<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">   <HTML>   <HEAD>     <META name="generator" content="HTML Tidy, see www.w3.org">     <TITLE>C&eacute;d&eacute;rom Pages Pro</TITLE>     <META name="description" content=     "C&eacute;d&eacute;rom Pages Pro">     <META name="keywords" content="CERTA-2002-ALE-007">     <META name="resource-type" content="document">     <META name="distribution" content="global">     <META http-equiv="Content-Type" content=     "text/html; charset=iso-8859-1">     <META name="Generator" content="LaTeX2HTML v2K.1beta">     <META http-equiv="Content-Style-Type" content="text/css">     <LINK rel="STYLESHEET" href="../certa.css">   </HEAD>    <BODY><TABLE  summary = "Cette table ajoute un sommaire  gauche du document.">     <TR valign=top> 	<TD CLASS=cadresommaire> 	    <TABLE 	     summary = "Plan de navigation du site."> 		<TR> 		    <TD align=center><A HREF="../../index.html"><IMG SRC="../marianne.gif" ALT="R&eacute;publique Fran&ccedil;aise"></A></TD> 		</TR> 		<TR> 		    <TD CLASS=sommaire> 			<B>Sommaire</B> 		    </TD> 		</TR> 		<TR> 		    <TD align=left> 			<UL> 			    <LI><A HREF="../index2.html#avis">Les avis</A> 			    <LI><A HREF="../index2.html#alerte">Les alertes</A> 			    <LI><A HREF="../index2.html#info">Les notes d'information</A> 			</UL> 		    </TD> 		</TR> 		<TR> 		    <TD CLASS=sommaire> 			<B>Le CERTA</B> 		    </TD> 		</TR> 		<TR> 		    <TD align=left> 			<UL> 			    <LI><A HREF="../../certa/certa.htm.2.htm">Prsentation du CERTA</A> 			    <LI><A HREF="../../certa/cert.htm.2.htm">Qu'est ce qu'un CERT ?</A> 			    <LI><A HREF="../../certa/first.htm.2.htm">Qu'est ce que le FIRST ?</A> 			</UL> 		    </TD> 		</TR> 		<TR> 		    <TD CLASS=sommaire> 			<B>Contact</B> 		    </TD> 		</TR> 		<TR> 		    <TD align=left> 			<UL> 			    <LI><A HREF="../../certa/contact.htm.2.htm">Contacter le CERTA</A> 			</UL> 		    </TD> 		</TR> 		<TR> 		    <TD CLASS=sommaire> 			<B>Recherche</B> 		    </TD> 		</TR> 		<TR> 		    <TD align=left> 			<UL> 			    <LI><A HREF="../../certa/recherche.htm.2.htm">Faire une recherche sur le site</A> 			</UL> 		    </TD> 		</TR> 		<TR> 		    <TD CLASS=sommaire> 			<B>Imprimer</B> 		    </TD> 		</TR> 		<TR> 		    <TD align=left> 			<UL> 			    <LI><A HREF="index.html">Imprimer ce document</A> 			    <LI><A HREF="../CERTA-2002-ALE-007.pdf">Version PDF</A> 			</UL> 		    </TD> 		</TR> 		<TR>                     <TD CLASS=archives>                         <B>Archives</B>                     </TD>                 </TR>                 <TR>                     <TD align=left>                         <UL>                             <LI><A HREF="/site/2003index2.html">Anne 2003</A>                             <LI><A HREF="/site/2002index2.html">Anne 2002</A>                             <LI><A HREF="/site/2001index2.html">Anne 2001</A>                             <LI><A HREF="/site/2000index2.html">Anne 2000</A>                         </UL>                     </TD>                 </TR>  	    </TABLE> 	    <HR> 	</TD> 	<TD width="80%"> 	    <div class=texte>     <TABLE width="100%">       <TR>         <TD width="30%" align="CENTER">S . G . D . N<BR>          <EM>Direction centrale<BR>          de la s&eacute;curit&eacute; des<BR>          syst&egrave;mes d'information</EM><BR>         <BR>         </TD>          <TD align="CENTER" width="40%"><IMG src=         "../identifiant.gif" alt=         "R&eacute;publique Fran&ccedil;aise"></TD>          <TD>         </TD>          <TD align="LEFT" width="30%">Paris, le 4 septembre 2002<BR>         N<SUP>o</SUP> CERTA-2002-ALE-007</TD>       </TR>     </TABLE>      <P align="LEFT">Affaire