FreSSH est une nouvelle implémentation libre du protocole SSH (version 1.5 pour le moment). Contrairement à OpenSSH, le code source a été entierement réécrit. Il propose également de nouvelles options de sécurité lorsque le client et le serveur tournent sous FreSSH.

L'équipe Razor de BindView vient de découvrir un débordement de pile dans SSH1, impactant toutes les versions courrament utilisées (cf advisory).
Il s'agit d'un bug dans la détection d'attaque cryptographique... codée avec un entier 16 bits à la place d'un 32 bits.

Risque : élevé, même si l'exploitation est difficile
Solution : appliquer le patch fourni à la fin de l'advisory.

Un trou de sécurité dans BIND 8.* a encore été trouvé. Le journal "Le Monde" a été l'un des premiers à relayer cette nouvelle... Mais que faisons-nous ?

Extrait de l'article du monde:

"Par chance, le bogue a été découvert à temps et le Computer Emergency Response Team (CERT) de l'université américaine de Carnegie Mellon a publié, lundi 29 janvier, une « rustine » et vérifié que la dernière version du logiciel, Bind 9, ne présente pas ce défaut."

Mettez à jour :)

Ce mémo est destiné à éclaircir les propos tenus par un des responsables commerciaux de McAfee en France lors d'une émission télévisée sur Canal+ , diffusée en France le 15 janvier, et à dissiper la confusion qui en a résulté. il a été annoncé, à tort, que les produits de PGP Security permettaient à certains gouvernements de décrypter en secret les messages. Ces propos ont suscité une mauvaise interprétation des choses, impliquant l'existence d'une "back door" dans des produits de PGP Security.
Il n'y a pas, il n'y a d'ailleurs jamais eu de back door dans les produits de PGP Security...

Note du modérateur: N'oubliez pas qu'il faut désormais utiliser GnuPG, l'équivalent de PGP de la FSF, qui a l'avantage lui d'etre libre. Bref jetez PGP :)

CanSecWest 2001 (du 28 au 30 mars à Vancouver) verra Renaud Deraison présenter Nessus, Marty Roesch snort, Dug Song dsniff, Jay Beale bastille-linux, Fyodor nmap (liste non exhaustive)...

L'évanescent SGBD d'Inprise, Interbase, dont on pensait qu'il allait vite s'éteindre sans plus d'histoires, refait parler de lui. Une backdoor (destinée à permettre l'authentification des utilisateurs suite à un bug) a été découverte suite à son passage en Open Source. Toute personne se connectant au serveur Interbase avec le login `politically' et le mot de passe `correct' (arf, quel humour), pouvait accéder au SGBD et même parait-il exécuter du code sur la machine. Ce « bug » n'aura guère perduré que... six ans !
[source Vakooler.com qui reprend Transfert.net qui reprend Interbase2000.org ;-]

Juste pour signaler que le patch openwall pour le noyau 2.2.18 est sorti. Comme d'habitude :
- la pile est non exécutable, ce qui limite les risques de buffer overflows ;
- des restrictions sur les liens dans /tmp (cool avec les récents problèmes de csh et bash) et les FIFOs
- limitations sur le /proc
- protection des file descriptors 0, 1, 2 pour les programmes SUID/SGID
...

[Note du modérateur : ce patch est utilisé pour augmenter la sécurité du noyau]

Sur le site "The Register" on apprends que la NSA a fait une contribution sous GPL pour ajouter des fonctionnalités visant à sécuriser le noyau Linux.
Cette news est déjà passée ici, mais ce qui n'avait pas encore été dit est que RedHat a déjà commencé à tester ces nouvelles fonctions.
Moi ça me ferait peur de savoir que j'ai un noyau NSA/Linux...

Bonne chance aux utilisateurs de RedHat.

Apparemment cela ne fonctionnerait que sur les architectures 386 pour le moment.

