N 59. Juin Les symboles d avertissement suivants seront éventuellement utilisés:

Transcription

1 APOGEE Communications Rapport de Veiilllle Technollogiique Sécuriité N 59 Juin 2003 Les informations fournies dans ce document ont été collectées et compilées à partir de sources d'origines diverses et publiquement accessibles: mailing-lists, newsgroups, sites Web,... Ces informations sont fournies pour ce qu'elles valent sans garantie d'aucune sorte vis à vis de l'exactitude, de la précision ou de la qualité de l'information. Les URL associées à certains thèmes sont validées à la date de la rédaction du document. Les symboles d avertissement suivants seront éventuellement utilisés:! Site dont la consultation est susceptible de générer directement ou indirectement, une attaque sur l équipement de consultation, voire de faire encourir un risque sur le système d information associé. " Site susceptible d héberger des informations ou des programmes dont l utilisation est répréhensible au titre de la Loi Française. Aucune garantie ne peut être apportée sur l'innocuité de ces sites, et en particulier, sur la qualité des applets et autres ressources présentées au navigateur WEB. La diiffffusiion de ce documentt estt rresttrreiintte aux clliientts des serrviices VTS-RAPPORT ett VTS-ENTREPRIISE Les marques et les produits cités dans ce rapport sont la propriété des dépositaires respectifs. APOGEE Communications Pour tous renseignements 1, Rue Jean Rostand Offre de veille: ORSAY CEDEX Informations: vts-info@apogee-com.fr APOGEE Communications - Tous droits réservés

2 Au sommaire de ce rapport PRODUITS ET TECHNOLOGIES 5 LES PRODUITS 5 FORENSIC 5 TASK / AUTOPSY / NIST NSRL 5 ANTI-VIRUS 12 MICROSOFT VIRUS INFORMATION ALLIANCE 12 LES TECHNOLOGIES 12 SÉCURISATION WEB 12 OASIS WAS ET AVDL 12 EVALUATION 13 ICSA LABS 33 NOUVEAUX PRODUITS ÉVALUÉS 13 DÉTECTION D INTRUSION 15 IDS: FIABILITÉ ET RETOUR SUR INVESTISSEMENT 15 GARTNER GROUP L ECHEC DES IDS SUR LE MARCHÉ 16 INFORMATIONS ET LÉGISLATION 18 LES INFORMATIONS 18 STATISTIQUES 18 CSI/FBI - COMPUTER CRIME AND SECURITY SURVEY SYMANTEC - RAPPORT RIPTECH 19 WIFI INSTALLATION D UN POINT DE PRÉSENCE WIFI 21 OUVRAGE 21 OCTAVE GUIDE DE MISE EN OEUVRE 21 LA LÉGISLATION 22 USA 22 USA OBLIGATION D INFORMATION DU CLIENT 22 FRANCE 23 GESTE SIX FICHES THÉMATIQUES 23 DCSSI CERTIFICATION DE CONFORMITÉ DES DISPOSITIFS DE CRÉATION DE SIGNATURE ÉLECTRONIQUE 25 LOGICIELS LIBRES 27 LES SERVICES DE BASE 27 LES OUTILS 27 NORMES ET STANDARDS 29 LES PUBLICATIONS DE L IETF 29 LES RFC 29 LES DRAFTS 29 NOS COMMENTAIRES 38 LES RFC 38 RFC LES DRAFTS 39 DRAFT-JONES-OPSEC-00.TXT 39 ALERTES ET ATTAQUES 42 ALERTES 42 GUIDE DE LECTURE 42 FORMAT DE LA PRÉSENTATION 43 SYNTHÈSE MENSUELLE 43 ALERTES DÉTAILLÉES 44 AVIS OFFICIELS 44 APACHE 44 APPLE 44 AXIS 44 CISCO 44 CISTRON RADIUS 45 ETHEREAL 45 HP 45 IBM 45 Veille Technologique Sécurité N 59 Page 2/63

3 KDE 45 LINUX 46 LINUX DEBIAN 46 LINUX REDHAT 47 MICROSOFT 48 MYSQL 49 NETSCREEN 49 NOKIA 49 NOVELL 49 SCO 49 SGI 49 SUN 50 TARANTELLA 51 VIGNETTE 51 VIRUS 51 ZOPE 51 ALERTES NON CONFIRMÉES 51 ADOBE 52 ALT-N 52 AVAYA 52 ESERV 52 HP 52 HP/COMPAQ 52 ISS 52 LINKSYS 53 LINUX 53 MICROSOFT 53 MRV 54 NAVIGATEURS 54 NETSCAPE 54 NOVELL 54 OPENSSH 54 PALMVNC 54 PHP 54 PLATFORM 54 PROGRESS 55 PROFTPD 55 QNX 55 QUALCOMM 55 RSA SECURITY 55 SAMBAR 55 SMC 55 SUN 55 SURFCONTROL 56 SYMANTEC 56 WINMAIL 56 YAHOO 56 IISPROTECT 56 PHPMYADMIN 56 AUTRES INFORMATIONS 57 REPRISES D AVIS ET CORRECTIFS 57 ADOBE 57 CIAC 57 HP 58 LINUX DEBIAN 58 LINUX MANDRAKE 58 LINUX REDHAT 59 MICROSOFT 59 SGI 59 SUN 59 CODES D EXPLOITATION 60 CISCO 60 APACHE 60 BULLETINS ET NOTES 60 CERT 60 MICROSOFT 60 VIRUS 60 ATTAQUES 62 OUTILS 62 BLUETOOTH REDFANG V TECHNIQUES 63 VOL DE MAIL 63 Veille Technologique Sécurité N 59 Page 3/63

4 Le mot de la rédaction Le lecteur habitué de l analyse des défis mensuels du projet HoneyNet devra patienter, aucun défi n ayant été proposé ce mois-ci. Ce moment de répit pourra être mis à profit pour visualiser la très étonnante vidéo pédagogique - 45Mo / 3mn50 - accessible sur le site du projet. Ce mois de juin aura été marqué par une forte activité en matière d alertes de sécurité (96 alertes sur les 30 derniers jours pour une moyenne habituellement constatée de 60), activité à mettre en regard d un très faible nombre d annonces commerciales. Par ailleurs, trois informations notables auront fait La Une du mois de juin: - le communiqué de presse du Gartner Group recommandant de réaffecter les investissements consacrés, à perte selon eux, aux technologies de détection d intrusion, - l annonce par Microsoft du rachat de la technologie développée par un éditeur de produits anti-virus Roumain, - la (n ième ) restructuration du département Américain pour la protection du territoire, ou US Departement of Homeland Security, se dotant d une division regroupant le CIAO (Critical Infrastructure Assurance Office), le NIPC (National Infrastructure Protection Center), le FedCIRC (Federal Computer Incident Response Center) et le NCS (National Communications System). L équipe de Veille Technologique Veille Technologique Sécurité N 59 Page 4/63

5 PRODUITS ET TECHNOLOGIES LES PRODUITS FORENSIC TASK / AUTOPSY / NIST NSRL # Description En 2002, la mettait à disposition le paquetage TASK - Sleuth Kit) destiné à faciliter l analyse et la recherche de preuves sur un système compromis, ou supposé l être. Reprenant les fonctionnalités initialement développées par Dan Farmer et Wietse Venema dans TCT (The Coroner Toolkit) qu il remplace, TASK permet d analyser les supports de données produits sur les systèmes OpenBSD, Linux, Solaris, Windows 9x, Windows NT/2000/XP. Constitué de quelques 17 utilitaires ne fonctionnant qu en environnement UNIX, le paquetage TASK peut-être complété du paquetage AutoPsy offrant une interface HTML facilitant notablement le travail de l investigateur (Rapport N 46 Mai 2002). Récemment mis à jour, ces deux paquetages restent une référence incontournable dans le domaine, d autant qu un couplage avec la base d empreintes NSRL maintenue par le NIST est désormais proposé. National Software Reference Library - NSRL Précédemment référencée sous l appellation NIST Special Database N 28, la NSRL est le fruit d une collaboration engagée dès Juillet 2000 entre le NIST (National Institute of Standards & Technology), le NIJ (National Institute of Justice), le DCFL (Defense Computer Forensics Laboratory), le FBI, le service des Douanes et plusieurs éditeurs de logiciel (Rapport N 41 Décembre 2001). Cette base de données a pour objectif de centraliser l empreinte de tous les logiciels couramment utilisés quels qu ils soient: systèmes d exploitation, progiciels, bases de données, outils, jeux, L algorithme cryptographique de condensation SHA-1 Standard FIPS est utilisé pour produire une empreinte de 160 bits représentative du fichier avec une excellente probabilité: 1 chance sur que deux fichiers quelconques aient une empreinte identique. En pratique, et notamment dans l optique de réduire encore l erreur, chaque fichier est identifié par 4 empreintes calculées à l aide des algorithmes cryptographiques SHA1, MD4, MD5 et d un code cyclique CRC32. Lors d une investigation, les empreintes de chacun des fichiers inventoriés seront calculées et comparées à celles détenues dans la base de référence accélérant ainsi l identification des fichiers déjà connus et présents sur le système objet de l analyse. Accessible sur abonnement, cette base est mise à jour trimestriellement pour un coût total de $90. On notera qu à l occasion de la mise à disposition de la version 2.0 qui utilise un nouveau format, une image iso de 500Mo est gracieusement mise à disposition jusqu à la fin Juin. Cette version contient les signatures de quelques fichiers! Task V1.61 Cette nouvelle version de TASK intègre trois nouveaux utilitaires offrant la possibilité de référencer la base d empreintes du NIST qui devra être présente sur le poste pour tirer pleinement parti des nouvelles fonctions offertes: - L identification d un fichier en ayant simplement connaissance de sa somme cryptographique MD5 ou SHA1 (nouvel utilitaire hfind ), - La recherche automatique des empreintes connues durant la phase de tri et de classification automatique des fichiers (nouvel utilitaire sorter ), les fichiers identifiés comme légitimes pouvant alors être automatiquement exclus de la liste des fichiers à investiguer. Ce nouveau paquetage comprend ainsi désormais les 17 utilitaires suivants qui ne fonctionneront qu en environnement UNIX: Domaine Nom Fonction Système fsstat Présente les données caractéristiques du système de fichiers au format ASCII: nom du volume, taille, nombre de secteurs, Données dcat Affiche le contenu d une unité de donnée du système de fichiers, la définition; la taille de l unité de donnée étant dépendante du type de système de fichiers, dstat Affiche diverses informations d ordre statistique concernant une unité de donnée, dcalc Permet d identifier la localisation d une unité de donnée dans une image générée par l outil dls, dls Affiche le contenu de toutes les unités de donnée non allouées sur un système de fichiers sous la forme d un flux de données binaires, Structure ils Affiche les valeurs de certains éléments des structures internes du système de fichiers, par défaut les unités de donnée non allouées, Veille Technologique Sécurité N 59 Page 5/63

6 istat Affiche les informations contenues dans les structures internes du système de fichiers au format ASCII, icat Affiche le contenu d une structure interne sans aucune présentation d aucune sorte, ifind Retourne la structure interne du système de fichiers ayant alloué une unité de donnée contenant l information passée en paramètre, Fichiers fls Liste les noms de fichier et de répertoires y compris ceux ayant été effacés du système de fichiers, ffind Retourne le nom de fichier contenant l information ou la chaîne passée en paramètre, Utilitaires file Retourne le type probable d un fichier par recherche d une signature caractéristique, dite magic number, md5 Calcule une somme cryptographique MD5 sur le(s) fichier(s) passé(s) en paramètres, mactime Génère une chronologie au format ASCII de l activité associée à une image préalablement analysée avec l un des outils ils, fls ou mac-robber. sha1 Calcule une somme cryptographique SHA1 sur le(s) fichier(s) passé(s) en paramètres, hfind Recherche le(s) fichier(s) ayant pour somme MD5 la valeur passée en paramètre dans une base d empreintes locale dont celle du NIST (format V2). Sorter Classifie automatiquement le contenu d une image en s appuyant si nécessaire sur les bases d empreintes MD5. AutoPsy V1.71 La version 1.71 de l interface graphique AutoPsy nous offre non seulement une interface dont l ergonomie a entièrement été repensée mais aussi un cadre structurant Équipe d auditeurs permettant d envisager pouvoir mettre en place un véritable laboratoire mutualisé d analyse. Il est en effet désormais possible de définir une campagne d analyse un cas dans le jargon Task comme étant l association à un instant donné d un ensemble d auditeurs travaillant sur un ou plusieurs systèmes compromis. Cas N 1 Cas N 2 Systèmes cibles Bien entendu, l architecture du système - et sa sécurité - devra être pensée en conséquence: mise en place d un service de partage de fichiers sécurisé autorisant la réplication ou le transfert de(s) image(s) sur le serveur d analyse, dimensionnement du celui-ci en tenant compte des contraintes de volumétrie, Quelques défauts de jeunesse ont encore pu être constatés durant les tests de cette version, défauts pour la plupart liés à la gestion des erreurs dans les formulaires mais aussi aux traitements associés à l abandon d une action. Task : Un exemple d utilisation Pour tester la fiabilité et la qualité de cette nouvelle version de TASK et en particulier l utilitaire de classification sorter nous avons généré une disquette au format FAT contenant les fichiers suivants: O R E D Nom Commentaire X debug.exe Le débogueur MS-DOS X ils.dll Une librairie dynamique Windows connue X mscal.ocx Un objet Active/X connu X regedit.exe Un exécutable connu X River Sumida.bmp Un fond d écran original livré avec Windows X X anydll.dll Une librairie dynamique Windows connue mais renommée (ils.dll) X X anyexe.exe Un exécutable Windows connu mais renommé (regedit.exe) X X anydll.txt Une librairie dynamique Windows connue mais renommée (ils.dll) X X anyexe.txt Un exécutable Windows connu mais renommé (regedit.exe) perl.pl Un script écrit en langage perl texte.txt Un texte quelconque zipped.zip Une archive quelconque X deleted.txt Un texte quelconque mais détruit sur le support analysé O : Original, R : Fichier Renommé, E : Extension modifiée, D : Fichier Détruit Une image de cette disquette a ensuite été générée pour analyse sur un système LINUX en utilisant la fonction de copie physique dd disponible dans cet environnement. Un plan de test simple a ensuite été appliqué visant à comparer les résultats obtenus avec et sans utilisation de la base d empreintes du NIST. Analyse du contenu de la disquette au moyen de l outil classique file : L utilitaire file permet d identifier un fichier en recherchant, dans celui-ci, une chaîne caractéristique dite magic value. Cette méthode donne généralement de bons résultats en étant de surcroît très rapide. # /usr/bin/file /mnt/floppy Veille Technologique Sécurité N 59 Page 6/63

7 /mnt/anayexe.exe: /mnt/anydll.dll: /mnt/anydll.txt: /mnt/anyexe.txt: /mnt/debug.exe: /mnt/ils.dll: /mnt/mscal.ocx: /mnt/perl.pl: /mnt/regedit.exe: /mnt/river Sumida.bmp: /mnt/texte.txt: /mnt/zipped.zip: MS-DOS executable (EXE), OS/2 or MS Windows MS-DOS executable (EXE), OS/2 or MS Windows MS-DOS executable (EXE), OS/2 or MS Windows MS-DOS executable (EXE), OS/2 or MS Windows MS-DOS executable (EXE) MS-DOS executable (EXE), OS/2 or MS Windows MS Windows PE 32-bit Intel GUI DLL ASCII text, with CRLF line terminators MS-DOS executable (EXE), OS/2 or MS Windows PC bitmap data, Windows 3.x format, 160x160x8 ASCII text, with no line terminators data En pratique, le type de chaque fichier est correctement identifié, et ce, malgré la modification de certaines extensions. Le fichier deleted.txt n apparaît pas car effacé et donc non visible par les outils utilisant les interfaces classiques du système de fichiers. Le fichier zipped.zip est partiellement identifié en tant que fichier de données, l empreinte correspondante n étant pas dans le fichier utilisé par l utilitaire file. Extraction des informations sans utilisation des librairies d empreintes: L utilitaire sorter nous livre des résultats identiques en traitant cependant les fichiers marqués détruits, et en indiquant la référence du premier bloc logique ou inode - contenant chaque fichier. # sorter -f fat d data morgue/floppy Analyzing../../morgue/floppy Loading Allocated File Listing Processing 13 Allocated Files and Directories 100% Loading Unallocated File Listing Processing 4 Unallocated meta-data structures 100% All files have been saved to: data Traitement des fichiers logiques : 13 fichiers / répertoires présents Traitement des structures physiques 4 entrées non allouées Le fichier sorter.sum contient une synthèse de la classification effectuée sur les fichiers contenus dans l image. Quelques 17 fichiers ont ainsi été découverts et automatiquement répartis sur 4 catégories: data, exec, images et text. Images Localisation de l image étudiée - morgue/floppy Files (17) - Allocated (13) - Unallocated (4) Files Skipped (3) - Non-Files (3) - 'ignore' category (0) Extensions - Extension Mismatches (3) Categories (14) - archive (0) - audio (0) - compress (0) - crypto (0) - data (1) - disk (0) - documents (0) - exec (8) - images (1) - system (0) - text (4) - unknown (0) - video (0) Fichiers: 17 objets découverts 13 fichiers 4 structures Structures: 3 structures connues Nommage : 3 extensions erronées Classification: 14 fichiers répartis sur 4 catégories Les résultats détaillés pourront être trouvés dans le fichier portant le nom de la catégorie associée: - Catégorie data Le seul fichier répertorié est le fichier d archive. Zipped.zip Data Image: morgue/floppy Inode: 17 - Catégorie exec Tous les exécutables sont correctement répertoriés avec, pour deux d entre eux, la mention d une incohérence entre le type détecté et l extension utilisée. Anayexe.exe MS-DOS executable (EXE), OS/2 or MS Windows Image: morgue/floppy Inode: 3 Anydll.dll MS-DOS executable (EXE), OS/2 or MS Windows Image: morgue/floppy Inode: 4 Veille Technologique Sécurité N 59 Page 7/63

8 anydll.txt MS-DOS executable (EXE), OS/2 or MS Windows --- Extension Mismatch! --- Image: morgue/floppy Inode: 5 anyexe.txt MS-DOS executable (EXE), OS/2 or MS Windows --- Extension Mismatch! --- Image: morgue/floppy Inode: 6 debug.exe MS-DOS executable (EXE) Image: morgue/floppy Inode: 7 ils.dll MS-DOS executable (EXE), OS/2 or MS Windows Image: morgue/floppy Inode: 9 MSCAL.OCX MS Windows PE 32-bit Intel GUI DLL Image: morgue/floppy Inode: 10 regedit.exe MS-DOS executable (EXE), OS/2 or MS Windows Image: morgue/floppy Inode: 12 - Catégorie images Le seul fichier répertorié est le fichier de fond d écran. River Sumida.bmp PC bitmap data, Windows 3.x format, 160 x 160 x 8 Image: morgue/floppy Inode: 15 - Catégorie text Quatre fichiers sont ici répertoriés dont le fichier effacé deleted.txt ainsi que la structure associée correspondant à l entrée de ce fichier dans le répertoire racine (la 4 ième méta-structure non allouée). perl.pl ASCII text, with CRLF line terminators --- Extension Mismatch! --- Image: morgue/floppy Inode: 11 texte.txt ASCII text, with no line terminators Image: morgue/floppy Inode: 16 _eleted.txt (deleted) ASCII text, with no line terminators Image: morgue/floppy Inode: 8 <floppy-_eleted.txt-dead-8> ASCII text, with no line terminators Image: morgue/floppy Inode: 8 - Catégorie mismatch Sont ici regroupés les fichiers par ailleurs classifiés mais pour lesquels un problème a été détecté, en l occurrence l incohérence entre le type identifié et l extension utilisée. Anydll.txt MS-DOS executable (EXE), OS/2 or MS Windows (Ext: txt) Image: morgue/floppy Inode: 5 Anyexe.txt MS-DOS executable (EXE), OS/2 or MS Windows (Ext: txt) Image: morgue/floppy Inode: 6 Perl.pl ASCII text, with CRLF line terminators (Ext: pl) Image: morgue/floppy Inode: 11 Extraction des informations avec utilisation de la librairie d empreintes du NIST: La toute première opération à effectuer consiste à créer un index de la base d empreintes du NIST afin d accélérer la recherche, la base originale étant fournie sous la forme d un fichier texte à plat! On notera que l ensemble base d empreintes et fichier d index occupe un espace disque de plus de 2Go, l opération d indexation nécessitant de disposer d environ 1Go d espace libre supplémentaire. # hfind i nsrl-md5 NSRLFile.txt Extracting Data from Database (NSRLFile.txt) Valid Database Entries: Invalid Database Entries (headers or errors): 0 Index File Entries (optimized): Sorting Index (NSRLFile.txt-md5.idx) L analyse pourra ensuite être initialisée à l aide de l option -n. # sorter f fat -d.data n NSRLFile.txt morgue/floppy Analyzing morgue/floppy Loading Allocated File Listing Processing 13 Allocated Files and Directories 100% Traitement des fichiers logiques : 13 fichiers / répertoires présents Veille Technologique Sécurité N 59 Page 8/63

9 Loading Unallocated File Listing Processing 4 Unallocated meta-data structures 100% All files have been saved to: morgue/data Traitement des structures physiques 4 entrées non allouées Le fichier sorter.sum contient désormais non seulement une synthèse de la classification similaire à la précédente mais aussi deux rubriques supplémentaires indiquant les résultats de la comparaison des empreintes MD5 calculées sur les fichiers étudiés avec les empreintes enregistrées dans la base du NIST. Images Localisation de l image étudiée - morgue/floppy Files (17) - Allocated (13) - Unallocated (4) Files Skipped (3) - Non-Files (3) - 'ignore' category (0) Hash Databases - Hash Database Exclusions (9) Extensions - Extension Mismatches (3) - Hash Database Exclusions with Extension Mismatch (2) Categories (5) - archive (0) - audio (0) - compress (0) - crypto (0) - data (1) - disk (0) - documents (0) - exec (0) - images (0) - system (0) - text (4) - unknown (0) - video (0) Fichiers: 17 objets découverts 13 fichiers 4 structures Structures: 3 structures connues Empreintes: 9 fichiers sont connus dans la base Nommage : 3 extensions erronées dont 2 portent sur les fichiers connus Classification: 5 fichiers répartis sur 4 catégories Neuf fichiers ont ainsi été identifiés comme connus et peuvent en conséquence être exclus de la liste des fichiers devant faire l objet d une investigation plus poussée. Le lecteur imaginera sans difficulté le gain de temps que cela peut représenter lors d une investigation portant sur un système de production contenant au bas mot quelques dizaines de milliers de fichiers. Les résultats détaillés présents dans les fichiers portant le nom de la catégorie associée précisent désormais la somme cryptographique MD5 calculée sur chaque élément ainsi que la mention NSRL Database lorsque cette somme est présente dans la base d empreintes. Dans ce dernier cas, les fichiers correspondants sont répertoriés dans la catégorie exclude. - Catégorie exclude anayexe.exe Image:../../morgue/floppy Inode: 3 MS-DOS executable (EXE), OS/2 or MS Windows MD5: 3a54314ad ee403ca6e453f NSRL Database anydll.dll Image:../../morgue/floppy Inode: 4 MS-DOS executable (EXE), OS/2 or MS Windows MD5: 18d7d95cb80f95de2d500f035af784c0 NSRL Database anydll.txt Image:../../morgue/floppy Inode: 5 MS-DOS executable (EXE), OS/2 or MS Windows MD5: 18d7d95cb80f95de2d500f035af784c0 NSRL Database anyexe.txt Image:../../morgue/floppy Inode: 6 MS-DOS executable (EXE), OS/2 or MS Windows MD5: 3a54314ad ee403ca6e453f NSRL Database debug.exe Image:../../morgue/floppy Inode: 7 MS-DOS executable (EXE) MD5: c17afa0aad78c621f818dd c48 NSRL Database ils.dll Image:../../morgue/floppy Inode: 9 MS-DOS executable (EXE), OS/2 or MS Windows MD5: 18d7d95cb80f95de2d500f035af784c0 NSRL Database Veille Technologique Sécurité N 59 Page 9/63

10 MSCAL.OCX Image:../../morgue/floppy Inode: 10 MS Windows PE 32-bit Intel GUI DLL MD5: 132e7ce8326d6005d87e20fa8c4bc872 NSRL Database regedit.exe Image:../../morgue/floppy Inode: 12 MS-DOS executable (EXE), OS/2 or MS Windows MD5: 3a54314ad ee403ca6e453f NSRL Database River Sumida.bmp Image:../../morgue/floppy Inode: 15 PC bitmap data, Windows 3.x format, 160 x 160 x 8 MD5: 5b4ac407e566076bb726ba91e067d313 NSRL Database L identification précise des fichiers référencés dans la base mais que nous avons renommés nécessitera de faire appel à l utilitaire hfind en passant la somme cryptographique mentionnée ou le nom d un fichier contenant toutes les sommes à identifier en paramètre. # hfind NSRLFile.txt 3a54314ad ee403ca6e453f 3a54314ad ee403ca6e453f REGEDIT.EXE # hfind NSRLFile.txt 18d7d95cb80f95de2d500f035af784c0 18d7d95cb80f95de2d500f035af784c0 ils.dll Conclusion La table ci-dessous propose un récapitulatif des spécificités de chacune des approches étudiées. Utilitaire IT ID IE IN file X sorter X X X sorter + base NSRL X X X X IN : Identification nom original IT : Identification type de fichier ID : Traitement des fichiers effacés IE : Identification des modifications d extension Le couplage de l utilitaire sorter avec la base du NIST permet de disposer d un instrument d analyse remarquablement performant et permettant de trier rapidement «le grain de l ivraie», les fichiers connus des fichiers devant faire l objet d un examen complémentaire. Autopsy : Exemple d utilisation Comme nous l avons précédemment mentionné, la grande nouveauté de la version 1.61 réside dans la nouvelle ergonomie de l interface. Le processus conduisant à la création d une nouvelle campagne nécessite cependant d avoir une bonne compréhension de l organisation retenue et de sa transcription sur le système physique. Initialisation du serveur Le serveur HTTP est initialisé sur le système hébergeant les outils en indiquant le numéro du port TCP sur lequel le serveur sera actif ainsi que l adresse IP du poste autorisé à utiliser cette instance du serveur. # autopsy A.B.C =========================================================================== Autopsy Forensic Browser ver 1.71 =========================================================================== Evidence Locker: /home/test/morgue/ Start Time: Tue Jun 10 15:27: Paste this as your browser URL on 10.A.B.C: Keep this process running and use <ctrl-c> to exit Ouverture d une campagne d analyse La page d accueil de l interface est accédée par le biais de l URL spécialement construite lors de l initialisation du serveur. L investigateur pourra alors soit travailler sur un cas existant soit créer un nouveau cas par le biais de l interface graphique. Il indiquera le nom du répertoire associé à ce nouveau cas ainsi qu une liste des investigateurs travaillant sur celui-ci. Veille Technologique Sécurité N 59 Page 10/63

