Rapport de Veille Technologique Sécurité N 12

Technologique Thème : Edition : Juillet - 15/07/99 DIFFUSION INTERNE EXTERNE APOGEE Communication Exemplaire de présentation Validation REDACTION Rédigé par : Bertrand VELLE Le : 15/07/99 Visa : Approuvé par : Olivier CALEFF Le : Visa : AVERTISSEMENT Les informations fournies dans ce document ont été collectées et compilées à partir de sources d'origines diverses et publiquement accessibles : mailing-lists, newsgroup, sites Web,... Ces informations sont fournies pour ce qu'elles valent sans aucune garantie d'aucune sorte vis à vis de l'exactitude, de la précision ou de la qualité de l'information. Les URL associés à certains thèmes sont validées à la date de la rédaction de ce document. Les symboles d avertissement suivants seront utilisés : Site dont la consultation est susceptible de générer directement, ou indirectement, une attaque sur l équipement de consultation, voire faire encourir un risque sur le système d information associé. Site susceptible d héberger des informations ou des programmes dont l utilisation est illégale au titre de la Loi Française. Par ailleurs, aucune garantie ne peut être apportée sur l'innocuité de ces sites, et en particulier, sur la qualité des applets et autres ressources présentées au navigateur.

Technologique AU SOMMAIRE 1. PRODUITS ET TECHNOLOGIES 4 1.1. PRODUITS... 4 1.1.1. FIREWALL... 4 GAUNTLET...4 1.1.2. AUDIT... 4 CYBERSAFE LOG ANALYST...4 INTACT...5 2. INFORMATION ET LÉGISLATION 6 2.1. INFORMATION... 6 2.1.1. TENDANCES... 6 ETUDE DE RISQUE...6 2.2. ALLIANCES... 7 2.3. LOGICIELS ET SERVICES DE BASE... 8 2.4. LOGICIELS DE SÉCURITÉ DU DOMAINE PUBLIC... 9 ANALYSE DE RÉSEAU ET DE DATAGRAMMES...9 CONTRÔLE D'ACCÈS...9 ANALYSE DE JOURNAUX...9 GÉNÉRATEURS DE DATAGRAMMES...9 CONTRÔLE D'INTÉGRITÉ...10 SCANNERS...10 DÉTECTION D'INTRUSION/IDS...10 GARDES-BARRIÈRES/FIREWALLS...10 RÉSEAUX PRIVÉS VIRTUELS/VPN...11 3. NORMES ET PROTOCOLES 12 3.1. PUBLICATIONS... 12 3.1.1. RFC... 12 RFC TRAITANT DE LA SÉCURITÉ...12 AUTRES RFC...12 3.1.2. IETF... 13 NOUVEAUX DRAFTS TRAITANT DE LA SÉCURITÉ...13 MISE À JOUR DE DRAFTS TRAITANT DE LA SÉCURITÉ...14 DRAFTS TRAITANT DE DOMAINES CONNEXES À LA SÉCURITÉ...15 3.2. COMMENTAIRES... 16 3.2.1. RFC... 16 RFC 2635 - A SET OF GUIDELINES FOR MASS UNSOLICITED MAILINGS & POSTINGS...16 3.2.2. IETF... 16 DRAFT- IETF-IAB-FIREWALL-REQ-00.TXT - BEHAVIOR OF AND REQUIREMENTS FOR INTERNET FIREWALLS...16 DRAFT-IETF-IDWG-REQUIREMENTS-00.TXT - INTRUSION DETECTION EXCHANGE FORMAT REQUIREMENTS...17 4. ALERTES ET ATTAQUES 18 4.1. AA L E RR T E SS... S 18 4.1.1. GUIDE DE LECTURE DES AVIS... 18 4.1.2. SYNTHÈSE DES AVIS PUBLIÉS... 19 4.1.3. AVIS OFFICIELS... 20 CDE...20 HP...20 MICROSOFT...21 REDHAT...22 4.1.4. ALERTES NON CONFIRMÉES... 23 APPLE...24 AMAVIS...24 AXENT...24 BSD...24 CABLETRON...24 DEBIAN LINUX...25 JAVA HOTSPOT...25 IBM...25 KDE...25 LINUX...25 MICROSOFT...25 NETSCAPE...26 NETWARE...26 PATROL...26 PINE...26 TREND...27 4.1.5. BULLETINS D INFORMATION... 28 DNS...28 CHEVAUX DE TROIE...28 4.2. ATTAQUES... 29 4.2.1. OUTILS... 29 TRINUX V0.61...29 4.2.2. ANALYSE... 29 BACKORIFICE 2000...29 TIMESINK...30 USURPATION D IDENTITÉ...31 99.C172/BVEL Juillet - 15/07/99 Page - 2 -

Technologique Le mot de la «Rédaction» BackOrifice est mort, Vive BackOrifice 2000! Cette annonce a fait en quelques jours le tour de la planète. Quelques heures après l annonce de presse faite par Cult Of The Dead Cow, les éditeurs d anti-virus disposaient des signatures ad hoc. Le phénomène BackOrifice ne doit pas faire oublier que plus de 12 autres Chevaux de Troie moins célèbres sont activement diffusés sur l Internet! La succession d avis d alerte, ou plutôt de mise à disposition de patch, amorcée le mois dernier par Microsoft 5 avis majeurs se poursuit: 6 nouveaux avis en moins de 2 semaines! Qu en sera-t-il le mois prochain? Pour tout renseignement complémentaire, éventuelles remarques, ou suggestions, vous pouvez nous contacter par mail à l adresse de courrier électronique suivante : veille-sec@apogee-com.fr 99.C172/BVEL Juillet - 15/07/99 Page - 3 -

Technologique 1. PRODUIITS ET TECHNOLOGIIES 1.1. PRODU IITS 1.1.1. Firewall G AAUUNNTTLLEETT Objet Network Associates a annoncé le 16 Juin 1999, l'arrêt progressif du support de son logiciel firewall Gauntlet sur plateforme BSDI, cet environnement ne répondant plus aux demandes des consommateurs. Description L'arrêt définitif du support arrivera à l'échéance d'une période de 2 ans: - Arrêt définitif des développements spécifiques à la plate-forme BSDI aprés la diffusion de la version 6.0a planifiée pour début 2000, - Maintien du support sur BSDI des versions 5.0 et 6.0a jusqu'en Juin 2001, - Arrêt définitif du support BSDI fin Juin 2001. NAI met en place un programme commercial destiné à faciliter la migration des produits installés sur les plate-formes maintenues: NT, SUN Solaris, HP-UX. A l'exception de Checkpoint et de DEC, la majorité des grands éditeurs (TIS, BorderWare/Secure Computing,...) ont developpés leurs firewall sur cette plate-forme. Cette annonce confirme la tendance actuellement constatée du désengagement des éditeurs vis à vis des environnements UNIX autres que ceux de SUN et de HP. Complément d information Site NAI http://www.nai.com 1.1.2. Audit CCYYBBEERRSSAAFFEE LLOOGG AANNAALLYYSSTT Objet CLA est un outil d analyse des journaux de sécurité librement accessible qui s installe en tant que snap-in dans l environnement MMC (Microsoft Management Console). Description Cet outil simple, édité par la société Centrax, récemment rachetée par CyberSafe, simplifie notablement l exploitation des journaux de sécurité en fournissant un rapport d activité configurable. Les événements de sécurité sont analysés afin de mettre en évidence les utilisations anormales du système. Actuellement 9 catégories de signatures sont définies : 99.C172/BVEL Juillet - 15/07/99 Page - 4 -

Technologique General Failed Single Logons Successful Logons/Logoffs User Administrative Password Activity Global Group Administrative Local Group Administrative Audit Administrative NT System Complément d information Snap-in CLA http://www.centraxcorp.com/cla.html IINNTTAACCTT I Objet Intact est un outil de vérification de l intégrité d un système NT fonctionnant sur le principe de la comparaison de la signature courante d un fichier avec une signature de référence conservée dans une base sécurisée. Cette catégorie d outils est couramment appelée Integrity Checker ou Corruption Detection System (CDS). Description Les fonctions offertes par ce produit, concurrent de tripwire et de directory catalog mais aussi des produits d audit tels que ESM (Axent) ou S3 (ISS), sont : La détection de modification de fichiers : Contenu, Attributs du fichier (dates, taille, permissions, ) Propriétaire (utilisateur, groupe) Paramètres d audit La détection des modifications de la registry Clefs et valeurs associées Attributs de la clef (dates, taille, permissions, ) Propriétaire (utilisateur, groupe) Paramètres d audit La détection des modifications de la configuration matérielle et logicielle Utilisateurs et des groupes Politique de sécurité Constituants matériels Adresses et paramètres de configuration L utilisation de ce type de produit autorise la détection de nombreux problèmes de sécurité sans nécessiter un gros investissement logiciel et humain. Il est fortement recommandé d installer un tel outil sur les systèmes sensibles ou exposés. Complément d information Produit Intact http://www.pedestalsoftware.com/intact/index.htm 99.C172/BVEL Juillet - 15/07/99 Page - 5 -

