A tous ceux qui utilisent la version stable de webalizer de Debian et les autres qui même sans utiliser le package debian utilisent webalizer 1.30 ou 2.0.0, regardez vos statistiques web ; elles risquent bien de s'être arrêtées au 4 octobre.

Visiblement, il y a des problèmes au niveau des timestamps qui sont calculés en utilisant une fonction jdate refaite et basé sur le 1er janvier 1990 (?).
Mozilla et DynDNS ont subi ce bug par exemple (voir urls).
Seule la dernière version 2.0.1 ne semble pas affectée par ce Pb (voir stats li.org).

Solution :
- passer à la dernière version de webalizer
- calculer epoch depuis le 1/1/1970 au lieu du 1/1/1990 :

/* initalize epoch */
epoch=jdate(1,1,1970); /* used for timestamp adj. */
ps : ce n'est pas certain que cette dernière solution corrige tous les problèmes...

Lionel Jospin a annoncé à l'Assemblée nationale un renforcement du plan Vigipirate en parlant notamment de "surveillance des e-mails".

Après enquête, le magazine Transfert croit savoir que le gouvernement va faire voter les dispositions "crypto" qui étaient incluses dans le projet LSI. Pour mémoire, il est prévu que la diffusion de logiciels de crypto devient une activité réglementée nécessitant une autorisation. Autant dire que si vous étiez développeur sur le moindre soft contenant de la crypto même à 40 bits, vous devrez vous faire enregistrer ! Et si vous mirroitiez GnuPG sur le FTP de votre fac, il faudra oublier, sinon : prison :-(

Le Monde a fait un papier sur la réaction pour l'instant timide des associations françaises qui ont essayé d'emboîter le pas aux asso américaines.

LogTrend est une architecture modulaire pour la surveillance des systèmes et réseaux. Il est composé d'un serveur de stockage, d'agents pour la collecte de données, et de modules optionnels pour la visualisation ou la gestion d'alarmes complexes...
Les agents disponibles comprennent un agent système Linux, un agent SNMP et des agents logiciels pour Apache,Proftpd,Snort,...

SANS (System Administration, Networking, and Security) Institute propose un document regroupant les 20 principales lacunes à eviter pour sécuriser vos machines sur un réseau.

le document a été mis à jour hier.

Bruce Schneier (un des pontes de la crypto) vient de publier un numéro spécial de sa newsletter Crypto-Gram (normalement mensuelle, publié le 15 du mois).

Il revient sur les évènements du 11 septembre au USA et leurs conséquences sur le monde de la sécurité informatique et de la crypto.

Entre autres, il aborde les sujets suivants : régulation de la sécurité aérienne, la biométrie dans les aéroports, la régulation de la crypto, l'utilisation de la stéganographie par les terroristes. Et il finit en défendant la vie privée et les libertés civiles et appelant tous les informaticiens impliqués à se battre pour le protéger.

Courrez lire ce numéro spécial, ces articles sont généralement très pertinents et très argumentés.

Un trou de sécurité a été découvert dans la version 8.12.0, celui-ci pouvant être utilisé par des utilisateurs malveillants pour accéder à la file d'attente des mails. Cependant, tant que le MTA (agent de transport du courrier) accepte les connexions locales, les conséquences possibles de cette faille sont minimes. Sendmail 8.12.1 fixe également d'autres petits problèmes trouvés dans Sendmail 8.12.0 (cf. RELEASE NOTES).

Dans la section sport de Libé aujourd'hui, un article sur Passport et les risques encourus à confier et regrouper ses informations personnelles dans une seule et même base de donnée. Bon, ici c'est une base de données de Microsoft, mais le "lourd" passé de Microsoft ne pèse pas dans l'article, ce qui le rend original, surtout pour Libé !

Cette faille permettrait d'obtenir un accès depuis une machine non autorisée en utilisant l'option 'from' en utilisant des clés RSA et DSA dans le fichier "authorized_keys2"



Un patch est dispo ou vous pouvez passer en 2.9.9.


Toutefois ce bug n'est pas encore dans le bug report de openssh.


Note du modérateur: Ce bug n'affecte que la version 2 d'OpenSSH, la distribution Debian n'est pas affectée par ce problème (version 1.2.3).

BugTraq vient d'annoncer une superbe vulnérabilité dans PHPNuke (toutes versions sauf la 5.0 RC1). À l'aide d'une simple URL, un quelconque 5cr1p7 k1dd13z peut récupérer le config.php (et donc les mots de passe de la DB), ou encore uploader des fichiers, grâce à un script non protégé (précisons que je n'ai pas testé, pas le temps d'installer un Nuke). Pour le coup, le programmeur mérite bien un Goret Award...

[Note : puisque l'advisory a été envoyée sur BugTraq, je la propose ici. Toutefois, il serait peut-être intelligent de la garder sous le coude un moment pour éviter des 3733t h4x0r1ngs en cascade...]