11 On notera que cette liste ne sert qu à documenter le contexte et (hélas) en aucun cas à implémenter un quelconque contrôle d accès. L investigateur renseignera ensuite les éléments permettant d identifier le ou les systèmes hébergeant le ou les fichiers image objets de l analyse. Il peut ici s agir de systèmes dédiés assurant l archivage sécurisé de ces images et la distribution de celle-ci par le biais d un protocole de partage réseau sécurisé, tel que le protocole NFS dans sa dernière version. On peut aussi plus simplement utiliser le poste de travail sur lequel un disque amovible contenant l image aura été connecté. Si nécessaire, la configuration sera finalisée en sélectionnant l image requises sur l un des serveurs déclarés et en copiant (ou en déplaçant) celle-ci sur le serveur de travail. Il pourra alors travailler après s être simplement identifié en sélectionnant son nom dans la liste des investigateurs associés à ce cas. Cette approche est résumée ci-dessous: Organisation logique Représentation physique CAS X morgue/x Contexte /case.aut /case.log Auditeurs /investigators.txt Système A /A /host.aut /images /logs /output /mnt /reports Activation des fonctions Au nombre de six, les fonctions d analyse sont toutes accessibles d un simple click de souris sur le bandeau toujours présenté en haut d écran. Les fonctionnalités offertes par les deux nouveaux utilitaires sorter et hfind sont accessibles respectivement via l onglet FileType du menu en mode analyse et par un bouton initulé HashDatabase présent sur la page d ouverture de la session d analyse. L emploi de fenêtres cadres ( frames ) dans la présentation facilite notablement l utilisation de l interface, la navigation ayant été grandement améliorée par l utilisation intensive de liens. Les difficultés d exploitation rencontrées avec la version antérieure ont presque toutes disparu. La conclusion de cette rapide étude des nouveaux paquetages TASK et AutoPsy est sans appel : l exploitant comme l investigateur professionnel trouveront ici l un des meilleurs environnements d analyse disponible sur le marché, et qui plus est, accessible sous licence GPL. # Complément d'information ftp://ftp.nist.gov/pub/itl/div897/nsrl/ver_2_0/ - Autopsy V The Sleuth Kit V Librairie d empreintes du NIST Veille Technologique Sécurité N 59 Page 11/63

12 ANTI-VIRUS MICROSOFT VIRUS INFORMATION ALLIANCE # Description Mi-Mai, la société Microsoft annonçait s être alliée avec les éditeurs de solutions anti-virales Trend Micro et Network Associates. Dénommée VIA ou Virus Information Alliance, cette alliance vise à faciliter l échange d informations entre les équipes d analyse et, en conséquence, à accélérer le processus de validation et d information des utilisateurs, cette tâche étant assurée depuis maintenant 2 ans par la Microsoft PSS Security Team. On rappellera à ce propos que les alertes ainsi diffusées ne concernent que les produits et applications d origine Microsoft. La page intitulée Virus Protection Strategies accessible sur le portail TechNet regroupe toutes les informations utiles organisées en 6 rubriques. La rubrique Latest Incidents Reports permet notamment d obtenir une liste mise à jour des alertes émises par l équipe PSS, et ce sur une période remontant jusqu en novembre 2001, soit à ce jour, 21 alertes. En accord avec les clauses de l alliance VIA, les deux dernières alertes ( W32/Bugbear.B@mm en date du 5 Juin 2003 et W32/Palyh@mm en date du 19 Mai 2003) référencent désormais explicitement les pages d informations gérées par Trend Micro et Network Associates: For additional details on this worm from antivirus software vendors participating in the Microsoft Virus Information Alliance (VIA) please visit the following links: Les règles décrivant le format d une alerte émise par l équipe PSS et le principe d établissement du niveau de criticité de celle-ci sont présentées dans le document Security Alert Severity Matrix dont nous recommandons la lecture. Dans le prolongement de cette stratégie liée au plus vaste programme Trustworthy Computing, Microsoft a annoncé le 10 juin dernier avoir conclu un accord définitif avec la société Roumaine GeCAD Software pour l acquisition de la technologie antivirale intégrée au produit RAV. Cependant, et à ce jour, aucune information n est disponible quant à la date de disponibilité sur le marché d un éventuel produit anti-virus issu de cette technologie. Cette décision semble autant être liée à l acquisition d une expertise en matière de lutte anti-virale comme l annonce Microsoft dans son communiqué de presse qu à l absolue nécessité de disposer rapidement d une solution techniquement viable à la problématique posée par les fonctionnalités de chiffrement désormais intégrées au système de fichiers. Soit, en termes simples, comment maintenir le niveau de sécurité des données personnelles tout en assurant le contrôle de l innocuité de celles-ci, et ce, à partir d une interface programmatique documentée et nécessairement accessible à terme à l ensemble des éditeurs # Complément d'information Alertes VIA - Définitions - Présentation de VIA - Annonce Création VIA - Annonce Accord GeCAD LES TECHNOLOGIES SECURISATION WEB OASIS WAS ET AVDL # Description Veille Technologique Sécurité N 59 Page 12/63

13 L objectif du consortium OASIS (Organization for the Advancement of Structured Information Standards ) fondé en 1993 est d accompagner activement le développement des spécifications et de promouvoir l émergence de standards ouverts dans le domaine du commerce électronique et des services WEB. A ce titre, OASIS a annoncé la création de deux comités techniques chargés d engager une réflexion de fond sur deux thèmes intéressant au plus haut point la sécurité des systèmes d information: Comité Technique Application Vulnerability Description Langage ou ADVL Formé en avril dernier, ce comité est chargé d établir une méthode normalisée d échange d informations concernant les vulnérabilités de sécurité applicables aux services et applications WEB. L objectif annoncé est de faciliter la tâche de l exploitant en lui fournissant des produits dont le maintien en condition sécuritaire sera facilité par l utilisation d un support d échange et de description unifié. Les membres fondateurs de ce comité, qui s est réuni pour la première fois le 15 mai, appartiennent majoritairement à des sociétés très actives dans le domaine de l audit de sécurité: Booz Allen Hamilton, NetContinuum, Reed Elsevier, Sanctum, SPI Dynamics,.. Comité Technique Web Application Security ou WAS Ce comité constitué en mai dernier a en charge la spécification d un modèle applicable à la classification et à la description des vulnérabilités WEB. Le schéma de description XML qui en découlera devra pouvoir être directement utilisé par les outils d audit et de protection. Les résultats des travaux de ce comité viennent s inscrire dans la logique initiée avec la création du comité ADVL. Les quatre sociétés membres fondateurs de ce comité interviennent toutes dans le domaine de l édition d outils d audit ou de la fourniture des services associés: NetContinuum, Qualys, Sanctum, SPI Dynamics. Les travaux de ces deux comités peuvent sembler restrictifs en terme de cibles les vulnérabilité restreintes à l environnement WEB et les applications associées quand, par ailleurs, diverses actions ont été engagées de longue date pour définir un modèle de représentation unifié: modèle d identification CVE développé par le MITRE, travaux des comités IDWG et INCH de l IETF portant sur la représentation et l échange d informations concernant un incident, La différence majeure réside cependant dans les objectifs initiaux des comités techniques OASIS pour la plupart dictés par un intérêt purement commercial contrairement aux comités des organismes de normalisation théoriquement structurés autour d objectifs techniques définis à plus long terme. Les travaux des premiers pourraient ainsi aboutir plus rapidement à la définition d un standard de fait, non optimal certes mais ayant le mérite d être appliqué. # Complément d'information EVALUATION ICSA LABS 33 NOUVEAUX PRODUITS EVALUES # Description Fin Avril, ICSALabs a annoncé avoir mené à bien la certification de 33 produits de sécurité sur le premier trimestre de l année. Cette branche de la société TruSecure s est notamment spécialisée dans l évaluation des produits de sécurité et la délivrance d un label garantissant la conformité de ceux-ci vis à vis d un ensemble de critères techniques non normalisés mais représentatifs des exigences minimales attendues d un tel produit. Résultant d une initiative purement privée - et donc assujettie aux contraintes économiques et commerciales, cette approche a le mérite d offrir un premier niveau de validation certainement plus adapté aux besoins du marché que ne l est la démarche longue et coûteuse mais pourtant indispensable - retenue dans le cadre des Critères Communs. A ce jour, les produits peuvent faire l objet d une évaluation dans les catégories non exclusives suivantes: - Antivirus: Catégorie elle-même sub-divisée en 8 sous-catégories fonctionnelles Antivirus scanner détection ( 17 éditeurs représentés) Anti-Virus Scanner Cleaning ( 7 éditeurs représentés) Products for Internet Gateway ( 9 éditeurs représentés) Products for Microsoft Exchange Server ( 7 éditeurs représentés) Product for Lotus Notes Certification ( 6 éditeurs représentés) Product for Security Service Providers ( 1 éditeur représenté) Product for Internet Service Providers ( 1 éditeur représenté) On-Line Anti-Virus Scanners ( 1 éditeur représenté) - Pare-feux: Catégorie contenant deux listes correspondant à deux versions successives de critères. Critères V3.0a ( 27 produits certifiés) Critères V4.0 ( 12 produits certifiés) - IDS: Catégorie contenant deux listes correspondant à deux contextes d utilisation: Critères NIDS ( 2 produits certifiés) Critères T1 ( 2 produits certifiés) - IPSec: Catégorie contenant deux listes correspondant à deux niveaux d exigence: Niveau 1.0B ( 23 produits certifiés) Veille Technologique Sécurité N 59 Page 13/63

14 Niveau 1.1 ( 5 produits certifiés) - Cryptographie: Catégorie contenant 30 produits certifiés - Contenu: Catégorie ne contenant qu un seul produit certifié - Pare-feux personnels : Un seul produit est actuellement certifié dans cette catégorie - PKI: Aucun produit n a été certifié dans cette catégorie Nous proposons, ci-dessous, le tableau de synthèse que nous avons établi et qui regroupe les données les plus intéressantes concernant les produits certifiés ICSA dans les catégories Cryptographie (colonne CR ), Détection d intrusion (colonne IDS ), IPSec et Pare-Feux. Les produits ayant été certifiés durant le premier trimestre 2003 sont annotés dans la colonne Q1. Origine Produit Plate-forme CR IDS PareFeu IPSec Q1 3COM 3Com Firewall Family X 3.0a Avaya VSU 100 VPNos X X 1.0B Avaya VPN Gateways X 3.0a Borderware BorderWare Firewall Server X 3.0a CAI etrust Firewall for Windows 2000 X 3.0a CheckPoint VPN-1/FireWall-1 NG FP2 Linux X X 4.0 X 1.0B Windows NT X X 1.0B Solaris 8 X X 1.0B Cisco Systems Routeur 3620 X PIX 501,506E, 515E, 525, 535 PIX OS 6.3(1) X X 1.0B Routeur 806 IOS V 12.2(11)T1 X X 1.0B X Routeur 1700, 2600, 3600, 3700, 7200 IOS V 12.2(11)T X X 1.0B X Cisco PIX Firewall Family X 4.0 NID 4235 Appliance X NIDS CoSine IPSX Product Family X 3.0a CyberGuard CyberGuard Premium Firewall Appliance X 4.0 Efficient Net. Efficient Router Family X 3.0a esoft Instagate EX Firewall Policy Manager X 3.0a Fortinet Inc. FortiGate-300 Antivirus Firewall FortiOS X X 1.0B FortiGate SCPG Family X 4.0 X Global Tech. GTA Firewall Family X 4.0 IBM AIX 5L ver RS/6000 AIX 5L ver X X 1.1 Infosec Tech. Secoshield v3.2 Windows 2000 pro. X T1 Intel Intel (R) VPN Gateway VPN-OS X X 1.0B Intoto, Inc. IGateway VxWorks v5.4 X X 4.0 X 1.1 Jungo Ltd. OpenRG X 4.0 LinkSys Etherfast Cable/DSL VPN Router BEFVP41 Proprietary X X 1.0B Linux Sec. BiMON Firewall X 3.0a Lucent Access Point Ipsec 300, 600 Proprietary X X 3.0a X 1.0B X Lucent VPN Firewall 20, 80, 201, 300, 1000 Proprietary X X 3.0a X 1.0B SpringTide Ipsec 5000, 7000 X X MacAfee SuperScout Web Filter Microsoft Internet Security & Acceleration Server 2000 X 3.0a NAI SuperScout Web Filter NETASQ NETASQ F100-3 X 3.0a Netgear Cable\DSL Prosafe Firewall FR114P X 4.0 NetScreen NetScreen IPsec NS-204, NS-500 ScreenOS X X 4.0 X 1.1 NetWolves WolfPac Firewall X 3.0a Nokia Nokia IP530, IP740 IPSO 3.5 FCS8 X X X 1.0B X Nokia IP Series Routers X 3.0a Nortel Network Contivity VPN Switch X Contivity 600,1010,1050,1100,1700,2700,4600 Proprietary X X 1.1 X Shasta 5000 Broadband Service Node (BSN) X 3.0a Alteon Switched Firewall 5610 X 4.0 Novell BorderManager X 4.0 Permeo Application Security Platform X RIAS Corp. GreatSpeed GS-1540G X 4.0 SECUi.COM secuiwall X 3.0a SecureComputing Sidewinder G2 Firewall SecureOS X X X 1.1 ServGate ServGate Security Gateways X 3.0a SonicWALL SonicWall Pro 200 Proprietary X X X 1.0B Sourcefire Network Sensor 2000 Appliance X NIDS Snort RedHat 7.3 X T1 StoneSoft StoneGate X 3.0a Symantec Symantec Enterprise VPN (SEVPN) W2K SP2 X X 1.0B VR 1100,1200,1310 / SGS 5110,5200,5310. SEVPN V7.0 X X 1.0B X Symantec Enterprise Firewall NT X 3.0a Solaris X 3.0a WatchGuard Firebox II LiveSecurity X 3.0a Firebox III 700, 1000, 2500, 4500 Proprietary X X 1.0B X Firebox V 10, 60, 80, 100 Proprietary X X 1.0B WatchGuard SOHO X 3.0a ZyXel ZyWALL 1, 10, 50, 100 ZyNOS V3.51 X X X 1.0B Le lecteur souhaitant obtenir plus d informations pourra se reporter aux listes proposées sur le site de laboratoire de Veille Technologique Sécurité N 59 Page 14/63

15 l ICSA et aux fiches d évaluation renseignées pour chacun des produits. Chaque fiche, d une dizaine de pages au format PDF, détaille les conditions de test plates-formes matérielles et logicielles, documentation fournie, configuration d installation, - et les résultats de chacun des essais effectués conformément à la méthodologie développée pour la catégorie pour laquelle est demandée la certification. # Complément d'information Pare-feux / Critères V Pare-feux / Critères V IPSec / Critères V IPSec / Critères V1.0B DETECTION D INTRUSION IDS: FIABILITE ET RETOUR SUR INVESTISSEMENT # Description Un très intéressant article intitulé False Positives: A User's Guide to Making Sense of IDS Alarms vient d être mis à disposition par ICSALabs, le laboratoire d étude de la société TrueSecure. Rédigé par Marcus Ranum l un des grands spécialistes de la technologie des systèmes de détection d intrusion et fondateur de la société NFR cet article, basé sur l expérience de l auteur, nous propose une excellente synthèse du problème de la viabilité des alarmes trop souvent rencontré lors de l exploitation d un système de détection d intrusion ou IDS. Qui ne s est en effet trouvé à jour confronté soit à une avalanche d alarmes non significatives peu de temps après la mise en service d une sonde d intrusion soit, et le résultat final reste le même, à la non détection d évènements de sécurité pourtant critiques et par ailleurs identifiés Les systèmes de détection sont, et resteront, des dispositifs requérrant une adaptation quasi-permanente à l environnement d exploitation de par, non seulement la diversité des procédés de détection employés, mais aussi du contexte de fonctionnement: extraction - dans un flux de données ininterrompu - d évènements pertinents dont la définition même peut dans certains cas ne pas être connue Contrairement au domaine de la protection anti-virale où l on pourra toujours envisager de modéliser le comportement d un code malicieux et confirmer l innocuité, ou la dangerosité, de celui-ci par simulation, le domaine de la détection d intrusion restera probablement longtemps celui de l approche empirique et des réglages qui en découlent. Marcus Ranum se propose ainsi de nous aider dans cette démarche d optimisation et de réglages en nous fournissant en moins de 12 pages quelques-unes des clefs permettant d agir au mieux sur la multitude de paramètres accessibles dans l optique de réduire le bruit de fond et les fausses alarmes. Sont ainsi esquissés les thèmes de: - la localisation de la sonde et l influence sur le bruit de fond, - la détermination des objectifs du système et la granularité de l analyse - la gestion des signatures et son influence sur les fausses alarmes Nous avons particulièrement apprécié les définitions terminologiques proposées en introduction dont nous considérons qu il est indispensable d en avoir connaissance pour appréhender le domaine de la détection d intrusion avec toute la rigueur requise. Sont ainsi définis les 14 termes suivants dont nous proposons une traduction ainsi qu une définition éventuellement complétée de notre propre analyse. Alert/Alarm Trad.: Alerte/Alarme Un événement significatif d une attaque sur un système. Dans logique retenue par Marcus Ranum, les termes Alerte ou Alarme sont associés à une attaque réussie. False Positive Trad.: Faux accepté Une alarme émise à tort par un système de détection d intrusion. Ce peut être le fait d un problème de configuration n ayant pas pris en compte un phénomène normal dans le contexte mais aussi celui d un mécanisme d analyse inadapté au problème qui lui est soumis dont notamment l absence d une mémoire contextuelle. False Negative Trad.: Vrai rejeté L absence d alarme en présence d évènements significatifs d une attaque pourtant réussie. Les causes de ce type d erreurs sont généralement similaires aux précédentes en notant cette fois ci l utilisation possible d un filtrage trop poussé conduisant à éliminer certains évènements pourtant significatifs. Noise Trad.: Fausse alarme Une alarme valide sur le plan logique mais non applicable dans le contexte du système supervisé. L exemple proposé est celui de la détection d un débordement de buffer applicable à un système Windows mais dirigé sur un système Solaris. Il ne s agit pas d une erreur d analyse mais simplement d une conclusion erronée. On notera que, contrairement à la traduction proposée, le terme original ( noise ou bruit ) peut porter à confusion s il n est pas explicitement accompagné du terme alarme! False attack stimulus Trad.: Evénement générateur non significatif Veille Technologique Sécurité N 59 Page 15/63

16 Un événement non significatif pris en compte par le système de détection d intrusion et conduisant à la production d une alarme de type faux accepté. Cette définition sera principalement employée pour classer les jeux d essai permettant de tester ou de valider un IDS. True attack stimulus Trad.: Evénement significatif non générateur Un événement significatif non pris en compte par le système de détection d intrusion et conduisant à la nonproduction d une alarme. Cette définition sera généralement employée dans des conditions similaires à la précédente. Site Policy Awareness Trad.: Adaptation à la politique de sécurité Un système de détection d intrusion dont la criticité des alarmes pourra être adaptée à la politique de sécurité du site ou à la connaissance qu a l exploitant de celui-ci. Confidence value Trad.: Niveau de fiabilité Une valeur numérique, généralement exprimée sous la forme d un pourcentage, qui est associée à chaque alarme afin de préciser le niveau de fiabilité pouvant lui être accordé. Cette valeur est généralement définie par l auteur de la signature ou de la règle de production mais peut généralement être adaptée au cas par cas. Alarm filtering Trad.: Filtrage des alarmes Une fonctionnalité permettant à l exploitant de filtrer certaines alarmes généralement pour éliminer les fausses alarmes et adapter le système aux conditions spécifiques d exploitation. Alarm rewriting Trad.: Réécriture des alarmes Une fonctionnalité permettant de modifier les règles de production des alarmes afin d adapter celles-ci aux conditions spécifiques d exploitation. Alarm normalization Trad.: Unification du format Une fonctionnalité permettant d unifier le format des alarmes en provenance des différentes sondes afin de pouvoir assurer le traitement de celles-ci : corrélation, regroupement et agrégation. Alarm clustering Trad.: Regroupement d alarmes Un traitement permettant de regrouper et de présenter différentes alarmes en une unique alarme de niveau supérieur. Les alarmes génératrices ne sont pas détruites. Alarm compaction Trad.: Agrégation d alarmes Un traitement permettant de regrouper et de présenter des alarmes similaires nombres d occurrence, seuils, - en une unique alarme récapitulative de la situation. Alarm correlation Trad.: Corrélation d alarmes Un traitement permettant d analyser les événements ou alarmes en provenance de multiples sondes dans l optique de rechercher les faits générateurs communs. La lecture de cet exposé clair et synthétique (dont la table des matières est rappelée ci-dessous) est fortement recommandée à quiconque souhaite disposer d un point de vue fiable et libéré de tout parti pris commercial. Executive Summary Definitions False Positives vs. Noise Location. Location. Location Processing in the Console and Back-End Systems Measuring IDS Effectiveness Summary On retiendra la proposition de l auteur d inclure dans les jeux de test des systèmes de détection d intrusion des événements générateurs et non-générateurs destinés à mesurer le taux de faux acceptés et de vrais rejetés. Cette proposition va dans le sens de la définition d une méthodologie de test rigoureuse et représentative de la réelle efficacité d un système dans un contexte parfaitement défini. Il sera enfin possible de comparer les systèmes de détection d intrusion entre eux sans avoir à recourir à des données fallacieuses (et purement commerciales) telles que le nombre de signatures livrées avec le produit, ou un taux de détection exprimé dans l absolu. GARTNER GROUP L ECHEC DES IDS SUR LE MARCHE # Description Le 11 juin dernier, la diffusion d un communiqué de presse par le Gartner Group a suscité une très vive réaction chez les éditeurs mais aussi les utilisateurs des technologies de détection d intrusion. A l origine de celle-ci, une déclaration quelque peu provocatrice, tant sur le plan du titre que du contenu : Gartner Information Security Hype Cycle Declares Intrusion Detection Systems a Market Failure Money Slated for Intrusion Detection Should Be Invested in Firewalls Beaucoup d intervenants y ont vu un désaveu complet de la technologie là où en réalité l auteur expose des conclusions qui nous semblent d autant plus réalistes qu elles résultent d une analyse purement analytique de la situation: les coûts générés par l exploitation de ces systèmes apparaissent être rédhibitoires vis à vis de l efficacité constatée. Personnellement, nous ne pouvons être en accord avec l avis du Gartner Group lorsqu il préconise aux entreprises de mieux employer leurs budgets en déplaçant les budgets jusqu alors consacrés à cette technologie vers celles des parefeu traitant à la fois les niveaux réseaux et applicatifs: Veille Technologique Sécurité N 59 Page 16/63

17 Gartner recommends that enterprises redirect the money they would have spent on IDS toward defense applications such as those offered by thought-leading firewall vendors that offer both network-level and application-level firewall capabilities in an integrated product. S il est exact que les systèmes de détection d intrusion restent fragilisés par les limitations inhérentes à la définition même des fonctions qui leurs sont dévolues ne pourrait-on appliquer ici le théorème d incomplétude de Gödel 1 leurs fonctions reste fondamentales sous condition de leur réserver un rôle parfaitement identifié et de positionner ceux-ci aux bons endroits. A la remarque du Gartner Group qu aucun système de détection d intrusion bien conçu ne peut prétendre pouvoir superviser le trafic d un lien au delà de 600Mb/s («An inability to monitor traffic at transmission rates greater than 600 megabits per second»), l architecte répondra qu il est possible de diviser le travail en répartissant les sondes à des emplacements stratégiques du réseau sous condition toutefois que celui-ci ait été conçu en respectant certaines règles fondamentales de la sécurité. A la conclusion que les pare-feu sont de plus en plus performants en matière de protection contre les attaques réseaux ("Firewalls are the most-effective defense against cyberintruders on the network, and they are becoming increasingly better at blocking network-based attacks") et que les éditeurs devront positionner leurs produits sur le double terrain de la protection réseau et applicative («To be considered as a challenger, visionary or leader, a vendor must have both network-level and application-level firewall capabilities in an integrated product. Vendors that have only one or the other will be niche players»), on objectera que cette position ne tient aucunement compte du facteur erreur humaine, et qu un mécanisme de détection en-ligne sera toujours indispensable pour mettre en évidence le trou d épingle par lequel se sera glissé l attaquant. Le lecteur se forgera sa propre opinion en se reportant aux différents articles publiés et à venir # Complément d'information Rapport d analyse - Site NFR - Page personnelle de Marcus Ranum - Annonce du Gartner Group - La réaction de l auteur de SNORT 1 Le théorème d'incomplétude énonce que la plupart des théories formelles, si elles sont consistantes, sont incomplètes, c'est à dire qu'il existe des résultats effectivement vrais qui ne peuvent pas être prouvés dans cette théorie. Appliqué librement à notre propos, il apparaît difficile d exprimer donc in fine de valider les états anormaux d un système à partir d un composant ayant la même constitution que le système cible. Veille Technologique Sécurité N 59 Page 17/63

18 INFORMATIONS ET LEGISLATION LES INFORMATIONS STATISTIQUES CSI/FBI - COMPUTER CRIME AND SECURITY SURVEY 2003 # Description Le CSI (Computer Security Institute) et le FBI (Federal Bureau of Investigation) nous proposent le résultat de la 8 Ième enquête annuelle intitulée Computer Crime and Security Survey portant sur la fraude et les atteintes à la sécurité. Menée auprès de 530 personnes (503 en 2002) en charge de la sécurité dans diverses institutions et sociétés américaines, et basée sur un questionnaire n ayant que peu évolué, cette enquête reste la référence pour qui souhaite disposer de chiffres fiables et d un historique fiable permettant d établir une analyse de tendance réaliste. Disponible au format PDF, la synthèse de 21 pages nous présente non seulement un récapitulatif circonstancié des faits marquants et des tendances mais aussi, pour chacune des questions, les résultats obtenus depuis la toute première enquête (1996) sous la forme de graphiques lisibles et directement exploitables. Les personnes sondées avaient ainsi à répondre à 14 questions portant principalement sur les caractéristiques des attaques que leur société pouvait avoir subie: 1. Les technologies de sécurité utilisées, 2. L utilisation non autorisée de systèmes sur les 12 derniers mois, 3. Le nombre d incidents constatés, 4. Le point d origine des attaques, 5. La source probable des attaques, 6. La perte financière estimée, 7. La typologie des attaques ou utilisations abusives, 8. Le nombre d accès WEB non autorisés sur les 12 derniers mois, 9. Le nombre d incidents constatés sur les serveurs WEB, 10. L origine de ces attaques portant sur les serveurs WEB, 11. La typologie de ces attaques, 12. La possibilité d utiliser d anciens pirates comme consultants, 13. Les actions ayant été engagées à la suite de la découverte d une attaque, 14. Les conditions conduisant à ne pas informer un service officiel en cas d attaque. Nous ne reproduirons pas ici les quelques 18 tableaux et graphiques attachés à chaque question et permettant de comparer, pour chaque question, les résultats depuis 1999 que le lecteur pourra consulter à loisir. Cependant la conclusion présentée en page 2 mérite d être reproduite in extenso car lourde de conséquences :, the 2003 findings once again show that there is no shortage of attacks, but suggest this year that the severity and cost of these attacks has trended downward for the first time since 1999., the most important conclusion one must draw from the survey remains that the risk of cyber attacks continues to be high. Even organizations that have deployed a wide range of security technologies can fall victim to significant losses. Furthermore, the percentage of these incidents that are reported to law enforcement agencies remains low. So attackers may reasonably infer that the odds against their being caught and prosecuted remain strongly in their favor. On notera que la première partie de cette conclusion réduction de la gravité et de l impact financier des attaques est en phase avec l analyse menée par la société Symantec dans son Symantec Internet Security Threat Report portant sur le dernier semestre de Rappelons à ce sujet que les sources utilisées diffèrent pourtant: utilisateur final pour l enquête du CSI, éléments statistiques directement collectés sur plus de 400 sondes de détection d intrusion dans le cas de l enquête Symantec (ou RipTech de son appellation précédente). L argument du faible taux de notification des incidents auprès des autorités compétentes pour justifier d un avantage en faveur de l attaquant, s il est intéressant, nous semble peu crédible et en aucun cas étayé par les résultats de l analyse. Ceux-ci mériteraient d être comparés aux enquêtes menées en Europe, et plus particulièrement, à l enquête intitulée Etude et Statistiques sur la sinistralité informatique en France conduite par le Clusif. Les résultats de cette dernière, dévoilés le mois dernier à l occasion de la conférence Infosec 2003, ne peuvent hélas être corrélés avec l enquête du CSI sauf peut-être sur le plan des dispositifs de sécurité utilisés. Hasardons nous pourtant à une comparaison très certainement hérétique au sens statistique mais probablement Veille Technologique Sécurité N 59 Page 18/63

