IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent sénior
    Avatar de Idelways
    Homme Profil pro
    Développeur Ruby on Rails / iOS
    Inscrit en
    juin 2010
    Messages
    1 374
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur Ruby on Rails / iOS

    Informations forums :
    Inscription : juin 2010
    Messages : 1 374
    Points : 68 508
    Points
    68 508
    Par défaut Une vague d'attaques menace la sécurité des applications ASP.NET, Microsoft sort un correctif
    ASP.NET : Microsoft sort un patch en urgence pour combler la faille de chiffrement
    Qui concerne les versions 3.5 et supérieures du framework Web

    Mise à jour du 29/09/2010 par Idelways



    Microsoft vient de sortir en urgence un correctif pour son Framework web ASP.NET afin de colmater la faille de type Padding Oracles Everywhere (POE) dévoilée par deux chercheurs récemment.

    Cette faille permettrait de cracker le système de chiffrement du framework, voler des informations critiques voir dans le pire des cas de s'attribuer des droits d'administrateur (pour plus de détails, lire ci-avant).

    Microsoft avait communiqué sur cette faille il y a une dizaine de jours afin de préparer les développeurs et les administrateurs à tester puis à appliquer le patch dès sa sortie.

    L'entreprise avait classé cette faille au niveau "Important" (deuxième sur une échelle de quatre), du fait que la vulnérabilité — selon Microsoft — ne permet pas d'exécuter du code.

    Le patch s'adresse aux versions 3.5 SP1 et supérieures du framework sur toutes les versions de Windows (desktop ou serveurs). Les installations minimalistes de Windows Server 2008 connues sous le nom de « Server Core » sont aussi concernées par cette faille et donc par ce correctif.

    Pour l'instant, le patch n'est disponible que sur Microsoft Download Center, il sera diffusé via Windows Update ultérieurement.

    A appliquer le plus rapidement possible donc.

    Téléchargez la mise à jour du framework qui inclut le correctif.

    Source : le bulletin de sécurité de Microsoft

    Et vous ?

    Avez-vous été victime de ce genre d'attaques ?
    Allez-vous mettre à jour vos serveurs de production ?




    Une vague d'attaques menace la sécurité des applications ASP.NET
    Et d'autres frameworks, une faille permettrait de déchiffrer les cookies


    Les applications-web écrites en ASP.NET pourraient subir une nouvelle vague de crypto-attaques mettant en péril la sécurité des données critiques.

    Cette faille, de type « Padding Oracles Everywhere » selon le chercheur en sécurité Juliano Rizzo permettrait aux attaquants de déchiffrer les cookies et d'extirper les statistiques, les mots de passes et les données des utilisateurs (comme le numéro de sécurité social), en fait tout ce qui est chiffré avec l'API du framework.

    En mettant la main sur ces données sensibles, un hacker mal intentionné pourrait utiliser l'exploit pour simuler un ticket d'identification et accéder à l'application avec des droits d'administrateur.

    Plus techniquement, Juliano explique que l'attaque exploite l'implémentation boguée de l'algorithme de chiffrement symétrique : Advanced Encryption Standard (AES) largement utilisé sur les applications ASP.NET. Le maillon faible étant la gestion des erreurs par ASP.Net lorsque les données chiffrées dans les cookies sont modifiés.

    Quand le texte encodé change, l'application vulnérable génère un message d'erreur qui expose des informations relatives au fonctionnement du processus de décryptage.

    Plus d'erreurs signifient donc plus d'informations. Analyser plusieurs messages d'erreurs peut fournir à l'attaquant assez d'informations pour deviner la clé de chiffrement.

    ASP.Net n'est pas la seule plateforme affectée par ces « padding oracle attacks », une faille par ailleurs connue depuis 2002.

    Rizzo et son collègue Thai Duong ont pu démontrer la même faiblesse dans JavaServer Faces, Ruby on Rails et OWASP ESAPI.

    Mais nos chercheurs ont – comme ils l'avouent eux-mêmes - choisi de faire du bruit autour de la plateforme de Microsoft afin d'attirer le maximum d'attention sur ce problème, Redmond étant généralement plus sujet aux critiques que les autres frameworks open-source, surtout en matière de sécurité.

    Toujours dans le but de sensibiliser, Rizzo et Duong ont conçu et publié un utilitaire gratuit appelé POET (pour Padding Oracle Exploit Tool) capable de détecter cette faille... et de l'exploiter.

