Avis, Alertes, Informations intéressantes et failles classées

Date : 28 Juin 2005

Un certain nombre de nos lecteurs reçoivent, non seulement les avis, alertes et informations du Cert-IST, mais aussi des avis (ou alertes) d'autres sources (CERT/CC, CERTA, autres CERT,…).

Vous avez pu remarquer récemment que certaines vulnérabilités faisaient l'objet d'un traitement différent lié entre autres à l'analyse d'impact sur sa communauté fait par chacun des CERT. On trouvera dans cet article une illustration sur 3 cas récents de l'analyse de 3 vulnérabilités.

Cas Numéro 1 : Ver Slapper

Nous avons publié une information intéressante CERT-IST/IF-2002.008 le 17 septembre, qui faisait état de l'apparition du ver slapper qui utilisait une vulnérabilité ayant fait l'objet de l'avis CERT-IST/AV-2002.260 publié fin juillet et mis à jour le 16 septembre. Après concertation avec les autres CERT français, une évaluation des attaques dans les différentes communautés, et notre connaissance des sytèmes de notre communauté, nous avons publié une note d'information et non pas une alerte compte tenu que la vulnérabilité affectait des systèmes particuliers sous système LINUX.

Cas Numéro 2 : Cheval de Troie dans une distribution de sendmail :

Dans la nuit du 8 au 9 octobre, le CERT/CC a émis un avis concernant la présence –pendant une semaine- d'un cheval de Troie dans une distribution de sendmail téléchargeable par ftp (mais sans doute pas par http). Le cheval de Troie était actif pendant la génération des exécutables, mais semblait ne pas subsister après un redémarrage de la machine de génération. En aucun cas, il n'affectait la version de production de sendmail. On notera aussi que la vérification de la signature MD5 du fichier téléchargé permettait de déceler l'anomalie. Là encore, toutes ces considérations qui font partie de l'analyse de la menace nous a amenés à ne faire qu'une information intéressante (réf CERT-IST/IF-2002.009;).

Cas numéro 3 : avis CERT-IST/AV-2002.371 vulnérabilité sur l'utilitaire gv

Le 11 octobre, quand les premières discussions ont eu lieu sur cette vulnérabilité, nous avons décidé que nous traiterions le problème dans le bulletin mensuel, parmi les failles n'ayant pas fait l'objet d'avis.Le CERT/CC n'en a fait qu'une "Vulnerability Note (la N° 600777) et une seule entité du réseau des CERT "EISPP" qui est en cours de mise en place avait émis un avis sur le sujet. Au moment de la révision de ces failles n'ayant pas fait l'objet d'avis, nous avons estimé que le risque avait été sous–évalué et nous avons "promu" cette vulnérabilité au niveau d'un avis le 28 octobre, rejoignant .le CERTA qui en avait fait un avis.

Conclusions

Avec l'examen des trois cas analysés dans cet article, le Cert-IST est encore plus conscient de l'effort important que demande la qualification d'une vulnérabilité, et la couverture aussi exhaustive que possible de l'ensemble des sources qui contribuent à une évaluation du risque et de la menace qui sont attachées à une faille de sécurité. Dans le bulletin d'avril 2002, nous montrions l'utilisation des synchronisations CVE dans l'analyse de couverture des vulnérabilités ; les développements de la coopération que nous avons entreprise au sein du projet EISPP, sur lequel nous reviendrons dans un prochain bulletin, seront, dans le futur, un des éléments complémentaires dans notre évaluation des failles.

Précedent Précedent Suivant Suivant Imprimer Imprimer