Rapport de Veille Technologique N 13

Transcription

1 Technologique Thème : Edition : Septembre - 15/09/99 DIFFUSION INTERNE EXTERNE APOGEE Communication Exemplaire de présentation Validation REDACTION Rédigé par : Bertrand VELLE Le : 15/09/99 Visa : Approuvé par : Olivier CALEFF Le : Visa : AVERTISSEMENT Les informations fournies dans ce document ont été collectées et compilées à partir de sources d'origines diverses et publiquement accessibles : mailing-lists, newsgroup, sites Web,... Ces informations sont fournies pour ce qu'elles valent sans aucune garantie d'aucune sorte vis à vis de l'exactitude, de la précision ou de la qualité de l'information. Les URL associés à certains thèmes sont validées à la date de la rédaction de ce document. Les symboles d avertissement suivants seront utilisés : Site dont la consultation est susceptible de générer directement, ou indirectement, une attaque sur l équipement de consultation, voire faire encourir un risque sur le système d information associé. Site susceptible d héberger des informations ou des programmes dont l utilisation est illégale au titre de la Loi Française. Par ailleurs, aucune garantie ne peut être apportée sur l'innocuité de ces sites, et en particulier, sur la qualité des applets et autres ressources présentées au navigateur.

2 Technologique AU SOMMAIRE 1. PRODUITS ET TECHNOLOGIES PRODUITS ADMINISTRATION NT... 4 ELM V CHIFFREMENT... 4 SECURITY BOX PARE-FEUX... 5 AXENT RAPTOR INFORMATION ET LÉGISLATION INFORMATION WHITE-PAPERS... 6 MACRO OFFICE RUMEURS... 6 CRÉDIBILITÉ DU MÉCANISME DE SIGNATURE DE LA CRYPTOAPI...6 DÉBORDEMENT DE BUFFER VOLONTAIRE ALLIANCES... 7 RACHAT DE NETREX PAR ISS LEGISLATION CHIFFREMENT... 7 PRODUITS AUTORISÉS ALLIANCES LOGICIELS ET SERVICES DE BASE LOGICIELS DE SÉCURITÉ DU DOMAINE PUBLIC NORMES ET PROTOCOLES PUBLICATIONS RFC RFC TRAITANT DE LA SÉCURITÉ...14 AUTRES RFC IETF NOUVEAUX DRAFTS TRAITANT DE LA SÉCURITÉ...15 MISE À JOUR DE DRAFTS TRAITANT DE LA SÉCURITÉ...15 DRAFTS TRAITANT DE DOMAINES CONNEXES À LA SÉCURITÉ COMMENTAIRES RFC RFC SPKI CERTIFICATE THEORY IETF DRAFT- DRAFT-EKSTEIN-ROAMOPS-PROTCOMP-00 - AAA : COMPARISON BETWEEN RADIUS, DIAMETER AND COPS...16 DRAFT-IETF-SAAG-AES-CIPH-00 - CRYPTOGRAPHIC ALGORITHMS FOR THE IETF...17 DRAFT-GLENN-ID-NOTIFICATION-MIB-00 - INTRUSION DETECTION MESSAGE MIB...17 DRAFT-IETF-GRIP-SSH-ADD-00.TXT - SITE SECURITY HANDBOOK ADDENDUM FOR ISPS ALERTES ET ATTAQUES AA L E RR T E SS... S GUIDE DE LECTURE DES AVIS SYNTHÈSE DES AVIS PUBLIÉS AVIS OFFICIELS CDE...21 CISCO...21 MICROSOFT...22 LINUX...24 DEBIAN...24 LINUX...25 REDHAT...25 LOTUS NOTES...25 NETSCAPE...26 ORACLE...26 SUN...26 WU-FTPD ALERTES NON CONFIRMÉES BROWSERS...28 HOTMAIL...28 INN...28 NETSCAPE...29 PEGASUS...29 MAIL...29 SOFTARC...29 SCO...29 SUN BULLETINS D INFORMATION CERT ATTAQUES OUTILS BASS...31 CODES D EXPLOITATION ANALYSE IDENTIFICATION D UN SYSTÈME...32 INJECTION DE TRAME DANS UN VLAN...32 DCOM /BVEL Septembre - 15/09/99 Page - 2 -

3 Technologique Le mot de la «Rédaction» Un record a été atteint ce mois ci, tant sur le plan du nombre d alertes émises que sur celui de la quantité de codes d exploitation publiés sur diverses listes. Microsoft conserve sa position de leader avec 7 alertes dont 5 sont directement liées aux fonctionnalités WEB! Au plan législatif, le SCSSI a mis à jour la listes de produits de chiffrement libres d utilisation ou d importation, soit 245 produits en provenance de 26 sociétés... Enfin, de nombreuses rumeurs circulent sur l existence d un challenge dont l objectif est d établir le record du nombre de sites compromis d içi à la fin de l année. Aucune information fiable n a actuellement permis de confirmer ces rumeurs. Quoiqu il en soit, une recrudescence des attaques de tout type va probablement être observée dans les mois à venir, le passage à l an 2000 étant un challenge non seulement pour les informaticiens mais aussi pour les hackers. Pour tout renseignement complémentaire, éventuelles remarques, ou suggestions, vous pouvez nous contacter par mail à l adresse de courrier électronique suivante : veille-sec@apogee-com.fr /BVEL Septembre - 15/09/99 Page - 3 -

4 Technologique 1. PRODUIITS ET TECHNOLOGIIES 1.1. PRODU IITS Administration NT EELLMM VV Objet La société SunBelt annonce la disponibilité de la version 2.0 du produit ELM (Event Log Manager) pour NT. Description Le produit ELM autorise la supervision des évènements produits par le service de journalisation des systèmes NT mais aussi la génération d alarmes déclenchées par des règles configurables par l utilisateur. Il est ainsi possible de suivre en temps réel tout dépassement de seuils : taux d utilisation de la mémoire, performances des services, Les données acquises sont consolidées dans une base ODBC, et peuvent en conséquence être exploitées ultérieurement. Plusieurs mécanismes de notification sont intégrés : fenêtres pop-up, transmission d un mail, Les prix annoncés pour la version Entreprise sont de $345 par agent pour un volume inférieur à 20 agents. Une édition dédiée aux petits environnements (10 agents) est annoncée à $1595. Complément d information Produit ELM Chiffrement SS EE CC UU RR II I TT YY BB OO XX Objet La société francaise MSI SA (Méthode et Solution Informatique) annonce la disponibilité d une version libre et destinée à l utilisation non commerciale de son logiciel de chiffrement Security Box. Description Security Box Freeware, logiciel destiné à garantir la confidentialité des données, assure la compression et le chiffrement de n importe quel fichier à partir de l explorateur Windows. Ce logiciel qui utilise l algorithme Triple DES ( application de trois DES successifs utilisant 2 clefs DES de 56bits, soit 128bits de longueur utile), est déclaré «libre d utilisation» par le SCSSI. Security Box est activé, dans l environnement Windows, par sélection du fichier à chiffrer dans l explorateur Windows et activation de l option Encrypt. La clef de chiffrement est générée à partir d un mot de passe saisi dans une fenêtre de dialogue. Un commentaire permettant au correspondant de déterminer le mot de passe employé peut être saisi /BVEL Septembre - 15/09/99 Page - 4 -