19 représentative de la situation en France. Sur les 11 catégories utilisées par CSI et les 6 catégories retenues par le Clusif, quatre catégories sont suffisamment proches pour autoriser une comparaison directe comme le montre la table suivante : Intitulé CSI CLUSIF Intitulé 13 Chiffrement de données Firewalls Pare-feux Intrusion detection Surveillance du réseau contre les intrusions Reusable Password Mots de passe Anti-Virus software Logiciels anti-virus Digital IDs Moyens d authentification renforcés Biometrics 11 PCMCIA 40 Encrypted Login 58 Physical security 91 Encrypted files 69 Access Control 92 Les valeurs sont exprimées en pourcentage de réponses sur une grille à réponses multiples Les résultats sont éloquents: si l utilisation de dispositifs anti-virus semble être désormais systématique, il n en va pas de même avec les équipements plus sophistiqués et pourtant indispensables. # Complément d'information - Enquête CSI Enquête CSI 2002 (Rapport N 45 Avril 2002) - Enquête RipTech 2002 Q3/Q4 - Enquête Clusif 2002 SYMANTEC - RAPPORT RIPTECH # Description Rachetée en Juillet dernier par Symantec, la société RipTech publiait chaque semestre un rapport ayant pour objet l analyse de l évolution des menaces sur l Internet (Rapports N 44 Mars 2002 et N 45 - Juillet 2002). Ce principe a été maintenu par la société Symantec qui a donc publié en mars dernier, sous l intitulé Symantec Security Threat Report : Attack Trends for Q3 and Q4 2002, son troisième rapport concernant les deux derniers trimestres de l année 2002, soient 48 pages de graphiques, courbes, tableaux et commentaires détaillés. Rappelons que ces analyses sont effectuées à partir de données représentatives de l état de l Internet au quotidien car acquises dans les journaux générés par les équipements de sécurité installés sur un très grand nombre de sites (plus de 400 si l on se réfère aux chiffres annoncés). Les évènements ainsi collectés viennent enrichir une base de données dont Symantec annonce et cela probablement vrai de par la position occupée par Symantec sur le marché des ASP qu elle constitue la plus grande base d information sécuritaire au monde. Pour mémoire, cette base contient non seulement les données associées au positionnement historique de la société (les virus et les codes malicieux) mais plus largement toutes les données relatives à une quelconque vulnérabilité de sécurité et ceci notamment grâce à l acquisition de SecurityFocus et de RipTech. A ce propos, Symantec annonce dans la conclusion de ce 3 ième volet avoir documenté quelques 50 nouvelles vulnérabilités par semaine durant l année 2002 soit une augmentation de 80% en référence à l année Bien que cette évolution du périmètre et de la nature des sources puisse rendre plus difficile la comparaison sur les trimestres écoulés, la rigueur avec laquelle cette analyse a été menée offre un excellent gage de fiabilité. Nous devons avouer être toujours étonné du sérieux et de la qualité du travail, la méthodologie et les règles de production étant présentées en détail dans l annexe A. Le lecteur désireux d avoir un point de vue synthétique mais plus complet des résultats pourra se reporter à la présentation proposée en page 4 du rapport. En ce qui concerne l année écoulée, ces résultats sont organisés autour de trois catégories représentatives. Sans reprendre l intégralité des résultats, nous présentons ci-dessous les faits majeurs en respectant la classification originale: Les tendances en terme de cyber-attaques En ne tenant pas compte de l activité des vers et autres menaces de ce type, le taux d attaques réseaux sur les 6 derniers mois de 2002 a diminué de 6% en comparaison de l activité enregistrée durant les 6 premiers mois, L augmentation du nombre d incidents sévères sur les 6 derniers mois est en légère diminution vis à vis des 6 derniers mois, Plusieurs caractéristiques notables ont été mises en évidence portant sur les habitudes et profils des attaquants dont une bonne majorité ne tient pas compte de l impact de la localisation géographique de la cible (décalage horaire, bande passante, ) Globalement, aucune grande évolution n est à noter vis à vis des pays à l origine des attaques. Les attaques en provenance de Corée du Sud ont augmenté de 62% (en volumétrie) en 6 mois inscrivant ce pays en seconde position après les Etats-Unis. La France se place au 5 ième rang après l Allemagne et la Chine! Veille Technologique Sécurité N 59 Page 19/63

20 Plus de 50% des attaques détectées peuvent être mises sur le compte d une erreur de manipulation ou d une volonté délibérée de nuire de la part d un employé, Enfin, aucun cas avéré de réel cyber-terrorisme n a encore été identifié. Les tendances en terme de vulnérabilités Quelques 2524 nouvelles vulnérabilités ont été documentées par Symantec en 2002 soit une augmentation de 81% par rapport à l année 2001, Cette augmentation concerne principalement les vulnérabilités classées «critiques» et «moyennes» (84.7%), Les nouvelles vulnérabilités restent majoritairement (60%) faciles à exploiter car ne nécessitant soit aucun code spécifique d exploitation soit une simple adaptation d un code déjà existant. Par contre, le nombre de codes d exploitation disponibles pour les autres vulnérabilités est en régression : seules 23.7% des vulnérabilités 2002 ont un code d exploitation disponible contre 30% en 2001, Les vulnérabilités ayant été découvertes en 2002 ont mis en évidence de nouvelles menaces et procédés d exploitation non encore pleinement exploités par les auteurs de virus et de codes malicieux. Les tendances en terme de codes malicieux Les codes combinant de multiples procédés d attaque menaces combinées ou blended threats dans la terminologie originale présentent toujours un menace particulièrement grave: Klez, BugBear et Opaserv constituent à eux seuls près de 80% des codes malicieux capturés et retransmis aux équipes de Symantec. Les méthodes de propagation et d infection ont fortement évolué durant les 6 derniers mois de l année dernière: ainsi 8 des 50 codes les plus rencontrés sur cette période se propagent en masse via la messagerie électronique contre seulement 1 sur les 6 mois précédents. Les analystes de Symantec notent par ailleurs une légère augmentation des charges ayant pour objectif le vol d informations personnelle. Les technologies en cours de transfert sur le marché de masse messageries instantanées, services Peerto-Peer, réseaux sans-fils devraient rapidement intéresser les auteurs de codes malicieux. Le chapitre dédié à l étude de l activité illicite constatée sur un échantillon de plus de 400 sociétés met en évidence une répartition de celle-ci fort intéressante à notre point de vue: 78% de l activité est le fait de vers, virus et codes mobiles, les 22% se répartissant en activité de sondage et de reconnaissance (85%) et d exploitation des vulnérabilités (15%). Ainsi, sur 100 événements pertinents moins de 4 évènements seront directement liés à l exploitation active d une vulnérabilité effective. La table des matières de ce document est présentée ci-dessous: Executive Summary About the Symantec Internet Security Threat Report Table of Contents Report Highlights Cyber Attack Activity Network-based Cyber Attack Activity Overview General Attack Trends Attack Activity by Company Type Attacker Profiles Cyber-Terrorism Internal Misuse and Abuse Vulnerability and Malicious Code Trends Emergence of New Vulnerabilities Overview General Trends Future Concerns Emergence of Malicious Code Overview Current Trends Future Concerns Appendix A Network-Based Cyber Attack Methodology Overview Company Demographics Attack Metrics Individual Research Inquiries Appendix B Malicious Code Methodology Infection Database Malicious Code Database Appendix C Vulnerability Methodology Overview Vulnerability Classifications Nous recommandons la lecture de cette synthèse fort complète dont notamment les annexes A, B et C (p. 40 à 47) consacrées à la méthodologie d analyse et de classification retenue mais aussi à l analyse du profil des attaques (p. 19 à 22) prenant en compte le pays d origine, l objectif de l attaquant, la plate-forme utilisée et enfin les services visés # Complément d'information Veille Technologique Sécurité N 59 Page 20/63

21 INSTALLATION D UN POINT DE PRESENCE WIFI # Description Dans un article de 7 pages intitulé WLAN Hotspot Best Pratices, la nous livre quelques conseils simples mais fort utiles pour installer ou utiliser un point de présence WiFi dans les conditions de sécurité requises par ce type de technologie. L auteur insiste ainsi en particulier sur un phénomène de plus en plus constaté, à l instar des modems non répertoriés, de plus en plus de points d accès Wifi sont découverts dans les sociétés américaines à la suite d audits de sécurité. Ces installations non officiellement autorisées résultent soit d une dérogation locale à une politique de sécurité trop stricte ou n ayant pas pris en compte l émergence de cette technologie soit d une volonté individuelle et délibérée de disposer d un accès personnel et non contrôlé au réseau de l entreprise. Ce dernier cas est dorénavant favorisé par un coût d acquisition sans cesse réduit et qui ne représente donc plus un frein au déploiement d accès pirates. La menace semble être suffisamment importante pour que certains clients de la aient pris le problème à bras le corps en instituant une nouvelle politique de sécurité diamétralement opposée à celle jusqu alors explicitement ou implicitement appliquée. Ces sociétés mettent ainsi en œuvre une politique de déploiement de points de présence proactive visant à anticiper les besoins et ainsi à éviter la création de zones non contrôlées. Un second problème devra être pris en compte dans la politique de sécurité de toute société, dotée ou non, de cette technologie: tout personnel disposant d un équipement portable propriété de l entreprise est susceptible de devenir utilisateur d un point d accès WiFi géré par un tiers, un opérateur de service mais aussi toute société ou organisation utilisatrice de cette technologie. A cette a établi un ensemble de 9 recommandations structurées autour de 3 commandements en tenant compte des points de faiblesses et vulnérabilités classiques d une architecture type représentative de la majorité des points d accès WiFi. Commandement 1: Préparez votre machine! 1. Utilisez systématiquement un pare-feu personnel, ceux-ci sont peu coûteux et d une utilisation aisée, 2. Utilisez systématiquement un logiciel anti-virus régulièrement mis à jour, 3. Renforcez le niveau de sécurité de votre système par re-configuration et appliquez les correctifs. Commandement 2: Protégez votre transport! 1. Utilisez les mécanismes de chiffrement réseaux: le VPN de votre société, du fournisseur d accès, SSH, SSL, 2. Activez les fonctions de sécurité offertes par les outils de navigation (HTTPS) et de messagerie instantanée, 3. Ayant conscience des limitations et vulnérabilités résiduelles de votre fournisseur d accès. Commandement 3: Soyez responsable! 1. Désactivez les périphériques d accès sans fils lorsque ces accès ne sont pas utilisés même temporairement, 2. N oubliez pas d effectuer toutes les mises à jour : celles des logiciels et, bien sûr, des bases de références, 3. Nettoyez sans attendre votre système en cas de (présomption de) contamination quitte à réinstaller celui-ci. # Complément d'information OUVRAGE OCTAVE GUIDE DE MISE EN OEUVRE # Description Le guide d implémentation de la Méthodologie Octave jusqu alors accessible sur commande au prix de $100 (Rapport N 38 - Septembre 2001) peut désormais être téléchargé gratuitement depuis le site du CERT-CC dans sa version 2.0 (Juin 2001). Rappelons que la méthodologie d évaluation des risques Octave (Operationally Critical Threat, Asset, and Vulnerability Evaluation) a été développée en 1999 par l'université de Carnegie Mellon (CMU). Totalement ignorée pendant plusieurs années, cette méthodologie a fait l objet d un intense effort de promotion de la part du CERT-CC qui lui consacre, depuis le début de l année, un espace réservé sur son serveur WEB. Composant indispensable pour qui désire appliquer Octave dans les règles de l art, le guide de mise en œuvre (ou OCTAVE Method Implementation Guide) est constitué d un ensemble d ouvrages regroupés en trois volets et 18 volumes. Le paquetage librement accessible prend la forme d un fichier d archive de 3.4Mo contenant quelques 35 fichiers au format RTF et PPT, ces derniers contenant les différentes illustrations et graphiques. On regrettera l absence de tout document précisant explicitement l organisation de ces fichiers, le document octave-readme.txt n apportant Veille Technologique Sécurité N 59 Page 21/63

22 aucun éclaircissement à ce sujet. Nous proposons donc ci-dessous un tableau récapitulatif du contenu de chacun des fichiers livrés dans le paquetage. Volume Sect. Objet Format 1 Introduction RTF 2 a Preliminary Activities RTF b Senior Management Briefing RTF c Slides PPT d Participants Briefing RTF e Slides PPT 3 a Phase 1, Process 1: Identify Senior Management Knowledge RTF b Slides PPT 4 a Phase 1, Process 2: Identify Operational Area Management Knowledge RTF b Slides PPT 5 a Phase 1, Process 3: Identify Staff Knowledge RTF b Slides PPT 6 a Phase 1, Process 4: Create Threat Profiles RTF b Slides PPT 7 a Phase 2, Process 5: Identify Key Components RTF b Slides PPT c Supplementary Slides RTF d Slides PPT 8 a Phase 2, Process 6: Evaluate Selected Components RTF b Slides PPT 9 a Phase 3, Process 7: Conduct Risk Analysis RTF b Slides PPT 10 a Phase 3, Process 8, Workshop A: Develop Protection Strategy RTF b Slides PPT 11 a Phase 3, Process 8, Workshop B: Select Protection Strategy RTF b Slides PPT 12 Asset Profile Workbook RTF 13 After the Evaluation RTF 14 Bibliography and Glossary RTF 15 Appendix A: Catalog of Practices RTF 16 Appendix B: OCTAVE Data Flow RTF 17 Appendix C: Complete Example Results RTF 18 Appendices D,E: White Papers RTF # Complément d'information - Téléchargement des volumes 1 à 18 LA LEGISLATION USA USA OBLIGATION D INFORMATION DU CLIENT # Description Un article récemment publié sur le site Américain net-security.org propose une analyse fort intéressante de l adoption de la proposition de loi SB1386 et de son intégration dans le code civil Californien au titre de l article Pour mémoire, ce texte, initialement proposé par le sénateur Peace en mars 2002 (Rapport N 54 Janvier 2003) et qui entrera en vigueur le 1 juillet 2003, vise à protéger les intérêts des résidents Californiens en imposant le chiffrement des données informatiques les concernant par les sociétés susceptibles de détenir de telles informations. Pour ce faire, le texte de loi impose à toute organisation ou société commercialement active en Californie d informer tout résident Californien en cas de divulgation d une information nominative immédiatement exploitable car non chiffrée - telle qu un numéro de sécurité sociale, un numéro de permis de conduire, un numéro de carte de crédit ou encore de compte bancaire que cette divulgation soit directement le fait de la société ou celui d un tiers. This bill, operative July 1, 2003, would require a state agency, or a person or business that conducts business in California, that owns or licenses computerized data that includes personal information, as defined, to disclose in specified ways, any breach of the security of the data, as defined, to any resident of California whose unencrypted personal information was, or is reasonably believed to have been, acquired by an unauthorized person. Par organisation ou société commercialement active, on devra comprendre disposant d un local ou d une représentation commerciale située en Californie mais aussi faisant affaire avec d autres fournisseurs locaux. L intérêt de l article précédemment mentionné et intitulé Gearing Up For July 1, Senate Bill How Veille Technologique Sécurité N 59 Page 22/63

23 Does It Affect You? est d aborder l impact de ce texte sur l organisation des sociétés et plus particulièrement sur les dispositions techniques majeures à prendre afin de limiter les risques d exposition en cas de défaillance. Un plan d action en 6 points est ainsi esquissé: 1. Identifier les systèmes clefs hébergeant les différentes informations privatives visées par cette loi puis activer sur ceux-ci les fonctions de journalisation, 2. Chiffrer les données privatives en déterminant l intérêt économique de procéder à un chiffrement global des bases de données et en tenant compte qu il faudra prouver en cas d attaque que ces données n étaient pas lisibles car toujours chiffrées, 3. Mettre en place les technologies permettant de journaliser tous les détails et éléments de preuve concernant l utilisation du réseau et les anomalies pouvant y être détectées, 4. Définir un plan d actions sur incident intégrant l ensemble des procédures devant être engagées sans oublier celles concernant la notification des clients, 5. Tenir compte dans ce plan du délai nécessaire à l investigation et à l analyse de l impact d une compromission mais aussi à la restauration de l intégrité du système avant de notifier les clients, 6. Inventorier les contrats établis avec des sociétés tierces nécessitant le transfert d informations privatives et vérifier que ceux-ci contiennent les clauses ad hoc permettant de garantir le respect de cette nouvelle loi par ces intervenants externes. Par les contraintes qu elle fait peser sur les sociétés et organisations, cette nouvelle loi américaine n est pas sans rappeler le projet de loi dite LEN dont l un des effets de bords possible serait d imposer une restructuration forte des bases d informations concernant les clients des sociétés Françaises pour se mettre en conformité avec le nouveau cadre juridique de la prospection commerciale. Le lecteur intéressé pourra se reporter au communiqué diffusé par l association Geste Groupement des Editeurs de Services en Ligne - exposant les motifs d une demande de modification de l article 12 de ce projet de loi considéré comme répondant à un objectif légitime, mais (contenant) des dispositions disproportionnées et particulièrement préjudiciables aux entreprises. # Complément d'information Analyse - Texte de l article du code civil californien - Exposé des contraintes induites par la LEN FRANCE GESTE SIX FICHES THEMATIQUES # Description Le Ministère Délégué à la Recherche et aux Nouvelles Technologies s'est associé au Geste Groupement des Editeurs de Services en Ligne pour publier une première série de fiches pratiques, juridiques et techniques portant sur les 6 thèmes suivants: Le kiosque vocal Première de la série, cette fiche de 4 pages nous présente ce qu il faut savoir des services dits à revenus partagés pour lesquels une part variable de la taxation est reversée au fournisseur du service par l opérateur. L exemple le plus connu est celui de l Audiotel. Ces services sont accédés par le biais de numéros spéciaux de la forme 089B PQ MC DU réservés dans le plan de numérotation national ou 3B PQ dans le plan de numérotation interne de l opérateur. Le chiffre prenant la place de la lettre B permet d identifier le palier tarifaire en application. Cette fiche couvre les sujets suivants : Définition Le marché, les acteurs Le modèle économique Les tarifs, coûts et reversement des numéros à 10 chiffres Les aspects juridiques Les liens utiles Les procédures pour créer son service de kiosque vocal L historique Les points sensibles Le glossaire Veille Technologique Sécurité N 59 Page 23/63

24 Le WiFi Seconde fiche de cette série, la fiche consacrée au WiFi forte de seulement 4 pages apparaît être réduite au minimum et, hélas, très fortement ( trop?) commerciale! Ainsi, la présence d une liste de sociétés réduite au minimum ou celle des journalistes, personnalités ou compétences peut apparaître comme superflue dans le contexte de fiches annoncées techniques, pratiques et juridiques. Cette fiche couvre les sujets suivants : Définition Le marché, les acteurs Les usages Le pour et le contre Les Témoignages ou Expériences Les aspects juridiques Les personnalités et compétences en rapport avec le Wifi en France Les société citées dans la fiche Les journalistes Les liens utiles Les équipements nécessaires Pour s équiper Le glossaire Le DRM (Gestion des Droits Numériques) En trois pages, cette troisième fiche nous propose un rapide état de l art en matière de solutions de gestion des droits ou Digital Right Management. Les acteurs en ce domaine sont majoritairement Américains. Ils opèrent soit en tant que fournisseurs d applications de protection soit en tant que prestataires positionnés entre le fournisseur de contenu et le consommateur. Ces derniers assurent généralement l ensemble des opérations de gestion et de recouvrement des droits dus mais aussi la surveillance de l utilisation des contenus soumis à droits. Cette fiche met en évidence l échec patent des éditeurs sur le marché du développement et de la fourniture de solutions de protection et de gestion des droits. Elle aborde les thèmes suivants : Définition Un principe simple, des solutions complexes Un marché lent à se développer La pérennité des acteurs en questions Les études sur les DRM Pour en savoir plus sur les acteurs du DRM Sites d informations Les solutions de paiement des contenus en ligne Cette fiche de 13 pages propose un tour d horizon des solutions aptes à sécuriser les achats de contenus en ligne. Le terme contenu payant désignera ici toute opération se concluant par l achat d un bien immatériel: service, musique, logiciel, On appréciera particulièrement la présentation détaillée de quelques unes des offres présentes sur le marché Français, chaque offre étant décrite en précisant: - le fournisseur, - le(s) contact(s) commerciaux, - les caractéristiques essentielles de l offre, - les avantages et inconvénients. Cette fiche est structurée comme suit: Le marché du contenu payant sur le WEB Les systèmes bancaires dont MoneyTronic Les cartes prépayées dont KerCash et Promonetic Les solutions Telecom dont W-HA Les solutions Kiosque Micro et Kiosque Vocal Les solutions pour les contenus sur téléphone mobile dont SMS+ Les autres solutions dont FirstGate, Stylet et LCA Veille Technologique Sécurité N 59 Page 24/63

25 Les droits de la musique en ligne Les 4 pages de cette fiche sont consacrés à la problématique posée par la gestion des droits liés aux œuvres musicales affinant ainsi les propos de la fiche DRM portant sur la gestion des droits numériques. Complexe de par la nature même du contenu et de l historique attaché à celui-ci dont la multiplicité des intervenants, la bonne gestion des droits de la musique en ligne requière une harmonisation des textes légiférant la propriété intellectuelle. La nature de l activité en ligne conduit par ailleurs à devoir distinguer deux catégories de droits applicables (droits d auteurs ou droits voisins) à chacune des deux familles de service susceptibles d être offerts (service en continu ou service à la demande). Droits d auteurs - Services en continu - Services à la demande Droits voisins - Services en continu - Services à la demande Références légales Liens utiles Commissions et groupes de travaux ministériels Les panoramas de presse, résumés et archivages d articles La dernière fiche de cette première série s intéresse plus particulièrement à la législation s appliquant à l utilisation ou à la reproduction partielle ou totale d articles de presse. Mettant en évidence l abus de langage couramment commis en confondant revue de presse et panorama de presse, cette fiche traite d un sujet d autant plus d actualité que les portails d information exploitant divers articles et brèves d origines diverses foisonnent aussi bien sur l Internet que dans les Intranets. Nous recommandons la lecture de cette fiche qui couvre les sujets suivants: Le contexte Les utilisations ne nécessitant pas l autorisation préalable de l auteur - La citation - L analyse - La revue de presse Les utilisations nécessitant l autorisation préalable de l auteur - Le résumé - La synthèse - Les panoramas de presse en ligne Les différents modes de distribution autorisée Comment s acquitter des droits Bien qu utiles au béotien comme au spécialiste, ces fiches manquent cependant de cohérence tant sur le plan de la structuration que du contenu. Dans certains cas, elles pourraient être perçues comme vecteurs d une offre commerciale si l on oubliait qu elles procèdent d une démarche d information à laquelle est associée un groupement d intérêt commercial, le Geste. # Complément d'information - Annonce - Les 6 premières fiches DCSSI CERTIFICATION DE CONFORMITE DES DISPOSITIFS DE CREATION DE SIGNATURE ELECTRONIQUE # Description La DCSSI a annoncé la publication de la procédure dite de Certification de conformité des dispositifs de création de signature électronique. Cette procédure de 11 pages, applicable à compter du 7 avril 2003, définit les conditions de délivrance d un certificat de conformité aux exigences de l'article 3.1 du décret du 30 mars 2001 pour un dispositif sécurisé de création de signature électronique. La table des matières de ce document est la suivante: 1. Objet de la procédure 2. Le contexte 2.1.Le contexte juridique 2.2. Les deux niveaux pour la signature électronique 2.3. Le contexte européen 3. La procédure d attribution du certificat de conformité 3.1. Exigences sur le dispositif sécurisé de création de signature électronique 3.2. Insertion dans le schéma français de certification Veille Technologique Sécurité N 59 Page 25/63

26 3.3. Forme du certificat de conformité 3.4. Conditions de délivrance du certificat de conformité 3.5. Organismes délivrant le certificat de conformité 3.6. Validité du certificat de conformité 4.Recommandations de la DCSSI 4.1. Recommandations de profils de protection 4.2. Recommandations d algorithmes cryptographiques 4.3. Exigences sur les autres profils de protection ou cibles de sécurité soumises 4.4. Utilisation d autres standards de certification Annexe A Tableau des profils de protection recommandés Annexe B Abréviations Annexe C Références Le certificat de conformité est délivré par la DCSSI, l organisme désigné par le décret du 18 avril 2002 relatif à l'évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l'information. Il sera rendu publique dans des conditions de diffusion non précisées dans la procédure publiée. # Complément d'information - Annonce - Procédure de certification - Décret Décret Veille Technologique Sécurité N 59 Page 26/63

27 LES SERVICES DE BASE LOGICIELS LIBRES Les dernières versions des services de base sont rappelées dans les tableaux suivants. Nous conseillons d assurer rapidement la mise à jour de ces versions, après qualification préalable sur une plate-forme dédiée. RESEAU Nom Fonction Ver. Date Source BIND Gestion de Nom (DNS) /03/03 $ /06/03 DHCP Serveur d adresse 3.0p2 15/01/03 $ NTP4 Serveur de temps 4.1.1c-rc3 10/06/03 WU-FTP Serveur de fichiers /11/01 MESSAGERIE Nom Fonction Ver. Date Source $ IMAP4 Relevé courrier 2002d 29/05/03 ftp://ftp.cac.washington.edu/imap/ POP3 Relevé courrier /03/03 ftp://ftp.qualcomm.com/eudora/servers/unix/popper/ SENDMAIL Serveur de courrier /03/03 ftp://ftp.sendmail.org/pub/sendmail/release_notes WEB Nom Fonction Ver. Date Source $ APACHE Serveur WEB /10/ /05/03 ModSSL API SSL Apache /10/02 $ MySQL Base SQL /06/ /05/03 SQUID Cache WEB 2.5s3 25/05/03 AUTRE Nom Fonction Ver. Date Source INN Gestion des news /05/03 MAJORDOMO Gestion des listes /01/00 OpenCA Gestion de certificats /02/03 $ OpenLDAP Gestion de l annuaire /05/03 ftp://ftp.openldap.org/pub/openldap/openldap-release/ LES OUTILS Une liste, non exhaustive, des produits et logiciels de sécurité du domaine public est proposée dans les tableaux suivants. LANGAGES Nom Fonction Ver. Date Source SPLINT Analyse de code /05/03 Perl Scripting /08/02 $ PHP WEB Dynamique /05/ b1 29/06/03 ANALYSE RESEAU Nom Fonction Ver. Date Source Big Brother Visualisateur snmp 1.9c 15/05/02 Dsniff Boite à outils /12/00 EtterCap Analyse & Modification 0.6.a 03/05/03 $ Ethereal Analyse multiprotocole /06/03 IP Traf Statistiques IP /05/02 Nstreams Générateur de règles /08/02 SamSpade Boite à outils /12/99 TcpDump Analyse multiprotocole /02/02 Libpcap Acquisition Trame /02/02 TcpFlow Collecte données /02/01 TcpShow Collecte données /03/00 Veille Technologique Sécurité N 59 Page 27/63