Technologique 2. INFORMATIION ET LEGIISLATIION 2.1. IINFORMATIION 2.1.1. Tendances EETTUUDDEE DDEE RRI II SSQQUUEE Objet Le magazine Information Security vient de publier les résultats d une étude portant sur la gestion des risques informatiques et menée auprés 745 lecteurs, RSSI et Directeurs informatiques. Description Cette étude offre une bonne visibilité sur les tendances et l évolution potentiel du marché de la sécurité aux Etats-Unis. Elle démontre si besoin est l impact croissant des atteintes à la sécurité. 10 points ont été mis en évidence par cette étude dont notamment les résultats suivants: - 745 responses - 50% des personnes interrogées appartiennent à une organisation fournissant des services de commerce électronique - 65% des personnes interrogées considèrent que la sécurité est l un des préoccupations majeures de leur société - 91% des sociétés annoncent avoir subit une agression entre 1998 et 1999-77% des sociétés annoncent avoir été infectées par un virus - 52% des sociétés annoncent avoir subit une attaque en provenance de l un de leurs employés Complément d information Présentation du rapport http://www.infosecuritymag.com/july99/chart1.htm 99.C172/BVEL Juillet - 15/07/99 Page - 6 -

Technologique 2.2. ALL IIANCES Les différentes alliances - rachats, prises de participation, accords technologiques, - sont récapitulées au moyen d un synoptique régulièrement mis à jour. Aucune évolution n est à noter ce mois-ci. Pare-Feu Anti-Virus Audit SSO Chiffrement CISCO NAI ISS Security Dynamics AXENT CA Equipements Réseau Systèmes et Applications 99.C172/BVEL Juillet - 15/07/99 Page - 7 - Memco PGP RSA Data Boks Platinum PassGo March Technologie Internet Technologie WheelGroup Secure Networking Dr Salomon McAfee Raptor TIS Global Intranet 01/98 04/99 AutoSecure - Memco 04/99 PassGo SSO 10/98 01/99 NetProwler 02/98 NetRanger - NetSonar 06/98 Ballista 06/98 06/97 02/98 Eagle 02/98 Gauntlet 12/97 Centri

Technologique 2.3. LOG IIC IIELS ET SERV IICES DE BASE Les dernières versions disponibles des principaux logiciels du Domaine Public sont récapitulées dans le tableau suivant. Nous conseillons d assurer rapidement la mise à jour de ces versions, après qualification préalable sur une plate-forme dédiée. Nom Fonction Dernière Version officielle Ancienneté Apport de la dernières version Références Bind Serveur DNS 8.2.1 au 23/06/1999 1 mois Nouvelles Fonctionnalités http://www.isc.org/bind.html Sendmail Serveur SMTP 8.9.3 au 04/02/1999 5 mois Nouvelles Fonctionnalités Correction de bogues de sécurité Qpopper Imap Serveur POP/APOP Serveur IMAP 2.53 au 14/07/1998 12 mois 3.0b18 au 23/04/1999 3 mois 4.5 au 02/04/1999 3 mois 4.6b au 26/03/1999 4 mois Nouvelles Fonctionnalités Version béta public Nouvelles Fonctionnalités http://www.sendmail.org/current-release.html http://eudora.qualcomm.com/free/servers.html http://www.washington.edu/imap/ Apache Serveur WEB 1.3.6 au 06/06/1999 2 mois Nouvelles Fonctionnalités http://www.apache.org Correction de bogues de sécurité Squid Cache WEB 2.2 au 19/05/1999 3 mois Nouvelles Fonctionnalités http://squid.nlanr.net/ Wu-Ftp Serveur FTP 2.4.2 au 26/02/1999 5 mois Correction de bogues de sécurité http://www.academ.com/academ/wu-ftpd Majordomo Gestionnaire de listes de diffusion 1.94.4 au 02/10/1997 21 mois Nouvelles Fonctionnalités http://www.greatcircle.com/majordomo/ Procmail Traitement des Email 3.13.1 au 05/04/1999 3 mois Nouvelles Fonctionnalités ftp://ftp.informatik.rwth-aachen.de/pub/packages/procmail/ SmartList Gestionnaire de listes de diffusion 3.13 au 31/03/1999 4 mois Nouvelles Fonctionnalités ftp://ftp.informatik.rwth-aachen.de/pub/packages/procmail/ Perl Langage interprété 5.005_03 au 28/03/1999 4 mois Nouvelles Fonctionnalités http://www.perl.com 5.005_57 1 mois Version expérimentale NTP Serveur de Temps 3_5.93e au 26/04/1998 15 mois XNTP 3 http://www.eecis.udel.edu/~ntp/ 4.0 au 19/05/1999 2 mois NTP 4 99.C172/BVEL Juillet - 15/07/99 Page - 8 -

Technologique 2.4. LOG IIC IIELS DE SECUR IITE DU DOMA IINE PUBL IIC Une liste, non exhaustive, des produits et logiciels de sécurité du domaine public (licence GNU GPL) est proposée dans les tableaux suivants. Cette liste sera régulièrement mise à jour. AANNAALLYYSSEE DDEE RREESSEEAAUU EETT DDEE DDAATTAAGGRRAAMMMMEESS Nom Fonction Dernière Version officielle Ancienneté Références IP Traf 1.4.3 au 15/04/99 2 mois http://cebu.mozcom.com/riker/iptraf/ Big Brother Polleur/visualisateur snmp 1.2b au 13/07/99 0 mois http://maclawran.ca/bb-dnld/new-dnld.html Ethereal Analyseur multi-protocole 0.6.3 au 24/06/99 1 mois http://ethereal.zing.org Cheops Interface visualisation 0.5.0 http://www.marko.net/cheops/ CCOONNTTRROOLLEE DD' '' AACCCCEESS Nom Fonction Dernière Version officielle Ancienneté Références TCP Wrapper Contrôle d accès services TCP 7.6 ftp://ftp.cert.org/pub/tools/tcp_wrappers/tcp_wrappers_7.6.tar.gz XinetD Inetd amélioré 2.1.8.6b6 http://synack.net/xinetd/ AANNAALLYYSSEE DDEE JJ OOUURRNNAAUUXX Nom Fonction Dernière Version officielle Ancienneté Références Autobuse Analyse syslog 1.8 au 07/02/1999 5 mois http://www.picante.com/~gtaylor/download/autobuse Log Scanner Analyse syslog 1.0 au 12/02/1998 5 mois http://logscanner.tradeservices.com/ G EENNEERRAATTEEUURRSS DDEE DDAATTAAGGRRAAMMMMEESS Nom Fonction Dernière Version officielle Ancienneté Références IPSend Générateur Paquets IP 2.1a au 17/09/97 22 mois ftp://coombs.anu.edu.au/pub/net/misc/ipsend2.0.tar.gz UdpProbe Générateur UDP 1.2 au 13/02/96 40 mois http://sites.inka.de/sites/bigred/sw/udpprobe.txt 99.C172/BVEL Juillet - 15/07/99 Page - 9 -

Technologique CCOONNTTRROOLLEE DD' ''I IINNTTEEGGRRI TTEE Nom Fonction Dernière Version officielle Ancienneté Références Tripwire Intégrité Systèmes NT/UNIX 2.0 3 mois http://www.tripwiresecurity.com/ (version LINUX) L6 Intégrité Systèmes UNIX 1.6 au 16/10/98 9 mois http://www.pgci.ca/l6.html SSCCAANNNNEERRSS Nom Fonction Dernière Version officielle Ancienneté Références Nessus Audit de vulnérabilité système a2 fix4 au 24/04/99 3 mois http://www.nessus.org Saint Audit de vulnérabilité réseau 1.4b4 au 15/07/99 0 mois http://wwdsilx.wwdsi.com/saint/ Sara Audit de vulnérabilité réseau 2.0.6 au 30/05/99 2 mois http://home.arc.com/wn.html Satan Audit de vulnérabilité réseau 1.1.1 au 11/04/95 http://www.cs.ruu.nl/cert-uu/satan.html Tara Audit de vulnérabilité système 2.2.6 au 05/06/99 2 mois http://home.arc.com/wn.html Trinux Boite à outils 0.61 au 20/06/99 1 mois http://www.trinux.org DDEETTEECCTTI II OONN DD' ''I IINNTTRRUUSSI OONN/ //I IIDDSS Nom Fonction Dernière Version officielle Ancienneté Références NFR Détection d intrusion Système 2.0.4 au 04/99 http://www.nfr.net Shadow Détection d intrusion Réseau 1.4 au 04/99 http://www.nswc.navy.mil/issec/cid/ Deception ToolKit Attrape-mouche 990107 au 07/01/99 http://all.net/dtk/dtk.html G AARRDDEESS- -BBAARRRRI II EERREESS/ //FFI II RREEWW AALLLLSS Nom OS Dernière Version officielle Ancienneté Références Sinus for Linux Linux 0.3.0 http://www.ifi.unizh.ch/ikm/sinus/firewall/ DrawBridge FreeBsd 3.0.2 au 18/05/99 2 mois http://drawbridge.tamu.edu/ IpChain Linux 2.0 1.3.9 http://www.rustcorp.com/linux/ipchains/ IpFilter Filtre de datagrammes 3.2.10 au 22/11/1998 6 mois http://coombs.anu.edu.au/ipfilter/ip-filter.html 99.C172/BVEL Juillet - 15/07/99 Page - 10 -

