/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 d’Android, et le cas échéant, dans les sources du projet. Complément d’information http://ddj.com/cpp/210300551 http://code.google.com/android/ http://groups.google.com/group/android-security-announce http://code.google.com/p/android/downloads/list - Article du magazine Dr.Dobbs - Portail d’accès au projet Android - Annonce de sécurité - Source d’Android SAUVEGARDE CDRTFE – LOGICIEL DE GRAVURE PORTABLE Description Un outil de gravure de CD et de DVD n’a, théoriquement, rien à voir avec le thème de la sécurité des SI sauf quand celui-ci peut être installé sur un dispositif amovible permettant alors à un auditeur de sauvegarder de gros volumes de données ou encore à un individu malveillant d’effectuer en toute discrétion la copie de données sensibles. L’utilitaire Windows ‘CDRTFE’ prend la forme d’une interface d’accès graphique – un frontend – permettant d’accéder simplement au célèbre paquetage ‘cdrtools’ issu du monde UNIX et porté en environnement Microsoft grâce à la librairie de compatibilité ‘CygWin’. Les messages de notification produits par ‘cdrtools’ apparaissent d’ailleurs dans la fenêtre d’information permettant de suivre pas à pas le déroulement des opérations. Les paquetages externes– cdrtools, cygwin, Mode2CDMaker et VCDImage – sont tous intégrés à la distribution rendant celle-ci immédiatement exploitable pour un volume occupé – au total, moins de 14Mo - restant très raisonnable au regard des capacités des supports amovibles actuels. La version dite ‘portable’ ne diffère de la version classique que par la fourniture d’un fichier d’initialisation - ‘cdrtfe.ini’ - contenant la ligne ‘PortableMode=1’. Il s’agit donc bien ici d’une version nativement conçue pour être portable, c’est-à-dire pouvant fonctionner en toute autonomie sans requérir l’enregistrement ou l’installation d’aucune librairie ou composant spécifiques dans l’environnement du système d’accueil contrairement à certaines applications rendues portables par encapsulation dans un environnement assurant soit le détournement des fonctions d’accès aux fichiers de configuration soit la manipulation de paramètres de configuration avant et après l’exécution de l’application. Les tests menés sur cet utilitaire nous ont donné toute satisfaction et nous l’avons inclus dans notre boîte à outils conservée sur un disque USB dur amovible. Complément d’information http://cdrtfe.sourceforge.net/cdrtfe/index_en.html GSM SECUSMART - GSM SDCARD Description Il y a plus de 20 ans, le ‘Groupe Spécial Mobile’ spécifiait les bases de ce qui deviendra un incroyable succès planétaire, le système de téléphonie mobile ‘GSM’. Cette norme intégrait dès l’origine un ensemble de mécanismes de sécurité destinés à limiter les risques en cas d’interception du trafic entre le mobile et la station de base gérant celui-ci, ce trafic étant transporté sur une liaison radioélectrique, un média accessible à tous. Les normalisateurs auraient pu, à l’époque, considérer que les caractéristiques techniques de ce réseau de communication moderne – modulation numérique, plan de fréquence UHF, accès mobile, … – le protégeait des agressions, a minima, de celles conduites par des amateurs. Fort heureusement, en 1987, la sécurité était l’un des grands axes de travail des organismes de normalisation européens, représentations nationales de l’ISO mais aussi Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 8/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 groupes indépendants dont l’ECMA. Force est de constater que les mécanismes mis en œuvre ont globalement bien résistés à l’usure du temps quand bien même certaines attaques ont pu être menées avec succès contre certaines des briques fondamentales de la sécurité du GSM à savoir les algorithmes dits ‘A3’ (authentification), ‘A8’ (génération des clefs) et ‘A5’ (chiffrement/déchiffrement), à l’origine secrets, et dont on rappellera qu’ils sont tous identiques au sein d’un même réseau d’abonnés. Ainsi, en 1998, l’algorithme COMP128 utilisé par les algorithmes ‘A3’ et ‘A8’ dans l’implémentation de référence du GSM été mis à mal conduisant à faciliter le clonage d’une carte SIM. La même année, une attaque sur l’algorithme A5/2 (d’une robustesse moyenne et principalement utilisé outre-atlantique) est mise en évidence qui permet de réduire drastiquement le nombre d’opérations requises pour un déchiffrement. En 1999, c’est au tour d’algorithme A5/1 (le plus robuste avec une taille de clef de 64 bits et utilisé en Europe) d’être mis en défaut avec une attaque limitant le nombre d’essais à 240. En 2003, une attaque active est dévoilée qui permet d’extraire la clef en quelques minutes moyennant la connaissance de quelques minutes de conversation en clair réduites à quelques secondes en 2004, une exigence non triviale. En 2008, le groupe THC – The Hackers Choice – a annoncé le lancement d’un projet visant à calculer une table ‘arc-en-ciel’ d’une taille estimée à 3To laquelle pourrait permettre le déchiffrement d’un SMS, ces messages sont eux aussi chiffrés par l’algorithme A5/1, en quelques minutes. L’acquisition en temps réel de la teneur des conversations et des messages échangés par le biais du réseau GSM est encore pour quelques temps une activité inaccessible à l’amateur peu fortuné, leur confidentialité à moyen terme doit être considérée comme réellement mise en défaut. L’approche de THC, si elle aboutit, permettra de révéler la teneur de conversations ayant été enregistrées – sous forme de flux numériques - par le passé! De fait, dès la fin des années 90, des modules de chiffrement complémentaires adaptés à certains combinés GSM étaient proposés par quelques sociétés visant une clientèle ayant un réel besoin de protection des communications. La standardisation des interfaces embarquées dans les mobiles: interfaces électriques avec le slot MiniSD et programmatiques avec l’interface Java dite ‘MIDP’ (Mobile Information Device Profile) autorisant l’accès aux services du mobile dont l’accès au canal ‘Data’, a conduit à l’ouverture de ce marché au grand public. En 2005, ‘Sagem’ lançait ainsi son MyX-8S doté d’un module de sécurité au format MiniSD et compatible avec le MW3026-S mis sur le marché en 2003. En 2006, les sociétés ‘Circletech’ et ‘Cryptophone’ proposaient l’une un logiciel de chiffrement transparent des SMS et l’autre un téléphone GSM chiffrant la voix (Rapport N°92 – Mars 2006). C’est aujourd’hui au tour de la société Allemande ‘SecuSmart’ de proposer une solution de chiffrement de la voix dénommée ‘SecuVoice’ s’appuyant sur un module de sécurité au format MiniSD. Ce dernier embarque, outre de la mémoire flash, un co-processeur cryptographique permettant d’accélérer les opérations de mise à la clef – un Diffie Hellman sur base ECC – et de chiffrement/déchiffrement – AES 128bits – des flux transmis à 9600Bds sur le canal data. Le logiciel embarqué dans le module assure l’authentification des deux parties par le biais de certificats et la mise à la clef ainsi que le chiffrement/déchiffrement des données en provenance et à destination du CODEC, le composant assurant la numérisation de la voix et la restitution de celle-ci à partir du flux numérique reçu. Les rares documents disponibles sur le site du fournisseur indiquent qu’aucune donnée sensible ne transite en dehors du module, toutes les fonctions de sécurité étant embarquées et autonomes. Référence est faite au remarquable système TETRA - Trans European Trunked Radio - et à son architecture spécialement étudiée pour répondre au besoin de sécurité des réseaux professionnels utilisant une flotte d’équipements et requérant des services étendus tels les groupes d’appel ou le PushToTalk. Aucune information technique n’est cependant disponible qui précise quels seraient les éléments ou principes hérités de cette infrastructure. Il s’agit donc probablement ici encore d’un discours purement commercial. Une solution compatible avec les besoins des organisations gouvernementales est annoncée dans un ‘futur proche’. Ce module actuel est compatible avec les téléphones Nokia des séries E (E51, E66 et E71) et N (N78, N81, N82 et N95) pour un prix non communiqué. Sa mise en œuvre ne nécessite aucune action spécifique autre que l’insertion du module ce qui laisse à penser que les certificats sont générés, et contrôlés, par la société éditrice du produit. Gageons que d’autres offres ne devraient tarder à rejoindre celle-ci, le marché de la sécurisation des communications mobiles Voix et Data ne pouvant que croître dans les années à venir, au risque d’observer une régression de l’utilisation du service ‘voix’ au profit du service ‘data’ parfaitement à même de transporter un flux audio sécurisé. Complément d’information http://www.secusmart.de/unternehmen.html?&L=4 http://www.cryptophone.de/ http://www.securegsm.com/home.php http://www.sagem-ds.com/pdf/fr/MyX8_S_FR.pdf - SecuSmart - Cryptophone - Secure GSM for PDA - SAGEM MyX8-S LES TECHNOLOGIES CONFERENCES OWASP – APPSEC2008 / INDIA ET ISRAËL Description Deux éditions de la conférence sur la sécurité des applications WEB – AppSec – organisée par l’OWASP se sont tenues dernièrement: les 20 et 21 août à Delhi, Inde et le 14 septembre à Herzliya, Israël. Seuls les supports de présentation de cette dernière édition sont disponibles sur le site de l’OWASP. Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 9/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 Conférence OWASP Israël .NET Framework rootkits - backdoors inside your Framework Achilles’ heel - Hacking Through Java Protocols AJAX - new technologies new threats Application Security - The code analysis way Automated Crawling & Security Analysis of Flash/Flex based Web Applications Automatic Patch-Based Exploit Generation Black Box vs. White Box - pros and cons Breaking CAPTCHA Myths Cryptographic elections - how to simultaneously achieve verifiability and privacy Defending against Phishing without Client-side Code Defending Web App. from 0-Day Attacks with ModProfiler Using Traffic Profiling Detection of Unknown Malicious Code via Machine Learning GreenSQL - an open source database security gateway Introduction to the Israeli Forum for Information Security Korset: Code-based Intrusion Detection System for Linux Testing the Tester - Measuring Quality of Security Testing Trends in Web Hacking: What's hot in 2008 UTF7 XSS Web Application Security and Search Engines - Beyond Google Hacking Complément d’information http://www.owasp.org/index.php/OWASP_AppSec_India_Conference_2008 http://www.owasp.org/index.php/OWASP_Israel_2008_Conference Erez Metula Shai Chen David Movshovitz Maty Siman Ronen Bachar Yossi Oren A.Sharabani & Y.Haviv S.Zalalichin & A.Douglen Alon Rosen Amir Herzberg Ivan Ristic Robert Moskovitch Yuli Stremovsky Avi Weissman Ohad Ben-Cohen Ofer Maor Ofer Shezaf Yaniv Miron Amichai Shulman - Agenda des présentations - Inde - Agenda des présentations - Israël CRYPTOGRAPHIE ECRYPT – RECOMMANDATIONS 2007/2008 SUR LA TAILLE DES CLEFS Description Le réseau d’excellence Européen ‘eCrypt’ publie régulièrement un très intéressant rapport d’étude intitulé ‘Yearly Report on Algorithms and Key Lengths’ (Rapport N°104 - Mars 2007). Publié fin août, ce rapport de 95 pages aborde un sujet épineux s’il en est, celui de l’évaluation de la taille optimale pour des clefs utilisées dans les mécanismes cryptographiques désormais présents dans tous les systèmes d’informations. En matière de cryptographie, les critères de sélection d’un algorithme de chiffrement sont principalement dictés par la nature des fonctions attendues – chiffrement, signature, intégrité – et par la durée de vie minimale de la protection offerte laquelle est bien souvent déterminée par la nature de données protégées. Que l’algorithme soit de nature symétrique – la même clef est employée pour les opérations de chiffrement et de déchiffrement – ou asymétrique – deux clefs différentes mais mathématiquement liées sont employées – la durée de la protection dépendra directement de la taille des clefs en considérant toutefois que l’algorithme est exempt de tout biais permettant de réduire l’espace à parcourir lors d’une recherche exhaustive. Dés lors, toute recommandation ayant pour objet la détermination d’une taille optimale devra s’effectuer sur la base d’une mesure moyenne de la durée de vie de la protection offerte et impérativement être bornée dans le temps pour faire l’objet d’une réévaluation régulière. Les recommandations publiées par ‘eCrypt’ sont ainsi régulièrement revues au regard des événements écoulés sur la période séparant deux éditions successives, soit un an pour les éditions 2005 et 2006 publiées au mois de mars. Le décalage dans la date de publication de la nouvelle édition conduit à étendre la période de référence sur l’année 2008 et à intituler celle-ci ‘ECRYPT Yearly Report on Algorithms and Keysizes (2007/2008)’. x Un barème établi en 1996, et Agresseur Budget Moyens Min. 08 Min. 07 Min. 06 remis à jour à chaque nouvelle Hacker 0 PC 53 bits 52 bits 51 bits édition, définit la taille minimale <$400 PC/FPGA 58 bits 57 bits 56 bits que doit avoir la clef d’un 0 Malware 62 bits 60 bits 59 bits algorithme de chiffrement dit Petites organisations $10K PC/FPGA 64 bits 62 bits 62 bits ‘symétrique’ pour maintenir la Organisation moyennes $200k FPGA/ASIC 68 bits 67 bits 66 bits confidentialité des données, de Grandes organisations $10M FPGA/ASIC 78 bits 77 bits 76 bits quelques jours à un an, selon Agences $300M ASIC 84 bits 88 bits 81 bits le budget de l’attaquant. En 2008, cette taille est révisée à la hausse de 1 bit pour pratiquement toutes les catégories d’attaque, à l’exception de la révision à la baisse – 4 bits – des clefs permettant de résister à une attaque menée par une agence gouvernementale dotée d’un budget conséquent. Une révision dont nous n’avons pas trouvé la justification malgré la lecture attentive du rapport. Les performances de systèmes de cassage dédiés à base d’ASIC auraient-elles été surestimées dans l’édition précédente ? Une synthèse des informations présentées dans les tableaux 7.1, 7.2, 7.3 et 7.4 du rapport est proposée dans la table ci-dessous, laquelle indique les longueurs de clefs équivalentes pour les algorithmes à clefs publiques de type RSA, DLOG (Discrete Logarithm) et EC (Elliptic Curves). Niv. 1 Equ Sym. 32 RSA 248 DLOG 248 64 Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés EC 64 Protection contre Attaques en temps réel par des individus Durée heure Page 10/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 2 64 816 816 128 128 Très court terme contre de petites organisations mois 3 72 1024 1024 144 144 Court terme contre des organisations moyennes année 4 80 1248 1248 160 160 Très court terme face à des agences < 4 ans 5 96 1776 1776 192 192 Niveau standard type 3DES à 2 clefs ~10 ans 6 112 2432 2432 224 224 Moyen terme ~20 ans 7 128 3248 3248 256 256 Long terme ~30 ans 8 256 15424 15424 512 512 Au delà du futur appréciable Quantum Ces données diffèrent de celles établies par d’autres organismes de recherche dont le NIST et RSA Labs qui suggèrent des clefs RSA, DLOG et EC moins longues. Les valeurs indiquées en italique et couleur rouge ont été calculées à partir de la formule donnée en page 24 du rapport, celles-ci n’étant pas données en l’état dans les tableaux. Il en va de même avec les durées de vie des niveaux 1, 2 et 3 extrapolées à partir des informations fournies par RSA Labs. Comme en 2007, une taille de clef équivalente de 80bits – niveau de protection 4 – permettra de se protéger des scénarios d’attaque les plus courants en notant qu’il n’y a plus de différence marquée entre 80 et 128 bits si l’on doit prendre en compte des scénarios utilisant des modèles basés sur des tables pré-calculées. Dans ce cas de figure, il est recommandé d’appliquer la règle du ‘double’ en considérant une taille équivalente au double de la taille de clef répondant au niveau de protection minimal attendu. Ainsi, une taille de clef de 128 bits –niveau 7 - offrira un niveau équivalent à une taille de clefs de 80 bits – niveau 4 – face à des attaquants disposant d’un espace de stockage suffisant pour héberger des tables pré-calculées. Les grandes organisations devront ainsi considérer devoir employer une taille de clef offrant une robustesse similaire à celle offerte en scénario classique par une clef de 80 bits si l’on considère le barème mis à jour. Si l’on tient compte des réels risques posés par les modèles utilisant des tables pré-calculées, l’application de la règle du double conduit à devoir sélectionner des tailles de clefs symétrique de 128bits, RSA de 3248 bits et de 256 bits dans le cas d’une cryptographie utilisant les courbes elliptiques. Que d’évolutions depuis la fin des années 80 où les experts s’entendaient tous sur le fait qu’une clef de 1024bits pouvait être utilisée sans grande crainte par une autorité de certification, les utilisateurs pouvant se contenter, eux, de clefs de 512bits ! Complément d’information http://www.ecrypt.eu.org/documents/D.SPA.28-1.1.pdf RFID RFID - PHYSICALLY UNCLONABLE FUNCTIONS Description Après l’annonce en début de mois de la société Verayo, c’est la société Veratag qui a son tour indique avoir intégré dans ses badges RFID une technologie interdisant leur clonage grâce à l’intégration de fonctions non copiables ou PUF (Physically Unclonable Functions). Cette technologie repose sur les caractéristiques des processus de fabrication de composant lesquels étant loin d’être parfait induiront des différences mineures entre deux composants pourtant réalisés sur la même chaîne et dans les mêmes conditions. Toute l’astuce consiste ici à transformer ces différences en une information exploitable ayant pour caractéristique d’être non seulement non prédictible – elle résulte des aléas du processus de fabrication et ne sera donc connue qu’en fin de processus – mais aussi non reproductible par le même processus de fabrication. Cette information – une séquence de bits pseudo-aléatoire – à toutes les caractéristiques attendues d’un secret qui pourra parfaitement être utilisé pour initialiser une fonction cryptographique. Le niveau de sécurité alors offert dépendra de plusieurs facteurs: - la nature du processus de fabrication qui devra effectivement autoriser une dispersion suffisante des caractéristiques exploitées pour générer le secret, - la conception de la fonction de génération du secret à partir des dispersions observées dans les caractéristiques du composant qui devra produire un secret inaltérable, - la conception du composant qui ne devra jamais exposer tout ou partie du secret sur ses interfaces externes ou sur des pads ou des ‘vias’ internes même pour des raisons de contrôle de la qualité de la fabrication ou de fonctionnement, - la qualité de la fonction cryptographique qui ne devra pas permettre de recouvrer la clef sur des attaques de type clair choisi, Le terme ‘Function’ intervenant dans le sigle PUF désigne la fonction génératrice du secret et non la fonction cryptographique l’utilisant. La nature de cette fonction, et l’implémentation, d’une telle fonction peut apparaître difficile à appréhender d’autant que les caractéristiques susceptibles d’être exploitées sont multiples: variation dans le délai de transit d’un signal le long d’une piste, état d’initialisation d’une bascule, d’une mémoire, temps de verrouillage d’une bascule… Le composant X512H mis au point par la société Verayo utilise un procédé permettant d’implémenter un système d’authentification de type ‘défi/réponse’ sans pour autant faire appels à une quelconque fonction cryptographique, trop coûteuse à implémenter dans une étiquette électronique. Ce procédé est décrit dans le papier intitulé ‘Design and Implementation of PUF-Based - Unclonable - RFID ICs for Anti-Counterfeiting and Security Applications’ publié en avril dernier dans une revue de l’IEEE. Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 11/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 Il utilise la différence du temps de propagation d’un signal le long de deux chemins différents sélectionnés aléatoirement: un mot de n bits, dénoté ‘X’ sur le synoptique ci-contre, permet de sélectionner les chemins à comparer en pilotant n multiplexeurs permettant d’inverser les routes suivies par les signaux de sortie. Au final, une simple bascule D fournit un état ‘Y’ lié à la différence du temps de transit du signal d’entrée le long des deux cheminements sélectionnés. Cette fonction ne produisant qu’un seul bit d’information, il sera nécessaire de réitérer la mesure autant de fois que requis pour obtenir une séquence de la longueur souhaitée en modifiant, à chaque itération, le mot générateur ‘X’. Dans le procédé décrit par Verayo, ce mot est lui-même généré à partir d’un générateur pseudo-aléatoire construit sur un registre à décalage bouclé – ou LFSR – initialisé par une donnée externe, le défi, la séquence constituée par la succession de valeurs de ‘Y’ formant la réponse. Chaque couple ainsi produit ne peut l’avoir été que par une étiquette ‘authentique’. La vérification de l’authenticité d’une étiquette nécessitera donc la création préalable d’une table de référence associée au numéro de série de l’étiquette et contenant les réponses fournies par celle-ci pour une série de défis de 64bits tirés aléatoirement. Cette étape pourra être engagée lors de la mise en circulation de l’étiquette. La vérification ultérieure de l’authenticité se fera en soumettant, après lecture du numéro de série, l’un des défis attachés à cette étiquette et en vérifiant que l’étiquette fournit la réponse attendue. Il sera alors possible de mettre à jour la table de référence en générant de nouveaux couples. Il s’agit ici d’un procédé d’authentification dit ‘simple’ par les concepteurs dont le point de faiblesse réside bien sûr dans la table de référence contenant les réponses à chacun des défis. Que le contenu de cette table soit exposé, et l’étiquette pourra être clonée logiquement par simple transfert de cette table dans une étiquette RFID conçue pour simuler le protocole et fournir la réponse attendue, un ‘Yes RFID’. On notera que l’aspect physique de l’étiquette devra impérativement intervenir dans le processus de contrôle, la réalisation d’une étiquette reprogrammable ayant la même forme et apparence n’étant pas à la portée d’un amateur. Dans une analyse publiée sur le blog des chercheurs du laboratoire de sécurité de l’université de Virginie, Karsten Nohl (l’un des membres de l’équipe ayant mis à mal le composant ‘MiFare Classic’) met en garde les futurs utilisateurs de cette technologie contre les abus de langage utilisés par les spécialistes du marketing. Comparant cette technologie a une forme d’ADN ou d’empreinte électronique, ils oublient de préciser que même l’ADN peut de nos jours être cloné. Tout n’est aujourd’hui qu’une question de moyens et donc d’espérance de gain. Et de rappeler trois conditions à respecter pour que ce concept soit viable: - la partie invariante du circuit doit être cryptographiquement forte, - le nombre de paramètres d’entrée variables formant la clef doit être grand, - l’entropie de ces entrées doit être grande. Ces conditions nous semblent, à la lecture du papier publié, être respectées. Karsten Nohl rappelle cependant que l’approche ici prise est proche de celle, fallacieuse et dangereuse, de ‘la sécurité par l’obscurité’: «… conclude that only well-reviewed security primitives can be strong. PUF technology tries to achieve security in exactly the opposite way: the PUF circuit is designed in a way so that not even the designer understands how outputs are derived from inputs. Security-by-obscurity par excellence. Every circuit, including PUFs, is a deterministic function; the only difference in PUF circuits is that some inputs to the function vary across different tags. » Soit, mais les arguments ici développés manquent singulièrement de force. Que le concepteur ne comprenne pas comment les sorties sont dérivées des entrées est une affirmation contredite par le fonctionnement même du procédé et notamment par le fait que l’exigence de reproductibilité de la réponse à un défi donné soit vérifiée par chacun des composants. Ce ne serait pas le cas si les principes sous-jacents n’étaient pas parfaitement compris. La technologie PUF n’en est qu’à ses balbutiements. Elle tente d’implémenter un principe indéniable – le ‘ce que l’on ait cher aux procédés d’authentification biométrique – dans un système manufacturé en tirant parti des imperfections inhérentes la chaîne de production de ce système. On pourrait, a contrario envisager, de produire un composant dans des conditions conduisant à une précision de réalisation telle qu’elle ne puisse être approchée par une copie. Une voie qui pourrait être ouverte avec les progrès actuels en nano-mécanique. Cette approche semble être étudiée par certains laboratoires dont celui de l’université de Cornell lequel a mis en évidence une propriété inattendue de certains dispositifs de type MEMS (Micro-Electro-Mechanical Systems) concernant leur fréquence de résonance propre. Cette propriété permettrait d’offrir un système de signature pouvant être aisément embarqué dans des composants tiers. Les résultats de travaux menés par l’université de Cornell ont conduit à la création de la société ‘Veratag’ chargée de commercialiser des dispositifs spécifiques dénommés ‘MEMFlakes’. Complément d’information http://www.pufcoinc.com/ http://www.veratag.com/Contact_Us.html#naturemems http://www.verayo.com/downloads/Verayo_IEEE_RFID_Paper.pdf http://www.jeffersonswheel.org/?p=69 Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés - Composant Verayo X512H - Composant Veratag - Présentation du procédé Verayoi - Analyse de Karsten Nohl Page 12/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 IIN NF LEEG FO GIIS OR RM SL MA LA AT AT TIIO TIIO ON ON NS N SE ET TL LES INFORMATIONS CONFERENCE DEFCON16 Description Les supports des 114 présentations de la conférence DEFCON16 ont été mis en ligne. Cette conférence, qui se tient à la suite de la conférence BlackHat, a généralement une orientation technique très poussée portant sur des thématiques très éclectiques: de l’overclocking d’une calculatrice - la HP28 - datant de 1987 à l’étude des systèmes de vote électronique en passant par le hacking d’OpenVMS ! Une conférence abordant tous les sujets sans tabou où chacun pourra puiser en fonction de ses thèmes d’intérêts, de l’intitulé d’une présentation ou encore du nom du présentateur. Il suffit pour cela de cliquer sur le titre de l’une des présentations listées dans le tableau suivant. 