Rapport de Veille Technologique N 13

Transcription

1 Technologique Thème : Sécurité Edition : Août - 15/08/99 DIFFUSION INTERNE EXTERNE APOGEE Communication Exemplaire de présentation Validation REDACTION Rédigé par : Bertrand VELLE Le : 15/08/99 Visa : Approuvé par : Olivier CALEFF Le : Visa : AVERTISSEMENT Les informations fournies dans ce document ont été collectées et compilées à partir de sources d'origines diverses et publiquement accessibles : mailing-lists, newsgroup, sites Web,... Ces informations sont fournies pour ce qu'elles valent sans aucune garantie d'aucune sorte vis à vis de l'exactitude, de la précision ou de la qualité de l'information. Les URL associés à certains thèmes sont validées à la date de la rédaction de ce document. Les symboles d avertissement suivants seront utilisés : Site dont la consultation est susceptible de générer directement, ou indirectement, une attaque sur l équipement de consultation, voire faire encourir un risque sur le système d information associé. Site susceptible d héberger des informations ou des programmes dont l utilisation est illégale au titre de la Loi Française. Par ailleurs, aucune garantie ne peut être apportée sur l'innocuité de ces sites, et en particulier, sur la qualité des applets et autres ressources présentées au navigateur.

2 Technologique Sécurité AU SOMMAIRE 1. PRODUITS ET TECHNOLOGIES PRODUITS DÉTECTION D INTRUSION... 4 AXENT NETPROWLER V AUDIT... 4 NST INFORMATION ET LÉGISLATION INFORMATION RACHATS ET RAPPROCHEMENTS... 5 CISCO...5 RACHAT DE L ACTIVITÉ SÉCURITÉ DE COMPAQ CRYPTOGRAPHIE... 6 AES...6 CHALLENGE RSA ALLIANCES LOGICIELS ET SERVICES DE BASE LOGICIELS DE SÉCURITÉ DU DOMAINE PUBLIC ANALYSE DE RÉSEAU ET DE DATAGRAMMES...10 CONTRÔLE D'ACCÈS...10 ANALYSE DE JOURNAUX...10 GÉNÉRATEURS DE DATAGRAMMES...10 CONTRÔLE D'INTÉGRITÉ...11 SCANNERS...11 DÉTECTION D'INTRUSION/IDS...11 GARDES-BARRIÈRES/FIREWALLS...11 RÉSEAUX PRIVÉS VIRTUELS/VPN NORMES ET PROTOCOLES PUBLICATIONS RFC RFC TRAITANT DE LA SÉCURITÉ...13 AUTRES RFC IETF NOUVEAUX DRAFTS TRAITANT DE LA SÉCURITÉ...15 MISE À JOUR DE DRAFTS TRAITANT DE LA SÉCURITÉ...15 DRAFTS TRAITANT DE DOMAINES CONNEXES À LA SÉCURITÉ COMMENTAIRES RFC RFC CHANGING THE DEFAULT FOR DIRECTED BROADCASTS IN ROUTERS...17 RFC BENCHMARKING TERMINOLOGY FOR FIREWALL PERFORMANCE...17 RFC IP NETWORK ADDRESS TRANSLATOR (NAT) TERMINOLOGY...18 DRAFT-SHIREY-SECURITY-GLOSSARY-00 - SECURITY GLOSSARY...18 DRAFT-VMODI-LDAPEXT-PROXY-CONNECT - LDAP EXTENSIONS FOR PROXY CONNECTION ALERTES ET ATTAQUES AA L E RR T E SS... S GUIDE DE LECTURE DES AVIS SYNTHÈSE DES AVIS PUBLIÉS AVIS OFFICIELS COM...22 COBALT RAQ COLD FUSION...22 COMPAQ...23 HP...23 IBM...24 LINUX...24 MICROSOFT...25 SGI ALERTES NON CONFIRMÉES BSD CHECKPOINT...27 DNS...27 GAUNTLET...28 LINUX...28 MICROSOFT...28 SAMBA...29 TIGER...29 WS_FTP BULLETINS D INFORMATION ATTAQUES...30 RPC ATTAQUES OUTILS ANTISNIFF ANALYSE ATTAQUES RPC C181/BVEL Août - 15/08/99 Page - 2 -

3 Technologique Sécurité Le mot de la «Rédaction» Les grandes frayeurs sont passées : la fin du monde n a pas eu lieu, et la remise à zéro du compteur de temps du système de positionnement GPS n aura entrainée que peu de désagréments, tout au plus l arrêt temporaire pour mise à niveau de quelques serveurs de temps, dont celui de l université de Rennes. Pourtant, en cette fin de période estivale, les alertes majeures se succèdent dont: - Le nombre croissant d'attaques portant sur l'utilisation des services RPC (Remote Process Control) sur UNIX, - La susceptibilité du pare-feu Checkpoint à certaines attaques en déni de service, - La mise en évidence répétitive de nouvelles vulnérabilités en environnement Microsoft. Pour tout renseignement complémentaire, éventuelles remarques, ou suggestions, vous pouvez nous contacter par mail à l adresse de courrier électronique suivante : veille-sec@apogee-com.fr 99.C181/BVEL Août - 15/08/99 Page - 3 -

4 Technologique Sécurité 1. PRODUIITS ET TECHNOLOGIIES 1.1. PRODU IITS Détection d intrusion AA XX EE NN TT NN EE TTPP RR OO WW LEERR L VV33 Objet La société AXENT annonce la disponibilité de la version définitive de Netprowler, son produit phare de détection d intrusion réseau. Description Ce produit, dont une première version était disponible mais peu diffusée, résulte de la finalisation de l intégration du moteur de détection d intrusion Id-Track développé par la société Internet Technologies, société rachetée par AXENT en Janvier Une version d évaluation peut être téléchargée sur le site de la société AXENT. Complément d information Présentation du produit Audit NNSSTT++ Objet La société française CYRANO, société spécialisée dans les logiciels de test, annonce la disponibilité prochaine de NST+, un ensemble de produits d audit de sécurité. Description La famille de produits NST+ est dédiée à l audit et à la mise en évidence des points faibles présents sur les réseaux, les systèmes et les dispositifs de sécurité. La gamme NST+ comprend les produits suivants : - NST+ Firewall : Test et Audit des dispositifs Pare-Feu - NST+ Network : Test et Audit des vulnérabilités réseau - NST+ Database : Test et Audit des vulnérabilités des bases de données - NST+ System : Test et Audit des vulnérabilités systèmes - NST+ Defect Tracking System : Outil de gestion et de plannification des corrections - NST+ Console : Administration centralisée des différents modules Le produit NST+ Network est annoncé disponible, le produit NST+ Firewall sera accessible début septembre, les autres produits étant planifiés pour la fin de l année. Cette gamme de produit se positionne en concurrence directe de la gamme de produits ISS, produits réputés et ayant déjà prouvés leur efficacité. L originalité de l offre NST+ réside dans l existence d un produit de gestion et de plannification des correctifs ( NST+ Defect Trackin System) et dans l architecture retenue pour la qualification des dispositifs pare-feu (utilisation d un générateur de test et d une sonde d analyse des résultats). Complément d information Annonce NST C181/BVEL Août - 15/08/99 Page - 4 -