5 Technologique L opération de déchiffrement est réalisée par sélection du fichier chiffré (marqué par l extension.mbox) et activation de l option Decrypt dans l explorateur de fichier. Ce logiciel fonctionne en environnement Windows 95/98/NT et MacIntosh. La version commerciale permet la production de fichiers exécutables autorisant le déchiffrement automatique par simple exécution de ceux-ci. Complément d information Security Box Freeware Pare-feux AA XX EE NN TT RRAAPP TT OO RR Objet AXENT annonce la disponibilité d'une mise à jour pour le pare-feu Raptor for NT version 6.0 Description Cette mise à jour, référencée 6.0.2, autorise l'utilisation du produit avec le Service Pack 5. Elle intègre de nouvelles fonctionnalités dont le support de DCOM sur HTTP, le redémarrage automatique des services, le support des listes noires générées par le produit AXENT Netprowler, la remise à zéro des connexions trop longues (time-out de 2 heures)... Complément d information Mise à jour /BVEL Septembre - 15/09/99 Page - 5 -

6 Technologique 2. INFORMATIION ET LEGIISLATIION 2.1. IINFORMATIION White-Papers MM AACC RR OO OO FF FF II I CC EE Objet Microsoft a publié, le 2 avril, un document, passé semble-t-il inaperçu, concernant la sécurisation des macros en environnement Office Description Le document O2KSEC.DOC décrit par le détail, et de manière pédagogique, les mécanismes de protection susceptibles d être activés dans l environnement Office Sont abordés les thèmes suivants : - Les signatures digitales, - Leur utilisation dans l environnement Office2000, - L administration de ces signatures, - Les mécanismes complémentaires de protection, - Les techniques de signatures des macro. La lecture de ce document est fortement recommandée. Complément d information White Paper Rumeurs CC RR EE DD II I BB II ILL II ITT EE DD UU MM EE CC AANN II ISS MM EE DD EE SS I Objet II GG NN AATT UU RR EE DD EE LL AA CC RR YY PP TT OOAAPPI II La confiance accordée au mécanisme de signature intégrée au module CAPI - Interfaces cryptographiques livrées avec les systèmes Windows - vient d'être fortement remise en cause à la suite de la publication des résultats d'une étude. Description Lors de l'analyse des vulnérabilités potentielles de ce module, un chercheur a découvert que l'une des clefs utilisées pour vérifier l'intégrité de ce module appartiendrait à la NSA, la clef étant nommée _NSAKEY. Il s'ensuit que le propriétaire de cette clef serait à même de génerer un module valide et de charger celui-ci sur n'importe quel système Windows. Aucune information n'a été fournie à ce jour qui permette de justifier l'utilisation d'une clef tierce dans le mécanisme de signature. Un programme permettant de remplacer cette clef a immédiatement été publié par l'auteur de l'article. Il apparait raisonnable d'attendre un complément d'information avant toute modification dont les résultats ne sont pas garantis d'autant que l'analyse ne repose que sur la présence de l'acronyme NSA dans le nom de la clef... Complément d information Analyse DD EE BB OO RR DD EE MM EE NN TT DD EE BB UU FF FF EE RR VV OO LL OO NN TT AAI II RR EE Objet /BVEL Septembre - 15/09/99 Page - 6 -

7 Technologique Une analyse d'une vulnérabilité de type 'buffer overflow' détectée dans le client de connexion à AOL semble faire apparaître que ce 'problème' est volontaire, ou 'by design' en référence à la littérature américaine. Description Il semblerait en effet qu'un paquet contenant du code exécutable soit transmis lors de la connexion sur AOL, ce code ayant pour objet de retransmettre une signature spécifique à ce client. Ce fonctionnement permettrait de vérifier que la connexion est bien effectuée à partir du client AOL et non d'un client MSN. Bien que contestable, cette technique visant à faire exécuter du code binaire dynamiquement chargée dans la pile de l'application fut longtemps utilisée par Microsoft dans Windows Elle permettait en effet de charger dynamiquement les séquences de traitement spécifiques aux pilotes d'écran. Cependant, et sous réserve que cette information soit avérée, nous ne pouvons qu'espérer que cette technique ne se répande pas! Complément d information Analyse Alliances RR AACC HH AATT DD EE NN EE TT RR EE XX PP AARR IISSSS I Objet La société ISS, spécialisée dans les solutions d audit de la sécurité des systèmes d information, vient d annoncer l acquisition de la société Netrex Secure Solution. Description Le rachat de la société Netrex devrait renforcer la position actuellement détenue par ISS en matière de solutions d analyse et d audit actif des systèmes d informations, en particulier sur le plan des services d audit et de surveillance déportés. Complément d information Société Netrex LEG IISLATIION Chiffrement PP RR OO DD UU II I TT SS AAUU TT OO RR II ISS EE SS Objet La liste, publiée par le SCSSI, des produits de chiffrement pouvant être librement importés ou utilisés, a été mise à jour : 26 sociétés listées et 245 produits autorisés. Description Nous ne pouvons reproduire ici l intégralité de cette liste. Cependant, une liste restreinte aux produits les plus couramment utilisés est proposée : Société Produit Catégorie BULL Authentic 2 Logiciel de sécurité PC Bullwark NT version 1.30 Contrôle d'accès DCC Matériel chiffrement réseau ethernet ISM Access Master avec confidentialité Contrôle d'accès réseau ISM Access Master de base Contrôle d'accès réseau ISM Access Master v3 Contrôle d'accès réseau Netwall Bull Administration sécurisée Operating System AIX Système d'exploitation Option de Netwall Bull Remote Control 1.0 et 1.1 Administration sécurisée /BVEL Septembre - 15/09/99 Page - 7 -