10 Things That Are Pissing Me Off 365-Day: Active Https Cookie Hijacking A Hacker Looks at 50 Advanced Software Armoring and Polymorphic Kung Fu Anti-RE Techniques in DRM Code Autoimmunity Disorder in Wireless LAN BackTrack Foo - From Bug to 0day Beholder: New Wifi Monitor Tool Brain Games: Make your own Biofeedback Video Game Bringing Sexy Back: Breaking in with Style BSODomizer Building a Real Session Layer Buying Time - What is your Data Worth? Bypassing Pre-boot Authentication Passwords CAPTCHAs: Are they really hopeless? (Yes) Career Mythbusters: Separating Fact from Fiction in your IS Career Climbing Everest: An Insider's Look at one State's Voting Systems Comparison of File Infection on Windows & Linux Compliance: The Enterprise Vulnerability Roadmap Compromising Windows Based Internet Kiosks Could Googling Take Down a President, a Prime Minister, or an Average Citizen? CSRF Bouncing† Deciphering Captcha Demonstration of Hardware Trojans de-Tor-iorate Anonymity Developments in Cisco IOS Forensics Digital Security: A Risky Business DNS Goodness Evade IDS/IPS Systems using Geospatial Threat Detection Every Breath You Take Exploiting A Hundred-Million Hosts Before Brunch Feed my Sat Monkey Flux on: EAS (Emergency Alert System) Forensics is ONLY for Private Investigators Free Anonymous Internet Using Modified Cable Modems Gaming - The Next Overlooked Security Hole Generic, Decentralized, Unstoppable Anonymity: The Phantom Protocol Going Beyond Social Engineering and Dumpster Diving Good Viruses. Evaluating the Risks Grendel-Scan: A new web application scanning tool Hacking Data Retention: Small Sister your digital privacy self defense Hacking Desire Hacking E.S.P. Hacking OpenVMS Ham For Hackers- Take Back the Airwaves Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Renderman M.Perry G. M.Hardy N.Harbour J.Newger Ahmad, Murthy, Vartak M.Aharoni N.Murilo & L.Eduardo Ne0nRa1n D.Maynor & R.Graham J.Grand & Zoz D.J. Capelis A.Bregenzer JoN.Brossard M.Spindel & S.Torborg L.Kushner & M.Murray S.Clark lclee_vx & lychan25 Weasel P.Craig G.Conti M.Brooks M.Brooks F.Kiamilev & R.Hoover N.Evans & C.Grothoff FX IO.Angell D.Kaminsky R.Trost J.O'Leary Frei, Ollmann, May Major Malfunction M.Krick S.Moulton Self, Durandal, Bitemytaco F.Schober Magnus Bråding E.Schmiedl I.Muttik D.Byrne & E.Duprey B.De Winter I.Clarke J.Cicero & M.Vieau Öberg, Nyberg & Tusini JonM Page 13/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 Hijacking the Outdoor Digital Billboard Network How Can I Pwn Thee? Let Me Count the Ways How to make Friends & Influence Lock Manufacturers Identification Card Security: Past, Present, Future Inducing Momentary Faults Within Secure Smartcards / Microcontrollers Is That a Unique Credential in Your Pocket or Are You Just Pleased to See Me? Journey to the Center of the HP28 Keeping Secret Secrets Secret and Sharing Secret Secrets Secretly Let's Sink the Phishermen's Boat! Living in the RIA World Making a Text Adventure Documentary Making the DEFCON 16 Badge Malware Detection through Network Flow Analysis Malware RCE: Debuggers and Decryptor Development Markets for Malware: A Structural Economic Approach Medical Identity Theft MetaPost-Exploitation Mobile Hacker Space ModScan: A SCADA MODBUS Network Scanner Nail the Coffin Shut, NTLM is Dead New Ideas for Old Practices - Port-Scanning Improved New Tool for SQL Injection with DNS Exfiltration Next Generation Collaborative Reversing with Ida Pro and CollabREate Nmap: Scanning the Internet Open in 30 Seconds: Cracking One of the Most Secure Locks in America Owning the Users with The Middler Password Cracking on a Budget Pen-Testing is Dead, Long Live the Pen Test Playing with Web Application Firewalls Predictable RNG in the Vulnerable Debian OpenSSL Package, What and How Race-2-Zero Unpacked RE:Trace: The Reverse Engineer's Unexpected Swiss Army Knife Satan is on my Friends list: Attacking Social Networks Scada: Fear, Uncertainty and the Digital Armageddon Security and Anonymity Vulnerabilities in Tor: Past, Present, and Future Shifting the Focus of WiFi Security: Beyond cracking your neighbor's WEP key Sniffing Cable Modems Snort Plug-in Development: Teaching an Old Pig New Tricks Solid State Drives Destroy Forensic & Data Recovery Jobs: Animated! Stealing The Internet - A Routed, Wide-area, Man in the Middle Attack StegoFS Taking Back your Cellphone The Anatomy of a Subway Hack: Breaking Crypto RFID's and Magstripes The Big Picture: Digital Cinema Technology and Security The Death Envelope: A Medieval Solution to a 21st Century Problem The Death of Cash The Emergence (and Use) of Open Source Warfare The true story of the Radioactive Boyscout The Wide World of WAFs The World of Pager Sniffing: More Activity Than One May Suspect They're Hacking Our Clients! Introducing Free Client-side Intrusion Prevention Ticket to Trouble Time-Based Blind SQL Injection using heavy queries Toasterkit, a Modular NetBSD Rootkit Toying With Barcodes Tuning Your Brain Under the iHood Urban Exploration - A Hacker's View Virtually Hacking VLANs Layer 2 Attacks: Their Relevance and their Kryptonite VoIPER: Smashing the VoIP Stack While You Sleep VulnCatcher: Fun with Vtrace and Programmatic Debugging War Ballooning-Kismet Wireless "Eye in the Sky" Web Privacy and Flash Local Shared Objects What To Do When Your Data Winds Up Where It Shouldn't When Lawyers Attack! Dealing with the New Rules of Electronic Discovery Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Tottenkoph Renderman C.Towne & J.King D.Farre C.Tarnovsky Z.Franken T.Goodspeed V.Vandal Teo Siong & H.Joseph Stamos, Thiel, Osborne J.Scott J.Grand B.Potter M.Ligh & G.Sinclair B.K. Edwards & SJ.Flaim E.Smith & S.Dardan Valsmith & C.Ames T.Wilhelm M.Bristow K.Grutzmacher F.Yamaguchi & FX R.Ricks C.Eagle & T.Vidas Fyodor MW.Tobias & M.Fiddler J.Beale M.Weir & S.Aggarwal T.Banks & Carric W.Guglielmetti L.Bello & M.Bertacchini S.Howard Weston & Beauchamp N.Hamiel & S.Moyer M.Marquis-Boire R.Dingledine T.Bouvette & R.Farina G.Martin B.Feinstein S.Moulton A.Kapela & A.Pilosov J.Shewmaker A.Lash Anderson, Ryan & Chiesa M.Renlund M.Yoder T.Howlett P.Berghammer P.F. Renda B.Feinstein NYCMIKE J.Beale B.De Winter C.Alonso & J.Parada A.Martinez & T.Bowen FX Lyn C.Hotchkies Phreakmonkey J.Fitzpatrick Figueroa, Williams N.N.P. atlas R.Hill C.Wong DM.Blumenthal J.Benson Page 14/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 WhiteSpace: A Different Approach to JavaScript Obfuscation Working with Law Enforcement Xploiting Google Gadgets: Gmalware and Beyond Kolisar DM.Blumenthal Stracener & Hansen Une rapide lecture des supports de présentation disponibles nous a permis de découvrir quelques présentations sortant de l’ordinaire au titre du sujet traité ou de l’intérêt de l’analyse. Advanced Software Armoring and Polymorphic Kung Fu N.Harbour A l’occasion de la présentation de PE-Scrambler, un utilitaire destiné à complexifier l’analyse d’un code binaire Intel, l’auteur nous dévoile différents ‘trucs’ permettant d’induire en erreur aussi bien l’analyste que l’outil d’analyse. On découvre à cette occasion que le code assembleur INTEL est loin d’être non ambiguë notamment de par l’encodage des instructions via des séquences binaires de longueur variable lesquelles ne sont pas toujours alignées sur l’organisation de la mémoire, 32 bits ou 64 bits pour les processeurs récents. Un encodage à longueur variable peut donc conduire à une interprétation erronée d’une séquence binaire lorsque l’on ne connaît pas avec certitude la position du premier octet d’une instruction valide. Cette ambiguïté pourra généralement être manuellement levée par le parcours du code ou, automatiquement, par l’analyse du flot d’instruction lorsque aucune information n’est disponible ce qui est généralement le cas d’un code capturé en mémoire ou dont l’en-tête a été manipulée. Il semble qu’il existe cependant des cas où aucune décision ne pourra raisonnablement être prise quant à la validité d’une interprétation parmi toutes les interprétations possible, et ceci, quand le code est pourtant exécuté sans erreur par le processeur. On pourrait raisonnablement penser quesi ce dernier est à même de sélectionner la bonne ‘interprétation’, n’importe qui d’autre ayant connaissance des tables de décision pourrait aussi bien le faire. Les quelques exemples présentés semblent démontrer que cela n’est pas le cas, et que des séquences ambiguës peuvent réellement être employées comme chausse-trappes dans lesquels tomberont la majorité si ce n’est tous les désassembleurs dont le célèbre IDA Pro. Autant d’exemples que nous avons vérifiés et qui laissent songeurs… Un subtil travail d’entrelacement – de tissage pourrions nous dire – d’instructions dont le seul but est de conduire le désassembleur, et l’analyste avec, à produire une analyse erronée. Cela ne serait que simple nuisance si des outils n’étaient désormais à même de transformer un code binaire ‘normal’ en un code binaire exécutable mais impossible à analyser en temps contraint. Nous ne résistons pas au plaisir de dévoiler cicontre l’un des ‘trucs’ présentés par l’auteur, un tour de passe-passe que les aficionados de la programmation assembleur apprécieront, nous en sommes sûrs, à sa juste valeur. Il serait temps d’abandonner les architectures utilisant des jeux d’instructions aussi problématiques, un problème aussi posé par l’usage de l’encodage ASN.1 dit ‘BER’ – Basic Encoding Rules – en lieu place de l’encodage ‘DER’ – Distinguished Encoding Rules – lequel ne laisse place à aucune ambiguïté dans le décodage au détriment, il est vrai, d’un codage plus volumineux. L’économie de quelques octets ne se justifie plus vraiment de nos jours. The Big Picture: Digital Cinema Technology and Security M.Renlund Cette présentation ne traite que très indirectement de la sécurité au sens informatique du terme. Elle n’en est pas moins passionnante car ouvrant une fenêtre sur un domaine dont il est rarement question en dehors de certains cercles de spécialistes ou de passionnés: le cinéma dit ‘numérique’ par opposition au cinéma classique utilisant une bonne vieille pellicule argentique. Le terme ‘analogique’ ne s’appliquerait d’ailleurs à celui-ci que pour la piste image puisque les pellicules récentes comportent, comme le montre l’auteur, plusieurs pistes encodées numériquement. Pour être distribués en salle, les films sont transportés dans des containers spécifiques assurant l’intégrité du support contre diverses formes de malversations. L’auteur aborde ensuite le cœur du sujet: le cinéma numérique et l’architecture mise en œuvre pour transférer en toute sécurité – au sein informatique du terme – un flot de données entre une unité de stockage à grande capacité et un système de projection numérique. Nous sommes loin du système iMax et de sa pellicule de 70mm de côté puisque les projecteurs numériques professionnels ressemblent, en plus grand il est vrai, aux projecteurs accessibles aux particuliers: un système de traitement du son et de l’image couplé à un dispositif de projection utilisant des technologies dont les auteurs de science-fiction n’auraient pas eu l’idée dans les années 70. Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 15/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 Nous pensons notamment à la technologie DLP inventée à la fin des années 80 qui utilise une surface constituée de milliers de miroirs de quelques µm, lesquels par déplacement permettent de moduler un faisceau de lumière incident. Que l’on assemble astucieusement trois surfaces de ce type éclairées par trois faisceaux correspondant aux trois couleurs primaires et l’on dispose d’un système de restitution de l’image dont la finesse dépendra de la taille et du nombre des miroirs. On imagine la complexité des processus ayant permis la réalisation d’un tel chef-d’œuvre – cf. l’image ci-contre extraite de la présentation – en tenant compte de la présence d’un actuateur au pied de chaque miroir. Building a Real Session Layer D.J. Capelis Constitué de quelques 100 pages ne contenant que quelques mots voire ci ou là une phrase complète, le support de cette présentation n’est pas spécialement attirant et n’aura, a priori, de sens que pour celui qui aura assisté à la présentation ou encore pour toute personne ayant encore en tête le fabuleux modèle en couche développé dans les années 80 par l’ISO, modèle dit ‘OSI’. Ce modèle spécifie une architecture de communication ouverte dans laquelle les services, rendus par le biais d’interfaces normalisées, sont organisés selon sept niveaux, chacun apportant sa contribution dans la construction de l’édifice: PLRTSPA ou ‘Physique / Liaison / Réseau / Transport / Session / Présentation / Application’. Il est usuellement considéré que le modèle de communication employé sur l’Internet respecte 5 des 7 couches : Physique avec le média, Liaison avec le protocole Ethernet, Réseau avec le protocole IP et Transport avec les protocoles TCP et UDP. Les services offerts par les couches Sessions et Présentations sont bien souvent intégrées dans un ensemble au contour mal défini mais proche des applications. La comparaison des deux modèles est en pratique bien plus complexe que cette simple équivalence, le modèle OSI définissant un modèle de couche générique et une terminologie très spécifique: service (rendu par la couche N à la couche de niveau supérieur N+1), protocole (communication entre deux couches de même niveau) et interface (point d’accès au service). L’auteur, pourtant jeune, milite pour l’intégration d’une véritable couche 5 dite ‘Session’ dans le modèle de communication de l’Internet en vantant les mérites de la séparation des services notamment sur le plan de la compartimentation des risques. Il imagine ce que pourrait être une couche ‘Session’ en s’appuyant sur les caractéristiques du service TCPMUX lequel autorise le multiplexage des services sur un même transport. Et de considérer qu’il serait ainsi possible de faire fi des numéros de ports, selon lui, une véritable nuisance qu’il convient d’éliminer. Et de considérer que: If TCP/UDP hadn’t done them (ports number), we’d have had a real session layer 20 years ago. Cette assertion, totalement erronée de notre point de vue, participe à une forme de réécriture de l’histoire à l’américaine contre laquelle nous nous élevons et qui nous conduit à commenter cette présentation. Le modèle OSI, avec ses avantages et inconvénients, a fait l’objet d’implémentations parfaitement réussies, notamment en Europe et particulièrement en France, et ce sur l’intégralité des 6 premières couches. Nous disposions donc il y a 20 ans d’une véritable couche ‘Session’ conforme en tout point à l’esprit du modèle ‘OSI’. Le fait est, hélas, que le développement d’une architecture normalisée est un projet long et coûteux, tant sur le plan normatif que sur celui de la certification de conformité des produits s’agissant d’une norme ISO. Dans le même temps, était développée aux USA, une architecture n’ayant d’autres contraintes que la résilience et sans aucune des exigences de qualité ou d’interopérabilité portant sur les développements ISO. Ajoutons à cela qu’à l’époque le coût – en terme de ressources occupées et de temps de développement - d’une pile TCP/IP était largement inférieur à celui d’une pile TP4/X25 et l’on comprendra que le monde se soit tourné vers un standard de fait s’appuyant sur des spécifications incomplètes et/ou incohérentes. Encore un effet pervers de l’économie de marché dont nous payons le prix fort 20 ans après. Ceci étant, le modèle OSI – construction superbe de rigueur et de symétrie – était probablement trop parfait et contraignant pour répondre aux besoins très terre à terre du marché d’alors. Serait-il plus adapté de nos jours et aurait-il été aussi fragile que son homologue du DARPA, c’est là la véritable question ? Pour en revenir à la louable initiative de DJ. Capelis, force est de constater qu’elle ne pourra conduire qu’à la réalisation d’une cinquième couche ayant pour intérêt d’éventuellement préciser la situation de certains protocoles de sécurité mais n’ayant cependant pas grand-chose à partager avec les spécificités de la couche 5 du modèle OSI. Certains de nos lecteurs ne partageront peut être pas notre position et nous serions heureux d’en discuter, ce sujet – le modèle OSI, ses apports et les conditions ayant conduit à sa déshérence – nous tenant particulièrement à cœur. Flux on: EAS (Emergency Alert System) M.Krick De jours encore, le moyen d’alerte et d’information le plus efficace, hors le RNA dont le seul rôle est de signaler un incident, reste la radiodiffusion à condition toutefois de disposer d’un poste de réception et de connaître les bandes de fréquence utilisées. Ce moyen d’alerte, qui a connu son apogée au temps de la guerre froide, que ce soit en Europe où aux USA, semble être désormais bien peu connu de nos citoyens à l’exception peut-être des expatriés qui tous savent qu’en cas de problème, les fréquences de diffusion utilisées par RFI – Radio France Internationale – pourront être utilisées pour diffuser les consignes à suivre. En France, ce rôle est dévolu à France Inter et à son réseau de diffusion, en FM mais aussi en GO sur la fréquence de 162Khz. Les restrictions budgétaires, l’arrêt des diffusions de RFI à l’attention de certaines zones et le passage au tout numérique – diffusion et support - pourrait bien hélas sonner le glas d’un système d’alerte et d’information robuste et efficace en place depuis plus de 40 ans. Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 16/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 Il n’en va pas de même aux USA où, il est vrai, l’étendu du territoire mais aussi des risques de catastrophes naturelles, a conduit à mettre en place des réseaux d’information dont le plus connu est celui géré par le NOAA – le NOAA Weather Alert. Celui-ci, qui concerne les états susceptibles d’être touchés par un cyclone ou une tornade, utilise sept fréquences dédiées dans la bande VHF automatiquement veillées par de nombreux récepteurs grands publics vendus aux USA dont les matériels de la célèbre société Tandy/RadioShack. La présentation de Matt Krick porte sur l’histoire de la mise en place du premier réseau d’alerte concomitant au déclenchement de la Guerre Froide et à son extension progressive pour prendre en compte de nouveaux types d’incident mais aussi l’évolution des technologies. Ainsi, de 1951 à 1963, le réseau d’alerte aux radiations – dit CONELRAD - s’est développé en s’appuyant sur l’ensemble des stations de radiodiffusion couvrant le territoire américain, les stations ne participant pas au réseau étant tenu d’arrêter immédiatement leur transmission en cas d’alerte, les deux fréquences de veille étant inscrites sur le cadran de toutes les radios de l’époque soit 640Khz et 1240Khz en petites ondes (PO), les grandes ondes (GO) n’étant pas utilisées aux USA. Ce réseau s’est modernisé de 1963 à 1997 pour devenir le réseau EBS – Emergency Broadcast System - pour couvrir d’autres risques en introduisant un signal d’alerte spécifique et une infrastructure de stations relais opérées 24/24h. En 1994, l’extension des missions affectées à ce réseau renommé EAS - Emergency Alert System - ont conduit à intégrer un mécanisme de signalisation numérique permettant non seulement une gestion automatisée de la fonction de veille par les récepteurs mais aussi la désignation de la nature de l’alerte et l’affichage d’informations complémentaires. Le mécanisme utilisé permettait d’éviter toute rupture avec les moyens de transmission de l’époque puisque les structures d’en-tête (ZCZC) et de fin (NNNN) de message respectait un standard de messagerie toujours en vigueur, les données étant encodées en ASCII 7bits et transmises à 520 bauds par le biais d’une modulation deux tons ou ‘AFSK’. L’architecture de l’ensemble du système, lequel doit répondre à des exigences de disponibilité draconiennes est décrite très en détail dans la présentation. Ce système devrait de nouveau subir une nouvelle évolution permettant d’intégrer de multiples supports – voix, texte et image – tout en permettant la transmission d’alertes ‘certifiées’ et pouvant être géographiquement ciblées. The World of Pager Sniffing: More Activity Than One May Suspect NYCMIKE Cette présentation s’avère être une excellente introduction à la présentation ‘Scada: Fear, Uncertainty and the Digital Armageddon’ de M.Marquis-Boire et plus précisément au chapitre concernant la collecte d’informations utiles par l’écoute des notifications transmises par radio par certains systèmes de gestion industrielle ou SCADA dans le jargon. Dans cette dernière présentation, l’auteur détaille le cas du logiciel ‘SCADAlarm’ édité par la société ‘Wonderware’ qui automatise l’envoi en temps réels de notification d’événements sur divers équipements terminaux, GSM mais aussi ‘pagers’. Les informations contenues dans ces messages de notification peuvent contenir des informations sensibles – identification d’un système, adresse IP, numéro de téléphone… - dont il serait souhaitable qu’elles ne tombent pas entre des mains malintentionnées. D’aucuns pourraient imaginer que le risque de fuite d’information par ce moyen de transfert est faible. Ce serait ignorer que les systèmes de diffusion commerciaux permettant de joindre à tout moment un dispositif d’alerte – pager ou beeper – utilisent à quelques exceptions près un canal de transmission certes fiable (le message est retransmis régulièrement sur l’ensemble du réseau de diffusion) mais non confidentiel (le message est transmis en clair). Dés lors quiconque dispose de l’équipement ad’hoc pourra collecter tous les messages transmis par le relais le plus proche du lieu d’écoute. Et comme le démontre ‘NYCMIKE’ dans la présentation ‘The World of Pager Sniffing: More Activity Than One May Suspect’, l’équipement nécessaire peut être assemblé par n’importe quel amateur, encore faut-il qu’un service de diffusion de message soit actif dans le pays. L’Europe pour ne citer qu’elle dispose encore de réseau de diffusion de messages privés, l’un couplé avec le système RDS mais rarement utilisé du moins à notre connaissance, l’autre hérité des grands réseaux de radiomessagerie des années 90 (AlphaPage, Tatoo, Expresso, Tam-Tam, Kobby…) , lesquels ont été soit abandonnés, soit repris par des sociétés spécialisées dont principalement la société Allemande ‘e*Message’. Et il est de fait que les fréquences allouées à ces réseaux sont de nos jours encore très actives en France, les messages d’alertes ayant remplacés les mots doux et autres échanges autrefois véhiculés par ce moyen. Toutes les informations délivrées par l’auteur de la présentation 'The World of Pager Sniffing: More Activity Than One May Suspect' sont réelles et connues de longue date de certaines populations. Nombreux sont les sites fournissant librement les données complémentaires nécessaires – protocoles en usage, plan de fréquence, logiciels de décodage – bien que la seule diffusion de certaines de ces informations soit répréhensible dans certains pays. En France, la possession d’un moyen de réception permettant ce type d’interception – cf ‘Arrêté du 29 juillet 2004 fixant la liste d'appareils prévue par l'article 226-3 du code péna’ - est encadrée par la loi au titre de l’atteinte à la vie privée, laquelle stipule « l’acquisition ou la détention d’un tel équipement est soumise à une autorisation délivrée par le premier Ministre » - Décret nº 97-757 du 10 juillet 1997 art. 6 Journal Officiel du 13 juillet 1997. Cette obligation, méconnue, n’arrêtera certainement pas un individu déterminé à collecter un maximum d’information sur un système de traitement automatisé d’autant que cette source de fuite d’information est rarement traitée au niveau des plans de sécurité pourtant établis par des spécialistes. N’oublions pas que les ondes radio ne connaissent ni frontières ni distance de sécurité à l’air libre. De tout ceci, on retiendra que dans bien des cas, les services de radio-messagerie sont indispensables au bon fonctionnement d’une organisation et qu’ils sont susceptibles de véhiculer des informations sensibles sans que les utilisateurs en soient toujours conscients. Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 17/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 Dans le domaine de la gestion des SI et de la surveillance des processus informatique, il conviendra de définir un format de notification concis et sans ambiguïté pour le(s) destinataire(s) tout en masquant les informations potentiellement sensibles: noms d’interlocuteurs, lieux, adresses IP, identifiant de système totalement qualifié. On prendra garde à intégrer l’ensemble de la chaîne de notification dans la réflexion, la notification d’alerte pouvant parfaitement être gérée – sans retraitement - par un système éloigné du lieu de production du message original. Bringing Sexy Back: Breaking in with Style D.Maynor & R.Graham Avec cette présentation, David Maynor et Robert Graham tentent selon leurs propres termes de faire évoluer les tests d’intrusion vers quelque chose de moins ‘ennuyeux’ et ‘répétitif’, en un mot ‘de plus sexy’. De fait l’expérience qu’ils nous présentent est pour le moins nouvelle et attirante quoique que potentiellement coûteuse! Leur idée consiste en effet à faire voyager par courrier une plate-forme mobile astucieusement configurée pour appeler son propriétaire à heure fixe et établir une connexion sécurisée. Ce dernier peut alors engager des tests d’intrusion à destination des équipements WIFI à portée immédiate de la plate-forme, où qu’elle se trouve. Une approche pour le moins séduisante autant pour l’aspect technique que pour la part d’aléa qu’elle introduit, nul ne peut savoir où se trouvera la plateforme lorsque la connexion sera établie. On pourrait même envisager, et nul doute que les auteurs de la présentation n’y aient eux aussi pensé, de transformer cette plate-forme en système d’analyse automatique, relevant les caractéristiques de tous les points d’accès à portée, tentant de s’y connecter automatiquement et journalisation leur localisation à condition de disposer d’un GPS embarqué. Rien n’interdit – éthique et morale mises de côté - d’aller au-delà et d’intégrer un point d’accès malicieux servant une page piégée aux malheureux qui s’y connecteraient pensant avoir trouver un hot-spot ouvert. La plate-forme conçue par les auteurs s’appuie sur un iPhone – doté des capacités de communication requises – couplée à une batterie auxiliaire lui assurant 5 jours d’autonomie, l’ensemble étant intégré dans la boîte d’origine de l’iPhone. Ce dernier a fait l’objet d’une modification visant à le rendre plus communiquant, en l’occurrence par l’installation du soussystème BSD et de l’outillage ad hoc: SSH, NetCat, TcpDump, ApLogger… Aucune information n’est donnée quant aux résultats de l’expérience, ni sur l’état de l’iPhone et de son disque dur une fois arrivé à destination. Pour mémoire, une équipe de bidouilleurs avait par le passé déjà utilisé un service de messagerie américain pour transporter un paquet contenant un GPS journalisant le trajet emprunté par celui-ci avec un dispositif plus volumineux que celui proposé par la société ‘BrickHouse Security’. Complément d’information https://www.defcon.org/html/links/defcon-media-archives.html CYBER-DEFENSE DHS – LE DEPARTEMENT DE LA SSECURITE INTERIEURE EPINGLE PAR LE GAO Description Le GAO (United State Government Accountability Office), une autorité de surveillance similaire à notre cours des comptes, a publié trois rapports inquiétants car mettant en cause la capacité de réaction du département de la sécurité intérieure – DHS ou Department of Homeland Security - en cas face aux risques d’attaque des infrastructures critiques. Le premier rapport de 67 pages intitulé ‘DHS Faces Challenges in Establishing a Comprehensive National Capability’ met en évidence de nombreux manques dans le suivi des risques et menaces assuré par le célèbre centre de gestion des incidents, l’US-CERT. Selon le GAO, une cellule d’analyse et d’alerte doit assurer 15 missions réparties dans les quatre activités fondamentales d’un CERT: la surveillance (monitoring), l’analyse (analysis), l’alerte (warning) et la réponse (response). Monitoring Establish a baseline understanding of network assets and normal network traffic volume and flow Assess risks to network assets Obtain internal information on network operations via technical tools and user reports Obtain external information on threats, vulnerabilities, and incidents Detect anomalous activities Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 18/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 Analysis Warning Response Verify that an anomaly is an incident (threat of attack or actual attack) Investigate the incident to identify the type of cyber attack, estimate impact, and collect evidence Identify possible actions to mitigate the impact of the incident Integrate results into predictive analysis of broader implications or potential future attack Develop attack and other notifications that are targeted and actionable Provide notifications in a timely manner Distribute notifications using appropriate communications methods Contain and mitigate the incident Recover from damages and remediate vulnerabilities Evaluate actions and incorporate lessons learned En pratique, l’audit mené de Juin 2007 à Juillet 2008 par le GAO montre que certaines missions ne sont pas assurées, ou le sont incomplètement. L’US-CERT doit quotidiennement faire face à de nouvelles menaces qui l’empêchent d’assurer correctement les missions de fond qui lui sont dévolues dont celles directement liées à la coordination de l’effort national en matière de lutte contre la cybercriminalité. Le GAO lui reproche principalement de ne pas avoir encore engagé les actions permettant de gérer les menaces à venir et leur impact sur les systèmes critiques: absence de référentiel permettant de qualifier l’état des infrastructures réseau critiques, non utilisation des données acquises à des fins d’analyse prédictive, mécanisme de notification non déterministe et difficilement exploitable. Le GAO émet dix recommandations ayant pour objectif d’améliorer le fonctionnement de l’US-CERT dont notamment l’amélioration des échanges avec les autres entités fédérales, et non fédérales, travaillant dans le domaine, le recrutement de personnels compétents, l’acquisition d’outils permettant de gérer l’augmentation de la charge de travail et la stabilisation de l’organisation par la mise en place des profils ad hoc aux postes clefs. En conclusion, l’USCERT doit se réorganiser pour (re)devenir performant et efficace face à une évolution très rapide de la menace. Le second rapport de 39 pages - ‘DHS Needs to Fully Address Lessons Learned from Its First Cyber Storm Exercise’ – pointe du doigt l’insuffisance de la prise en compte des leçons acquises à l’occasion de la toute première simulation d’attaque à grande échelle ayant été engagée en février 2006. Huit axes d’amélioration avaient alors été identifiés pour lesquels quelques 66 actions devaient être rapidement engagées. L’audit mené par la GAO indique que 23 de ces actions ne sont toujours pas finalisées, 16 d’entres-elles étant en cours de traitement et 7 non encore planifiées. La seconde simulation d’attaque lancée en mars dernier a confirmé que la majorités des difficultés rencontrées étaient toujours d’actualité. Dans son dernier rapport intitulé ‘DHS Needs to Better Address Its Cybersecurity Responsibilities’, le GAO prend acte des problèmes et difficultés liés aux missions du DHS relatives à la sécurité des infrastructures critiques. Les manquements constatés amènent le GAO à devoir considérer une augmentation du risque d’atteinte de ces infrastructures par des terroristes, des états ennemis et autres menaces. Complément d’information http://www.gao.gov/new.items/d08588.pdf http://www.gao.gov/new.items/d08825.pdf http://www.gao.gov/new.items/d081157t.pdf SENSIBILISATION ENISA - HOW TO RAISE INFORMATION SECURITY AWARENESS Description En 2006, l’ENISA engageait un vaste programme portant sur la sensibilisation des acteurs du monde de l’information, structures et organisations gouvernementales mais aussi entreprises du secteur privé (Rapport N°91 – Février 2006). La tenue d’un atelier de travail permettait une mise en commun des bonnes pratiques en matière d’éducation, de formation et d’information. Ce partage d’expérience conduisait à la publication en août 2006 d’un guide de 64 pages intitulé ‘A Users’ Guide: How to Raise Information Security Awareness’ regroupant conseils et recommandations à l’attention des états membres de l’Europe souhaitant engager un programme national de sensibilisation à large spectre. Ce guide mettait en avant trois facteurs essentiels à la réussite d’un tel programme: - La mise en place d’une véritable stratégie de communication s’appuyant sur les fondamentaux des métiers de la communication et tenant compte des spécificités et des besoins des groupes cibles de la campagne, - Le recours à une approche de type ‘gestion du changement’ pour toutes les actions de communication, de formation et d’évaluation, - La mise en place d’un processus d’évaluation de l’efficacité du programme permettant de définir et d’engager les ajustements nécessaires. Une nouvelle édition de ce guide vient de voir le jour qui prend en compte les nombreux commentaires et les premiers retours d’expérience. Désormais forte de 100 pages, cette édition diffère principalement de la précédente sur les quatre points suivants: - l’amélioration de la méthodologie par la mise en place d’un système d’identification des processus et des activités, mais aussi par l’intégration des principes permettant d’intégrer les besoins et de gérer les changements, - l’inclusion, dans le chapitre ‘Conduct evaluations’, d’indicateurs de performance permettant de mesurer l’efficacité de la campagne, Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 19/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 - l’intégration du retour d’expérience de certaines organisations dans la mise en œuvre d’un programme de sensibilisation par le biais de commentaires et d’inserts dans les différentes sections du document, - la fourniture de nouveaux modèles ‘type’ – annexes V, VI, VII, X, XI, XII, XIII, XIV – et d’une liste d’outils susceptibles d’être utilisés. La présentation du guide a par ailleurs été revue afin de rendre celui-ci plus attractif notamment par l’inclusion d’inserts, de schémas et de photos. Conçu, nous l’avons rappelé, à l’attention des états membres de l’Europe, ce guide présente une méthodologie parfaitement adaptable à des contextes plus spécifiques tels que la mise en place d’un programme de sensibilisation au sein de l’entreprise. Quelques activités devront tout au plus être adaptées voire allégées pour prendre en compte la dimension de l’entreprise et les contraintes budgétaires. La table des matières de ce guide est la suivante : EXECUTIVE SUMMARY PART 1: THE IMPORTANCE OF INFORMATION SECURITY AWARENESS PROGRAMMES INTRODUCTION AWARENESS: A DEFINITION WHEN INFORMATION SECURITY PROGRAMMES ARE NECESSARY PART 2: MAIN PROCESSES FOR EXECUTING INFORMATION SECURITY AWARENESS PROGRAMMES Process mapping hierarchy Main processes for executing information security awareness programmes Phase I - Plan, assess and design Establish initial programme team Take a change management approach Define goals and objectives Define target groups Identify personnel and material needed for the programme Evaluate potential solutions Select solution and procedure Obtain appropriate senior management support and funding Prepare work plan Develop the programme and checklists of tasks Define a communications concept Define indicators to measure the success of the programme Establish baseline for evaluation Document lessons learned Phase II - Execute and manage Confirm the programme team Review work plan Launch and implement programme Deliver communications Document lessons learned Phase III - Evaluate and adjust Conduct evaluations Gather data Incorporate communications feedback Review programme objectives Implement lessons learned Adjust programme as appropriate Relaunch the programme PART 3: OVERCOME OBSTACLES TO SUCCEED OBSTACLES TO SUCCESS CRITICAL SUCCESS FACTORS CONCLUSION REFERENCES AND SOURCES FOR FURTHER READING APPENDICES - TEMPLATES AND SAMPLES Appendix I - Target group data capture template Appendix II - Request for proposal sample Appendix III - Weekly status report template Appendix IV - Work plan sample Appendix V - Roles to topic mapping example (NEW) Appendix VI - Information security awareness inventory worksheet template (NEW) Appendix VII - Information security awareness baseline worksheet template (NEW) Appendix VIII - Awareness questionnaire sample — for use by a public authority Appendix IX - Lessons learned capture form template Appendix X - Feedback form sample (NEW) Appendix XI - Incident report sample (NEW) PROCESS MAPPING Appendix XII - Plan, assess and design (NEW) Appendix XIII - Execute and manage (NEW) Appendix XIV - Evaluate and adjust (NEW) Avec cette nouvelle édition du guide ‘How to Raise Information Security Awareness’, l’ENISA nous propose une approche ‘clef en main’ intégrant non seulement une méthodologie validée par l’expérience mais aussi tous les Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 20/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 éléments requis pour une mise en œuvre quasi-immédiate. Nous avons particulièrement apprécié le travail effectué sur le fond et sur la forme conduisant à la mise à disposition d’un document didactique et accessible à tous. La lecture de ce guide pourra être complétée par celle d’un document de support – 54 pages - tout juste mis à disposition et intitulé ‘Obtaining support and funding from senior management: While planning an awareness initiative’. La table des matières de ce document est la suivante : EXECUTIVE SUMMARY Part 1: Information Security Governance And The Investment Approval Process Introduction Obtaining Support And Funding From Senior Management While Planning An Awareness Initiative The Need For Information Security Awareness Aims Of The Security Awareness Initiative Obtaining Support And Funding From Senior Management Create A Clear Education Strategy The Senior Management Briefing Education Strategy Components All Personnel In The Enterprise Must Be Aware Information Security Governance And Internal Controls Principles Information Security Risk Management And Awareness Understanding Awareness In The Context Of Corporate Investment Approval Processes Identifying Opportunities To Document And Measure The Value Of The Awareness Campaign Main Activities Define Investment Rationale And Stakeholders Develop The Business Case Programme Costs Business Benefits Calculate Performance Metrics Validate Investment Rationale How To Communicate Within Your Organisations Senior Management Is Barraged With Requests The Synergy Between Awareness And Risk Control May Not Be Understood How Do We Build The Business Case For Senior Management? Main Challenges And Risks To Obtaining Sufficient Investment Part 2: Guidelines For Good Practice Good Practice Guidelines Recommendations Conclusions References And Sources For Further Reading Appendices Appendix I - Financial Calculations Used For Investment Requests Appendix II - Legend Complément d’information http://enisa.europa.eu/doc/pdf/deliverables/new_ar_users_guide.pdf - Edition 2008 http://www.iwar.org.uk/comsec/resources/ENISA/infosec-awareness.pdf - Edition 2006 http://www.enisa.europa.eu/doc/pdf/deliverables/obtaining_support_and_funding_from_senior_management.pdf GUIDES DISA – GUIDES ET CHECKLISTS DE SECURISATION Description La DISA a publié un nouveau guide, et la liste de contrôles associée, portant sur la sécurité et le développement des applications ainsi que la mise à jour des listes de contrôles liées aux environnements et équipements VoIP, Desktop, Blackberry, DNS, Unix, VMWare, Windows XP, 2000, 2003 et Vista. STIG Checklist [11 Mise(s) à jour, 1 Nouveau(x) document(s)] APPLICATIONS Applications (Sécurité et Développement) 2.1 24/08/08 2.1.12 24/07/08 PDF N Applications (Services) 1.1 17/01/06 PDF 1.1.1 21/09/06 PDF ESM 1.2 05/06/06 PDF ERP (PeopleSoft, SAP) 1.1 10/04/07 PDF 1.0 01/06/06 DOC Database (Générique + Oracle, SQL Server) 8.1 19/10/07 PDF 8.1 08/01/08 ZIP (MS SQL Server 2005) 8.1.1 08/01/08 ZIP VoIP 2.2 21/04/06 PDF 2.2.4 22/09/08 PDF M ENVIRONNEMENTS Access Control 2.1 17/10/07 PDF Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 21/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 Directory Service Collaboration (environnements collaboratifs) Desktop Enclave (Périmètre) .NET (Draft) Secure Remote Computing Voice vidéo Collaboration Instant Messaging PERIPHERIQUES RESEAUX Sharing peripheral across the network - Multi-Function Device (MFD) and Printer Checklist - Keyboard, Video, and Mouse (KVM) Switch Checklist - Storage Area Network (SAN) Checklist - Universal Serial Bus (USB) Checklist RESEAU Network Cisco (Supplément) Juniper (Supplément) IP WAN Wireless (Liste de contôle générique) Wireless BlackBerry Wireless Apriva Wireless Motorola Wireless Windows Wireless LAN Security Framework Addendum Wireless LAN Site Survey Addendum Wireless LAN Secure Remote Access Addendum Wireless Mobile Computing Addendum SERVICES DNS Web Servers (Générique) (IIS) (Netscape/Sun) (Apache) (TomCAT) (WebLogic) SYSTEMES OS/390 & z/OS OS/390 Logical Partition OS/390 RACF OS/390 ACF2 OS/390 TSS OS/390 Self assessment MacOS X TANDEM UNISYS UNIX VM IBM SOLARIS (2.6 à 2.9) VMS VAX Windows VISTA Windows 2008 Windows 2003 Windows 2000 Windows XP Windows NT Windows 2000/XP/2003/Vista Addendum VMware ESX TECHNOLOGIES Biométrie SPECIFIQUE DoD Backbone transport Defense switch network Secure telecommunication Red switch network DODI 8500.2 IA N Nouveau M Mis à jour 1.1 1.1 3.1 4.2 10/03/06 28/03/07 09/03/07 31/03/08 PDF ZIP PDF PDF 1.2 1.1 1.2 10/08/05 DOC 26/06/08 PDF 15/02/08 PDF 1.1 29/07/05 PDF 7.1 25/10/07 PDF 5.2.1 15/11/07 PDF 1.1.3 1.1 3.1.7 4.2 1.2 21/03/08 28/03/07 15/09/08 31/03/08 28/04/06 PDF DOC DOC PDF DOC 1.1.4 21/07/08 PDF 1.1.2 1.1.2 1.1.3 1.1.2 14/04/06 14/04/06 19/05/06 06/04/06 PDF PDF PDF PDF 7.1.5 6.1 6.4 2.3 5.2.2 5.2.2 5.2.1 5.2.1 5.2.1 14/05/08 02/12/05 02/12/05 12/08/04 12/05/08 22/09/08 15/11/07 15/11/07 15/11/07 PDF PDF PDF PDF PDF PDF PDF PDF PDF M M 2.1 1.1 1.1 1.1 31/10/05 31/10/05 31/10/05 31/10/05 PDF PDF PDF PDF 4.1 6.1 17/10/07 PDF 11/12/06 PDF 4.1.4 6.1.6 6.1.9 6.1.3 6.1.7 6.1.3 6.1.3 15/09/08 18/07/08 18/07/08 18/07/08 18/07/08 18/07/08 18/07/08 PDF ZIP ZIP ZIP ZIP ZIP ZIP 5.2 2.2 19/09/06 PDF 04/03/05 PDF 1.1 2.2 7.2 5.1 2.2 15/06/04 04/03/05 28/08/06 28/03/06 04/03/05 5.2.7 2.1.4 5.2.9 5.2.9 5.2.9 5.2.9 1.1.3 2.1.2 7.1.2 5.1.14 2.1.2 2.2.3 6.1.8 6.1.1 6.1.8 6.1.8 6.1.8 4.1.21 17/01/08 04/06 17/07/08 17/07/08 17/07/08 17/07/08 28/04/06 17/04/06 17/04/06 22/09/08 04/06 20/01/04 17/04/06 22/09/08 17/07/08 22/09/08 22/09/08 22/09/08 28/07/06 DOC DOC DOC DOC DOC DOC DOC DOC PDF DOC DOC DOC DOC ZIP ZIP ZIP ZIP ZIP DOC M 1.1.2 16/09/08 PDF M PDF PDF PDF PDF PDF 1.8 3.1 6.1 1.1.0 12/01/03 26/12/02 21/05/07 28/04/08 PDF DOC PDF PDF 1.3 10/11/05 PDF 1.3.1 31/10/05 DOC 1.1 2.3 1.1 05/06/06 PDF 30/04/06 PDF 26/03/06 PDF 1.1.1 2.3.2 18/01/07 PDF 01/05/06 1.1.1 18/01/07 PDF M M M M M R R R R R Accès restreint Complément d’information Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 22/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 http://iase.disa.mil/stigs/index.html http://iase.disa.mil/stigs/stig/index.html http://iase.disa.mil/stigs/checklist/index.html - Pages d’accueil - STIG - Checklists NSA - CATALOGUE DES GUIDES DE SECURITE Description La NSA vient de publier un nouveau mémorandum qui porte sur la sécurisation de environnement MAC OS-X 10.5 dit ‘Léopard’. G R P Guide de mise en œuvre et/ou manuel d’utilisation Recommandations et principes élémentaires Procédures et mise en application N O Document nouvellement publié Document obsolète Windows VISTA R Windows Vista Security Guide How to Securely Configure Microsoft Windows Vista BitLocker I - 25/10/2006 15/09/2007 MIC NSA V2.1 V1.0 V2.1 V2.1 V2.1 V1.0 V1.0 26/04/2006 12/09/2006 26/04/2006 26/04/2006 26/04/2006 01/04/2005 - MIC NSA MIC MIC MIC NSA CIS V1.0 12/09/2006 NSA V1.0 V1.08 19/04/2001 02/03/2001 NSA NSA V1.1 V1.22 V1.01 V1.0 V1.0 V1.1 V1.02 V1.02 13/10/2001 12/09/2006 26/11/2002 09/04/2001 01/01/2001 27/06/2001 01/05/2001 23/01/2001 NSA NSA NSA NSA NSA NSA NSA NSA V1.0 V1.0 06/03/2001 01/12/2000 NSA NSA V2.11 V2.02 V4.0 10/10/2001 10/10/2001 08/04/2002 NSA NSA NSA V1.5 V1.3 V1.0 V1.0 V1.2 08/08/2002 19/07/2002 02/07/2001 13/08/2001 24/11/2003 NSA NSA NSA NSA NSA Guide to Securing Microsoft Windows NT Networks V4.2 18/09/2001 NSA Guide to the Secure Configuration of Solaris 8 Guide to the Secure Configuration of Solaris 9 Apple Mac OS X v10.3.x Security configuration guide Apple Mac OS X Server v10.3.x Security configuration guide Apple Mac OS X v10.4.x Security configuration guide Apple Mac OS X Server v10.4.x Security configuration guide Guide to the Secure Configuration of Red Hat Enterprise Linux 5 VMWare ESX Server 3 configuration guide V1.0 V1.0 V1.1 V1.0 Ed. 2 Ed. 2 - 09/09/2003 NSA 16/07/2004 NSA 21/12/2004 NSA 08/07/2005 NSA 12/03/2007 Apple 12/03/2007 Apple 19/11/2007 NSA 03/03/2008 NSA Router Security Configuration Guide - Executive Summary Router Security Configuration Guide Router Security Configuration Guide – Security for IPV6 Routers Cisco IOS Switch Security Configuration Guide Configuring a PC to Remotely Administer a Cisco Router Using the Router Console Configuring a Cisco Router for Remote Administration Using the Router Console Port Security on Cisco Access Switches V1.1 V1.1c V1.0 V1.0 03/03/2006 15/12/2005 23/05/2006 21/06/2004 18/05/2007 04/05/2007 08/01/2008 Windows 2003 R R R R R G G The Windows Server 2003 - Security Guide NSA Windows Server 2003 Security Guide Addendum Testing the Windows Server 2003 - Security Guide Supporting the Windows Server 2003 - Security Guide Delivering the Windows Server 2003 - Security Guide Systems Management Server 2003 Security Guide Exchange Server 2003 Benchmark Windows XP Système N R NSA Windows XP Security Guide Addendum Windows 2000 Références I I Microsoft Windows 2000 Network Architecture Guide Group Policy Reference Systèmes G I P P P P P R Guide to Securing Microsoft Windows 2000 Group Policy Guide to Securing Microsoft Windows 2000 Group Policy: Security Configuration Tool Guide to Securing Microsoft Windows 2000 File and Disk Resources Guide to Securing Microsoft Windows 2000 DNS Guide to Securing Microsoft Windows 2000 Encrypting File System Guide to Windows 2000 Kerberos Settings Microsoft Windows 2000 Router Configuration Guide Guide to Securing Windows NT/9x Clients in a Windows 2000 Network Annuaire I I Guide to Securing Microsoft Windows 2000 Schema Guide to Securing Microsoft Windows 2000 Active Directory Certificats R R R Guide to the Secure Config. & Admin. of Microsoft Windows 2000 Certificate Services Guide to the Secure Config. & Admin. of Microsoft Windows 2000 Certificate Services (check) Guide to Using DoD PKI Certificates in Outlook 2000 Services annexes I P P P P Guide to Secure Configuration & Administration of Microsoft ISA Server 2000 Guide to Securing Microsoft Windows 2000 DHCP Guide to Securing Microsoft Windows 2000 Terminal Services Microsoft Windows 2000 IPsec Guide Guide to the Secure Configuration and Administration of Microsoft Exchange 2000 Windows NT P Unix P P P P P P P P Cisco R P P P I I I Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés - NSA NSA NSA NSA NSA NSA NSA Page 23/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 Sans-Fils G G G I Guidelines for the Development and Evaluation of IEEE 802.11 IDS Recommended 802.11 Wireless Local Area Network Architecture Security Guidance for Bluetooth Wireless Keyboards and Mice So Your Boss Bought you a New Laptop How do you identify & disable wireless capabilities V1.1 - 01/10/2005 23/09/2005 26/09/2006 04/06/2007 NSA NSA NSA NSA V3.0 V3.0 V1.1 ND ND 14/11/2003 07/01/2002 20/12/1999 08/02/2002 05/02/2004 25/10/2007 NSA NSA NSA NSA NSA NSA V1.5 V1.2 V1.2 15/01/2003 30/10/2003 12/2006 12/2006 - NSA NSA NSA NSA CIS V1.0 04/04/2005 16/01/2004 07/2002 04/2003 NSA NSA NSA NSA ND V1.73 V1.33 V1.33 V1.12 V1.14 V2.1 V1.0 V1.5 - ND 03/07/2001 04/03/2002 04/03/2002 24/04/2001 05/10/2001 15/03/2006 01/04/2004 11/11/2005 01/08/2006 01/08/2006 01/08/2006 01/02/2007 01/02/2007 01/02/2007 01/04/2007 01/04/2007 08/01/2008 03/10/2007 19/09/2007 21/05/2008 03/2008 05/2008 05/2008 18/03/2008 09/2008 NSA NSA NSA NSA NSA NSA NSA NSA NSA NSA NSA NSA NSA NSA NSA NSA NSA NSA NSA NSA NSA NSA NSA NSA NSA 14/02/2006 01/05/2006 19/09/2007 NSA NSA NSA Contenus exécutables O O O R R I Outlook E-mail Security in the Wake of Recent Malicious Code Incidents Guide to the Secure Configuration and Administration of Microsoft Exchange 5 Microsoft Office 97 Executable Content Security Risks and Countermeasures Microsoft Office 2000 Executable Content Security Risks and Countermeasures Microsoft Office 2003 Executable Content Security Risks and Countermeasures Data Execution Prevention (DEP) Bases de données R R G G R Web R P R R Guide to the Secure Configuration and Administration of Microsoft SQL Server 2000 Guide to the Secure Configuration and Administration of Oracle9i Oracle Application Server on Windows 2003 Security Guide Oracle Application Server Security Recommendations and DoDI 8500.2 IA Control Benchmark for Oracle 9i/10g BEA WebLogic Platform Security Guide Guide to the Secure Configuration & Administration of Microsoft IIS 5.0 Guide to Securing Microsoft Internet Explorer 5.5 Using Group Policy Guide to Securing Netscape Navigator 7.02 V2.0 V1.4 V1.0 V1.1 Documents de Support I O O O O R R R R I I I I I I I I P P P P P P P P P Defense in Depth Guide to the Secure Configuration & Administration of iPlanet Web Serv Ent. Ed. 4.1 Guide to the Secure Conf. and Admin. of Microsoft IIS 4.0 Guide to the Secure Conf. and Admin. of Microsoft IIS 4.0 (Checklist Format) Secure Config. of the Apache Web Server, Apache Server V1.3.3 on Red Hat Linux 5.1 Microsoft NetMeeting 3.0 Security Assessment and Configuration Guide The 60 Minute Network Security Guide Guide to Sun Microsystems Java Plug-in Security Guide to Microsoft .NET Framework Security Enterprise Firewall Types Desktop or Enterprise Firewall ? Enterprise Firewalls in Encrypted Environments Security Guidance for Using Mail Clients Mail Client Security Cheat Sheet Secure Instant Messaging Disabling USB Storage Drives Biometrics Security Considerations Internet Protocol Version 6 Firewall design consideration for IPV6 A filtering strategy for Mobile IPV6 Bluetooth Security Mitigating Monday: Defense against malicious Email attachments 802.11 Wireless LAN Intrusion Detection Systems Minimize the Effectiveness of SQL Injection Attacks How to Safely Publish Sanitized Reports Converted From Word 2007 to PDF Hardening Tips for the Default Installation of MAC OS X 10.5 "Leopard" V1.0 - VoIP R R P Security Guidance for Deploying IP Telephony Systems Recommended IP Telephony Architecture Video Teleconferencing Complément d'information http://www.nsa.gov/snac/ http://www.nsa.gov/snac//factsheets/macosx_hardening_tips.pdf V1.0 - - Portail d’accès aux guides - NIST - ETAT DES GUIDES DE LA SERIE SP800 Description Le NIST publie, pour relecture, la première révision du guide SP800-70 ‘NCP for IT Products Guidelines for Checklist Users and Developers’ ainsi qu’une seconde version de la proposition de guide SP800-116 ‘A Recommendation for the Use of PIV Credentials in Physical Access Control Systems’ SP800-12 SP800-18.1 SP800-21.1 SP800-26 SP800-26.1 