HP utilise la menace du DMCA pour empêcher la publication d'une vulnérabilité

Posté par  (site web personnel) . Modéré par orebokech.
Étiquettes :
0
2
août
2002
Justice
Pour la première fois, une entreprise américaine - et pas des moindres - HP, utilise la menace du DMCA pour empêcher la publication d'une vulnérabilité.

Lundi, un vice-président d'HP a envoyé à Snosoft, un collectif de recherche en sécurité semi-privé, une lettre les mettant en garde qu'ils pouvaient être passibles de 500 000$ d'amende et de 5 ans d'emprisonnement s'ils révélaient le bogue permettant de s'introduire dans leur OS Unix Tru64.

Cette nouvelle a été commentée sur Slashdot, notamment par un employé de HP, Bruce Perens, développeur Linux, qui avait été prié la semaine dernière de ne pas participer à une manifestation contre le DMCA, où il projetait de donner une démonstration de lecteur de DVD sous Linux.

Update: HP a finalement retiré sa menace, et promet de ne pas utiliser le DMCA pour étouffer la recherche de vulnérabilités dans ses produits. Voir la news sur CNet (dernier lien).

Cheval de troie dans OpenSSH

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
1
août
2002
Pirate
D'après un mail sur la liste de freebsd-security, le tarball de la dernier version d'openssh portable (openssh-3.4-p1) contient un shell code dans openbsd-compat/bf-test.c, qui sera lancé via Makefile.in si on fait un make.

Vous pouvez comparez avec un miroir :

ftp.openbsd.org (infecté) :
ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz

ftp.lip6.org (non infecté):
ftp://ftp.lip6.fr/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz

Login Hors Série "Spécial Sécurité"

Posté par  . Modéré par Fabien Penso.
Étiquettes :
0
1
août
2002
Sécurité
Il y avait un moment que je n'avais pas acheté de numéro de Login, mais je vois que ça n'a pas changé.


Je sais bien qu'on ne transforme pas un utilisateur de base en spécialiste sécurité en quelques pages de magazine, mais là c'est vraiment trop superficiel.


Deux exemples parmi d'autres :

- page 12 « Le principe de la redirection d'IP consiste à recevoir une requête sur un port x sur une carte réseau a sur le port y d'une carte reseau b. » J'ai respecté l'absence de ponctuation, qui ne facilite pas la compréhension :-)

- sur le CD, allez donc voir le fichier mlinux/sent/cur/1024404485.2842_7.gilbou:2,S ... Dans un numéro sur la sécurité on trouve un message personnel (qui parle d'envoi de 20$ dans une enveloppe !) ... Si le modérateur veut classer ça en "Humour", je suis d'accord :-)


Avis personnel : pour quelqu'un qui veut avoir une idée de ce que peut être la sécurisation d'une machine, je veux bien. Mais pour une sécurisation sérieuse, non.

NdM: ceci engage son auteur