Technologique RREESSEEAAUUXX PPRRI II VVEESS VVI II RRTTUUEELLSS/ //VVPPNN Nom Fonction Dernière Version officielle Ancienneté Références CIPE LINUX CIPE Kernel Driver 1.3.0 au http://sites.inka.de/sites/bigred/devel/cipe.html FreeS/Wann LINUX IPSEC 1.0 au 14/04/99 3 mois http://www.flora.org/freeswan/ Photuris Protocole de gestion des clefs 04/02/98 15 mois http://www.physnet.uni-hamburg.de/provos/photuris/ VPS LINUX Tunnel IP 2.0b2 http://www.strongcrypto.com/ SSH Shell sécurisé 2.0.13 au 14/05/99 2 mois http://www.ssh.fi/sshprotocols2/ SSF Shell sécurisé autorisé 1.2.26.3 au 05/01/99 6 mois http://info.in2p3.fr/secur/ssf/ 99.C172/BVEL Juillet - 15/07/99 Page - 11 -

Technologique 3. NORMES ET PROTOCOLES 3.1. PUBL IICATIIONS 3.1.1. RFC Durant la période du 15 Mai au 15 Juin, 21 RFC ont été publiés dont 12 ayant trait au domaine de la sécurité. RRFFCC TT RRAAI II TTAANNTT DDEE LLAA SSEECCUURRI II TTEE Thème Numéro Date Status Titre IP 2627 06/99 PStd Key Management for Multicast: Issues and Architectures MIME 2632 06/99 pstd S/MIME Version 3 Certificate Handling MIME 2633 06/99 pstd S/MIME Version 3 Message Specification MIME 2634 06/99 pstd Enhanced Security Services for S/MIME NFS 2623 06/99 pstd NFS V2 and V3 Security Issues and the NFS Protocol's Use of RPCSEC_GSS and Kerberos V5 Radius 2618 06/99 pstd RADIUS Authentication Client MIB Radius 2619 06/99 pstd RADIUS Authentication Server MIB Radius 2620 06/99 Inf RADIUS Accounting Client MIB Radius 2621 06/99 Inf RADIUS Accounting Server MIB SEC 2628 06/99 Inf Simple Cryptographic Program Interface (Crypto API) SEC 2630 06/99 pstd Cryptographic Message Syntax SEC 2631 06/99 pstd Diffie-Hellman Key Agreement Method Les abréviations suivantes sont utilisées : PStd : Proposition de standard Std : Draft Standard Exp : Expérimental Info : Pour information Bcp : Procédure d utilisation optimale AAUUTTRREESS RRFFCC Thème Numéro Date Status Titre ACAP 2636 06/99 Inf Wireless Device Configuration (OTASP/OTAPA) via ACAP IP 2625 06/99 pstd IP and ARP over Fibre Channel MAIL 2635 06/99 Inf DON'T SPEW A Set of Guidelines for Mass Unsolicited Mailings and Postings (spam*). NFS 2624 06/99 Inf NFS Version 4 Design Considerations RFC 2629 06/99 Inf Writing I-Ds and RFCs using XML RPSL 2622 06/99 pstd Routing Policy Specification Language SLP 2608 06/99 pstd Service Location Protocol, Version 2 SLP 2609 06/99 pstd Service Templates and Service: Schemes Y2000 2626 06/99 Inf The Internet and the Millennium Problem (Year 2000) Les abréviations suivantes sont utilisées : PStd : Proposition de standard Std : Draft Standard Exp : Expérimental Info : Pour information Bcp : Procédure d utilisation optimale 99.C172/BVEL Juillet - 15/07/99 Page - 12 -

Technologique 3.1.2. IETF Durant la période du 15 Juin au 15 Juillet, 450 DRAFTS ont été publiés, ou mis à jour, dont 94 ayant directement trait au domaine de la sécurité. NNOOUUVVEEAAUUXX DDRRAAFFTTSS TTRRAAI II TTAANNTT DDEE LLAA SSEECCUURRI II TTEE Thème Nom du draft Date Titre AAA draft-bakker-middleware-considerations-aaa-00.txt 29/06 AAA Considerations for Middleware draft-beadles-aaa-referral-00.txt 25/06 AAA Referral draft-ietf-aaa-authorization-reqs-00.txt 22/06 AAA Authorization Architecture and Requirements draft-ietf-mobileip-aaa-key-00.txt 22/06 AAA Registration Keys for Mobile IP draft-ietf-mobileip-radius-challenge-00.txt 25/06 Hybrid AAA Networks draft-latzko-aaa-authentication-reqs-00.txt 01/07 AAA Authentication Requirements and Discussion BSafe draft-baldwin-bsafe-test-00.txt 25/06 Testing the BSAFE Cryptographis Security Components COPS draft-ietf-rap-cops-client-mib-00.txt 14/06 Definitions of MIB for COPS Protocol Clients draft-ietf-rap-pr-00.txt 29/06 COPS Usage for Policy Provisioning draft-nitsan-cops-rsvp-ext-00.txt 01/07 COPS Extensions for RSVP+ Support. draft-pan-cops-te-00.txt 30/06 COPS Extension for Intra-Domain Traffic Engineering DHCP draft-gupta-dhcp-auth-00.txt 29/06 Flexible Authentication for DHCP Messages DIAM draft-ladley-diameter-pr-00.txt 24/06 A DIAMETER-based Authentication and Access Control Protocol DNS draft-catalone-rockell-hadns-00.txt 30/06 Implementation of a High Availability DNS System draft-ietf-cat-krb-dns-locate-00.txt 22/06 Distributing Kerberos KDC and Realm Information with DNS draft-ietf-dnsind-sec-rr-00.txt 24/06 The SEC Resource Record FTP draft-bonachea-sftp-00.txt 18/06 Protocol Negotiation Extensions to Secure FTP FW draft-ietf-iab-firewall-req-00.txt 30/06 Behavior of and Requirements for Internet Firewalls GSS draft-ietf-cat-gsseasy-00.txt 24/06 The GSS-API-Easy Mechanism HIP draft-moskowitz-hip-enc-00.txt 28/06 ESP Encryption support in HIP IDS draft-ietf-idwg-requirements-00.txt 25/06 Intrusion Detection Exchange Format Requirements IP draft-gupta-mobileip-inline-secparams-00.txt 29/06 Inline Security Parameter Payload for Mobile IP draft-ietf-ipngwg-addrconf-privacy-00.txt 29/06 Privacy Extensions for Stateless Address Autoconfig. in IPv6 draft-irtf-smug-hybrid-src-auth-00.txt 29/06 A Hybrid Signature Scheme for Multicast Source Authentication draft-irtf-smug-key-tree-balance-00.txt 29/06 Maintaining Balanced Key Trees for Secure Multicast draft-mkhalil-mobileip-optim-sec-00.txt 28/06 Security Enhancements for Route Optimization IPSEC draft-ietf-ipsec-notifymsg-00.txt 17/06 Content Requirements for ISAKMP Notify Messages draft-ietf-ipsec-spp-00.txt 29/06 Security Policy Protocol draft-bpatil-mobileip-sec-guide-00.txt 30/06 Security Requirements/Implementation Guidelines for Mobile IP IKE draft-ietf-ipsec-ike-base-mode-00.txt 02/07 IKE Base Mode LDAP draft-chadwick-pkixldap-v3-00.txt 14/06 Operational Protocols - LDAPv3 MIME draft-ietf-smime-password-00.txt 01/07 Password-based Encryption for S/MIME PKIX draft-ietf-pkix-scvp-00.txt 25/06 Simple Certificate Validation Protocol (SCVP) Radius draft-ietf-nasreq-ext-radiuspract-00.txt 30/06 Extended RADIUS Practices draft-peirce-radius-challenge-00.txt 30/06 for RADIUS/DIAMETER Hybrid AAA Networks RSVP draft-hain-rsvp-kerberos-msg-proc-00.txt 01/07 Message processing for RSVP use of Kerberos SNMP draft-hornstein-snmpv3-ksm-00.txt 01/07 A Kerberos Security Model for SNMPv3 Telnet draft-altman-telnet-enc-des3-cfb-00.txt 02/07 Telnet Encryption: DES3 64 bit Cipher Feedback draft-altman-telnet-enc-des3-ofb-00.txt 02/07 Telnet Encryption: DES3 64 bit Output Feedback X509 draft-clynn-bgp-x509-auth-00.txt 14/06 X.509 Ext. Authoriz. of IP Add., AS Num. & Routers within an AS XML draft-ietf-xmldsig-requirements-00.txt 22/06 XML-Signature Requirements draft-ietf-xmldsig-signature-00.txt 28/06 Digital Signatures for XML Draft-ietf-xmldsig-signature-comments-00.txt 29/06 Digital Signatures for XML Comments Les documents à lire en priorité sont mentionnés en caractères gras 99.C172/BVEL Juillet - 15/07/99 Page - 13 -