    Dans un Livre blanc publié en mai dernier, les deux chercheurs espéraient sensibiliser l'ensemble des développeurs au danger de ces exploits et les encourager à les prendre aussi au sérieux que les injections SQL et les attaques type XSS.

    En attendant que les développeurs des frameworks réagissent et sortent des patches, les chercheurs ne proposent aucune solution.

    Mais ils déconseillent l'utilisation des algorithmes de chiffrement faits-maison, une démarche qu'ils jugent très risquée.


    Source : Présentation à la conférence ekoparty Security, Livre blanc sur POA (PDF)

    Et vous ?

    Connaissiez-vous ce genre d'attaques ? Que faites-vous pour les prévenir sur vos applications web ?

    En collaboration avec Gordon Fowler

  2. #2
    Rédacteur
    Avatar de lutecefalco
    Profil pro
    zadzdzddzdzd
    Inscrit en
    juillet 2005
    Messages
    5 052
    Détails du profil
    Informations personnelles :
    Âge : 42
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : zadzdzddzdzd

    Informations forums :
    Inscription : juillet 2005
    Messages : 5 052
    Points : 8 735
    Points
    8 735
    Par défaut
    Quand le texte encodé change, l'application vulnérable génère un message d'erreur qui expose des informations relatives au fonctionnement du processus de décryptage.
    A condition de ne pas utiliser de pages d'erreur custom, non?
    Car c'est un peu la 1ere chose à faire quand on passe en prod

  3. #3
    ILP
    ILP est déconnecté
    Membre confirmé
    Avatar de ILP
    Homme Profil pro
    Analyste programmeur
    Inscrit en
    mai 2002
    Messages
    257
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Finistère (Bretagne)

    Informations professionnelles :
    Activité : Analyste programmeur
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mai 2002
    Messages : 257
    Points : 574
    Points
    574
    Par défaut
    Citation Envoyé par Idelways Voir le message
    [...] et d'extirper les statistiques, les mots de passes et les données des utilisateurs (comme le numéro de sécurité social), en fait tout ce qui est chiffré avec l'API du framework.
    Je n'ai jamais saisie mon numéro de sécurité social sur un ordinateur. Et encore moins sur un site Web .
    Est-ce que cette news est en rapport avec celle affirmant que l'État ne sécurise pas assès ses serveurs Web ?

  4. #4
    Expert éminent sénior

    Inscrit en
    juillet 2009
    Messages
    3 407
    Détails du profil
    Informations forums :
    Inscription : juillet 2009
    Messages : 3 407
    Points : 148 792
    Points
    148 792
    Par défaut Droit de réponse
    Citation Envoyé par Bart-Rennes Voir le message
    Même si l'info indique sur 1 ligne que ça affecte d'autre Framework (Ruby, javaserver,...) je trouve ça très à la mode journalistique du moment: faire du sensationnel à tout prix
    Comme il est très à la mode de se faire mousser en crachant sur des news

    Une faille touche des frameworks - dont ASP.NET - et alors ? On en parle pas ? On dit pas que la faille touche les autres frameworks ?

    Le gars fait un PoC et on la ferme ?

    C'est la définition du sérieux ?

    Non mais vraiment...

  5. #5
    Nouveau membre du Club
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    juin 2004
    Messages
    53
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juin 2004
    Messages : 53
    Points : 39
    Points
    39
    Par défaut
    Je n'ai jamais saisie mon numéro de sécurité social sur un ordinateur. Et encore moins sur un site Web .
    Regardes donc sur ameli.fr si tu n'as pas besoin de le saisir...

  6. #6
    Membre chevronné
    Avatar de stailer
    Homme Profil pro
    Architecte technique
    Inscrit en
    mars 2003
    Messages
    1 135
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Hautes Pyrénées (Midi Pyrénées)

    Informations professionnelles :
    Activité : Architecte technique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mars 2003
    Messages : 1 135
    Points : 2 160
    Points
    2 160
    Billets dans le blog
    3
    Par défaut
    OUais mais la y aura aucun souci, c'est du PHP
    .o0o__St@iLeR__oOo.

    Lead Developer

    ASP.NET MVC - MCP/MCSD ASP.NET
    PHP Zend Framework / PhalconPHP
    Cordova/Xamarin IOS/Android
    Kendo UI - ExtJS - JQwidgets
    SQL Server / MySQL

  7. #7
    Membre habitué
    Profil pro
    Inscrit en
    août 2005
    Messages
    60
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : août 2005
    Messages : 60
    Points : 131
    Points
    131
    Par défaut
    Citation Envoyé par Gordon Fowler Voir le message
    Comme il est très à la mode de se faire mousser en crachant sur des news

    Une faille touche des frameworks - dont ASP.NET - et alors ? On en parle pas ? On dit pas que la faille touche les autres frameworks ?