8 Technologique Securware BNE C, v1, v2, v3, v4 et v5 Chiffrement IP Securware-CE ou BN-CE Processeur cryptographique CHECK POINT Firewall-1 VPN DES versions 3 et 4 Firewall VPN-1 Certificate Manager Gestion de clés VPN-1 RemoteLink DES Chiffrement IP COMPAQ Computer Altavista Tunnel 98 (56 bits) Chiffrement IP DECForms Web connectors 40 bits Serveur Web CPE Entrust /Entelligence version 4.0 Chiffrement fichiers et messages Entrust /Express 1.0 et 4.0 Sécurisation messagerie Entrust /ICE 1.0 et 4.0 Chiffrement de fichiers PC Entrust 3.0c (incl. Manager, Client version internationale) Sécurisation messagerie Entrust 3.0c (incl. Manager, Client) version domestique Sécurisation messagerie DATA FELLOWS F-Secure FileCrypto version 4.0 Chiffrement de fichiers F-SECURE Management Framework v3.0 Administration sécurisée F-Secure SSH Chiffrement SSH F-Secure VPN+ version 4.0 Chiffrement IP EDELWEB S.A. Edelsafe version F-1.0 Sécurisation messagerie Protect 95/98 et Protect NT triple DES 40 bits Logiciel de chiffrement de fichiers PC ERCOM SmartPass /128 Chiffrement IP SmartPass /56 Chiffrement IP IBM France Domino Go Webserver 4.6.1/5.0 et HTTP Server 40b Chiffrement SSL DSSeries Directory Server for AIX 4.3 Annuaire électronique IBM Host On Demand v4 (128 bits) Chiffrement SSL/SSH IBM HTTP Server 133 (56 bits) Serveur Web IBM IP Security for AIX (56 bits) Tunnel chiffrant VPN IBM SecureWay Directory v3 Serveur Web IPSec pour IBM AIX v4.3 Chiffrement IP Lotus Tableur Lotus Notes /domino 4.6 et Editions françaises Messagerie Lotus Notes R3 V4.11 et V.51 incluant Domino Messagerie Lotus Notes/Domino R5 Messagerie Lotus Organizer Agenda ISS RealSecure v3.1 Détection d'intrusion SafeSuite Decisions v2.0 Détection d'intrusion System Scanner v4.0 Détection d'intrusion MSI SA Security Box 2.5 Logiciel de chiffrement de fichiers PC Security Box freeware Logiciel de chiffrement de fichiers PC Security Box Home Logiciel de chiffrement de fichiers PC Security Box Mail Service Messagerie Security Box SHL Chiffrement échanges Internet Security Box Work Logiciel de chiffrement de fichiers PC NEUROCOM NetSecure java v2 Serveur Web ODS NETWORKS CryptoWatch v5.x Tunnel chiffrant VPN RACAL-AIRTECH Ltd Datacryptor 64 modèle E Chiffrement X25 Datacryptor 64 modèles F, HSF Chiffrement frame relay Datacryptor modèles LS, MS, HS Chiffrement d'artères SHIVA S.A. Shiva LanRover VPN Express & VPN Client DES 56 bits Chiffrement IP Shiva LanRover VPN Gateway & VPN Client DES 56 bits Chiffrement IP THOMSON- CSF DETEXIS Dedicace Secure File (128 bits) Authentification Dedicace Secure Mail 4.2 (128 bits) Chiffrement de fichiers Dedicace VPN Gateway 1.0 (128 bits) Sécurisation messagerie Dedicace VPN Gateway 1.0 (56 bits) Chiffrement IP Dedicace VPN Mobile 1.0 (128 bits) Chiffrement IP Dedicace VPN Mobile 1.0 (56 bits) Chiffrement IP Complément d information Liste des produits /BVEL Septembre - 15/09/99 Page - 8 -

9 Technologique 2.3. ALL IIANCES Les différentes alliances - rachats, prises de participation, accords technologiques, - sont récapitulées au moyen d un synoptique régulièrement mis à jour. Ce mois-ci, acquisition de la société Netrex par ISS. Pare-Feu Anti-Virus Audit SSO Chiffrement CISCO NAI ISS Security Dynamics AXENT CA Equipements Réseau Systèmes et Applications /BVEL Septembre - 15/09/99 Page Memco PGP RSA Data Boks Platinum PassGo March Technologie Internet Technologie WheelGroup Secure Networking Netrex Dr Salomon McAfee Raptor TIS Global Intranet 01/98 06/99 04/99 AutoSecure - Memco 04/99 PassGo SSO 10/98 01/99 NetProwler 02/98 NetRanger - NetSonar 06/98 Ballista 08/99 06/98 06/97 02/98 Eagle AltaVista 08/99 Altavista Firewall & Tunnel 02/98 Gauntlet 12/97 Centri

10 Technologique 2.4. LOG IIC IIELS ET SERV IICES DE BASE Les dernières versions disponibles des principaux logiciels du Domaine Public sont récapitulées dans le tableau suivant. Nous conseillons d assurer rapidement la mise à jour de ces versions, après qualification préalable sur une plate-forme dédiée. Nom Fonction Dernière Version officielle Ancienneté Apport de la dernières version Références Apache Serveur WEB au 01/08/ mois Portage WIN32 Correction de bogues de sécurité Bind Serveur DNS au 23/06/ mois Nouvelles Fonctionnalités Imap Serveur IMAP 4.6 au 02/06/ mois Correction de problèmes INN Gestionnaire de News au 25/08/ mois Vulnérabilités de sécurité Majordomo Gestionnaire de listes de diffusion au 02/10/ mois Nouvelles Fonctionnalités NTP Serveur de Temps 3_5.93e au 26/04/ mois 4.0 au 19/05/ mois 5.005_03 au 28/03/ mois XNTP 3 NTP 4 Perl Langage interprété Nouvelles Fonctionnalités _61 0 mois Version expérimentale Pop Serveur POP/APOP 2.53 au 14/07/ mois Nouvelles Fonctionnalités 3.0b18 au 23/04/ mois Version béta public Procmail Traitement des au 05/04/ mois Nouvelles Fonctionnalités ftp://ftp.informatik.rwth-aachen.de/pub/packages/procmail/ Sendmail Serveur SMTP au 04/02/ mois Nouvelles Fonctionnalités Correction de bogues de sécurité SmartList Gestionnaire de listes de diffusion 3.13 au 31/03/ mois Nouvelles Fonctionnalités ftp://ftp.informatik.rwth-aachen.de/pub/packages/procmail/ Squid Cache WEB 2.3 au 02/08/ mois Nouvelles Fonctionnalités Wu-Ftp Serveur FTP au 25/05/ mois annoncée 0 mois Vulnérabilités de sécurité Réorganisation conceptuelle /BVEL Septembre - 15/09/99 Page