Un virus "pas dangereux" appellé PHP.NewWorld par Central Command, et en PHP serait apparu. Il modifie tous les fichiers php, html etc du répertoire c:\windows (hum...). Il ne peut pas s'exporter vers d'autres systèmes que celui sur lequel il est installé.
Bon tout cela n'est pas bien grave. L'article du site précise bien la popularité de php, qui conduit les hébergeurs à l'utiliser, et à laisser les internautes/créateurs de sites, libre cours à leur imagination... sous entendu les risques encourus...
Cela m'étonnerait beaucoup que de tels "virus" nous menacent vraiment un jour.

Et voila .. un buffer overflow en plus dans ce monde cruel ..

Le bug concerne tous les systèmes d'exploitation avec un navigateur supportant Shockwave.

Le buffer overflow concerne l'execution de code malicieux contenu dans le .swf ( fichier flash ) . Cela peut aller du crash du browser à l'execution d'un programme dans le but de propager des virus par exemple ..

Vive le closed-source :)

« CPRM (Content Protection for Recordable Media - Protection des contenus sur media enregistrable) est un mécanisme pour contrôler la copie, reproduction et suppression d'un média numérique sur un disque d'ordinateur ou d'un quelconque lecteur numérique. »

Traduction de la première phrase de l'article, à lire.

Si vous êtes recherché par la NSA, la DST, le FSB et le FBI, et que voulez pouvoir bosser tranquille quand même, utilisez ce système !
Moot est un Os dont le noyau est crypté. Typiquement vous avez un CD-ROM sur lequel est l'OS et vos fichiers persos sont sur Internet. Cela vous permet un maximum de confidentialité.

HSC (consultants sécurité) publient sur leur site un compte-rendu de la conférence System Administration, Networking & Security qui s'est déroulée en Octobre dernier. Plusieurs infos intéressantes sur l'évolution de la conférence avec le temps, les DDOS et les initiatives visant à améliorer la sécurité en entreprise.

Il y a de moins en moins de Français à SANS alors si vous êtes passionés de sécurité et que vous avez été gentil, demandez un billet au Père Noël pour le prochain meeting SANS ;-)

Un procédé « révolutionnaire » et « bête comme chou ». C'est en ces termes que Dominique Guatelli et Victor Victor Maillard décrivent le procédé anti-piratage, Digiprotect, qui devrait aller du CD audio au CD-ROM...

Une bonne ou une mauvaise blague à votre avis ?

J'ai comme idée que ce sera pas en GPL...

Un projet de Convention européenne sur le Cybercrime est en préparation depuis plusieurs mois. Ca avait été tenu secret, mais il y a deux mois la coaltion GILC qui regroupe des associations comme l'EFF ou l'ACLU (et en France IRIS) a mis à jour le texte et publié une lettre ouverte demandant à ce qu'il soit réécrit. Le Conseil de l'Europe a dit "Oops, on est désolé, on s'excuse, on le refera plus". La nouvelle version du projet de Convention vient de sortir, mais visiblement ils n'ont pas écouté la GILC. Résultat : celle-ci publie une seconde lettre ouverte dénonçant la seconde version du projet. Mais on se demande à quoi ça sert puisque le Conseil de l'Europe s'en moque...

Microsoft a changé dernièrement le format de ses bulletins de sécurité qui étaient auparavant repris par BugTraq (mailing-list d'annonces de sécurité la plus connue et suivie...). Il faut maintenant visiter une page Web chez Microsoft pour avoir l'annonce en entier.

Elias Levy (administrateur de Bugtraq) a alors décidé de reprendre un de ces bulletins dans son intégralité sur Bugtraq la semaine dernière, ce qui n'a pas du tout plu à M$.

Les administrateurs de Bugtraq ont donc décidé en conséquence de ne plus publier d'annonces de sécurité de M$ tant qu'ils ne reviendront pas à leur ancien format.

Vu dans Libé,

La Loi sur la Société de l'Information (LSI) qui doit passer l'an prochain au Parlement sera l'occasion de libéraliser la crypto. (promis en janvier par Jospin et réaffirmé par Fabius)

D'autre part, les décrets d'application de la loi sur la signature électronique devraient être publiés «avant la fin de l'année».