28 $ WinPCap Acquisition Trame 3.01a 13/06/03 ANALYSE DE JOURNAUX Nom Fonction Ver. Date Source Analog Journaux serveur http /03/03 Autobuse Analyse syslog /01/00 SnortSnarf Analyse Snort /11/02 WebAlizer Journaux serveur http /04/02 ANALYSE DE SECURITE Nom Fonction Ver. Date Source FIRE Boite à outils 0.3.5b 29/11/02 curl Analyse http et https /05/03 Nessus Vulnérabilité réseau /05/03 $ Nmap Vulnérabilité réseau /06/03 Pandora Vulnérabilité Netware 4.0b2.1 12/02/99 $ Saint Vulnérabilité réseau /06/03 $ Sara Vulnérabilité réseau 4.2.1a 24/06/03 Tara (tiger) Vulnérabilité système /08/02 Tiger Vulnérabilité système 2.2.4p1 19/07/99 ftp://net.tamu.edu/pub/security/tamu/tiger Trinux Boite à outils 0.81pre0 07/11/01 Whisker LibWhisker /11/02 CONFIDENTIALITE Nom Fonction Ver. Date Source OpenPGP Signature/Chiffrement GPG Signature/Chiffrement /05/03 CONTROLE D ACCES Nom Fonction Ver. Date Source TCP Wrapper Accès services TCP 7.6 ftp://ftp.cert.org/pub/tools/tcp_wrappers Xinetd Inetd amélioré /04/03 CONTROLE D INTEGRITE Nom Fonction Ver. Date Source Tripwire Intégrité LINUX /08/00 $ ChkRootKit Compromission UNIX /06/03 DETECTION D INTRUSION Nom Fonction Ver. Date Source Deception TK Pot de miel /08/99 LLNL NID IDS Réseau /10/02 Snort IDS Réseau /04/03 Shadow IDS Réseau /04/03 GENERATEURS DE TEST Nom Fonction Ver. Date Source Elza Requêtes HTTP /04/00 FireWalk Analyse filtres /10/02 IPSend Paquets IP 2.1a 19/09/97 ftp://coombs.anu.edu.au/pub/net/misc IDSWakeUp Détection d intrusion /10/00 UdpProbe Paquets UDP /02/96 PARE-FEUX Nom Fonction Ver. Date Source DrawBridge PareFeu FreeBsd /04/00 IpFilter Filtre datagramme /12/02 TUNNELS Nom Fonction Ver. Date Source CIPE Pile Crypto IP (CIPE) /06/01 FreeSwan Pile IPSec /04/03 http-tunnel Encapsulation http /12/00 OpenSSL Pile SSL 0.9.7b 10/04/03 OpenSSH Pile SSH 1 et /04/03 Stunnel Proxy https /01/03 TeraTerm Pro Terminal SSH /10/02 Zebedee Tunnel TCP/UDP /05/02 Veille Technologique Sécurité N 59 Page 28/63

29 NORMES ET STANDARDS LES PUBLICATIONS DE L IETF LES RFC Du 23/05/2003 au 27/06/2003, 11 RFC ont été publiés dont 3 RFC ayant trait à la sécurité. RFC TRAITANT DE LA SECURITE Thème Num Date Etat Titre CRYPTO /03 Pst Wrapping a HMAC key with a Triple DES Key or an AES Key IOTP /03 Inf Secure Electronic Transaction (SET) Supplement for the v1.0 Internet Open Trading Protocol (IOTP) TLS /03 Pst Transport Layer Security (TLS) Extensions RFC TRAITANT DE DOMAINES CONNEXES A LA SECURITE Thème Num Date Etat Titre NAT /03 Pst Mobile IP Traversal of Network Address Translation (NAT) Devices AUTRES RFC Thème Num Date Etat Titre AAA /03 Pst Authentication, Authorization and Accounting (AAA) Transport Profile ECN /03 Exp Robust Explicit Congestion Notification (ECN) Signaling with Nonces GCP /03 Pst Gateway Control Protocol Version 1 IPV /03 Inf Advanced Sockets Application Program Interface (API) for IPv6 MIB /03 Pst Multicast Address Allocation MIB RTP /03 Pst RTP Payload Format for Enhanced Variable Rate Codecs and Selectable Mode Vocoders URN /03 BCP An IETF URN Sub-namespace for Registered Protocol Parameters LES DRAFTS Du 23/05/2003au 27/06/2003, 620 drafts ont été publiés: 315 drafts mis à jour, 305 nouveaux drafts, dont 38 drafts ayant directement trait à la sécurité. NOUVEAUX DRAFTS TRAITANT DE LA SECURITE Thème Nom du Draft Date Titre AAA draft-alfano-aaa-qosreq-00 24/06 Requirements for a QoS AAA Protocol AMTP draft-crouzet-amtp-00 12/06 Authenticated Mail Transfer Protocol BGP draft-ietf-idr-bgp-vuln-00 25/06 BGP Security Vulnerabilities Analysis draft-weis-sobgp-certificates-00 23/06 Secure Origin BGP (sobgp) Certificates DDP draft-pinkerton-rddp-security-00 20/06 DDP/RDMAP Security EAP draft-urien-eap-ssc-00 20/06 EAP-SSC Secured Smartcard Channel FMKE draft-duquer-fmke-00 17/06 The Flat Multicast Key Exchange protocol GEOPRIV draft-schulzrinne-geopriv-presence-lo-00 25/06 Location Objects, Location Privacy Info. for Presence Information GSEC draft-irtf-gsec-lifecycle-00 20/06 Life cycle key management costs in secure multicast HTTP draft-torvinen-http-digest-aka-v /06 HTTP Digest Authentication Using AKA Version-2 IPSEC draft-hoffman-ipsec-aes-prf-00 16/06 The AES-XCBC-PRF-128 algorithm for IKE draft-ietf-ipsp-ipsec-apireq-00 19/06 Requirements for an IPsec API IPV6 draft-savola-v6ops-security-overview-00 20/06 IPv6 Transition/Co-existence Security Considerations KRB draft-weber-krb-wg-kerberos-initial-auth-00 24/06 Kerberos Initial Authentication Methods MCOP draft-vatiainen-mcop-cops-00 19/06 Multicast Control Protocol (MCOP) over COPS MIB draft-ietf-ipcdn-cable-gateway-sec-mib-00 24/06 Cable Gateway Sec. MIB for CableHome comp. Resid. Gateways MLDA draft-hayashi-mlda-00 09/06 Multicast Listener Discovery Authentication protocol (MLDA) MOBILEIP draft-carroll-dynmobileip-cdma-00 28/05 Dynamic Mobile IP Key Update for cdma2000(r) Networks MSEC draft-ietf-msec-secure-feedback-00 24/06 Secure and Scalable Many-to-one Communication NAT draft-okazaki-v6ops-natpt-security-00 12/06 NAT-PT Security Considerations NFS draft-williams-nfsv4-ace-mapping-00 02/06 AMethod & Protocol for Mapping of Multi-Realm NFSv4 ACE Names NSIS draft-tschofenig-nsis-sid-00 24/06 Security Implications of the Session Identifier OPSEC draft-jones-opsec-00 09/06 Net. Security Reqs for Devices Implementing Internet Protocol PANA draft-tschofenig-pana-bootstrap-rfc /06 Bootstrapping RFC3118 Delayed authentication using PANA draft-zhao-pana-dpac-framework-00 23/06 A Framework for Data Packet Access Control (DPAC) Veille Technologique Sécurité N 59 Page 29/63

30 PKIX draft-kato-pkix-ecc-oef-00 26/06 Odd Char. Ext. Field in the Internet X.509 PKI Cert. & CRL Profile RADIUS draft-adrangi-radius-issues-in-pwlan-roam-00 25/06 RADIUS Issues in Public Wireless LAN Roaming Scenarios draft-lior-radius-reliable-accounting-00 20/06 RADIUS Reliable Transport RSVP draft-tschofenig-rsvp-doi-00 30/05 RSVP Domain of Interpretation for ISAKMP RTCS draft-gutmann-cms-rtcs-00 12/06 Real-time Certificate Status Facility for CMS - (RTCS) SASL draft-ietf-sasl-crammd /06 The CRAM-MD5 SASL Mechanism SECURITY draft-blumenthal-intermediary-transport-00 23/06 Securely Enabling Intermediary-based Transport Services SEND draft-arkko-send-ndopt-00 19/06 SEcure Neighbor Discovery (SEND) draft-ietf-send-cga-00 16/06 Cryptographically Generated Addresses (CGA) draft-nikander-send-ipsec-00 19/06 Secure Neighbor Discovery using separate CGA extension header SIP draft-barnes-sipping-sec-inserted-info-00 24/06 Mech. to Secure SIP Identity headers inserted by Intermediaries draft-ono-sipping-end2middle-security-00 26/06 End-to-middle security in the Session Initiation Protocol(SIP) SSH draft-weber-secsh-pkalg-none-00 23/06 Secure Shell 'none' Public Key Algorithm MISE A JOUR DE DRAFTS TRAITANT DE LA SECURITE Thème Nom du Draft Date Titre AVT draft-ietf-avt-srtp-08 03/06 The Secure Real-time Transport Protocol BGP draft-gill-btsh-02 29/05 The BGP TTL Security Hack (BTSH) draft-ng-sobgp-bgp-extensions-01 23/06 Extensions to BGP to Support Secure Origin BGP (sobgp) draft-white-sobgp-bgp-deployment-01 25/06 Deployment Considerations for Secure Origin BGP (sobgp) CAT draft-burdis-cat-srp-sasl-08 02/06 Secure Remote Password Authentication Mechanism COPS draft-ietf-rap-cops-tls-06 27/05 COPS Over TLS CWC draft-irtf-cfrg-cwc-01 03/06 The CWC-AES Dual-Use Mode DHCP draft-ietf-dhc-pktc-kerb-tckt-03 20/06 PacketCable Security Ticket Control Sub-option for the DHCP draft-ietf-dhc-relay-agent-auth-01 09/06 The Authentication Suboption for the DHCP Relay Agent Option DNS draft-danisch-dns-rr-smtp-02 02/06 A DNS RR for simple SMTP sender authentication draft-ietf-dnsext-keyrr-key-signing-flag-07 28/05 KEY RR Secure Entry Point (SEP) Flag EAP draft-hiller-eap-tlv-01 29/05 A Container Type for the Extensible Authentication Protocol (EAP) draft-vollbrecht-eap-state-03 17/06 State Machines for EAP Peer and Authenticator draft-ietf-eap-rfc2284bis-04 16/06 Extensible Authentication Protocol (EAP) IGAP draft-hayashi-igap-02 29/05 Internet Group membership Authentication Protocol (IGAP) IPSEC draft-ietf-ipsec-ciph-aes-ccm-03 30/05 Using AES CCM Mode With IPsec ESP draft-ietf-ipsec-ciph-aes-ctr-04 30/05 Using AES Counter Mode With IPsec ESP draft-ietf-ipsec-dpd-03 29/05 A Traffic-Based Method of Detecting Dead IKE Peers draft-ietf-ipsec-ikev /06 Internet Key Exchange (IKEv2) Protocol draft-ietf-ipsec-ikev2-algorithms-02 06/06 Cryptographic Algorithms for use in the IKE Version 2 draft-ietf-ipseckey-rr-04 17/06 A method for storing IPsec keying material in DNS draft-ietf-ipsec-nat-t-ike-06 29/05 Negotiation of NAT-Traversal in the IKE draft-ietf-ipsec-ui-suites-01 13/06 Cryptographic Suites for IPsec draft-ietf-mobileip-mipv6-ha-ipsec-05 27/05 Using IPsec to Protect Mobile IPv6 Signaling between Mobile INCH draft-ietf-inch-requirements-01 12/06 Requirements for Format for INcident Report Exchange (FINE) ISIS draft-ietf-isis-hmac-05 06/06 IS-IS Cryptographic Authentication KRB draft-ietf-krb-wg-crypto-05 11/06 Encryption and Checksum Specifications for Kerberos 5 draft-ietf-krb-wg-kerberos-clarifications-04 19/06 The Kerberos Network Authentication Service (V5) draft-raeburn-krb-rijndael-krb-05 23/06 AES Encryption for Kerberos 5 draft-weber-krb-wg-kerberos-clock-sync-01 23/06 Kerberos Clock Synchronization MIME draft-ietf-ediint-as /06 MIME-based Secure P2P Business Data Interchange MPLS draft-behringer-mpls-security-04 29/05 Analysis of the Security of BGP/MPLS IP VPNs OPENPGP draft-ietf-openpgp-rfc2440bis-08 03/06 OpenPGP Message Format PANA draft-ietf-pana-requirements-07 20/06 Protocol for Carrying Authentication for Network Access Reqs PBK draft-bradner-pbk-frame-06 09/06 A Framework for Purpose-Built Keys (PBK) RADIUS draft-heinanen-radius-pe-discovery-04 09/06 Using Radius for PE-Based VPN Discovery SASL draft-ietf-sasl-rfc2831bis-01 29/05 Using Digest Authentication as a SASL Mechanism draft-ietf-sasl-saslprep-02 27/05 SASLprep: Stringprep profile for user names and passwords SCEP draft-nourse-scep-07 04/06 Cisco Systems' Simple Certificate Enrollment Protocol (SCEP) SEND draft-ietf-send-ipsec-01 05/06 SEcure Neighbor Discovery (SEND) SILC draft-riikonen-silc-ke-auth-07 16/06 SILC Key Exchange and Authentication Protocols SMIME draft-ietf-smime-aes-alg-07 29/05 Use of the AES Encryption Algorithm in CMS draft-ietf-smime-rfc2633bis-04 03/06 S/MIME Version 3.1 Message Specification SSH draft-galb-secsh-publickey-subsystem-01 26/06 Secure Shell Public-Key Subsystem SYSLOG draft-ietf-syslog-sign-11 29/05 Syslog-Sign Protocol TLS draft-ietf-tls-compression-05 28/05 Transport Layer Security Protocol Compression Methods draft-ietf-tls-ecc-03 04/06 ECC Cipher Suites For TLS draft-ietf-tls-sharedkeys-01 02/06 Use of Shared Keys in the TLS Protocol draft-ietf-tls-srp-05 17/06 Using SRP for TLS Authentication DRAFTS TRAITANT DE DOMAINES CONNEXES A LA SECURITE Thème Nom du Draft Date Titre AAA draft-belinchon-aaa-diameter-mm-app-01 16/06 Diameter Multimedia Application draft-grayson-aaa-serviceflows-00 20/06 Diameter NASREQ Ext. for the Del. of Service-Flow Charging Rules draft-ietf-aaa-diameter-cc-00 11/06 Diameter Credit-control Application BGP draft-libin-hierarchy-pe-bgp-mpls-vpn-02 27/05 Hierarchy of Provider Edge Device in BGP/MPLS VPN BMWG draft-ietf-bmwg-acc-bench-term-00 20/06 Benchmarking Core Router Software Accelerated Life Testing draft-ietf-bmwg-dsmterm-07 19/06 Benchmarking Network-layer Traffic Control Mechanisms Veille Technologique Sécurité N 59 Page 30/63

31 draft-ietf-bmwg-igp-dataplane-conv-app-00 19/06 Benchmarking Applicability for IGP Data Plane Route Convergence draft-ietf-bmwg-igp-dataplane-conv-meth-00 19/06 Benchmarking Methodology for IGP Data Plane Route Convergenc. draft-ietf-bmwg-igp-dataplane-conv-term-00 19/06 Terminology for Benchmarking IGP Data Plane Route Convergence DHCP draft-templin-isatap-dhcp-01 03/06 DHCP-for-IPv4 Option for the ISATAP HIP draft-moskowitz-hip-07 19/06 Host Identity Protocol draft-nikander-hip-mm-00 17/06 End-Host Mobility and Multi-Homing with Host Identity Protocol IPV6 draft-huitema-v6ops-teredo-00 09/06 Teredo: Tunneling IPv6 over UDP through NATs draft-palet-v6ops-proto41-nat-00 23/06 Forwarding Protocol 41 in NAT Boxes draft-thaler-ipv6-ndproxy-00 17/06 Bridge-like Neighbor Discovery Proxies (ND Proxy) LDAP draft-hall-ldap-idn-00 24/06 LDAP Schema Extensions for Internationalized Domain Names draft-ietf-ldapbis-bcp /06 IANA Considerations for LDAP draft-ietf-ldapbis-protocol-14 17/06 LDAP: The Protocol draft-ietf-ldapbis-strprep-00 27/05 LDAP: Internationalized String Preparation draft-ietf-ldapbis-syntaxes-06 03/06 LDAP: Syntaxes and Matching Rules draft-legg-ldap-binary-00 19/06 LDAP: The Binary Encoding Option draft-legg-ldap-transfer-00 19/06 LDAP: Transfer Encoding Options draft-zeilenga-ldap-features-05 27/05 Feature Discovery in LDAP draft-zeilenga-ldap-readentry-00 23/06 LDAP Read Entry Controls draft-zeilenga-ldap-user-schema-mr-00 06/06 LDAP: Additional Matching Rules LDUP draft-zeilenga-ldup-sync-03 19/06 LDAP Content Synchronization Operation MOBILEIP draft-ietf-mobileip-vpn-problem-stat-req-03 26/06 Problem Statement: Mobile IPv4 Traversal of VPN Gateways MPLS draft-poretsky-mpls-protection-meth-00 24/06 Benchmarking Methodology for MPLS Protection Mechanisms MULTIHO draft-ng-nemo-multihoming-issues-01 27/05 Multi-Homing Issues in Bi-Directional Tunneling draft-ohta-multihomed-isps-00 26/06 Multihomed ISPs and Policy Control NAT draft-kuniaki-capsulated-nats-05 16/06 Capsulated Network Address Translation with Sub-Address draft-takeda-symmetric-nat-traversal-00 06/06 Symmetric NAT Traversal using STUN OSPF draft-ietf-ospf-2547-dnbit-00 23/06 Using an LSA Options Bit to Prevent Looping in BGP/MPLS IP VPNs draft-mirtorabi-ospf-tunnel-adjacency-00 27/05 OSPF Tunnel Adjacency POLICY draft-morris-policy-considerations-00 24/06 Public Policy Considerations for Internet Design Decisions SIP draft-elwell-sipping-qsig-tunnel-00 20/06 Tunnelling of QSIG over SIP draft-ietf-sipping-session-policy-req-00 26/06 Requirements for Session Policy for the Session Initiation Protocol TUNNEL draft-fu-ccamp-traceroute-00 26/06 A Proposal for Generic Traceroute Over Tunnels draft-ietf-ccamp-tracereq-05 09/06 Tracing Requirements for Generic Tunnels VPN draft-ietf-ppvpn-ospf /06 OSPF as the PE/CE Protocol in BGP/MPLS VPNs draft-ietf-ppvpn-rfc2547bis-04 02/06 BGP/MPLS VPNs XCONF draft-even-xcon-media-policy-requi-00 23/06 Conferencing media policy requirements draft-koskelainen-xcon-cpcp-reqs-00 25/06 Requirements for Conference Policy Control Protocol draft-koskelainen-xcon-xcap-cpcp-usage-00 20/06 An XML XCAP Usage for Conference Policy Manipulation draft-levin-xcon-cpcp-00 24/06 Conference Policy Control Protocol for Centralized Conferencing draft-mahy-xcon-media-policy-control-00 25/06 Media Policy Mainip. in the Conference Policy Control Protocol ZEROUTE draft-perlman-zerouter-rbridge-00 13/06 Design for a Routing Bridge AUTRES DRAFTS Thème Nom du Draft Date Titre 6BONE draft-fink-6bone-phaseout-04 12/06 6bone (IPv6 Testing Address Allocation) Phaseout ADHOC draft-jeong-adhoc-ip-addr-autoconf-00 28/05 Ad Hoc IP Address Autoconfiguration ADSL draft-ietf-adslmib-hc-tc-04 12/06 High Capacity Textual Conventions for MIB Modules draft-ietf-adslmib-vdsl-10 12/06 Definitions of Managed Objects for VDSL ANNODEX draft-pfeiffer-annodex-00 09/06 Specification of the ANNODEX(TM) ASSIGN draft-ohira-assign-select-e2e-multihome-00 24/06 Address Assigment & Route Selection for End-to-End Multihoming AVT draft-kerr-avt-vorbis-rtp-02 10/06 RTP Payload Format for Vorbis Encoded Audio BASESTR draft-flundberg-basestream-00 26/05 BaseStream - A Simple Typed Stream Protocol BCP38 draft-savola-bcp38-multihoming-update-00 23/05 Ingress Filtering for Multihomed Networks BFD draft-katz-ward-bfd-00 03/06 Bidirectional Forwarding Detection BGMP draft-ietf-bgmp-spec-05 06/06 Border Gateway Multicast Protocol (BGMP): Protocol Specification BGP draft-bonaventure-quoitin-bgp-comm-00 19/06 Common utilizations of the BGP community attribute draft-chen-bgp-avoid-transition-00 11/06 Avoid BGP Best Path Transition from One External to Another draft-ietf-avt-rtp-retransmission-08 06/06 RTP Retransmission Payload Format draft-ietf-grow-bgp-redistribution-00 02/06 Controlling the redistribution of BGP routes draft-ietf-idr-bgp-issues-00 24/06 Issues in Revising BGP-4 draft-kapoor-nalawade-idr-bgp-ssa-00 25/06 BGPv4 SAFI-Specific Attribute draft-lefaucheur-mp-nh-00 11/06 BGP-4 Multiprotocol Next Hop Attribute BOM draft-tremblay-bom-00 28/05 Standardized BOM for plain text documents formats recognition BOUNDED draft-grow-bounded-longest-match-00 03/06 Bounding Longest Match Considered BURST draft-choi-burst-control-00 24/06 Requirements of Burst-Level Control in Optical Networks CAP draft-royer-cap-notify-00 16/06 CAP notification of upcoming VEVENTs, VTODOs or any changes draft-royer-cap-sort-00 16/06 CAP (Calendar Access Protocol) sorting extension CASP draft-hermann-casp-qos-mobility-00 20/06 QoS Resource Allocation in Mobile Networks with CASP CMML draft-pfeiffer-cmml-00 09/06 Specification of the Continuous Media Markup Language V1 COACH draft-loughney-coach-00 25/06 A Comprehensive Approach to Quality (COACH) DDDS draft-daigle-napstr-02 09/06 Domain-based App Service Location Using SRV RRs and the DDDS DDP draft-marques-ddp-00 29/05 Device Discovery Protocol (DDP) DHCP draft-aboba-dhc-nad-ipv /06 IPv4 Network Attachment Detection draft-ietf-dhc-dhcpv6-opt-prefix-delegation-04 09/06 IPv6 Prefix Options for DHCPv6 draft-ietf-dhc-isnsoption-07 20/06 The IPv4 DHCP Options for the Internet Storage Name Service Veille Technologique Sécurité N 59 Page 31/63

32 draft-ietf-dhc-leasequery-05 20/06 DHCP Lease Query draft-ietf-dhc-unused-optioncodes-03 09/06 Unused DHCP Option Codes draft-ietf-dhc-v4-threat-analysis-00 18/06 DHCPv4 Threat Analysis draft-johnston-pxe-options-00 19/06 DHCP Preboot execution Environment Suboptions draft-littlefield-dhcp-vendor-00 23/06 Vendor-Identifying Vendor Options for DHCPv4 DIFFSER draft-baker-diffserv-basic-classes-00 23/06 Configuration Guidelines for Basic Classes of Managed Traffic DIFFSERV draft-sivabalan-diff-te-bundling-02 23/06 Link Bundling support for Diff-Serv aware Traffic Engineering DN draft-rader-dn-defn-00 20/06 Domain Name and Related Definitions DNS draft-hall-dns-data-02 09/06 Considerations for DNS Resource Records draft-ietf-dnsext-delegation-signer-15 19/06 Delegation Signer Resource Record draft-ietf-dnsext-dnssec-2535type-change-02 17/06 Legacy Resolver Compatibility for Delegation Signer draft-ietf-dnsext-mdns-21 10/06 Linklocal Multicast Name Resolution (LLMNR) draft-ietf-dnsext-rfc1886bis-03 27/05 DNS Extensions to support IP version 6 draft-ietf-dnsext-wcard-clarify-00 17/06 Clarifying the Role of Wild Card Domains in the DNS draft-ietf-dnsop-bad-dns-res-01 25/06 Observed DNS Resolution Misbehavior draft-ietf-dnsop-ipv6-transport-guidelines-00 19/06 DNS IPv6 transport operational guidelines draft-ietf-dnsop-respsize-00 18/06 DNS Response Size Issues draft-morishita-dnsop-misbehavior-aaaa-00 17/06 Common Misbehavior against DNS Queries for IPv6 Addresses draft-stjohns-secure-notify-00 16/06 Using DNSSEC-secured NOTIFY to Trigger Parent Zone Updating E2E draft-ohta-e2e-multihoming-04 26/06 The Architecture of End to End Multihoming EADSR draft-brown-eadsr-00 23/06 The Energy Aware Dynamic Source Routing Protocol EAP draft-jwalker-eap-archie-01 24/06 The EAP Archie Protocol ENUM draft-ietf-enum-msg-00 16/06 Registration for enumservices of group messages draft-ietf-enum-webft-00 16/06 Registration for enumservices web and ft ETS draft-carlberg-ets-req-stub-00 20/06 ETS Requirements for Stub Domains draft-carlberg-ets-stub-frame-00 25/06 A Framework for Supporting ETS in Stub Domains FAULT draft-rabbat-fault-notification-protocol-03 20/06 Fault Notification Protocol for GMPLS-Based Recovery FAX draft-ietf-fax-esmtp-conneg-08 05/06 SMTP Service Extension for Fax Content Negotiation draft-ietf-fax-tiff-fx-13 16/06 File Format for Internet Fax draft-ietf-fax-tiff-fx-reg-v /06 TIFF-FX - image/tiff-fx MIME Sub-type Registration FCIP draft-ietf-ips-fcip-mib-05 18/06 Definition of Managed Objects for FCIP FIRS draft-ietf-crisp-firs-arch-01 27/05 The FIRS:Architecture and Implementation Guide draft-ietf-crisp-firs-asn-01 27/05 Defining and Locating Autonomous System Numbers in the FIRS draft-ietf-crisp-firs-contact-01 27/05 Defining and Locating Contact Information in the FIRS draft-ietf-crisp-firs-core-01 27/05 The Federated Internet Registry Service (FIRS): Core Elements draft-ietf-crisp-firs-dns-01 27/05 Defining and Locating DNS Domains in the FIRS draft-ietf-crisp-firs-dnsrr-01 27/05 Defining and Locating DNS Resource Records in the FIRS draft-ietf-crisp-firs-ipv /05 Defining and Locating IPv4 Address Blocks in the FIRS draft-ietf-crisp-firs-ipv /05 Defining and Locating IPv6 Address Blocks in the FIRS FORCES draft-ietf-forces-framework-06 12/06 Forwarding and Control Element Separation (ForCES) Framework draft-nait-forces-pap-00 26/06 Pre Association Phase Protocol (PAP) draft-nait-forces-xml-model-00 26/06 XML based Model for Control and Forward Element Separation GEOPRIV draft-cuellar-geopriv-lo-ml-01 26/06 Geopriv Location Object Markup Language draft-ietf-geopriv-dhcp-lci-option-01 11/06 Location Configuration Information for GEOPRIV draft-peterson-geopriv-pidf-lo-00 25/06 A Presence-based GEOPRIV Location Object Format draft-polk-geopriv-location-data-00 24/06 GEOPRIV Location Data Considerations draft-tschofenig-geopriv-authz-policies-00 24/06 Geopriv Authorization Policies GSMP draft-ietf-gsmp-reqs-06 12/06 Requirements For Adding Optical Support To GSMPv3 GXCAST draft-boudani-gxcast-00 23/06 GXcast: Generalized Explicit Multicast Routing Protocol IAB draft-iab-congestion-00 24/06 IAB Concerns Regarding Congestion Control for Voice Traffic draft-iesg-charter-03 04/06 An IESG charter draft-ietf-nomcom-rfc2727bis-05 18/06 IAB and IESG Selection, Confirmation, and Recall Process IANA draft-mealling-iana-xmlns-registry-05 18/06 The IETF XML Registry ICMP draft-chen-icmp-ifindex-00 11/06 Carry the ifindex Number In Certain ICMP and ICMPv6 Messages IDN draft-jseng-idn-admin-03 17/06 IDN Registration, Adm Guideline for Chinese, Japanese & Korean draft-klensin-reg-guidelines-00 19/06 Registration Restrictions on IDN - An Overview draft-yoneya-idn-jachar-00 11/06 Japanese characters in Internationalized Domain Name label IDR draft-marques-idr-flow-spec-00 20/06 Dissemination of flow specification rules draft-raszuk-idr-ibgp-auto-mesh-00 24/06 IBGP Auto Mesh IEPREP draft-gunn-ieprep-ip-telephony-bcp-00 24/06 BCP for Internet Emergency Preparedness Use of IP Telephony draft-ietf-ieprep-ets-general-03 18/06 General Requirements for Emergency Telecommunication Service draft-ietf-ieprep-ets-telephony-05 18/06 IP Telephony Reqs for Emergency Telecommunication Service draft-ietf-ieprep-framework-05 23/06 Framework for Supporting IEPS in IP Telephony draft-mcgregor-ieprep-bridging-bcp-00 26/06 MPLS IP Bridging Configuration Guidance for IEPREP draft-pierce-ieprep-assured-service-arch-01 26/06 Architecture for Assured Service Capabilities in Voice over IP draft-pierce-ieprep-assured-service-req-01 26/06 Requirements for Assured Service Capabilities in Voice over IP draft-pierce-ieprep-pref-treat-examples-01 26/06 Examples for Provision of Preferential Treatment in Voice over IP IETF draft-aboba-ieee802-rel-00 13/06 History of the IEEE 802/IETF Relationship draft-baker-liaisons-00 20/06 Procedure for handling liaison statements from and to various draft-carpenter-solution-sirs-01 13/06 Careful Additional Review of Documents by Senior IETF Reviewers draft-farrel-problem-protocol-icrm-00 11/06 Observations on Proposing Protocol Enhancements that draft-gai-fc-mibs-00 20/06 MIBs Standardization for Fibre Channel draft-hardie /06 Twelve heresies, two visions, and one belief draft-hardie-alt-consensus-00 10/06 Alternative Decision Making Processes for Consensus-blocked draft-hardie-category-descriptions-00 10/06 A proposal describing categories of IETF documents draft-ietf-ipr-submission-rights-06 12/06 IETF Rights in Contributions draft-ietf-ipr-technology-rights-10 19/06 Intellectual Property Rights in IETF Technology Veille Technologique Sécurité N 59 Page 32/63

