Ce défaut de sécurité concerne Windows toutes versions depuis 2000, et est considéré comme critique.
Aucun correctif n’est disponible pour le moment, cette faille ayant été identifiée alors qu’elle était déjà exploitée de façon malveillante. En attendant la publication d’un correctif officiel, les utilisateurs concernés peuvent appliquer les mesures suivantes afin de réduire les risques d’exploitation malveillante :

• se montrer particulièrement vigilant dans son utilisation d’Internet, notamment vis-à-vis des fichiers douteux, des liens hypertextes non sollicités ou des sites web non reconnus comme sûrs ;
• se montrer particulièrement vigilant dans son utilisation des clés USB et autres disques amovibles (un programme malicieux nommé Stuxnet tente de se propager en utilisant ce moyen et cette faille) ;
• désactiver la fonction d’exécution automatique AutoRun/AutoPlay de manière permanente (voir KB967715) ou ponctuelle (appuyer sur la touche « Ctrl » en même temps qu’une clé USB ou un support amovible est inséré dans l’ordinateur), afin d’empêcher l’exécution d’un éventuel virus ou programme malicieux via le fichier autorun.inf. Cette précaution fonctionne pour tous les programmes malicieux utilisant ce moyen, mais dans le cas présent ne protège pas l’utilisateur s’il explore manuellement le contenu de sa clé jusqu’au fichier piégé) ;
• tenir à jour son antivirus. Les éditeurs publient généralement de nouvelles signatures pour tenter de reconnaître et d’intercepter les fichiers malicieux exploitant des failles de sécurité ;
• désactiver l’affichage des icônes dans les raccourcis (cette manipulation empêche l’exploitation de la faille selon le procédé révélé publiquement, mais modifie également l’apparence des raccourcis légitimes) :
  1. cliquer sur le bouton « démarrer » puis choisir « Exécuter… », entrer « Regedit » puis presser le bouton « OK » ;
  2. parcourir l’arborescence de l’Editeur du Registre de Windows (colonne de gauche) jusqu’à la clé HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler, puis la sélectionner ;
  3. dans la barre de menu, cliquer sur « Fichier » puis « Exporter… », donner un nom au fichier (par exemple « Sauvegarde_LNK_Icon.reg »), puis presser le bouton « Enregistrer », afin de réaliser une sauvegarde qui permettra restaurer ce paramètre une fois le correctif disponible ;
  4. sélectionner la valeur « (par défaut) » correspondant à la clé dans la colonne de droite, faire un clic droit, choisir « Modifier » puis supprimer le contenu du champ « Données de la valeur » (laisser en blanc) ;
  5. redémarrer l’ordinateur pour que la modification soit prise en compte.

Les utilisateurs concernés peuvent également s’abonner gratuitement à la lettre Secuser Securite pour être informés par courrier électronique de la disponibilité du correctif officiel dès sa publication.

INFORMATIONS COMPLEMENTAIRES :
-> Microsoft Security Advisory (2286198) (en anglais)
-> FAQ : comment savoir si ce logiciel est installé sur mon ordinateur?
-> FAQ : comment déterminer le numéro de version de votre logiciel?
-> Abonnement gratuit à la lettre Secuser Securite pour être informé par courriel des nouvelles failles

LOGICIELS CONCERNES :
Firefox 3.6.6 et versions inférieures
Firefox 3.5.10 et versions inférieures
Thunderbird 3.0.5 et versions inférieures
SeaMonkey 2.0.5 et versions inférieures

RISQUE :
Critique

CORRECTIF :
Les utilisateurs concernés doivent installer immédiatement la nouvelle version du logiciel (3.6.7/3.5.11 ou supérieure pour Firefox) via le site de l’éditeur ou le correctif correspondant via la fonction de mise à jour (« ? » dans la barre de menu puis « Rechercher des mises à jour… »), afin de prévenir toute exploitation malveillante de ces failles :

• Firefox 3.6.7
• Firefox 3.5.11
• Thunderbird 3.1.1
• Thunderbird 3.0.6
• SeaMonkey 2.0.6