    Le gars fait un PoC et on la ferme ?

    C'est la définition du sérieux ?

    Non mais vraiment...
    Et pourquoi un titre qui cible l'ASP.NET ? en aucun cas je dis qu'il ne faut pas balancer l'info, il y a juste une façon de rapporter l'information et une façon de la grossir...
    Pourquoi pas simplement: Une vague d'attaques menace la sécurité des applications web
    Jean-claude

  8. #8
    Membre chevronné
    Profil pro
    Inscrit en
    janvier 2007
    Messages
    1 448
    Détails du profil
    Informations personnelles :
    Âge : 37
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : janvier 2007
    Messages : 1 448
    Points : 2 199
    Points
    2 199
    Par défaut
    Citation Envoyé par stailer Voir le message
    OUais mais la y aura aucun souci, c'est du PHP
    Qui sait
    http://www.owasp.org/index.php/Categ...ty_API#tab=PHP

    Et pourquoi un titre qui cible l'ASP.NET ? en aucun cas je dis qu'il ne faut pas balancer l'info, il y a juste une façon de rapporter l'information et une façon de la grossir...
    Pourquoi pas simplement: Une vague d'attaques menace la sécurité des applications web
    Toutes les applications webs ne sont pas vulnérables à cette faille, c'est pas la peine de les mettre toutes dans le même panier

    Maintenant je pense que la réponse à ta question est dans la news.

    Mais nos chercheurs ont – comme ils l'avouent eux-mêmes - choisi de faire du bruit autour de la plateforme de Microsoft afin d'attirer le maximum d'attention sur ce problème, Redmond étant généralement plus sujet aux critiques que les autres frameworks open-source, surtout en matière de sécurité.

    ...

    Dans un Livre blanc publié en mai dernier, les deux chercheurs espéraient sensibiliser l'ensemble des développeurs au danger de ces exploits et les encourager à les prendre aussi au sérieux que les injections SQL et les attaques type XSS.

    après y'en à qui font la news, et d'autres qui la rapportent.
    a plus

  9. #9
    ILP
    ILP est déconnecté
    Membre confirmé
    Avatar de ILP
    Homme Profil pro
    Analyste programmeur
    Inscrit en
    mai 2002
    Messages
    257
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France, Finistère (Bretagne)

    Informations professionnelles :
    Activité : Analyste programmeur
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mai 2002
    Messages : 257
    Points : 574
    Points
    574
    Par défaut
    Citation Envoyé par stailer Voir le message
    OUais mais la y aura aucun souci, c'est du PHP
    La partie https://assure.ameli.fr aussi ?
    Le serveur ne donne aucune information à ce sujet.

  10. #10
    Membre chevronné
    Avatar de stailer
    Homme Profil pro
    Architecte technique
    Inscrit en
    mars 2003
    Messages
    1 135
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 43
    Localisation : France, Hautes Pyrénées (Midi Pyrénées)

    Informations professionnelles :
    Activité : Architecte technique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : mars 2003
    Messages : 1 135
    Points : 2 160
    Points
    2 160
    Billets dans le blog
    3
    Par défaut
    Cool les gars, j'ai dit cette phrase pour "plaisanter", humour humour

    J'ai un temps était passionné de Java et aujourd'hui passionné de Dotnet et PHP.
    J'essaie de rester le plus objectif possible par rapport à ces 2 plateformes très différentes mais que j'apprécie tout autant.

    Des 2 côtés il y a, et il y aura encore des soucis de sécurité. Comme dirait un ami : "dès qu'un tuyau est ouvert, tout est possible". Et je suis bien d'accord : dès qu'une appli ou plus largement un réseau est ouvert au web il faut être extrêmement vigilant.

    Bref, il est inutile de se focaliser sur la plateforme de microsoft, je pense que du côté d'Apache et Linux aussi il y a de quoi dire et de nombreux sujets ont été écrits également sur des problèmes de sécurité (et bien sur PHP y compris pour faire la comparaison avec ASP.NET).
    .o0o__St@iLeR__oOo.