33 draft-ietf-ipr-template-05 17/06 A Template for IETF Patent Disclosures and Licensing Declarations draft-ietf-ipr-wg-guidelines-05 11/06 Guidelines for Working Groups on Intellectual Property Issues draft-rfc-editor-rfc2223bis-06 19/06 Instructions to Request for Comments (RFC) Authors IMAP draft-crispin-imap-urlauth-00 19/06 Internet Message Access Protocol (IMAP) - URLAUTH Extension draft-ietf-imapext-acl-08 17/06 IMAP4 ACL extension draft-ietf-imapext-condstore-02 17/06 IMAP Extension for Conditional STORE operation draft-ietf-lemonade-goals-00 24/06 Goals for Internet Messaging to Support Diverse Service Environ draft-ietf-lemonade-imap-channel-00 24/06 IMAP CHANNEL Protocol and Use Cases draft-ietf-lemonade-submit-00 19/06 IMAP Submit Without Download draft-melnikov-imap-unselect-01 04/06 IMAP UNSELECT command draft-royer-lemonade-submit-00 16/06 IMAP-PROXY service for mobile clients to do submitting forwarding draft-stebrose-lemonade-mmsarch-01 04/06 A Survey of Mobile Messaging Architectures and Requirements IMPP draft-day-atkins-impp-defacto-00 09/06 IMPP Working Group History and De Facto Charter INTER draft-njedjou-inter-an-handoffs-00 11/06 Motivation for Network Controlled Handoffs using IP mobility IP draft-baker-slem-architecture-01 02/06 Cisco Support for Lawful Intercept In IP Networks draft-ietf-manet-tbrpf-09 26/06 Topology Dissemination Based on Reverse-Path Forwarding draft-nalawade-kapoor-tunnel-safi-00 25/06 IPv4-Tunnel SAFI draft-syam-ip-state-model-01 16/06 State Model for IP Interfaces IPDVB draft-fair-ipdvb-req-03 06/06 Requirements for transmission of IP datagrams over MPEG-2 Nets IPFIX draft-ietf-ipfix-arch-00 19/06 Architecture Model for IP Flow Information Export draft-ietf-ipfix-as-00 20/06 IPFIX Applicability draft-ietf-ipfix-info-00 18/06 Information Model for IP Flow Information Export draft-ietf-ipfix-protocol-00 19/06 IPFIX Protocol Specifications draft-ietf-ipfix-reqs-10 11/06 Requirements for IP Flow Information Export draft-kim-ipfix-ppr-00 26/06 Supplementing IPFIX Flow Informaion with Per-packet Records IPMP draft-mcgregor-ipmp-02 05/06 IP Measurement Protocol (IPMP) IPOIB draft-ietf-ipoib-architecture-02 06/06 IP over InfiniBand(IPoIB) Architecture draft-ietf-ipoib-ibif-mib-05 23/06 Definitions of Managed Objects for Infiniband Interface Type draft-ietf-ipoib-ibmib-tc-mib-03 28/05 Definition of Textual Conv. & OBJECT-IDENTITIES for IPOVERIB draft-ietf-ipoib-link-multicast-04 05/06 IP link and multicast over InfiniBand networks draft-ietf-ipoib-subnet-mgmt-agent-mib-05 23/06 Definition of Managed Objects for the Infiniband SMA IPPM draft-ietf-ippm-owdp-reqs-06 11/06 A One-way Active Measurement Protocol Requirements draft-stephan-ippm-spatial-metrics-01 20/06 Spatial metrics for IPPM IPR draft-savola-ipr-lastcall-02 27/05 Mentioning Intellectual Property Rights Considerations in Last Call IPTE draft-boucadair-ipte-acct-pib-02 17/06 An IP Traffic Engineering PIB for Accounting purposes IPTEL draft-mahy-iptel-cpc-00 24/06 The Calling Party's Category tel URI Parameter IP draft-elmalki-v6ops-3gpp-translator-00 17/06 IPv6-IPv4 Translators in 3GPP Networks draft-nickless-ipv4-mcast-unusable-02 17/06 IPv4 Multicast Unusable Group And Source Addresses IPV6 draft-desanti-ipv6-over-fibre-channel-02 20/06 IPv6 over Fibre Channel draft-hinden-ipv6-global-local-addr-01 12/06 Globally Unique IPv6 Local Unicast Addresses draft-ietf-ipv6-rfc2012-update-03 26/06 Management Information Base for the TCP draft-ietf-ipv6-rfc2096-update-03 20/06 IP Forwarding Table MIB draft-ietf-ipv6-scoping-arch-00 24/06 IPv6 Scoped Address Architecture draft-ietf-ipv6-unicast-aggr-v /06 IPv6 Global Unicast Address Format draft-ietf-multi6-multihoming-requireme-07 13/06 Goals for IPv6 Site-Multihoming Architectures draft-ietf-v6ops-3gpp-analysis-04 13/06 Analysis on IPv6 Transition in 3GPP Networks draft-ietf-v6ops-unman-scenarios-02 17/06 Unmanaged Networks IPv6 Transition Scenarios draft-jeong-hmipv6-dns-optimization-01 18/06 The Autoconfiguration of Recursive DNS Server draft-lee-v6ops-natpt-mobility-00 09/06 Considerations for Mobility Support in NAT-PT draft-lind-v6ops-isp-scenarios-00 17/06 Scenarios for Introducing IPv6 into ISP Networks draft-pouffary-v6ops-ent-v6net-03 20/06 IPv6 Enterprise Networks Scenarios draft-shen-ipv6-nd-name-seq-options-01 24/06 Link Name and Sequence Options for IPv6 Neighbor Discovery draft-shin-v6ops-application-transition-01 26/06 Application Aspects of IPv6 Transition draft-shirasaki-dualstack-service-01 10/06 A Model of IPv6/IPv4 Dual Stack Internet Access Service draft-stephan-ipv6-protocol-identifier-00 26/06 Protocol identifiers for IPv6 draft-templin-lsareqts-00 20/06 Requirements for Limited-Scope Unicast Addressing in IPv6 draft-van-beijnum-multi6-2pi1a-00 25/06 Two Prefixes in One Address IRIS draft-ietf-crisp-iris-areg-02 09/06 An Address Registry (areg) Type for the FIRS draft-ietf-crisp-iris-beep-02 09/06 Using IRIS over the Blocks Extensible Exchange Protocol (BEEP) draft-ietf-crisp-iris-core-02 09/06 The Internet Registry Information Service (IRIS) Core Protocol draft-ietf-crisp-iris-dreg-02 09/06 A Domain Registry Type for the IRIS draft-newton-iris-ereg-00 24/06 An ENUM Registry (ereg) Type for the IRIS draft-newton-iris-lightweight-01 09/06 IRIS - A Lightweight Transport iscsi draft-ietf-ips-command-ordering-00 09/06 SCSI Command Ordering Considerations with iscsi draft-ietf-ips-iscsi-boot-10 26/06 Bootstrapping Clients using the iscsi Protocol draft-ietf-ips-iscsi-name-disc-10 26/06 iscsi Naming and Discovery ISER draft-murphy-iser-telnet-00 20/06 iseries Telnet Enhancements ISIS draft-raggarwa-isis-cap-00 05/06 Extensions to IS-IS for Advertising Optional Router Capabilities draft-raszuk-isis-peer-discovery-00 24/06 ISIS Extensions for BGP Peer Discovery isns draft-ietf-ips-isns-19 10/06 Internet Storage Name Service (isns) JAVA draft-harold-jmxp-00 04/06 Java(tm) Management Extensions Protocol L2TP draft-ietf-l2tpext-pwe3-fr-02 17/06 Frame-Relay Pseudo-Wire Extensions for L2TP draft-ietf-l2tpext-pwe3-hdlc-01 17/06 HDLC Frames Over L2TPv3 draft-luo-l2tpext-l2vpn-signaling-02 03/06 L2VPN Signaling Using L2TPv3 draft-yegin-l2-triggers-01 10/06 Link-layer Triggers Protocol LDAP draft-legg-ldap-gser-04 04/06 Generic String Encoding Rules for ASN.1 Types draft-legg-ldap-gser-abnf-07 04/06 Common Elements of GSER Encodings Veille Technologique Sécurité N 59 Page 33/63

34 draft-newton-ldap-whois-03 18/06 Whois Domain Data using the LDAP LIN6 draft-arifumi-lin6-multihome-api-00 23/06 Basic Socket API Extensions for LIN6 End-to-End Multihoming LMP draft-ietf-ccamp-lmp-09 11/06 Link Management Protocol (LMP) draft-ietf-ccamp-lmp-mib-06 30/05 Link Management Protocol Management Information Base draft-ietf-ccamp-lmp-test-sonet-sdh-03 29/05 SONET/SDH Encoding for LMP Test messages LWAPP draft-calhoun-seamoby-lwapp-02 02/06 Light Weight Access Point Protocol (LWAPP) MAGMA draft-daley-magma-mobile-00 18/06 Requirements for Mobile Multicast Clients MAPOS draft-ogura-mapos-nsp-multiexp-01 06/06 A Multicast Extension to MAPOS NSP - NSP+ MBONED draft-giuliano-mboned-v6mcast-framework-00 12/06 Framework for Deploying IP Multicast in IPv6 draft-ietf-mboned-ipv4-mcast-bcp-01 17/06 IPv4 Multicast Best Current Practice draft-ietf-mboned-msdp-deploy-02 28/05 MSDP Deployment Scenarios draft-ietf-mboned-ssm /05 Source-Specific Protocol Independent Multicast in 232/8 draft-lehtonen-mboned-mcop-operation-00 19/06 MCOP operation for first hop routers MEGACO draft-ietf-megaco-callflows-02 02/06 Megaco/H.248 Call flow examples MGCP draft-foster-mgcp-bulkaudits-09 10/06 The Media Gateway Control Protocol (MGCP) Bulk Audit Package draft-foster-mgcp-redirect-03 02/06 MGCP Redirect and Reset Package MIB draft-ietf-disman-alarm-mib-14 10/06 Alarm MIB draft-ietf-disman-event-mib-v /06 Event MIB draft-ietf-disman-express-mib-v /06 Distributed Management Expression MIB draft-ietf-disman-notif-log-mib-v /06 Notification Log MIB draft-ietf-disman-remops-mib-v /06 Def. of MO for Remote Ping, Traceroute, and Lookup Operations draft-ietf-hubmib-mau-mib-v /06 Definitions of Managed Objects for IEEE MAU draft-ietf-hubmib-power-ethernet-mib-08 25/06 Power Ethernet MIB draft-ietf-ipcdn-cable-gateway-add-mib-00 24/06 Cable Gateway Addressing MIB for CableHome compliant Resid draft-ietf-ipcdn-cable-gateway-config-mib-00 24/06 Cable Gateway Configuration MIB for CableHome compliant draft-ietf-ipcdn-cable-gateway-device-mib-00 24/06 Cable Gateway Device MIB for CableHome compliant Residential draft-ietf-ipcdn-cable-gateway-qos-mib-00 24/06 Cable Gateway Quality of Service MIB Base for CableHome draft-ietf-ipcdn-cable-gateway-tools-mib-00 24/06 Cable Gateway Tools MIB for CableHome compliant Residential draft-ietf-ipcdn-subscriber-mib-11 29/05 MIB for DOCSIS Cable Modem Termination Systems for draft-ietf-iptel-trip-mib-06 11/06 Management Information Base for Telephony Routing over IP draft-ietf-magma-mgmd-mib-00 25/06 Multicast Group Membership Discovery MIB MIDCOM draft-ietf-midcom-semantics-03 17/06 MIDCOM Protocol Semantics MIME draft-freed-mime-p /06 MIME Part Four: Registration Procedures MLD draft-ietf-magma-mld-source-06 26/06 Source Address Selection for Multicast Listener Discovery Protocol draft-vida-mld-v /06 Multicast Listener Discovery Version 2 (MLDv2) for IPv6 MMS draft-gellens-lemonade-mms-mapping-00 23/06 Mapping Between the MMS and Internet Mail draft-newman-lemonade-compose-00 23/06 Message Composition MOBILEIP draft-bagnulo-mobileip-unreachable-hoa-00 02/06 MIPv6 communications when the HoA becomes unreachable draft-bharatia-mobileip-gen-mipv4-ext-02 05/06 Mobile IPv4 Extension for Configuration Options Exchange draft-chen-mobileip-packet-fitlering-xc-01 17/06 MIPv6 Inter-working with Packet Filtering draft-han-mobileip-adad-00 03/06 Advance Duplicate Address Detection draft-hong-mobileip-acar-00 23/06 Access Router Based Movement Detection and CoA Configuration draft-hong-mobileip-applicability-00 25/06 Considerations of FMIPv6 in networks draft-ietf-mobileip-ipv /06 Mobility Support in IPv6 draft-ietf-mobileip-lowlatency-handoffs-v /06 Low latency Handoffs in Mobile IPv4 draft-ietf-mobileip-rfc3012bis-05 27/05 Mobile IPv4 Challenge/Response Extensions (revised) draft-jung-mobileip-fastho-hmipv /06 Fast Handover for Hierarchical MIPv6 (F-HMIPv6) draft-park-mobileip-wifi-handover-00 25/ Mobility Framework Supporting GPRS Handover draft-pentland-mobileip-linkid-00 30/05 Router Advertisement Link Identification for Mobile IPv6 draft-yokote-mobileip-api-02 26/06 Mobile IP API MONITOR draft-bhattacharyya-monitoring-deployme-00 09/06 Deployment of inter-operable monitoring infrastructure in ISP nets MPEG draft-fair-ipdvb-ar-00 25/06 Address Resolution for IP datagrams over MPEG-2 networks MPLS draft-aissaoui-extended-pid-00 23/06 Extended MPLS/PW PID draft-ayyangar-inter-region-te-00 23/06 Inter-region MPLS Traffic Engineering draft-boudani-mpls-multicast-tree-04 24/06 An Effective Solution for Multicast Scalability:The MPLS MMT draft-choi-ccamp-e2e-restoration-srlg-00 26/06 Signaling Extension for the End-to-End Restoration with SRLG draft-choi-gmpls-resource-mapping-00 25/06 Resource Mapping for GMPLS with Heterogeneous Interfaces draft-choi-mpls-grouplabel-requirement-00 25/06 Requirements for multicast service using a group label over MPLS draft-ietf-ccamp-gmpls-ason-reqts-00 02/06 Requirements for GMPLS Usage and Extensions for ASON draft-ietf-ccamp-gmpls-g /05 GMPLS Signalling Extensions for G.709 Optical Transp Net. Control draft-ietf-ccamp-gmpls-recovery-analysis-01 27/05 Analysis of Generalized MPLS-based Recovery Mechanisms draft-ietf-mpls-ldp-mib-11 10/06 Definitions of Managed Objects for the MPLS, LDP draft-ietf-mpls-ldp-mtu-extensions-01 09/06 MTU Signalling Extensions for LDP draft-ietf-mpls-ldp-restart-applic-01 11/06 Applicability Statement for Restart Mechanisms for the LDP draft-ietf-mpls-lsp-query-07 12/06 MPLS Label Distribution Protocol Query Message Description draft-ietf-mpls-lsr-mib-10 06/06 Multiprotocol Label Switching Label Switching Router MIB draft-ietf-mpls-mgmt-overview-06 09/06 Multiprotocol Label Switching (MPLS) Management Overview draft-ietf-mpls-tc-mib-07 06/06 Definitions of Textual Conventions for MPLS Management draft-iwata-mpls-crankback-06 16/06 Crankback Signaling Extensions for MPLS Signaling draft-kompella-mpls-rsvp-constraints-01 18/06 Carrying Constraints in RSVP draft-satoru-mpls-lsp-accounting-req-00 25/06 Traffic Accounting Requirements for MPLS Networks draft-shimano-ccamp-extra-lsp-00 26/06 Extra class LSP service using protecting resources in GMPLS net. draft-swallow-mpls-lsr-self-test-00 26/06 LSR Self-Test draft-vijay-mpls-rsvpte-lspsubobject-02 04/06 LSP Subobject for RSVP-TE MSCP draft-keyur-mscp-00 26/06 Multicast Signaling Conduit Protocol MSDP draft-ietf-msdp-mib-07 29/05 Multicast Source Discovery protocol MIB draft-ietf-msdp-spec-20 27/05 Multicast Source Discovery Protocol (MSDP) Veille Technologique Sécurité N 59 Page 34/63

35 MSGHEAD draft-newman-msgheader-originfo-05 28/05 Originator-Info Message Header MSNIP draft-ietf-magma-msnip-04 20/06 Multicast Source Notification of Interest Protocol (MSNIP) MULTI6 draft-huitema-multi6-experiment-00 20/06 Simple Dual Homing Experiment NAC draft-lach-nac-00 26/06 Net Access Co-ordination to Complement IP Mobility Protocols NAME draft-klensin-name-filters-02 20/06 User Interface Evaluation and Filtering of Internet Addresses NAMEDOB draft-howard-namedobject-01 02/06 A Structural Object Class for Arbitrary Auxiliary Object Classes NAS draft-dfncis-netnews-admin-sys-06 18/06 Netnews Administration System (NAS) NEMO draft-droms-nemo-dhcpv6-pd-00 25/06 DHCPv6 Prefix Delegation for NEMO draft-hkang-nemo-ro-tlmr-00 26/06 Route Optimization for Mobile Network draft-ietf-nemo-basic-support-00 25/06 Nemo Basic Support Protocol draft-jeong-nemo-ro-ndproxy-00 12/06 ND-Proxy based Route Optimization for Mobile Nodes in Mobile draft-jung-nemo-threat-analysis-00 23/06 Electronics and Telecommunications Research Institute draft-lach-nemo-experiments-overdrive-00 26/06 Laboratory and 'Field' Experiments with IPv6 Mobile Networks draft-leekj-nemo-ro-pd-00 23/06 Route Optimization for Mobile Nodes in Mobile Network draft-thubert-nemo-ipv4-traversal-01 30/05 IPv4 traversal for MIPv6 based Mobile Routers draft-thubert-nemo-ro-taxonomy-01 05/06 Taxonomy of Route Optimization models in the Nemo Context NETCONF draft-goddard-netconfsoap-00 23/06 A SOAP Binding for NETCONF draft-weijing-netconf-interface-00 26/06 XML Network Management Interface NETFLOW draft-claise-netflow /06 Cisco Systems NetFlow Services Export Version 9 NETWORK draft-holness-network-l2vpsp-01 17/06 The Nortel Networks Ethernet Layer 2 VPSP Protocol NFS draft-eriksen-nfsv4-acl-02 02/06 Mapping Between NFSv4 and Posix Draft ACLs draft-ietf-nfsv4-repl-mig-proto-01 28/05 A Server-to-Server Replication/Migration Protocol draft-shepler-nfsv4-dirnotify-00 29/05 NFS version 4 Directory Notifications draft-shepler-nfsv4-mib-00 29/05 NFS version 4 MIB for Server Implementations draft-talpey-nfs-rdma-problem-statement-00 23/06 NFS RDMA Problem Statement draft-thurlow-nfsv4-namespace-00 28/05 A Namespace For NFS Version 4 NNTP draft-ietf-nntpext-streaming-00 03/06 NNTP Extension for Streaming Feeds NSIS draft-brunner-nsis-midcom-ps-00 18/06 NSIS NAT/FW NSLP: Problem Statement and Framework draft-buchli-nsis-nslp-00 12/06 A Network Service Layer Protocol for QoS signaling draft-buchli-nsis-ntlp-00 05/06 Implementation of CASP NTLP draft-couturier-nsis-measure-00 28/05 Signaling for QoS Measurement draft-fu-nsis-mobility-00 25/06 Mobility Support in NSIS draft-hancock-nsis-overload-00 19/06 Handling Overload Conditions in the NSIS Protocol Suite draft-ietf-nsis-qos-requirements-01 18/06 Requirements of a QoS Solution for Mobile IP draft-ietf-nsis-req-08 18/06 Requirements for Signaling Protocols draft-lee-nsis-signaling-ran-00 26/06 QoS Signaling for IP-based Radio Access Networks draft-schulzrinne-nsis-ntlp-00 26/06 GIMPS: General Internet Messaging Protocol for Signaling draft-tschofenig-nsis-qos-authz-issues-00 24/06 QoS NSLP Authorization Issues NTLP draft-shore-ntlp-00 24/06 The NSIS Transport Layer Protocol (NTLP) OPES draft-ietf-opes-end-comm-00 11/06 OPES processor and end points communications draft-ietf-opes-iab-00 12/06 OPES Treatment of IAB Considerations draft-ietf-opes-ocp-core-00 09/06 OPES Callout Protocol Core OPTICAL draft-rabbat-optical-recovery-reqs-00 23/06 Optical Network Failure Recovery Requirements OSPF draft-ietf-ospf-scalability-05 29/05 Prioritized OSPF Packets and Congestion Avoidance draft-katz-yeung-ospf-traffic-10 18/06 Traffic Engineering Extensions to OSPF Version 2 draft-mirtorabi-ospfv3-af-01 18/06 Support of address families in OSPFv3 draft-mirtorabi-ospfv3-multicast-af-00 23/06 IPv6 Multicast address-family in OSPFv3 draft-nguyen-ospf-lls-03 20/06 OSPF Link-local Signaling draft-nguyen-ospf-oob-resync-03 20/06 OSPF Out-of-band LSDB resynchronization draft-nguyen-ospf-restart-03 20/06 OSPF Restart Signaling draft-pillay-esnault-ospf-flooding-07 17/06 OSPF Refresh and Flooding Reduction in Stable Topologies draft-raszuk-ospf-bgp-peer-discovery-00 24/06 OSPF Extensions for BGP Peer Discovery P2P draft-strauss-p2p-chat-02 26/06 P2P CHAT - A Peer-to-Peer Chat Protocol PETERSO draft-rosenberg-peterson-simple-phone-00 25/06 Extensions to the PIDF for Conveying Phone State PIM draft-ietf-pim-bidir-05 20/06 Bi-directional Protocol Independent Multicast (BIDIR-PIM) POLICY draft-ietf-policy-qos-device-info-model-10 27/05 Model for Describing Network Device QoS Datapath Mechanisms POWD draft-mark-powd-00 25/06 Passive One-way Delay Measurement PPP draft-gpaterno-wireless-pppoe-11 29/05 Using PPP-over-Ethernet (PPPoE) in Wireless LANs draft-ietf-pppext-ipv6-dns-addr-03 16/06 PPP IPV6 Control Protocol Extensions for DNS Server Addresses draft-mancini-pppext-eap-ldap-00 26/06 EAP-LDAP Protocol PPS draft-morita-tsvwg-pps-00 25/06 Framework of Priority Promotion Scheme PROVREG draft-ietf-provreg-epp-ext-03 30/05 Guidelines for Extending the Extensible Provisioning Protocol PSAMP draft-ietf-psamp-mib-00 25/06 Definitions of Managed Objects for Packet Sampling PSN draft-vainshtein-cesopsn-06 06/06 TDM Circuit Emulation Service over Packet Switched Network PSTMT draft-dawkins-pstmt-twostage-00 25/06 Two Stage Standardization Approach PWE3 draft-ietf-pwe3-arch-04 16/06 PWE3 Architecture draft-ietf-pwe3-enet-mib-01 17/06 Ethernet Pseudo Wire (PW) Management Information Base draft-ietf-pwe3-fragmentation-02 18/06 PWE3 Fragmentation and Reassembly draft-ietf-pwe3-hdlc-ppp-encap-mpls-00 16/06 Encapsulation of PPP/HDLC Frames Over IP and MPLS Networks draft-ietf-pwe3-iana-allocation-01 16/06 IANA Allocations for pseudo Wire Edge to Edge Emulation (PWE3) draft-ietf-pwe3-pw-mib-01 17/06 Pseudo Wire (PW) Management Information Base draft-ietf-pwe3-pw-mpls-mib-01 17/06 Pseudo Wire (PW) over MPLS PSN Management Information Base draft-ietf-pwe3-pw-tc-mib-01 17/06 Textual Conventions and OBJECT-IDENTITIES for Pseudo-Wires draft-stein-pwe3-stpp-00 26/06 Simple TDM Pseudowire Protocol draft-townsley-pwe3-l2tpv /06 Pseudowires and L2TPv3 QCP draft-gellens-qcp-01 29/05 The QCP File Format and Associated Media Types RDDP draft-ietf-rddp-applicability-00 12/06 Applicability of RDMAand Direct Data Placement (DDP) Veille Technologique Sécurité N 59 Page 35/63