5 Technologique Sécurité 2. INFORMATIION ET LEGIISLATIION 2.1. IINFORMATIION Rachats et Rapprochements CCI II SSCCOO Objet Cisco vient d annoncer la mise en place d une entente pluri-éditeurs destinée à faciliter l intégration des produits de sécurité autour de la gamme CISCO. Description CISCO annonce que 17 éditeurs ont annoncé leur intention de participer au programme Security Associate, principalement destiné à garantir la compatibilité et le bon fonctionnement des produits de sécurité PKI, Clients IPSEC, Anti-virus, Outils de gestion de la sécurité - susceptibles d être intégrés à l offre PIX Firewall et IPSEC. Les tests seront assurés par un laboratoire indépendant afin de garantir la pertinence des résultats. Les éditeurs suivants participent à ce programme : - Content Technologies - CryptoCard - Data Fellows - Entrust Technologies - Finjan - Indus River - IRE - Network Associates - Open Systems Solutions - Security Dynamics - Telemate - TimeStep - Trend Micro - Verisign - Websense - WebTrends Cette stratégie devrait permettre de pouvoir rapidement disposer d une offre performante et complète de sécurité autour du produit PIX, jusqu alors assez limité en terme de fonctionnalités et d interfaces externes. Complément d information Informations complémentaires RR AA CC HH AA TT DD EE L L AA CC TT II I VV IITTEE I SSEECCUURRI II TT EE DD EE CC OO MM PP AA QQ Objet La société COMPAQ vient d annoncer la vente de son activité sécurité à la société AXENT. Description Les produits de la gamme ALTAVISTA, à savoir Altavista Firewall et Altavista Tunnel seront renommés respectivement RAPTOR Firewall-EC et Raptor VPN Server-EC, Raptor Mobile-EC pour la partie cliente. Aucune information n a été communiquée en ce qui concerne l intégration et le positionnement de ces produits dans la gamme actuelle d AXENT. Cependant, AXENT annonce sa volonté de porter ses produits de sécurité actuels Raptor Firewall et VPN dans l environnement Compaq Tru64 Unix. 99.C181/BVEL Août - 15/08/99 Page - 5 -

6 Technologique Sécurité Complément d information Communiqué de presse Cryptographie AAEESS Objet En 1997, le NIST a lancé une campagne de recherche d un algorithme de chiffrement destiné à remplacer-le DES. Les résultats de la deuxième étape de sélection viennent d être publiés. Description Sur la liste des 15 algorithmes pré-sélectionnés en Juin 1998, 5 algorithmes ont été retenus à l issue de cette avantdernière phase. Il s agit des algorithmes : - Mars par une équipe de recherche de la société IBM, - RC6 par la société RSA Data Security (dont Ron Rivest), - Rijndael par une équipe indépendante de cryptographes belges (université de Louvains), - Serpent par une équipe de trois cryptographes (dont Eli Biham), - Twofish par la société CounterPane dirigée par Bruce Schneier. Un document justifiant les choix et les résultats de la sélection est disponible sur le site du NIST. Un CD-ROM contenant la totalité des informations produites spécifications, performances, sources des implémentations, - devrait être rendu disponible courant Septembre. La dernière étape du processus de sélection aboutira dans le courant de l été 2000, un appel à commentaire ayant été lancé qui sera cloturé le 15 mai Le processus de normalisation de l algorithme sélectionné sera alors engagé et devrait aboutir pour l été La démarche engagée par le NIST peut sembler longue et fastidieuse, mais les enjeux imposent la plus grande prudence. Ainsi, l algorithme précédemment normalisé, le DEA1 plus connu sous le nom de DES, conçu en 1975 par une équipe de la société IBM et adopté en 1976, aura été utilisé durant plus de 23 ans sans jamais avoir subit de remise en cause fondamentale. Il est dés lors impératif que son successeur ait été validé par le plus grand nombre de spécialistes avec les dernières techniques d attaques connues, avant d engager un processus de diffusion irrévocable. Complément d information Détail des résultats CC HH AA L LEENNGGEE L RRSSAA Objet Le challenge RSA 155, lancé par la société RSA Data Security, détentrice de nombreux brevets dans le domaine de la cryptographie à clefs publiques, vient d être remporté par une équipe disposant d une puissance de calcul phénoménale mais aussi de nouveaux algorithmes de recherche cribles dans le jargon des chercheurs remarquablement performants. Description Depuis quelques années, la société RSA lance régulièrement divers challenges visant à démontrer la faiblesse de l algorithme DES (Challenges DES), et la robustesse de l algorithme RSA (Challenge RSA). Dans ce dernier cas, le challenge consiste à factoriser une clef RSA, c est à dire, à retrouver les deux nombres premiers dont le produit donnera la clef. De la difficulté mathématique de réalisation de cette opération dépend la robustesse de l algorithme RSA, et plus largement de la cryptographie dite modulaire. En février 1999, une équipe remportait le challenge RSA-140 consistant à factoriser un nombre de 140 chiffres décimaux soit 465 bits - moyennant une puissance de calcul équivalente à 8,9 années CPU sur une durée de 2 mois. Pour cela, 125 stations SGI et SUN à 175Mhz et environ 60 PC à 300Mhz ont produit une matrice de résultats exploitée par un CRAY C916. Le challenge RSA-155 factorisation d une clef de 155 chiffres décimaux ou 512bits - a nécessité une puissance de calcul quatre fois plus importante : 35,7 années CPU sur une durée de 7 mois. Les ressources utilisées sont impressionnantes : 160 stations SGI et SUN [175 à 400Mhz], 8 processeurs SGI Origin 2000 [250Mhz], 120 PC Pentium 99.C181/BVEL Août - 15/08/99 Page - 6 -

7 Technologique Sécurité II [300 à 450Mhz], 4 serveurs COMPAQ [500Mhz] ainsi qu un CRAY C916 pour analyser les résultats intermédiaires. Ces résultats ne mettent cependant pas en défaut l algorithme RSA, contrairement aux challenges DES qui ont démontrés les limitations de l algorithme face à l aumentation de croissante de puissance de calcul. En effet, dans le cas de RSA, le doublement de la taille de clef passage de 512 bits à 1024 bits conduit à une augmentation de la complexité théorique de calcul d un facteur de 40 Millions. La société RSA Data Security recommande cependant d utiliser des clefs de 768 bits pour disposer d un niveau de sécurité acceptable. Complément d information Challenges RSA C181/BVEL Août - 15/08/99 Page - 7 -