11 Technologique 2.5. LOG IIC IIELS DE SECUR IITE DU DOMA IINE PUBL IIC Une liste, non exhaustive, des produits et logiciels de sécurité du domaine public (licence GNU GPL) est proposée dans les tableaux suivants. Cette liste sera régulièrement mise à jour. AA NN AALL YY SS EE DD EE RR EE SS EE AAUU EE TT DD EE DD AATT AAGG RR AAMM MM EE SS Nom Fonction Dernière Version officielle Ancienneté Références IP Traf Statistiques IP au 25/07/99 2 mois Big Brother Polleur/visualisateur snmp 1.2b au 13/07/99 2 mois Ethereal Analyseur multi-protocole au 31/08/99 1 mois Cheops Interface visualisation CC OO NN TT RR OO LL EE DD' ''AA CC CC EE SS Nom Fonction Dernière Version officielle Ancienneté Références TCP Wrapper Contrôle d accès services TCP 7.6 ftp://ftp.cert.org/pub/tools/tcp_wrappers/tcp_wrappers_7.6.tar.gz XinetD Inetd amélioré b7 au 31/08/99 0 mois AA NN AALL YY SS EE DD EE JJ OO UU RR NN AAUU XX Nom Fonction Dernière Version officielle Ancienneté Références Autobuse Analyse syslog 1.8 au 07/02/ mois Log Scanner Analyse syslog 1.0 au 12/02/ mois GG EE NN EE RR AATT EE UU RR SS DD EE DD AATT AAGG RR AAMM MM EE SS Nom Fonction Dernière Version officielle Ancienneté Références IPSend Générateur Paquets IP 2.1a au 17/09/97 24 mois ftp://coombs.anu.edu.au/pub/net/misc/ipsend2.0.tar.gz UdpProbe Générateur UDP 1.2 au 13/02/96 42 mois /BVEL Septembre - 15/09/99 Page

12 Technologique CC OO NN TT RR OO LL EE DD' ''I II NN TT EE GG RR II I TT EE Nom Fonction Dernière Version officielle Ancienneté Références Tripwire Intégrité Systèmes NT/UNIX mois (version LINUX 5.x) L6 Intégrité Systèmes UNIX 1.6 au 16/10/98 11 mois SS CC AANN NN EE RR SS Nom Fonction Dernière Version officielle Ancienneté Références Nessus Audit de vulnérabilité système au 19/09/99 0 mois Saint Audit de vulnérabilité réseau 1.4 au 19/08/99 1 mois Sara Audit de vulnérabilité réseau au 04/08/99 1 mois Satan Audit de vulnérabilité réseau au 11/04/95 Tara Audit de vulnérabilité système au 05/06/99 3 mois Trinux Boite à outils 0.62 au 09/08/99 2 mois ''I DD EE TT EE CC TT II I OO NN DD' II NN TT RR UU SS II I OO NN/ //I IIDDSS Nom Fonction Dernière Version officielle Ancienneté Références NFR Détection d intrusion Système au 04/99 Shadow Détection d intrusion Réseau 1.4 au 04/99 Deception ToolKit Attrape-mouche au 07/01/99 GG AARR DD EE SS- -BB AARR RR II I EE RR EE SS/ II RR EE WW AALL LL SS //FF I Nom OS Dernière Version officielle Ancienneté Références Sinus for Linux Linux au 18/08/99 1 mois DrawBridge FreeBsd au 18/05/99 4 mois IpChain Linux IpFilter Filtre de datagrammes au 22/11/ mois /BVEL Septembre - 15/09/99 Page

13 Technologique RR EE SS EE AAUU XX PP RR I II VV EE SS VV IIRRTTUUEELLSS/ I //VVPPNN Nom Fonction Dernière Version officielle Ancienneté Références CIPE LINUX CIPE Kernel Driver au FreeS/Wann LINUX IPSEC 1.0 au 14/04/99 5 mois Photuris Protocole de gestion des clefs 04/02/98 17 mois VPS LINUX Tunnel IP 2.0b2 SSH Shell sécurisé au 12/08/99 1 mois SSF Shell sécurisé autorisé au 16/09/99 0 mois /BVEL Septembre - 15/09/99 Page

14 Technologique 3. NORMES ET PROTOCOLES 3.1. PUBL IICATIIONS RFC Durant la période du 15 Août au 15 Septembre, 34 RFC ont été publiés dont 6 ayant trait au domaine de la sécurité. RRFFCC TT RR AAI II TT AANN TT DD EE LL AA SS EE CC UU RR II ITT EE Thème Numéro Date Status Titre HTML /99 Exp Security Extensions For HTML HTTP /99 Exp The Secure HyperText Transfer Protocol MIB /99 pstd IP Tunnel MIB SPKI /99 Exp SPKI Requirements /99 Exp SPKI Certificate Theory RPC /99 Info Authentication Mechanisms for ONC RPC Les abréviations suivantes sont utilisées : PStd : Proposition de standard Std : Draft Standard Exp : Expérimental Info : Pour information Bcp : Procédure d utilisation optimale AA UU TT RR EE SS RRFFCC Thème Numéro Date Status Titre ATM DNS /99 Info Performance Issues in VC-Merge Capable ATM LSRs /99 PStd Multiprotocol Encapsulation over ATM Adaptation Layer /99 pstd Extension Mechanisms for DNS (EDNS0) /99 PStd Non-Terminal DNS Name Redirection /99 PStd Binary Labels in the Domain Name System /99 Exp DNS extensions to Network Address Translators (DNS_ALG) ICANN /99 PStd A Proposal for an MOU-Based ICANN Protocol Support Organization /99 PStd A Memorandum of Understanding for an ICANN Protocol Support Organization IMAP /99 Info IMAP4 Implementation Recommendations IP /99 PStd IPv6 Jumbograms /99 PStd Integrated Services Mappings for Low Speed Networks /99 Info Integrated Services Mappings for Low Speed Networks /99 Info A Single Rate Three Color Marker IPPM /99 Info A Two Rate Three Color Marker /99 PStd IPPM Metrics for Measuring Connectivity /99 PStd A One-way Delay Metric for IPPM /99 PStd A One-way Packet Loss Metric for IPPM /99 PStd A Round-trip Delay Metric for IPPM LDAP /99 Info LDAP Control Extension for Simple Paged Results Manipulation MIB /99 pstd Definitions of Managed Objects for the Ethernet-like Interface /99 PStd Definitions of Object Identifiers for Identifying Ethernet Chip Sets /99 PStd Definitions of Managed Objects for IEEE Medium Attachment Units (MAUs) /99 PStd Definitions of MIB for Bridges with Traffic Classes, Multicast Filtering and Virtual LAN Extensions /99 PStd Definitions of Managed Objects for the NBMA Next Hop Resolution Protocol (NHRP). OSPF /99 Exp QoS Routing Mechanisms and OSPF Extensions PPP /99 PStd The Multi-Class Extension to Multi-Link PPP /99 PStd PPP in a Real-time Oriented HDLC-like Framing VPN /99 PStd Virtual Private Networks Identifier Les abréviations suivantes sont utilisées : PStd : Proposition de standard Std : Draft Standard Exp : Expérimental Info : Pour information Bcp : Procédure d utilisation optimale /BVEL Septembre - 15/09/99 Page