SP800-27a An Introduction to Computer Security: The NIST Handbook Guide for Developing Security Plans for Federal Information Systems Guideline for Implementing Cryptography in the Federal Government Security Self-Assessment Guide for Information Technology Systems Guide for Inform. Security Program Assessments & System Reporting Form Engineering Principles for Information Technology Security – Rev A Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés [R] [R] [D] [F] [R] [F] 10/1995 08/2005 09/2005 11/2001 08/2005 06/2004 Page 24/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 SP800-28V2 Guidelines on Active Content and Mobile Code [R] SP800-29 Comparison of Security Reqs for Cryptographic Modules in FIPS 140-1 & 140-2 [F] SP800-30 http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf [F] SP800-31 Intrusion Detection Systems [F] SP800-32 Introduction to Public Key Technology and the Federal PKI Infrastructure [F] SP800-33 Underlying Technical Models for Information Technology Security [F] SP800-34 Contingency Planning Guide for Information Technology Systems [F] SP800-35 Guide to Selecting IT Security Products [F] SP800-36 Guide to IT Security Services [F] SP800-37 Guidelines for the Security C&A of Federal Information Technology Systems [F] SP800-37r1 Guidelines for the Security C&A of Federal Information Technology Systems [R] SP800-38A Recommendation for Block Cipher Modes of Operation – Method and Techniques [F] SP800-38B Recommendation for Block Cipher Modes of Operation – RMAC [D] SP800-38C Recommendation for Block Cipher Modes of Operation – CCM [F] SP800-38D Recommendation for Block Cipher Modes of Operation – GCM [R] SP800-39 Managing Risk from Information Systems: An Organizational Perspective [R] SP800-40 Applying Security Patches [F] SP800-40-2 Creating a Patch and Vulnerability Management Program [F] SP800-41 Guidelines on Firewalls and Firewall Policy [F] SP800-41r1 Guidelines on Firewalls and Firewall Policy [R] SP800-42 Guidelines on Network Security testing [F] SP800-43 System Administration Guidance for Windows2000 [F] SP800-44V2 Guidelines on Securing Public Web Servers [F] SP800-45V2 Guide On Electronic Mail Security [F] SP800-46 Security for Telecommuting and Broadband Communications [F] SP800-47 Security Guide for Interconnecting Information Technology Systems [F] SP800-48r1 Guide to Securing Legacy IEEE 802.11 Wireless Networks [F] SP800-49 Federal S/MIME V3 Client Profile [F] SP800-50 Building an Information Technology Security Awareness & Training Program [F] SP800-51 Use of the Common Vulnerabilities and Exposures Vulnerability Naming Scheme [F] SP800-52 Guidelines on the Selection and Use of Transport Layer Security [D] SP800-53-2 Recommended Security Controls for Federal Information Systems [R] SP800-53A Guide for Assessing the Security Controls in Federal Information Systems [R] SP800-54 Border Gateway Protocol Security [F] SP800-55r1 Security Metrics Guide for Information Technology Systems [R] SP800-56A Pair-Wise Key Establishment Schemes Using Discrete Logarithm Cryptography [M] SP800-57 Recommendation for Key Management, Part 1: General Guideline [F] Recommendation for Key Management, Part 2: Best Practices [F] SP800-58 Security Considerations for Voice Over IP Systems [F] SP800-59 Guideline for Identifying an Information System as a National Security System [F] SP800-60 Guide for Mapping Types of Information & Information Systems to Security Categories [F] SP800-60r1 Guide for Mapping Types of Information & Information Systems to Security Categories [R] SP800-61r1 Computer Security Incident Handling Guide [R] SP800-63r1 Electronic Authentication Guidelines [R] SP800-64r2 Security Considerations in the Information System Development Life Cycle [R] SP800-65 Recommended Common Criteria Assurance Levels [F] SP800-66r1 An Introductory Resource Guide for Implementing the HIPAA Security Rule [R] SP800-67 Recommendation for the Triple Data Encryption Algorithm Block Cipher [F] SP800-68 Guidance for Securing Microsoft Windows XP Systems for IT Professionals [F] SP800-68r1 Guidance for Securing Microsoft Windows XP Systems for IT Professionals [R] SP800-69 Guidance for Securing Microsoft Windows XP Home Edition [R] SP800-70 The NIST Security Configuration Checklists Program [F] SP800-70r1 NCP for IT Products - Guidelines for Checklist Users and Developers [R] SP800-72 Guidelines on PDA Forensics [F] SP800-73r2 Integrated Circuit Card for Personal Identity Verification [R] SP800-73-2 Interfaces to Personal Identity Verification [R] SP800-76-1 Biometric Data Specification for Personal Identity Verification [F] SP800-77 Guide to Ipsec VPNs [F] SP800-78-1 Cryptographic Algorithms and Key Sizes for Personal Identity Verification [R] SP800-79-1 Guidelines for Certification & Accreditation of PIV Card Issuing Organizations [F] SP800-80 Guide for Developing Performance Metrics for Information Security [R] Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés 09/2007 10/2001 01/2004 11/2001 02/2001 12/2001 06/2002 10/2003 10/2003 04/2004 08/2008 12/2001 12/2001 05/2004 04/2006 04/2008 09/2002 11/2005 01/2002 07/2008 10/2003 11/2002 09/2007 02/2007 11/2002 09/2002 08/2008 11/2002 03/2003 09/2002 09/2004 11/2007 12/2007 07/2007 09/2007 05/2006 08/2005 08/2005 03/2005 08/2003 06/2004 11/2007 03/2008 02/2008 03/2008 01/2005 05/2008 06/2008 10/2005 07/2008 08/2006 05/2005 09/2008 11/2004 10/2007 03/2008 01/2007 12/2005 07/2006 06/2008 05/2006 Page 25/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 SP800-81 SP800-82 SP800-83 SP800-84 SP800-85B SP800-86 SP800-87r1 SP800-88 SP800-89 SP800-90 SP800-92 SP800-94 SP800-95 SP800-96 SP800-97 SP800-98 SP800-100 SP800-101 SP800-103 SP800-104 SP800-106 SP800-107 SP800-108 SP800-110 SP800-111 SP800-113 SP800-114 SP800-115 SP800-116 SP800-121 SP800-123 SP800-124 Secure Domain Name System (DNS) Deployment Guide [D] Guide to SCADA and Industrial Control Systems Security [R] Guide to Malware Incident Prevention and Handling [F] Guide to Single-Organization IT Exercises [R] PIV Middleware and PIV Card Application Conformance Test Guidelines [F] Computer, Network Data Analysis: Forensic Techniques to Incident Response [F] Codes for the Identification of Federal and Federally-Assisted Organizations [F] Guidelines for Media Sanitization [M] Recommendation for Obtaining Assurances for Digital Signature Applications [F] Random Number Generation Using Deterministic Random Bit Generators [F] Guide to Computer Security Log Management [R] Guide to Intrusion Detection and Prevention (IDP) Systems [F] Guide to Secure Web Services [F] PIV Card / Reader Interoperability Guidelines [M] Guide to IEEE 802.11i: Robust Security Networks [F] Guidance for Securing Radio Frequency Identification (RFID) Systems [F] Information Security Handbook: A Guide for Managers [M] Guidelines on Cell Phone Forensics [F] An Ontology of Identity Credentials, Part I: Background and Formulation [R] A Scheme for PIV Visual Card Topography [F] Randomized Hashing Digital Signatures [R] Recommendation for Using Approved Hash Algorithms [R] Recommendation for Key Derivation Using Pseudorandom Functions [R] Information System Security Reference Data Model [R] Guide to Storage Encryption Technologies for End User Devices [R] Guide to SSL VPNs [F] User’s Guide to Securing External Devices for Telework and Remote Access [F] Technical Guide to Information Security Testing [R] A Recommendation for the Use of PIV Credentials in Physical Access Control Systems [R] Guide to Bluetooth Security [R] Guide to General Server Security [F] Guidelines on Cell Phone and PDA Security [R] [F] Finalisé [R] Pour commentaire et relecture [*] Récemment finalisé [D] En cours de développement Complément d’information http://csrc.nist.gov/publications/PubsSPs.html http://csrc.nist.gov/publications/drafts/800-70-rev1/Draft-SP800-70-r1.pdf http://csrc.nist.gov/publications/drafts/800-116/SP800-116-2nd-draft-v2.pdf Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés 05/2006 09/2007 11/2005 08/2005 07/2006 08/2006 04/2008 08/2006 11/2006 06/2006 04/2006 02/2007 08/2007 07/2006 02/2007 04/2007 03/2007 05/2007 09/2006 06/2007 08/2008 07/2008 05/2008 09/2007 11/2007 07/2008 11/2007 11/2007 09/2008 07/2008 07/2008 07/2008 [M] Mise à jour - Catalogue des publications - SP800-70r1 - Draft - SP800-116 – Second Draft Page 26/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 L LO OG LIIB GIIC BR RE CIIE ES S EL LS SL LES SERVICES DE BASE Les dernières versions des services de base sont rappelées dans les tableaux suivants. Nous conseillons d’assurer rapidement la mise à jour de ces versions, après qualification préalable sur une plate-forme dédiée. RESEAU Nom Fonction BIND DHCP NTP4 OpenNTPD Gestion de Nom (DNS) 9.5.0p2 Serveur d’adresse 4.0.0 Serveur de temps 4.2.4 Serveur de temps 4.3 Ver. Date Source 09/07/08 19/12/07 10/09/07 01/05/08 http://www.isc.org/ http://www.isc.org/ http://ntp.isc.org/bin/view/Main/SoftwareDownloads http://www.openntpd.org/ MESSAGERIE Nom Fonction Ver. Date Source IMAP4 POP3 POPA3D SENDMAIL Relevé courrier Relevé courrier Relevé courrier Serveur de courrier 2007b 4.0.14 1.0.2 8.14.3 28/03/08 27/06/08 23/05/06 03/05/08 ftp://ftp.cac.washington.edu/imap/ ftp://ftp.qualcomm.com/eudora/servers/unix/popper/ http://www.openwall.com/popa3d/ http://www.sendmail.org/ Nom Fonction Ver. APACHE Serveur WEB WEB ModSSL MySQL SQUID Date Source 1.3.41 2.0.63 2.2.9 API SSL Apache 1.3.41 2.8.31 Base SQL 5.1.29 6.0.6 Cache WEB 2.7s4 3.0s9 19/01/08 19/01/08 13/06/08 08/02/08 28/08/08 11/08/08 08/08/08 9/09/08 http://httpd.apache.org/dist Fonction Ver. Date Source Gestion de l’identité Gestion des news Gestion de certificats Gestion de l’annuaire Gestion de fichiers Anonymat 2.1.1 2.4.5 0.9.3rc1 2.4.11 3.2.4 0.2.0.30 25/09/08 10/07/08 10/10/06 17/07/08 18/09/08 28/06/08 http://www.freeradius.org/ http://www.isc.org/ http://pki.openca.org/projects/openca/downloads.shtml ftp://ftp.openldap.org/pub/OpenLDAP/openldap-release/ http://us1.samba.org/samba/ http://tor.eff.org/download.html http://www.modssl.org http://dev.mysql.com/doc/refman/5.1/en/news.html http://dev.mysql.com/doc/refman/6.0/en/news.html http://www.squid-cache.org/Versions/ AUTRE Nom FreeRadius INN OpenCA OpenLDAP Samba Tor LES OUTILS Une liste, non exhaustive, des produits et logiciels de sécurité du domaine public est proposée dans les tableaux suivants. LANGAGES Nom Fonction Ver. Date Source Perl Python Ruby PHP Scripting Scripting Scripting WEB Dynamique 5.8.8 2.5.2 1.8.7p72 5.2.6 10/02/06 22/02/08 11/09/08 01/05/08 http://www.cpan.org/src/README.html http://www.python.org/download/ http://www.ruby-lang.org/en/downloads/ http://www.php.net/downloads.php ANALYSE RESEAU Nom Dsniff EtterCap Nstreams TcpDump Libpcap TcpFlow WinPCap Wireshark Fonction Ver. Date Source Boîte à outils Analyse & Modification Générateur de règles Analyse multiprotocole Acquisition Trame Collecte données Acquisition Trame Analyse multiprotocole 2.3 0.7.3 1.0.3 3.9.8 0.9.8 0.21 4.1b4 1.1.0 17/12/00 29/05/05 06/08/02 25/09/07 25/09/07 07/08/03 27/05/08 14/09/08 http://www.monkey.org/~dugsong/dsniff http://ettercap.sourceforge.net/index.php?s=history http://www.hsc.fr/ressources/outils/nstreams/download/ http://www.tcpdump.org/ http://www.tcpdump.org/ http://www.circlemud.org/~jelson/software/tcpflow/ http://www.winpcap.org/news.htm http://www.wireshark.org/ Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 27/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 ANALYSE DE JOURNAUX Nom Fonction Ver. Date Source Analog AWStats fwLogWatch OSSIM SnortSnarf WebAlizer Journaux serveur http Analyse log Analyse log Console de gestion Analyse Snort Journaux serveur http 6.00 6.8 1.1 0.9.9 050314.1 2.20-01 19/12/04 20/07/08 17/04/06 22/02/08 05/03/05 12/07/08 http://www.analog.cx http://awstats.sourceforge.net/ http://cert.uni-stuttgart.de/projects/fwlogwatch/ http://www.ossim.net/ http://www.snort.org/dl/contrib/data_analysis/snortsnarf/ http://www.mrunix.net/webalizer/download.html ANALYSE DE SECURITE Nom Fonction Ver. Date Source BackTrack curl FIRE Nessus Boîte à outils Analyse http et https Boîte à outils Vulnérabilité réseau Helix Nikto nmap Saint Sara Wikto Whisker Boîte à outils Analyse http et https Vulnérabilité réseau Vulnérabilité réseau Vulnérabilité réseau Analyse http et https LibWhisker 3.0 7.19.0 0.4a 2.2.11 3.2.1 1.9a 2.03 4.76 6.8.3 7.8.3 2.0.2924 2.4 18/06/08 01/09/08 14/05/03 27/07/07 12/06/08 13/07/07 04/09/08 12/09/08 29/09/08 01/09/08 03/01/08 03/07 http://www.remote-exploit.org/backtrack_download.html http://curl.haxx.se/ http://sourceforge.net/projects/biatchux/ http://www.nessus.org/download/ http://www.nessus.org/download/ http://www.e-fense.com/helix/ http://www.cirt.net/nikto/ http://www.insecure.org/nmap/nmap_changelog.html http://www.saintcorporation.com/resources/updates.html http://www-arc.com/sara/ http://www.sensepost.com/research/wikto/ http://www.wiretrip.net/rfp/lw.asp CONFIDENTIALITE Nom Fonction Ver. Date Source GPG GPG4Win GPG S/MIME LibGCrypt Signature/Chiffrement Signature/Chiffrement Signature/Chiffrement Signature/Chiffrement 2.0.8 1.0.6 1.9.20 1.2.3 20/12/07 29/08/06 20/12/05 29/08/06 http://www.gnupg.org/news.en.html http://www.gnupg.org/news.en.html http://www.gnupg.org/news.en.html http://www.gnupg.org/news.en.html CONTROLE D’ACCES RESEAU Nom Fonction Ver. Date Source Xinetd Inetd amélioré 2.3.14 24/10/05 http://www.xinetd.org/ CONTROLE D’INTEGRITE Nom Fonction Ver. Date Source RootKit hunt ChkRootKit RKRevealer Compromission UNIX Compromission UNIX Compromission WIN 1.3.2 0.48 1.71 18/03/08 17/12/07 01/11/06 http://www.rootkit.nl/projects/rootkit_hunter.html http://www.chkrootkit.org/ http://www.microsoft.com/technet/sysinternals/default.mspx DETECTION D’INTRUSION Nom P0f Snort Fonction Ver. Date Source Identification passive IDS Réseau 2.0.8 2.8.3 06/09/06 04/09/08 http://lcamtuf.coredump.cx/p0f.shtml http://www.snort.org/dl/ GENERATEURS DE TEST Nom NetDude &all Scapy Fonction Ver. Date Source Rejeu de paquets Génération de paquet 0.5.0 2.0.09 01/09/08 12/09/08 http://netdude.sourceforge.net/download.html http://hg.secdev.org/scapy/ PARE-FEUX Nom Fonction Ver. Date Source IpFilter NetFilter Filtre datagramme Pare-Feu IpTables 4.1.30 1.4.2.rc1 07/08 23/07/08 http://coombs.anu.edu.au/ipfilter/ip-filter.html http://www.netfilter.org/projects/iptables/downloads.html Fonction Ver. Date Source Pile SSL Pile SSH 1 et 2 Pile IPSec Terminal SSH2 Proxy https Tunnel TCP/UDP 0.9.8i 5.1 2.6.16 0.60 4.26 2.4.1a 15/09/08 21/07/08 18/08/07 30/04/07 20/09/08 06/09/05 http://www.openssl.org/ http://www.openssh.com/ http://www.openswan.org/code/ http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html http://www.stunnel.org http://www.winton.org.uk/zebedee/ TUNNELS Nom OpenSSL OpenSSH OpenSwan PuTTY Stunnel Zebedee Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 28/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 N NO OR STTA RM AN ME ND ES DA SE AR RD ET DS TS S LES PUBLICATIONS DE L’IETF LES RFC Du 30/08/2008 au 29/09/2008, 24 RFC ont été publiés dont 3 RFC ayant trait à la sécurité. RFC TRAITANT DE LA SÉCURITÉ Thème Num Date Etat Titre KERB LTP MIB 5349 5327 5324 09/08 Inf 09/08 Exp 09/08 Pst Support for Public Key Cryptography for Initial Authentication in Kerberos (PKINIT) Licklider Transmission Protocol - Security Extensions MIB for Fibre-Channel Security Protocols (FC-SP) RFC TRAITANT DE DOMAINES CONNEXES A LA SECURITE Thème Num Date Etat Titre HOSTID 5338 09/08 Exp Using the Host Identity Protocol with Legacy Applications AUTRES RFC Thème Num Date Etat Titre IANA 5341 5342 5350 5286 5325 5326 5339 5334 5329 5262 5261 5264 5196 5263 5335 5336 5337 5343 5348 5328 IP LTP MPLS OGG OSPF PIDF POF PRES SIP SMTP SNMP TCP URN 09/08 Pst 09/08 BCP 09/08 Pst 09/08 Pst 09/08 Inf 09/08 Exp 09/08 Inf 09/08 Pst 09/08 Pst 09/08 Pst 09/08 Pst 09/08 Pst 09/08 Pst 09/08 Pst 09/08 Exp 09/08 Exp 09/08 Exp 09/08 Pst 09/08 Pst 09/08 Inf The IANA tel Uniform Resource Identifier (URI) Parameter Registry IANA Considerations and IETF Protocol Usage for IEEE 802 Parameters IANA Considerations for the IPv4 and IPv6 Router Alert Options Basic Specification for IP Fast Reroute: Loop-Free Alternates Licklider Transmission Protocol - Motivation Licklider Transmission Protocol - Specification Evaluation of Existing GMPLS Protocols against Multi-Layer and Multi-Region Networks (MLN/MRN) Ogg Media Types Traffic Engineering Extensions to OSPF Version 3 Presence Information Data Format (PIDF) Extension for Partial Presence An Extensible Markup Language (XML) Patch Operations Framework Utilizing XPath Selectors Publication of Partial Presence Information SIP User Agent Capability Extension to Presence Information Data Format (PIDF) Session Initiation Protocol (SIP) Extension for Partial Notification of Presence Information Internationalized Email Headers SMTP Extension for Internationalized Email Addresses Internationalized Delivery Status and Disposition Notifications Simple Network Management Protocol (SNMP) Context EngineID Discovery TCP Friendly Rate Control (TFRC): Protocol Specification A Uniform Resource Name (URN) Namespace for the Digital Video Broadcasting Project (DVB) LES DRAFTS Du 30/08/2008au 29/09/2008, 164 drafts ont été publiés : 128 drafts mis à jour, 36 nouveaux drafts, dont 3 drafts ayant directement trait à la sécurité. NOUVEAUX DRAFTS TRAITANT DE LA SECURITE Thème Nom du Draft Date Titre SASL SEND SSH draft-ietf-sasl-4422bis-00 draft-ietf-csi-hash-threat-00 draft-igoe-secsh-suiteb-00 31/08 Simple Authentication and Security Layer (SASL) 10/09 SeND Hash Threat Analysis 11/09 Suite B Cryptographic Suites for Secure Shell MISE A JOUR DE DRAFTS TRAITANT DE LA SECURITE Thème Nom du Draft Date Titre CAMELLIA CAPWAP EAP GSSAPI HTTPBIS IPV4 KERB draft-kato-camellia-ctrccm-04 draft-ietf-capwap-threat-analysis-04 draft-arkko-eap-aka-kdf-05 draft-ietf-kitten-gssapi-channel-bindings-05 draft-ietf-httpbis-p7-auth-04 draft-gont-opsec-ip-security-01 draft-ietf-krb-wg-anon-09 draft-lha-krb-wg-ticket-extensions-02 draft-ietf-pkix-ecc-subpubkeyinfo-08 draft-ietf-sidr-res-certs-13 draft-ietf-sidr-rpki-manifests-03 16/09 Camellia Counter mode and Counter with CBC Mac mode alg. 10/09 CAPWAP Threat Analysis for IEEE 802.11 Deployments 12/09 EAP Method for 3rd Generation Authentication and Key Agreement 23/09 Clarifications & Ext. to GSS-API for the Use of Channel Bindings 29/08 HTTP/1.1, part 7: Authentication 31/08 Security Assessment of the Internet Protocol version 4 10/09 Anonymity Support for Kerberos 14/09 Kerberos ticket extensions 22/09 Elliptic Curve Cryptography Subject Public Key Information 18/09 A Profile for X.509 PKIX Resource Certificates 23/09 Manifests for the Resource Public Key Infrastructure PKIX Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 29/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 RADIUS SENDER SIP SMIME SRTP TLS draft-zorn-radius-encattr-14 draft-kucherawy-sender-auth-header-16 draft-munakata-sip-privacy-guideline-04 draft-ietf-smime-sha2-08 draft-ietf-smime-3850bis-07 draft-ietf-avt-dtls-srtp-05 draft-ietf-avt-seed-srtp-05 draft-zimmermann-avt-zrtp-09 draft-rescorla-tls-suiteb-06 draft-ietf-tls-extractor-02 draft-ietf-tls-psk-new-mac-aes-gcm-03 29/08 Transmitting Confidential Data in RADIUS 23/09 Message Header Field for Indicating Message Auth. Status 25/09 Guidelines for Using the Privacy Mechanism for SIP 26/09 Using SHA2 Algorithms with Cryptographic Message Syntax 26/09 S/MIME Version 3.2 Certificate Handling 11/09 DTLS Extension to Establish Keys for SRTP 18/09 The SEED Cipher Algorithm and Its Use with SRTP 28/09 ZRTP: Media Path Key Agreement for Secure RTP 17/09 Suite B Cipher Suites for TLS 11/09 Keying Material Extractors for Transport Layer Security (TLS) 25/09 Pre-Shared Key Cipher Suites with SHA-256/384 & AES GCM DRAFTS TRAITANT DE DOMAINES CONNEXES A LA SECURITE Thème Nom du Draft ANTISPAM draft-turner-antispam-using-messageid-01 DCCP draft-ietf-behave-dccp-02 DIAMETER draft-ietf-dime-mip6-split-12 draft-korhonen-dime-pmip6-04 GSSAPI draft-lha-gssapi-delegate-policy-01 IPV6 draft-deng-multimob-pmip6-requirement-00 MPLS draft-ietf-bmwg-mpls-forwarding-meth-00 draft-ietf-mpls-lsp-ping-enhanced-dsmap-01 MSFD draft-ietf-mipshop-mstp-solution-07 NETLMM draft-ietf-netlmm-pmip6-ipv4-support-05 draft-ietf-netlmm-pmipv6-heartbeat-00 RADIUS draft-tiwari-radext-tunnel-type-02 SIP draft-ietf-sipping-nat-scenarios-09 Date Titre 27/09 Spam reduction using messageid. 11/09 NAT Behavioral Requirements for DCCP 23/09 Support for Home Agent to Diameter Server Interaction 15/09 Support For Mobile Access Gateway and Local Mobility Anchor 23/09 GSS-API: Delegate if approved by policy 16/09 Multicast Support Requirements for Proxy Mobile IPv6 15/09 MPLS Forwarding Benchmarking Methodology 21/09 Mechanism for performing LSP-Ping over MPLS tunnels 24/09 Mobility Services Framework Design (MSFD) 23/09 IPv4 Support for Proxy Mobile IPv6 14/09 Heartbeat Mechanism for Proxy Mobile IPv6 29/08 New Tunnel-Type Values 17/09 Best Current Practices for NAT Traversal for Client-Server SIP AUTRES DRAFTS Thème Nom du Draft Date Titre 3-PCN 6MAN AS AVT BEHAVE CALDAV CAPWAP draft-geib-baseline-encoding-3state-00 draft-ietf-6man-overlap-fragment-00 draft-huston-as-documentation-reservation-00 draft-lakaniemi-avt-rtp-evbr-03 draft-baker-behave-ivi-01 draft-desruisseaux-caldav-sched-05 draft-ietf-capwap-protocol-specification-13 draft-ietf-capwap-protocol-binding-ieee…10 draft-ietf-dccp-serv-codes-07 draft-ietf-dccp-simul-open-03 draft-ietf-dhc-relay-id-suboption-02 draft-bajko-v6ops-port-restricted-ipaddr-…-00 draft-ietf-dkim-ssp-06 draft-cheshire-dnsext-multicastdns-07 draft-cheshire-dnsext-nbp-06 draft-cheshire-dnsext-dns-sd-05 draft-barwood-dnsext-fr-resolver-mitig…-02 draft-irtf-dtnrg-bundle-previous-hop-block-04 draft-irtf-dtnrg-bundle-metadata-block-00 draft-ietf-fecframe-dvb-al-fec-00 draft-ietf-eai-downgrade-09 draft-young-esds-concepts-04 draft-thompson-esds-commands-04 draft-thompson-esds-schema-04 draft-begen-fecframe-1d2d-parity-scheme-01 draft-ietf-forces-model-15 draft-ietf-forces-protocol-17 draft-ietf-forces-mib-10 draft-rosenau-ftp-single-port-05 draft-peterson-streamlined-ftp-command…06 draft-ietf-geopriv-pdif-lo-profile-13 draft-ietf-httpbis-p1-messaging-04 draft-ietf-httpbis-p2-semantics-04 draft-ietf-httpbis-p3-payload-04 draft-ietf-httpbis-p4-conditional-04 draft-ietf-httpbis-p5-range-04 draft-ietf-httpbis-p6-cache-04 draft-ietf-httpbis-method-registrations-00 draft-vyncke-http-server-64aware-00 draft-ietf-opsec-icmp-filtering-00 draft-ietf-idnabis-rationale-02 draft-ietf-idnabis-protocol-05 draft-ietf-idr-as-representation-01 draft-francis-idr-intra-va-01 19/09 Signaling 3 PCN states with baseline encoding 22/09 Handling of overlapping IPv6 fragments 10/09 AS Number Reservation for Documentation Use 28/09 RTP payload format for G.718 speech/audio 16/09 IVI Update to SIIT and NAT-PT 19/09 CalDAV Scheduling Extensions to WebDAV 22/09 CAPWAP Protocol Specification 26/09 CAPWAP Protocol Binding for IEEE 802.11 19/09 The DCCP Service Code 26/09 Simultaneous-Open Tech. to Facilitate NAT/Middlebox Traversal 19/09 The DHCPv4 Relay Agent Identifier Suboption 24/09 DHCP Options for Port Restricted IP Address Assignment 19/09 DKIM Author Domain Signing Practices (ADSP) 11/09 Multicast DNS 11/09 Requirements for Replacing AppleTalk 11/09 DNS-Based Service Discovery 28/09 Resolver side mitigations 15/09 Delay-Tolerant Networking Previous Hop Insertion Block 15/09 Delay-Tolerant Networking Metadata Extension Block 29/08 DVB Application-Layer Hybrid FEC Protection 16/09 Downgrading mechanism for Email Address Internationalization 29/08 Extensible Supply-chain Discovery Service Concepts 29/08 Extensible Supply-chain Discovery Service Commands 29/08 Extensible Supply-chain Discovery Service Schema 11/09 RTP Payload Format for Non-Interleaved & Interleaved Parity FEC 11/09 ForCES Forwarding Element Model 25/09 ForCES Protocol Specification 10/09 ForCES MIB 18/09 FTP EXTENSION ALLOWING IP FORWARDING (NATs) 29/08 Streamlined FTP Command Extensions 17/09 PIDF-LO Usage Clarification, Considerations, Recommendations 29/08 HTTP/1.1, part 1: URIs, Connections, and Message Parsing 29/08 HTTP/1.1, part 2: Message Semantics 29/08 HTTP/1.1, part 3: Message Payload and Content Negotiation 29/08 HTTP/1.1, part 4: Conditional Requests 29/08 HTTP/1.1, part 5: Range Requests and Partial Responses 29/08 HTTP/1.1, part 6: Caching 29/08 Initial Hypertext Transfer Protocol (HTTP) Method Registrations 17/09 IPv6 Connectivity Check and Redirection by HTTP Servers 31/08 Recommendations for filtering ICMP messages 12/09 IDNA: Definitions, Background and Rationale 26/09 Internationalized Domain Names in Applications (IDNA): Protocol 22/09 Textual Representation of AS Numbers 15/09 FIB Suppression with Virtual Aggregation and Default Routes DCCP DHCP DKIM DNS DTNRG DVB EAI ESDS FEC FORCES FTP GEOPRIV HTTP ICMP IDNA IDR Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 30/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 draft-pmohapat-idr-fast-conn-restore-00 draft-hoffman-utf8-rfcs-02 draft-irtf-iccrg-cc-rfcs-06 draft-rfc-image-files-01 draft-jaeggli-ietf-streaming-media-status-00 IMAP draft-melnikov-imapext-filters-06 draft-newman-imap-decaf-00 IP draft-ietf-mipshop-mos-dns-discovery-02 draft-iab-ip-config-07 draft-sarikaya-mext-bu-prefixdelegation-00 IPFIX draft-ietf-ipfix-mediators-problem-stat…-01 IPV4 draft-ietf-mip4-nemov4-dynamic-02 draft-arkko-townsley-coexistence-00 IPV6 draft-krishnan-ipv6-exthdr-04 draft-ietf-v6ops-addcon-10 draft-ietf-v6ops-ra-guard-01 IRTF draft-irtf-rfcs-03 KERB draft-ietf-krb-wg-otp-preauth-08 LDP draft-delord-jounay-pwe3-ldp-aii-reach…-02 LEMONAD draft-ietf-lemonade-streaming-07 LTRU draft-ietf-ltru-4646bis-17 MANAGES draft-martin-managesieve-12 MANET draft-ietf-manet-packetbb-16 draft-ietf-manet-timetlv-08 MBONED draft-ietf-mboned-ssmping-05 METALINK draft-bryan-metalink-03 MIB draft-ietf-magma-mgmd-mib-12 MPLS draft-ietf-ccamp-pc-and-sc-reqs-06 draft-ietf-ccamp-rwa-info-00 draft-ietf-mpls-soft-preemption-13 draft-ietf-mpls-p2mp-lsp-ping-07 