Alertes Certa 2011, semaine 9

1. Compromission d’un site Joomla !

Le CERTA a traité cette semaine le cas d'une compromission de site fonctionnant avec Joomla!. Les incidents de ce type sont fréquents, et découlent généralement de l'exploitation d'une vulnérabilité dans un module optionnel. Dans le cas abordé cette semaine, il s'agit d'une autre méthode d'attaque : les attaques par dictionnaire. Une fois connecté au panneau d'administration, l'attaquant a accès à des scripts permettant le dépôt de fichiers. Il lui devient notamment possible d'installer une porte dérobée sous la forme d'un interpréteur de commandes écrit en PHP. Dans l'incident traité, l'attaquant a, après avoir déposé sa porte dérobée, tenté d'étendre la compromission à tout le serveur en exploitant plusieurs vulnérabilités du noyau Linux.

2. Requête étranges dues à NoScript

NoScript est un module complémentaire pour navigateurs Web (Mozilla FireFox, SeaMonkey et autres navigateurs basés sur Mozilla) qui ajoute des fonctionnalités de sécurité. Il permet par exemple d'établir des listes blanches de domaines pour lesquels l'exécution de code JavaScript ou Adobe Flash sont autorisés. Il intègre également des mécanismes de détection d'exploitation de failles de type injection de code indirecte à distance, ou « XSS ». Un autre élément utilisé par NoScript est ABE pour Application Boundary Enforcer. Il se propose d'améliorer les mécanismes de défense contre les injections de code indirectes, en instaurant dans le navigateur des protections supplémentaires que l'utilisateur peut configurer. Celui-ci va pouvoir par exemple interdire toute requête à des serveurs Web situés dans le réseau local du poste, qui proviennent d'un site externe à ce dernier.

3. Rappel des avis émis

CERTA-2011-AVI-111 : Vulnérabilité dans F-Secure Policy Manager
CERTA-2011-AVI-112 : Multiples vulnérabilités dans SumatraPDF
CERTA-2011-AVI-113 : Multiples vulnérabilités dans MuPDF
CERTA-2011-AVI-114 : Vulnérabilité dans Citrix XenApp et XenDesktop
CERTA-2011-AVI-115 : Vulnérabilité dans RT
CERTA-2011-AVI-116 : Vulnérabilité dans Citrix Secure Gateway
CERTA-2011-AVI-117 : Vulnérabilité dans IBM Lotus Connections
CERTA-2011-AVI-118 : Vulnérabilité dans IBM Tivoli Common Reporting
CERTA-2011-AVI-119 : Vulnérabilité dans Foxit Reader
CERTA-2011-AVI-120 : Vulnérabilité dans Samba
CERTA-2011-AVI-121 : Vulnérabilité dans Avahi
CERTA-2011-AVI-122 : Vulnérabilité dans Sybase Afaria Data Security Manager
CERTA-2011-AVI-123 : Vulnérabilité dans HP Web Jetadmin
CERTA-2011-AVI-124 : Vulnérabilité dans PEAR
CERTA-2011-AVI-125 : Multiples vulnérabilités dans Wireshark
CERTA-2011-AVI-126 : Multiples vulnérabilités dans Google Chrome
CERTA-2011-AVI-127 : Multiples vulnérabilités dans les produits Mozilla
CERTA-2011-AVI-128 : Vulnérabilité dans Alcatel OmniPCX Enterprise
CERTA-2011-AVI-129 : Vulnérabilités dans libpango
CERTA-2011-AVI-130 : Vulnérabilité dans Alcatel OmniVista