8 Technologique Sécurité 2.2. ALL IIANCES Les différentes alliances - rachats, prises de participation, accords technologiques, - sont récapitulées au moyen d un synoptique régulièrement mis à jour. Ce mois-ci, rachat de l activité sécurité de la société AltaVista par Axent. Pare-Feu Anti-Virus Audit SSO Chiffrement CISCO NAI ISS Security Dynamics AXENT CA Equipements Réseau Sécurité Systèmes et Applications 99.C181/BVEL Août - 15/08/99 Page Memco PGP RSA Data Boks Platinum PassGo March Technologie Internet Technologie WheelGroup Secure Networking Dr Salomon McAfee Raptor 01/98 04/99 AutoSecure - Memco 04/99 PassGo SSO 10/98 01/99 NetProwler 02/98 NetRanger - NetSonar 06/98 Ballista 06/98 06/97 02/98 Eagle AltaVista 08/99 Altavista Firewall & Tunnel TIS Global Intranet 02/98 Gauntlet 12/97 Centri

9 Technologique Sécurité 2.3. LOG IIC IIELS ET SERV IICES DE BASE Les dernières versions disponibles des principaux logiciels du Domaine Public sont récapitulées dans le tableau suivant. Nous conseillons d assurer rapidement la mise à jour de ces versions, après qualification préalable sur une plate-forme dédiée. Nom Fonction Dernière Version officielle Ancienneté Apport de la dernières version Références Bind Serveur DNS au 23/06/ mois Nouvelles Fonctionnalités Sendmail Serveur SMTP au 04/02/ mois Nouvelles Fonctionnalités Correction de bogues de sécurité Qpopper Imap Serveur POP/APOP Serveur IMAP 2.53 au 14/07/ mois 3.0b18 au 23/04/ mois 4.5 au 02/04/ mois 4.6b au 26/03/ mois Nouvelles Fonctionnalités Version béta public Nouvelles Fonctionnalités Apache Serveur WEB au 01/08/ mois Portage WIN32 Correction de bogues de sécurité Squid Cache WEB 2.3 au 02/08/ mois Nouvelles Fonctionnalités Wu-Ftp Serveur FTP au 26/02/ mois Correction de bogues de sécurité Majordomo Gestionnaire de listes de diffusion au 02/10/ mois Nouvelles Fonctionnalités Procmail Traitement des au 05/04/ mois Nouvelles Fonctionnalités ftp://ftp.informatik.rwth-aachen.de/pub/packages/procmail/ SmartList Gestionnaire de listes de diffusion 3.13 au 31/03/ mois Nouvelles Fonctionnalités ftp://ftp.informatik.rwth-aachen.de/pub/packages/procmail/ Perl Langage interprété 5.005_03 au 28/03/ mois Nouvelles Fonctionnalités _60 1 mois Version expérimentale NTP Serveur de Temps 3_5.93e au 26/04/ mois XNTP au 19/05/ mois NTP 4 99.C181/BVEL Août - 15/08/99 Page - 9 -

10 Technologique Sécurité 2.4. LOG IIC IIELS DE SECUR IITE DU DOMA IINE PUBL IIC Une liste, non exhaustive, des produits et logiciels de sécurité du domaine public (licence GNU GPL) est proposée dans les tableaux suivants. Cette liste sera régulièrement mise à jour. AA NN AA LYYSSEE L DDEE RREESSEEAAUU EETT DDEE DDAATTAAGGRRAAMMMMEESS Nom Fonction Dernière Version officielle Ancienneté Références IP Traf au 25/07/99 1 mois Big Brother Polleur/visualisateur snmp 1.2b au 13/07/99 1 mois Ethereal Analyseur multi-protocole au 11/08/99 1 mois Cheops Interface visualisation CC OO NN TT RR OO LEE L DD' ''AA CC CC EE SS Nom Fonction Dernière Version officielle Ancienneté Références TCP Wrapper Contrôle d accès services TCP 7.6 ftp://ftp.cert.org/pub/tools/tcp_wrappers/tcp_wrappers_7.6.tar.gz XinetD Inetd amélioré b6 AA NN AA L YY SS EE DD EE JJ OO UU RR NN AA UU XX Nom Fonction Dernière Version officielle Ancienneté Références Autobuse Analyse syslog 1.8 au 07/02/ mois Log Scanner Analyse syslog 1.0 au 12/02/ mois GG EE NN EE RR AA TT EE UU RR SS DD EE DD AA TT AA GG RR AA MM MM EE SS Nom Fonction Dernière Version officielle Ancienneté Références IPSend Générateur Paquets IP 2.1a au 17/09/97 23 mois ftp://coombs.anu.edu.au/pub/net/misc/ipsend2.0.tar.gz UdpProbe Générateur UDP 1.2 au 13/02/96 41 mois 99.C181/BVEL Août - 15/08/99 Page

11 Technologique Sécurité CC OO NN TT RR OO LEE L DD' ''I II NN TT EE GG RR II I TT EE Nom Fonction Dernière Version officielle Ancienneté Références Tripwire Intégrité Systèmes NT/UNIX mois (version LINUX) L6 Intégrité Systèmes UNIX 1.6 au 16/10/98 10 mois SS CC AA NN NN EE RR SS Nom Fonction Dernière Version officielle Ancienneté Références Nessus Audit de vulnérabilité système a2 fix4 au 24/04/99 3 mois Saint Audit de vulnérabilité réseau 1.4b4 au 15/07/99 1 mois Sara Audit de vulnérabilité réseau au 04/08/99 0 mois Satan Audit de vulnérabilité réseau au 11/04/95 Tara Audit de vulnérabilité système au 05/06/99 2 mois Trinux Boite à outils 0.62 au 09/08/99 1 mois DD EE TT EE CC TT IIOONN I DD' ''I II NN TT RR UU SS II I OO NN/ // II IDDSS Nom Fonction Dernière Version officielle Ancienneté Références NFR Détection d intrusion Système au 04/99 Shadow Détection d intrusion Réseau 1.4 au 04/99 Deception ToolKit Attrape-mouche au 07/01/99 GG AA RR DD EE SS- --BB AA RR RR II I EE RR EE SS/ // FF IIRREEWW I AAL LL SS Nom OS Dernière Version officielle Ancienneté Références Sinus for Linux Linux DrawBridge FreeBsd au 18/05/99 3 mois IpChain Linux IpFilter Filtre de datagrammes au 22/11/ mois 99.C181/BVEL Août - 15/08/99 Page

