Le top 10 des vulnérabilités selon ISS

Ce mois-ci, ISS (Internet Security Systems) a établi une liste des 10 principales vulnérabilités rencontrées sur Internet. On notera que ce "hit parade" diffère du bilan que fait régulièrement le Cert-CC. Ceci peut s'expliquer par la période couverte (3 mois pour le CERT-CC , 1 mois pour ISS) et aussi une "clientèle" et un mode de fonctionnement différents.

Voici un aperçu de cette liste:

1. Dénis de service (TFN, TFN2k, Trin00, Stacheldraht, FunTime, Apocalypse) - CERT-IST/IF-2000.002

2. Faiblesse des comptes (comptes par défaut, compte administrateur sans mot de passe, nom de communauté SNMP trival) - Voir bulletins des mois de Février et Mars 2000 - partie "Informations intéressante"

3. IIS (failles de Microsoft Internet Information Server, PHP, ...) - CERT-IST/AV-2000.095, CERT-IST/AV-1999.153, ...

4. Bases de données (mot de passe par défaut sous Oracle, programme setuid sous Oracle, débordement de pile dans Microsoft SQL server) - CERT-IST/AV-1999.126a, CERT-IST/AV-1999.286, ..

5. Applications E-Business (failles des serveurs Netscape, Index Server, Front page de Microsoft) - CERT-IST/AV-1999.197, CERT-IST/AV-1999.264, CERT-IST/AV-2000.013, ...

6. Service de messagerie (failles de Sendmail) - CERT-IST/AV-1999.032, ...

7. partages de fichiers (utilisation de NetBIOS et NFS)

8. Les RPC (failles sur rpc.cmsd, rpc-statd, Sadmin, Amd, Mountd) - CERT-IST/AV-1999.145, CERT-IST/AV-1999.171, ...

9. Failles de BIND - CERT-IST/AV-1999.023, CERT-IST/AV-1999.025, CERT-IST/AV-1999.250, ...

10. Débordements de pile sous Linux (IMAP, Qpopper, WU-FTP, ...) - CERT-IST/AV-2000.076, CERT-IST/AV-2000.077, CERT-IST/AV-2000.016, CERT-IST/AV-1999.200, ...

Ce document a le mérite de montrer sur quels systèmes des efforts en terme de sécurité doivent être consentis.

Le détail de ces vulnérabilités est fourni dans le document d’ISS à l’adresse : http://xforce.iss.net/alerts/advise53.php

Voir également les différents avis du CERT-IST concernant ces produits.