Technologique MI II SSEE AA JJ OOUURR DDEE DDRRAAFFTTSS TTRRAAI II TTAANNTT DDEE LLAA SSEECCUURRI II TTEE Thème Nom du draft Date Titre ACC draft-ietf-cat-acc-cntrl-frmw-02.txt 02/07 Access Control Framework for Distributed Applications BGP draft-murphy-bgp-secr-03.txt 01/07 BGP Security Analysis COPS draft-ietf-rap-cops-rsvp-05.txt 14/06 COPS usage for RSVP draft-mfine-cops-pib-01.txt 30/06 An Initial QoS Policy for COPS-PR Clients and Servers DHCP draft-ietf-dhc-authentication-11.txt 29/06 Authentication for DHCP Messages DNS draft-ietf-dnsind-simple-secure-update-01.txt 29/06 Simple Secure Domain Name System (DNS) Dynamic Update draft-ietf-dnsind-tsig-09.txt 22/06 Secret Key Transaction Signatures for DNS (TSIG) draft-ietf-dnssec-externalkeys-01.txt 29/06 Inter-operability of Secure DNS with Other Key Dist. Services DSS draft-moskowitz-auth-dss-01.txt 28/06 The Use of DSS within ESP and AH GAA draft-ietf-cat-gaa-cbind-02.txt 02/07 Generic Authorization & Access control API C-bindings GSS draft-ietf-aft-socks-gssapi-revisions-01.txt 25/06 GSS-API Authentication Method for SOCKS Version 5 draft-ietf-cat-gssv2-javabind-02.txt 01/07 Generic Security Service API Version 2 : Java bindings draft-skwan-gss-tsig-04.txt 24/06 GSS Algorithm for TSIG (GSS-TSIG) HL7 draft-ietf-ediint-hl7-02.txt 15/06 Secure HL7 Transactions using Internet Mail IPSEC draft-ietf-ipsec-ike-ext-meth-01.txt 24/06 IKE Extensions Methods draft-ietf-ipsec-intragkm-01.txt 24/06 Intra-Domain Group Key Management Protocol draft-ietf-ipsec-isakmp-hybrid-auth-02.txt 21/06 A Hybrid Authentication Mode for IKE draft-ietf-ipsec-spsl-01.txt 29/06 Security Policy Specification Language IPTEL draft-ietf-iptel-glp-tbgp-01.txt 28/06 The IP Telephony Border Gateway Protocol Architecture ISP draft-ietf-grip-isp-expectations-01.txt 28/06 Security Expectations for Internet Service Providers draft-ietf-grip-user-02.txt 30/06 Security Expectations for Internet Service Provider Consumers KERB draft-ietf-cat-kerberos-extra-tgt-01.txt 21/06 Extension to Kerberos V5 For Additional Initial Encryption draft-ietf-cat-kerberos-pk-init-09.txt 01/07 Public Key Cryptography for Initial Authentication in Kerberos draft-ietf-cat-kerberos-revisions-04.txt 30/06 The Kerberos Network Authentication Service (V5) LDAP draft-ietf-ldapext-acl-model-03.txt 29/06 Access Control Model for LDAP draft-ietf-ldapext-acl-reqts-02.txt 28/06 Access Control Requirements for LDAP draft-ietf-ldapext-authmeth-04.txt 22/06 Authentication Methods for LDAP draft-ietf-ldapext-ldapv3-tls-05.txt 22/06 LDAP V3 : Extension for Transport Layer Security Lipkey draft-ietf-cat-lipkey-01.txt 30/06 LIPKEY - A Low Infrastructure Public Key Mechanism Using SPKM MIME draft-ietf-smime-examples-01.txt 29/06 Examples of S/MIME Messages draft-ietf-smime-small-subgroup-01.txt 28/06 Avoiding Small-Subgroup Attacks on DH Key Method for S/MIME NAS draft-ietf-nasreq-criteria-01.txt 25/06 Criteria for Evaluating Network Access Server Protocols NAT draft-ietf-nat-protocol-complications-01.txt 25/06 Protocol Complications with the IP Network Address Translator draft-ietf-ngtrans-natpt-06.txt 28/06 Network Address Translation Protocol Translation (NAT-PT] PKIX draft-ietf-pkix-roadmap-02.txt 24/06 Internet X.509 Public Key Infrastructure PKIX Roadmap draft-ietf-pkix-time-stamp-02.txt 24/06 Internet X.509 Public Key Infrastructure Time Stamp Protocols Radius draft-ietf-radius-tunnel-auth-07.txt 01/07 RADIUS Attributes for Tunnel Protocol Support SASL draft-nystrom-securid-sasl-01.txt 25/06 The SecurID(r) SASL Mechanism SEC draft-ietf-iab-secmech-01.txt 28/06 Security Mechanisms for the Internet draft-simpson-des-as-01.txt 22/06 DES Applicability Statement for Historic Status SSH draft-ietf-secsh-architecture-04.txt 22/06 SSH Protocol Architecture draft-ietf-secsh-connect-06.txt 22/06 SSH Connection Protocol draft-ietf-secsh-transport-06.txt 22/06 SSH Transport Layer Protocol draft-ietf-secsh-userauth-06.txt 22/06 SSH Authentication Protocol SSL draft-ietf-tls-http-upgrade-01.txt 23/06 Upgrading to TLS Within HTTP/1.1 Telnet draft-tso-telnet-auth-enc-02.txt 07/07 Telnet Authentication Option draft-tso-telnet-enc-des-cfb-02.txt 07/07 Telnet Encryption: DES 64 bit Cipher Feedback draft-tso-telnet-enc-des-ofb-02.txt 07/07 Telnet Encryption: DES 64 bit Output Feedback draft-tso-telnet-encryption-02.txt 07/07 Telnet Data Encryption Option VPN draft-ietf-ion-vpn-id-01.txt 15/06 Virtual Private Networks Identifier Les documents à lire en priorité sont mentionnés en caractères gras 99.C172/BVEL Juillet - 15/07/99 Page - 14 -

Technologique DDRRAAFFTTSS TTRRAAI II TTAANNTT DDEE DDOOMMAAI II NNEESS CCOONNNNEEXXEESS AA LLAA SSEECCUURRI II TTEE Thème Nom du draft Date Titre ACAP draft-ietf-acap-book-02.txt 30/06 ACAP Bookmarks Dataset Class draft-ietf-acap-email-02.txt 30/06 ACAP Email Account Dataset Class draft-ietf-acap-pers-02.txt 30/06 ACAP Email Personality Dataset Class DHCP draft-ietf-dhc-dhcp-dns-10.txt 01/07 Interaction between DHCP and DNS draft-ietf-dhc-failover-04.txt 30/06 DHCP Failover Protocol draft-ietf-dhc-schema-00.txt 29/06 DHCP Schema for LDAP DNS draft-ietf-dnsind-edns0-02.txt 24/06 Extension mechanisms for DNS (EDNS0) draft-ietf-dnsind-edns1-03.txt 24/06 Extensions to DNS (EDNS1) draft-ietf-dnsind-local-names-07.txt 02/07 Local Domain (DNS) Names DNS draft-ietf-dnsop-keyhand-00.txt 14/06 Handling of DNS zone signing keys draft-ietf-nat-dns-alg-04.txt 23/06 DNS extensions to Network Address Translators (DNS_ALG) IP draft-ietf-idmr-traceroute-ipm-05.txt,.ps 29/06 A ''traceroute'' facility for IP Multicast. LDAP draft-armijo-ldap-locate-00.txt 01/07 Discovering LDAP Services with DNS draft-armijo-ldap-treedelete-01.txt 30/06 Tree Delete Control draft-good-ldap-ldif-04.txt 22/06 The LDAP Data Interchange Format Technical Specification draft-ietf-ldup-model-01.txt 29/06 LDAP Replication Architecture draft-ietf-svrloc-ldap-scheme-02.txt 02/07 The LDAP Service Type MIB draft-ietf-ifmib-tunnel-mib-06.txt 16/06 IP Tunnel MIB PPP draft-ietf-pppext-l2tp-16.txt 14/06 Layer Two Tunneling Protocol 'L2TP' draft-ietf-pppext-l2tp-atmext-01.txt 22/06 Layer Two Tunnelling Protocol : ATM access network extensions. draft-ietf-pppext-l2tp-fr-02.txt 25/06 Layer Two Tunneling Protocol (L2TP) over Frame Relay draft-ietf-pppext-l2tp-mib-04.txt 25/06 Layer Two Tunneling Protocol Management Information Base draft-ietf-pppext-mppp-01.txt 02/07 Mobile PPP (MPPP) RSVP draft-durham-pe-rstatus-00.txt 30/06 RSVP Reservation Status Policy for End-to-End Accounting Les documents à lire en priorité sont mentionnés en caractères gras. Un fond de couleur indique les nouveaux Drafts. 99.C172/BVEL Juillet - 15/07/99 Page - 15 -