12 Technologique Sécurité RR EE SS EE AA UU XX PP RR II I VV EE SS VV II I RR TT UU EE L SS/ // VVPPNN Nom Fonction Dernière Version officielle Ancienneté Références CIPE LINUX CIPE Kernel Driver au FreeS/Wann LINUX IPSEC 1.0 au 14/04/99 4 mois Photuris Protocole de gestion des clefs 04/02/98 16 mois VPS LINUX Tunnel IP 2.0b2 SSH Shell sécurisé au 14/05/99 3 mois SSF Shell sécurisé autorisé au 05/01/99 7 mois 99.C181/BVEL Août - 15/08/99 Page

13 Technologique Sécurité 3. NORMES ET PROTOCOLES 3.1. PUBL IICATIIONS RFC Durant la période du 15 Juillet au 15 Août, 30 RFC ont été publiés dont 2 ayant trait au domaine de la sécurité. RRFFCC TT RR AA IITTAANNTT I DDEE LAA L SSEECCUURRI II TT EE Thème Numéro Date Status Titre LDAP /99 Exp An LDAP Control and Schema for Holding Operation Signature SEC /99 Info Benchmarking Terminology for Firewall Performance Les abréviations suivantes sont utilisées : PStd : Proposition de standard Std : Draft Standard Exp : Expérimental Info : Pour information Bcp : Procédure d utilisation optimale AA UU TT RR EE SS RRFFCC Thème Numéro Date Status Titre /99 Non publié à ce jour /99 Non publié à ce jour /99 Non publié à ce jour /99 Non publié à ce jour /99 Non publié à ce jour /99 Non publié à ce jour ARCH /99 Info A Two-bit Differentiated Services Architecture for the Internet CIP /99 PStd The Architecture of the Common Indexing Protocol (CIP) /99 PStd MIME Object Definitions for the Common Indexing Protocol (CIP) /99 PStd CIP Transport Protocols /99 Info A Tagged Index Object for use in the Common Indexing Protocol /99 Exp CIP Index Object Format for SOIF Objects /99 Exp Registration Procedures for SOIF Template Types DNS /99 PStd Extension Mechanisms for DNS (EDNS0) /99 PStd Non-Terminal DNS Name Redirection /99 PStd Binary Labels in the Domain Name System FTP /99 PStd Internationalization of the File Transfer Protocol ICMP /99 Bcp Changing the Default for Directed Broadcasts in Routers INFO /99 PStd Answers to Commonly Asked "New Internet User" Questions IPP /99 Info Internet Printing Protocol/1.0: Implementer's Guide LDAP /99 Exp LDAPv2 Client vs. the Index Mesh MIB /99 PStd Definitions of Managed Objects for the ADSL Lines /99 PStd Cable Device MIB for DOCSIS compliant Cable Modems and Cable Modem Termination Systems /99 PStd Radio Frequency (RF) Interface MIB for MCNS/DOCSIS compliant RF interfaces MIME /99 pstd The Text/Plain Format Parameter NAT /99 Info IP Network Address Translator (NAT) Terminology PPP /99 Info Point-to-Point Tunneling Protocol /99 PStd Layer Two Tunneling Protocol L2TP RPSL /99 Info Using RPSL in Practic RTP /99 PStd RTP Payload Format for PureVoice(tm) Audio SMTP /99 pstd ON-DEMAND MAIL RELAY (ODMR) SMTP with Dynamic IP Addresses URN /99 Info A URN Namespace for IETF Documents VLAN /99 pstd Cabletron's VlanHello Protocol Specification Version /99 pstd Cabletron's VLS Protocol Specification /99 pstd Cabletron's SecureFast VLAN Operational Model 99.C181/BVEL Août - 15/08/99 Page

14 Technologique Sécurité Les abréviations suivantes sont utilisées : PStd : Proposition de standard Std : Draft Standard Exp : Expérimental Info : Pour information Bcp : Procédure d utilisation optimale 99.C181/BVEL Août - 15/08/99 Page

15 Technologique Sécurité IETF Durant la période du 15 Juillet au 15 Août, 200 DRAFTS ont été publiés, ou mis à jour, dont 30 ayant directement trait au domaine de la sécurité. NN OO UU VV EE AA UU XX DD RR AA FF TT SS TT RR AA IITTAANNTT I DDEE L AA SS EE CC UU RR II I TT EE Thème Nom du draft Date Titre IPSEC draft-martius-ipsec-mike-00.txt 21/07 Multi-Domain Authentication and Key Exchange Protocol LDAP draft-vmodi-ldapext-proxy-connect-00.txt 05/08 LDAP Extensions for Proxy Connection SEC draft-shirey-security-glossary-00.txt 05/08 SECURITY GLOSSARY Les documents à lire en priorité sont mentionnés en caractères gras MM II I SS EE AA JJ JOO UU RR DD EE DD RR AA FF TT SS TT RR AA IITTAANNTT I DDEE L AA SS EE CC UU RR II I TT EE Thème Nom du draft Date Titre DNS draft-ietf-dnsind-tsig-11.txt 22/07 Secret Key Transaction Signatures for DNS (TSIG) IPSEC draft-ietf-ipsec-ike-ext-meth-02.txt 06/08 IKE Extensions Methods KERB draft-ietf-cat-kerberos-extra-tgt-02.txt 27/07 Extension to Kerberos V5 For Additional Initial Encryption MIME draft-ietf-smime-cmskea-02.txt 29/07 CMS KEA and SKIPJACK Conventions draft-showalter-sieve-08.txt 22/07 Sieve: A Mail Filtering Language PKCS draft-kaliski-pkcs5-v2-01.txt 12/07 Password-Based Cryptography Standard PKCS #5 v2.0 PKIX draft-ietf-pkix-cmc-05.txt 16/07 Certificate Management Messages over CMS draft-ietf-pkix-dcs-01.txt 12/07 Internet X.509 PKI Data Certification Server Protocols draft-ietf-pkix-qc-01.txt 06/08 Internet X.509 Public Key Infrastructure Qualified Certificates PPP draft-ietf-pppext-l2tp-mib-05.txt 09/08 Layer Two Tunneling Protocol Management Information Base RPS draft-ietf-rps-auth-04.txt,.ps 15/07 Routing Policy System Security SCVP draft-ietf-pkix-scvp-01.txt 10/08 Simple Certificate Validation Protocol (SCVP) SEC draft-blaze-ietf-trustmgt-keynote-02.txt 21/07 The KeyNote Trust-Management System draft-kaukonen-cipher-arcfour-03.txt 14/07 A Stream Cipher Encryption Algorithm 'Arcfour' draft-wu-srp-auth-03.txt 26/07 The SRP Authentication and Key Exchange System SMTP draft-hoffman-rfc2487bis-01.txt 09/08 SMTP Service Extension for Secure SMTP over TLS SNMP draft-stjohns-snmpv3-dhkeychange-mib-01.txt 09/08 Diffie-Helman Key Change MIB and Textual Convention SOCKS draft-ietf-ngtrans-socks-gateway-02.txt 29/07 A SOCKS-based IPv6/IPv4 Gateway Mechanism TELNET draft-housley-telnet-auth-keasj-03.txt 30/07 Telnet Authentication Using KEA and SKIPJACK draft-ietf-tn3270e-telnet-tls-02.txt 26/07 TLS-based Telnet Security draft-wu-telnet-auth-srp-03.txt 26/07 Telnet Authentication: SRP draft-tso-telnet-auth-enc-03.txt 09/08 Telnet Authentication Option draft-tso-telnet-enc-des-cfb-03.txt 09/08 Telnet Encryption: DES 64 bit Cipher Feedback draft-tso-telnet-enc-des-ofb-03.txt 09/08 Telnet Encryption: DES 64 bit Output Feedback draft-tso-telnet-encryption-03.txt 09/08 Telnet Data Encryption Option draft-tso-telnet-krb5-02.txt 10/08 Telnet Authentication: Kerberos Version 5 WEB draft-ietf-ediint-as2-05.txt 20/07 HTTP Transport for Secure EDI Les documents à lire en priorité sont mentionnés en caractères gras DD RR AA FF TT SS TT RR AA IITTAANNTT I DDEE DDOOMMAAI IINNEESS CCOONNNNEEXXEESS AA L AA SS EE CC UU RR II I TT EE Thème Nom du draft Date Titre HTTP draft-ietf-wrec-wpad-01.txt 29/07 Web Proxy Auto-Discovery Protocol IANA draft-bradner-iana-allocation-00.txt 19/07 the Internet Protocol and Related Headers ICMP draft-ietf-mpls-icmp-00.txt 19/07 ICMP Extensions for MultiProtocol Label Switching IMAP draft-leiba-imap-implement-guide-10.txt 28/07 IMAP4 Implementation Recommendations draft-crispin-imapv-08.txt 06/08 INTERNET MESSAGE ACCESS PROTOCOL VERSION 4rev1 draft-showalter-imap-id-03.txt 04/08 IMAP4 ID extension INFO draft-wenzel-nsrc-01.txt 14/07 Guide to Administrative procedure of the Internet infrastructure IP draft-ietf-ip1394-dhcp-02.txt 02/08 DHCP on IEEE 1394 LDAP draft-ietf-ldapext-knowledge-00.txt 19/07 Referrals and Knowledge References in LDAP Directories 99.C181/BVEL Août - 15/08/99 Page