draft-ietf-mpls-ldp-end-of-lib-01 draft-ietf-mpls-gmpls-lsp-reroute-02 NAT draft-bagnulo-behave-nat64-01 draft-wing-nat-pt-replacement-comparison-01 NETCONF draft-ietf-netmod-yang-01 NFS draft-ietf-nfsv4-federated-fs-dns-srv-…-00 draft-ietf-nfsv4-federated-fs-admin-00 draft-ietf-nfsv4-federated-fs-reqts-00 draft-ietf-nfsv4-federated-fs-protocol-00 NINA draft-thubert-nina-03 NMRG draft-irtf-nmrg-snmp-measure-06 OLSR draft-dearlove-olsrv2-metrics-03 OSPF draft-acee-ospf-multi-instance-02 draft-acee-ospf-transport-instance-01 draft-ogier-ospf-manet-mdr-or-comparison-00 draft-ogier-ospf-manet-mdr-mpr-comp…-00 draft-ietf-ospf-manet-or-01 PCE draft-lee-pce-ted-alternatives-00 PCN draft-ietf-pcn-architecture-06 PSAMP draft-ietf-psamp-info-10 PWE3 draft-ietf-pwe3-ms-pw-arch-05 RBNF draft-farrel-rtg-common-bnf-05 RE draft-briscoe-re-pcn-border-cheat-02 RFC3920 draft-saintandre-rfc3920bis-07 RMT draft-ietf-rmt-flute-revised-06 ROLL draft-vasseur-roll-terminology-01 draft-ietf-roll-home-routing-reqs-03 draft-ietf-roll-protocols-survey-01 RSVP draft-rhodes-ccamp-rsvp-recovery-fix-00 RTP draft-ietf-avt-rtp-howto-05 draft-ietf-avt-rtp-svc-14 draft-ietf-avt-rfc4749-dtx-update-02 draft-ietf-avt-rtp-g719-02 draft-ietf-fecframe-interleaved-fec-scheme-00 draft-schmidt-avt-rfc3016bis-00 SAM draft-despres-sam-scenarios-00 SDP draft-ietf-mmusic-decoding-dependency-03 draft-johansson-mmusic-image-attributes-02 SIEVE draft-ietf-sieve-mime-loop-06 SIMPLE draft-blau-simple-msrp-acm-01 SIP draft-ietf-bliss-shared-appearances-00 draft-saklikar-comm-diversion-notification-00 draft-patel-ecrit-sos-parameter-00 draft-ietf-sipping-update-pai-06 SMIME draft-ietf-smime-3851bis-06 SOFTWIR draft-ietf-softwire-mesh-framework-05 IETF Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés 27/09 Fast Connectivity Restoration Using BGP Add-path 26/09 Using non-ASCII Characters in RFCs 22/09 Congestion Control in the RFC Series 25/09 Images in RFCs 17/09 IETF Streaming Media, Current Status 22/09 IMAP4 extension for named searches (filters) 16/09 Decrypted Content Attachment Flag for IMAP 22/09 Locating Mobility Servers using DNS 18/09 Principles of Internet Host Configuration 15/09 BU/BA Based Prefix Delegation Support for Mobile Networks 26/09 IPFIX Mediation: Problem Statement 29/08 Dynamic Prefix Allocation for NEMOv4 19/09 IPv4 Run-Out and IPv4-IPv6 Co-Existence Scenarios 24/09 An uniform format for IPv6 extension headers 22/09 IPv6 Unicast Address Assignment Considerations 10/09 IPv6 RA-Guard 22/09 Definition of an IRTF Document Stream 15/09 OTP Pre-authentication 22/09 LDP extension for AII reachability 26/09 Streaming Internet Messaging Attachments 17/09 Tags for Identifying Languages 13/09 A Protocol for Remotely Managing Sieve Scripts 26/09 Generalized MANET Packet/Message Format 26/09 Representing multi-value time in MANETs 18/09 Multicast Ping Protocol 18/09 The Metalink Download Description Format 16/09 Multicast Group Membership Discovery MIB 15/09 Conversion Between Permanent & Switched Connections 29/08 Routing and Wavelength Assignment Information Model 22/09 MPLS Traffic Engineering Soft Preemption 10/09 Detecting Data Plane Failures in Point-to-Multipoint MPLS 15/09 LDP End-of-LIB 19/09 PathErr Message Triggered MPLS and GMPLS LSP Reroute 19/09 NAT Translation from IPv6 Clients to IPv4 Servers 26/09 A Comparison of Proposals to Replace NAT-PT 29/08 YANG - A data modeling language for NETCONF 26/09 Using DNS SRV to Specify a Global File Name Space with NFS V4 26/09 Administration Protocol for Federated Filesystems 26/09 Requirements for Federated File Systems 26/09 NSDB Protocol for Federated Filesystems 12/09 Network In Node Advertisement 16/09 SNMP Traffic Measurements and Trace Exchange Formats 16/09 Link Metrics for OLSRv2 21/09 OSPF Multi-Instance Extensions 25/09 OSPF Transport Instance Extensions 22/09 Comparison of OSPF-MDR and OSPF-OR 22/09 Comparison of OSPF-MDR and OSPF-MPR 21/09 Extensions to OSPF to Support Mobile Ad Hoc Networking 26/09 Alternative Approaches to Traffic Engineering Database Creation 10/09 Pre-Congestion Notification (PCN) Architecture 11/09 Information Model for Packet Sampling Exports 25/09 An Architecture for Multi-Segment Pseudowire Emulation E2E 12/09 RBNF: A Syntax Used in Various Protocol Specifications 13/09 Emulating Border Flow Policing using Re-PCN on Bulk Data 18/09 Extensible Messaging and Presence Protocol (XMPP): Core 25/09 FLUTE - File Delivery over Unidirectional Transport 13/09 Terminology in Low power And Lossy Networks 11/09 Home Automation Routing Requirement in Low Power & Lossy Net 26/09 Overview of Existing Routing Protocols for Low Power & Lossy Net 24/09 RSVP-TE Recovery Signaling Fixes 11/09 How to Write an RTP Payload Format 26/09 RTP Payload Format for SVC Video 26/09 G.729.1 RTP Payload Format update: DTX support 17/09 RTP Payload format for G.719 29/08 RTP Payload Format for 1-D Interleaved Parity FEC 19/09 RTP Payload Format for MPEG-4 Audio/Visual Streams 28/09 IPv4-IPv6 Coexistence Scenarios 25/09 Signaling media decoding dependency in SDP 19/09 Negotiation of Generic Image Attributes in SDP 12/09 Sieve Email Filtering 12/09 An Alternative Connection Model for MSRP 25/09 Shared Appearances of a SIP Address of Record (AOR) 10/09 A SIP Event Package for Communication Diversion Information 12/09 Marking of SIP requests related to emergency services 23/09 Updates to Asserted Identity in the Session Initiation Protocol 22/09 S/MIME Version 3.2 Message Specification 18/09 Softwire Mesh Framework Page 31/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 TSVWG uRPF WEB WEBDAV draft-ietf-softwire-bgp-te-attribute-03 draft-ietf-tsvwg-port-randomization-02 draft-kumari-blackhole-urpf-01 draft-reschke-webdav-search-18 draft-reschke-webdav-post-00 Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés 10/09 BGP Traffic Engineering Attribute 31/08 Port Randomization 26/09 Remote Triggered Black Hole filtering with uRPF 30/08 Web Distributed Authoring and Versioning (WebDAV) SEARCH 22/09 Using POST to add to WebDAV Collections Page 32/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 NOS COMMENTAIRES LES RFC RFC5246 The Transport Layer Security (TLS) Protocol Version 1.2 Edité par Eric Rescorla et Tim Dierks, ce document de standardisation spécifie la version 1.2 de la couche de transport sécurisée – dite ‘TLS’ ou ‘Transport Layer Security’. Il remplace ainsi le document de spécification de la V1.1 – le RFC4346 – publié en avril 2006, la version 1.0 ayant été spécifiée en Janvier 1999 dans le RFC2246. Le positionnement de ce protocole vis-à-vis de son homologue SSL spécifié par la société Netscape est clairement établi au chapitre ‘3. Goals of this document’ lequel indique que les spécifications de TLS 1.2 ont été calquées sur celles de SSLv3 telles que publiées par Netscape. Cependant des différences existent qui peuvent conduire les différentes versions de TLS et de SSLv3 à ne pas pouvoir interopérer bien que des mécanismes aient été implémentés de part et d’autre pour se replier sur un mode compatible avec la version précédente. Force est de constater que le sigle SSL désigne désormais aussi bien le protocole TLS que le protocole SSL. La librairie GnuTLS implémente ainsi toutes les variations de ce qui pourrait parfaitement devenir un protocole de transport sécurisé unifié, et le deviendra à terme avec l’abandon progressif de l’implémentation SSLv3 comme cela est déjà le cas de la version SSLv2 considérée comme non sûre. La version GnuTLS 2.4.2 offre le support des protocoles SSLv3, TLS1.0, TLS1.1 et TLS1.2, cette dernière version étant actuellement désactivée par défaut quand le paquetage OpenSSL assure encore la compatibilité SSLv2, SSLv3 et TLS1.0. La version 1.2 diffère principalement de la précédente par l’abandon des la combinaison des algorithmes MD5 et SHA-1 dans toutes les fonctions et les suites cryptographiques l’utilisant. Obligation est désormais faite d’implémenter à minima la suite cryptographique ‘TLS_RSA_WITH_AES_128_CBC_SHA’, les suites IDEA et DES étant déclarées obsolètes. La compatibilité avec l’annonce ‘HELLO’ du protocole SSLv2 n’est plus mandataire, la transmission d’une annonce SSLv2 compatible étant désormais interdite. Enfin, les extensions spécifiées dans les RFC4366 ‘TLS Extensions definition’ et RFC3268 ‘AES Cipher Suites’ ont été intégrées pour fournir un document de spécification unique et autonome. Ces différences sont décrites en détail au chapitre ‘1.2. Major Differences from TLS 1.1’. La table des matières de cette spécification de 102 pages est la suivante: 1. Introduction 2. Goals 3. Goals of This Document 4. Presentation Language 4.1. Basic Block Size 4.2. Miscellaneous 4.3. Vectors 4.4. Numbers 4.5. Enumerateds 4.6. Constructed Types 4.7. Cryptographic Attributes 4.8. Constants 5. HMAC and the Pseudorandom Function 6. The TLS Record Protocol 6.1. Connection States 6.2. Record Layer 6.3. Key Calculation 7. The TLS Handshaking Protocols 7.1. Change Cipher Spec Protocol 7.2. Alert Protocol 7.3. Handshake Protocol Overview 7.4. Handshake Protocol 8. Cryptographic Computations 8.1. Computing the Master Secret 9. Mandatory Cipher Suites 10. Application Data Protocol 11. Security Considerations 12. IANA Considerations Appendix A. Protocol Data Structures and Constant Values A.1. Record Layer A.2. Change Cipher Specs Message A.3. Alert Messages A.4. Handshake Protocol A.5. The Cipher Suite A.6. The Security Parameters Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 33/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 A.7. Changes to RFC 4492 Appendix B. Glossary Appendix C. Cipher Suite Definitions Appendix D. Implementation Notes D.1. Random Number Generation and Seeding D.2. Certificates and Authentication D.3. Cipher Suites D.4. Implementation Pitfalls Appendix E. Backward Compatibility E.1. Compatibility with TLS 1.0/1.1 and SSL 3.0 E.2. Compatibility with SSL 2.0 E.3. Avoiding Man-in-the-Middle Version Rollback Appendix F. Security Analysis F.1. Handshake Protocol F.2. Protecting Application Data F.3. Explicit IVs F.4. Security of Composite Cipher Modes F.5. Denial of Service F.6. Final Notes Normative References Informative References Working Group Information Contributors ftp://ftp.isi.edu/in-notes/rfc5246.txt Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 34/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 A ALLEER ATTTTA RT AQ TE QU ES UE SE ES S ET TA ALERTES GUIDE DE LECTURE La lecture des avis publiés par les différents organismes de surveillance ou par les constructeurs n’est pas toujours aisée. En effet, les informations publiées peuvent être non seulement redondantes mais aussi transmises avec un retard conséquent par certains organismes. Dès lors, deux alternatives de mise en forme de ces informations peuvent être envisagées : o Publier une synthèse des avis transmis durant la période de veille, en classant ceux-ci en fonction de l’origine de l’avis, o Publier une synthèse des avis transmis en classant ceux-ci en fonction des cibles. La seconde alternative, pour séduisante quelle soit, ne peut être raisonnablement mise en œuvre étant donné l’actuelle diversité des systèmes impactés. En conséquence, nous nous proposons de maintenir une synthèse des avis classée par organisme émetteur de l’avis. Afin de faciliter la lecture de ceux-ci, nous proposons un guide de lecture sous la forme d’un synoptique résumant les caractéristiques de chacune des sources d’information ainsi que les relations existant entre ces sources. Seules les organismes, constructeurs ou éditeurs, disposant d’un service de notification officiel et publiquement accessible sont représentés. Avis Spécifiques Constructeurs Avis Généraux Editeurs Indépendants Organismes Réseaux Systèmes Systèmes Editeurs Hackers Editeurs Autres US Autres Cisco Apple Linux Microsoft K-Otik ISS BugTraq USCERT Aus-CERT Juniper HP FreeBSD Netscape 3aPaPa Symantec @Stake CIAC Nortel IBM NetBSD SGI OpenBSD SUN SCO Typologies des informations publiées Publication de techniques et de programmes d’attaques Détails des alertes, techniques et programmes Synthèses générales, pointeurs sur les sites spécifiques Notifications détaillées et correctifs techniques L’analyse des avis peut être ainsi menée selon les trois stratégies suivantes : o Recherche d’informations générales et de tendances : Lecture des avis du CERT et du CIAC o Maintenance des systèmes : Lecture des avis constructeurs associés o Compréhension et anticipation des menaces : Lecture des avis des groupes indépendants Aus-CERT US-CERT Cisco Apple Microsoft BugTraq K-Otik ISS NetBSD Juniper HP Netscape @Stake 3aРaPa Symantec OpenBSD IBM Xfree86 SGI Linux SUN FreeBSD CIAC Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 35/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 FORMAT DE LA PRESENTATION Les alertes et informations sont présentées classées par sources puis par niveau de gravité sous la forme de tableaux récapitulatifs constitués comme suit : Présentation des Alertes EDITEUR TITRE Description sommaire Informations concernant la plate-forme impactée Gravité Date Produit visé par la vulnérabilité Description rapide de la source du problème Correction URL pointant sur la source la plus pertinente Référence Référence(s) CVE si définie(s) Présentation des Informations SOURCE TITRE Description sommaire URL pointant sur la source d’information Référence(s) CVE si définie(s) SYNTHESE MENSUELLE Le tableau suivant propose un récapitulatif du nombre d’avis publiés pour la période courante, l’année en cours et l’année précédente. Ces informations sont mises à jour à la fin de chaque période de veille. L’attention du lecteur est attirée sur le fait que certains avis sont repris et rediffusés par les différents organismes. Ces chiffres ne sont donc représentatifs qu’en terme de tendance et d’évolution. Période du 30/08/2008 au 29/09/2008 Organisme US-CERT TA US-CERT ST CIAC Constructeurs Cisco HP IBM SGI Sun Editeurs BEA Oracle Macromedia Microsoft Novell Unix libres Linux RedHat Linux Fedora Linux Debian Linux Mandr. Linux SuSE FreeBSD Autres iDefense eEye NGS Soft. Période 32 2 2 28 46 14 4 2 0 26 9 0 0 2 4 3 78 12 24 10 24 5 3 3 2 0 1 Cumul 2008 2007 331 324 34 39 19 23 278 262 328 482 45 43 33 45 46 35 0 11 204 348 128 165 30 51 2 4 24 38 55 62 17 10 1 084 1 164 181 257 430 409 205 175 203 232 56 82 9 9 112 215 109 173 0 11 3 31 Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Cumul 2008 - Constructeurs Cumul 2007 - Constructeurs Cisco 14% Cisco 9% HP 9% HP 10% Sun 62% SGI 0% IBM 14% SGI 2% Cumul 2007 - Editeurs Cumul 20087 - Editeurs Novell 13% IBM 7% Sun 73% BEA 23% Novell 6% Microsoft 38% Microsoft 43% Oracle Macromedia 2% 19% BEA 31% Macromedia 23% Oracle 2% Page 36/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 ALERTES DETAILLEES AVIS OFFICIELS Les tables suivantes présentent une synthèse des principales alertes de sécurité émises par un organisme fiable, par l’éditeur du produit ou par le constructeur de l’équipement. Ces informations peuvent être considérées comme fiables et authentifiées. En conséquence, les correctifs proposés, s’il y en a, doivent immédiatement être appliqués. ADOBE Exécution de code dans 'Illustrator CS2' Une faille dans 'Illustrator CS2' pour plate-forme Macintosh permet à un attaquant d'exécuter du code arbitraire. Critique 16/09 Adobe 'Illustrator CS2' Traitement des fichiers 'AI' Non disponible Aucun correctif http://www.adobe.com/support/security/advisories/apsa08-07.html Adobe CVE-2008-3961 APPLE Multiples failles dans le lecteur 'QuickTime' De multiples failles dans le lecteur 'QuickTime' permettent d'exécuter du code arbitraire, entre autres choses. Forte 09/09 Apple 'QuickTime' versions inférieures à 7.5.5 Erreur de conception, débordement de pile, débordement de tas, d'entier Correctif existant Codecs http://lists.apple.com/archives/security-announce//2008/Sep/msg00000.html Apple CVE-2008-3614, CVE-2008-3615, CVE-2008-3624, CVE-2008-3625, CVE-2008-3626, CVE-2008-3627, CVE-2008-3628, CVE-20083629, CVE-2008-3635 Multiples failles dans 'Mac OS X' et 'Mac OS X Server' De multiples failles permettent d'exécuter du code et de provoquer des dénis de service, entre autres choses. Forte 15/09 Apple 'Mac OS X' et Mac OS X Server' version 10.4.11 et 10.5 à 10.5.4 Débordement de tas, erreur de conception, déréférencement de pointeur Correctif existant Composants divers http://lists.apple.com/archives/security-announce/2008/Sep/msg00005.html Apple CVE-2008-2305, CVE-2008-2329, CVE-2008-2330, CVE-2008-2331, CVE-2008-2332, CVE-2008-3608, CVE-2008-3609, CVE-20083610, CVE-2008-3611, CVE-2008-3613 Exécution de code arbitraire dans 'iPod Touch' De multiples failles permettent d'exécuter du code, et de mener des attaques de type "Spoofing". Forte 10/09 Apple 'iPod Touch' versions inférieures à 2.1 Erreurs de conception, de traitement Correctif existant Applications http://lists.apple.com/archives/security-announce/2008/Sep/msg00003.html Apple CVE-2008-1447, CVE-2008-1806, CVE-2008-1807, CVE-2008-1808, CVE-2008-3612, CVE-2008-3631, CVE-2008-3632 Exécution de code arbitraire dans 'iTunes' Un débordement d'entier permet à un utilisateur d'obtenir une élévation de privilèges et ainsi d'exécuter du code. Moyenne 10/09 Apple 'iTunes' versions inférieures à 8.0 Débordement d'entier Correctif existant Non disponible http://lists.apple.com/archives/security-announce/2008/Sep/msg00001.html Apple CVE-2008-3636 Exécution de code via 'Java' Deux failles dans 'Java' 'Mac OS X' et 'Mac OS X Server' permettent d'exécuter du code arbitraire. Forte 24/09 Apple 'Mac OS X' et 'Mac OS X Server' version 10.4.11 et 10.5.4 Validation insuffisante des données, Erreur de conception Correctif existant Fournisseur 'HMAC' http://lists.apple.com/archives/security-announce/2008/Sep/msg00007.html msg00008.html Apple CVE-2008-3637, CVE-2008-3638 Fausse impression de sécurité dans 'iTunes' Une erreur d'avertissement dans 'iTunes' donne un faux sentiment de sécurité à l'utilisateur. Forte 10/09 Apple 'iTunes' versions inférieures à 8.0 Erreur d'avertissement Correctif existant Firewall http://lists.apple.com/archives/security-announce/2008/Sep/msg00001.html Apple CVE-2008-3634 Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 37/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 Multiples failles dans 'Bonjour for Windows' Deux failles permettent de provoquer un déni de service ou d'usurper des informations. Forte 09/09 Apple 'Bonjour for Windows' versions inférieures à 1.0.5 Déréférencement de pointeur NULL, Erreur de conception Correctif existant Composant 'mDNSResponder' http://lists.apple.com/archives/security-announce//2008/Sep/msg00002.html Apple CVE-2008-2326, CVE-2008-3630 CISCO Déni de service dans 'Application Inspection Control' Une erreur de traitement permet à un attaquant de provoquer un déni de service. Forte 25/09 Cisco 'IOS' version 12.4(9)T Erreur de traitement Correctif existant Paquet HTTP malformé http://www.cisco.com/en/US/products/products_security_advisory09186a0080a01545.shtml Cisco Déni de service dans 'Cisco Secure ACS' Une faille dans 'Cisco Secure ACS' permet à un attaquant de provoquer un déni de service. Forte 03/09 Cisco 'Cisco Secure ACS' versions 3.x à 4.2.x Non disponible Correctif existant Paquet 'EAP' http://www.cisco.com/warp/public/707/cisco-sr-20080903-csacs.shtml Cisco CVE-2008-2441 Déni de service dans 'Inter-Process Communication' Une erreur de traitement permet à un attaquant de provoquer un déni de service. Forte 25/09 Cisco 'Cisco 10000', 'Cisco uBR10012', 'Cisco uBR7200' Erreur de traitement Correctif existant Paquet UDP http://www.cisco.com/en/US/products/products_security_advisory09186a0080a014ae.shtml Cisco CVE-2008-3805 Déni de service dans 'IOS' ('multicast') Deux failles dans Cisco 'IOS' permettent de provoquer des dénis de service à l'aide de paquets 'PIM' ('multicast'). Forte 24/09 Cisco 'IOS' versions 12.0 à 12.4 Non disponible Correctif existant Traitement des paquets 'PIM' http://www.cisco.com/warp/public/707/cisco-sa-20080924-multicast.shtml Cisco CVE-2008-3808, CVE-2008-3809 Déni de service dans 'IOS' ('SSL') Une faille dans Cisco 'IOS' permet de provoquer un déni de service d'un équipement à l'aide d'un paquet 'SSL'. Forte 24/09 Cisco 'IOS' version 12.4(16)MR, 12.4(16)MR1, 12.4(16)MR2, 12.4(17) Erreur de conception Correctif existant Traitement de paquets 'SSL' http://www.cisco.com/warp/public/707/cisco-sa-20080924-ssl.shtml Cisco CVE-2008-3798 Déni de service dans 'Layer 2 Tunneling Protocol' Une erreur de conception dans le protocole 'L2TP' permet à un attaquant de provoquer un déni de service. Forte 25/09 Cisco 'IOS' version 12.2 et version 12.4 Erreur de conception Correctif existant Démon 'mgmt' http://www.cisco.com/en/US/products/products_security_advisory09186a0080a0157a.shtml Cisco CVE-2008-3813 Déni de service dans 'Multi Protocol Label Switching' Une erreur de traitement permet à un attaquant de provoquer un déni de service. Forte 25/09 Cisco 'IOS' Correctif existant 'Multi Forwarding Infrastructure' Erreur de traitement http://www.cisco.com/en/US/products/products_security_advisory09186a0080a014ac.shtml Cisco CVE-2008-3804 Déni de service dans Unified Communications Manager Deux failles permettent de provoquer des dénis de service. Forte 24/09 Se référer à l’avis original Non disponible Correctif existant Implémentation 'SIP' http://www.cisco.com/warp/public/707/cisco-sa-20080924-cucm.shtml Cisco CVE-2008-3800, CVE-2008-3801 Déni de service de Cisco 'IOS' ('SCCP') Une faille dans 'IOS' permet de provoquer un redémarrage d'un équipement à l'aide de paquets 'SCCP' fragmentés. Forte 24/09 Cisco 'IOS' version 12.4 Non disponible Correctif existant Messages 'SCCP' http://www.cisco.com/warp/public/707/cisco-sa-20080924-sccp.shtml Cisco CVE-2008-3810, CVE-2008-3811 Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 38/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 Déni de service de 'IOS' ('IPS') Une faille non documentée dans la fonctionnalité 'IPS' de Cisco 'IOS' permet de provoquer un déni de service. Forte 24/09 Cisco 'IOS' versions 12.3 à 12.4 Non disponible Correctif existant Fonctionnalité 'IPS' http://www.cisco.com/warp/public/707/cisco-sa-20080924-iosips.shtml Cisco CVE-2008-2739 Elévation de privilèges dans le protocole 'SNMP' Une erreur de configuration permet à un attaquant d'obtenir une élévation de privilèges. Forte 25/09 Cisco 'Cisco uBR10012' Erreur de configuration Correctif existant Routeur 'Cisco uBR10012' http://www.cisco.com/en/US/products/products_security_advisory09186a0080a014b1.shtml Cisco CVE-2008-3807 Exposition d'informations dans 'MPLS VPN' Une erreur de conception dans 'Multiprotocol Label Switching' (MPLS) 'Virtual Private Networks' (VPN) permet à un attaquant d'obtenir des informations. Forte 25/09 Cisco 'Cisco IOS' version 12.0S, version 12.2, version 12.3, version 12.4 Erreur de conception Correctif existant Création de "virtual networks" http://www.cisco.com/en/US/products/products_security_advisory09186a0080a014a9.shtml Cisco CVE-2008-3803 Multiples failles dans les produits 'ASA' et 'PIX' Des failles permettent de provoquer un déni de service d'un produit vulnérable ou l'exposition d'informations. Forte 03/09 Cisco 'ASA' versions 7.0(7)16 à 8.1(1)8 et 'PIX' versions 7.0(7)16 à 8.1(1)8 Non disponible Correctif existant Se référer à l’avis original http://www.cisco.com/warp/public/707/cisco-sa-20080903-asa.shtml Cisco CVE-2008-2732, CVE-2008-2733, CVE-2008-2734, CVE-2008-2735, CVE-2008-2736 DJANGO "Cross-Site Request Forgery" dans 'Django' Une erreur de conception permet à un attaquant de mener des attaques de type "Cross-Site Request Forgery". Forte 10/09 django 'Django' version 0.91, version 0.95, version 0.96 Erreur de conception Correctif existant Application d'administration http://www.djangoproject.com/weblog/2008/sep/02/security/ Django CVE-2008-3909 DRUPAL Contournement de la sécurité dans 'Plugin Manager' Une faille permet à un attaquant de contourner certains mécanismes de sécurité. Forte 24/09 Drupal 'Plugin Manager' versions inférieures à 6.x-1.2 Non disponible Correctif existant Non disponible http://drupal.org/node/312898 Drupal "Cross-Site Scripting" dans le module 'Simplenews' Un manque de validation permet à un attaquant de mener des attaques de type "Cross-Site Scripting". Forte 25/09 Drupal 'Simplenews' versions 5.x à 5.x-1.4, 'Simplenews' versions 6.x à 6.x-1.0-Beta 3 Manque de validation Correctif existant Catégories 'Newsletter' http://drupal.org/node/312944 Drupal "Cross-Site Scripting" via le greffon 'Answers' Un manque de validation permet de mener des attaques de type "Cross-Site Scripting". Forte 18/09 Drupal 'Answers' toute versions Non disponible Validation insuffisante des données Aucun correctif http://drupal.org/node/310223 Drupal "Cross-Site Scripting" via 'Link To Us' Un manque de validation permet de mener des attaques de type "Cross-Site Scripting". Forte 17/09 Drupal 'Link To Us' versions inférieures à 5.x-1.1 Validation insuffisante des données Correctif existant Gestion du texte http://drupal.org/node/309861 Drupal "Cross-Site Scripting" via 'Mailsave' Une faille dans le greffon 'Mailsave' pour Drupal permet de mener des attaques de type "Cross-Site Scripting". Forte 17/09 Drupal 'Mailsave' versions inférieures à 5.x-3.3, versions inférieures à 6.x-1.3 Erreur de conception Correctif existant Gestion du type 'MIME' http://drupal.org/node/309802 Drupal Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 39/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 "Cross-Site Scripting" via 'Stock' Une faille dans le greffon 'Stock' pour Drupal permet de mener des attaques de type "Cross-Site Scripting". Forte 24/09 Drupal 'Stock' versions inférieures à 6.x-1.0 Validation insuffisante des données Correctif existant Gestion du texte http://drupal.org/node/312923 Drupal Exposition d'informations dans 'Drupal' Une erreur de conception dans 'Drupal' permet à un attaquant d'obtenir des informations. Forte 23/09 Drupal 'Drupal' versions 5.0 à 6.4 'Cookie' Erreur de conception Aucun correctif http://www.securityfocus.com/bid/31285 SecurityFocus CVE-2008-3661 Injection de code SQL via 'Brilliant Gallery' Une faille dans le greffon 'Brilliant Gallery' pour Drupal permet d'injecter du code SQL arbitraire. Forte 24/09 Drupal 'Brilliant Gallery' toute versions Non disponible Erreur de conception, validation insuffisante des données Aucun correctif http://drupal.org/node/313054 Drupal Injection de code SQL via 'Mailhandler' Une faille dans le greffon 'Mailhandler' pour Drupal permet d'injecter du code SQL arbitraire. Forte 17/09 Drupal 'Mailhandler' version 5.x-1.4, version 6.x-1.4 Validation insuffisante des données, erreur de conception Correctif existant Gestion des requêtes http://drupal.org/node/309769 Drupal Multiples failles dans 'Ajax Checklist' Deux failles permettent d'injecter du code SQL arbitraire et de mener des attaques de type "Cross-Site Scripting". Forte 24/09 Drupal 'Ajax Checklist' versions inférieures à 5.x-1.1 Erreur de conception, validation insuffisante des données Correctif existant Non disponible http://drupal.org/node/312968 Drupal Multiples failles dans le greffon 'Talk' De multiples failles permettent de mener des attaques de type "Cross-Site Scripting". Forte 17/09 Drupal 'Talk' versions inférieures à 5.x-1.3, versions inférieures à 6.x-1.5 Validation insuffisante des données, Erreur de conception Correctif existant Se référer à l’avis original http://drupal.org/node/309758 Drupal "Cross-Site Scripting" via le greffon 'CCK' Un manque de validation permet à un attaquant de mener des attaques de type "Cross-Site Scripting". Moyenne 04/09 Drupal 'CKK' versions inférieures à 5.x-1.8 Validation insuffisante des données Correctif existant Gestion des paramètres http://drupal.org/node/304093 Drupal FREEBSD Déni de service via des paquets 'IPv6' Une faille dans 'FreeBSD' permet de provoquer un déni de service à l'aide de paquets 'IPv6'. Forte 03/09 FreeBSD 'FreeBSD' versions 6.3 à 7.0 Non disponible Correctif existant Module 'sys_netinet6' http://security.freebsd.org/advisories/FreeBSD-SA-08:09.icmp6.asc FreeBSD CVE-2008-3530 Elévation de privilèges dans 'FreeBSD' Une erreur de conception dans 'FreeBSD' pour les plate-formes 64 bits permet d'obtenir des droits privilégiés. Moyenne 03/09 FreeBSD 'FreeBSD' versions 6.3 à 7.0 Erreur de conception Correctif existant Module 'sys_amd64 http://security.freebsd.org/advisories/FreeBSD-SA-08:07.amd64.asc FreeBSD CVE-2008-3890 Exécution de code via 'nmount' Une faille dans 'nmount' permet à un utilisateur local d'exécuter du code arbitraire. Moyenne 03/09 FreeBSD 'FreeBSD' version 7.0 Débordement de buffer Correctif existant Appel systeme 'nmount' http://security.freebsd.org/advisories/FreeBSD-SA-08:08.nmount.asc FreeBSD CVE-2008-3531 Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 40/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 GNOME Exécution de code dans 'yelp' Une erreur de chaîne de formatage permet d'exécuter du code arbitraire à distance. Moyenne 29/08 Gnome 'yelp' versions supérieures à 2.19.90 Erreur de chaîne de formatage Correctif existant Fichier 'yelp-window.c' http://bugzilla.gnome.org/show_bug.cgi?id=546364 Gnome Bugzilla HP Déni de service dans OpenView Network Node Manager Deux failles permettent de provoquer des dénis de service à distance. Forte 02/09 HP 'OpenView Network Node Manager' versions 7.01, 7.51, 7.53 Non disponible Correctif existant Non disponible http://www12.