36 RFC1738 draft-hoffkohn-rfc1738bis-00 19/06 Definitions of Early URI Schemes RFC2279 draft-yergeau-rfc2279bis-05 10/06 UTF-8, a transformation format of ISO RFC2806 draft-ietf-iptel-rfc2806bis-00 24/06 The tel URI for Telephone Calls RFC954B draft-daigle-rfc954bis-00 12/06 WHOIS Protocol Specification RIP draft-karthikeyan-autosummariz-in-ripv /06 Auto Summarization in RIPv2 RMD draft-westberg-rmd-framework-03 28/05 Resource Management in Diffserv (RMD) Framework draft-westberg-rmd-od-phr-03 29/05 Resource Management in Diffserv On DemAnd (RODA) PHR RMON draft-ietf-rmonmib-framework-05 04/06 Introduction to the RMON Family of MIB Modules draft-ietf-rmonmib-raqmon-framework-02 10/06 Real-time Application Quality of Service Monitoring Framework draft-ietf-rmonmib-raqmon-mib-01 04/06 Real-time Application Quality of Service Monitoring MIB draft-ietf-rmonmib-raqmon-pdu-02 10/06 Real-time Application Quality of Service Monitoring PDU RMT draft-ietf-rmt-bb-norm-06 09/06 NACK-Oriented Reliable Multicast (NORM) Building Blocks draft-ietf-rmt-flute-00 12/06 FLUTE - File Delivery over Unidirectional Transport draft-ietf-rmt-pi-norm-07 09/06 NACK-Oriented Reliable Multicast Protocol (NORM) ROHC draft-ietf-rohc-context-replication-00 19/06 Context Replication for ROHC Profiles draft-ietf-rohc-sigcomp-sip-00 20/06 Applying Signaling Compression (SigComp) to SI P draft-ietf-rohc-sigcomp-user-guide-00 17/06 SigComp User Guide draft-ietf-rohc-tcp-04 23/05 RObust Header Compression (ROHC): TCP/IP Profile (ROHC-TCP) draft-ietf-rohc-tcp-enhancement-01 27/05 ROHC-TCP: Unidirectional Operation Enhancements draft-ietf-rohc-tcp-requirements-06 13/06 Requirements for ROHC IP/TCP Header Compression draft-pelletier-rohc-context-replication-00 23/05 Context Replication for ROHC Profiles draft-price-rohc-tcp-packet-formats-00 29/05 TCP/IP Compressed Packet Formats RSERPOO draft-ietf-rserpool-applic-00 20/06 Reliable Server pool applicability Statement RSVP draft-ietf-ccamp-rsvp-te-exclude-route-00 13/06 Exclude Routes - Extension to RSVP-TE RTP draft-burmeister-avt-rtcp-feedback-sim-02 04/06 Extended RTP Profile for RTCP-based Feedback - Results of the draft-chen-rtp-bv-00 18/06 RTP Payload Format for BroadVoice Speech Codecs draft-fairman-rtp /06 RTP Payload Format for 1394/61883 Isochronous Streams draft-ietf-avt-rtcp-feedback-07 11/06 Extended RTP Profile for RTCP-based Feedback(RTP/AVPF) draft-lazzaro-avt-mwpp-coding-guidelines-03 02/06 An Implementation Guide for RTP MIDI draft-lazzaro-avt-rtp-framing-contrans-01 27/05 Framing RTP & RTCP Packets over Connection-Oriented Transport draft-rey-avt-3gpp-timed-text-00 20/06 RTP Payload Format for 3GPP Timed Text SCHEMA draft-apple-schema-metadata-00 23/06 Directory Schema Listing Metadata draft-apple-schema-proc-00 23/06 Directory Schema Listing Procedures draft-apple-schema-reg-file-00 16/06 Directory Schema Listing File Names draft-apple-schema-reg-rqmts-00 16/06 Reqs for the Initial Release of a Directory Schema Listing Service SCTP draft-coene-sctp-multihome-04 06/06 Multihoming issues in the Stream Control Transmission Protocol draft-ietf-tsvwg-prsctp-00 19/06 SCTP Partial Reliability Extension draft-sjkoh-sctp-mobility-02 18/06 Architecture of Mobile SCTP for IP Mobility Support SDP draft-camarillo-mmusic-alt-01 19/06 The Alternative Semantics for the SDP Grouping Framework draft-ietf-mmusic-sdp4nat-05 02/06 RTCP attribute in SDP draft-ietf-mmusic-sdp-bwparam-04 26/06 A Transport Independent Bandwidth Modifier for the SDP SEAMOBY draft-ietf-seamoby-ctp-02 30/05 Context Transfer Protocol draft-koodli-seamoby-hc-relocate-02 26/06 Context Relocation for Seamless Header Compression in IP Nets SIGTRAN draft-ietf-sigtran-m3ua-mib-05 13/06 SS7 MTP3-User Adaptation Layer (M3UA) MIB draft-ietf-sigtran-sctp-mib-10 06/06 Stream Control Transmission Protocol MIB draft-ietf-sigtran-v5ua-04 01/06 V5.2-User Adaption Layer (V5UA) SILC draft-riikonen-flags-payloads-03 16/06 SILC Message Flag Payloads SIMPLE draft-boudani-simple-xcast-03 25/06 Simple Explicit Multicast (SEM) draft-ietf-simple-event-list-04 13/06 A SIP Event Notification Extension for Resource Lists draft-ietf-simple-message-sessions-00 23/05 Instant Message Sessions in SIMPLE draft-ietf-simple-pres-filter-reqs-01 19/06 Requirements for Presence Specific Event Notification Filtering draft-ietf-simple-rpids-00 24/06 Rich Presence Information Data Format draft-ietf-simple-xcap-00 25/06 XML Configuration Access Protocol (XCAP) draft-ietf-simple-xcap-auth-usage-00 24/06 XML XCAP Usages for Setting Presence Authorization draft-ietf-simple-xcap-list-usage-00 25/06 An XML XCAP Usage for Presence Lists draft-ietf-simple-xcap-package-00 25/06 A SIP Event Package for Modification Events for XML XCAP draft-lonnfors-simple-partial-notify-02 19/06 Partial Notification of Presence Information draft-roach-simple-blconf-00 23/06 SIMPLE Buddylist Configuration Problem Statement draft-rosenberg-simple-xcap-00 26/05 The XML Configuration Access Protocol (XCAP) draft-rosenberg-simple-xcap-list-usage-00 27/05 An XML XCAP Usage for Presence Lists draft-rosenberg-simple-xcap-package-00 27/05 A SIP Event Package for Modification Events for the XML XCAP.. SIP draft-anil-sip-bla-00 12/06 Implementing Bridged Line Appearances Using SIP draft-audet-sip-add-realm-00 23/06 Identifying intra-realm calls with explicit addressing realm draft-camarillo-sip-parameter-registry-01 19/06 The Internet Assigned Number Authority Header Field Parameter draft-camarillo-sip-uri-parameter-reg-00 19/06 The Internet Assigned Number Authority Universal Resource draft-elwell-sip-identity-interworking-00 28/05 User identification in a SIP/QSIG environment draft-elwell-sip-qsig2sip-diversion-00 20/06 Interworking between SIP and QSIG for call diversion draft-ietf-sip-aaa-req-03 02/06 AAA Requirements for SIP draft-ietf-sip-callee-caps-00 26/06 Indicating User Agent Capabilities in SIP draft-ietf-sip-content-indirect-mech-03 03/06 A Mechanism for Content Indirection in SIP Messages draft-ietf-sip-history-info-00 23/06 An Extension to SIP for Request History Information draft-ietf-sip-referredby-02 18/06 The SIP Referred-By Mechanism draft-ietf-sip-req-history-04 24/06 SIP Generic Request History Capability Requirements draft-ietf-sip-resource-priority-00 24/06 Communications Resource Priority for SIP draft-jennings-sip-mime-00 24/06 Recommendations for using MIME body parts in SIP draft-johnston-sip-rtcp-summary-00 23/06 RTCP Summary Report Delivery to SIP Third Parties draft-mahy-sip-connect-reuse-00 25/06 Connection Reuse in the Session Initiation Protocol (SIP) Veille Technologique Sécurité N 59 Page 36/63

37 draft-mahy-sip-tones-00 24/06 Conveying Tones in the Session Initiation Protocol (SIP) draft-melanchuk-sip-moml-00 24/06 Media Objects Markup Language (MOML) draft-melanchuk-sip-msml-00 24/06 Media Sessions Markup Language (MSML) draft-olson-sip-dialog-package-ext-00 24/06 Ext to the Dialog event package for Third Party Call Control draft-olson-sip-refer-extensions-00 23/06 Extensions to the REFER mechanism for Third Party Call Control draft-polk-sip-location-requirements-00 23/06 Session Initiation Protocol Location Requirements draft-sharath-sipb-requirements-00 23/06 SSIP for Business Phones Requirements draft-sinnreich-sipdev-req-01 18/06 SIP Telephony Device Requirements, Configuration and Data draft-venkatar-sip-called-name-00 04/06 Enhancements to Asserted Identity to Enable Called Party Name draft-victor-fullmesh-reqts-00 29/05 Requirements for Full-mesh Conference Model using Baseline SIP SMI draft-irtf-nmrg-sming-04 29/05 SMIng - Next Generation Structure of Management Information draft-irtf-nmrg-sming-modules-02 29/05 SMIng Core Modules draft-irtf-nmrg-sming-snmp-02 29/05 SMIng Mappings to SNMP SMTP draft-vaudreuil-esmtp-binary /06 SMTP Service Ext. for Transmission of Large Binary MIME Msg SNMP draft-chisholm-snmp-infomode-00 25/06 The SNMP Information Model draft-ietf-snmpconf-diffpolicy-06 06/06 The Differentiated Services Configuration MIB SOAP draft-baker-soap-media-reg-03 18/06 The 'application/soap+xml' media type SPEECHS draft-ietf-speechsc-reqts-04 06/06 Reqs for Distributed Control of ASR, SI/SV and TTS Resources SRMP draft-pullen-srmp-02 19/06 Selectively Reliable Multicast Protocol (SRMP) SSM draft-ietf-magma-mrdssm-03 18/06 Multicast Router Discovery SSM Range Option SUBMIT draft-hall-submit-srv-00 18/06 Message-Submission SRV Resource Record TCP draft-allman-tcp-early-rexmt-01 25/06 Early Retransmit for TCP and SCTP draft-ietf-tsvwg-dsack-use-00 23/06 TCP DSACKs and SCTP Duplicate TSNs to Detect Spurious restrans draft-ietf-tsvwg-newreno-00 20/06 The NewReno Modification to TCP's Fast Recovery Algorithm draft-sarolahti-tsvwg-tcp-frto-04 03/06 F-RTO: An Algorithm for Detecting Spurious Retrans. Timeouts TEWG draft-boyle-tewg-interarea-reqts-00 24/06 Support of Inter-Area and Inter-AS MPLS Traffic Engineering draft-ietf-tewg-diff-te-mam-00 25/06 Max Alloc BW Constraints Model for Diff-Serv-aware MPLS Traffic draft-ietf-tewg-diff-te-proto-04 17/06 Prot. ext. for support of Diff-Serv-aware MPLS Traffic Engineering draft-ietf-tewg-diff-te-russian-03 17/06 Russian Dolls BW Constraints Model for Diff-Serv-aware MPLS draft-ietf-tewg-interas-mpls-te-req-00 29/05 MPLS Inter-AS Traffic Engineering requirements draft-wlai-tewg-overbook-00 23/06 Use of Overbooking in Diffserv-aware MPLS Traffic Engineering TFTP draft-johnston-tftp-bigblk-00 17/06 TFTP Big Block Number Option Definition draft-johnston-tftp-directory-01 16/06 TFTP Directory Op-Code Definition draft-johnston-tftp-multicast-01 16/06 TFTP Multicast Definition draft-johnston-tftp-restart-session-00 13/06 TFTP Restart and Session Option Definitions draft-johnston-tftp-stream-00 13/06 TFTP Streaming Definition draft-lear-tftp-uri-06 09/06 URI Scheme for the TFTP Protocol TRIGTRA draft-dawkins-trigtran-linkup-00 26/05 End-to-end, Implicit 'Link-Up' Notification URI draft-fielding-uri-rfc2396bis-03 09/06 Uniform Resource Identifier (URI): Generic Syntax draft-pfeiffer-temporal-fragments-01 09/06 Syntax of temporal URI fragment specifications URN draft-thiemann-cbuid-urn-00 20/06 A URN Namespace For Content-Based Unique Identifiers VLAN draft-kawakami-vlan-lsp-signalling-00 25/06 Method to Set up LSP using VLAN Tag Switching VPIM draft-ema-vpim-clid-07 05/06 Calling Line Identification for Voice Mail Messages draft-ietf-vpim-ivm-goals-04 20/06 High-Level Requirements for Internet Voice Mail draft-ietf-vpim-routing-05 19/06 Voice Message Routing Service draft-ietf-vpim-vpimdir-06 19/06 Voice Messaging Directory Service VPN draft-ietf-ppvpn-vpls-bgp-00 26/05 Virtual Private LAN Service draft-ietf-ppvpn-vpls-ldp-00 24/06 Virtual Private LAN Services over MPLS draft-may-ppvpn-vr-ospf-00 17/06 Ext. to OSPF V2 to support a Generalized Virtual Router Arch. draft-metz-switched-atm-l2vpn-00 18/06 Switched ATM L2VPN draft-yacine-ppvpn-mgt-frwk-01 16/06 Framework for PPVPN Operation and Management VRRP draft-ietf-vrrp-ipv6-mib-00 26/06 Definitions of Managed Objects for the VRRP IPv6 VSN draft-declercq-vsn-arch-01 10/06 Architecture for a gradual deployment of end-to-end QoS on VSN WEBDAV draft-ietf-webdav-ordering-protocol-09 23/06 WebDAV Ordered Collections Protocol draft-reschke-webdav-allprop-include-04 12/06 Including add. properties in WebDAV PROPFIND/allprop requests draft-reschke-webdav-search-04 13/06 WebDAV SEARCH WEI draft-jin-wei-low-tcp-fast-00 24/06 FAST TCP for High-Speed Long-Distance Networks WG draft-wasserman-wg-process-00 24/06 Working Group Document Process WHOIS draft-newton-whois-crisp-cohabitation-00 12/06 Cohabitation of the Nicname/Whois Protocol with the CRISP XCONF draft-even-xcon-conference-scenarios-00 23/06 Conferencing Scenarios draft-koskelainen-xcon-floor-control-req-00 25/06 Requirements for Floor Control XML draft-ietf-xmldsig-xc14n-01 13/06 Exclusive XML Canonicalization, Version 1.0 XMPP draft-ietf-xmpp-core-14 26/06 XMPP Core draft-ietf-xmpp-cpim-00 24/06 XMPP CPIM Mapping draft-ietf-xmpp-im-13 26/06 XMPP Instant Messaging draft-ietf-xmpp-nodeprep-03 05/06 Nodeprep: A Stringprep Profile for Node Identifiers in XMPP draft-ietf-xmpp-resourceprep-03 05/06 A Stringprep Profile for Resource Identifiers in XMPP XXX draft-eastlake-xxx-06 11/06.sex Considered Dangerous Y17IW draft-allan-y17iw-overview-00 23/06 An overview of Y.17iw ZEROCON draft-ietf-zeroconf-ipv4-linklocal-08 03/06 Dynamic Configuration of Link-Local IPv4 Addresses Veille Technologique Sécurité N 59 Page 37/63

38 NOS COMMENTAIRES LES RFC RFC 3546 Transport Layer Security (TLS) Extensions Ce standard qui remplace désormais le RFC2246 résulte de la finalisation de la proposition référencée draft-ietftls-extensions co-éditée par des personnels des sociétés Certicom, RSA Security, TransactionWare et Vodafone (Rapport N 35 Juin 2001). Les contraintes spécifiques aux environnements dits sans fils nécessitent d adapter, voire d étendre les spécifications jusqu alors utilisées dans le contexte des réseaux IP câblés. Ce document spécifie ainsi les extensions du protocole TLS la version IETF du protocole SSL - qui doivent faciliter l utilisation de celui-ci dans le contexte des réseaux sans-fil tels IEEE Destinées à être exploitées durant la phase de négociation initiale, ces extensions seront placées dans un champ réservé à cet usage dans le message HELLO. Un nouveau format de message HELLO a cependant du être spécifié, le format actuel n étant pas évolutif. Cet aménagement doit garantir la compatibilité avec les implémentations existantes. Un client utilisant ces extensions sera ainsi capable de négocier avec un serveur ne les supportant pas et vice-versa. Les extensions fonctionnelles suivantes sont spécifiées: 1. Transmission par le client du nom DNS du service contacté. Cette fonction est nécessaire dans les environnements d hébergement où plusieurs noms DNS peuvent être associés à une adresse IP unique correspondant au serveur physique, 2. Négociation de la taille maximale d un enregistrement TLS. Cette fonction permet de minimiser la mémoire requise sur le client et d optimiser la bande passante, 3. Négociation de l utilisation d une référence sur le certificat client afin d économiser la mémoire requise sur le client (un mobile), 4. Transmission par le client de la liste des certificats des AC racines connues de lui afin de minimiser les risques d erreurs, le client n ayant qu une capacité réduite de stockage de certificats, 5. Négociation de l utilisation d un code d authentification (MAC) réduit dans l optique d optimiser la bande passante requise, 6. Négociation de l envoi par le serveur d un message [OCSP] (Online Certificate Status Protocole RFC2560) durant l échange initial évitant ainsi la transmission d une liste de révocation (CRL) coûteuse en terme de bande passante. La table des matières est la suivante : 1. Introduction 2. General Extension Mechanisms 2.1. Extended Client Hello 2.2. Extended Server Hello 2.3. Hello Extensions 2.4. Extensions to the handshake protocol 3. Specific Extensions 3.1. Server Name Indication 3.2. Maximum Fragment Length Negotiation 3.3. Client Certificate URLs 3.4. Trusted CA Indication 3.5. Truncated HMAC 3.6. Certificate Status Request 4. Error alerts 5. Procedure for Defining New Extensions 6. Security Considerations 6.1. Security of server_name 6.2. Security of max_fragment_length 6.3. Security of client_certificate_url 6.4. Security of trusted_ca_keys 6.5. Security of truncated_hmac 6.6. Security of status_request 7. Internationalization Considerations 8. IANA Considerations 9. Intellectual Property Rights 10. Acknowledgments 11. Normative References 12. Informative References 13. Authors' Addresses 14. Full Copyright Statement Veille Technologique Sécurité N 59 Page 38/63

39 ftp://ftp.isi.edu/in-notes/rfc3546txt LES DRAFTS DRAFT-JONES-OPSEC-00.TXT Network Security Requirements for Devices Implementing Internet protocol A travers ce document d information intitulé Network Security Requirements for Devices Implementing Internet protocol, le MITRE célèbre institution de recherche rattachée au Département Américain de la Défense nous propose une liste complète, si ce n est exhaustive, des exigences fonctionnelles de sécurité que l on est en droit d attendre d un quelconque dispositif réseau intégrant un protocole de l Internet. Nous nous autorisons à reproduire intégralement la table des matières de ce document, celle-ci donne une bien meilleure de synthèse des exigences que toute autre liste que nous aurions pu établir: 1. Introduction 1.1 Goals 1.2 Scope 1.3 Context 1.4 Intended Audience 1.5 Format 1.6 Intended Use 1.7 Definitions 2. Best Current Practice 2.1 Device Management Requirements Support Out-of-Band Management (OoB) Interfaces Enforce Separation of Data and Control Channels Separation Not Achieved by Filtering No Forwarding Between Management and Data Planes Device Remains Manageable at All Times Support Remote Configuration Backup Support Management Over Slow Links 2.2 User Interface Requirements Support Human-Readable Configuration File Display of 'Sanitized' Configuration 2.3 IP Stack Requirements Comply With Relevant IETF RFCs on All Protocols Implemented Provide a List of All Protocols Implemented Provide Documentation for All Protocols Implemented Ability to Identify All Listening Services Ability to Disable Any and All Services Ability to Control Service Bindings for Listening Services Ability to Control Service Source Address Ability to Withstand Well-Known Attacks and Exploits Maintain Primary Function at All Times Support Automatic Anti-spoofing for Single-Homed Networks Ability to Disable Processing of Packets Utilizing IP Options Ability to Disable Directed Broadcasts Identify Origin of IP Stack Identify Origin of Operating System 2.4 Rate Limiting Requirements Support Rate Limiting Support Rate Limiting Based on State 2.5 Ability to Filter Traffic 2.6 Packet Filtering Criteria Ability to Filter on Protocols Ability to Filter on Addresses Ability to Filter on Any Protocol Header Fields Ability to Filter Inbound and Outbound Ability to Filter on Layer 2 MAC Addresses 2.7 Packet Filtering Application Targets Ability to Filter Traffic Through the Device Ability to Filter Traffic to the Device Ability to Filter Updates 2.8 Packet Filtering Actions Ability to Specify Filter Actions 2.9 Packet Filtering Counter Requirements Ability to Accurately Count Filter Hits Ability to Display Filter Counters Ability to Display Filter Counters per Rule Ability to Display Filter Counters per Filter Application Veille Technologique Sécurité N 59 Page 39/63

40 2.9.5 Ability to Reset Filter Counters Filter Counters Must Be Accurate 2.10 Other Packet Filtering Requirements Ability to Log Filter Actions Ability to Specify Filter Log Granularity Ability to Filter Without Performance Degradation Filter, Counters, and Filter Log Performance Must Be Usable 2.11 Event Logging Requirements Ability to Log All Events That Affect System Integrity Logging Facility Conforms to Open Standards Catalog of Log Messages Available Ability to Log to Remote Server Ability to Select Reliable Delivery Ability to Configure Security of Log Messages Ability to Log Locally Ability to Specify Logservers by Event Classification Ability to Classify Events Ability to Maintain Accurate System Time Logs Must Be Timestamped Logs Contain Untranslated Addresses Logs Do Not Contain DNS Names by Default 2.12 Authentication, Authorization, and Accounting (AAA) Requirements Authenticate All User Access Support Authentication of Individual Users Support Simultaneous Connections Ability to Disable All Local Accounts Support Centralized User Authentication Support Local User Authentication Support Configuration of Order of Authentication Methods Ability to Authenticate Without Reusable Plaintext Passwords Support Device-to-Device Authentication Ability to Define Privilege Levels Ability to Assign Privilege Levels to Users Default Privilege Level Must Be Read Only Change in Privilege Levels Requires Re-Authentication Accounting Records 2.13 Layer 2 Requirements Filtering MPLS LSRs VLAN Isolation Layer 2 Denial-of-Service Layer 3 Dependencies 2.14 Vendor Behavior Vendor Responsiveness 3. Non-Standard Requirements 3.1 Device Management Requirements Support Secure Management Channels Use Non-Proprietary Encryption Use Strong Encryption Key Management Must Be Scalable Support Scripting of Management Functions 3.2 User Interface Requirements Display All Configuration Settings 3.3 IP Stack Requirements Support Denial-Of-Service (DoS) Tracking Traffic Monitoring Traffic Sampling 4. Advanced Requirements 4.1 IP Stack Requirements Ability To Stealth Device 5. Security Considerations References Author's Address A. Requirement Profiles A.1 Minimum Requirements Profile A.2 Layer 3 Network Core Profile A.3 Layer 3 Network Edge Profile A.4 Layer 2 Network Core Profile A.5 Layer 2 Edge Profile B. Acknowledgments Intellectual Property and Copyright Statements L annexe A, intitulée Requirement Profiles propose 5 profils types normalement adaptés aux différentes situations Veille Technologique Sécurité N 59 Page 40/63

41 et contextes d utilisation couramment rencontrés sous la forme de 5 listes des exigences minimales devant impérativement être implémentées. Le lecteur notera l utilisation d un formalisme de présentation peu lisible mais hélas encore trop souvent employé à notre goût outre Atlantique, formalisme consistant à référencer dans les profils les numéros de chacun des chapitres traitant de l exigence. Cette approche ne simplifie en effet ni le travail de lecture et de compréhension du lecteur qui devra mémoriser des références sans grande signification car non mnémonique, ni le travail de l éditeur qui devra modifier les références croisées à chaque nouvelle édition. Il est dommage que l approche retenue dans le cadre des critères communs n ait pas été retenue. Néanmoins, nous recommandons fortement la lecture de ce intéressant document de 65 pages dont le moindre mérite est de nous proposer une liste de prescriptions parfaitement adaptées au contexte pratique des protocoles de l Internet et on souhaiterait voir celles-ci implémentées par tous les équipements de sécurité. ftp://ftp.nordu.net/internet-drafts/draft-jones-opsec-00.txt Veille Technologique Sécurité N 59 Page 41/63

42 ALERTES ET ATTAQUES ALERTES GUIDE DE LECTURE La lecture des avis publiés par les différents organismes de surveillance ou par les constructeurs n est pas toujours aisée. En effet, les informations publiées peuvent être non seulement redondantes mais aussi transmises avec un retard conséquent par certains organismes. Dès lors, deux alternatives de mise en forme de ces informations peuvent être envisagées : # Publier une synthèse des avis transmis durant la période de veille, en classant ceux-ci en fonction de l origine de l avis, # Publier une synthèse des avis transmis en classant ceux-ci en fonction des cibles. La seconde alternative, pour séduisante quelle soit, ne peut être raisonnablement mise en œuvre étant donné l actuelle diversité des systèmes impactés. En conséquence, nous nous proposons de maintenir une synthèse des avis classée par organisme émetteur de l avis. Afin de faciliter la lecture de ceux-ci, nous proposons un guide de lecture sous la forme d un synoptique résumant les caractéristiques de chacune des sources d information ainsi que les relations existant entre ces sources. Seules les organismes, constructeurs ou éditeurs, disposant d un service de notification officiel et publiquement accessible sont représentés. Avis Spécifiques Avis Généraux Constructeurs Editeurs Indépendants Organismes Réseaux Systèmes Systèmes Editeurs Hackers Editeurs Autres US Autres 3Com Compaq Linux Microsoft l0pht AXENT BugTraq CERT Aus-CERT Cisco HP FreeBSD Netscape rootshell CIAC IBM SGI SUN NetBSD OpenBSD SCO Typologies des informations publiées Publication de techniques et de programmes d attaques Détails des alertes, techniques et programmes Synthèses générales, pointeurs sur les sites spécifiques Notifications détaillées et correctifs techniques L analyse des avis peut être ainsi menée selon les trois stratégies suivantes : # Recherche d informations générales et de tendances : Lecture des avis du CERT et du CIAC # Maintenance des systèmes : Lecture des avis constructeurs associés # Compréhension et anticipation des menaces : Lecture des avis des groupes indépendants Aus-CERT CERT 3Com Compaq Microsoft BugTraq rootshell AXENT NetBSD Cisco HP l0pht ISS OpenBSD IBM Xfree86 SGI Linux SUN FreeBSD CIAC Veille Technologique Sécurité N 59 Page 42/63

43 FORMAT DE LA PRESENTATION Les alertes et informations sont présentées classées par sources puis par niveau de gravité sous la forme de tableaux récapitulatifs constitués comme suit : % Présentation des Alertes EDITEUR TITRE Description sommaire Gravité Date Informations concernant la plate-forme impactée Correction Produit visé par la vulnérabilité Description rapide de la source du problème Référence URL pointant sur la source la plus pertinente % Présentation des Informations SOURCE TITRE Description sommaire URL pointant sur la source d information SYNTHESE MENSUELLE Le tableau suivant propose un récapitulatif du nombre d avis publiés pour la période courante, l année en cours et l année précédente. Ces informations sont mises à jour à la fin de chaque période de veille. L attention du lecteur est attirée sur le fait que certains avis sont repris et rediffusés par les différents organismes. Ces chiffres ne sont donc représentatifs qu en terme de tendance et d évolution. Période du 23/05/2003 au 27/06/2003 Cumul Période Organisme CERT-CA CERT-IN CIAC Constructeurs Cisco HP IBM SGI Sun Editeurs Macromedia Microsoft Netscape Sco Unix libres Linux RedHat Linux Debian Linux Mandr FreeBSD Autres eeye X-Force Cumul Constructeurs Sun 41% Netscape 0% SGI 18% IBM 4% Cisco 6% Cumul Editeurs Sco 28% Microsoft 61% HP 31% Macromedia 11% Cumul Constructeurs IBM 6% Netscape 2% SGI 28% Sun 4% HP 44% Cumul Editeurs Sco 31% Microsoft 57% Cisco 18% Macromedia 10% Veille Technologique Sécurité N 59 Page 43/63

