Vulnérabilité importante dans PHPNuke

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
25
sept.
2001
Sécurité
BugTraq vient d'annoncer une superbe vulnérabilité dans PHPNuke (toutes versions sauf la 5.0 RC1). À l'aide d'une simple URL, un quelconque 5cr1p7 k1dd13z peut récupérer le config.php (et donc les mots de passe de la DB), ou encore uploader des fichiers, grâce à un script non protégé (précisons que je n'ai pas testé, pas le temps d'installer un Nuke). Pour le coup, le programmeur mérite bien un Goret Award...

[Note : puisque l'advisory a été envoyée sur BugTraq, je la propose ici. Toutefois, il serait peut-être intelligent de la garder sous le coude un moment pour éviter des 3733t h4x0r1ngs en cascade...]

McKusick à Paris !

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
25
sept.
2001
FreeBSD
L'association Fnet invite le Dr. Marshall Kirk McKusick à Paris, au mois de Novembre 2001, pour animer un séminaire de deux jours ayant pour titre :

« FreeBSD Kernel Internals: Data Structures, Algorithms, and Networking »

Le Dr Marshall Kirk McKusick est auteur, consultant et professeur à l'Université de Berkeley (USA - Californie). C'est un spécialiste mondial d'Unix, bien connu pour ses travaux sur le système de fichiers "fast file system" de la version 4.2 de l'Unix Berkeley, qu'il implémenta au sein du CSRG (Computer Systems Research Group), puis pour sa participation au développement des versions suivantes : 4.3BSD et 4.4BSD. Son nom est donc une référence incontournable dans le monde des Unix, et en particulier pour les utilisateurs de la famille BSD : FreeBSD, NetBSD, OpenBSD et BSDi.

Le OpenBSD Packet Filter HOWTO est sorti

Posté par  (site web personnel) . Modéré par Val.
Étiquettes : aucune
0
25
sept.
2001
OpenBSD
Suite aux problèmes de licences du filtre de paquets (système de firewalling) IPFilter sur OpenBSD, un nouveau filtre PF le remplace.

La première version du HOWTO de ce nouveau filtre de paquets, vient de sortir. En gros, PF reprend la syntaxe d'IPFilter et permet donc une migration facile.

Worms Total Armagedon

Posté par  . Modéré par Val.
Étiquettes : aucune
0
25
sept.
2001
Sécurité
Ces dernieres semaines un nombre assez préoccupant de Worms sont apparus sur la plate-forme de M$. Le dernier est un digne représentant: nommé NIMDA (admin à l'envers) il est si efficace pour sa transmission que certains buisness conseillent d'abandonner IIS ! On peut noter aussi une prise de conscience des pouvoir publics (Le FBI est sur le coup) et une montée en fleche des actions de certaines entreprises de securite informatique.

Gartner Group recommande de lacher IIS !

Posté par  . Modéré par Val.
Étiquettes : aucune
0
25
sept.
2001
Internet
Suite aux récents évènements de sécurité concernant Microsoft IIS, le groupe Gartner recommande aux entreprises de ne plus l'utiliser et de chercher une alternative. Ils suggèrent IPlanet et Apache, qui ont une "much better security than IIS".

Ils expliquent que même en suivant de près l'actualité de la sécurité, il est très difficile de patcher à temps pour se protéger des nouveaux vers et autres et que du coup, le Total Cost of Ownership (TCO) de ces serveurs est en sérieuse inflation.

Pour eux, la situation durera jusqu'à ce que Microsoft sorte une version complètement réecrite de IIS, et estiment que ca n'arrivera probablement pas avant fin 2002 (80% de chances que cela n'arrive pas avant).
Il ne reste plus qu'a attendre les prochaines statistiques de Netcraft et Security Space :-)