INFORMATIONS COMPLEMENTAIRES :
-> Mozilla Foundation Security Advisory 2010-34 (en anglais)
-> Mozilla Foundation Security Advisory 2010-35 (en anglais)
-> Mozilla Foundation Security Advisory 2010-36 (en anglais)
-> Mozilla Foundation Security Advisory 2010-37 (en anglais)
-> Mozilla Foundation Security Advisory 2010-38 (en anglais)
-> Mozilla Foundation Security Advisory 2010-39 (en anglais)
-> Mozilla Foundation Security Advisory 2010-40 (en anglais)
-> Mozilla Foundation Security Advisory 2010-41 (en anglais)
-> Mozilla Foundation Security Advisory 2010-42 (en anglais)
-> Mozilla Foundation Security Advisory 2010-43 (en anglais)
-> Mozilla Foundation Security Advisory 2010-44 (en anglais)
-> Mozilla Foundation Security Advisory 2010-45 (en anglais)
-> Mozilla Foundation Security Advisory 2010-46 (en anglais)
-> Mozilla Foundation Security Advisory 2010-47 (en anglais)
-> FAQ : comment savoir si ce logiciel est installé sur mon ordinateur?
-> FAQ : comment déterminer le numéro de version de votre logiciel?
-> Abonnement gratuit à la lettre Secuser Securite pour être informé par courriel des nouvelles failles

(Source : Secuser.com)

La vulnérabilité permet à un pirate de faire planter les applications puis de prendre le contrôle de la machine attaquée.

Adobe a reçu des rapports selon lesquels la faille est d’ores et déjà exploitée sur Internet à travers les trois logiciels. L’éditeur n’a pas encore indiqué de date pour la publication d’un correctif. On imagine que du côté d’Apple, ce bulletin d’alerte ne peut que conforter Steve Jobs dans son choix de bouder la technologie d’Adobe. (Eureka Presse)

Numéro CVE : CVE-2009-0541
Numéro Bugtraq : 33872

En effet, trois failles de sécurité de type XSS sont présentes dans Magento 1.2.0 et probablement dans les précédentes versions également. La primauté de cette découverte revient à Loukas Kalenderidis de Sens Of Security. Du coup, je me dis que ca vaudrait le coup de passer un test un peu en profondeur à la chasse d’autres XSS, sait on jamais. De toute façon, le “Web 2.0″ c’est une mine en terme de sécurité, si ca vous intéresse, ici, un article que j’ai publié il y a quelques années dans Hackin9 à ce sujet (il n’y a pas tout, notamment l’anti DNS pinning n’y est pas de mémoire, mais ce sont de bonnes bases).

Pas de panique, la très grande majorité de Magento repose sur Zend qui est un Framework solide donc on ne devrait pas en avoir des tonnes d’autres mais il va falloir être vigilant. De plus Varien a été prévenu par l’auteur de ces 3 failles le 21/01/2009. Yoav (Directeur Technique de Varien) a probablement lancé la chasse dans le reste du code mais Gabriel de Fragento nous indique que sur une 1.2.1.1 il a repéré le même XSS comme fonctionnel (voir commentaire). Le problème ne serait donc pas résolu malgré le fait que Sens Of Security a joué dans les normes visiblement, l’éditeur à été prévenu un mois avant la publication, ce qui semble un délai raisonnable.

Voila ce qui arrive quand on développe en dehors du framework Zend ou que l’on ne contrôle pas assez ses retours d’erreurs… Les risques de ce type, les XSS, principalement sur l’admin du backoffice, sont non négligeables.

Actions à mener rapidement

1. Upgradez votre Magento ! Dès qu’une version corrigée sera disponible. Pour le moment, la dernière c’est la 1.2.1.1 au moment de la rédaction de ce billet, c’est donc une montée de version mineure si vous êtes déjà en 1.2.x, donc pas ou peu de problème (si vous n’avez pas codé dans le Core). Par contre si vous êtes en pré 1.2, ça risque d’être un peu plus sportif. De toute façon la version actuelle ne semble pas régler tout le problème.
2. Mettez le bout de conf apache qui est en bas dans le fichier de virtualhost de votre site (ou faite le faire à votre hébergeur). Ça protégera votre backoffice, XSS ou pas.
3. Sinon, vous pourrez prochainement appliquer le correctif logiciel qui nous sera fournit par Gabriel de Fragento

Les failles en elles mêmes

Vulnérabilité 1, page de login d’administration

Quand vous ratez un login, la valeur que vous allez entrer dans le champ “nom d’utilisateur” va être renvoyé à l’utilisateur sans encodage de la réponse :

Des codes malveillants exploitant ces vulnérabilités circulent déjà sur internet.