Technologique 3.2. COMMENTA IIRES 3.2.1. RFC RRFFCC 22663355 - AA SSEETT OOFF G UUI II DDEELLI II NNEESS FFOORR MAASSSS UUNNSSOOLLI IICCI TTEEDD MAAI IILLI NNGGSS && PPOOSSTTI II NNGGSS Ce document entre dans la catégorie des recommandations. A ce titre, l auteur, propose une synthèse des problèmes posés par la transmission en grand volume de messages non sollicités, technique connue sous le nom de SPAM. Un bref historique de l Internet permet de rappeler l origine de ce problème : l Internet ayant été conçu comme un réseau d échange scientifique, aucune précaution particulière n a été prise quant au contrôle de l utilisation des protocoles de messagerie (smtp) et d information (news). L auto-régulation du réseau était assurée par les protocoles élémentaires de gestion de congestion et par les responsables des sites. Les services n étant pas valorisés, l utilisation abusive de ressources à des fins publicitaires ou commerciales n avait pas de raison d être, les quelques fauteurs de trouble étant rapidement rappelés à l ordre par les instances chargées de la gestion du réseau. De nos jours, Internet est devenu un réseau purement commercial construit sur les fondations de l Internet scientifique sans remise en cause, ni des protocoles utilisés, ni de la qualité de service susceptible d être offerte. L auteur développe ensuite sous une forme pédagogique, concise et claire, les différentes formes de Spamming actuellement utilisées via la messagerie ou les forums d échanges en insistant sur les coûts et les répercutions de cette nouvelle forme de harcélement. De nombreux sites d intérêt sont cités qui peuvent être consultés avec profit par les utilisateurs, dont : - Informations sur le coût financier du SPAM : http://www.techweb.com/se/directlink.cgi?inw19980504s0003 - Techniques de protection : http://spam.abuse.net/spam/tools/mailblock.html - Sites publiant une politique de sécurité : http://spam.abuse.net/goodsites/index.html Questions et réponses à propos du SPAM : http://www.killfile.org/~tskirvin/faqs/spam.html 3.2.2. IETF DDRRAAFFTT- - IIEE I TT FF- -IIAA I BB- - FF IIRR I EE WW AA LL LL- - RR EE QQ- -0000... TT XXTT - BBEEHHAAVVI II OORR OOFF AANNDD RREEQQUUI II RREEMMEENNTTSS FFOORR IINNTTEERRNNEETT I FFI II RREEWW AALLLLSS Ce Draft traite d un problème critique : l absence d informations fiables et cohérentes concernant le comportement des dispositifs de type Pare-Feux. L auteur fait remarquer que si les fonctions basiques d un pare-feux peuvent facilement être appréhendées par tout un chacun, l utilisation de fonctions de sécurité évoluées nécessite de disposer d une spécification détaillant précisement l architecture employée et les contraintes de mise en œuvre. L auteur donne ainsi quelques exemples de critères susceptibles d être utilisées : - Caractéristiques du pare-feu en tant que relais de protocoles : 1. Implémente un sous-ensemble sûr du protocole relayé, 2. Assure un contrôle exhaustif du protocole 3. Utilise une implémentation permettant de minimiser l impact d un bogue de conception 4. Fonctionne dans un environnement isolé, ou sûr, 5. Utilise tout ou partie des techniques précédentes, - Caractéristiques du pare-feu en tant que filtre de paquets : 1. Transfère le paquet d une interface à l autre sans modification 2. Rejette le paquet 3. Traite le paquet L approche proposée est probablement intéressante sur le plan commercial mais n apporte aucune valeur ajoutée vis à vis des méthodologies d évaluation et de spécification actuellement développées par les organismes traitant de la sécurité des systèmes d informations. De notre point de vue, les critères de protections (PP) définis par la norme CCSEC offrent une approche plus pertinente car formalisée et normalisée. 99.C172/BVEL Juillet - 15/07/99 Page - 16 -

Technologique DDRRAAFFTT- -IIEETT I FF- -IIDDWW I GG- - RR EE QQ UU IIRR I EE MMEE NN TT SS- -0000... TT XXTT - IINNTTRRUUSSI I OONN DDEETTEECCTTI II OONN EEXXCCHHAANNGGEE FFOORRMMAATT RREEQQUUI II RREEMMEENNTTSS Ce Draft est émis par le groupe de l IETF chargé d étudier les techniques et principes applicables aux systèmes de détection d intrusion (IDS). Il a pour objet l établissement des pré-requis nécessaires à la spécification d un format d échange de données unifiée entre les différents fournisseurs de système de détection d intrusion. En effet, à ce jour, chaque outil dispose de sa propre structure de données et ne peut, en conséquence, être facilement intégré dans un système global de supervision. Ce document, qui n est qu un cadre de travail, est remarquablement structuré, et justifie explictement de chacun des choix et des orientations prises. On ne peut qu espérer que cet effort de normalisation aboutira rapidement, et sera avalisé par l ensemble des éditeurs. 99.C172/BVEL Juillet - 15/07/99 Page - 17 -

Technologique 4. ALERTES ET ATTAQUES 4.1. ALERTES 4.1.1. Guide de lecture des avis La lecture des avis publiés par les différents organismes de surveillance ou par les constructeurs n est pas toujours aisée. En effet, les informations publiées peuvent être non seulement redondantes mais aussi transmises avec un retard conséquent par certains organismes. Dès lors, deux alternatives de mise en forme de ces informations peuvent être envisagées : Publier une synthèse des avis transmis durant la période de veille, en classant ceux-ci en fonction de l origine de l avis, Publier une synthèse des avis transmis en classant ceux-ci en fonction des cibles. La seconde alternative, pour séduisante quelle soit, ne peut être raisonnablement mise en œuvre étant donné l actuelle diversité des systèmes impactés. En conséquence, nous nous proposons de maintenir une synthèse des avis classée par organisme émetteur de l avis. Afin de faciliter la lecture de ceux-ci, nous proposons un guide de lecture sous la forme de chartes synthétisant les caractéristiques de chacun des sources d information ainsi que les relations existant entre ces sources. Seules les organismes, constructeurs ou éditeurs, disposant d un service de notification officiel et publiquement accessible sont représentés. Ces chartes seront régulièrement mises à jour. Avis Spécifiques Avis Généraux Constructeurs Editeurs Indépendants Organismes Réseaux Systèmes Systèmes Editeurs Hackers Editeurs Autres US Autres 3Com Compaq Linux Microsoft l0pht NA (SNI) BugTraq CERT Aus-CERT Cisco HP FreeBSD Netscape rootshell ISS CIAC IBM SGI SUN NetBSD OpenBSD Xfree86 Typologies des informations publiées Publication de techniques et de programmes d attaques Détails des alertes, techniques et programmes Synthèses générales, pointeurs sur les sites spécifiques Notifications détaillées et correctifs techniques L analyse des avis peut être ainsi menée selon les trois stratégies suivantes : Recherche d informations générales et de tendances : Maintenance des systèmes : Compréhension et anticipation des menaces : Lecture des avis du CERT, du CIAC et du CERT Australien, Lecture des avis constructeurs associés Lecture des avis des groupes indépendants Aus-CERT CERT 3Com Compaq Microsoft BugTraq rootshell NA (SNI) NetBSD Cisco HP Netscape l0pht ISS OpenBSD IBM Xfree86 SGI Linux SUN FreeBSD CIAC 99.C172/BVEL Juillet - 15/07/99 Page - 18 -

Technologique 4.1.2. Synthèse des Avis Publiés Le tableau suivant propose un récapitulatif du nombre d avis publiés pour la période courante, l année en cours et l année précédente. Ces informations sont mises à jour à la fin de chaque période de veille. L attention du lecteur est attirée sur le fait que certains avis sont repris et rediffusés par les différents organismes. Ces chiffres ne sont donc représentatifs qu en terme de tendance et d évolution. Période Cumul 1999 Cumul 1998 Organisme 3 38 121 CERT-CS 0 1 10 CERT-CA 0 7 12 CERT-VB 0 0 14 CIAC 3 30 85 Constructeurs 7 47 117 3COM 0 0 1 Cisco 0 5 7 Digital 0 1 4 HP 2 7 20 IBM 0 0 6 Microsoft 5 21 22 SGI 0 5 39 Sun 0 8 18 Unix libres 4 25 31 RedHat Linux 4 7 18 FreeBSD 0 0 8 NetBSD 0 11 2 OpenBSD 0 7 2 Xfree86 0 0 1 Autres 2 23 30 L0pht 0 8 6 RootShell 0 0 7 SNI / NAI 0 2 5 X-Force 2 13 12 Cumul 1998 SGI 34% Cumul 1999 SGI 11% Sun 16% Sun 17% Microsoft 44% Cisco 6% Digital 3% HP 17% IBM 5% Microsoft 19% Cisco 11% Digital 2% HP 15% IBM 0% 99.C172/BVEL Juillet - 15/07/99 Page - 19 -