    Lead Developer

    ASP.NET MVC - MCP/MCSD ASP.NET
    PHP Zend Framework / PhalconPHP
    Cordova/Xamarin IOS/Android
    Kendo UI - ExtJS - JQwidgets
    SQL Server / MySQL

  11. #11
    Membre actif
    Profil pro
    azeazeae
    Inscrit en
    septembre 2002
    Messages
    114
    Détails du profil
    Informations personnelles :
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : azeazeae

    Informations forums :
    Inscription : septembre 2002
    Messages : 114
    Points : 296
    Points
    296
    Par défaut
    Il me semble qu il existe un mecanisme tout simple en dot net pour prevenir ce genre de probleme non?
    Un petit :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    <customErrors mode="On"/>
    dans le web config et on aura un joli message generique pour chaque erreur du genre :

    Description: An application error occurred on the server. The current custom error settings for this application prevent the details of the application error from being viewed remotely (for security reasons). It could, however, be viewed by browsers running on the local server machine.

  12. #12
    Membre éprouvé
    Profil pro
    Inscrit en
    juillet 2010
    Messages
    657
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : juillet 2010
    Messages : 657
    Points : 1 237
    Points
    1 237
    Par défaut
    La partie https://assure.ameli.fr aussi ?
    Le serveur ne donne aucune information à ce sujet.
    ameli m'a l'air d'être du jsp...

    sinon , tous les languages et framework ont leur soucis c'est clair , php , avec toutes ces extensions a surement quelques failles.

  13. #13
    Expert confirmé
    Avatar de Nicolas Esprit
    Homme Profil pro
    Consultant en technologies
    Inscrit en
    février 2010
    Messages
    1 467
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France

    Informations professionnelles :
    Activité : Consultant en technologies
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : février 2010
    Messages : 1 467
    Points : 4 182
    Points
    4 182
    Par défaut
    Concernant les applications ASP.NET, pensez à lire ceci afin de corriger la faille.

  14. #14
    Expert éminent sénior
    Avatar de Idelways
    Homme Profil pro
    Développeur Ruby on Rails / iOS
    Inscrit en
    juin 2010
    Messages
    1 374
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur Ruby on Rails / iOS

    Informations forums :
    Inscription : juin 2010
    Messages : 1 374
    Points : 68 508
    Points
    68 508
    Par défaut
    ASP.NET : Microsoft sort un patch en urgence pour combler la faille de chiffrement
    Qui concerne les versions 3.5 et supérieures du framework Web

    Mise à jour du 29/09/2010 par Idelways



    Microsoft vient de sortir en urgence un correctif pour son Framework web ASP.NET afin de colmater la faille de type Padding Oracles Everywhere (POE) dévoilée par deux chercheurs récemment.

    Cette faille permettrait de cracker le système de chiffrement du framework, voler des informations critiques voir dans le pire des cas de s'attribuer des droits d'administrateur (pour plus de détails, lire ci-avant).

    Microsoft avait communiqué sur cette faille il y a une dizaine de jours afin de préparer les développeurs et les administrateurs à tester puis à appliquer le patch dès sa sortie.

    L'entreprise avait classé cette faille au niveau "Important" (deuxième sur une échelle de quatre), du fait que la vulnérabilité — selon Microsoft — ne permet pas d'exécuter du code.

    Le patch s'adresse aux versions 3.5 SP1 et supérieures du framework sur toutes les versions de Windows (desktop ou serveurs). Les installations minimalistes de Windows Server 2008 connues sous le nom de « Server Core » sont aussi concernées par cette faille et donc par ce correctif.

    Pour l'instant, le patch n'est disponible que sur Microsoft Download Center, il sera diffusé via Windows Update ultérieurement.

    A appliquer le plus rapidement possible donc.

    Téléchargez la mise à jour du framework qui inclut le correctif.

    Source : le bulletin de sécurité de Microsoft

    Et vous ?

    Avez-vous été victime de ce genre d'attaques ?
    Allez-vous mettre à jour vos serveurs de production ?

Discussions similaires

  1. Réponses: 2
    Dernier message: 23/05/2012, 20h56
  2. Réponses: 1
    Dernier message: 29/07/2009, 16h40
  3. Sécurité des applications et données sur windows azure
    Par Merlec dans le forum Sécurité
    Réponses: 0
    Dernier message: 28/04/2009, 18h24
  4. La sécurité des pages Asp
    Par dachir dans le forum ASP.NET
    Réponses: 4
    Dernier message: 28/03/2008, 12h15
  5. [ACCESS97] Sécurité des applications
    Par mpascolo dans le forum Sécurité
    Réponses: 5
    Dernier message: 26/10/2005, 16h02

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo