CERTA-2000-ALE-003
Vulnerability from certfr_alerte - Published: - Updated:None
Description
Une jeune pousse voulant mesurer les performances de l'Internet réalise actuellement des « tests » sur certains sites. L'exécution des « mesures » par cette société perturbe le fonctionnement du site testé en augmentant sa charge et, à ce titre, peut être assimilé à un déni de service.
Un site WEB de l'administration a été victime de ces « mesures ». Lorsque le responsable de ce site a exigé que cesse cette activité, la société lui a demandé ses journaux de garde barrière pour justifier le trouble subi.
Les journaux des gardes barrières contiennent de nombreuses informations sur ce que votre site accepte ou rejette. De ce fait, vous publiez une partie de vos vulnérabilités en divulguant vos journaux.
L'exploitation qui sera faite des informations recueillies concernant votre site n'est pas connue.
L'éthique d'Internet suppose que l'on demande l'autorisation avant de faire une consommation anormale des ressources offertes par un site. Par ailleurs, Le nouveau code pénal reprenant les termes de la loi Godfrain punit le fait d'entraver le fonctionnement d'un système automatisé de données ou même de tenter de le faire.
De telles « mesures » ne peuvent être entreprises sur votre site sans l'accord écrit du responsable de la sécurité du site.
Solution
Les « mesures » que le CERTA a pu observer laissent des traces très caractéristiques dans les gardes barrières. Vous trouverez ci-joint un extrait de journal d'un garde barrière dans lequel les adresses IP ont été cachées :
000001 25May2000 6:17:03 y.y.y.y drop nameserver x.x.x.x z.z.z.z udp 35 6663 x.x.x.x w.w.w.w 6663 nameserver len 28
000002 25May2000 6:17:03 y.y.y.y drop nameserver x.x.x.x z.z.z.z udp 35 6664 x.x.x.x w.w.w.w 6664 nameserver len 28
000003 25May2000 6:17:03 y.y.y.y drop nameserver x.x.x.x z.z.z.z udp 35 6665 x.x.x.x w.w.w.w 6665 nameserver len 28
000004 25May2000 6:17:03 y.y.y.y drop nameserver x.x.x.x z.z.z.z udp 35 6666 x.x.x.x w.w.w.w 6666 nameserver len 28
000005 25May2000 6:17:03 y.y.y.y drop nameserver x.x.x.x z.z.z.z udp 35 6667 x.x.x.x w.w.w.w 6667 nameserver len 28
000006 25May2000 6:17:03 y.y.y.y drop nameserver x.x.x.x z.z.z.z udp 35 6668 x.x.x.x w.w.w.w 6668 nameserver len 28
000007 25May2000 6:17:03 y.y.y.y drop nameserver x.x.x.x z.z.z.z udp 35 6669 x.x.x.x w.w.w.w 6669 nameserver len 28
000008 25May2000 6:17:05 y.y.y.y drop x.x.x.x z.z.z.z icmp 35 x.x.x.x w.w.w.w icmp-type 8 icmp-code 0
000009 25May2000 6:17:10 y.y.y.y reject http x.x.x.x z.z.z.z tcp 0 6649 message SYN -> SYN-ACK -> RST
000010 25May2000 6:17:10 y.y.y.y reject http x.x.x.x z.z.z.z tcp 0 6648 message SYN -> SYN-ACK -> RST
000011 25May2000 6:17:10 y.y.y.y reject http x.x.x.x z.z.z.z tcp 0 6647 message SYN -> SYN-ACK -> RST
000012 25May2000 6:17:10 y.y.y.y reject http x.x.x.x z.z.z.z tcp 0 6646 message SYN -> SYN-ACK -> RST
000013 25May2000 6:17:10 y.y.y.y reject http x.x.x.x z.z.z.z tcp 0 6645 message SYN -> SYN-ACK -> RST
000014 25May2000 6:17:10 y.y.y.y reject http x.x.x.x z.z.z.z tcp 0 6644 message SYN -> SYN-ACK -> RST
000015 25May2000 20:23:51 y.y.y.y drop nameserver x.x.x.x z.z.z.z udp 35 8193 x.x.x.x w.w.w.w 8193 nameserver len 28
000016 25May2000 20:23:51 y.y.y.y drop nameserver x.x.x.x z.z.z.z udp 35 8194 x.x.x.x w.w.w.w 8194 nameserver len 28
000017 25May2000 20:23:51 y.y.y.y drop nameserver x.x.x.x z.z.z.z udp 35 8195 x.x.x.x w.w.w.w 8195 nameserver len 28
000018 25May2000 20:23:51 y.y.y.y drop nameserver x.x.x.x z.z.z.z udp 35 8196 x.x.x.x w.w.w.w 8196 nameserver len 28
000019 25May2000 20:23:51 y.y.y.y drop nameserver x.x.x.x z.z.z.z udp 35 8197 x.x.x.x w.w.w.w 8197 nameserver len 28
000020 25May2000 20:23:51 y.y.y.y drop nameserver x.x.x.x z.z.z.z udp 35 8198 x.x.x.x w.w.w.w 8198 nameserver len 28
000021 25May2000 20:23:51 y.y.y.y drop nameserver x.x.x.x z.z.z.z udp 35 8199 x.x.x.x w.w.w.w 8199 nameserver len 28
000022 25May2000 20:23:53 y.y.y.y drop x.x.x.x z.z.z.z icmp 35 x.x.x.x w.w.w.w icmp-type 8 icmp-code 0
000023 25May2000 20:23:58 y.y.y.y reject http x.x.x.x z.z.z.z tcp 0 8179 message SYN -> SYN-ACK -> RST
000024 25May2000 20:23:58 y.y.y.y reject http x.x.x.x z.z.z.z tcp 0 8178 message SYN -> SYN-ACK -> RST
000025 25May2000 20:23:58 y.y.y.y reject http x.x.x.x z.z.z.z tcp 0 8177 message SYN -> SYN-ACK -> RST
000026 25May2000 20:23:58 y.y.y.y reject http x.x.x.x z.z.z.z tcp 0 8176 message SYN -> SYN-ACK -> RST
000027 25May2000 20:23:58 y.y.y.y reject http x.x.x.x z.z.z.z tcp 0 8175 message SYN -> SYN-ACK -> RST
000028 25May2000 20:23:58 y.y.y.y reject http x.x.x.x z.z.z.z tcp 0 8174 message SYN -> SYN-ACK -> RST
Les requêtes DNS sont effectuées sur toute machine y compris celle qui ne possède pas de serveur de DNS.
Une telle signature peut être le signe d'une « mesure » de votre site. Dans ce cas, nous vous demandons de bien vouloir en informer le CERTA.
Ne transmettez jamais les journaux de vos gardes barrières à des tiers. Les journaux ne doivent être communiqués qu'à des organismes de confiance comme votre CERT de tutelle. En France, il s'agit des CERT-RENATER, du CERT-IST et, pour l'administration, du CERTA.
Tout site connecté à l'Internet.
Impacted products
| Vendor | Product | Description |
|---|
References
| Title | Publication Time | Tags | |||
|---|---|---|---|---|---|
|
|||||
{
"$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
"affected_systems": [],
"affected_systems_content": "\u003cP\u003eTout site connect\u00e9 \u00e0 l\u0027Internet.\u003c/P\u003e",
"closed_at": "2000-05-26",
"content": "## Description\n\nUne jeune pousse voulant mesurer les performances de l\u0027Internet r\u00e9alise\nactuellement des \u00ab tests \u00bb sur certains sites. L\u0027ex\u00e9cution des \u00ab mesures\n\u00bb par cette soci\u00e9t\u00e9 perturbe le fonctionnement du site test\u00e9 en\naugmentant sa charge et, \u00e0 ce titre, peut \u00eatre assimil\u00e9 \u00e0 un d\u00e9ni de\nservice.\n\nUn site WEB de l\u0027administration a \u00e9t\u00e9 victime de ces \u00ab mesures \u00bb.\nLorsque le responsable de ce site a exig\u00e9 que cesse cette activit\u00e9, la\nsoci\u00e9t\u00e9 lui a demand\u00e9 ses journaux de garde barri\u00e8re pour justifier le\ntrouble subi.