Technologique 4.1.3. Avis officiels Le tableau suivant présente une synthèse des avis de sécurité émis par un organisme officiel et confirmé par l éditeur du produit ou le constructeur de l équipement. Ces informations peuvent être considérées comme fiables et authentifiées. En conséquence, les correctifs proposés doivent immédiatement être appliqués. Fournisseur Titre URL ou Produit Référence Date Niveau Origine Problème Dommages Plateforme Correction CDE Sun HP SCO buffer overflow in Calendar Manager Service daemon (rpc.cmsd) CIAC J-051 CERT CA-99-08 16/07 Critique Service Calendar sous CDE http://www.ciac.org/ciac/bulletins/j-051.shtml Existance d un buffer overflow dans le daemon rpc.cmsd Acquisition des privilèges du service, généralement root. HP Non précisé SCO UnixWare 7 SUN Solaris 2.5.1, 2.5.1_x86, 2.5, 2.5_86, 2.4, 2.3, 4.1.4, 4.1.3_U1. SUN CDE 1.3, 1.3_86, 1.2, 1.2_86, 1.0.2, 1.0.1. Appliquer les correctifs proposés par les éditeurs dés mise à disposition HP Security Vulnerability HP Visualize Conference ftp://us-ffs.external.hp.com/~ftp/export/patches/hp-ux_patch_matrix HPSBUX9906-099 CIAC J-050 29/06 Moyen HP Visualize Conference CDE Leaves Current Directory in root PATH Lié au service ftp utilisé par Visualize Conference Déni de service, Acquisition de privilèges Series 700 utilisant HP-UX 10.20 ftp://us-ffs.external.hp.com/~ftp/export/patches/hp-ux_patch_matrix Appliquer le correctif PHSS_17168 qui vient d'être rendu disponible sur le site HPSBUX9907-100 07/07 Elevé Environnement X11 Script d initialisation Chemin d accès PATH erroné contenant : : Acquisition de privilèges Series 700/800 utilisant HP-UX 10.x Modifier la définition du PATH du compte root et /usr/dt/bin/xsession en attendant la mise à disposition d un patch 99.C172/BVEL Juillet - 15/07/99 Page - 20 -

Technologique MICROSOFT Patch Available for "Malformed LSA Request" Vulnerability MS 99-020 CIAC J-049 23/06 Faible Service LSA Absence de contrôle des arguments passés aux API d'accès au service Patch Avail. for "CSRSS Worker Thread Exhaustion" Vulnerability MS 99-021 CIAC J-049 ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt40/hotfixes-postsp5/lsa3-fix/ Déni de service induit par un arrêt non controlé du service: les utilisateurs ne pourront temporairement plus se connecter Toute plate-forme windows NT 4.0: workstation, serveur, terminal serveur ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt40/hotfixes-postsp5/csrss-fix/ 23/06 Moyenne Service CSRSS Erreur de conception Déni de service menant à l indisponibilité du système et imposant une réinitialisation Patch Available for "Double Byte Code Page" Vulnerability MS 99-022 24/06 faible Service IIS URL contenant des codes de type DBCS Patch Available for "Malformed Image Header" Vulnerability MS 99-023 30/06 Moyenne Fichiers exécutables Absence de contrôle sur le format des entêtes des fichiers exécutables Patch Available for "Unprotected IOCTLs" Vulnerability MS 99-024 06/07 Elevé Pilotes clavier et souris Back Orifice 2000 BO2K 09/07 Critique Nouvelle version de Back Orifice 2000 HotFix Performance Counter Toute plate-forme windows NT 4.0: workstation, serveur, terminal serveur ftp://ftp.microsoft.com/bussys/iis/iis-public/fixes/usa/security/fesrc-fix Visibilité des sources des pages dynamiques IIS 3.0 et 4.0 fonctionnant sur un serveur dont le langage par défaut est le chinois, le coréen ou le japonais. ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt40/hotfixes-postsp4/kernel-fix/ Déni de service imposant une réinitialisation du système Toute plate-forme windows NT 4.0: workstation, serveur, terminal serveur ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt40/hotfixes-postsp5/ioctl-fix/ Absence de contrôle d accès aux fonctions de gestion des pilotes clavier et souris Déni de service impactant le fonctionnement de la souris ou du clavier Toute plate-forme windows NT 4.0: workstation, serveur, terminal serveur Appliquer le correctif post-sp5 qui vient d'être rendu disponible sur le site: Appliquer le correctif post-sp5 qui vient d'être rendu disponible sur le site: Appliquer le correctif post-sp5 qui vient d'être rendu disponible sur le site: Appliquer le correctif post-sp5 qui vient d'être rendu disponible sur le site: Appliquer le correctif post-sp5 qui vient d'être rendu disponible sur le site: http://www.microsoft.com/security/bulletins/bo2k.asp Cheval de TROIE Prise de contrôle du système Toute plate-forme Wintel Mettre à jour les fichiers de signature infecté des dispositifs anti-virus ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt40/hotfixes-postsp5/perfctrs-fix/ 99.C172/BVEL Juillet - 15/07/99 Page - 21 -

Technologique MS Q234351 21/06 Faible Compteur de performance Erreur de conception: la mémoire n est pas libérée sous certaines conditions Déni de service induit par la diminution progressive de la mémoire système Toute plate-forme windows NT 4.0: workstation, serveur, terminal serveur Appliquer le correctif post-sp5 qui vient d'être rendu disponible sur le site: REDHAT Potential security problem in Red Hat 6.0 net-tools http://www.redhat.com/corp/support/errata/rh60-errata-general.html#net-tools RHSA-1999:017-01 24/06 Moyen Net-Tools Non documenté Non Documenté Red Hat 6.0 Appliquer les correctifs disponibles KDE update for Red Hat Linux 6.0 http://www.redhat.com/corp/support/errata/rh60-errata-general.html#kde RHSA-1999:015-01 21/06 Moyen KDE Non documenté Non Documenté Red Hat 6.0 Appliquer les correctifs disponibles New dev, rxvt, screen packages for Red Hat Linux 6.0 http://www.redhat.com/corp/support/errata/rh60-errata-general.html#dev_rxvt_screen RHSA-1999:014-01 15/06 Moyen Dev, Rxvt et screen Non documenté Non Documenté Red Hat 6.0 Appliquer les correctifs disponibles New XFree86 packages for Red Hat Linux 6.0 http://www.redhat.com/corp/support/errata/rh60-errata-general.html#xfree86 RHSA-1999:013-02 17/06 Moyen Xfree86 Non documenté Non Documenté Red Hat 6.0 Appliquer les correctifs disponibles 99.C172/BVEL Juillet - 15/07/99 Page - 22 -

Technologique 4.1.4. Alertes Non Confirmées Les alertes présentées dans le tableau de synthèse suivant ont été publiées dans diverses listes d information mais n ont pas encore fait l objet d une confirmation de la part de l éditeur ou du constructeur. Ces informations autorisent la mise en place d un processus de suivi et d observation. Fournisseur Titre URL ou Produit Référence Date Niveau Origine Problème Dommages Plateforme Correction 99.C172/BVEL Juillet - 15/07/99 Page - 23 -

Technologique APPLE AMAVIS MacOS Weak Password Encryption Vulnerability http://www.securityfocus.org/vdb/bottom.html?vid=519 Bugtraq 10/07 Elevé Mots de passe Erreur de conception: Acquisition des mots de passe algorithme de des utilisateurs. Un code de chiffrement des mots cassage a été diffusé. de passe simple et reversible AMaViS Arbitrary Command Execution Vulnerability http://www.securityfocus.org/vdb/bottom.html?vid=527 Bugtraq 16/07 Elevé Script Scanmails Absence de contrôle : Exécution de code non sollicité passage de commandes sous l autorité de root dans les en-têtes de messagerie. Apple MacOS : 8.6, 8.5, 8.1, 8.0, 7.6.1, 7.6, 7.5.3Erreur! Signet non défini. Tout système LINUX utilisant le logiciel AMaViS 0.2pre-4 Erreur! Signet non défini. Ne pas s appuyer sur le mécanisme natif mais utiliser un produit complémentaire. Appliquer les correctifs proposés par l auteur du produit AXENT Axent ESM 5.0 User Profile Permission Vulnerability Bugtraq 12/07 Moyen Script d initialisation des utilisateurs http://www.securityfocus.org/vdb/bottom.html?vid=518 Erreur de conception des tests : -Check PATH using 'su' -Check PATH by modifying startup script -Check umask using 'su' -Check umask by modifying startup script Deni de service : après un test, le script de l utilisateur appartient à root et ne peut plus être accédé. Tout système UNIX utilisant un agent Axent ESM 5.0 Le correctif sera inclus dans la version 5.0.1 disponible en Août. Les tests générant ce problème ne sont normalement pas activés par défaut. BSD Multiple Vendor Shared Memory Denial of Service Vulnerability http://www.securityfocus.org/vdb/bottom.html?vid=526 Buqtraq 15/07 Moyen Mémoire partagée Erreur de gestion de la Déni de service mémoire partagée Tout système utilisant le code BSD 4.4 : BSDI, FreeBSD, Linux, NetBSD Aucun information à ce jour CABLETRON Spectrum Enterprise Manager 5.0 Directory Permission Vuln. Buqtraq 23/06 Moyen Fichiers d installation http://www.securityfocus.org/vdb/bottom.html?vid=495 Permissions des fichiers temporaires copiés lors de la phase d installation Atteinte à l intégrité de la distribution lors de l installation. Les permissions des fichiers installés sont laxistes. Spectrum Enterprise Manager 5.0 sur : - Sun Solaris 2.6, 2.5.1 - Windows NT 4.0 Aucun information à ce jour Renforcer les permissions positionnées sur les fichiers installés. 99.C172/BVEL Juillet - 15/07/99 Page - 24 -