15 Technologique IETF Durant la période du 15 Août au 15 Septembre, 208 DRAFTS ont été publiés, ou mis à jour, dont 17 ayant directement trait au domaine de la sécurité. NN OO UU VV EE AAUU XX DD RR AAFF TT SS TT RR AAI II TT AANN TT DD EE LL AA SS EE CC UU RR II I TT EE Thème Nom du draft Date Titre AAA draft-ekstein-roamops-protcomp-00.txt 30/08 AAA : Comparison between RADIUS, DIAMETER and COPS CRYPT draft-ietf-saag-aes-ciph-00.txt 13/08 Cryptographic Algorithms for the IETF draft-schneier-blowfish-00.txt 02/09 Description of the Blowfish Cipher GSS-API draft-ietf-cat-ecdh-spkm-00.txt 30/08 Using Elliptic Curve Diffie-Hellman in the SPKM GSS-API LDAP draft-greenblatt-ldap-certinfo-schema-00.txt 09/09 LDAP Object Class for Holding Certificate Information draft-weltman-ldapv3-auth-response-00.txt 17/08 LDAP Authentication Response Control MIB draft-glenn-id-notification-mib-00.txt 31/08 Intrusion Detection Message MIB MIME draft-ietf-smime-cast txt 02/09 Use of the CAST-128 Encryption Algorithm in S/MIME PKI draft-gindin-pkix-technr-00.txt 30/08 X.509 PKI Technical Requirements for a non-repudiation Service Draft-ietf-pkix-cmp-tcp-00.txt 14/09 Using TCP as a Transport Protocol for CMP PPP draft-srisuresh-secure-ra-00.txt 30/08 Secure Remote Access with L2TP SEC draft-ietf-grip-ssh-add-00.txt 01/09 Site Security Handbook Addendum for ISPs Draft-ietf-policy-framework-00.txt 14/09 Policy Framework Draft-ietf-policy-req-00.txt 13/09 Requirements for a Policy Management System SOCK draft-ietf-aft-socks-v6-req-00.txt 02/09 SOCKS successor requirements TELNET draft-altman-telnet-enc-cast128-cfb-00.txt 11/08 Telnet Encryption: CAST bit Cipher Feedback draft-altman-telnet-enc-cast128-ofb-00.txt 11/08 Telnet Encryption: CAST bit Cipher Feedback Les documents à lire en priorité sont mentionnés en caractères gras MM I II SS EE AA JJ OO UU RR DD EE DD RR AAFF TT SS TT RR AAI II TT AANN TT DD EE LL AA SS EE CC UU RR II I TT EE Thème Nom du draft Date Titre COPS Draft-ietf-rap-cops-07.txt 24/08 The COPS (Common Open Policy Service) Protocol CRYP Draft-ietf-pkix-dhpop-01.txt 18/08 Diffie-Hellman Proof-of-Possession Algorithms DIAM draft-calhoun-diameter-authent-06.txt 11/08 DIAMETER User Authentication Extensions draft-calhoun-diameter-eap-03.txt 11/08 DIAMETER Extensible Authentication Protocol Extensions DNS draft-eastlake-card-map-06.txt 19/08 ISO 7812/7816 Based Card Numbers and the DNS DOM draft-ietf-trade-hiroshi-dom-hash-03.txt 13/09 Digest Values for DOM (DOMHASH) IKE draft-matsuura-sign-mode-01.txt 13/09 A revised signature mode for the Internet Key Exchange IOTP draft-ietf-trade-iotp-v1.0-dsig-03.txt 13/09 Digital Signatures for the Internet Open Trading Protocol IPSEC draft-ietf-ipsec-auth-hmac-ripemd txt 07/09 The Use of HMAC-RIPEMD within ESP and AH draft-ietf-ipsec-ike-ecc-groups-01.txt 13/09 Additional ECC Groups For IKE draft-ietf-ipsec-isakmp-mode-cfg-05.txt 18/08 The ISAKMP Configuration Method draft-ietf-ipsec-isakmp-xauth-05.txt 08/09 Extended Authentication Within ISAKMP/Oakley draft-ietf-nat-security-02.txt 19/08 Security Model with Tunnel-mode IPsec for NAT Domains Draft-ietf-pppext-l2tp-security-04.txt 18/08 Securing L2TP using IPSEC MIME draft-ietf-ediint-as1-10.txt 08/09 MIME-based Secure EDI draft-ietf-smime-domsec-02.txt 07/09 Domain Security Services using S/MIME draft-ietf-smime-idea-01.txt 26/08 Incorporation of IDEA encryption algorithm in S/MIME MPPE Draft-ietf-pppext-mppe-keys-01.txt 10/09 MPPE Key Derivation PKI Draft-ietf-pkix-ldap-v3-01.txt 23/08 Internet X.509 PKIK Operational Protocols - LDAPv3 Draft-ietf-pkix-roadmap-03.txt 09/09 Internet X.509 Public Key Infrastructure PKIX Roadmap RADIUS draft-aboba-radius-05.txt 26/08 LDAP V3: Schema for the RADIUS Draft-ietf-radius-tunnel-acct-04.txt 23/08 RADIUS Accounting Modifications for Tunnel Protocol Support Draft-ietf-radius-tunnel-auth-09.txt 19/08 RADIUS Attributes for Tunnel Protocol Support Draft-ietf-radius-tunnel-imp-05.txt 23/08 Implementation of L2TP Compulsory Tunneling via RADIUS SASL draft-burdis-cat-srp-sasl-01.txt 13/09 Secure Remote Password SASL Mechanism SMTP draft-hoffman-rfc2487bis-02.txt 25/08 SMTP Service Extension for Secure SMTP over TLS SOCKS draft-ietf-aft-socks-maf-01.txt 14/09 Multi-Authentication Framework Method for SOCKS V5 TELNET draft-altman-telnet-enc-des3-cfb-01.txt 11/08 Telnet Encryption: DES3 64 bit Cipher Feedback /BVEL Septembre - 15/09/99 Page