16 Technologique Sécurité draft-ietf-policy-core-schema-04.txt 04/08 Policy Framework LDAP Core Schema QOS draft-snir-policy-qos-infomodel-00.txt 27/07 QoS Policy Framework Information Model and Schema SMTP draft-varshavchik-data-smtpext-01.txt 27/07 Extended SMTP DATA Reply draft-varshavchik-verp-smtpext-01.txt 27/07 Variable Envelope Return Path SMTP Extension VPN draft-ietf-ion-vpn-id-02.txt 21/07 Virtual Private Networks Identifier Les documents à lire en priorité sont mentionnés en caractères gras. Un fond de couleur indique les nouveaux Drafts. 99.C181/BVEL Août - 15/08/99 Page

17 Technologique Sécurité 3.2. COMMENTA IIRES RFC RRFFCC CC HH AA NN GG II I NN GG TT HH EE DD EE FF AA UU L TT FF OO RR DD II I RR EE CC TT EE DD BB RR OO AA DD CC AA SS TT SS II I NN RR OO UU TT EE RR SS Ce document entre dans la catégorie des recommandations d usage (ou best current practice ) et doit être considéré comme un complément du RFC 1812 Requirements for IP Version 4 Routers. Ce RFC, publié en 1995, décrit les fonctionnalités devant être implémentées dans un routeur IP V4, en particulier, la signification et le traitement à appliquer à certaines catégories d adresses IP unicast : - { 0, 0} : le système local sur son réseau ( ) - { 0, <Adresse Système>} : un système sur le réseau IP d appartenance - {127, <Quelconque>} : l adresse interne et locale du système - {-1, - 1} : l ensemble des systèmes attachés au même réseau physique ( ) - {<PréfixeRéseau>, -1} : l ensemble des systèmes attachés au réseau IP indiqué Les deux dernières notations représentent en pratique une adresse de diffusion (Broadcast ), utilisée en tant qu adresse de destination d un paquet: broadcast restreint dans le cas de l adresse {-1, - 1} (ou ) et broadcast dirigé dans le cas de l adresse {<PréfixeRéseau>, -1}. Le RFC 1812 spécifie qu un routeur doit recevoir les paquets comportant une adresse de type {<PréfixeRéseau>, -1} et peut éventuellement offrir un paramètre de configuration permettant d interdire cette réception. Cependant, la configuration par défaut doit autoriser la réception de ces paquets. Cette spécification a notablement facilité les attaques de type smurf, attaques qui tirent parti du routage des broadcast IP sur l Internet. Le RFC 2644 corrige ce problème de spécification en indiquant qu un routeur peut offrir une option de configuration pour autoriser la réception des paquets de broadcast mais ne doit pas activer cette option par défaut. Cette modification de la formulation doit conduire à réduire notablement l efficacité des attaques actuelles. Il est fortement recommandé d appliquer les consignes de ce RFC sur tous les routeurs d accès à l Internet, et de désactiver l option ad hoc afin d interdire la retransmission de tels paquets. De nombeux sites diffusent désormais les adresses des réseaux, dénommés amplificateurs smurf, utilisables pour retransmettre les paquets de broadcast IP. Il est probable que ces informations seront rapidement utilisées pour construire automatiquement des tables d interdiction de routage. RRFFCC BB EE NN CC HH MM AA RR KK II I NN GG TT EE RR MM II I NN OO L OO GG YY FF OO RR FF IIRREEWW I AAL LL PP EE RR FF OO RR MM AA NN CC EE Ce RFC fait suite au draft dont la dernière version a été publiée début Mai Il a pour auteur David Newman, journaliste de DATA Communications. Il se propose de définir les termes à utiliser dans le cadre de mesures de performances de systèmes de sécurité de type garde-barrière, tout en s'appuyant sur la terminologie déjà employée pour les commutateurs et les routeurs (respectivement dans la RFC 2285 et les deux RFC 1242 et 1944 de Scott Bradner de 1991 et 1996). Les deux critères principaux évoqués sont le taux de transmission ("forwarding rate") et tout ce qui est lié aux connexions. La définition de chaque terme est répartie de la façon suivante : - La définition du terme dans le contexte du test - Les spécificités associées à celui-ci: standards applicables, justification de l intérêt du test ou de la mesure, - La ou les unités de mesures utilisables, - Les problèmes susceptibles d être rencontrés durant le test, - Les termes ou critères liés. On notera que dans la définition du "taux de transfert autorisé", il convient de ne prendre en compte que les datagrammes qui traversent le système étudié en conformité avec les règles de filtrage. De même en cas d'authentification, la validation ne dépend souvent plus du garde-barrière lui-même, mais plutôt de systèmes serveurs d'authentification (Radius, LDAP, ) externes. Une rapide comparaison des définitions des termes "relais de circuits" ("circuit proxy") et "relais applicatifs" ("application proxy") est aussi faite. Les autres points importants sont le nombre de communications en parallèle ou de "sessions concurrentes" ("concurrent connections"), les durées d'établissement ("connection establishment time") et de fin 99.C181/BVEL Août - 15/08/99 Page