DEBIAN LINUX Rapport de Veille Technologique mailman: weak administrator authentication http://www.python.org/pipermail/mailman-developers/1999-june/001128.html Debian 19990623 23/06 Moyen Service MailMan Génération des Accès aux pages WEB Debian GNU/Linux 2.1 cookies prédictible d administration sans authentification cfingerd Buffer Oveflow Vulnerability http://www.securityfocus.org/vdb/bottom.html?vid=495 Buqtraq 02/07 Elevé Cfingerd 1.3.2 Existence d un buffer Déni de service Debian GNU/Linux 1.2, overflow 1.3, 1.3.1, 2.0, 2.0r5 Installer MailMan version 1.0rc2-5 Aucun information à ce jour JAVA Java HotSpot DoS Vulnerability HOTSPOT Buqtraq 06/07 Moyen Java HotSpot Performance engine http://www.securityfocus.org/vdb/bottom.html?vid=522 Erreur de conception Déni de service : le serveur peut être arrêté en soumettant la requête : http://targethost/servlet/[ Tout serveur WEB utilisant IIS 4.0 et Sun Java HotSpot Performance Engine 1.0 Aucun information à ce jour IBM AIX adb Vulnerability ftp://aix.software.ibm.com/aix/efixes/security/adb_hang.tar.z Buqtraq 12/07 Faible Debogueur adb Erreur de conception Déni de service conduisant à l arrêt du système IBM AIX 4.3.2, 4.3.1 4.3, 4.2.1 4.2, 3.2.5 Un correctif temporaire est disponible sur le site IBM. KDE KDE kbase 1.1 SUSE 30/06 Elevé Programme klock Erreur de conception Accès au compte protégé par le screen saver Tout système UNIX utilisant KBASE 1.1 Installer les correctifs proposés par les éditeurs. Désactiver temporairement le service. LINUX man-2.3.10-42 SUSE 29/06 Moyen Programme zsoelim Permissions des fichiers temporaires incorrectes Altération des fichiers de la personne utilisant man au moyen de liens symboliques Toutes les distributions LINUX utilisant man version 2.3.10 Installer les correctifs proposés par les éditeurs. Désactiver temporairement le service. MICROSOFT NT IIS SSL DoS Vulnerability http://www.securityfocus.org/vdb/bottom.html?vid=521 Buqtraq 07/07 Moyen IIS 4.0 et SSL Erreur de conception : il Déni de service par est possible de forcer le consommation excessive de chiffrement d une page non protégée temps de calcul NT Login Default Folder Vulnerability http://www.securityfocus.org/vdb/bottom.html?vid=521 Tout serveur IIS 4.0 et 3.0 utilisant SSL Aucun information à ce jour 99.C172/BVEL Juillet - 15/07/99 Page - 25 -

Buqtraq 07/07 Elevé Environnement de démarrage Rapport de Veille Technologique Erreur de conception : le shell utilisateur (explorer.exe par défaut) est en priorité recherché dans le répertoire d accueil de l utilisateur. Exécution de programmes non autorisés par copie et renommage de ceux-ci en : - explorer.exe ou - taskmgr.exe ou - userinit.exe Microsoft Windows Invalid IGMP Header DoS Vulnerability http://www.securityfocus.org/vdb/bottom.html?vid=514 Buqtraq 03/07 Moyen Pile réseau Erreur de conception: Déni de service pouvant mauvaise gestion des entrainer un reboot du système paquets IGMP invalides Toute plate-forme windows NT 4.0: workstation, serveur, terminal serveur Microsoft Windows 95, 98, NT 2000.0 sauf NT 2000.2072.0,2000.2031.0 Aucun information à ce jour Modifier les permissions d accès aux répertoires d accueil des utilisateurs. Filtrer les paquets IGMP sur les dispositifs du point d accès Internet. NETSCAPE Netscape Enterprise Server SSL Buffer Overflow DoS Vuln. http://help.netscape.com/business/filelib.html#sslhandshake Buqtraq 07/07 Moyen Netscape Enterprise server SSL Existence d un buffer overflow dans le code SSL Déni de service conduisant à l arrêt du serveur Netscape Enterprise Server 3.6, 3.51, 3.0 Appliquer le correctif disponible sur le site netscape. NETWARE Netware IPX Admin Session Spoof Vulnerability Pandora http://www.nmrc.org/pandora NMRC 16/07 Elevé Paquet NCP Absence de contrôle de l intégrité des paquets NCP Usurpation de session et passage de commandes administratives Netware 5.0, 4.11SP5B, 4.1 Activer le niveau 3 de l option de signature des paquets sur les serveurs ET les clients. Utiliser un environnement réseau commuté. PATROL Patrol SNMP Agent File Creation/Permission Vulnerability http://www.securityfocus.org/vdb/bottom.html?vid=525 Buqtraq 14/07 Elevé Agent snmpmagt Permission d un Déni de service et Acquisition fichier crée par des privilèges root. Un code l agent snmpmat d exploitation a été publié Tout système utilisant l agent snmp de BMC Patrol 3.2 Aucun correctif disponible à ce jour. PINE Security hole in pine-4.x SUSE 28/06 Moyen Application PINE 4.x Erreur de conception Exécution de code non sollicité au moyen d un message spécifiquement formaté Tout système UNIX utilisant PINE 4.x Installer les correctifs proposés par les éditeurs. 99.C172/BVEL Juillet - 15/07/99 Page - 26 -

TREND Rapport de Veille Technologique WebTrends Multiple Products Stored Password Vulnerability http://www.securityfocus.org/vdb/bottom.html?vid=513 Buqtraq 29/06 Elevé Produits WEBTrends Erreur de conception: Accès aux mots de passe des algorithme de services stockés dans le fichier chiffrement des mots WebTrend.ini en accès libre. de passe simple et reversible Tout système NT utilisant - Enterprise Suite 3.5 WT for Firewalls 1.2 - Log Analyzer 4.51 Professional Suite 3.1 Security Analyzer 2.0 Installer les dernières versions (chiffrement 128bits des mots de passe) et modifier les permissions d accès au fichier webtrends.ini 99.C172/BVEL Juillet - 15/07/99 Page - 27 -

Technologique 4.1.5. Bulletins d Information Le tableau suivant récapitule les bulletins d information publiés par les organismes officiels de surveillance. Thème Titre URL Référence Date Objet Contenu DNS CERT - Potential for false authentication in registry transactions http://www.cert.org/vul_notes/vn-99-02.html CERT VN-99.02 21/06 Administration des zônes Cet avis met en garde les organismes ayant à gérer les zônes administratives contre différentes techniques d usurpation de l identité des points de contacts administratifs dans les sociétes et entreprises connectées. CHEVAUX DE Windows Backdoor Update III TROIE XForce 06/07 Caractéristiques des Chevaux de troies http://xforce.iss.net/alerts/advise30.php3 Cet avis complète les 2 avis précédemments emis et récapitule les spécificités des nouveaux chevaux de troie actuellement diffusés sur l Internet : - DeepThroat 1, 2, 3 - NetSphere 1.30 - GateCrasher 1.2 - Portal of Doom - GirlFriend 1.3 - Hack'a'Tack - EvilFTP - phase Zero - ExploreZip.worm - SubSeven 99.C172/BVEL Juillet - 15/07/99 Page - 28 -