Ces dernieres semaines un nombre assez préoccupant de Worms sont apparus sur la plate-forme de M$. Le dernier est un digne représentant: nommé NIMDA (admin à l'envers) il est si efficace pour sa transmission que certains buisness conseillent d'abandonner IIS ! On peut noter aussi une prise de conscience des pouvoir publics (Le FBI est sur le coup) et une montée en fleche des actions de certaines entreprises de securite informatique.

LSIjolie.net, un site web qui conteste le projet de Loi sur la Société de l'Information (LSI) propose de signer une pétition (encore une) demandant la libéralisation immédiate de la cryptographie en France :

" Retirer la cryptologie du projet de "Loi sur la Société de l'Information" (LSI) et abroger les réglementations antérieures de la cryptologie en droit français.
Le Projet de Loi sur la Société de l'Information (LSI) déposé par le Gouvernement à l'Assemblée Nationale le 14 juin 2001 dispose que la fourniture de cryptologie est soumise à des autorisations ou des déclarations obligatoires.
Une telle disposition freine la diffusion et l'utilisation de cryptographie au moment où au contraire le Gouvernement devrait avoir pour souci d'accélérer la diffusion et l'utilisation de la cryptographie dans le grand public.
L'espionnage mené sur Internet par le système d'écoutes "Echelon", mais aussi l'aspiration légitime des citoyens européens au respect de l'intimité de leur vie privée, rendent la libéralisation de la cryptographie inévitable.
C'est pourquoi nous souhaitons la suppression du Chapitre II du Titre V du Projet de LSI (voir le texte du projet de Loi) et l'ajout d'un article unique abrogeant toutes les réglementations antérieures de la cryptologie."

Suite a la propagation de nimda (admin a l'envers ...) et a la detection dans mes logs de traces, j'ai voulu faire un script qui genere un rapport d'attaque.

Il est dispo en telechargement, bien que très sommaire.

Depuis 15h20 (donc ~9h20 heure de NYC, cad pile-poil une semaine apres l'attentat), j'enregistre beaucoup d'attaques sur mes machines, plusieurs trous connus de IIS 4 et 5: Bug Unicode, Printer.ISAPI, FrontPage, etc.
La nouveauté par rapport a Code Red I & II: ce vers se propage aussi par email (via un README.EXE) et en faisant télécharger ce README.EXE a partir de code javascript inséré sur les pages web des machines infectées.

Bref, beaucoup plus méchant à terme que les vers connus jusqu'à présent...

Note du modérateur : Slashdot semble confirmer

Après la boucherie de new-York, il est inévitable que la paranoïa s'installe. Des voix s'élèvent pour réclamer des mesures apparemment définitives, qui permettraient enfin de traquer l'information où qu'elle se trouve. Une interview de Phil Zimmermann, l'auteur de PGP (Pretty Good Privacy), trouvée dans le n° du 15 septembre de "Futur(e)s", une newsletter publiée par Futur(e)s. Zimmermann examine de manière pondérée (et en faisant référence en américain à la notion fondamentale de liberté publique), l'exigence d'une "backdoor" sur les logiciels de cryptographie.

Zdnet, après le choc des attentats aux Etats Unis, propose une série d'articles concernant le bien fondé des systèmes de surveillance électronique des réseaux de communications.

En clair, comment les Etats-Unis, souvent présentés à la pointe du progrès en terme de renseignements, n'ont pas pu prévenir un drame tel que cette nation vient d'en connaitre, une opération terroriste de cette ampleur ne pouvant se faire sans un minimum de planification.

Deux argumentations sont données :
- Les moyens technologiques de renseignement, si ils peuvent être probants, ne seront jamais efficaces contre des gens déterminés. Donc les USA se sont leurrés à vouloir croire qu'ils représentaient la panacée ultime.
- Les moyens technologiques sont bons, mais l'interprétation des résultats aurait été fausse. En clair, on tombe dans l'erreur humaine, 'compréhensible' du fait du sentiment d'invulnérabilité des américains sur leur sol.

Ceci relance bien sur le débat sur la libéralisation de la cryptographie et du respect de la vie privée ...

Alors, quel est votre avis ?

PS : tous les liens proviennent de ZDNet

Note du modérateur: Désolé cette nouvelle aura mis quelques jours à être approuvée. D'autres nouvelles sont passées récemment autour du même sujet.

vnunet.com annonce l'existance d'un nouveau cheval de Troie pour Linux qui aurait été découvert par Qualys, la "célèbre" entreprise de sécurité.
L'article est très vague et fort peu technique; on y trouve les idées suivantes :

• Le cheval est similaire au célèbre outils d'administration Back Orifice
• Il s'installe sur le port UDP 5503 et plus et s'annonce sur un serveur web grand breton
• Il se propage par EMail

Mais le dernier argument fait oublier tout le reste ;-) :

• S'il se répand, il risque de faire bien plus de dégats que Code Red car 58% des serveurs tournent sous Apache, et donc majoritairement sous Linux, alors que Windows NT ne représente que 25%

Note du modérateur: Merci à Meszigues pour avoir aussi proposé cette nouvelle.

Vous avez besoin d'un routeur ou d'un firewall, mais vous êtes fauché, ou radin, et en plus feignant. Vous voudriez bien utiliser le vieux clou et son disque dur de 200 Mo...

Smoothwall est fait pour vous: téléchargez une petite iso, brûlez là, et voilà! Le CD est autoboot, s'installe en un clin d'oeil, reconnait automatiquement le materiel PCI, se configure par une page web... Le travail est tout mâché...

Merci qui?

Tout est dans la news de la Mandrake security team

Mandrake Linux Security Update Advisory
Package name: kernel
Date: August 28th, 2001
Advisory ID: MDKSA-2001:071

Affected versions: 8.0

Problem Description:

A security hole was found in the earlier Linux 2.4 kernels dealing with iptables RELATED connection tracking. The iptables ip_conntrack_ftp module, which is used for stateful inspection of FTP traffic, does not validate parameters passed to it in an FTP PORT command. Due to this flaw, carefully constructed PORT commands could open arbitrary holes in the firewall. This hole has been fixed, as well as a number of other bugs for the 2.4 kernel shipped with Mandrake Linux 8.0

Un bug vient d'être trouvé sur le générateur de nombre pseudo-aléatoires d'openSSL, pas si aléatoire que ça...
Pas de risques pour l'instant, ce bug semble peu exploitable. Mais soyez méfiants, surveillez les correctifs.
A noter que seul EngardeLinux a sorti un patch pour l'instant.

Ce midi est sortie la nouvelle version de SmoothWall, la distribution Linux dédiée aux passerelles sécurisées, en version bêta 0.9.9.
Parmi les nouveautés, on peut citer :
Le support du modem ADSL USB Alcatel Speedtouch, le support des modems ADSL PPTP et PPPOE, le support du HTTPS/SSL, un gestionnaire de VPN, un gestionnaire d'accès à la DMZ, Snort pour la détection d'intrusions, une nouvelle interface web, le support de 17 langues, un gestionnaire de mises à jour ...
Tous les bêta testeurs sont les bienvenus pour débusquer dans la distrib tous les bugs qui pourraient s'y cacher. De cette façon, elle sera finalisée le 27 août prochain.
Elle est dispo en téléchargement en France, sur le site kesako
Merci à tous ceux qui participeront ;-)

Histoire d'avoir des armes conceptuelles lors de la vague de désinformation qui suivra le prochain virus à frapper les produits Microsoft, j'ai commis un article (6000 mots, en français):

>Les virus informatiques comme sous-produits des logiciels exclusifs. Ce que le titre dit, l'article le démontre.

La méthode de cryptage utilisée par le Wireless Ethernet 802.11, WEP (Wired-Equivalent Privacy), n'est absolument pas sécurisée selon plusieurs articles parus.

Des attaques permettant de récupérer la clé de cryptage en 15 minutes d'écoute du réseau ont été trouvées. Sachant qu'une seule clé est générée pour tout le réseau, cela met en cause la protection de tout le réseau.

Il en faut pas s'affoler pour autant : cela signifie que les données peuvent être interceptées au niveau de la couche liaison. Si les couches plus élevées (utilisation de IPSec, SSH, ...) encryptent les données à transmettre, cela ne pose pas de problème.

Note du modérateur : de quoi s'amuser à HAL ? ;-)

Depuis quelque jours on trouve sur différents forum le code d'une simple page PHP qui indique le nombre de tentative d'intrusion par le virus Red Code sur un serveur apache sous linux/unix. Le subtil commentaire en fin de page doit faire réflechir les utilisateur d'IIS.

Aujourd'hui un petit dossier dans Libération sur Code Red et SIRCAM. Comme toujours, c'est un peu approximatif mais très instructif.

Un article décrit les différents types de virus et surtout Code Red et SIRCAM, un deuxième montre les soucis d'une société qui a subi de plein fouet l'attaque, et le dernier attaque Microsoft et explique en quoi une trop faible diversification des logiciels pourrait conduire à de graves problèmes. A noter, quelques interventions de Bernard LANG sur la monoculture du logiciel.

Un virus/ver assez dangereux (W32/Sircam) circule sur Internet depuis une huitaine de jours. Ecrit en Delphi et utilisant les faiblesses de Windows/Outlook (express), celui-ci se propage en s'envoyant aux correspondants de votre carnet d'adresse avant d'effacer le contenu de votre disque dur...
Il est conseillé aux administrateurs systèmes/réseaux de filtrer les messages contenant ce ver (assez facile à détecter grace à son texte).

Note du modérateur: il est possible de régler définitivement tous ces problèmes en configurant postfix de la manière suivante. Editez main.cf et rajoutez:

body_checks = regexp:/etc/postfix/body_checks

Enfin éditez body_checks et rajoutez:

/^Content-(Disposition|Type): application\/mixed/ REJECT
/^Content-(Disposition|Type):.*name="?.*\.(bat|com|pif|vb|exe|lnk|scr|reg|chm|wsh|js|inf|shs|job|ini|shb|scp|scf|wsc|sct|dll)/ REJECT

Ainsi, tout attachement type executable windows sera refusé systèmatiquement. Il est certainement possible de faire la même manipulation pour les autres daemon smtp.