18 Technologique Sécurité ("connection teardown time") des connexions, les mécanismes de persistence des sessions ("connection maintenance") et les aspects de filtrage de paquets ("static versus stateful packet filtering"). La définition du garde-barrière ("firewall") est volontairement laissée ouverte : "a device or a group of devices that enforces an access control policy between networks". La traduction du more "firewall" peut donc aussi être "routeur" ou "serveur cache". Ce document doit désormais être considéré comme un référentiel dont on peut espérer qu il sera largement utilisé lors des campagnes de test menées par les différents magazines ou éditeurs de produits. RRFFCC IIPP I NN EE TT WW OO RR KK AA DD DD RR EE SS SS TT RR AA NN SS LAATTOORR L ((NNAATT) ( )) TT EE RR MM II I NN OO L OO GG YY Ce document s intéresse au mécanisme de translation d adresse (ou Network Adress Translation NAT) largement utilisé dans les équipements réseaux et dispositifs de sécurité de type pare-feu. Il précise clairement le périmètre de validité des mécanismes de translation d adresse et les traitements associés à différents contextes, en particulier : - Translation des adresses et des ports (NAPT) - NAT monodirectionnel / bidirectionnel - Double translation d adresse - Cas des paquets ICMP, au protocole FTP, aux services de tunneling et de chiffrement dont IPSEC, - Restriction induites par certaines applications, - Une lecture attentive de ce RFC permettra d anticiper les nombreux pièges couramment rencontrés lors de la mise en place d un mécanisme de translation d adresse. DD RR AA FF TT- -- SS HH II I RR EE YY- -- SS EE CC UU RR II I TT YY- -- GG L OO SS SS AA RR YY SS EE CC UU RR II I TT YY GG L OO SS SS AA RR YY Ce Draft propose un glossaire clair, précis et exhaustif des différents termes anglais (plus de 1000) usités dans le domaine de la sécurité. L objectif premier de ce draft est de fournir une définition non ambiguë des termes devant être employé dans les drafts publiés par l IETF. La définition de chaque terme est déclinée en fonction du contexte d utilisation de celui-ci. Ainsi, 3 catégories sont définies : - I : Définition applicable dans le contexte Internet, et en conséquence à l IETF, - N : Définition applicable, ou utilisée, dans un contexte autre que l Internet, - O : Définition dont l utilisation n est pas recommandée mais qu il est nécessaire de connaître, - C : Commentaire additionnel. La lecture de ce glossaire est fortement recommandée, une copie papier s avérant par ailleurs rapidement indispensable. DD RR AA FF TT- -- VV MM OO DD II- -- I L DD AA PP EE XX TT- -- PP RR OO XX YY- -- CC OO NN NN EE CC TT -- - LLDDAAPP EE XX TT EE NN SS II I OO NN SS FF OO RR PP RR OO XX YY CC OO NN NN EE CC TT II I OO NN Ce Draft, dont l éditeur appartient à la société NOVELL, décrit les extensions LDAP requises pour assurer l interconnexion, par le biais d un proxy, d un client utilisant le protocole LDAP v3 sur un serveur X500 utilisant le protocole DAP; ce cas de figure n ayant pas été pris en compte dans le standard LDAP v3 actuel. La chaîne de connexion actuellement spécifiée est synthétisée sur le diagramme suivant : CLIENT LDAP Open Connection LDAP Message(Request). LDAP Unbind DSA Opens LDAP Connection LDAP Message(Response) Closes Connection Les extensions proposées ProxyConnectRequest et ProxyConnectResponse - permettent d établir une connexion similaire mais au travers d un proxy : 99.C181/BVEL Août - 15/08/99 Page

19 Technologique Sécurité CLIENT LDAP Proxy DSA LDAP Open Connection Opens LDAP Connection ProxyConnect Request LDAP Open Connection (Request having URL of DSA) Opens LDAP Connection ProxyConnect Response LDAP Message(Request) LDAP Message(Request) LDAP Message(Response) LDAP Message(Response) LDAP Unbind LDAP Unbind Closes Connection Closes Connection Aucun mécanisme de sécurité, visant notamment à s assurer de l authenticité du proxy, n est prévu dans les extensions proposées. 99.C181/BVEL Août - 15/08/99 Page

20 Technologique Sécurité 4. ALERTES ET ATTAQUES 4.1. ALERTES Guide de lecture des avis La lecture des avis publiés par les différents organismes de surveillance ou par les constructeurs n est pas toujours aisée. En effet, les informations publiées peuvent être non seulement redondantes mais aussi transmises avec un retard conséquent par certains organismes. Dès lors, deux alternatives de mise en forme de ces informations peuvent être envisagées : Publier une synthèse des avis transmis durant la période de veille, en classant ceux-ci en fonction de l origine de l avis, Publier une synthèse des avis transmis en classant ceux-ci en fonction des cibles. La seconde alternative, pour séduisante quelle soit, ne peut être raisonnablement mise en œuvre étant donné l actuelle diversité des systèmes impactés. En conséquence, nous nous proposons de maintenir une synthèse des avis classée par organisme émetteur de l avis. Afin de faciliter la lecture de ceux-ci, nous proposons un guide de lecture sous la forme de chartes synthétisant les caractéristiques de chacun des sources d information ainsi que les relations existant entre ces sources. Seules les organismes, constructeurs ou éditeurs, disposant d un service de notification officiel et publiquement accessible sont représentés. Ces chartes seront régulièrement mises à jour. Avis Spécifiques Avis Généraux Constructeurs Editeurs Indépendants Organismes Réseaux Systèmes Systèmes Editeurs Hackers Editeurs Autres US Autres 3Com Compaq Linux Microsoft l0pht NA (SNI) BugTraq CERT Aus-CERT Cisco HP FreeBSD Netscape rootshell ISS CIAC IBM SGI SUN NetBSD OpenBSD Xfree86 Typologies des informations publiées Publication de techniques et de programmes d attaques Détails des alertes, techniques et programmes Synthèses générales, pointeurs sur les sites spécifiques Notifications détaillées et correctifs techniques L analyse des avis peut être ainsi menée selon les trois stratégies suivantes : Recherche d informations générales et de tendances : Maintenance des systèmes : Compréhension et anticipation des menaces : Lecture des avis du CERT, du CIAC et du CERT Australien, Lecture des avis constructeurs associés Lecture des avis des groupes indépendants Aus-CERT CERT 3Com Compaq Microsoft BugTraq rootshell NA (SNI) NetBSD Cisco HP Netscape l0pht ISS OpenBSD IBM Xfree86 SGI Linux SUN FreeBSD CIAC 99.C181/BVEL Août - 15/08/99 Page