Technologique 4.2. ATTAQUES 4.2.1. Outils TT RRI II NNUUXX VV00...6611 L utilisation de cet outil peut induire de nombreux dysfonctionnement des systèmes cibles. Celui-ci doit donc être manipulé avec la plus grande prudence. Objet Une nouvelle version de la «boite à outils» TRINUX est disponible. Description TRINUX doit être considéré comme le couteau Suisse de l'auditeur (et potentiellement du hacker). Constitué d'un noyau LINUX minimaliste et de plus de 20 outils de sécurité - dont nmap, saint, queso, tcpdump,... TRINUX peut être copié sur 3 disquettes 3"1/4 et utilisé sur n'importe quel système INTEL disposant d'une carte réseau et d'un lecteur de disquette. L'automatisation de la configuration permet d'activer l'outil en moins de 3 minutes. Pour les auditeurs et personnels de sécurité, cet outil offre une alternative séduisante aux outils standards du marché dans les domaines des tests de vulnérabilités et de la qualification de systèmes. Il intègre en effet les principaux outils couramment utilisés par les hackers. Complément d information Outil Trinux: ftp://ftp.trinux.org/pub/trinux/images/devel/0.61/ 4.2.2. Analyse BBAACCKKO RRI IIFFI CCEE 22000000 L utilisation de cet outil, considéré à tort par certain comme l outil d administration du pauvre, peut conduire à l ouverture de nombreuses failles de sécurité sur les systèmes clients, et ceci, bien que les sources aient été publiées. Objet Le groupe de hacker connu sous le nom de «Cult Of The Dead Cow» vient de délivrer une nouvelle version BO2000 ou B02YK- du célèbre cheval de troie BackOrifice. Description Cette nouvelle version, dont les sources sont disponibles contrairement à la version précédente, a été annoncée le 10 Juillet durant le congrés DEFCON (réunion de hackers se tenant chaque année au USA). Hormis les nouvelles fonctionnalités offertes, cette version se distingue par une interface d installation et de contrôle graphique simple et efficace autorisant une mise en œuvre immédiate. Ainsi, peuvent être configurés les paramètres d accès suivant : - Type de protocole utilisé : UDP ou TCP - Numéro de port de connexion - Mode de chiffrement : XOR ou 3DES - Mode d authentification : Mot de passe ou clef de chiffrement L interface de contrôle, remarquablement conçue, autorise la prise de main et l envoi de plus de 70 commandes différentes sur plusieurs machines distantes. Le groupe X-Force (société ISS) a mis en évidence l existence d une signature reproductible dans les paquets échangés entre le client et le serveur, et ceci quelquesoit le mode de chiffrement ou le protocole utilisé. Les produits de détection d intrusion réseaux sont en conséquences susceptibles de détecter la présence de cet outil moyennant la mise à jour des fichiers de références. Les précautions usuelles doivent être prises : 1- Mise à jour des fichiers de signatures des anti-virus 2- Sensibilisation des utilisateurs aux risques encourus 99.C172/BVEL Juillet - 15/07/99 Page - 29 -

Technologique 3- Vérification de l intégrité des systèmes sensibles au moyen d outils adaptés Complément d information Programme BO2YK Analyse détaillée du produit http://www.bo2k.com http://www.iss.net/prod/whitepapers/bo2k.pdf TT II IMMEESSI II NNKK Objet TimeSink est un programme développé par la société Conducent dont le comportement est proche de celui d un Cheval de Troie, et peut générer des alertes de sécurité. Description Cette société développe des outils publicitaires gratuits et susceptibles d être incorporés dans n importe quelle application. Ainsi, le programme TimeSink gère l acquisition automatique et la présentation de bandeaux publicitaires dynamiquement intégrés dans n importe quelle application Windows. Ce programme semble être couramment utilisé par les développeurs de freeware afin de s assurer un complément de revenu financier. La boite à outil mise à disposition des développeurs permet d intégrer TimeSink à n importe quelle application, et plus particulièrement d installer celui-ci dans les fichiers de distribution, notamment dans les fichiers auto-extractible PKZIP. Lors de l installation, ce logiciel est enregistré dans une clef de la registry afin de pouvoir être automatiquement initialisé lors de chaque démarrage du poste : [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TimeSink Ad Client"="C:\\Program Files\\TimeSink\\AdGateway\\TSAdBot.exe" Le répertoire «C:\Program Files\TimeSink» contient les fichiers exécutables, divers fichiers de configuration et les informations publicitaires intiales. Les informations publicitaires sont régulièrement mises à jour, le programme se connectant automatiquement sur un site de mise à jour (PUSH d information) et fournissant à celui diverses informations statistiques! Dés lors, l installation d un logiciel peut conduire à l activation d un programme non sollicité mais aussi à l initialisation de connexions non contrôlées sur l Internet. La documentation fournie avec le kit de développement décrit les principes utilisés pour détecter l existence d une connexion réseau et adapter le comportement du produit en fonction des dispositifs de sécurité présents! L intégralité de cette annexe est reproduite ci-après : Appendix A: Application Protocols and Firewall Handling This appendix describes the TCP/IP application protocols and ports used by the Conducent software to: - detect network connectivity - implement the control protocol used in the pushing of content - the retrieval of assets (graphics and sound) in the context of firewalls and the Conducent software's handling of firewalls. Network Detection The mechanisms used by the Conducent push client to detect network connectivity are described in the section Network Discovery in this document. Briefly, use is made of the ICMP protocol in certain situations (as described in the Network Discovery section) to "ping" in order to determine if a user PC has network connectivity. As such, in situations when the Conducent push client resorts to "ping" to determine connected state, firewalls that either prevent outgoing ICMP Echo Request packets, or prevent incoming ICMP Echo Response packets will result in repeated failures to determine if the user PC is connected to the network. However, it is expected that certain Enterprise configurations of firewall installations will block ICMP Request and Response packets and will also generally block the transit of higher level application protocols, thus preventing the proper operation of the Conducent push client, and resulting in the push client not attempting to establish either a control or a data connection with the Conducent push server. Note that, with the V4.x AdGateway software (the version discussed in this document), "ping" failures due to ICMP packets being blocked will not result in incessant "pinging" due to content push activity originating from "offline" mode applications. Instead, the network detection scheme described in the section Network Discovery will cause successively longer "hold down" periods, with intervals of up to a week between successive attempts to "ping." Content Push 99.C172/BVEL Juillet - 15/07/99 Page - 30 -

Technologique The content push component utilizes HTTP over a TCP transport to advertising push servers at a variety of ports: 80, 8080, 23 and 17027. Firewalls that block outgoing TCP traffic to a remote server using HTTP will have an adverse effect on the operation of the Conducent push client. Note however that the Conducent V4.x software and beyond supports the use of HTTP proxy. Asset Retrieval As described in the section Asset Retrieval, the Conducent push client software will attempt to retrieve the assets associated with a schedule that was pushed to it from an advertising server. Retrieval of advertising assets is achieved using the HTTP protocol. Therefore, firewalls that block HTTP traffic will effectively prevent the retrieval of any assets (note that the Conducent push client can be configured to use an HTTP proxy in the V4.x and beyond software). En conséquence, il est fortement recommandé de : 1- Bloquer les requêtes ping à destination de l INTERNET lorsque cela est possible, 2- Filtrer explicitement les numéros de ports spécifiques utilisés par cette technologie : 17027, 8080 si possible et 23. Complément d information Programme TimeSink http://www.timesink.net/developers-process.shtm UUSSUURRPPAATTI IIOONN DD I II DDEENNTTI II TTEE Objet Le CERT a émis une Note concernant les risques potentiels induits par les opérations d'administration des objets techniques et administratifs nécessaires aux bon fonctionnement de l'internet. Description Ces opérations sont assurées par un ensemble d'autorités, les NIC ou Network Information Center) ayant la responsabilité de la gestion d'une zone: un ensemble de domaines et d'adresses. La gestion des informations techniques concernant une zone - nom de domaine DNS, allocation d'adresses,...- est assurée par le NIC responsable de celle-ci. Afin de garantir l'intégrité des informations publiées, et utilisées par nombres de services de l'internet, toute opération administrative demandée par un client doit faire l'objet d'un contrôle visant à confirmer l'identité de celui-ci, et par conséquence ses droits sur les objets devant être modifiés. La méthode de contrôle couramment employée consiste à vérifier que la demande, transmis par messagerie électronique, provient bien du contact administratif ou technique inscrit dans la base d'information du NIC, publiquement accessible depuis l'internet. Le contrôle est généralement assuré en comparant l'adresse mail de l'émetteur avec l'adresse inscrite dans l'enregistrement 'Point of Contact'. Le CERT met en garde la communauté INTERNET contre les risques induits par cette méthode d'authentification faible. En effet, n'importe quel utilisateur disposant d'un accès sur l'internet peut mettre en péril l'intégrité des bases de référence, dont le DNS, en usurpant l'identité de l'un des points de contact: l'envoi d'un mail forgé de toute pièce utilisant l'adresse mail de ce point de contact est amplement suffisant. Le CERT annonce avoir été informé de l'existence et de la réussite de telles attaques. Un contrôle régulier des informations concernant la société publiées sur l'internet doit être mise en place dont l'objectif est non seulement de valider l'intégrité de ces données mais aussi de valider que ces informations ne peuvent être utilisées pour conduire une attaque technique ou de social engeniering. Complément d information Note d information http://www.cert.org/vul_notes/vn-99-02.html 99.C172/BVEL Juillet - 15/07/99 Page - 31 -