44 ALERTES DETAILLEES AVIS OFFICIELS Les tables suivantes présentent une synthèse des principales alertes de sécurité émises par un organisme fiable, par l éditeur du produit ou par le constructeur de l équipement. Ces informations peuvent être considérées comme fiables et authentifiées. En conséquence, les correctifs proposés, s il y en a, doivent immédiatement être appliqués. APACHE Vulnérabilités dans Apache 2.0 Deux vulnérabilités ont été découvertes dans Apache 2.0 Forte 30/05 Apache à Correctif existant 1 - Module 'mod_dav' Non disponible 2 - Module d'auth. basique CIAC N bulletins/n-099.shtml Apache RHSA-03: APPLE Mot de passe transmis en clair vers le serveur LDAP Les clients Kerberos utilisés avec un serveur LDAP peuvent envoyer le mot de passe en clair. Forte 19/05 Apple MacOS X version 10.2 et suivantes Palliatif proposé Support LDAP Mot de passe transmis en clair CERT VU# Apple Deux vulnérabilités dans Mac OS X Deux vulnérabilités affectent un module Apache et un outil sur Mac OS X. Forte 12/06 Apple MacOS X version Les versions inférieures sont probablement affectées Correctif existant 1 - module 'mod_dav' Non disponible 2 - Outil 'dsimportexport' Apple Apple Contournement des ACLs IPSec sur Mac OS X L'implémentation IPSec sur Mac OS X permet de contourner les ACLs. Moyenne 19/05 Apple Macintosh OS X Correctif existant Implémentation d'ipsec Contournement des ACLs Apple CERT VU# Secunia AXIS Faille dans l'interface d'administration d'axis Camera Il est possible de contourner la phase d'authentification permettant d'accéder à l'interface d'administration d'axis Camera. Critique 27/05 AXIS 2100, 2110, 2120, 2130 PTZ et 2420 Network Camera versions 2.32 et inférieures AXIS 2400, 2401 Video Server versions 2.32 et inférieures AXIS 2460 Network DVR versions 3.00 et inférieures AXIS 250S Video Server versions 3.02 et inférieures Correctif existant Outil d'administration web Contournement de la phase d'authentification CORE CISCO Démarrage d'applications privilégiées sur clients VPN Sous certaines conditions, les clients Cisco VPN permettent le démarrage d'applications sous des droits élevés. Forte 26/05 Cisco VPN Client 3.0 à (Windows) Palliatif proposé Clients Cisco VPN Démarrage d'applications sous des droits élevés SF BID Cisco CSCdt Veille Technologique Sécurité N 59 Page 44/63

45 CISTRON RADIUS Débordement de buffer distant dans 'radiusd-cistron' Un débordement de buffer exploitable à distance affecte l'implémentation 'radiusd-cistron'. Critique 13/06 Cistron Radius version et inférieures, Debian Linux 3.0 (woody), SuSE versions 7.2, 7.3 et 8.0 Correctif existant Implémentation 'radiusdcistron' Débordement de buffer distant SA:2003:030 DSA ETHEREAL Débordements de buffer dans Ethereal De nouveaux débordements de buffer dans différents dissecteurs d'ethereal ont été découverts. Critique 11/06 Ethereal Correctif existant Divers dissecteurs Débordements de buffer enpa-sa HP Multiples vulnérabilités dans CDE Plusieurs vulnérabilités ont été découvertes dans CDE. Critique 02/06 HP HP-UX 10.20, 11.00, 11.04, et 11.22, HP Tru64 UNIX Correctif existant 'libdthelp', 'libdtsvc',' Débordement de buffer dtprintinfo', 'dtsession' et 'dtterm' HPSBUX Vulnérabilité dans 'uucp' et 'uusub' Un débordement de buffer affecte les utilitaires 'uucp' et 'uusub' fournis avec HP-UX. Forte 02/06 HP HP-UX 10.20, et Correctif existant Programmes 'uucp' et 'uusub' Débordement de buffer HPSBUX Déni de service potentiel dans HP-UX Une faille dans HP-UX peut provoquer un déni de service. Forte 05/06 HP HP-UX versions B.11.00, B et B sur HP9000 Series 700/800 Correctif existant HP-UX Non disponible HPSBUX Déni de service distant dans 'tftpd' Le démon 'tftpd' est vulnérable à des attaques par déni de service. Forte 18/06 HP HP-UX versions B.11.00, B et B Correctif existant Démon 'tftpd' Non disponible HPSBUX IBM Relayage d' s sur IBM AIX via 'sendmail' Une mauvaise configuration par défaut de 'sendmail' autorise le relayage d' s. Moyenne 13/05 IBM AIX 4.3, 4.3.1, et 4.3.3IBM AIX 5.1, 5.1L et 5.2 Correctif existant Fichier 'sendmail.cf' Option de relayage d' s activée SDSC SF BID CERT VU# KDE Vulnérabilité de l'implémentation SSL de KDE L'implémentation SSL de KDE est vulnérable. Forte 05/06 KDE version et inférieures, Red Hat Linux 7.1 et 7.2 Correctif existant Implémentation SSL Attaque de type 'man-in-the-middle' RHSA-03: KDE Veille Technologique Sécurité N 59 Page 45/63

46 LINUX Exposition de données via une citation ICMP Le noyau Linux ne calcule pas correctement la taille d'une citation ICMP. Moyenne 10/06 Linux noyaux versions 2.0 à Tous les systèmes basés sur un noyau vulnérable Palliatif proposé Noyau Calcul erroné de la taille d'une citation ICMP CERT VU# Bugtraq LINUX DEBIAN Huit vulnérabilités dans le noyau Linux Huit vulnérabilités affectent le noyau Linux Debian 3.0 (woody). Critique 10/06 Debian Linux 3.0 (woody) sur architecture Intel et PowerPC Correctif existant Noyau Linux Multiples vulnérabilités DSA DSA Multiples vulnérabilités dans 'gps' L'outil de surveillance d'activité système 'gps' contient de multiples vulnérabilités. Forte 27/05 Paquetages gps inférieurs au ou au Correctif existant 'gps' 1 - Non prise en compte des restrictions d'adresses 2 - Mauvais traitement des requêtes 3 - Débordement de buffer DSA Débordement de buffer dans 'gnocatan' Un débordement de buffer distant affecte le serveur 'gnocatan'. Forte 11/06 Debian Linux 3.0 (woody), Paquetage 'gnocatan' Correctif existant Paquetage 'gnocatan' Débordement de buffer distant DSA Débordement de buffer dans 'atftpd' Le paquetage 'atftp' contient un débordement de buffer exploitable à distance. Forte 11/06 Debian Linux 3.0 (woody), Paquetage 'atftp' Correctif existant Service 'atftpd' Débordement de buffer X-Force DSA Déni de service dans 'lyskom-server' Le serveur 'lyskom-server' est sensible à un déni de service. Forte 12/06 Debian Linux 3.0 (woody), Paquetage 'lyskom-server' Correctif existant Paquetage 'lyskom-server' Mauvaise gestion des requêtes DSA Débordement de buffer dans 'typespeed' Un débordement de buffer exploitable à distance affecte 'typespeed'. Forte 16/06 Debian Linux 2.2 (potato) et 3.0 (woody), Paquetage 'typespeed' Correctif existant Jeu 'typespeed' Débordement de buffer distant DSA Débordement de buffer dans 'webfs' Le paquetage 'webfs' est vulnérable à un débordement de buffer. Forte 19/06 Debian Linux 3.0 (woody) Correctif existant Paquetage 'webfs' Non vérification des paramètres, Débordement de buffer DSA Débordements de buffer dans 'osh' Le paquetage 'osh' est sensible à deux débordements de buffer. Forte 20/06 Debian Linux 3.0 (woody), Paquetage 'osh' Correctif existant Paquetage 'osh' Débordement de buffer DSA Acquisition locale de privilèges via 'tcptraceroute' Une vulnérabilité du programme 'tcptraceroute' permet d'acquérir les droits 'root'. Forte 23/06 Debian Linux 3.0 (woody), Paquetage 'tcptraceroute' Correctif existant Programme 'tcptraceroute' Conservation des privilèges DSA Veille Technologique Sécurité N 59 Page 46/63

47 Création non sécurisée de fichiers via 'gzip' Le paquetage 'gzip' est vulnérable à une attaque par lien symbolique. Moyenne 06/06 Debian Linux 2.2 (potato) et 3.0 (woody) Correctif existant Paquetage 'gzip' Création non sécurisée de fichiers temporaires DSA Débordement de buffer dans 'eterm' Le paquetage 'eterm' est vulnérable à un débordement de buffer. Moyenne 06/06 Debian Linux 3.0 (woody) Correctif existant Paquetage 'eterm' Débordement de buffer DSA SF BID Acquisition des droits 'root' via 'XaoS' Une vulnérabilité du programme 'XaoS' permet d'obtenir les droits 'root'. Moyenne 10/06 Debian Linux 2.2 (potato) et 3.0 (woody) Palliatif proposé Paquetage 'XaoS' Binaire non sécurisé DSA Vulnérabilité dans 'nethack' et 'slashem' Les paquetages 'nethack' et 'slashem' sont sensibles à des débordements de buffer. Moyenne 12/06 Debian Linux 2.2 (potato) et 3.0 (woody)paquetages 'nethack' et 'slashem' Correctif existant 'nethack' et 'slashem' Débordement de buffer, Permissions incorrectes DSA 316-1, Débordement de buffer dans 'mikmod' Le paquetage 'mikmod' est sensible à un débordement de buffer. Moyenne 13/06 Debian Linux 2.2 (potato) et 3.0 (woody) Correctif existant 'mikmod' Débordement de buffer DSA Création de fichiers non sécurisée dans 'noweb' Le script 'noroff' du paquetage 'noweb' créé des fichiers de manière insécurisée. Moyenne 16/06 Debian Linux 2.2 (potato) et 3.0 (woody)paquetage 'noweb' Correctif existant Script 'noroff' Création de fichiers temporaires non sécurisée DSA Création non sécurisée de fichiers via 'eldav' Le paquetage 'eldav' créé des fichiers temporaires de manière non sécurisée. Moyenne 19/06 Debian Linux 3.0 (woody) Correctif existant Paquetage 'eldav' Création non sécurisée de fichiers temporaires DSA Vulnérabilité dans 'xbl' Le paquetage 'xbl' est sensible à des débordements de buffer. Moyenne 19/06 Debian Linux 3.0 (woody) Correctif existant Paquetage 'xbl' Débordement de buffer DSA Débordements de buffer dans 'orville-write' Le paquetage 'orville-write' est vulnérable à plusieurs débordements de buffer. Moyenne 19/06 Debian Linux 3.0 (woody) Correctif existant Paquetage 'orville-write' Débordements de buffer DSA LINUX REDHAT Déni de service dans CUPS L'implémentation CUPS IPP (tcp/631) est vulnérable à une attaque de déni de service. Forte 27/05 Red Hat Linux 7.3, 8.0 et 9 Correctif existant CUPS IPP Persistance d'une requête partielle RHSA-03: Vulnérabilité dans 'ghostscript' Une vulnérabilité dans 'ghostscript' permet l'exécution de code local. Forte 30/05 Ghostscript jusqu'à la version 7.07Red Hat 7.1 à 9 Correctif existant 'ghostscript' Non disponible RHSA-03: Veille Technologique Sécurité N 59 Page 47/63

48 Débordement de buffer dans 'kon2' Le paquetage 'kon2' est vulnérable à un débordement de buffer. Forte 03/06 Red Hat Linux 7.1, 7.2, 7.3, 8.0 et 9'kon' version 0.3.9b et inférieures Correctif existant Paquetage 'kon2' Débordement de buffer RHSA-03: Multiples vulnérabilités dans le noyau De multiples vulnérabilités affectent le noyau des distributions Red Hat. Forte 03/06 Red Hat Linux 7.1, 7.2, 7.3, 8.0 et 9Red Hat noyau inférieur à Correctif existant Noyau Linux Multiples vulnérabilités RHSA-03: Déni de service dans 'ypserv' Les serveurs NIS du paquetage 'ypserv' sont vulnérables à des attaques par déni de service. Forte 25/06 Red Hat Linux 7.1, 7.2, 7.3, 8.0 et 9Serveur NIS versions inférieures à 2.7 (paquetage 'ypserv') Correctif existant Serveur NIS Mauvaise gestion des requêtes malformées RHSA-03: Deux vulnérabilités dans le paquetage 'hanterm' Deux vulnérabilités affectent le paquetage 'hanterm'. Moyenne 06/06 Red Hat Linux 7.2, 7.3 et 8.0Hangul Terminal versions inférieures à Correctif existant Terminal 'Hangul' Non validation des séquences d'échappement RHSA-03: Multiples vulnérabilités du paquetage 'XFree86' De multiples vulnérabilités affectent les binaires livrés avec le paquetage 'XFree86'. Moyenne 25/06 Red Hat Linux versions 7.1, 7.2, 7.3 et 8, Red Hat Enterprise Linux AS, ES, WS (version 2.1) Red Hat Linux Advanced Workstation 2.1 pour Itanium Correctif existant Paquetage 'XFree86' Mauvaise vérification des paramètres Digital Defense RHSA-03: RHSA-03: MICROSOFT Deux nouvelles vulnérabilités dans Internet Explorer Deux nouvelles vulnérabilités affectent le navigateur Internet Explorer. Critique 04/06 Microsoft Internet Explorer 5.01, 5.5, 6.0Microsoft Internet Explorer 6.0 pour Windows Server 2003 Correctif existant Internet Explorer 1 - Débordement de buffer 2 - Mauvaise gestion des téléchargements MS Contournement des filtres du pare-feu sur Windows Il est possible de contourner le pare-feu implémenté dans les dernières versions de Windows. Forte 22/05 Microsoft Windows XP et Server 2003 (toutes versions) Aucun correctif Internet Connection Firewall Contournement des filtres du pare-feu Q SF BID Multiples vulnérabilités dans IIS Le serveur IIS est sujet à plusieurs vulnérabilités, permettant en particulier des dénis de service distants. Forte 28/05 Microsoft IIS 4.0, 5.0 et 5.1 Correctif existant IIS 1 - Mauvais filtrage des paramètres fournis dans larequête 2 - Débordement de buffer 3 - Mauvaise gestion de la mémoire 4 - Mauvais traitement des requêtes MS CIAC N Exécution de code arbitraire via Windows Media Services Une vulnérabilité de Windows Media Services permet d'exécuter à distance du code arbitraire. Forte 25/06 Microsoft Windows 2000 Correctif existant Extension 'nsiislog.dll' Débordement de buffer MS Débordement de buffer dans Internet Explorer Un débordement de buffer dans Internet Explorer permet d'exécuter du code arbitraire. Moyenne 23/06 Microsoft Internet Explorer version 5.0 et supérieures Aucun correctif Paramètre 'align' balise 'HR' Débordement de buffer Bugtraq Veille Technologique Sécurité N 59 Page 48/63

49 Déni de service dans Windows Media services Il est possible de provoquer l'arrêt de Windows Media services. Moyenne 28/05 Microsoft Windows Media Services sur Windows NT 4.0 et 2000 Correctif existant Bibliothèque 'nsiislog.dll' Mauvais traitement des requêtes MS Exposition d'informations via Windows Media Player Une faille dans un contrôle ActiveX de Windows Media Player divulgue certaines informations liées aux fichiers multimédia. Moyenne 25/06 Microsoft Windows Media Player 9 Series Correctif existant ActiveX livré avec WMP Mauvais contrôle d'accès MS MYSQL Débordement de buffer dans MySQL Un débordement de buffer exploitable à distance affecte une bibliothèque de MySQL. Forte 12/06 MySQL versions 4.x (Windows, Linux, Unix) Aucun correctif Bibliothèque 'libmysqlclient' Débordement de buffer SCAN Associates X-Force SF BID NETSCREEN Mauvais mécanisme d'authentification dans ScreenOS Le mécanisme d'authentification de ScreenOS se base sur l'adresse IP source. Moyenne 26/06 NetScreen pare-feu basés sur ScreenOS 3.0.x, 4.0.x Palliatif proposé ScreenOS Mauvais mécanisme d'authentification NetS nskb980 Bugtraq NOKIA Déni de service sur Nokia GGSN Les passerelles Nokia GGSN sont sensibles à un déni de service. Forte 10/06 Nokia Gateway GPRS support node release 1 (basé sur IP650) Correctif existant Pile TCP Mauvaise gestion des paquets IP NOVELL Déni de service dans Novell Netware Une faille dans Novell Netware peut conduire à un déni de service. Forte 06/06 Novell Netware 6 à 6 SP3 Correctif existant Pile HTTP Mauvaise gestion des paquets 'keep-alive' Novell SCO Multiples vulnérabilités dans Squid Plusieurs vulnérabilités affectent le proxy Squid. Forte 27/05 SCO OpenServer et Correctif existant Proxy Squid Multiples vulnérabilités CSSA-03-SCO.9 ftp://ftp.sco.com/pub/updates/openserver/cssa-2003-sco.9/cssa-2003-sco.9.txt SGI Vulnérabilité dans WebSetup / WebMin Une vulnérabilité dans WebSetup permet d'accéder à l'interface d'administration. Forte 09/06 SGI IRIX versions 6.5 à Correctif existant Script 'miniserv.pl' Non échappement des méta-caractères SGI I ftp://patches.sgi.com/support/free/security/advisories/ i Multiples vulnérabilités induites par IPv6 Plusieurs vulnérabilités ont été induites par les nouvelles fonctionnalités IPv6. Forte 24/06 SGI IRIX versions et Correctif existant Fonctionnalités IPv6 Failles dans 'inetd' et 'snoop' SGI P ftp://patches.sgi.com/support/free/security/advisories/ p Veille Technologique Sécurité N 59 Page 49/63

50 Déni de service via l'utilisation de 'ioctl()' Les versions 6.5 d'irix sont potentiellement sensibles à un déni de service. Moyenne 11/06 SGI IRIX versions 6.5 à m/f Correctif existant Fonction 'ioctl()' Mauvaise gestion du contrôle d'appel de la fonction SF SGI P ftp://patches.sgi.com/support/free/security/advisories/ p SUN Vulnérabilité de la machine virtuelle Java La machine virtuelle Java créé des fichiers temporaires de manière non sécurisée. Forte 11/06 Sun Java Virtual Machine (Solaris, Windows, Linux) Sun JRE version 1.4.1_02 (Linux) Aucun correctif Java Virtual Machine (JVM) Création non sécurisée de fichiers temporaires Securiteam SF BID X-Force Exposition de données sensibles sur Sun Cluster 2.2 Les noms et mots de passe sont stockés en clair sur Sun Cluster 2.2. Forte 20/06 Sun Cluster 2.2 pour Solaris 2.6, 7 et 8 (Sparc) Correctif existant Systèmes avec services DBMS Stockage en clair des noms et mots de passe HA-Oracle ou HA-Sybase Sun Multiples vulnérabilités dans SDK, JRE et JDK De multiples vulnérabilités affectent l'environnement JRE de Sun. Forte 10/06 Toute plate-forme Windows, Linux et Solaris avec : 1 - Sun SDK et JRE versions 1.2.2_010, 1.3.0_05, 1.3.1_02 et inférieures Sun JDK version 1.1.8_008 et inférieures 2 - Sun SDK et JRE versions 1.2.2_011, 1.3.0_05, 1.3.1_02 et inférieures Sun JDK version 1.1.8_014 et inférieures 3 - Sun SDK et JRE versions 1.2.2_014, 1.3.1_06, 1.4.0_03,1.4.1_01 et inférieures Correctif existant JRE Non respect du modèle de sécurité dans JRE Sun Débordement de buffer dans 'utmp_update' Une vulnérabilité dans 'utmp_update' permet d'obtenir les droits 'root'. Forte 05/06 Sun Solaris 2.6, 7, 8 et 9 (Sparc et Intel) Correctif existant '/usr/lib/utmp_update' Débordement de buffer Sun Débordement de buffer dans plusieurs routines 'dbm' Un débordement de buffer local affecte plusieurs routines 'dbm' de Sun. Forte 19/06 Sun Solaris 2.6, 7, 8 et 9 (Sparc et Intel) Correctif existant 'dbm_open' et 'dbminit' Débordement de buffer Sun Déni de service distant dans 'syslogd' Un déni de service peut être provoqué à distance dans 'syslogd'. Forte 24/06 Sun Solaris 2.6, 7, 8 et 9 (Sparc et Intel) Correctif existant Service 'syslogd' Mauvaise gestion des paquets 'syslog' Sun Vulnérabilité dans 'SunMC Change Manager' Un débordement de buffer dans 'SunMC Change Manager' permet à un utilisateur d'exécuter du code sous les droits de root. Forte 30/05 Sun Management Center Change Manager 1.0 sur Sparc Solaris8 et 9 Correctif existant Programme 'pamverifier' Débordement de buffer Sun Déni de service dans 'in.telnetd' Les systèmes Solaris sont vulnérables à un déni de service distant via 'in.telnetd'. Forte 04/06 Sun Solaris 2.6, 7, 8 et 9 (Sparc et Intel) Correctif existant Service 'in.telnetd' Non disponible Sun Veille Technologique Sécurité N 59 Page 50/63

51 Non respect du modèle de sécurité dans JRE Le modèle de sécurité de JRE n'est pas respecté. Moyenne 04/06 Sun SDK et JRE versions 1.4.0_01, 1.3.1_04, 1.3.0_05,1.2.2_012 et inférieures (Windows) Sun SDK et JRE 1.2.2_012 et inférieures (Solaris OEReference) Sun SDK et JRE versions 1.4.0_01, 1.3.1_04, 1.3.0_05,1.2.2_12 et inférieures (Solaris OE Production) Sun SDK et JRE versions 1.4.0_01, 1.3.1_04, 1.3.0_05,1.2.2_012 et inférieures (Linux) Correctif existant Java Runtime Environment Non respect du modèle de sécurité Sun Création de fichiers non sécurisée via SunMC Sun Management Center créé des fichiers de manière non sécurisée. Moyenne 19/06 Sun SunMC (pour Solaris 2.6, 7 et 8) Sun SunMC 3.0 (pour Solaris 2.6, 7, 8 et 9) Sun SunMC 3.0 Revenue Release (pour Solaris 2.6, 7, 8 et 9) Seules les architectures Sparc sont affectées Correctif existant Sun Management Center Création de fichiers non sécurisée Sun TARANTELLA Exposition et perte des données saisies au clavier Une vulnérabilité des serveurs Tarantella Enterprise peut conduire à l'exposition et la perte de données. Moyenne 13/06 Tarantella Enterprise 3 version 3.0x, 3.1x, 3.2x, 3.3x Palliatif proposé Protocol Engine Mauvais routage des données Tarantella 07 VIGNETTE Nombreuses vulnérabilités dans Vignette Vignette, l'application de gestion de contenu et de portail, est sensible à de nombreuses vulnérabilités. Critique 26/05 Vignette StoryServer 4 et 5Vignette V/5 et V/6D'autres versions sont probablement aussi vulnérables Correctif existant Vignette 024 Vignette 016 VIRUS 1 - Element 'SSI EXEC' 2 - Outil 'Vignette Legacy' 3 - Application Vignette 4 - Application '/vgn/style' 5 - Application '/vgn/login' 6 - Application '/vgn/license' 7 - Vignette 8 - 'NEEDS' et 'VALID_PATHS' Non vérification des variables utilisateur 2 - Contournement de la directive 'RECORD' 3 - Calcul incorrect de la taille des variables 4 - Affichage d'informations internes 5 - Message d'erreur explicite 6 - Accès non restreint 7 - Non filtrage des données passées en paramètre 8 - Insertion de code TCL Apparition du cheval de Troie 'Stumbler' Le cheval de Troie 'Stumbler' est récemment apparu sur l'internet. Il semble que celui-ci se comporte comme un client capable de scanner les ports et de recevoir des informations du réseau. Non 19/06 Observé sur Linux mais d'autres plates-formes ne sont pas exclues Correctif existant Cheval de Troie 'Stumbler' Non disponible Intrusec Lancope X-Force ZOPE Multiples vulnérabilités dans 'Zope' De multiples vulnérabilités affectent le serveur d'applications Zope. Moyenne 20/06 Zope versions et Aucun correctif Serveur d'applications Zope Multiples vulnérabilités A zope SF BID SF BID SF BID SF BID ALERTES NON CONFIRMEES Les alertes présentées dans les tables de synthèse suivantes ont été publiées dans diverses listes d information mais n ont pas encore fait l objet d une annonce ou d un correctif de la part de l éditeur. Ces alertes nécessitent la mise en place d un processus de suivi et d observation. Veille Technologique Sécurité N 59 Page 51/63

52 ADOBE Exécution de commandes arbitraires via Acrobat Reader Une vulnérabilité dans Acrobat Reader autorise l'exécution de commandes arbitraires. Forte 13/06 Adobe Acrobat Reader (toutes versions Linux et Unix), Paquetage 'Xpdf' Aucun correctif Adobe Acrobat Reader Non vérification des paramètres SS X-Force SF BID Full-Disclosure ALT-N Débordement de buffer distant dans 'WebAdmin' Le service WebAdmin, permettant d'administrer à distance MDaemon, RelayFax et WorldClient par le web, est sensible à un débordement de buffer. Forte 24/06 ALT-N WebAdmin version 2.04 et inférieures (Windows) Correctif existant Processus 'webadmin.exe' Débordement de buffer distant NISR AVAYA Déni de service sur les commutateurs Avaya Les commutateurs Avaya sont sensibles à des attaques par déni de service répétées. Forte 18/06 Avaya Cajun P330T version , Avaya Cajun P333R version , Avaya G700 Media Gateway Correctif existant Dispositifs Avaya Mauvais traitement des paquets reçus Bugtraq ESERV Obtention d'informations sur les serveurs EServ Les serveurs EServ peuvent retourner des informations sensibles. Forte 26/05 EServ versions 2.95 à 2.99 (Windows) Aucun correctif Serveur EServ Traitement incorrect des requêtes X-Force Bugtraq HP Huit vulnérabilités dans HP-UX Huit vulnérabilités locales ou distantes ont été identifiées sur HP-UX. Critique 10/06 HP HP-UX versions 10 et 11 (suivant les binaires affectés) Correctif existant Binaires livrés avec HP-UX Multiples vulnérabilités Bugtraq Exposition de données sensibles via FTP server Le serveur FTP livré avec HP-UX est vulnérable via la commande 'REST'. Forte 05/06 HP FTP server version (livré avec HP-UX 11.11) Correctif existant Serveur FTP Mauvaise gestion de la commande REST HP/COMPAQ Vulnérabilité des SSI sur Web Based Management Agent Les SSI livrés avec Compaq Web Based Management Agent sont vulnérables à plusieurs débordements de buffer. Forte 25/06 Compaq Web Based Management Agent Aucun correctif Accès aux SSI Débordement de buffer X-Force Securiteam ISS Cross Site Scripting dans BlackICE PC Protection Une vulnérabilité de Cross Site Scripting affecte BlackICE PC Protection. Moyenne 17/06 ISS BlackICE PC Protection 3.x (BlackICE Defender) Palliatif proposé BlackICE PC Protection Non filtrage de certaines requêtes HTTP Full Disclosure Veille Technologique Sécurité N 59 Page 52/63

53 LINKSYS Exposition d'informations sensibles sur les routeurs Les routeurs LinkSys peuvent exposer des informations sensibles. Forte 26/06 LinkSys BEFSR81 et BEFVP f, Aucun correctif MIB Informations sensibles dans la MIB SF BID Bugtraq LINUX Acquisition des droits privilégiés via 'PAM' Une vulnérabilité dans 'Linux-PAM' permet d'obtenir des droits privilégiés. Forte 16/06 Linux-PAM 0.77 et versions précédentes Palliatif proposé Linux-PAM Usurpation de la réponse de 'getlogin()' idefense X-Force Exposition d'informations via '/proc' Certaines informations peuvent être révélées via le système de fichiers '/proc'. Moyenne 20/06 Linux noyau versions 2.2 à et à Aucun correctif Système de fichiers '/proc' Non disponible SF BID MICROSOFT Multiples vulnérabilités sur Internet Explorer Deux vulnérabilités sur Internet Explorer permettent d'exécuter du code Javascript à distance. Forte 17/ Microsoft Internet Explorer 5.5 et Microsoft Internet Explorer 5.01, 5.5 et 6.0 Palliatif proposé 'WebBrowser' et 'MSXML' Mauvais filtrage des URLs GM#013-IE GM#014-IE Exposition de données sensibles via Internet Explorer Une option dans Internet Explorer peut exposer des données sensibles. Forte 16/06 Microsoft Internet Explorer 6 Palliatif proposé 'Afficher les liens apparentés' Transmission d'informations non désirées Milly Exposition d'informations via des pilotes réseau Certains pilotes de cartes réseau livrés avec Windows Server 2003 peuvent exposer des informations. Moyenne 09/06 Microsoft Windows Server 2003 (toutes versions)pilotes pour carte réseau VIA Rhine II Compatible, AMDPCNet family Aucun correctif Pilotes pour carte réseau Trame complétée avec des données arbitraires NISR Mauvaise gestion des requêtes HTTP par URLScan L'outil URLScan ne gère pas correctement les requêtes HTTP. Faible 31/05 Microsoft URLScan 2.0 et 2.5 Palliatif proposé URLScan Mauvaise gestion des requêtes HTTP SF BID Bugtraq Accès non autorisé au répertoire utilisateur Il est possible d'accéder au répertoire de l'utilisateur courant. Faible 05/06 Microsoft Internet Explorer 6.0 SP1 Aucun correctif Internet Explorer Non disponible Eiji James Yoshida Débordement de buffer dans 'explorer.exe' Un débordement de buffer affecte 'explorer.exe' sur Windows XP. Forte 11/05 Microsoft Windows XP SP1 Aucun correctif 'explorer.exe' Débordement de buffer X-Force Exurity Veille Technologique Sécurité N 59 Page 53/63