21 Technologique Sécurité Synthèse des Avis Publiés Le tableau suivant propose un récapitulatif du nombre d avis publiés pour la période courante, l année en cours et l année précédente. Ces informations sont mises à jour à la fin de chaque période de veille. L attention du lecteur est attirée sur le fait que certains avis sont repris et rediffusés par les différents organismes. Ces chiffres ne sont donc représentatifs qu en terme de tendance et d évolution. Période Cumul 1999 Cumul 1998 Organisme CERT-CS CERT-CA CERT-VB CIAC Constructeurs COM Cisco Digital HP IBM Microsoft SGI Sun Unix libres RedHat Linux FreeBSD NetBSD OpenBSD Xfree Autres L0pht RootShell SNI / NAI X-Force Cumul 1998 SGI 34% Cumul 1999 SGI 9% Sun 16% Sun 15% Microsoft 48% Cisco 6% Digital 3% HP 17% IBM 5% Microsoft 19% Cisco 9% Digital 2% HP 17% IBM 0% 99.C181/BVEL Août - 15/08/99 Page

22 Technologique Sécurité Avis officiels Le tableau suivant présente une synthèse des avis de sécurité émis par un organisme officiel et confirmé par l éditeur du produit ou le constructeur de l équipement. Ces informations peuvent être considérées comme fiables et authentifiées. En conséquence, les correctifs proposés doivent immédiatement être appliqués. Fournisseur Titre URL ou Produit Référence Date Niveau Origine Problème Dommages Plateforme Correction 3 COM d'un code d'exploitation de vulnérabilité KB doc. n COM MR#11022 Bugtraq 13/08 Elevé Telnet Multiples Buffer Overflow dans l implémentation telnet Réinitialisation intempestive de l'équipement 3COM HiperARC (Total Control) versions 4.0 à Aucune annoncée à ce jour. Il est recommandé d interdire les sessions telnet en provenance de l Internet COBALT Insecure Default Configuration on RaQ2 Servers RAQ2 CERT CA /07 Elevé Configuration par défaut non sécurisée Possibilité d'installer à distance des logiciels sur le serveur Intégrité du serveur: installation d'exécutables non controlés Toute plate-forme utilisant le serveur Cobalt RaQ2 Installer immediatement le correctif accessible sur le site de l éditeur COLD FUSION Security Issues with Undocumented CFML Tags and Functions Used in the ColdFusion Administrator ASB /07 Elevé Tag CFML et fonctions d'administration associées Création d'applications donnant accés aux fonctions d'administration Intégrité du serveur: Contournement des mécanismes de sécurité, Modification des paramètres,... Toute plate-forme utilisant le serveur ColdFusion Allaire précise que le respect des règles de sécurité permet d'éviter l'utilisation de cette vulnérabilité. En effet, celle-ci ne peut être exploitée qu'à la condition de disposer des privilèges autorisant la création d'applications ColdFusion et des modèles éxecutables associés. 99.C181/BVEL Août - 15/08/99 Page

23 Technologique Sécurité COMPAQ "Compaq Management Agents" and "Compaq Survey Utility" Vulns. SSRT0612U 09/08 Moyen Compaq Management et Compaq Survey Utility Non documenté Tout dommage induit par la lecture non autorisée de fichiers sur un poste de travail. Se référer à la liste accessible sur le site Compaq Appliquer le correctif disponible sous peu sur le site Compaq. - Server Management V Survey Utility V Installer les nouvelles versions suivantes : - Server Management : Version 4.23b - Survey Utility: Version 2.18 HP Security Vulnerability Software Distributor (SD) HPSBUX /07 Critique Agents de distribution rupdate, sd-agent, sd-cmds Security Vulnerability in VVOS NES HPSBUX /08 Faible Netscape Enterprise Server CDE Leaves Current Directory in root PATH HPSBUX CIAC J-52 Existence d'un buffer overflow Non traitement d' URL en interne Acquisition des privileges systemes Rejet d'accès à des pages données 20/07 Moyen Environnement CDE Constitution du PATH Exécution de code sous l autorité de l utilisateur -Plate-forme HP Serie 700/800 sous HP-UX 10.xx et Plate-forme utilisant SD Openview ITA P9000 Séries 700/800 sous HP-UX (VVOS) avec les versions A.02.00, A.03.00, A et A de VirtualVault HP 9000 series 700/800 at HP-UX revision 10.X Appliquer immediatement les correctifs disponibles sur le site de l éditeur Les conditions d'applicabilite des correctifs doivent etre lues avec attention, diverses precautions devant etre prises. Appliquer les 2 correctifs disponibles : - correctif libsecalarm : PHCO_ VirtualVault:X.XX:NES:NSAPI (le numéro fonction de la version exacte du système) X.XX=2.00 : PHSS_19389 X.XX=3.00 : PHSS_19388 X.XX=3.01 : PHSS_19387 X.XX=3.50 : PHSS_19376 En attendant un correctif, nettoyer le PATH de root pour éliminer toute référence au répertoire courant 99.C181/BVEL Août - 15/08/99 Page

24 Technologique Sécurité IBM Non-root users can cause the system to crash ERS-SVA-E01-99:002.1 CIAC J-055 IBM C Set ++ for AIX Source Code Browser ERS-SVA-E01-99:003.1 CIAC J /07 Elevé Utilitaire adb Absence de contrôle sur l'appel système ptrace( 17/08 Elevé Outil C Set ++ Existence d'un buffer overflow Déni de service: arrêt du système Plate-forme AIX 4.2.x ou 4.3.x Appliquer le correctif temporaire disponible sur le site IBM Acquisition des privileges systemes C Set ++ for AIX V 3 ( ) C Set ++ for AIX V 2 ( ) Dévalider le service d analyse du code pdnsd LINUX Potential security problem in gnumeric 0.23 RHSA-1999: /07 Moyenne Logiciel de calcul gnumeric 0.23 Potential misuse of squid cachemgr.cgi RHSA-1999: /07 Moyenne Script 'cachemgr.cgi' Non documenté Non documenté Plate-forme RedHat 6.0 Installer la version gnumeric ftp://updates.redhat.com/6.0/ Gestion des paramètres Scanning d'un système tiers SQUID sur LINUX RedHat Installer la version Squid 2-2.STABLE4-5 disponible sur le site RedHat 99.C181/BVEL Août - 15/08/99 Page