suivie par :</P>      <P align="LEFT">CERTA<BR>     <BR>     </P>      <CENTER>       <B>BULLETIN D'ALERTE DU CERTA</B><BR>       <BR>     </CENTER>      <P align="LEFT"><B>Objet : C&eacute;d&eacute;rom Pages     Pro</B><BR>     <BR>     </P>      <P></P>      <H1><A name="SECTION00010000000000000000">Gestion du     document</A></H1>      <P><BR>     </P>      <DIV align="CENTER">       <A name="16"></A>         <TABLE>         <CAPTION>           <STRONG>Tableau 1:</STRONG> gestion du document         </CAPTION>          <TR>           <TD>             <DIV align="CENTER">               <TABLE cellpadding="3" border="1" align="CENTER">                 <TR valign="BASELINE">                   <TD align="LEFT">R&eacute;f&eacute;rence</TD>                    <TD align="LEFT">CERTA-2002-ALE-007</TD>                 </TR>                  <TR valign="BASELINE">                   <TD align="LEFT">Titre</TD>                    <TD align="LEFT">C&eacute;d&eacute;rom Pages                   Pro</TD>                 </TR>                  <TR valign="BASELINE">                   <TD align="LEFT">Date de la premi&egrave;re                   version</TD>                    <TD align="LEFT">4 septembre 2002</TD>                 </TR>                  <TR valign="BASELINE">                   <TD align="LEFT">Date de la derni&egrave;re                   version</TD>                    <TD align="LEFT">-</TD>                 </TR>                  <TR valign="BASELINE">                   <TD align="LEFT">Source(s)</TD>                    <TD align="LEFT">Alerte de s&eacute;curit&eacute;                   de la soci&eacute;t&eacute; Le Mamousse :                   &laquo;Logiciel &laquo; les Pages Pro &raquo; sur                   CDROM &raquo;</TD>                 </TR>                  <TR valign="BASELINE">                   <TD align="LEFT">Pi&egrave;ce(s) jointe(s)</TD>                    <TD align="LEFT">Aucune</TD>                 </TR>                  <TR valign="BASELINE">                   <TD align="LEFT">&nbsp;</TD>                    <TD align="LEFT">&nbsp;</TD>                 </TR>               </TABLE>               <A name="tab:gestion"></A>             </DIV>           </TD>         </TR>       </TABLE>     </DIV>     <BR>            <P>Une gestion de version d&eacute;taill&eacute;e se trouve     &agrave; la fin de ce document.</P>      <P></P>      <H1><A name="SECTION00020000000000000000"><SPAN class="arabic">     1</SPAN> Risque</A></H1>      <UL>       <LI>Perte de confidentialit&eacute; et       d'int&eacute;grit&eacute; de tout fichier pr&eacute;sent sur       la machine accueillant le c&eacute;d&eacute;rom ;</LI>        <LI>prise de contr&ocirc;le &agrave; distance de la machine       ;</LI>        <LI>d&eacute;ni de service.</LI>     </UL>      <P></P>      <H1><A name="SECTION00030000000000000000"><SPAN class="arabic">     2</SPAN> Syst&egrave;mes affect&eacute;s</A></H1>     C&eacute;d&eacute;rom &laquo; les Pages Pro &raquo; version     novembre 2001 | 2002 distribu&eacute; par les Pages Jaunes.       <P></P>      <H1><A name="SECTION00040000000000000000"><SPAN class="arabic">     3</SPAN> R&eacute;sum&eacute;</A></H1>     Par une URL habilement constitu&eacute;e, un individu mal     intentionn&eacute; peut acc&eacute;der &agrave; distance et     modifier n'importe quel fichier du poste de travail sur lequel     est d&eacute;marr&eacute;e l'application vuln&eacute;rable.       <P></P>      <H1><A name="SECTION00050000000000000000"><SPAN class="arabic">     4</SPAN> Description</A></H1>     &laquo; Les Pages Pro &raquo; est un logiciel distribu&eacute;     par les Pages Jaunes (filiale du groupe France Telecom).       <P>Ce logiciel permet d'acc&eacute;der &agrave; la base     d'annuaire Pages Pro sur c&eacute;d&eacute;rom via un serveur     HTTP int&eacute;gr&eacute; &agrave; l'application.</P>      <P></P>      <P><BR>     La conjonction des trois points suivants :</P>      <OL>       <LI>une vuln&eacute;rabilit&eacute; pr&eacute;sente dans le       serveur HTTP permet d'acc&eacute;der &agrave; tout fichier       d'un disque dur, m&ecirc;me si celui-ci n'appartient pas       &agrave; l'arborescence du serveur HTTP (c'est une       vuln&eacute;rabilit&eacute; de type <TT>directory       traversal</TT>) ;</LI>        <LI>l'interface de navigation HTTP du logiciel permet de       lancer certaines applications ;</LI>        <LI>par d&eacute;faut, l'acc&egrave;s au serveur HTTP n'est       pas restreint &agrave; la seule machine qui accueille le       c&eacute;d&eacute;rom (adresse 127.0.0.1).</LI>     </OL>     permet &agrave; un individu distant mal intentionn&eacute;, par     le biais d'une URL habilement constitu&eacute;e :       <UL>       <LI>d'acc&eacute;der et de modifier n'importe quel       fichier,</LI>        <LI>de lancer certains applicatifs.</LI>     </UL>      <P>Il peut en r&eacute;sulter une perte de     confidentialit&eacute;, d'int&eacute;grit&eacute; et la     possibilit&eacute; d'effectuer un d&eacute;ni de service.</P>      <P></P>      <H1><A name="SECTION00060000000000000000"><SPAN class="arabic">     5</SPAN> Contournement provisoire</A></H1>     Une commande permet de d&eacute;terminer si la version du     logiciel fournie sur le c&eacute;d&eacute;rom est     vuln&eacute;rable ou non :  <PRE> c:&gt; netstat -an Proto   Adresse locale  Adresse distant Etat TCP     0.0.0.0:8100    0.0.0.0         Listening </PRE>      <P>"0.0.0.0:8100" indique que la vuln&eacute;rabilit&eacute;     est pr&eacute;sente.</P>      <P></P>      <P><BR>     Afin d'interdire tout acc&egrave;s non local aux donn&eacute;es     de l'ordinateur, il est recommand&eacute; lors de l'utilisation     du c&eacute;d&eacute;rom les Pages Pro de :</P>      <UL>       <LI>d&eacute;brancher (physiquement) le c&acirc;ble qui relie       le poste de travail accueillant le c&eacute;d&eacute;rom au       r&eacute;seau ;</LI>        <LI>ou interdire au niveau du firewall tout acc&egrave;s       entrant sur le port 8100/tcp (ce qui emp&ecirc;che toute       exploitation de cette vuln&eacute;rabilit&eacute; depuis       l'Internet, mais ne prot&egrave;ge pas contre les attaques       depuis l'intranet).</LI>     </UL>      <P></P>      <H1><A name="SECTION00070000000000000000"><SPAN class="arabic">     6</SPAN> Solution</A></H1>     La version du c&eacute;d&eacute;rom les Pages Pro de novembre     2002 corrige cette vuln&eacute;rabilit&eacute;.       <P></P>      <H1><A name="SECTION00080000000000000000"><SPAN class="arabic">     7</SPAN> Documentation</A></H1>     Note d'information de la soci&eacute;t&eacute; les Pages Jaunes     :       <P></P>      <UL>       <LI> <PRE> <A name="tex2html2" href= "http://www.pagespro.com">http://www.pagespro.com</A> </PRE>       </LI>        <LI> <PRE> <A name="tex2html3" href= "http://www.bienvenue.pagesjaunes.fr">http://www.bienvenue.pagesjaunes.fr</A> </PRE>       </LI>     </UL>      <P></P>      <H1><A name="SECTION00090000000000000000">Gestion     d&eacute;taill&eacute;e du document</A></H1>      <DL>       <DT><STRONG>4 septembre 2002</STRONG></DT>        <DD>version initiale.</DD>     </DL>      <P><BR>     </P>     <HR>      <ADDRESS>       <I>CERTA<BR>       2003-04-11</I>     </ADDRESS>   	    </div> 	</TD>     </TR> </TABLE></BODY> </HTML>  