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01537275-1 HP CVE-2008-3536, CVE-2008-3537 Déni de service via 'rpcbind' Une faille dans 'HP-UX' permet de provoquer un déni de service. Forte 22/09 HP 'HP-UX' version B.11.11, B.11.23 Non disponible Correctif existant Composant 'rpcbind' http://www12.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01556916-1 HP CVE-2007-0165 Elévation de privilèges dans 'OpenVMS' Une faille dans 'OpenVMS' permet à un utilisateur local d'obtenir des droits privilégiés. Moyenne 10/09 Se référer à l’avis original Non disponible Correctif existant Bibliothèque 'SMGRTL' http://www12.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01539423-1 HP CVE-2008-3540 Exposition d'informations dans OpenView Select Identity Une faille non documentée permet d'exposer des informations. Moyenne 04/09 HP 'OpenView Select Identity' Non disponible Correctif existant Non disponible http://www12.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01531379-1 HP IBM Déni de service dans 'DB2' De multiples failles dans 'DB2' permettent à un attaquant de provoquer un déni de service. Forte 09/09 IBM 'DB2' version 8 Erreur de traitement Correctif existant Se référer à l’avis original http://www-01.ibm.com/support/docview.wss?uid=swg1JR29274 IBM Elévation de privilèges via 'swcons' Une erreur de conception dans l'exécutable 'swcons' permet à un utilisateur d'obtenir des droits privilégiés. Moyenne 03/09 IBM 'AIX' version 5.2, 5.3, 6.1 Erreur de conception Correctif existant Outil 'swcons' http://www14.software.ibm.com/webapp/set2/subscriptions/pqvcmjd?mode=18&ID=4356 IBM ISC Déni de service de 'BIND' sur plate-forme Windows Une faille permet à un attaquant de provoquer un déni de service du produit. Moyenne 22/09 ISC 'BIND' version 9.5.1b2 et inférieures Non disponible Correctif existant Gestion des paquets 'UDP' http://www.auscert.org.au/render.html?it=9859 AusCERT LANDESK SOFTWARE Exécution de code arbitraire dans 'Management Suite' Un débordement de buffer dans 'Management Suite' permet à un attaquant d'exécuter du code arbitraire. Forte 16/09 Se référer à l’avis original Débordement de buffer Correctif existant Exécutable 'qipsrvr.exe' http://community.landesk.com/support/docs/DOC-3276 LANDesk CVE-2008-2468 Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 41/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 LIBPNG Déni de service via 'libpng' Deux failles dans la bibliothèque 'libpng' permettent de provoquer un déni de service. Moyenne 09/09 Libpng 'libpng' version 1.2.31 et inférieures Débordement de buffer Correctif existant Se référer à l’avis original http://sourceforge.net/project/shownotes.php?release_id=624518 Libpng LINUX Déni de service dans le noyau Linux Une erreur de codage dans le noyau Linux provoque un déni de service. Moyenne 25/09 Linux 'Noyau 2.6' versions inférieures à 2.6.23 Erreur de codage Correctif existant Implémentation 'Direct-IO' https://bugzilla.redhat.com/show_bug.cgi?id=461082 Red Hat Bugzilla CVE-2007-6716 Dénis de service via la bilbiothèque 'libxml2' Deux failles permettent de provoquer des dénis de service et l'exécution potentielle de code arbitraire. Moyenne 12/09 Linux 'libxml2' versions inférieures à 2.7.0 Débordement de tas Correctif existant Non disponible'une entité XML http://rhn.redhat.com/errata/RHSA-2008-0886.html Red Hat CVE-2003-1564, CVE-2008-3529 Déni de service sur l'architecture s390 Une faille dans le noyau Linux pour l'architecture s390 permet de provoquer un déni de service du système. Moyenne 15/09 Linux 'Noyau 2.6' versions inférieures à 2.6.27-rc6 Erreur de conception Correctif existant Fonctionnalité 'ptrace' http://kernel.org/pub/linux/kernel/v2.6/testing/ChangeLog-2.6.27-rc6 Kernel.org CVE-2008-1514 Dénis de service dans le noyau Linux Plusieurs failles dans le noyau Linux permettent de provoquer un déni de service d'une plate-forme vulnérable. Moyenne 12/09 Linux 'Noyau 2.6' version 2.6.27 et inférieures Erreur de conception, Débordement de tas Correctif existant Se référer à l’avis original http://xforce.iss.net/xforce/xfdb/44492 http://xforce.iss.net/xforce/xfdb/44489 ISS X-Force https://bugzilla.redhat.com/show_bug.cgi?id=461101 Red Hat Bugzilla CVE-2008-3534, CVE-2008-3535, CVE-2008-3915 Contournement de la sécurité dans le noyau Linux Une faille dans un pilote du noyau Linux permet de contourner certains mécanismes de sécurité. Moyenne 09/09 Linux 'Noyau 2.4' et 'Noyau 2.6' version 2.6.26.3 et inférieures Validation insuffisante des données Correctif existant Se référer à l’avis original http://www.openwall.com/lists/oss-security/2008/08/29/2 Oss-Security CVE-2008-3525 MACROVISION Exécution de scripts via 'FLEXnet Connect' Une faille dans le produit 'FLEXnet Connect' permet d'injecter et d'exécuter du script arbitraire. Forte 16/09 Macrovision 'FLEXnet Connect' Méthode de récupération Erreur de conception Palliatif proposé http://www.kb.cert.org/vuls/id/837092 US-CERT CVE-2008-1093 MERCURIAL Exposition d'informations dans 'Mercurial' Une erreur de conception dans 'Mercurial' permet à un attaquant d'obtenir des informations sensibles. Forte 18/09 Mercurial 'Mercurial' version 1.0.1 Erreur de conception Correctif existant Permission 'allowpull' http://www.selenic.com/mercurial/wiki/index.cgi/WhatsNew#headMercurial 905b8adb3420a77d92617e06590055bd8952e02b MICROSOFT Exécution de code arbitraire dans Microsoft Office Une faille dans Microsoft Office permet à un attaquant d'exécuter du code arbitraire. Critique 09/09 Se référer à l’avis original Validation insuffisante des données Correctif existant Protocole de type 'OneNote' http://www.microsoft.com/technet/security/Bulletin/MS08-055.mspx Microsoft CVE-2008-3007 Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 42/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 Exécution de code arbitraire dans Windows Media Player Une faille dans le lecteur 'Windows Media Player' permet d'exécuter du code arbitraire. Critique 09/09 Se référer à l’avis original Erreur de conception Correctif existant listes de type 'SSPL' http://www.microsoft.com/technet/security/Bulletin/MS08-054.mspx Microsoft CVE-2008-2253 Exécution de code dans 'GDI+' Une faille dans le composant 'GDI+' des produits Microsoft permet d'exécuter du code arbitraire. Critique 09/09 Se référer à l’avis original Débordement de tas, Corruption de la mémoire Correctif existant Se référer à l’avis original http://www.microsoft.com/technet/security/Bulletin/MS08-052.mspx Microsoft CVE-2007-5348, CVE-2008-3012, CVE-2008-3013, CVE-2008-3014, CVE-2008-3015 Exécution de code dans Windows Media Encoder Une faille dans un contrôle ActiveX de 'Windows Media Encoder' permet d'exécuter du code arbitraire. Critique 09/09 Se référer à l’avis original Erreur de conception, validation insuffisante des données Correctif existant Contrôle ActiveX 'wmex.dll' http://www.microsoft.com/technet/security/Bulletin/MS08-053.mspx Microsoft CVE-2008-3008 MOZILLA Exécution de code arbitraire dans les produits Mozilla Un débordement de buffer dans 'Thunderbird' et 'SeaMonkey' permet à un attaquant d'exécuter du code arbitraire. Critique 26/09 Mozilla 'SeaMonkey' versions inférieures à 1.1.12, versions inférieures à 2.0.0.17 Débordement de buffer Correctif existant Messages de "newsgroup" http://www.mozilla.org/security/announce/2008/mfsa2008-46.html Mozilla CVE-2008-4070 Multiples failles dans les produits Mozilla De multiples failles permettent de provoquer l'exécution de code et des dénis de service, entre autres choses. Forte 23/09 Se référer à l’avis original Se référer à l’avis original Correctif existant Se référer à l’avis original http://www.mozilla.org/security/announce/2008/mfsa2008-37.html Mozilla http://www.mozilla.org/security/announce/2008/mfsa2008-38.html Mozilla http://www.mozilla.org/security/announce/2008/mfsa2008-39.html Mozilla http://www.mozilla.org/security/announce/2008/mfsa2008-40.html Mozilla http://www.mozilla.org/security/announce/2008/mfsa2008-41.html Mozilla http://www.mozilla.org/security/announce/2008/mfsa2008-42.html Mozilla http://www.mozilla.org/security/announce/2008/mfsa2008-43.html Mozilla http://www.mozilla.org/security/announce/2008/mfsa2008-44.html Mozilla http://www.mozilla.org/security/announce/2008/mfsa2008-45.html Mozilla CVE-2008-0016, CVE-2008-3835, CVE-2008-3836, CVE-2008-3837, CVE-2008-4058, CVE-2008-4059, CVE-2008-4060, CVE-20084061, CVE-2008-4062, CVE-2008-4063, CVE-2008-4064, CVE-2008-4065, CVE-2008-4066, CVE-2008-4067, CVE-2008-4068, CVE2008-4069 NETBSD Déni de service de 'NetBSD' Une faille permet de provoquer un déni de service à l'aide d'un paquet 'ICMPv6' spécialement construit. Forte 04/09 NetBSD 'NetBSD' version 4.0, 'NetBSD' version current Non disponible Correctif existant Gestion des paquets 'ICMPv6' http://archives.neohapsis.com/archives/netbsd/2008-q3/0043.html NetBSD CVE-2008-2464 NOVELL Exécution de commandes 'TCL' dans Novell 'Forum' Une faille non documentée dans Novell 'Forum' permet à un attaquant d'exécuter des commandes 'TCL' arbitraires. Forte 01/09 Novell 'Forum' versions 7.0 à 8.0 Non disponible Correctif existant Gestion des URL http://download.novell.com/Download?buildid=6k-5X-UPnrM~ Novell OPENSC Vulnérabilité dans 'pkcs15-tool' Une vulnérabilité non documentée affecte le produit 'OpenSC'. Moyenne 29/09 OpenSC 'OpenSC' versions inférieures à 0.11.6 Erreur de codage Correctif existant Non disponible http://xforce.iss.net/xforce/xfdb/45045 ISS X-Force Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 43/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 OPENSSH Déni de service dans 'OpenSSH' Une erreur de conception dans 'OpenSSH' permet à un attaquant de provoquer un déni de service. Forte 17/09 OpenSSH 'OpenSSH' version 4.3, version 4.6 Erreur de conception Correctif existant Gestionnaire de signal http://www.debian.org/security/2008/dsa-1638 Debian CVE-2008-4109 PHPMYADMIN "Cross-Site Scripting" via 'Internet Explorer' Une faille permet de mener des attaques de type "Cross-Site Scripting". Forte 23/09 phpMyAdmin 'phpMyAdmin' versions inférieures à 2.11.9.2 Non disponible Correctif existant Non disponible http://www.phpmyadmin.net/home_page/security.php?issue=PMASA-2008-8 phpMyAdmin Exécution de code dans 'phpMyAdmin' Une faille dans un script de 'phpMyAdmin' autorise un utilisateur malveillant à exécuter du code arbitraire. Forte 15/09 phpMyAdmin 'phpMyAdmin' versions inférieures à 2.11.9.1 Non disponible Correctif existant Script 'server_databases.php' http://www.phpmyadmin.net/home_page/security.php?issue=PMASA-2008-7 phpMyAdmin RED HAT Exposition d'informations dans 'Red Hat Enterprise IPA' Une faille dans 'Red Hat Enterprise IPA' permet à un attaquant d'obtenir des informations sensibles. Moyenne 10/09 Red Hat 'Red Hat Enterprise IPA' version 1EL5 Erreur de conception Correctif existant Procédure d'installation http://rhn.redhat.com/errata/RHSA-2008-0860.html Red Hat CVE-2008-3274 STRONGSWAN Déni de service dans 'strongSwan' Une faille dans 'strongSwan' permet de provoquer un déni de service. Moyenne 19/09 strongSwan 'strongSwan' version 4.2.6 et inférieures Déréférencement de pointeur NULL Correctif existant Démon IKE2 'charon' http://labs.mudynamics.com/advisories/MU-200809-01.txt Mu Dynamics SUN Déni de service via le module 'SunMC PRM' Une faille non documentée permet de provoquer un déni de service d'un système vulnérable. Forte 15/09 Sun 'SunMC' versions 3.6.1 à 4.0 Non disponible Correctif existant Module 'SunMC PRM' http://sunsolve.sun.com/search/document.do?assetkey=1-66-241686-1 Sun Déni de service via les systèmes de fichiers 'UFS' Une faille dans les systèmes de fichiers 'UFS' de 'Solaris' permet de provoquer un déni de service d'un système. Moyenne 19/09 Sun 'OpenSolaris' versions snv_01 and above, 'Solaris' versions 8 à 10 Systèmes de fichiers 'UFS' Non disponible Aucun correctif http://sunsolve.sun.com/search/document.do?assetkey=1-66-242267-1 Sun Exécution de code via les éditeurs de texte sur Solaris Une faille permet d'exécuter du code arbitraire avec des droits privilégiés. Moyenne 17/09 Sun 'Solaris' versions 8 à 10 Non disponible Correctif existant 'vi', 'ex', 'vedit', 'view' et 'edit' http://sunsolve.sun.com/search/document.do?assetkey=1-66-237987-1 Sun TWIKI Exposition d'informations via 'TWiki' Un manque de validation dans 'TWiki' permet d'obtenir des informations. Forte 12/09 TWiki 'TWiki' versions inférieures à 4.2.3 Validation insuffisante des données Correctif existant Variable 'image' http://twiki.org/cgi-bin/view/Codev/SecurityAlert-CVE-2008-3195 TWiki http://www.kb.cert.org/vuls/id/362012 US-CERT CVE-2008-3195 Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 44/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 TYPO3 Multiples failles dans des extensions de 'Typo3' De multiples failles permettent d'injecter du code SQL, et d'exécuter du code, entre autres choses. Forte 22/09 Se référer à l’avis original Se référer à l’avis original Se référer à l’avis original Aucun correctif http://typo3.org/teams/security/security-bulletins/typo3-20080919-1/ Typo3 WIRESHARK Déni de service dans 'Wireshark' De multiples failles dans 'Wireshark' permettent de provoquer un déni de service du produit. Forte 04/09 Wireshark 'Wireshark' versions 0.9.7 à 1.0.2 Se référer à l’avis original Correctif existant Se référer à l’avis original http://www.wireshark.org/security/wnpa-sec-2008-05.html Wireshark ALERTES NON CONFIRMEES Les alertes présentées dans les tables de synthèse suivantes ont été publiées dans diverses listes d’information mais n’ont pas encore fait l’objet d’une annonce ou d’un correctif de la part de l’éditeur. Ces alertes nécessitent la mise en place d’un processus de suivi et d’observation. 3COM Déni de service dans Wireless 8760 Une erreur de conception permet à un attaquant de provoquer un déni de service. Moyenne 08/09 3Com 'Wireless 8760 Dual Radio 11a/b/g PoE Access Point' Interface de gestion d'Internet Erreur de conception Aucun correctif http://secunia.com/advisories/31714/ Secunia ACRESSO SOFTWARE Déni de service dans 'InstallShield Update Service' Un débordement de buffer permet de provoquer un déni de service et l'exécution potentielle de code arbitraire. Forte 18/09 Acresso Software 'InstallShield Update Service' Débordement de buffer Correctif existant Contrôle ActiveX 'isusweb.dll' http://www.securityfocus.com/bid/31235 SecurityFocus CVE-2008-2470 ADOBE Injection de contenu dans 'Flash Player' Une faille non documentée permet à un attaquant d'injecter du contenu dans le presse papier de l'utilisateur. Forte 12/09 Adobe 'Flash Player' version 8.x.x, version 9.x.x Non disponible Non disponible Aucun correctif http://www.securityfocus.com/bid/31117 SecurityFocus CVE-2008-3873 APPLE Déni de service de 'QuickTime' et 'iTunes' Un débordement de buffer permet de provoquer un déni de service ou l'exécution potentielle de code arbitraire. Forte 16/09 Apple 'iTunes' version 8 et 'QuickTime' version 7.5.5 Non disponible Débordement de buffer Aucun correctif http://www.securityfocus.com/bid/31212 SecurityFocus ATHEROS Déni de service dans le composant 'AR5416-AC1E' Le composant 'AR5416-AC1E' est vulnérable à un déni de service et à une exécution potentielle de code arbitraire. Forte 04/09 Atheros 'AR5416-AC1E' Non disponible Validation insuffisante des données Aucun correctif http://www.securityfocus.com/bid/31012 SecurityFocus CVE-2007-5474 BITLBEE Contournement de la sécurité dans 'BitlBee' Une faille non documentée permet à un utilisateur local de contourner certains mécanismes de sécurité. Moyenne 08/09 BitlBee 'BitlBee' version 1.2 et version 1.2.1 Non disponible Correctif existant Non disponible http://www.securityfocus.com/bid/30858 SecurityFocus Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 45/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 CA "Cross-Site Scripting" dans des produits CA Des manques de validation permettent à un attaquant de mener des attaques de type "Cross-Site Scripting". Forte 29/09 CA 'CMDB' versions 11.0 à 11.2, CA 'Service Desk' version 11.2 Validation insuffisante des données Correctif existant Formulaires http://securitytracker.com/id?1020949 SecurityTracker CVE-2008-4119 CHECK POINT "Cross-Site Scripting" dans 'Connectra' Un manque de validation permet à un attaquant de mener des attaques de type "Cross-Site Scripting". Forte 25/09 Check Point 'Connectra' version NGX R62 HFA_01 Fichier 'index.php' Manque de validation Aucun correctif http://www.securityfocus.com/bid/31369/ SecurityFocus Déni de service dans ZoneAlarm Internet Security Suite Une faille dans 'ZoneAlarm Internet Security Suite' permet à un attaquant de provoquer un déni de service. Forte 29/09 Check Point 'ZoneAlarm Internet Security Suite' version 8.0.020 Composant 'TrueVector' Non disponible Aucun correctif http://www.securityfocus.com/bid/31431 SecurityFocus CHILKAT Compromission de fichiers dans 'Chilkat' Une erreur de conception dans 'Chilkat' permet à un attaquant d'effacer ou de réécrire des fichiers. Forte 24/09 Chilkat 'ChilkatUtil.dll' version 3.0.3.0 et inférieures Contrôle ActiveX 'ChilkatUtil.dll' Erreur de conception Aucun correctif http://www.securityfocus.com/bid/31332 SecurityFocus CISCO "Cross-Site Request Forgery" dans le routeur 871 Une faille non documentée permet à un attaquant de mener des attaques de type "Cross-Site Request Forgery". Forte 18/09 Cisco '871 Integrated Services' Non disponible Non disponible Aucun correctif http://www.securityfocus.com/bid/31218 SecurityFocus CLAMAV Déni de service dans 'ClamAV' Une corruption de mémoire permet à un attaquant de provoquer un déni de service, et d'exécuter du code. Forte 09/09 ClamAV 'ClamAV' versions inférieures à 0.94 Corruption de mémoire Correctif existant Non disponible http://www.securityfocus.com/bid/31051 SecurityFocus CVE-2008-3912, CVE-2008-3913, CVE-2008-3914 Déni de service dans 'ClamAV' Une faille dans l'anti-virus 'ClamAV' permet de provoquer un déni de service du produit. Moyenne 03/09 ClamAV 'ClamAV' versions inférieures à 0.94 Correctif existant Fichier 'libclamav/chmunpack.c', Non disponible https://wwws.clamav.net/bugzilla/show_bug.cgi?id=1089 ClamAV Bugzilla CVE-2008-1389 DATA ENCRYPTION SYSTEMS Déni de service dans 'DESlock+' Un débordement de buffer dans 'DESlock+' permet à un attaquant de provoquer un déni de service. Forte 23/09 Data Encryption Systems 'DESlock+' version 3.2.7 et inférieures Non disponible Débordement de buffer Aucun correctif http://www.securityfocus.com/bid/31273 SecurityFocus D-LINK Contournement de la sécurité du produit 'DIR-100' Une faille dans le produit 'DIR-100' permet de contourner la sécurité offerte par le serveur mandataire Web. Forte 08/09 D-Link 'DIR-100' Serveur mandataire Web Non disponible Aucun correctif http://lists.grok.org.uk/pipermail/full-disclosure/2008-September/064303.html Full-Disclosure Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 46/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 EMACSPEAK Corruption de fichiers dans 'Emacspeak' Une erreur de conception dans 'Emacspeak' permet à un attaquant d'effacer ou de réécrire des fichiers. Moyenne 19/09 Emacspeak 'Emacspeak' version 26, version 28 Fichier 'extract-table.pl' Création non sécurisée Aucun correctif http://www.securityfocus.com/bid/31241 SecurityFocus FFMPEG Déni de service dans 'FFmpeg' Une erreur de traitement dans 'FFmpeg' permet à un attaquant de provoquer un déni de service. Forte 19/09 FFmpeg 'FFmpeg' version 0.4.9-pre1 Erreur de traitement Correctif existant Fichiers animés GIF http://www.securityfocus.com/bid/31234 SecurityFocus CVE-2008-3230 GALLERY "Cross-Site Scripting" dans 'Gallery' Un manque de validation permet à un attaquant de mener des attaques de type "Cross-Site Scripting". Forte 09/09 Gallery 'Gallery' version 2.0 Données utilisateur Manque de validation Aucun correctif http://www.securityfocus.com/bid/31060 SecurityFocus GMANEDIT Exécution de code arbitraire dans 'gmanedit' Un débordement de buffer permet à un attaquant d'exécuter du code arbitraire. Forte 08/09 gmanedit 'gmanedit' version 0.4.1 Données utilisateur Débordement de buffer Aucun correctif http://www.securityfocus.com/bid/31040 SecurityFocus CVE-2008-3533 GNU Exécution de code dans 'Emacs' Une faille dans l'interaction entre 'Python' et 'Emacs' permet à un utilisateur local d'exécuter du code arbitraire. Moyenne 08/09 Gnu 'Emacs' version 22.1 et inférieures Erreur de conception Correctif existant Commande 'run-python' http://www.securityfocus.com/bid/31052 SecurityFocus HONEYD Elévation de privilèges dans 'Honeyd' Une création non sécurisée des fichiers temporairespermet à un utilisateur local d'obtenir des droits privilégiés. Moyenne 28/08 Honeyd 'Honeyd' version 1.5c et inférieures Script 'test.sh' Création non sécurisée des fichiers temporaires Aucun correctif http://secunia.com/advisories/31658/ Secunia HORDE "Cross-Site Scripting" dans les produits Horde Des manques de validatione listés permettent à un attaquant de mener des attaques de type "Cross-Site Scripting". Forte 11/09 Se référer à l’avis original Manque de validation Correctif existant Pièce-jointe MIME http://secunia.com/advisories/31842/ Secunia CVE-2008-3823, CVE-2008-3824 "Cross-Site Scripting" dans 'Turba Contact Manager' Un manque de validation permet à un attaquant de mener des attaques de type "Cross-Site Scripting". Forte 16/09 Horde 'Turba Contact Manager' version H3 2.2.1 Fichier '/imp/test.php' Manque de validation Aucun correctif http://www.securityfocus.com/bid/31168 SecurityFocus HP Exécution de code dans OpenVMS Une erreur de chaîne de formatage permet d'exécuter du code arbitraire ou de provoquer un déni de service. Moyenne 01/09 HP 'TCP/IP Services for OpenVMS' version 5.x Client 'finger' Erreur de chaîne de formatage Aucun correctif http://secunia.com/advisories/31587/ Secunia Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 47/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 IBM Elévation de privilèges dans Netcool/Webtop Une faille dans 'Tivoli Netcool/Webtop' permet à un utilisateur d'obtenir des droits privilégiés. Forte 29/09 IBM 'Tivoli Netcool/Webtop' versions 2.1 à 2.1 Fix Pack 4 Non disponible Correctif existant Non disponible http://www.securityfocus.com/bid/31414 SecurityFocus Faille dans 'WebSphere Application Server' Une faille non documentée aux conséquences inconnues affecte 'WebSphere Application Server'. N/A 16/09 IBM 'WebSphere Application Server' version 6.1.x Correctif existant 'Servlet Engine/Web Container' Non disponible http://secunia.com/advisories/31892/ Secunia IMAP Déni de service dans plusieurs serveurs IMAP Une faille non documentée dans plusieurs serveurs IMAP permet de provoquer un déni de service de ces produits. Forte 23/09 Se référer à l’avis original 'IMAP login requests' Non disponible Aucun correctif http://www.securityfocus.com/bid/31318 SecurityFocus INTEL Elévation de privilèges via plusieurs produits Intel Une faille dans les produits Intel permet d'obtenir des droits privilégiés. Moyenne 25/08 Se référer à l’avis original Non disponible Correctif existant 'BIOS' http://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00017&languageid=en-fr Intel JOOMLA! Multiples failles dans Joomla! De multiples failles permettent à un attaquant d'obtenir des informations et de corrompre des données. Forte 11/09 Joomla! 