\n\nLes journaux des gardes barri\u00e8res contiennent de nombreuses informations\nsur ce que votre site accepte ou rejette. De ce fait, vous publiez une\npartie de vos vuln\u00e9rabilit\u00e9s en divulguant vos journaux.\n\nL\u0027exploitation qui sera faite des informations recueillies concernant\nvotre site n\u0027est pas connue.\n\nL\u0027\u00e9thique d\u0027Internet suppose que l\u0027on demande l\u0027autorisation avant de\nfaire une consommation anormale des ressources offertes par un site. Par\nailleurs, Le nouveau code p\u00e9nal reprenant les termes de la loi Godfrain\npunit le fait d\u0027entraver le fonctionnement d\u0027un syst\u00e8me automatis\u00e9 de\ndonn\u00e9es ou m\u00eame de tenter de le faire.\n\nDe telles \u00ab mesures \u00bb ne peuvent \u00eatre entreprises sur votre site sans\nl\u0027accord \u00e9crit du responsable de la s\u00e9curit\u00e9 du site.\n\n## Solution\n\nLes \u00ab mesures \u00bb que le CERTA a pu observer laissent des traces tr\u00e8s\ncaract\u00e9ristiques dans les gardes barri\u00e8res. Vous trouverez ci-joint un\nextrait de journal d\u0027un garde barri\u00e8re dans lequel les adresses IP ont\n\u00e9t\u00e9 cach\u00e9es :\n\n 000001 25May2000 6:17:03 y.y.y.y drop nameserver x.x.x.x z.z.z.z udp 35 6663 x.x.x.x w.w.w.w 6663 nameserver len 28 \n 000002 25May2000 6:17:03 y.y.y.y drop nameserver x.x.x.x z.z.z.z udp 35 6664 x.x.x.x w.w.w.w 6664 nameserver len 28 \n 000003 25May2000 6:17:03 y.y.y.y drop nameserver x.x.x.x z.z.z.z udp 35 6665 x.x.x.x w.w.w.w 6665 nameserver len 28 \n 000004 25May2000 6:17:03 y.y.y.y drop nameserver x.x.x.x z.z.z.z udp 35 6666 x.x.x.x w.w.w.w 6666 nameserver len 28 \n 000005 25May2000 6:17:03 y.y.y.y drop nameserver x.x.x.x z.z.z.z udp 35 6667 x.x.x.x w.w.w.w 6667 nameserver len 28 \n 000006 25May2000 6:17:03 y.y.y.y drop nameserver x.x.x.x z.z.z.z udp 35 6668 x.x.x.x w.w.w.w 6668 nameserver len 28 \n 000007 25May2000 6:17:03 y.y.y.y drop nameserver x.x.x.x z.z.z.z udp 35 6669 x.x.x.x w.w.w.w 6669 nameserver len 28 \n 000008 25May2000 6:17:05 y.y.y.y drop x.x.x.x z.z.z.z icmp 35 x.x.x.x w.w.w.w icmp-type 8 icmp-code 0 \n 000009 25May2000 6:17:10 y.y.y.y reject http x.x.x.x z.z.z.z tcp 0 6649 message SYN -\u003e SYN-ACK -\u003e RST \n 000010 25May2000 6:17:10 y.y.y.y reject http x.x.x.x z.z.z.z tcp 0 6648 message SYN -\u003e SYN-ACK -\u003e RST \n 000011 25May2000 6:17:10 y.y.y.y reject http x.x.x.x z.z.z.z tcp 0 6647 message SYN -\u003e SYN-ACK -\u003e RST \n 000012 25May2000 6:17:10 y.y.y.y reject http x.x.x.x z.z.z.z tcp 0 6646 message SYN -\u003e SYN-ACK -\u003e RST \n 000013 25May2000 6:17:10 y.y.y.y reject http x.x.x.x z.z.z.z tcp 0 6645 message SYN -\u003e SYN-ACK -\u003e RST \n 000014 25May2000 6:17:10 y.y.y.y reject http x.x.x.x z.z.z.z tcp 0 6644 message SYN -\u003e SYN-ACK -\u003e RST \n 000015 25May2000 20:23:51 y.y.y.y drop nameserver x.x.x.x z.z.z.z udp 35 8193 x.x.x.x w.w.w.w 8193 nameserver len 28 \n 000016 25May2000 20:23:51 y.y.y.y drop nameserver x.x.x.x z.z.z.z udp 35 8194 x.x.x.x w.w.w.w 8194 nameserver len 28 \n 000017 25May2000 20:23:51 y.y.y.y drop nameserver x.x.x.x z.z.z.z