16 Technologique draft-altman-telnet-enc-des3-ofb-01.txt 11/08 Telnet Encryption: DES3 64 bit Output Feedback draft-housley-telnet-auth-dsa-03.txt 18/08 Telnet Authentication Using DSA draft-housley-telnet-auth-keasj-04.txt 18/08 Telnet Authentication Using KEA and SKIPJACK draft-wu-telnet-auth-srp-04.txt 16/08 Telnet Authentication: SRP TLS Draft-ietf-pppext-eaptls-06.txt 12/08 PPP EAP TLS Authentication Protocol draft-ietf-tls-https-03.txt 09/09 HTTP Over TLS draft-ietf-tls-kerb-cipher-suites-04.txt 02/09 Addition of Kerberos Cipher Suites to Transport Layer Security XML draft-ietf-xmldsig-requirements-01.txt 25/08 XML-Signature Requirements Les documents à lire en priorité sont mentionnés en caractères gras DD RR AAFF TT SS TT RR AAI II TT AANN TT DD EE DD OO MM AAI II NN EE SS CC OO NN NN EE XX EE SS AA LL AA SS EE CC UU RR II I TT EE Thème Nom du draft Date Titre DIAM draft-calhoun-diameter-08.txt 11/08 DIAMETER Base Protocol draft-calhoun-diameter-mobileip-02.txt 11/08 DIAMETER Mobile IP Extensions draft-calhoun-diameter-proxy-02.txt 11/08 DIAMETER Proxy Server Extensions DNS draft-lindberg-dnsop-isp-root-server-00.txt 17/08 ISP Operated Root Name Servers HTTP draft-ietf-urlreg-procedures-07.txt 12/08 Registration Procedures for URL Scheme Names draft-ietf-wrec-known-prob-00.txt 01/09 Known HTTP Proxy/Caching Problems IOTP draft-ietf-trade-iotp-http-03.txt 24/08 Internet Open Trading Protocol (IOTP) HTTP Supplement draft-ietf-trade-iotp-v1.0-protocol-06.txt 13/09 Internet Open Trading Protocol - IOTP Version 1.0 IP draft-ietf-mobileip-reg-tunnel-01.txt 17/08 Mobile IP Regionalized Tunnel Management LDAP draft-ietf-ldapext-locate-00.txt 09/09 Discovering LDAP Services with DNS draft-ietf-ldup-replica-req-01.txt 23/08 LDAP V3 Replication Requirements LDP draft-thomas-ldp-applic-00.txt 16/08 LDP Applicability Les documents à lire en priorité sont mentionnés en caractères gras. Un fond de couleur indique les nouveaux Drafts COMMENTA IIRES RFC RRFFCC SSPPKKI II CC EE RR TT I II FF II ICC AATT EE TT HH EE OO RR YY Ce document, ayant pour auteurs de grands noms dans le domaine de la cryptographie, vise en priorité un objectif pédagogique, et réussi à expliquer clairement les principes de base de la gestion des clefs en algorithmie à clef publique, et en conséquence, les mécanismes de certification. Destiné à des personnes n ayant pas une culture technique, ce RFC aborde remarquablement bien les différents thèmes liés à la problématique de la gestion des certificats. Les thèmes abordés portent sur : - L origine des certificats, de 1976 à nos jours, avec un excellent rappel sur les normes X500 et X L utilisation pratique d un certificat dont il est rappelé que celui-ci n a pas valeur à authentifier mais à autoriser et à garantir l identité, - La problématique de la délégation, - Les conditions de contrôle de la validité d un certificats et de ses attributs dates, listes de révocations, -, - Les techniques de réduction des chaînes de vérification d un certificat, - La gestion des clefs, - Les problèmes de sécurité La lecture de ce RFC est très fortement recommandée IETF DD RR AAFF TT- - DD RR AAFF TT- - EE KK SS TT EE II I NN- - RR OO AAMM OO PP SS- - PP RR OO TT CC OO MM PP AAAAAA : CC OO MM PP AARR II I SS OO NN BB EE TT WW EE EE NN RRAADDI Ce document propose un comparatif détaillé des trois protocoles d authentification, d autorisation et d accounting actuellement spécifiés par l IETF : IIUUSS,,, DDI IIAAMM EETTEERR AANNDD CCOOPPSS /BVEL Septembre - 15/09/99 Page

17 Technologique - RADIUS, le protocole de délagation d authentification le plus connu et utilisé dans la grande majorité des systèmes d accès distant, - DIAMETER, considéré comme un RADIUS amélioré et destiné à être prioritairement utilisé entre fournisseurs de services d accès, - COPS, principalement conçu pour échanger les informations concernant les politiques de sécurité applicable entre un client et un fournisseur de service. Les critères de comparaison utilisés portent sur : - le support des fonctions d Authentification, d Autorisation et d Accounting (les 3A) - la capacité d extension en terme de messages et d attributs, - la fiabilité du service rendu, - la capacité d extension, - le gestion de la sécurité en mode proxy. Les résultats de cette comparaison font apparaître que bien qu incomplet et susceptible de quelques attaques spécifiques, le protocole RADIUS reste actuellement le plus riche en terme de services offerts, et en conséquence, parfaitement adapté aux besoins actuels. Le protocole DIAMETER semble prometteur mais encore peu usité. DD RR AAFF TT- -II I EE TT FF- - SS AAAAGG- - AAEE SS- - CC II I PP HH CC RR YY PP TT OO GG RR AAPP HH I II CC AA LL GG OO RR II I TT HH MM SS FF OO RR TT HH EE I Ce document pose le problème du choix, et de la standardisation des algorithmes cryptoraphiques au sein de l IETF. Jusqu à ce jour, l IETF préconisait fortement l utilisation de l algorithme DES dans tous les protocoles nécessitant un bon niveau de confidentialité, dont IPSEC. A travers ce draft, l IETF annonce que ce choix est probablement erroné, les dernières avancées techniques ayant démontrées la faiblesse relative du DES. Se pose alors le problème du choix d un successeur, d autant que les travaux de sélection d un algorithme standardisé (AES) n aboutiront qu au printemps L IETF recommande en conséquence l abandon de tout algorithme utilisant des clefs de longueur inférieure à 128 bits, et en particulier, l abandon du DES tout en précisant que celui-ci pourra toujours être proposé en option. Tout en désirant conserver la possibilité d intégrer le futur algorithme AES, l IETF préconise l utilisation dans tous les protocoles de sécurité d un algorithme de chiffrement unique utilisant une longueur de clef de 128 bits, en l occurrence le Triple DES (ou 3DES). L IETF précise qu en temps utile, un second algorithme pourra être intégré en option. Les choix effectués par l IETF sont lourds de conséquence tant sur le plan technique (remise en cause des implémentations actuelles dont IPSEC) que politique (choix mandataire et non négociable). Il est à noter que la position de l IETF a provoqué de nombreux remous dans les groupes de discussion, en particulier les groupes français, qui auraient souhaités l adoption d un mécanisme permettant de négocier l algorithme utilisé. DD RR AAFF TT- - GG LL EE NN NN- -II I DD- - NN OO TT II I FF II ICC AATT II IOO NN- - MM II I BB I II NN TT RR UU SS II I OO NN DD EE TT EE CC TT I II OO NN MM EE SS SS AAGG EE MMI IIBB Ce Draft propose une MIB SNMP dédiée à la transmission, sous la forme de traps, des notifications produites par les dispositifs de détection d intrusion. La définition de la sémantique de cette MIB résulte des discussions menées par le groupe de l IETF travaillant sur le sujet de la détection d intrusion (IDWG). Les principaux attributs définis dans cette MIB sont les suivants : IdLocalAddress : A local IP Address associated with the message IdMessageTimeStamp : The Local date and time when this message was generated IdMessageActionsTaken : The list of automatic actions taken by the originator IdMessagePotentialImpact : An indication of the potentiall impact of the detected attack/intrusion IdMessageSysManufacturer : the Manufacturer of the tool that detected the event IdMessageSysProductName : the name of the product that detected the event IdMessageSysVersion : the version number of the tool that detected the event IdMessageAttackName : the name of the atack, if known. If not known this field will be inaccessible IdMessageToolLocation : the location of the tool that detected the event IdMessageMoreInfo : A reference to MIB definitions specific to this Message IdMessageTargetSource : One of the IP addresses of the entity from which the attack originated, if known IdMessageTargetDestination : One of the IP addresses of the entity to which the attack was destined, if known IdMessageAdvisory : URL of the related advisory, if any IdMessageDegreeOfConfidence : A measure of the degree of confidence the originator has on the report it is generating Ce draft propose une solution simple permettant d interfacer, sans difficulté, les sondes de détection d intrusion avec les systèmes de supervision SNMP existants. Cependant, la teneur, voire la sensibilité, des informations transmises nous conduit à considérer que le protocole SNMP V1 n est pas adapté au transport de celles-ci, à moins de disposer d un réseau de supervision dédié et inaccessibles aux utilisateurs. IIEETTFF /BVEL Septembre - 15/09/99 Page

18 Technologique DD RR AAFF TT- -II I EE TT FF- - GG RR II I PP- - SS SS HH- - AADD DD TT XX TT - SS I II TT EE SS EE CC UU RR I II TT YY HH AANN DD BB OO OO KK AADD DD EE NN DD UU MM FF OO RR IISSPP I SS Ce Draft, produit par Tristan Debeaupuis de la société HSC, vient compléter le fameux RFC 2196 «Site Security Handbook». Le RFC 2196 traite du problème de la sécurité d un site informatique en proposant une liste détaillée des points techniques et organisationnels à aborder. Cependant, ce RFC n offre aucune aide en ce qui concerne les principes et exigences applicables aux interfaces avec les fournisseurs de services d accès (ISP). Un addenda est donc proposé, dans un premier temps sous la forme d un Draft IETF, dont l objectif est de couvrir la problématique de la sécurisation des interfaces externes. Sont abordés les thèmes de la gestion des alertes de sécurité, de la protection des données confiées, de l infrastructure réseau et système mise en place chez le fournisseur et enfin de la gestion des services hébergés : messagerie, web, dns, nntp, /BVEL Septembre - 15/09/99 Page

19 Technologique 4. ALERTES ET ATTAQUES 4.1. ALERTES Guide de lecture des avis La lecture des avis publiés par les différents organismes de surveillance ou par les constructeurs n est pas toujours aisée. En effet, les informations publiées peuvent être non seulement redondantes mais aussi transmises avec un retard conséquent par certains organismes. Dès lors, deux alternatives de mise en forme de ces informations peuvent être envisagées : Publier une synthèse des avis transmis durant la période de veille, en classant ceux-ci en fonction de l origine de l avis, Publier une synthèse des avis transmis en classant ceux-ci en fonction des cibles. La seconde alternative, pour séduisante quelle soit, ne peut être raisonnablement mise en œuvre étant donné l actuelle diversité des systèmes impactés. En conséquence, nous nous proposons de maintenir une synthèse des avis classée par organisme émetteur de l avis. Afin de faciliter la lecture de ceux-ci, nous proposons un guide de lecture sous la forme de chartes synthétisant les caractéristiques de chacun des sources d information ainsi que les relations existant entre ces sources. Seules les organismes, constructeurs ou éditeurs, disposant d un service de notification officiel et publiquement accessible sont représentés. Ces chartes seront régulièrement mises à jour. Avis Spécifiques Avis Généraux Constructeurs Editeurs Indépendants Organismes Réseaux Systèmes Systèmes Editeurs Hackers Editeurs Autres US Autres 3Com Compaq Linux Microsoft l0pht NA (SNI) BugTraq CERT Aus-CERT Cisco HP FreeBSD Netscape rootshell ISS CIAC IBM SGI SUN NetBSD OpenBSD Xfree86 Typologies des informations publiées Publication de techniques et de programmes d attaques Détails des alertes, techniques et programmes Synthèses générales, pointeurs sur les sites spécifiques Notifications détaillées et correctifs techniques L analyse des avis peut être ainsi menée selon les trois stratégies suivantes : Recherche d informations générales et de tendances : Maintenance des systèmes : Compréhension et anticipation des menaces : Lecture des avis du CERT, du CIAC et du CERT Australien, Lecture des avis constructeurs associés Lecture des avis des groupes indépendants Aus-CERT CERT 3Com Compaq Microsoft BugTraq rootshell NA (SNI) NetBSD Cisco HP Netscape l0pht ISS OpenBSD IBM Xfree86 SGI Linux SUN FreeBSD CIAC /BVEL Septembre - 15/09/99 Page

20 Technologique Synthèse des Avis Publiés Le tableau suivant propose un récapitulatif du nombre d avis publiés pour la période courante, l année en cours et l année précédente. Ces informations sont mises à jour à la fin de chaque période de veille. L attention du lecteur est attirée sur le fait que certains avis sont repris et rediffusés par les différents organismes. Ces chiffres ne sont donc représentatifs qu en terme de tendance et d évolution. Période Cumul 1999 Cumul 1998 Organisme CERT-CS CERT-CA CERT-VB CIAC Constructeurs COM Cisco Digital HP IBM Microsoft SGI Sun Unix libres Linux FreeBSD NetBSD OpenBSD Xfree Autres L0pht RootShell SNI / NAI X-Force Cumul 1998 SGI 34% Cumul 1999 Sun 16% Sun SGI 13% 9% Microsoft 46% Cisco 6% Digital 3% HP 17% IBM 5% Microsoft 19% Cisco 8% Digital 2% HP 19% IBM 3% /BVEL Septembre - 15/09/99 Page

21 Technologique Avis officiels Le tableau suivant présente une synthèse des avis de sécurité émis par un organisme officiel et confirmé par l éditeur du produit ou le constructeur de l équipement. Ces informations peuvent être considérées comme fiables et authentifiées. En conséquence, les correctifs proposés doivent immédiatement être appliqués. Fournisseur Titre URL ou Produit Référence Date Niveau Origine Problème Dommages Plateforme Correction CDE Four Vulnerabilities in the Common Desktop Environment CERT CA /09 Critique Service Tooltak 'ttsession' Service réseau 'dtspcd' Utilitaire 'dtaction' Variable TT_SESSION 1- Utilisation d'une authentification RPC faible (AUTH_UNIX) 2- Utilisation d'une authentification faible (Fichier) 3- Débordement de buffer 4- Débordement de buffer La première vulnérabilité autorise l'acquisition locale ou distante des privilèges de l'utilisateur connecté. Les trois autres vulnérabilités conduisent à l'acquisition des privilèges de 'root'. Potentiellement : toute plateforme UNIX utilisant l'environnement CDE Les correctifs suivants sont d'ors et déjà disponibles.. - Compac: Disponible - Sun: Disponible - HP: En cours - IBM: En cours - SGI: En cours - SCO: Aucune information CISCO CiscoSecure Access Control Server Remote Administration Vuln. CISCO CSCdm /08 Forte Administration des comptes Accès direct à l'administration des comptes d'authentification Tout dommage créé par la création de comptes d'authentification et le déni de service par la modification ou la suppression de comptes d'authentification légitimes CiscoSecure ACS pour UNIX (mais pas pour NT), pour les versions 1.0 à Appliquer le correctif mentionné dans l'avis Cisco qui consiste à modifier la configuration par défaut pour les V 1.x à En revanche, pour les versions à 2.3.1, ce correctif génère un autre problème d'exploitation et il est recommandé de faire une montée de niveau en version /BVEL Septembre - 15/09/99 Page

22 Technologique MICROSOFT Patch Available for Office "ODBC Vulnerabilities" MS CIAC J-060 NTFS Post SP5 HotFix 20/08 Critique 1- VBA SHELL: Interface Visual Basic 2- Text I_ISAM: Interface base ISAM 1-Insertion de commandes système dans une requête ODBC 2- Utilisation de commande spécifique autorisant la modification de fichiers 'texte' Q /08 Moyenne Système NTFS Gestion des volumes contenant plus de 4 Million de fichiers Patch Available for "Virtual Machine Sandbox" Vulnerability MS /08 Forte Machine virtuelle Java 1- Exécution distante de commandes systèmes non contrôlées 2- Modifications non contrôlées de fichiers textes Corruption du système de fichier lors d'opérations de création ou de destruction de fichiers Erreur de conception autorisant un composant Java à accéder en dehors de l'environnement contraint (Java sandbox) Accès libre aux ressources du poste à partir d'un composant intégré dans une page WEB 'piégée' Toute plateforme avec le moteur JET version 3.5 ou 4.0. Ce moteur est notamment installé avec: - Microsoft Office - Microsoft Visual Studio - Microsoft Publisher - Microsoft Streets & Trips Plate-formes NT 4.0 SP5 utilisant le système de fichier NTFS Toute plateforme Windows (95/98/NT) utilisant les navigateurs Internet Explorer 4 ou 5 et une machine virtuelle dont le numéro de révision est supérieur à 1520 et inférieur à Appliquer immédiatement le correctif disponible sur le site de l éditeur. Le correctif NTFS-fix est disponible sur le site Microsoft. Appliquer immédiatement le correctif disponible sur le site Microsoft. Ce correctif est livrée sous la forme d'un exécutable de 6.6 Mo autoinstallable (msjavx86.exe en environnement INTEL). Le temps d'installation de cette mise à jour est d'environ 4mn, une réinitialisation du système est requise /BVEL Septembre - 15/09/99 Page

23 Technologique IE 5.0 allows executing programs MS CIAC J /08 Forte Internet Explorer 5.0 Patch Available for "Malformed Telnet Argument" Vulnerability MS /09 Critique Client Telnet / Internet Explorer Patch Available for "Fragmented IGMP Packet" Vulnerability Activation du composant Activ/X de création de scripts via un script contenu dans une page WEB Exécution d'un script lors du prochain démarrage du système Débordement de buffer dans le client telnet MS /09 Forte Pile TCP/IP - IGMP Erreur de conception dans le traitement des paquets fragmentés Set Cookie Header Caching Vulnerability MS /09 Moyenne Serveur Site Server et MCIS Exécution de code non controlé sur le poste utilisant le client telnet directement ou par l'intermédiaire du navigateur Internet Explorer. Ralentissement voire arrêt du système cible de l'attaque Gestion de l'expiration des cookies transmis aux clients Maintien des pages en cache, présentation de pages sensibles ou personnelles, eventuellement court-circuit des mécanismes d'authentification utilisant les cookies Plateforme utilisant Internet Explorer 5.0: Windows 95/98 et NT Ce problème n'a fait l'objet d'aucun avis officiel. La correction actuellement proposée à titre palliatif est d'interdire l'exécution des scripts sous IE5 'Disable Active Scripting' et/ou celle des composants Activ/X 'Disable Run ActiveX Controls and plug-ins' via les options de configuration accessibles sous le menu 'Tools/Internet Options', Onglet 'Security', Bouton 'Custom Level'. Windows 95 et 98 Appliquer immédiatement les 2 correctifs mentionnés dans l avis d alerte Microsoft Windows 95, 98 et NT 4.0 (tous types) - Microsoft Site Server Microsoft Site Server 3.0 Commerce Edition - Microsoft Commercial Internet System 2.0 et 2.5 Appliquer immédiatement le correctif post SP5 IGMP-fix (235Ko) disponible sur le site de l éditeur. Le système doit être réinitialisé aprés application de correctif Appliquer rapidement le correctif 'ProxyCache' disponible sur le site de l'éditeur sur tous les systèmes WEB utilisant Site Server ou MCIS /BVEL Septembre - 15/09/99 Page

24 Technologique Windows NT 4.0 Does Not Delete Unattended Installation File MS /09 Critique Fichier de paramètrage de la configuration 'Unattended.txt' "ImportExportFavorites" Vulnerability MS /09 Critique IE 5: Fonction de gestion des listes de sites préférés Non destruction du fichier en fin d'installation Exposition d'informations sensibles dont le mot de passe de l'administrateur Fonction activable à partir d'une page WEB piégée. Création de fichiers sans contrôle et exécution de programme sur le poste Toute plate-forme windows NT installée automatiquement Toute plate-forme utilisant Internet Explorer 5. Aucun correctif n'est fourni par Microsoft qui recommande d'effacer toute information sensible présente dans ce fichier. Le nom du fichier dépend de la méthode d'installation employée: - Méthode normale: %windir%\system32\$winnt$.inf - Méthode Sysprep: %windir%\system32\$nt4pre$.inf Aucun correctif n'est disponible à ce jour. Microsoft recommande de désactiver le traitement des scripts (Active Scripting) dans l'attente de la publication d un correctif. LINUX DEBIAN New versions of man2html fixes postinst glitch Debian security list 21/08 Moyenne paquettage man2html Gestion des liens symboliques New versions of smtp-refuser fixes security hole Debian security list 21/08 Moyenne Paquettage stmprefuser New versions of trn fixes /tmp race Debian security list 21/08 Moyenne Paquettage trn (lecture des news) ftp://ftp.debian.org/debian/dists/proposed-updates/man2html_ dsc Ecrasement de fichiers systèmes ftp://ftp.debian.org/debian/dists/proposed-updates/smtp-refuser_1.0.1.dsc Absence de contrôle sur le mécanisme de journalisation Destruction de fichiers appartenant à 'root' ftp://ftp.debian.org/debian/dists/proposed-updates/trn_ dsc Gestion des liens symboliques Ecrasement de fichiers systèmes DEBIAN GNU/ Linux 2.1 Installer la version DEBIAN GNU/ Linux 2.1 Installer la version smtp-refuser DEBIAN GNU/ Linux 2.1 Installer la version /BVEL Septembre - 15/09/99 Page