'Joomla!' versions inférieures à 1.5.7 Non disponible Correctif existant Se référer à l’avis original http://secunia.com/advisories/31789/ Secunia CVE-2007-0373 KYOCERA Exposition d'informations dans 'FS-118MFP' Une faille permet d'obtenir des informations sensibles à l'aide d'une attaque de type traversée de répertoire. Moyenne 02/09 Kyocera 'FS-1118MFP' 'Command Center' Validation insuffisante des données Aucun correctif http://www.securityfocus.com/bid/30971 SecurityFocus LIGHTTPD Déni de service dans 'lighttpd' Une erreur de traitement dans 'lighttpd' permet à un attaquant de provoquer un déni de service. Forte 29/09 Lighttpd 'lighttpd' versions inférieures à 1.4.20 Erreur de traitement Correctif existant Conditions exceptionnelles http://www.securityfocus.com/bid/31434 SecurityFocus LINUX Déni de service dans le noyau de Linux Une faille dans le noyau de Linux permet à un attaquant de provoquer un déni de service. Moyenne 17/09 Linux 'Noyau' versions inférieures à 2.6.22.2 Non disponible Correctif existant 'add_to_page_cache_lru()' http://www.securityfocus.com/bid/31201 SecurityFocus Déni de service dans le noyau Linux Deux failles permettent de provoquer un déni de service ou l'exposition d'informations sensibles. Moyenne 11/09 Linux 'Noyau 2.6' versions inférieures à 2.6.26.4 Déréférencement de pointeur NULL Correctif existant Se référer à l’avis original http://www.trapkit.de/advisories/TKADV2008-007.txt Tobias Klein CVE-2008-3792 Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 48/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 LINUX FEDORA Effacement de fichiers dans 'initscripts' Une erreur de conception dans 'initscripts' permet à un attaquant d'effacer des fichiers ou des répertoires. Moyenne 26/09 LINUX FEDORA 'initscripts' version 8.76.3 Correctif existant Fichiers '/var/lock' et '/var/run' Erreur de conception https://bugzilla.redhat.com/show_bug.cgi?id=458652 Bugzilla CVE-2008-3524 MANTIS Exposition d'informations dans 'Mantis' Une faille non documentée dans 'Mantis' permet à un attaquant d'obtenir des informations sensibles. Forte 25/09 Mantis 'Mantis' version 1.1.2 et inférieures Non disponible Correctif existant 'Cookie' http://www.securityfocus.com/bid/31344 SecurityFocus CVE-2008-3102 MICROSOFT Corruption de fichiers via un contrôle ActiveX Une faille dans le contrôle ActiveX 'WIA Logger' permet de corrompre des fichiers arbitraires. Moyenne 08/09 Microsoft 'Windows Image Aquisition Logger' Contrôle ActiveX 'WIA Logger' Erreur de conception Aucun correctif http://www.securityfocus.com/bid/31069 SecurityFocus Déni de service dans 'GDI+' Une erreur de traitement dans 'GDI+' permet à un attaquant de provoquer un déni de service. Forte 29/09 Microsoft 'Windows XP' Bibliothèque 'GDIPLUS.dll' Erreur de traitement Aucun correctif http://www.securityfocus.com/bid/31432 SecurityFocus Déni de service dans 'Internet Explorer' Une erreur de traitement dans 'Internet Explorer' permet à un attaquant de provoquer un déni de service. Forte 18/09 Microsoft 'Internet Explorer' version 7 Fichiers 'PNG' Erreur de traitement Aucun correctif http://www.securityfocus.com/bid/31215 SecurityFocus Déni de service dans les plate-formes Windows Une faille dans les plate-formes Windows permettent de provoquer un déni de service. Moyenne 15/09 Se référer à l’avis original Traitement des paquets 'SMB' Non disponible Aucun correctif http://www.securityfocus.com/bid/31179 SecurityFocus Déni de service dans 'Windows Mobile' Un manque de validation dans 'Windows Mobile' permet à un attaquant de provoquer un déni de service. Forte 29/09 Microsoft 'Windows Mobile' version 6.0 Données utilisateur Manque de validation Aucun correctif http://www.securityfocus.com/bid/31420 SecurityFocus Déni de service dans 'WordPad' Une erreur de traitement dans 'WordPad' permet à un attaquant de provoquer un déni de service. Forte 26/09 Microsoft 'WordPad' Fichier '.doc' Erreur de traitement Aucun correctif http://www.securityfocus.com/bid/31399 SecurityFocus Exécution de code arbitraire dans 'SQL Server' Un débordement de buffer dans 'SQL Server' permet à un attaquant d'exécuter du code arbitraire. Forte 12/09 Microsoft 'SQL Server' version 2000 Contrôle ActiveX 'sqlvdir.dll' Débordement de buffer Aucun correctif http://www.securityfocus.com/bid/31129 SecurityFocus MYSQL Déni de service dans 'MySQL' Une erreur de traitement dans 'MySQL' permet à un attaquant de provoquer un déni de service. Moyenne 12/09 MySQL 'MySQL' versions inférieures à 5.0.66, versions inférieures à 5.1.26 Erreur de traitement Correctif existant Chaîne de caractères vide http://secunia.com/advisories/31769/ Secunia CVE-2008-3963 Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 49/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 NETGEAR Déni de service dans le point d'accès 'WN802T' Une faille dans le point d'accès Netgear 'WN802T' permet de provoquer un déni de service du produit. Forte 04/09 Netgear 'WN802T' paquets de type 'EAPoL-Key' Validation insuffisante des données Aucun correctif http://www.securityfocus.com/bid/31013 SecurityFocus CVE-2008-1144 NOKIA Déni de service du Nokia 'E90 Communicator' Une faille dans le téléphone Nokia 'E90 Communicator' permet de provoquer un déni de service. Forte 15/09 Nokia 'E90 Communicator' Non disponible Correctif existant Non disponible http://www.securityfocus.com/bid/31175 SecurityFocus NOVELL "Cross-Site Scripting" via Novell IDM De multiples manques de validation permettent de mener des attaques de type "Cross-Site Scripting". Forte 01/09 Se référer à l’avis original Se référer à l’avis original Correctif existant Se référer à l’avis original http://secunia.com/advisories/31678/ Secunia Exécution de code arbitraire dans 'iPrint Client' Un débordement de buffer dans Novell 'iPrint Client' permet d'exécuter du code arbitraire. Forte 03/09 Se référer à l’avis original Débordement de tas Correctif existant Bibliothèque 'nipplib.dll', http://secunia.com/advisories/31370/ Secunia CVE-2008-2436 Exécution de code arbitraire dans 'ZENworks' Un débordement de buffer permet à un attaquant d'exécuter du code arbitraire. Forte 29/09 Novell 'ZENworks Desktop Management' version 6.5 Fonction 'CanUninstall()' Débordement de buffer Aucun correctif http://www.securityfocus.com/bid/31435 SecurityFocus Multiples failles dans Novell 'eDirectory' De multiples failles permettent d'exécuter du code et de mener des attaques de type "Cross-Site Scripting" Forte 01/09 Novell 'eDirectory' version 8.8 Se référer à l’avis original Correctif existant Se référer à l’avis original http://secunia.com/advisories/31684/ Secunia OPENSWAN Corruption de fichiers dans 'Openswan' Une erreur de conception dans 'Openswan' permet à un attaquant d'effacer ou de réécrire des fichiers. Moyenne 19/09 Openswan 'Openswan' versions 1.0.4 à 2.4.4 Fichiers temporaires Erreur de conception Aucun correctif http://www.securityfocus.com/bid/31243 SecurityFocus PAM_MOUNT Elévation de privilèges dans 'pam_mount' Une faille dans 'pam_mount' permet à un utilisateur d'obtenir des droits privilégiés. Moyenne 06/09 pam_mount 'pam_mount' versions 0.10 à 0.45 Erreur de codage Correctif existant Commande 'luserconf' http://www.securityfocus.com/bid/31041 SecurityFocus PDNSD Déni de service dans 'pdnsd' Une faille non documentée dans 'pdnsd' permet à un attaquant de provoquer un déni de service. Forte 16/09 pdnsd 'pdnsd' versions 1.2-par à 1.2.6-par Non disponible Correctif existant Fichier 'src/dns_query.c' http://www.securityfocus.com/bid/31195 SecurityFocus Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 50/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 PHP Contournement de la sécurité dans 'PHP' Des failles non documentées dans 'PHP' permettent de contourner des restrictions de sécurité. Moyenne 08/09 PHP 'PHP' version 5.2.5 Restrictions de sécurité Non disponible Aucun correctif http://www.securityfocus.com/bid/31064 SecurityFocus Injection de code dans 'PHP' Un manque de validation dans 'PHP' permet à un attaquant d'injecter du code. N/A 26/09 PHP 'PHP' version 5.2.6 Fonction 'create_function()' Manque de validation Aucun correctif http://www.securityfocus.com/bid/31398 SecurityFocus POSTFIX Déni de service local dans 'Postfix' Une erreur de conception dans 'Postfix' permet à un utilisateur de provoquer un déni de service. Moyenne 02/09 Se référer à l’avis original Erreur de conception Correctif existant Descripteur de fichier 'epoll' http://securitytracker.com/id?1020800 SecurityTracker PROFTPD "Cross-Site Request-Forgery" dans 'ProFTPD' Une erreur de traitementpermet à un attaquant de mener des attaques de type "Cross-Site Request-Forgery". Forte 23/09 ProFTPd 'ProFTPD' version 1.3.1 Erreur de traitement Correctif existant Certaines commandes http://www.securityfocus.com/bid/31289 SecurityFocus PYTHON Corruption de fichiers dans 'Python' La création de fichiers de façon insécurisée permet à un attaquant d'effacer ou de réécrire des fichiers. Moyenne 16/09 Python 'Python' version 2.3.4 Outil 'move-faqwiz.sh' Création de fichiers non sécurisée Aucun correctif http://www.securityfocus.com/bid/31184 SecurityFocus CVE-2008-4108 R Elévation de privilèges dans 'R' Une erreur de traitement dans le projet 'R' permet à un attaquant d'obtenir une élévation de privilèges. Moyenne 11/09 R 'R' version 2.7.2 Erreur de traitement Correctif existant Script 'javareconf' http://secunia.com/advisories/31647/ Secunia CVE-2008-3931 RED HAT Elévation de privilèges via 'cman' Une création non sécurisée de fichiers temporaires permet à un utilisateur d'obtenir des droits privilégiés. Moyenne 28/08 Red Hat 'cluster2' version 2.3.7 Script 'fence_egenera' Création non sécurisé de fichiers temporaires Aucun correctif http://www.securityfocus.com/bid/30898 SecurityFocus Exposition d'informations dans JBoss Une faille dans le produit 'JBoss Enterprise Application Platform' permet à un attaquant d'obtenir des informations. Moyenne 22/09 Red Hat 'JBoss Enterprise Application Platform' versions 4.2 à 4.3 'class download service' Erreur de configuration Correctif existant http://www.securityfocus.com/bid/31300 SecurityFocus CVE-2008-3519 RUBY ON RAILS Injection de code SQL dans 'Ruby on Rails' Un manque de validation dans 'Ruby on Rails' permet à un attaquant d'injecter du code SQL. Forte 16/09 Ruby on Rails 'Ruby on Rails' versions inférieures à 2.1.1 Manque de validation Correctif existant Paramètres ':offset' et ':limit' http://secunia.com/advisories/31875/ Secunia Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 51/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 SIEMENS Accès non autorisé au produit 'Gigaset WLAN Camera' Un mot de passe par défaut permet à un attaquant d'obtenir un accès non autorisé. Moyenne 02/09 Siemens 'Gigaset WLAN Camera' Mot de passe par défaut Erreur de conception Aucun correctif http://www.securityfocus.com/bid/30973 SecurityFocus SQUIRRELMAIL Détournement de sessions dans 'Squirrelmail' Une faille dans la gestion des cookies dans 'Squirrelmail' permet à un attaquant de détourner des sessions. Forte 23/09 SquirrelMail 'Squirrelmail' version 1.4.15 et inférieures Gestion des cookies Erreur de conception Aucun correctif http://lists.grok.org.uk/pipermail/full-disclosure/2008-September/064624.html Full-Disclosure SSMTP Exposition d'informations dans 'sSMTP' Une faille non documentée dans 'sSMTP' permet à un attaquant d'obtenir des informations sensibles. Forte 10/09 ssmtp 'sSMTP' version 2.6.2 Non disponible Correctif existant Fonction 'from_format()' http://www.securityfocus.com/bid/31094 SecurityFocus CVE-2008-3962 SYMANTEC Exécution de code arbitraire dans 'Veritas NetBackup' Une erreur de conception permet d'obtenir une élévation de privilèges et ainsi d'exécuter du code arbitraire. Forte 25/09 Se référer à l’avis original Erreur de conception Correctif existant Administration GUI ('jnbSA') http://www.symantec.com/avcenter/security/Content/2008.09.24a.html Symantec TREND MICRO Exécution de code arbitraire dans 'OfficeScan' Un débordement de pile dans 'OfficeScan' permet à un attaquant d'exécuter du code arbitraire. Forte 12/09 Se référer à l’avis original Débordement de pile Correctif existant Exécutable 'cgiRecvFile.exe' http://secunia.com/advisories/31342/ SecurityFocus CVE-2008-2437 TYPO3 "Cross-Site Scripting" dans 'freeCap CAPTCHA' Un manque de validation permet à un attaquant de mener des attaques de type "Cross-Site Scripting". Forte 25/09 Typo3 'freeCap CAPTCHA' versions inférieures à 1.0.4 Manque de validation Correctif existant Données utilisateur http://www.securityfocus.com/bid/31370 SecurityFocus VIGNETTE Elévation de privilèges dans 'Vignette' Un contournement de sécurité permet à un attaquant d'obtenir une élévation de privilèges. Forte 24/09 Se référer à l’avis original Contournement de la sécurité Correctif existant Non disponible http://www.securityfocus.com/bid/31328 SecurityFocus VMWARE Déni de service dans VMware 'Server' Une faille dans l'extension 'ISAPI' de VMware 'Server' permet de provoquer un déni de service. Forte 30/08 VMWare 'Server' version 1.0.7 Non disponible Correctif existant Extension 'ISAPI' http://www.securityfocus.com/bid/30935 SecurityFocus CVE-2008-3697 Elévation de privilèges via 'OpenProcess' Une faille dans les produits VMware permet à un utilisateur local du système hôte d'obtenir des droits privilégiés. Moyenne 30/08 Se référer à l’avis original Non disponible Correctif existant Composant 'OpenProcess' http://www.securityfocus.com/bid/30936 SecurityFocus CVE-2008-3698 Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 52/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 Multiples failles dans des contrôles ActiveX De multiples failles permettent de provoquer des dénis de service et l'exécution de code arbitraire. Forte 30/08 Se référer à l’avis original Non disponible Correctif existant Contrôles ActiveX http://www.securityfocus.com/bid/30934 SecurityFocus CVE-2007-5438, CVE-2008-3691, CVE-2008-3692, CVE-2008-3693, CVE-2008-3694, CVE-2008-3695, CVE-2008-3696 Exposition d'informations dans 'ESX Server' Une faille dans 'ESX Server' permet à un utilisateur d'obtenir des informations sensibles. Moyenne 30/08 VMWare 'ESX Server' versions 3.0.1 à 3.5 Erreur de conception Correctif existant 'VMware Consolidated Backup' http://www.securityfocus.com/bid/30937 SecurityFocus CVE-2008-2101 WORDNET Exécution de code dans 'WordNet' De multiples débordements de buffer dans le produit 'WordNet' permettent d'exécuter du code arbitraire. Moyenne 02/09 Se référer à l’avis original Fonction 'searchwn' Débordement de buffer Aucun correctif http://www.securityfocus.com/bid/29208 SecurityFocus CVE-2008-2149 WORDPRESS Effacement de mots de passe dans 'WordPress' Un accès non autorisé dans 'WordPress' permet à un attaquant d'effacer les mots de passe des comptes utilisateur. Forte 09/09 WordPress 'WordPress' version 2.6.1 Non disponible Accès non autorisé Aucun correctif http://www.securityfocus.com/bid/31068 SecurityFocus Exposition d'informations dans 'WordPress' Une faille dans 'WordPress' permet à un attaquant d'obtenir des informations. Forte 11/09 WordPress 'WordPress' version 2.6.1 Génération de mots de passe Entropie Aucun correctif http://www.securityfocus.com/bid/31115/ SecurityFocus XASTIR Elévation de privilèges dans 'Xastir' Une création non sécurisée de fichiers temporaires permet à un utilisateur d'obtenir des droits privilégiés. Moyenne 05/09 Xastir 'Xastir' version 1.9.2 Gestion des fichiers temporaires Création non sécurisée de fichiers temporaires Aucun correctif http://www.securityfocus.com/bid/31030 SecurityFocus ZONE LABS Exécution de code dans 'ZoneAlarm Security Suite' Un débordement de buffer dans 'ZoneAlarm Security Suite' permet à un attaquant d'exécuter du code arbitraire. Forte 12/09 Zone Labs 'ZoneAlarm Security Suite' version 7.0.483.000 Analyse de virus Débordement de buffer Aucun correctif http://www.securityfocus.com/bid/31124 SecurityFocus AUTRES INFORMATIONS REPRISES D’AVIS ET CORRECTIFS Les vulnérabilités suivantes, déjà publiées, ont été mises à jour, reprises par un autre organisme ou ont donné lieu à la fourniture d’un correctif: APPLE Correctifs 'Java' pour 'Mac OS X' et 'Mac OS X Server' Apple a annoncé la disponibilité de correctifs 'Java' pour les plate-formes 'Mac OS X' et 'Mac OS X Server' versions 10.4.11 et 10.5.4. Ils corrigent de nombreuses failles qui permettent d'exécuter du code arbitraire, entre autres choses. http://lists.apple.com/archives/security-announce/2008/Sep/msg00008.html http://lists.apple.com/archives/security-announce/2008/Sep/msg00007.html CVE-2008-1185, CVE-2008-1186, CVE-2008-1187, CVE-2008-1188, CVE-2008-1189, CVE-2008-1190, CVE-2008-1191, CVE-20081192, CVE-2008-1193, CVE-2008-1194, CVE-2008-1195, CVE-2008-1196, CVE-2008-3103, CVE-2008-3104, CVE-2008-3105, CVE2008-3106, CVE-2008-3107, CVE-2008-3108, CVE-2008-3109, CVE-2008-3110, CVE-2008-3111, CVE-2008-3112, CVE-2008-3113, CVE-2008-3114, CVE-2008-3115 Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 53/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 Correctifs pour 'Mac OS X' et 'Mac OS X Server' Apple a annoncé la disponibilité de correctifs pour les plate-formes 'Mac OS X' et 'Mac OS X Server' versions 10.4.11 et 10.5 à 10.5.4. Ils corrigent de multiples failles dans les composants 'ClamAV', 'ImageIO', 'libresolv', 'mDNSResponder', 'OpenSSH' et 'QuickDraw Manager'. http://lists.apple.com/archives/security-announce/2008/Sep/msg00005.html CVE-2008-0314, CVE-2008-1100, CVE-2008-1382, CVE-2008-1387, CVE-2008-1447, CVE-2008-1483, CVE-2008-1657, CVE-20081833, CVE-2008-1835, CVE-2008-1836, CVE-2008-1837, CVE-2008-2327, CVE-2008-2713, CVE-2008-3215, CVE-2008-3614 Nouvelle version du micro-logiciel pour Apple 'iPhone' Apple a annoncé, dans le bulletin APPLE-SA-2008-09-12, la disponibilité de la version 2.1 du micro-logiciel pour Apple 'iPhone'. Ils corrigent de multiples failles qui permettent de contourner certains mécanismes de sécurité et d'exécuter du code arbitraire, entre autres choses. http://lists.apple.com/archives/security-announce/2008/Sep/msg00004.html CVE-2008-1447, CVE-2008-1806, CVE-2008-1807, CVE-2008-1808, CVE-2008-3612, CVE-2008-3631, CVE-2008-3632, CVE-20083633 Version 3.2.2 du produit 'Apple Remote Desktop' Apple a annoncé la disponibilité de la version 3.2.2 du produit 'Apple Remote Desktop'. Cette version corrige une faille dans 'ARDAgent' qui permet à un utilisateur local d'obtenir des droits privilégiés. http://lists.apple.com/archives/security-announce/2008/Sep/msg00006.html CVE-2008-2830 CIAC Reprise de l'alerte Cisco 107696 Le CIAC a repris, sous la référence S-376, l'alerte Cisco 107696 concernant une erreur de configuration dans 'Simple Network Management Protocol' (SNMP) qui permet à un attaquant d'obtenir une élévation de privilèges. http://www.ciac.org/ciac/bulletins/s-376.shtml CVE-2008-3807 Reprise de l'avis Microsoft MS08-052 Le CIAC a repris, sous la référence S-372, l'avis Microsoft MS08-052 concernant des failles dans le composant 'GDI+' qui permet d'exécuter du code arbitraire. http://www.ciac.org/ciac/bulletins/s-372.shtml CVE-2007-5348, CVE-2008-3012, CVE-2008-3013, CVE-2008-3014, CVE-2008-3015 Reprise de l'avis Microsoft MS08-053 Le CIAC a repris, sous la référence S-373, l'avis Microsoft MS08-053 concernant une faille dans un contrôle ActiveX de 'Windows Media Encoder' qui permet d'exécuter du code arbitraire. http://www.ciac.org/ciac/bulletins/s-373.shtml CVE-2008-3008 Reprise de l'avis Microsoft MS08-054 Le CIAC a repris, sous la référence S-374, l'avis Microsoft MS08-054 concernant une faille dans le lecteur 'Windows Media Player' qui permet d'exécuter du code arbitraire. http://www.ciac.org/ciac/bulletins/s-374.shtml CVE-2008-2253 Reprise de l'avis Microsoft MS08-055 Le CIAC a repris, sous la référence S-375, l'avis Microsoft MS08-055 concernant une faille dans Microsoft Office qui permet à un attaquant d'exécuter du code arbitraire. http://www.ciac.org/ciac/bulletins/s-375.shtml CVE-2008-3007 CITRIX Faille 'DNS' dans le produit 'Access Gateway' Citrix a annoncé, dans le bulletin CTX118183, la vulnérabilité du produit 'Access Gateway' à la faille 'DNS' référencée CVE-2008-1447. Elle permet de corrompre le cache d'une machine vulnérable. Un correctif est disponible. http://support.citrix.com/article/CTX118183 CVE-2008-1447 FREEBSD Disponibilité de plusieurs correctifs FreeBSD annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages: amd64 FreeBSD-SA-08:07 nmount FreeBSD-SA-08:08 icmp6 FreeBSD-SA-08:09 http://www.freebsd.org/security/advisories.html Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 54/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 HP Publication du document HPSBMA02369 (SSRT080115) HP a annoncé, dans le bulletin HPSBMA02369 (SSRT080115), la vulnérabilité du produit HP ProLiant Essentials Rapid Deployment Pack (RDP) aux failles affectant Symantec 'Altiris Deployment Solution'. Elles permettent de provoquer des dénis de service et l'exécution de code arbitraire. HP préconise d'installer les correctifs Symantec. http://www12.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01548422-1 CVE-2008-2286, CVE-2008-2287, CVE-2008-2288, CVE-2008-2289, CVE-2008-2290, CVE-2008-2291 Publication du document HPSBST02372 (SSRT080133) HP a annoncé, dans le bulletin HPSBST02372 (SSRT080133), la vulnérabilité de 'Storage Management Appliance' (SMA) aux failles Microsoft référencées CVE-2007-5348, CVE-2008-3012, CVE-2008-3013, CVE-2008-3014, CVE2008-3015, CVE-2008-3008, CVE-2008-2253, CVE-2008-3007. Elles permettent l'exécution de code arbitraire. HP préconise d'installer les correctifs Microsoft. http://www11.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01560892-1 CVE-2007-5348, CVE-2008-2253, CVE-2008-3007, CVE-2008-3008, CVE-2008-3012, CVE-2008-3013, CVE-2008-3014, CVE-20083015 Publication du document HPSBUX02354 (SSRT080113) HP a publié le document HPSBUX02354 (SSRT080113) concernant la vulnérabilité du produit 'Red Hat Directory Server' livré avec 'HP-UX' aux failles référencées CVE-2008-2928, CVE-2008-2929, CVE-2008-2930 et CVE-20083283. Elles permettent de mener des attaques de type "Cross-Site Scripting" et de provoquer des dénis de service. Des correctifs sont disponibles. http://www12.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01532861-1 CVE-2008-2928, CVE-2008-2929, CVE-2008-2930, CVE-2008-3283 Révision du bulletin HPSBOV02364 (SSRT080078) HP a révisé le bulletin HPSBOV02364 (SSRT080078) concernant une faille dans 'OpenVMS' qui permet à un utilisateur local d'obtenir des droits privilégiés. Cette révision annonce la vulnérabilité de la plate-forme 'OpenVMS VAX' versions 6.2 et 7.3, ainsi que la disponibilité des correctifs associés. http://www12.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01539423-2 CVE-2008-3540 Révision du bulletin HPSBOV02364 (SSRT080078) HP a révisé le bulletin HPSBOV02364 (SSRT080078) concernant une faille dans 'OpenVMS' qui permet à un utilisateur local d'obtenir des droits privilégiés. Cette révision inclus le correctif Alpha version 6.2. http://www11.