udp 35 8195 x.x.x.x w.w.w.w 8195 nameserver len 28 \n 000018 25May2000 20:23:51 y.y.y.y drop nameserver x.x.x.x z.z.z.z udp 35 8196 x.x.x.x w.w.w.w 8196 nameserver len 28 \n 000019 25May2000 20:23:51 y.y.y.y drop nameserver x.x.x.x z.z.z.z udp 35 8197 x.x.x.x w.w.w.w 8197 nameserver len 28 \n 000020 25May2000 20:23:51 y.y.y.y drop nameserver x.x.x.x z.z.z.z udp 35 8198 x.x.x.x w.w.w.w 8198 nameserver len 28 \n 000021 25May2000 20:23:51 y.y.y.y drop nameserver x.x.x.x z.z.z.z udp 35 8199 x.x.x.x w.w.w.w 8199 nameserver len 28 \n 000022 25May2000 20:23:53 y.y.y.y drop x.x.x.x z.z.z.z icmp 35 x.x.x.x w.w.w.w icmp-type 8 icmp-code 0 \n 000023 25May2000 20:23:58 y.y.y.y reject http x.x.x.x z.z.z.z tcp 0 8179 message SYN -\u003e SYN-ACK -\u003e RST \n 000024 25May2000 20:23:58 y.y.y.y reject http x.x.x.x z.z.z.z tcp 0 8178 message SYN -\u003e SYN-ACK -\u003e RST \n 000025 25May2000 20:23:58 y.y.y.y reject http x.x.x.x z.z.z.z tcp 0 8177 message SYN -\u003e SYN-ACK -\u003e RST \n 000026 25May2000 20:23:58 y.y.y.y reject http x.x.x.x z.z.z.z tcp 0 8176 message SYN -\u003e SYN-ACK -\u003e RST \n 000027 25May2000 20:23:58 y.y.y.y reject http x.x.x.x z.z.z.z tcp 0 8175 message SYN -\u003e SYN-ACK -\u003e RST \n 000028 25May2000 20:23:58 y.y.y.y reject http x.x.x.x z.z.z.z tcp 0 8174 message SYN -\u003e SYN-ACK -\u003e RST\n\nLes requ\u00eates DNS sont effectu\u00e9es sur toute machine y compris celle qui\nne poss\u00e8de pas de serveur de DNS.\n\nUne telle signature peut \u00eatre le signe d\u0027une \u00ab mesure \u00bb de votre site.\nDans ce cas, nous vous demandons de bien vouloir en informer le CERTA.\n\nNe transmettez jamais les journaux de vos gardes barri\u00e8res \u00e0 des tiers.\nLes journaux ne doivent \u00eatre communiqu\u00e9s qu\u0027\u00e0 des organismes de\nconfiance comme votre CERT de tutelle. En France, il s\u0027agit des\nCERT-RENATER, du CERT-IST et, pour l\u0027administration, du CERTA.\n",
"cves": [],
"links": [],
"reference": "CERTA-2000-ALE-003",
"revisions": [
{
"description": "version initiale.",
"revision_date": "2000-05-26T00:00:00.000000"
}
],
"risks": [
{
"description": "Divulgation d\u0027information concernant votre site"
},
{
"description": "D\u00e9ni de service qui s\u0027apparente au type synflood"
}
],
"summary": null,
"title": "\u00ab Mesures de performances \u00bb de l\u0027Internet",
"vendor_advisories": [
{
"published_at": null,
"title": "R\u00e9seau de confiance du CERTA",
"url": null
}
]
}
Loading…
Loading…
Sightings
| Author | Source | Type | Date |
|---|
Nomenclature
- Seen: The vulnerability was mentioned, discussed, or observed by the user.
- Confirmed: The vulnerability has been validated from an analyst's perspective.
- Published Proof of Concept: A public proof of concept is available for this vulnerability.
- Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
- Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
- Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
- Not confirmed: The user expressed doubt about the validity of the vulnerability.
- Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.
Loading…
Loading…