Un virus de plus sous windows, c'est pas original. D'autant plus qu'il n'est pas finaud: un .exe attaché aux emails, qui se fait passer pour une animation shockwave, et qui se réplique via le carnet d'adresse de OutLook. Mais celui-ci a la particularité de conseiller à la personne infectée de remplacer son windows par linux:
- les fichiers .jpg et .zip sont renommés en ajoutant "change atleast now to LINUX" à leur nom.
- l'auteur du virus a signé "The Penguin"

Si j'avais tendance à voir des complots partout, je me dirais: ce genre d'acte ne va-t-il pas faire passer les aficionados de linux pour de dangeureux terroristes ? Aurait-il pour but de faire du tord à Tux ?

Trustix est une distribution suédoise spéciale serveur, étudiée pour une sécurité optimale (ce qui n'est pas le cas de toutes les distribs).

Ils viennent de clore un concours de hacks qui a duré du 5 au 8 octobre et qui a montré que leur distrib n'a pu être prise en défaut. Ils auraient subi 400000 attaques de crackers en 3 jours (sans succès).

Trustix fournit du support commercial et développe des outils d'aministration et de sécurité pour Linux mais offre aussi sa distrib en Open Source sur Trustix.net

PS : quelqu'un a déjà essayé cette distrib et peut nous faire une synthèse sur le sujet ?

Une excellente doc sur l'utilisation de SSH (tunneling sur X11, ftp sécurisé ...) au travers d'exemples concrets et pratiques.
Bref à ne pas manquer pour ceux qui utilisent SSH juste comme un telnet sécurisé !

Cet intéressant article décrit parfaitement l'administration du logiciel de connexion sécurisé OpenSSH. Il aborde, en premier lieu, les raisons techniques de la nécessité du cryptage des connexions sur internet avant de rentrer dans les méandres de sa configuration... (source mynews.free.fr)

Multimania a failli faire les frais d'un oubli dans sa configuration Apache : la fonction "exec" des Server Side Includes n'avait pas été désactivée...
Conséquence : un admirateur anonyme en avait profité pour mettre sur sa page le fichier de config du serveur Apache, ainsi que dans un coin des "rm -rf * /".
Conclusion : ça arrive même aux plus gros...
Merci à Orphée pour l'info.

Mention spéciale tout de même pour les administrateurs de Multimania : réactivité inférieure à 5mn une fois avertis du problème. Bravo.
Nous avons choisi de les contacter avant de passer la news... ça mérite bien un lien sur multimania vers LinuxFR, non ? ;-)

Europe Online est un fournisseur d'accès Internet par satellite. Plusieurs failles de sécurité avaient déjà été découvertes par Satspy. Cette fois-çi, il s'agit d'une faille sérieuse à propos de leur site web www.europeonline.net.
Il est effectivement possible de pénétrer dans la partie dite "sécurisée" du site, de se faire passer pour un autre utilisateur et d'obtenir des informations confidentielles le concernant telles que nom, prénom, adresse, numéro de téléphone, adresse email, numéro de carte de crédit, etc.
Il est également possible de modifier le mot de passe de cet utilisateur et d'utiliser alors son compte pour avoir une bande passante plus importante.

Un document a été réalisé pour expliquer de façon approfondie la faille de sécurité.

Une nouvelle version de OpenSSH est disponible. Un bug permet au serveur accedé en ssh de forcer le client en mode agent ainsi que la redirection X11. Des updates sont disponibles pour Debian et certainement d'autres distributions.
De meme pour le programme cron qui est attaquable localement.

A vos updates !

Un problème de sécurité a été découvert lors de l'utilisation de StarOffice en mode multi-utilisateurs. En effet les permissions d'accès au répertoire temporaire /tmp/soffice.tmp sont établies à 0777. Donc pensez à modifier le répertoire tmp par default pour qu'il soit créer dans l'espace utilisateur ($home).