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01539423-3 CVE-2008-3540 IBM Correctifs CVE-2008-2939 pour WebSphere IBM a annoncé, dans le bulletin PK70937, la disponibilité de la version 6.1.0.21 pour 'WebSphere Application Server for z/OS'. Elle corrige un manque de validation dans le module 'mod_proxy_ftp' du serveur 'Apache' qui permet de mener des attaques de type "Cross-Site Scripting". http://www-01.ibm.com/support/docview.wss?uid=swg1PK70937 CVE-2008-2939 INGATE Faille CVE-2008-1447 dans les produits Ingate Ingate a annoncé la disponibilité de la version 4.6.4 pour les produits Ingate 'Firewall' et 'SIParator'. Cette nouvelle version corrige la faille 'DNS' référencée CVE-2008-1447, permettant de corrompre le cache d'une machine vulnérable. http://www.ingate.com/relnote-464.php CVE-2008-1447 MICROSOFT Révision du bulletin MS08-052 (954593) Microsoft a révisé le bulletin MS08-052 (954593) concernant des failles dans 'GDI+' dans les produits Microsoft qui permettent d'exécuter du code arbitraire. Cette révision ajoute de nouveaux produits dans la liste des produits vulnérables. http://www.microsoft.com/technet/security/Bulletin/MS08-052.mspx CVE-2007-5348, CVE-2008-3012, CVE-2008-3013, CVE-2008-3014, CVE-2008-3015 NETBSD Correctifs 'racoon' pour 'NetBSD' Le projet NetBSD a annoncé, dans le bulletin NetBSD-SA2008-012, la disponibilité de correctifs pour 'racoon' sur 'NetBSD' version 4.0. Ils corrigent une faille qui permet de provoquer un déni de service. http://archives.neohapsis.com/archives/netbsd/2008-q3/0046.html CVE-2008-3652 Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 55/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 NORTEL Faille CVE-2008-0960 dans les produits Nortel Nortel a annoncé la vulnérabilité des produits Nortel 'Switched Firewall 5100 Series' et 'Switched Firewall 6000 Series' à la faille référencée CVE-2008-0960. Cette faille dans l'implémentation SNMP permet d'usurper des paquets SNMPv3 authentifiés. http://support.nortel.com/go/main.jsp?cscat=BLTNDETAIL&id=766427 CVE-2008-0960 Faille DNS dans un produit Nortel Nortel a annoncé la vulnérabilité du produit 'Business Communications Manager' (BCM) versions 4.x à la faille 'DNS' référencée CVE-2008-1447. Elle permet de corrompre le cache d'une machine vulnérable. Il n'y a pas de correctif actuellement disponible. http://support.nortel.com/go/main.jsp?cscat=BLTNDETAIL&id=762152 CVE-2008-1447 LINUX DEBIAN Disponibilité de nombreux correctifs Debian annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages: slash DSA-1633 wordnet DSA-1634 freetype DSA-1635 linux 2.6.24 DSA-1636 git-core DSA-1637 openssh DSA-1638 twiki DSA-1639 python-django DSA-1640 phpmyadmin DSA-1641 horde3 DSA-1642 http://www.debian.org/security/2008/ LINUX FEDORA Disponibilité de nombreux correctifs Fedora annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages: samba F8 F9 FEDORA-2008:7243 wordpress F8 FEDORA-2008:7463 F9 FEDORA-2008:7279 bitlbee F8 FEDORA-2008:7712 F9 FEDORA-2008:7274 xastir F8 FEDORA-2008:7269 F9 FEDORA-2008:7739 amarok F8 FEDORA-2008:7719 fedora F8 FEDORA-2008:7747 F9 FEDORA-2008:7748 libtiff F8 FEDORA-2008:7388 F9 FEDORA-2008:7370 awstats F8 FEDORA-2008:7684 F9 FEDORA-2008:7663 openoffice F8 FEDORA-2008:7531 F9 FEDORA-2008:7680 django F8 FEDORA-2008:7288 F9 FEDORA-2008:7672 packagekit F9 FEDORA-2008:7748 libxml2 F8 FEDORA-2008:7724 F9 FEDORA-2008:7395 xine-lib F8 FEDORA-2008:7572 F9 FEDORA-2008:7512 adminutil F8 FEDORA-2008:7642 F9 FEDORA-2008:7339 rpy F8 FEDORA-2008:7619 F9 FEDORA-2008:7670 yelp F8 FEDORA-2008:7293 R F8 FEDORA-2008:7619 F9 FEDORA-2008:7670 bluez F8 FEDORA-2008:6133 drupal F8 FEDORA-2008:7467 F9 FEDORA-2008:7626 xastir F9 FEDORA-2008:7541 fedora-ds-base F8 FEDORA-2008:7891 F9 FEDORA-2008:7813 bitlbee F8 FEDORA-2008:7761 F9 FEDORA-2008:7830 wordpress F8 FEDORA-2008:7760 F9 FEDORA-2008:7902 poppler F9 FEDORA-2008:7012 httrack F8 FEDORA-2008:7896 F9 FEDORA-2008:7862 tomcat F9 FEDORA-2008:7977 wireshark F8 FEDORA-2008:7894 F9 FEDORA-2008:7936 fedora-release F9 FEDORA-2008:7748 libHX / pam_mount F8 FEDORA-2008:7973 F9 FEDORA-2008:7976 ipa F8 FEDORA-2008:7987 F9 FEDORA-2008:8003 ssmtp F8 FEDORA-2008:8040 F9 FEDORA-2008:8069 fedora-package F8 FEDORA-2008:8100 F9 FEDORA-2008:8073 tomcat F8 FEDORA-2008:8130 F9 FEDORA-2008:8113 viewvc F8 FEDORA-2008:8270 F9 FEDORA-2008:8252 initscript F9 FEDORA-2008:7667 phpMyAdmin F8 FEDORA-2008:8286 F9 FEDORA-2008:8335 rkhunter F8 FEDORA-2008:8364 F9 FEDORA-2008:8314 phpMyAdmin F9 FEDORA-2008:8370 rubygem F9 FEDORA-2008:8322 navigateurs F8 FEDORA-2008:8399 F9 FEDORA-2008:8425 seamonkey F8 FEDORA-2008:8401 F9 FEDORA-2008:8429 https://www.redhat.com/archives/fedora-package-announce/index.html Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 56/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 LINUX MANDRIVA Disponibilité de nombreux correctifs Mandrake annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages: ipsec-tools MDVSA-2008:181 2007.1 2008 2008.1 CS4.0 MNF2.0 wordnet MDVSA-2008:182 2008 2008.1 opensc MDVSA-2008:183 2007.1 2008 2008.1 CS4.0 libtiff MDVSA-2008:184 2007.1 2008 2008.1 CS3.0 CS4.0 MNF2.0 python-django MDVSA-2008:185 2007.1 2008 2008.1 python MDVSA-2008:186 CS3.0 MNF2.0 tomcat5 MDVSA-2008:188 2008 2008.1 clamav MDVSA-2008:189 2007.1 2008 2008.1 CS3.0 CS4.0 postfix MDVSA-2008:190 2008 2008.1 rsh MDVSA-2008:191 2007.1 2008 2008.1 CS3.0 libxml2 MDVSA-2008:192 2007.1 2008 2008.1 CS3.0 CS4.0 kolab-server MDVSA-2008:193 CS3.0 apache2 MDVSA-2008:194 CS3.0 MNF2.0 apache MDVSA-2008:195 2007.1 2008 2008.1 CS3.0 CS4.0 MNF2.0 mplayer MDVSA-2008:196 2008 2008.1 CS3.0 koffice MDVSA-2008:197 2008 2008.1 R-base MDVSA-2008:198 2008 2008.1 wireshark MDVSA-2008:199 2008 2008.1 CS4.0 ed MDVSA-2008:200 2007.1 2008 2008.1 CS3.0 CS4.0 pan MDVSA-2008:201 2008 2008.1 phpMyAdmin MDVSA-2008:202 CS4.0 awstats MDVSA-2008:203 CS4.0 blender MDVSA-2008:204 2008 2008.1 firefox MDVSA-2008:205 2008 2008.1 CS3.0 CS4.0 thunderbird MDVSA-2008:206 2008 2008.1 CS3.0 http://www.mandriva.com/en/security/advisories LINUX REDHAT Disponibilité de nombreux correctifs RedHat annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages: libtiff RHSA-2008:0847-01 AS.ES.WS 5.0 libtiff RHSA-2008:0848-01 AS.ES.WS 4.0 libtiff RHSA-2008:0863-01 AS.ES.WS 2.1 AS.ES.WS 3.0 redhat-ds-base RHSA-2008:0858-01 ipa RHSA-2008:0860-01 libxml2 RHSA-2008:0884-01 AS.ES.WS 3.0 AS.ES.WS 4.0 AS.ES.WS 5.0 libxml2 RHSA-2008:0886-01 AS.ES.WS 2.1 bzip2 RHSA-2008:0893-01 AS.ES.WS 2.1 AS.ES.WS 3.0 AS.ES.WS 4.0 AS.ES.WS 5.0 RealPlayer RHSA-2008:0812-01 AS.ES.WS 3.0 AS.ES.WS 4.0 firefox RHSA-2008:0879-01 AS.ES.WS 4.0 AS.ES.WS 5.0 seamonkey RHSA-2008:0882-01 AS.ES.WS 2.1 AS.ES.WS 3.0 AS.ES.WS 4.0 kernel RHSA-2008:0885-01 AS.ES.WS 5.0 IPA IPA https://www.redhat.com/archives/enterprise-watch-list/ LINUX SuSE Disponibilité de nombreux correctifs SuSE annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages: kernel SUSE-SA:2008:044 ibm-java SUSE-SA:2008:045 gnu-tls SUSE-SA:2008:046 Security Report SUSE-SR:2008:017 Security Report SUSE-SR:2008:018 http://www.novell.com/linux/security/advisories.html RUBY ON RAILS Disponibilité de la version 2.0.4 La version 2.0.4 de 'Ruby on Rails' est disponible. Elle corrige la faille référencée CVE-2008-3790 dans le module 'REXML'. Elle permet de provoquer un déni de service. http://weblog.rubyonrails.org/2008/9/3/rails-2-0-4-maintenance-release CVE-2008-3790 SUN Publication du bulletin 241646 Sun a publié le document 241646 concernant un débordement de buffer dans l'outil 'tar' qui affecte Solaris versions 9 et 10 et OpenSolaris. Cette faille permet à un attaquant d'exécuter du code arbitraire et de provoquer un déni de service. http://sunsolve.sun.com/search/document.do?assetkey=1-66-241646-1 CVE-2006-0300 Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 57/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 Publication du document 239908 Sun a publié le document 239908 concernant une erreur de conception dans 'Veritas NetBackup' qui permet à un attaquant d'obtenir une élévation de privilèges et ainsi d'exécuter du code arbitraire. Un correctif est disponible. http://sunsolve.sun.com/search/document.do?assetkey=1-66-239908-1 Publication du document 241786 Sun a annoncé, dans le bulletin 241786, la vulnérabilité de la commande 'bzip2' et de la bibliothèque 'libbz2' fournis avec 'Solaris' à la faille référencée CVE-2008-1372. Elle permet d'exécuter du code arbitraire. Des correctifs sont disponibles. http://sunsolve.sun.com/search/document.do?assetkey=1-66-241786-1 CVE-2008-1372 Révision du bulletin 200070 (anciennement 102720) Sun a révisé le bulletin 200070 (anciennement 102720) concernant la vulnérabilité des plate-formes Sun 'Solaris' version 10 et Sun 'JDS release 2' à la faille CVE-2006-3404, affectant 'gimp' qui peut entraîner un déni de service et l'exécution de code arbitraire. Cette révision résout et clos le bulletin. http://sunsolve.sun.com/search/document.do?assetkey=1-66-200070-1 CVE-2006-3404 Révision du bulletin 200386 (anciennement 101918) Sun a révisé le bulletin 200386 (anciennement 101918) concernant une erreur de conception dans le produit Sun 'Java System Access Manager' qui peut permettre à un utilisateur local malveillant d'obtenir des informations sensibles. Cette révision met à jour les solutions. http://sunsolve.sun.com/search/document.do?assetkey=1-66-200386-1 Révision du bulletin 200558 (anciennement 103180) Sun a révisé le bulletin 200558 (anciennement 103180) concernant des failles non documentées dans 'Sun Java System Identity Manager' qui permettent à des attaquants locaux et distants de mener des attaques de type "Cross-Site Scripting", d'injecter du code 'HTML' et de rediriger le navigateur vers d'autres sites. Cette révision résout et clos le bulletin. http://sunsolve.sun.com/search/document.do?assetkey=1-66-200558-1 Révision du bulletin 201227 (anciennement 103175) Sun a révisé le bulletin 201227 (anciennement 103175) concernant une faille dans Sun 'Ray Server Software' qui permet de provoquer un déni de service du produit et de corrompre des informations sur le serveur. Cette révision annonce la mise à jour des sections "Contributing Factors" et "Resolution", et clos le bulletin. http://sunsolve.sun.com/search/document.do?assetkey=1-66-201227-1 Révision du bulletin 201251 Sun a révisé le bulletin 2201251 concernant une faille dans la console d'administration 'Java System Access Manager' qui permet à un attaquant de mener des attaques de type "Cross-Site Scripting". Cette révision met à jour les solutions. http://sunsolve.sun.com/search/document.do?assetkey=1-66-201251-1 Révision du bulletin 201320 (anciennement 103170) Sun a révisé le bulletin 201320 (anciennement 103170) concernant la vulnérabilité de l'application 'GIMP' fournie avec 'Solaris' aux failles référencées CVE-2005-1046, CVE-2007-2356 et CVE-2007-2949. Elles permettent de provoquer un déni de service de l'application ou l'exécution de code arbitraire. Cette révision annonce la mise à jour des sections "Contributing Factors" et "Resolution", et clos le bulletin. http://sunsolve.sun.com/search/document.do?assetkey=1-66-201320-1 CVE-2005-1046, CVE-2007-2356, CVE-2007-2949 Révision du bulletin 201331 (anciennement 103160) Sun a révisé le bulletin 201331 (anciennement 103160) concernant la vulnérabilité de la bibliothèque 'libtiff' de 'Solaris' versions 8, 9 et 10 aux failles référencées CVE-2006-2193, CVE-2006-3459, CVE-2006-3460, CVE-20063461, CVE-2006-3462, CVE-2006-3463, CVE-2006-3464 et CVE-2006-3465. Cette révision annonce la mise à jour des sections "Contributing Factors" et "Resolution", et clos le bulletin. http://sunsolve.sun.com/search/document.do?assetkey=1-66-201331-1 CVE-2006-2193, CVE-2006-3459, CVE-2006-3460, CVE-2006-3461, CVE-2006-3462, CVE-2006-3463, CVE-2006-3464, CVE-20063465 Révision du bulletin 201505 (anciennement 103125) Sun a révisé le bulletin 201505 (anciennement 103125) concernant la vulnérabilité du navigateur 'Mozilla' version 1.7 fourni avec 'Solaris' versions 8 à 10 aux failles référencées CVE-2007-2868. Cette révision met à jour les sections "Contributing Factors" et "Resolution", et clos le bulletin. http://sunsolve.sun.com/search/document.do?assetkey=1-66-201505-1 CVE-2007-2868 Révision du bulletin 239930 Sun a révisé le bulletin 239930 concernant une faille dans Sun 'Netra T5220 Server' qui permet de provoquer un déni de service de ce produit. Cette révision annonce la mise à jour des sections "Products", "Impact", "Contributing Factors" et "Resoluton". http://sunsolve.sun.com/search/document.do?assetkey=1-66-239930-1 Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 58/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 Révision du bulletin 239312 Sun a révisé le bulletin 239312 concernant des failles dans le serveur 'Tomcat' livré avec 'Solaris' versions 9 et 10. Elles permettent de provoquer un déni de service entre autres choses. Cette révision annonce la mise à jour des sections "Contributing Factors" et "Resolution" et clos le bulletin. http://sunsolve.sun.com/search/document.do?assetkey=1-66-239312-1 CVE-2002-1148, CVE-2002-1394, CVE-2002-2006, CVE-2003-0866, CVE-2005-2090, CVE-2005-3164, CVE-2005-3510, CVE-20063835, CVE-2007-0450, CVE-2007-1355, CVE-2007-1358, CVE-2007-2450, CVE-2007-5461 Révision du bulletin 239312 Sun a révisé le bulletin 239312 concernant des failles dans le serveur 'Tomcat' livré avec 'Solaris' versions 9 et 10. Elles permettent de provoquer un déni de service entre autres choses. Cette révision annonce la mise à jour des sections "Contributing Factors" et "Resolution" et clos le bulletin. http://sunsolve.sun.com/search/document.do?assetkey=1-66-239312-1 CVE-2002-1148, CVE-2002-1394, CVE-2002-2006, CVE-2003-0866, CVE-2005-2090, CVE-2005-3164, CVE-2005-3510, CVE-20063835, CVE-2007-0450, CVE-2007-1355, CVE-2007-1358, CVE-2007-2450, CVE-2007-5461 Révision du bulletin 239312 Sun a révisé le bulletin 239312 concernant des failles dans le serveur 'Tomcat' livré avec 'Solaris' versions 9 et 10. Elles permettent de provoquer un déni de service entre autres choses. Cette révision annonce la mise à jour des sections "Contributing Factors" et "Resolution" et clos le bulletin. http://sunsolve.sun.com/search/document.do?assetkey=1-66-239312-1 CVE-2002-1148, CVE-2002-1394, CVE-2002-2006, CVE-2003-0866, CVE-2005-2090, CVE-2005-3164, CVE-2005-3510, CVE-20063835, CVE-2007-0450, CVE-2007-1355, CVE-2007-1358, CVE-2007-2450, CVE-2007-5461 Révision du bulletin 228526 (anciennement 102550) Sun a révisé le bulletin 228526 (anciennement 102550) concernant de multiples failles dans la suite Mozilla qui permettaient en particulier de provoquer des dénis de services et l'exécution de code arbitraire, et d'obtenir une élévation de ses privilèges. Cette révision résout et clos le bulletin. http://sunsolve.sun.com/search/document.do?assetkey=1-66-228526-1 CVE-2005-4134, CVE-2006-0292, CVE-2006-0293, CVE-2006-0296, CVE-2006-0748, CVE-2006-0749, CVE-2006-0884, CVE-20061724, CVE-2006-1727, CVE-2006-1728, CVE-2006-1729, CVE-2006-1730, CVE-2006-1731, CVE-2006-1732, CVE-2006-1733, CVE2006-1734, CVE-2006-1735, CVE-2006-1736, CVE-2006-1737, CVE-2006-1738, CVE-2006-1739, CVE-2006-1740, CVE-2006-1741, CVE-2006-1742, CVE-2006-1790 Révision du bulletin 238686 Sun a révisé le bulletin 238686 concernant la vulnérabilité du serveur X fourni avec 'Solaris' et 'OpenSolaris' aux failles référencées CVE-2008-2360, CVE-2008-2361, CVE-2008-2362, CVE-2008-1379 et CVE-2008-1377. Elles permettent de provoquer l'exécution de code arbitraire, un déni de service et l'exposition d'informations. Cette révision met à jour les sections "Contributing Factors" et "Resolution". http://sunsolve.sun.com/search/document.do?assetkey=1-66-238686-1 CVE-2008-1377, CVE-2008-1379, CVE-2008-2360, CVE-2008-2361, CVE-2008-2362 Révision du bulletin 240106 Sun a révisé le bulletin 240106 concernant de multiples vulnérabilités dans Adobe 'Reader' fourni avec 'Solaris' version 10. Cette révision met à jour les sections "Contributing Factors" et "Resolution", et clos le bulletin. http://sunsolve.sun.com/search/document.do?assetkey=1-66-240106-1 CVE-2008-0883, CVE-2008-2641 Révision du bulletin 240706 Sun a révisé le bulletin 240706 concernant une faille dans le noyau des plate-formes 'Solaris' qui permet à deux processus locaux non privilégiés de contourner certains mécanismes de sécurité. Cette révision annonce la mise à jour de la section "Resolution". http://sunsolve.sun.com/search/document.do?assetkey=1-66-240706-1 VMWARE Correctifs 'openwsman' pour 'ESX' et 'ESXi' VMware a publié le document VMSA-2008-0015 annonçant la disponibilité de correctifs pour 'Openwsman' sur VMware 'ESX' et 'ESXi' version 3.5. Ils corrigent des débordements de buffer qui permettent de provoquer des dénis de service et l'exécution de code arbitraire. http://lists.grok.org.uk/pipermail/full-disclosure/2008-September/064554.html CVE-2008-2234 Correctifs pour 'freetype', 'cairo', 'libpng' et 'bind' VMware a annoncé, dans le bulletin VMSA-2008-0014, la disponibilité de correctifs pour 'freetype', 'cairo', 'libpng' et 'bind' pour les produits VMware. Ils corrigent de multiples failles qui permettent d'exécuter du code arbitraire ou de provoquer un déni de service, entre autres choses. http://marc.info/?l=bugtraq&m=122011465815314&w=2 CVE-2007-5269, CVE-2007-5503, CVE-2008-1447, CVE-2008-1806, CVE-2008-1807, CVE-2008-1808 Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 59/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 US-CERT Reprise de l'alerte Apple 2008-006 L'US-CERT a repris, sous la référence TA08-260A, l'alerte Apple 2008-006 concernant de multiples failles dans 'Mac OS X' et 'Mac OS X Server' qui permettent d'exécuter du code arbitraire et de provoquer des dénis de service, entre autres choses. http://www.us-cert.gov/cas/techalerts/TA08-260A.html CVE-2008-2305, CVE-2008-2329, CVE-2008-2330, CVE-2008-2331, CVE-2008-2332, CVE-2008-3608, CVE-2008-3609, CVE-20083610, CVE-2008-3611, CVE-2008-3613 Reprise des avis Microsoft de Septembre 2008 L'US-CERT a repris, sous la référence TA08-253A, les avis Microsoft de Septembre 2008 concernant de multiples failles dans les produits Windows, Windows Media Encoder et Office. Ces failles permettent d'exécuter du code arbitraire. http://www.uscert.gov/cas/techalerts/TA08-253A.html CVE-2007-5348, CVE-2008-2253, CVE-2008-3007, CVE-2008-3008, CVE-2008-3012, CVE-2008-3013, CVE-2008-3014, CVE-20083015 CODES D’EXPLOITATION Les codes d’exploitation des vulnérabilités suivantes ont fait l’objet d’une large diffusion : MICROSOFT Code d'exploitation pour la faille MS08-053 Un code a été publié sur le site Web Milw0rm. Il exploite la faille Microsoft MS08-053, un débordement de buffer dans un contrôle ActiveX de 'Windows Media Encoder' qui permet d'exécuter du code arbitraire. Ce code permet d'exécuter la calculatrice. http://milw0rm.com/exploits/6454 CVE-2008-3008 Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 60/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 OUTILS SECURELOGIX – VOIP SECURITY ASSESSMENT TOOL SUITE Description Début septembre, Mark Collier, directeur technique de la société SecureLogix et auteur de l’ouvrage ‘Hacking Exposed: VoIP’, annonçait dans son blog la prochaine mise à disposition des outils d’analyse et de test développés dans le cadre de cet ouvrage. Et en effet, le 21 septembre, un paquetage était rendu accessible sur le site de la société SecureLogix sous la forme d’un fichier d’archive de 5.6Mo contenant les sources de quelques 37 outils et librairies de support, moyennant toutefois un enregistrement préalable. Ces outils sont annoncés avoir tous été testés en environnement Linux RedHat mais doivent pouvoir être compilés dans tout environnement LINUX sans grandes modifications par toute personne ayant une bonne connaissance du langage ‘C’, de l’environnement de développement et des outils associés. Les utilitaires sont en effet livrés ‘brut de fonderie’ sous la forme d’autant de fichiers d’archive qu’il y a d’outils, chaque archive ne contenant d’autres fichiers d’accompagnement que le fichier d’aide à la compilation, le célèbre Makefile, et un fichier ‘readme’ contenant quelques indications utiles sur les dépendances et les options d’utilisation. En l’absence de fichier de compilation global, de script de génération de configuration et même de procédures d’installation, l’utilisateur devra parcourir chacun des répertoires pour compiler le source s’y trouvant puis déplacer l’exécutable, ou les librairies de support, dans le répertoire ad hoc, généralement les répertoires ‘/usr/local/bin’ et ‘/usr/local/lib’. Le tableau ci-dessous liste les outils et librairies livrés dans le paquetage actuellement diffusé par SecureLogix (‘SecureLogix_VOIP_tools_091508’) triés par catégorie et protocole. check_sync_reboot teardown Byeflood subflood regflood optionsflood inviteflood sip_rogue regquery add_registrations reghijacker redirectpoison erase_registrations dirscan distillusers dirsniff dirsortmerge CallMonitor sipsniffer authtool iaxflood spitter rtpflood rtpinsertsound rtpmixsound udpflood.tar udpfloodVLAN tcpsynflood vlanping g711conversions xmms_g711_rtp hack_library libnet libpcap libattackaudio libfindrtp libmd5 2.1 1.0 1.0 1.0 1.0 2.2 1.2 1.0 1.1 1.1 1.1 1.1 3.0 1.0 1.0 1.4 1.3 1.1 SIP SIP SIP SIP SIP SIP SIP SIP SIP SIP SIP SIP SIP SIP SIP SUIP SIP SIP IAX IAX RTP 3.0 RTP 3.0 RTP UDP UDP TCP TCP AUD RTP NET NET 0.9.4 NET RTP 0.4b RTP SEC Réinitialise un équipement par l’envoi d’une requête NOTIFY Sature un équipement par l’envoi d’une multitude de requêtes BYE Sature un équipement par l’envoi d’une multitude de requêtes BYE Sature un équipement par l’envoi d’une multitude de requêtes SUBSCRIBE Sature un équipement par l’envoi d’une multitude de requêtes REGISTER Sature un équipement par l’envoi d’une multitude de requêtes OPTIONS Sature un équipement par l’envoi d’une multitude de requêtes INVITE Simule un équipement SIP programmable par le biais de scénarios Collecte des informations d’enregistrement via la requête REGISTER Ajoute de nouveaux contact par le biais de requêtes REGISTER Manipule les enregistrements Retourne une réponse 301 – Move Permanently – sur une requête INVITE Détruit tous les contacts via des requêtes REGISTER Sonde un environnement par le biais de requêtes OPTIONS Analyse les résultats produits par l’outil ‘dirscan’ Collecte tous les messages SIP transitant sur le réseau Analyse les fichiers contenant les messages SIP collecté par l’outil ‘dirsniff’ Surveille le trafic SIP et interagit avec celui-ci Collecte et génère des conversations. Fonctionne avec CallMonitor Collecte les requêtes contenant un digest MD5 et tente de forcer celui-ci Sature un équipement par l’envoi d’une multitude de paquets IAX Génère des appels indésirables de type SPIT (Spam) Sature un équipement par l’ouverture de multiple flux RTP Insère un flux RTP Manipule un flux RTP Flood UDP Flood UDP VLAN Flood TCP SYN Ping VLAN CODEC G711 Module G711 pour XMMS Librairie de support Librairie de support Librairie de support Librairie de support Librairie de support Librairie de support Complément d’information http://voipsecurityblog.typepad.com/marks_voip_security_blog/ http://www.securelogix.com/voipscanner/index.htm http://download.securelogix.com/library/SecureLogix_VOIP_tools_091508.zip Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés Page 61/62 Diffusion restreinte aux clients abonnés au service de veille technologique Septembre 2008 JAVA - COJAC Description Présenté dans le numéro du mois de Septembre du journal Dr.Dobb, l’utilitaire COJAC – le sigle de Checked Overflows in JAva Code – a été développé par Frédéric Bapst, un professeur de l’école d’ingénieurs de Fribourg – EIA-FR- aidé de deux de ses étudiants. Cet utilitaire permet de détecter les problèmes de débordements d’entier dans un code Java, problèmes pouvant conduire non seulement à des dysfonctionnements de l’application mais aussi à mettre en péril la sécurité de l’application. Le terme ‘débordement d’entier’ est associé à une classe de problèmes indépendant du langage de programmation utilisé, problèmes longtemps considérés comme relevant d’une simple erreur de codage et n’ayant pas grande implication en terme de sécurité. Il n’en est rien comme cela a été publiquement mis en évidence il y a maintenant 6 ans dans un remarquable article du numéro 60 du fabuleux magazine en ligne, Phrack. Nous laisserons à nos lecteurs le soin de découvrir par le menu les implications d’une erreur de calcul ayant pour origine une opération mathématique conduisant à affecter à la variable d’arrivée un résultat ne pouvant y être stocké sans risque de troncature. Un cas qui, s’il est rarement rencontré avec les langages dits non typés ou avec nos bonnes vieilles calculatrices, n’en reste pas moins un piège classique dans lequel tombent un jour où l’autre tous les développeurs, ayant oublié qu’une variable de type ‘entier’ ne pourra contenir de nombres supérieurs à une certaine limite dépendant généralement du langage et dans une moindre mesure du processeur. Ainsi, en langage ‘C’, le type ‘entier’ – ‘int’ – est non seulement stocké dans un mot de 2 octets – 32 bits - mais s’avère aussi être, par défaut, un nombre signé. Une variable déclarée de ce type ne pourra ainsi contenir de valeurs supérieures à 2147483647 et inférieures à -2147483648 sauf à être tronquée ou à changer de signe. Certains langages disposent de ‘garde-fous’ permettant d’avertir d’un problème potentiel lors d’opérations susceptibles de générer une erreur dans le calcul ou dans l’évaluation d’une condition, d’autres non. Cependant, combien de développeurs font réellement attention aux messages d’avertissement délivrés par leur compilateur, combien d’entres eux sont réellement à même de comprendre le risque encouru à ne pas corriger correctement le problème ainsi identifié. Que l’on compile un quelconque code source ‘C’ du domaine public pour découvrir dans la grande majorité des cas des messages d’avertissement concernant un risque lié à l’utilisation d’un type erroné. L’approche retenue par l’auteur de l’utilitaire COJAC consiste à instrumenter le code intermédiaire – dit ‘Byte Code’ généré par le compilateur Java avant d’exécuter celui-ci. Les résultats des opérations mathématiques liées à l’utilisation de variables entières sont tous contrôlés par le biais de fonctions définies pour ne pas être elles-mêmes impactées par un dépassement de capacité. Une approche classique et efficace mais opérant durant la phase d’exécution de l’application avec les limitations associées: un ralentissement de l’exécution et une découverte aléatoire et au fil de l’eau des problèmes. La mise en œuvre de l’utilitaire COJAC est extrêmement simple puisqu’il suffit de compiler le code contenant l’outil devant être vérifié avec la librairie d’archive. java -jar cojac-0.91.jar [options] Class_Or_Jar_Filename Cette approche pourrait parfaitement être intégrée dans la machine virtuelle Java chargée de l’exécution du code intermédiaire quitte à être activée par le biais d’une option spécifique. A ce jour, la JVM – Java Virtual Machine – ne gère d’autres exceptions que la division par zéro conduisant à ne pas détecter de nombreux cas de figures conduisant à générer un résultat erroné: opérations d’incrémentation, d’addition, de soustraction, de division et de complément et affectation d’un entier dans un type inférieur (short ou byte). Nous conseillons à nos lecteurs, la lecture de page WEB consacrée au projet VisualAudio auquel a participé l’auteur de COJAC. Ce projet vise à restituer le contenu sonore d’un disque de musique à partir de l’analyse de la photographie des microsillons, et ce, quand bien même la laque constituant le support de gravure serait écaillée. Un projet bien éloigné de nos préoccupations quotidiennes mais qui démontre que le problème de la récupération de données sur des supports obsolètes parfois bien malmené n’est pas toujours une opération impossible. L’écoute de certains des morceaux ainsi sauvés de l’oubli donne le frisson, en particulier l’enregistrement de 31s datant de 1916 relatif à l’arrivée des troupes Anglaises en France. Complément d’information http://www.ddj.com/java/210500001 http://home.hefr.ch/bapst/cojac http://www.phrack.org/issues.html?issue=60&id=10#article http://project.eia-fr.ch/visualaudio/sounds.htm Veille Technologique Sécurité N°122 © DEVOTEAM - Tous droits réservés - La présentation de l’’outil dans la revue Dr.Dobb - L’outil COJAC - Article ‘Basic Integer Overflows’ – Phrack 60 - Projet Visual Record Page 62/62 Diffusion restreinte aux clients abonnés au service de veille technologique ">
Lien public mis à jour
Le lien public vers votre chat a été mis à jour.