Cette vulnérabilité du navigateur Internet Explorer peut également être exploitée au moyen de documents Office spécialement conçus.

Conduite à tenir

Dans l’attente d’un correctif de sécurité, les mesures suivantes limiteront la vulnérabilité du système :
- utiliser un compte aux droits limités (XP ou Vista) pour atténuer l’impact de l’attaque ;
- désactiver le support du JavaScript et ne l’activer qu’au cas par cas sur des sites de confiance ;
- ne pas visiter de sites Internet peu connus ;
- ne pas ouvrir de document (message électronique notamment) d’origine inconnue ou provenant de manière inattendue d’une source connue ;
- utiliser la version 8 d’Internet Explorer ;
- utiliser un navigateur alternatif.

Vous recevez du spam….alors il est déjà trop tard, vous êtes dans la liste des spammeurs.

Vous n’en recevez pas encore et souhaitez ne pas en recevoir, alors vous pouvez utilisez une adresse jetable…

2 types sont disponibles :

• Une adresse temporaire accessible par un lien
• Une adresse temporaire qui effectue un transfert sur votre adresse existante

Pour le premier type, il existe  Temporary Inbox qui s’installe directement comme add-on pour Firefox.

Pour une adresse de type “forwarder”  il existe  jetable.org (en français) ou encore spamhole qui redirige les emails dans votre messagerie personnelle.

Link Summary

• https://addons.mozilla.org/en-US/firefox/addon/2650
• http://www.jetable.org/fr/index
• http://www.spamhole.com/create.html

Le NAC ou Network Access Control permet d’identifier, analyser et compartimenter, suivant des règles établies, une machine se connectant sur un réseau d’entreprise.

Le terme NAC représente actuellement un concept plus qu’une définition.

On parle de NAC autant pour une simple authentification 802.1x que pour un contrôle d’intégrité de la machine associée à une authentification forte…etc…

A l’heure actuelle, pas de solution miracle : quelques standards ont été établis (comme le 802.1x), mais, malgré des annonces de rapprochement entre Cisco et Microsoft, on observe plutôt une guerre des constructeurs pour imposer leurs solutions.

Cependant, en attendant des solutions standardisées (à la fois côté réseau et côté OS), quelques constructeurs proposent des solutions intermédiaires et évolutives, permettant d’introduire dans les entreprises un NAC amélioré.

Pour les besoins de mon entreprise, je teste actuellement plusieurs solutions NAC dans un environnement de production, donc dans des conditions bien réelles.

Actuellement, 3 plateformes sont planifiées dans le test : CounterAct de Forescout, La solution proposée par Consentry, et le NAC Foundation Module proposé par Infoblox.

Le NAP de Microsoft impliquant des clients Microsoft Vista et des serveurs Windows 2008, une intégration dans l’entreprise n’est, à mon avis, pas envisagé à court ni à moyen terme.

La solution Cisco NAC Framework, implique une architecture Cisco (switches, routeur, radius…) avec un nombre relativement important de composants entrant en jeu pour parfaire le NAC. Et malgré notre architecture Cisco, nous ne testons pas cette solution, car relativement lourde à mettre en place et qui nécessite encore un peu de temps pour arriver à maturité.

Pourquoi passer à WireShark ?
Tout simplement car Ethereal ne va plus connaitre d’évolution majeure : L’auteur d’Ethereal est parti chez WinPcap et a du “abandonner” Ethereal.
L’équipe de développement d’Ethereal ne souhaitant elle pas en rester là, elle continue d’assurer l’évolution d’Ethereal sous le nouveau nom de WireShark.