54 MRV Obtention d'un accès privilégié sur OptiSwitch Les commutateurs OptiSwitch disposent d'un accès privilégié accessible de manière triviale. Forte 24/06 MRV OptiSwitch séries 400 et 800 Aucun correctif Commutateur OptiSwitch Accès privilégié par une séquence d'échappement Bugtraq NAVIGATEURS Exécution de fichiers dans la zone locale Un mauvais cloisonnement entre domaines permet l'exécution de fichiers via la fonction 'Timed' et la méthode 'Document.Write'. Forte 07/06 Mozilla 1.0 à 1.3.1, Netscape Communicator 4.79 à 7.02, Opera 6.0 à 7.11 Palliatif proposé Navigateurs Mauvais cloisonnement entre domaines SF BID Full Disclosure NETSCAPE Information erronée dans la barre d'adresse Une vulnérabilité de Netscape Navigator peut afficher une fause URL dans la barre d'adresse. Moyenne 13/06 Netscape Navigator Aucun correctif Fonction 'history.back()' Non disponible Bugtraq SF BID NOVELL Deux vulnérabilités dans les serveurs ichain Deux vulnérabilités affectent les serveurs Novell ichain. Forte 06/ Novell ichain Server 2.1 à 2.1 FP2 et 2.2 à 2.2 FP1 2 - Novell ichain Server 2.2 à 2.2 FP1 Correctif existant 1 - Phase d'authentification 2 - 'NCPIP.NLM', 'JSTCP.NLM' SF BID SF , 07 OPENSSH 1 - Débordement de buffer 2 - Absence d'authentification Accès au serveur SSH depuis une machine non autorisée Une faille dans OpenSSH permet d'accéder au serveur depuis une machine non autorisée. Moyenne 04/06 OpenSSH version et inférieures Palliatif proposé OpenSSH Mauvaise gestion des options de filtrage SA PALMVNC Stockage des mots de passe en clair par PalmVNC PalmVNC stocke les mots de passe utilisateur en clair. Moyenne 28/05 PalmVNC 1.40 Palliatif proposé PalmVNC Stockage des mots de passe en clair Bugtraq PHP Débordement de buffer dans deux fonctions Un débordement de buffer affecte localement les fonctions 'array_pad()' et 'str_repeat()'. Moyenne 08/06 PHP à et modules 'mod_php' correspondants Correctif existant 'array_pad()' et 'str_repeat()' Débordement de buffer local Sir Mordred SF BID7256,7259 PLATFORM Exécution de code sous les droits 'root' via LSF Une faille dans LSF permet d'exécuter du code sous les droits 'root'. Forte 22/05 LSF versions 5.1 (Linux, Unix et Windows) Correctif existant 'lsadmin' Utilisation détournée du fichier de configuration X-Force Bugtraq Veille Technologique Sécurité N 59 Page 54/63

55 PROGRESS Acquisition locale des droits 'root' Plusieurs binaires livrés avec la base de données Progress permettent d'acquérir localement des droits 'root'. Forte 16/06 Progress Database versions 9.1 à 9.1D06 Palliatif proposé 1 - '/usr/dlc/bin/_dbagent' Non vérification des paramètres utilisateur 2 Binaires sous '/usr/dlc/bin' SRT SRT Débordement de buffer dans le compilateur Progress Un débordement de buffer affecte le compilateur d'applications Progress. Moyenne 23/06 Progress 4GL Compiler version 9.1D06 et inférieures Palliatif proposé Compilateur Progress Débordement de buffer SRT ProFTPD Injection de code SQL via le module 'mod_sql' Le serveur ProFTP est vulnérable à l'injection de code SQL via le module 'mod_sql'. Forte 18/06 ProFTPD version 1.x utilisant 'mod_sql' Palliatif proposé Module 'mod_sql' Injection de code SQL Full Disclosure QNX Vulnérabilité dans le serveur HTTP de QNX Le serveur HTTP de QNX est sensible à un mauvais cloisonnement des données. Forte 22/06 QNX Internet Appliance Toolkit versions 1.1, 3.03 (Modem),4.00 (Network), 4.05 (Network et Modem) Aucun correctif Serveur HTTP Mauvais cloisonnement des données Securiteam Full-Disclosure QUALCOMM Exposition d'informations dans Qpopper Le comportement de Qpopper permet de deviner si un compte utilisateur est valide. Faible 19/06 Qualcomm Qpopper et Aucun correctif Qpopper Réponse explicite Bugtraq RSA SECURITY Cross Site Scripting dans RSA ACE/Agents Les agents d'authentification RSA ACE/Agents sont vulnérables à des attaques par Cross Site Scripting. Critique 18/06 RSA ACE/Agent version 5.0 (Windows)RSA ACE/Agent version 5.x (web) Correctif existant Agent d'authentification Mauvais filtrage des données passées en paramètre R SAMBAR Débordement de buffer dans les serveurs Sambar Un débordement de buffer affecte un script fourni avec les serveurs Sambar. Moyenne 18/06 Sambar 3.x, 4.x, 5.x Aucun correctif Script 'search.pl' Débordement de buffer Full Disclosure SMC Déni de service dans les routeurs sans-fil SMC Les routeurs sans-fil de la gamme Barricade de SMC sont sensibles à un déni de service. Forte 11/06 SMC Barricade SMC7004VWBR avec Runtime Code version 1.20 et précédentes, Boot Code version 1.06 et précédentes, Hardware version 01 Palliatif proposé Pile TCP Mauvaise gestion des paquets IP malformés idefense SUN Multiples vulnérabilités sur SunONE Application Server De multiples vulnérabilités affectent les serveurs d'application SunONE en environnement Windows. Forte 27/05 Sun SunONE Application Server 7.0 pour Windows 2000/XP Aucun correctif SunONE Application Server 7.0 1, 2, 3 - Mauvais traitement des requêtes 4 - Mauvais positionnement des permissions SPI Dynamics Veille Technologique Sécurité N 59 Page 55/63

56 Débordement de buffer dans 'syslogd' Un débordement de buffer distant dans Solaris 8 affecte 'syslogd'. Moyenne 04/06 Sun Solaris 8 (Sparc et Intel) Correctif existant 'syslogd' Débordement de buffer distant Full Disclosure SURFCONTROL Vulnérabilité dans 'SurfControl Web Filter' Le produit SurfControl Web Filter pour Microsoft ISA Server ne gère pas correctement les requêtes HTTP. Forte 19/06 SurfControl Web Filter Palliatif proposé Module SurfControl pour Mauvaise gestion des requêtes HTTP Microsoft ISA Server SecurityFocus SYMANTEC Débordement de buffer dans un contrôle ActiveX Le contrôle ActiveX 'Symantec RuFSI Utility Class' contient un débordement de buffer. Forte 22/06 Symantec Security Check (service en ligne) Palliatif proposé Contrôle ActiveX 'Symantec Débordement de buffer RuFSI Utility Class' Full-Disclosure Déni de service dans l'antivirus Symantec Un déni de service peut affecter Symantec Antivirus Corporate Edition 8.0 suite au téléchargement de microdéfinitions compromises. Moyenne 25/06 Symantec Antivirus Corporate Edition 8.0 Palliatif proposé Intelligent Updater du 19/06/03 Téléchargement de micro-définitions compromises Russ Cooper Non détection des virus présents sur la disquette Dans certaines circonstances, les virus ne sont pas détectés par Symantec AntiVirus. Moyenne 26/06 Symantec AntiVirus Corporate Edition 7.6 (sur Windows XP) Aucun correctif Symantec AntiVirus Non vérification de la disquette Bugtraq WINMAIL Mauvais formatage de chaînes de caractères Une vulnérabilité de déni de service affecte les serveurs Winmail. Moyenne 26/05 Magic Winmail Server versions 2.x Aucun correctif Serveur POP3 Mauvais formatage de chaînes de caractères Bugtraq YAHOO Vulnérabilité dans le contrôle 'Audio Conferencing' Le contrôle ActiveX 'Yahoo! Audio Conferencing' contient un débordement de buffer. Forte 30/05 Yahoo! Audio Conferencing, inférieur à la version Ce contrôle est inclus dans Yahoo! Messenger et Yahoo! Chat Correctif existant 'Yahoo! Audio Conferencing' Débordement de buffer Yahoo iisprotect Injection de code SQL via iisprotect Il est possible d'exécuter des commandes illicites au travers de l'interface d'administration. Forte 26/05 iisprotect version 2.2-r4, Les versions antérieures sont probablement aussi affectées Correctif existant Interface d'administration Non vérification des variables utilisateur Bugtraq phpmyadmin Vulnérabilités dans plusieurs scripts de phpmyadmin De nombreux scripts PHP livrés avec phpmyadmin sont vulnérables à diverses attaques. Moyenne 18/06 phpmyadmin versions 1.x.x et 2.x.x à 2.5.x Aucun correctif Scripts livrés avec phpmyadmin Mauvaise validation des données, Cross Site Scripting, Eléments d'authentification non chiffrés dans le cookie Bugtraq Veille Technologique Sécurité N 59 Page 56/63

57 AUTRES INFORMATIONS REPRISES D AVIS ET CORRECTIFS Les vulnérabilités suivantes, déjà publiées, ont été mises à jour, reprises par un autre organisme, ou ont donné lieu à la fourniture d un correctif : ADOBE Nouvelles versions d'acrobat Reader et de 'Xpdf' De nouvelles versions d'acrobat Reader pour UNIX sont disponibles sur le site Adobe. La version 5.07 est disponible pour Linux, Solaris, HP/UX et AIX. Acrobat Reader 5.07 contient un correctif éliminant la vulnérabilité autorisant un utilisateur mal intentionné à exécuter des commandes arbitraires. Notons que Mac OS 9.x et OS 10.x ne sont pas affectés. Par ailleurs, la version Xpdf 2.02pl1 corrige cette vulnérabilité. CIAC Reprise de l'avis Red Hat RHSA-2003: Le CIAC a repris, sous la référence N-107, l'avis Red Hat RHSA-2003: au sujet d'une vulnérabilité dans le paquetage 'Xpdf' autorisant l'exécution de commandes arbitraires. Reprise de l'avis Sun Le CIAC a repris, sous la référence N-108, l'avis Sun au sujet d'un débordement de buffer local affectant plusieurs routines 'dbm' utilisées notamment par le programme 'Xsun'. Reprise de l'avis Microsoft MS Le CIAC a repris, sous la référence N-019, l'avis Microsoft MS au sujet d'un débordement de buffer dans l'extension ISAPI 'nsiislog.dll' pour Windows Media Services. Reprise de l'avis Red Hat RHSA-2003: Le CIAC a repris, sous la référence N-110, l'avis Red Hat RHSA-2003: au sujet de multiples vulnérabilités affectant le paquetage 'XFree86'. Reprise de l'avis Microsoft MS Le CIAC a repris, sous la référence N-100, l'avis Microsoft MS au sujet d'une faille dans une fonction de journalisation de Windows Media Services. Reprise de l'avis Microsoft MS Le CIAC a repris, sous la référence N-101, l'avis Microsoft MS au sujet de deux vulnérabilités critiques dans Internet Explorer. Reprise de l'avis HP HPSBUX Le CIAC a repris, sous la référence N-102, l'avis HP HPSBUX traitant de plusieurs débordements de buffer dans les programmes et bibliothèques CDE. Reprise de l'avis Sun Le CIAC a repris, sous la référence N-103, l'avis d'alerte Sun au sujet de quatre vulnérabilités dans Sun ONE Application Server dont la plus sévère permet de visualiser le code source des pages JSP du serveur. Reprise de l'avis Red Hat RHSA-2003: Le CIAC a repris, sous la référence N-104, l'avis Red Hat RHSA-2003: au sujet d'une vulnérabilité dans l'implémentation SSL de KDE. Reprise de l'avis SGI I Le CIAC a repris, sous la référence N-106, l'avis SGI I au sujet d'une vulnérabilité du paquetage WebSetup / Webmin, autorisant l'accès à l'interface d'administration. Reprise de l'avis Sun Le CIAC a repris, sous la référence N-105, l'avis Sun au sujet d'un débordement de buffer dans la commande '/usr/lib/utmp_update'. Veille Technologique Sécurité N 59 Page 57/63

58 HP Correctifs pour les pilotes de carte ethernet HP a annoncé la disponibilité des correctifs pour HP-UX et pour la vulnérabilité dans les pilotes de carte ethernet. Cette faille peut exposer des informations sensibles lors du remplissage d'une trame. Révision du bulletin HPSBUX HP a révisé le bulletin HPSBUX afin d'annoncer la disponibilité du correctif 'PHNE_28138' pour 'rpc.yppasswdd' pour HP-UX B.11.22, vulnérable à un débordement de buffer. Correctif pour OpenSSH HP a annoncé la disponibilité du correctif pour OpenSSH. Un débordement de buffer dans OpenSSH versions 2.0 à peut être exploité afin d'exécuter localement du code arbitraire sous des droits privilégiés. Le correctif PHSS_29057 est disponible pour HP-UX versions (VVOS) avec Virtualvault A installé sur HP9000 Series 700/ Révision du bulletin sur 'sendmail' HP a apporté une sixième révision au bulletin HPSBUX au sujet d'une vulnérabilité dans 'sendmail'. Il est précisé que des correctifs préliminaires pour sendmail sur B et sendmail sur B sont disponibles. Par ailleurs, les correctifs PHNE_26304 et PHNE_28761 pour sendmail contiennent des pages 'man' erronées. LINUX DEBIAN Disponibilité de nombreux correctifs Debian annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages : gzip DSA eterm DSA xaos DSA kernel DSA kernel DSA powerpc ethereal DSA atftp DSA gnocatam DSA nethack DSA cupsys DSA lyskom DSA webmin DSA mikmod DSA radiusd citron DSA typespeed DSA noweb DSA ethereal DSA eldav DSA orville-write DSA xbl DSA webfs DSA osh DSA tcptraceroute DSA LINUX MANDRAKE Disponibilité de nombreux correctifs Mandrake annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages : gnupg MDKSA-2003: / 9.0 / 9.1 / FW 8.2 / CS 2.1 cups MDKSA-2003: / 9.0 / 9.1 / FW 8.2 / CS 2.1 apache2 MDKSA-2003: / 9.1 kon2 MDKSA-2003: / 9.0 / 9.1 CS 2.1 ghostscript MDKSA-2003: / 9.0 / 9.1 CS 2.1 kernel MDKSA-2003: ethereal MDKSA-2003: gzip MDKSA-2003: / 9.0 / 9.1 / FW 8.2 / CS 2.1 BitchX MDKSA-2003: / 9.1 ethereal MDKSA-2003: Veille Technologique Sécurité N 59 Page 58/63

59 LINUX REDHAT Disponibilité de nombreux correctifs RedHat annonce la disponibilité des correctifs corrigeant les vulnérabilités présentes dans les paquetages : gnupg_key RHSA-2003: / 7.2 / 7.3 / 8.0 / 9.0 CUPS RHSA-2003: / 8.0 / 9.0 up2date RHSA-2003: AS ptrace RHSA-2003: AS apache2 RHSA-2003: / 9.0 ghostscript RHSA-2003: / 7.2 / 7.3 / 8.0 / 9.0 kernel RHSA-2003: / 7.2 / 7.3 / 8.0 kernel RHSA-2003: / 7.2 / 7.3 / 8.0 / 9.0 kon2 RHSA-2003: / 7.2 / 7.3 / 8.0 / 9.0 KDE-ssl RHSA-2003: / 7.2 hanterm RHSA-2003: / 7.2 / 7.3 / 8.0 Xpdf RHSA-2003: / 7.2 / 7.3 / 8.0 / 9.0 netscape RHSA-2003: / 7.2 / 7.3 ypserv RHSA-2003: / 7.2 / 7.3 / 8.0 / 9.0 xfree RHSA-2003: MICROSOFT Antivirus et EFS sur Windows Server 2003 Lors de l'installation d'un antivirus sur un système Windows Server 2003 utilisant EFS (Encryption File System), il est nécessaire de s'assurer que celui-ci est bien capable d'analyser les fichiers chiffrés. Si tel n'est pas la cas, l'antivirus ne sera pas en mesure de détecter les virus potentiels. SGI Vulnérabilité du module PERL 'Safe.pm' SGI a annoncé que le module PERL 'Safe.pm' des plates-formes IRIX est vulnérable dans le mécanisme de cloisonnement dont les protections sont inefficaces. Cependant, aucun correctif n'est actuellement disponible. ftp://patches.sgi.com/support/free/security/advisories/ a Vulnérabilité dans le compilateur MIPSPro SGI a annoncé que le compilateur MIPSPro est vulnérable lors de la création de fichiers temporaires. Cette faille peut conduire à des attaques par lien symbolique. Cependant, aucun correctif n'est actuellement disponible. ftp://patches.sgi.com/support/free/security/advisories/ a Nouveaux correctifs pour Apache SGI a publié des nouveaux correctifs pour Apache, correspondant à la version sgi_apache v1.3.27a sur IRIX Notons que cette version d'apache n'est pas supportée par les versions IRIX inférieures à ftp://patches.sgi.com/support/free/security/advisories/ i Nouvelle version de l'implémentation TCP/IP SGI a annoncé la disponibilité d'une nouvelle version de l'implémentation TCP/IP pour ses systèmes IRIX. Le code dérivé de BSD est vulnérable lors de la création d'une connexion TCP vers une adresse de broadcast. Cette faille peut conduire à l'établissement d'une connexion illicite. L'implémentation TCP/IP sur IRIX version et supérieures corrige ce problème. ftp://patches.sgi.com/support/free/security/advisories/ i SUN Correctifs pour le noyau Linux Sun a annoncé la disponibilité des correctifs pour le noyau Sun Linux 5.x au sujet d'une vulnérabilité conduisant à un déni de service ou à l'acquisition de privilèges élevés ftp://ftp.cobalt.sun.com/pub/products/sunlinux/5.0/en/updates/i386/update_5_0_6/readme.update_5_0_6 Correctif pour 'pptp' Sun a annoncé la disponibilité des correctifs pour le paquetage 'pptp' pour Sun Cobalt Qube 3. Un débordement de buffer du serveur PoPToP peut être exploité afin d'exécuter du code distant. Correctif pour 'OpenSSH' sur Cobalt RaQ 550 Sun a annoncé la disponibilité des correctifs pour 'OpenSSH' sur Cobalt RaQ 550. Une vulnérabilité permet d'exécuter du code sous des privilèges élevés ou de provoquer un déni de service. Notons que ce correctif est dépendant d'un autre correctif dont le nom de fichier associé est 'RaQ550-All-Security pkg'. Correctifs pour 'fetchmail' sur Linux et Cobalt Sun a annoncé la disponibilité des correctifs pour 'fetchmail' pour les systèmes Sun Linux, Sun Cobalt RaQ et Qube. Veille Technologique Sécurité N 59 Page 59/63

60 Code d'exploitation pour 'Java Media Framework' Un code d'exploitation pour la vulnérabilité dans Java Media Framework version c a été diffusé sur la liste Bugtraq. Il permet d'accéder en lecture et en écriture à une zone de la mémoire système depuis un applet non signé. Sun Correctif pour Sun ONE Application Server 7.0 Sun a annoncé la disponibilité de Sun ONE Application Server 7.0 Update Release 1. Cette mise à jour corrige la vulnérabilité de Cross Site Scripting décrite dans l'avis publié par SPI Dynamics. Correctif pour Sun ONE Application Server 7.0 Standard Edition : Correctif pour Sun ONE Application Server 7.0 Platform Edition : La mise à jour Update R2 corrigera les vulnérabilités affectant les fonctions de journalisation et le moteur JSP. CODES D EXPLOITATION Les codes d exploitation des vulnérabilités suivantes ont fait l objet d une large diffusion : CISCO Démonstration de la vulnérabilité des clients VPN Une démonstration de la vulnérabilité des clients Cisco VPN a été publiée. Elle permet de démarrer des applications sous des droits privilégiés. APACHE Code d'exploitation pour la vulnérabilité Apache 2.0 Un code d'exploitation pour la vulnérabilité affectant les serveurs web Apache 2.0 a été diffusé sur la liste Bugtraq. Apache BULLETINS ET NOTES Les bulletins d information suivants ont été publiés par les organismes officiels de surveillance et les éditeurs : CERT Publication de la synthèse trimestrielle [CS ] Le CERT publie, sous la référence CS , la synthèse des mois de mars, avril et mai Cette synthèse traite des vulnérabilités, exploitations ou attaques dont il a été question ces derniers mois. 1. Débordement de buffer dans les routines de la bibliothèque Sun XDR RPC [CA ] 2. Multiples vulnérabilités dans Lotus Notes et Domino [CA ] 3. Débordement de buffer dans Sendmail [CA ] 4. Multiples vulnérabilités dans les préprocesseurs Snort [CA ] Notons qu'aucun avis n'a été émis par le CERT au mois de mai. MICROSOFT Déni de service massif suite à une mise à jour de XP Microsoft a retiré de son site une mise à jour pour Windows XP. Suite à son installation, près de utilisateurs ne pouvaient plus accéder à l'internet à cause d'une incompatibilité avec d'autres produits de type parefeu personnel. L'installation d'une option visant à améliorer la sécurité des connexions Internet était disponible depuis vendredi via 'Windows Update'. Seule la désinstallation de la mise à jour incriminée permet de retrouver un état normal de fonctionnement. VIRUS Le CERT étudie le cas 'Stumbler' Le CERT a ouvert l'incident CERT#26124 au sujet du code générant des paquets TCP dont la taille de fenêtre est de Il semble que tous ne positionnent pas l'option 'window scale'. D'après le CERT, cela signifie que plusieurs artefacts autres que 'Stumbler' seraient responsables du trafic observé. Veille Technologique Sécurité N 59 Page 60/63

61 Forte activité virale d'une variante de 'Bugbear' 'Bugbear.b', une variante du virus a récemment fait sont apparition sur l'internet. Ce virus complexe est dangereux et se propage rapidement. Il convient donc d'appliquer le correctif MS pour Interner Explorer qui inclut le correctif MS éliminant la vulnérabilité exploitée. Il est aussi nécessaire de mettre à jour les base de signature des anti-virus. Ce virus installe notamment un cheval de Troie ainsi qu'un key-logger. 'bugbear' Veille Technologique Sécurité N 59 Page 61/63

62 ATTAQUES OUTILS BLUETOOTH REDFANG V1.0 # Description L utilitaire RedFang, proposé par développeur de la société eeye, est présenté comme une application de démonstration - proof of concept application permettant d inventorier les dispositifs Bluetooth cachés. Avant d aborder en détail le mode de fonctionnement de cette outil, une brève présentation de la technologie de transmission sans fils dite BlueTooth semble indispensable. En 1994, la société Ericsson imagine de développer une technologie permettant de raccorder simplement, et à très bas coût, ses téléphones cellulaires à divers périphériques (modems, oreillettes, ), et ce, par le biais d un lien radio de faible portée. En 1998 le Bluetooth Special Interest Group, un consortium constitué des sociétés Ericsson, IBM, Intel, Nokia et Toshiba est constitué qui publiera les spécifications de la version 1.0 en Si la technologie reste la propriété de la société Ericsson, les spécifications techniques sont rendues librement accessibles afin de faciliter la diffusion de cette technologie. En 2000, la société BlueTooth Design Solutions, une filiale d Ericsson, propose le premier produit conforme, un système main libre pour téléphone cellulaire. Avec la publication en 2001 des spécifications de la version 1.1, la technologie BlueTooth prend réellement son envol pour être utilisée bien au-delà de la cible initiale en devenant un véritable bus de communication similaire aux bus USB ou FireWire. L interface d accès aux dispositifs BlueTooth, dite HCI, est ainsi désormais proposée en environnement Windows XP mais aussi sous LINUX notamment via les développements engagés par le projet BlueZ. Utilisant une plage de fréquence similaire à celle employée par les dispositifs IEEE b, Bluetooth n offre cependant pas les mêmes services notamment sur le plan du débit offert (1Mbs contre 11Mbs) et de la portée (10m environ). Le lecteur intéressé par un état de l art des différents produits et adaptateurs actuellement disponibles pourra se reporter avec intérêt au tableau présenté sur le site Hotman.org. Parmi les différentes fonctions offertes via l interface d accès, une fonction dite Inquiry autorise l inventaire ( remote device inquiry ) des périphériques BlueTooth présents dans la zone de couverture. S appuyant sur un mécanisme de type diffusion, cette fonction ne permettra cependant pas la découverte de dispositifs spécifiquement paramétrés pour ne pas répondre à ce type de requête. Une méthode alternative consisterait à tenter d établir un dialogue avec chacune des adresses pouvant être affectée à un dispositif BlueTooth. C est la solution retenue par l auteur du logiciel RedFang dont nous allons cependant démontrer sa relative inefficacité. La structure d une adresse BlueTooth est similaire à cette d une adresse Ethernet à savoir 48 bits se décomposant en deux blocs de 24bits. Référence fournisseur ou Identifiant généré par le fournisseur ou mode d accès spécifique fonction du mode d accès XX XX XX XX XX XX L interface d accès HCI spécifie une fonction - read_remote_name() - permettant d obtenir le nom logique d un dispositif simplement en s adressant à celui-ci. Il est donc théoriquement possible d obtenir la liste de tous les dispositifs actif dans le périmètre du poste en activant cette fonction avec chacune des adresses possibles, c est à dire par une attaque en force dans la jargon informatique. Cependant, si l espace d adressage théorique de 2^48 adresses est partiellement réduit par les règles d affectation des 24 premiers bits, quelques 2^24 adresses devront encore être essayées pour chaque fournisseur possible soit 16 millions d adresses. A titre de comparaison, cet espace correspond à l ensemble des adresses d un réseau IP de classe A! La conclusion s impose d elle-même si l on tient compte de la nécessité de conserver un temps de garde au minimum 5s - pour conclure à l absence d un dispositif actif associé à l adresse testé: 970 jours par fournisseur en traitant les adresses les unes après les autres Autant dire que cette approche reste totalement irréaliste. L utilitaire redfang implémente pourtant celle-ci en utilisant le bloc d adresses 00:80:90 correspondant au fournisseur TDK. Les lecteurs qui souhaiteraient tenter l aventure devront bien entendu modifier celui-ci par le bloc d adresses affecté à leur fournisseur préféré. Sur le plan pratique, redfang est écrit en langage C pour l environnement LINUX, le module BlueZ devant être préalablement installé et activé. L auteur indique que le code 242 lignes peut aisément être modifié pour activer plusieurs sondages en parallèle ce qui ne permettra toutefois pas d envisager pouvoir découvrir rapidement les dispositifs cachés dans une pièce mais nous étions prévenus, il ne s agit que d une application de démonstration Peut-on cependant conclure sur le manque de recul et de rigueur de plus en plus souvent constaté dans les annonces et les codes de démonstrations mis à disposition depuis quelques années? # Complément d'information Veille Technologique Sécurité N 59 Page 62/63