25 Technologique Sécurité MICROSOFT Unauthorized Access to IIS Servers through ODBC Data Access with RDS MS CIAC J /07 Critique Objet RDS du paquetage MDAC Patch Available for "Malformed Dialer Entry" Vulnerability MS CIAC J /07 Moyen Utilitaire Dialer.exe (Phone Dialer) Exchange v5.5 - "Encapsulated SMTP Address" Vulnerability MS CIAC J Méthodes d'accès non sécurisées Obtention de privilèges Exécution d'un shell distant Accès aux fichiers non publiés Toute plate-forme Windows NT utilisant l'environnement IIS 3.0 ou 4.0 et le paquetage MDAC Version 1.5. ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt40/hotfixes-postsp5/dialer-fix/ Buffer overflow exploitable localement 06/08 Moyen Exchange Contournement des mécanismes antirelais de messagerie SMTP Terminal Server - "Connection Request Flooding" Vulnerability MS CIAC J-056 "Malformed HTTP Request" Vulnerability 09/08 Moyen Terminal Server Consommation de ressources excessive du Terminal Server MS /08 Elevé IIS Traitement des erreurs de IIS Exécution de code non sollicité Utilisation du serveur Exchange comme relais pour envoyer des messages de SPAM Déni de service : blocage du serveur NT Déni de service, consommation excessive de mémoire Plate-forme Windows NT 4.0 toutes versions Toute plate-forme Windows NT supportant Exchange v5.5 avec le "connecteur" SMTP (IMS) installé. Windows NT 4.0 supportant Terminal Server Edition IIS 4.0, Site Server 3.0 dont Commerce Edition, Commerce Internet Server 2.0 et 2.5 Installer une nouvelle version du paquetage MDAC: version 2.0 ou 2.1. Attention, il est nécessaire de dévalider l'objet Data Factory sur un système ayant le paquetage MDAC 1.5 installé (ce paquetage est présent lors de l'installation de Windows NT Option Pack). Appliquer le correctif post SP5 disponible sur le site microsoft Appliquer le correctif disponible sur le site Microsoft Appliquer le correctif disponible sur le site Microsoft Appliquer le correctif hdbrk-fix disponible sur le site Microsoft 99.C181/BVEL Août - 15/08/99 Page

26 Technologique Sécurité SGI arrayd default security configuration ftp://sgigate.sgi.com/~ftp/patches SGI P CIAC J /07 Elevé Fichier de configuration par défaut 'array.auth' Erreur de configuration: aucune authentification Obtention des privilèges et des accès 'root' à distance Systèmes IRIX 6.2, 6.3, 6.4, 6.5, 6.5.1, 6.5.2, 6.5.3, Systèmes UNICOS 9.0.x.x, 10.0, , , , , utilisant le service Array. Appliquer le correctif disponible sur le site de l éditeur 99.C181/BVEL Août - 15/08/99 Page

27 Technologique Sécurité Alertes Non Confirmées Les alertes présentées dans le tableau de synthèse suivant ont été publiées dans diverses listes d information mais n ont pas encore fait l objet d une confirmation de la part de l éditeur ou du constructeur. Ces informations autorisent la mise en place d un processus de suivi et d observation. Fournisseur Titre URL ou Produit Référence Date Niveau Origine Problème Dommages Plateforme Correction BSD 4.4 BSD BSD issue -- chflags Bugtraq 05/08 Moyenne Fonction chmod() Absence de contrôle sur le retour de certaines fonctions systèmes Large spectre: acquisition de privilège, usurpation d'identité Tout système utilisant le code BSD 4.4 : FreeBSD, OpenBSD, NetBSD, BSD/OS, Screen, XFree, SSH (potentiel) Les corrections nécessaires ont été intégrées dans les dernières mises à jour des plates-formes impactées. CHECKPOINT Deni de service sur Firewall-1 Bugtraq 30/07 Critique Table des états de connexion Saturation de la table par maintien des connexions non confirmées Déni de service: rejet des connexions Firewall-1 V3 et V4 Les préconisations de l'auteur de l'alerte visent à limiter au maximum les scénarios susceptibles de créer une entrée dans la table de connexion, et en particulier: - Rejetter le maximum de traffic en amont (filtres restrictifs) - Diminuer le temps d'attente TCP (TCP TimeOut) positionné à 1h par défaut DNS Possible denial of service using DNS Bugtraq 31/07 Elevé Requêtes QUERY utilisant une adresse IP usurpée Absence de contrôle sur l'origine de la requête Saturation des ressources reseaux et du service DNS Tout service DNS Aucune à ce jour, mode de fonctionnement natif du DNS 99.C181/BVEL Août - 15/08/99 Page

28 Technologique Sécurité GAUNTLET Remotely Lock Up Gauntlet Bugtraq 30/07 Elevé Paquet ICMP type 12 (Parameter Problem) Erreur de conception. Code source de l attaque publié Blocage du système Code annoncé testé sur les plate-formes - Solaris BSDI Aucune correction à ce jour, les paquets ICMP type 12 doivent être filtrés en amont du pare-feu, typiquement sur le routeur d'accés LINUX Linux ipchains Firewall Vulnerability Linux ipchains Firewall Vulnerability data protect GmbH - Advisory #2 Bugtraq 27/07 Critique Filtre de paquet IpChains Traitement incorrect des paquets fragmentés Court-circuit des fonctions de filtrage Plate-forme LINUX Kernel utilisant IpChains Appliquer les correctif transmis dans l'annonce BuqTraq MICROSOFT Cracking Win2000 EFS NT Security 25/07 Faible Mécanisme de configuration au démarrage Virus - "Visual Basic Script : Monopoly Existence d'un état de configuration autorisant un acces administrateur non protégé par mot de passe Bugtraq 09/08 Elevé VB Script et Outlook Interfaces programmatiques Outlook et VB Script "IRDP Router Advertisement Spoofing" Vulnerability L0pht 11/08 Moyen Client DHCP Manque d'authentification des échanges DHCP Accès aux données chiffrées Propagation de virus, saturation de messagerie, divulgation d'information (carnet d'adresse Outlook et ICQ), modification de la base de registre. Reroutage intempestif des communications pouvant mener à l'écoute de communications ou à des attaques de type déni de servic Plate-forme Windows 2000 utilisant EFS - NT2000 Beta 3 build 2031 (Professional, Server, Advanced Server) - NT2000 Release Candidate build 2072 (Server, AdvancedServer) Toute plate-forme Windows (95, 98, NT 4.0) avec VB Script Postes Windows avec client DHCP, postes SunOS et Solaris 2.x avec DHCP Aucun correctif n'est officiellement annoncé à ce jour Aucun correctif annoncé à ce jour Il n'y a pas encore de correctif. Il est recommandé de : - désactiver IRDP sur les postes clients Windows - bloquer des messages ICMP de type 9 et 10 au niveau de routeurs - fixer les routes par défaut de façon statique "en dur" 99.C181/BVEL Août - 15/08/99 Page