Sur le site "The Register" on apprends que la NSA a fait une contribution sous GPL pour ajouter des fonctionnalités visant à sécuriser le noyau Linux.
Cette news est déjà passée ici, mais ce qui n'avait pas encore été dit est que RedHat a déjà commencé à tester ces nouvelles fonctions.
Moi ça me ferait peur de savoir que j'ai un noyau NSA/Linux...
Bonne chance aux utilisateurs de RedHat.
Apparemment cela ne fonctionnerait que sur les architectures 386 pour le moment.
Un virus "pas dangereux" appellé PHP.NewWorld par Central Command, et en PHP serait apparu. Il modifie tous les fichiers php, html etc du répertoire c:\windows (hum...). Il ne peut pas s'exporter vers d'autres systèmes que celui sur lequel il est installé.
Bon tout cela n'est pas bien grave. L'article du site précise bien la popularité de php, qui conduit les hébergeurs à l'utiliser, et à laisser les internautes/créateurs de sites, libre cours à leur imagination... sous entendu les risques encourus...
Cela m'étonnerait beaucoup que de tels "virus" nous menacent vraiment un jour.
L'évanescent SGBD d'Inprise, Interbase, dont on pensait qu'il allait vite s'éteindre sans plus d'histoires, refait parler de lui. Une backdoor (destinée à permettre l'authentification des utilisateurs suite à un bug) a été découverte suite à son passage en Open Source. Toute personne se connectant au serveur Interbase avec le login `politically' et le mot de passe `correct' (arf, quel humour), pouvait accéder au SGBD et même parait-il exécuter du code sur la machine. Ce « bug » n'aura guère perduré que... six ans !
[source Vakooler.com qui reprend Transfert.net qui reprend Interbase2000.org ;-]
CanSecWest 2001 (du 28 au 30 mars à Vancouver) verra Renaud Deraison présenter Nessus, Marty Roesch snort, Dug Song dsniff, Jay Beale bastille-linux, Fyodor nmap (liste non exhaustive)...
Un trou de sécurité dans BIND 8.* a encore été trouvé. Le journal "Le Monde" a été l'un des premiers à relayer cette nouvelle... Mais que faisons-nous ?
Extrait de l'article du monde:
"Par chance, le bogue a été découvert à temps et le Computer Emergency Response Team (CERT) de l'université américaine de Carnegie Mellon a publié, lundi 29 janvier, une « rustine » et vérifié que la dernière version du logiciel, Bind 9, ne présente pas ce défaut."
Mettez à jour :)
L'équipe Razor de BindView vient de découvrir un débordement de pile dans SSH1, impactant toutes les versions courrament utilisées (cf advisory).
Il s'agit d'un bug dans la détection d'attaque cryptographique... codée avec un entier 16 bits à la place d'un 32 bits.
Risque : élevé, même si l'exploitation est difficile
Solution : appliquer le patch fourni à la fin de l'advisory.
FreSSH est une nouvelle implémentation libre du protocole SSH (version 1.5 pour le moment). Contrairement à OpenSSH, le code source a été entierement réécrit. Il propose également de nouvelles options de sécurité lorsque le client et le serveur tournent sous FreSSH.
Ce mémo est destiné à éclaircir les propos tenus par un des responsables commerciaux de McAfee en France lors d'une émission télévisée sur Canal+ , diffusée en France le 15 janvier, et à dissiper la confusion qui en a résulté. il a été annoncé, à tort, que les produits de PGP Security permettaient à certains gouvernements de décrypter en secret les messages. Ces propos ont suscité une mauvaise interprétation des choses, impliquant l'existence d'une "back door" dans des produits de PGP Security.
Il n'y a pas, il n'y a d'ailleurs jamais eu de back door dans les produits de PGP Security...
Note du modérateur: N'oubliez pas qu'il faut désormais utiliser GnuPG, l'équivalent de PGP de la FSF, qui a l'avantage lui d'etre libre. Bref jetez PGP :)
On en parlait depuis un moment, la rumeur est confirmée : Zimmerman quitte Network Associates, dont il dénonce la décision de fermer l'accès au source des futurs développement du logiciel.
Le site openPGP s'en réjouit et pose la question cruciale: "Un programme informatique aussi révolutionnaire que PGP, le logiciel du secret absolu, est-il soluble dans une compagnie commerciale ?". Il dénonce notamment l'ajout de "gadgets inutiles voir dangereux" et la "windozerie" excessive" de Network Associates... A lire absolument :)
La version 2.5.1 d'OpenSSH est disponible. Cette version intégre maintenant un client sftp (Secure FTP) en standard ainsi que bien sur le sftp server qui est maintenant activé par défaut dans le fichier de conf. Parmi les goodies:
-support en natif des protocoles 1.3, 1.5 et 2.0
-code cleaning de SSH2
-agent forwarding
-misc. bugs.
Il est conseillé d'upgrader à cette version. Pour celles/ceux qui veulent la sécurité, il n'y a plus qu'à !
Extrait:
"Comme son titre le laisse suggérer, cet ouvrage se veut une véritable référence en matière de cryptographie pratique. Avons-nous là un successeur du fameux livre de Bruce Schneier ? ".
A lire, c'est déconcertant. Vous y verrez que la NSA n'a pas besoin de déployer tout son arsenal technologique pour espionner la Commission Europeenne :(
Vu dans Login Mars 2001: la NSA (l'espionnage made in USA, fort connu grâce au projet Echelon) sortirait une distribution entièrement GPL où elle aurait ajouté des sytèmes de sécurité. On la soupçonnait d'avoir fait mettre dans Windows des backdoors, maintenant elle voudrait renforcer la sécurité d'un système déjà mieux sécurisé que ce dernier ?
Update: le précédent modérateur n'a pas fait son travail, la nouvelle est déjà passée au moins 1 fois. Désolé.
IBM publie la première partie d'une évaluation des modifications proposées par la NSA dans sa version Linux "Security Enhanced" (SE). C'est extrêmement intéressant (et constructif, contrairement à la paranoïa aveugle de certains).
Tous les serveurs sous ProFTPd sont vulnérables à un déni de service. Il suffit de se connecter normalement puis de lancer la commande
ls */../*/../*/../*/../*/../* (etc.) pour que le démon prenne subitement toutes les ressources (cpu et mémoire) de la machine qui finit par s'écrouler.
Le serveur FTP de NetBSD semble avoir le meme problème et il est possible que d'autres logiciels soient concernés par la meme faille.
L'équipe de ProFTPd tente de résoudre le bug, classé critique.
update: PureFTPd, qui n'aurait pas avoir avoir ce bug (mais qui l'a quand même). L'auteur s'est fait avoir à son propre jeu, hihihi :-)
Un article du N.Y. Times d'hier indique qu'une société Tchèque, ICZ, aurait trouvé une faille de sécurité dans PGP. Il ont déjà prevenu << P.G.P. engineering >> et publieront sur leur page le problème dès demain.
Mais pas de panique : la faille résiderait dans le cassage de la protection de la clef privée : il faut déjà y accéder !
GPG aurait-il le même genre de soucis ? Peut-être pas... plus d'infos demain, donc.
Note: pour lire l'article du NY Times, c'est gratuit, mais il faut s'inscrire.
Avec le kernel 2.4 iptables (netfilter) remplace ipchains. Plus de fonctionnalités (dont un NAT fonctionnel), syntaxe un peu diffèrente.
Un petit tutoriel ne fait pas de mal ;-).
Avoir le Net au bureau c'est pratique, on peut surfer, écrire à plein
de gens sans bourse délier. Oui mais, la situation est elle vraiment aussi idylique qu'il y parait ? Certaines rumeurs font état de surveillance des communications électroniques par les employeurs. Si l'on en croit cet article ce sont plus que des rumeurs puique la CNIL a commis un rapport : "cybersurveillance des salariés dans l'entreprise".
Après Kioto, l'administration Bush dénonce l'accord conclu entre les Etats-Unis et l'Union européenne concernant l'application de la directive européenne de protection des données personnelles.
Une très bonne analyse est en ligne sur le site
d'infoguerre.
Depuis hier, notre cher pays est dote d'un decret qui permet de signer electroniquement....
Désormais, «l'écrit sur support électronique a la même force probante que l'écrit sur support papier», selon la loi votée en mars 2000. Mais il ne suffit pas de taper son nom au clavier ou de scanner une feuille avec son paraphe: le décret publié samedi précise qu'une signature électronique ne bénéficie de la même présomption de fiabilité qu'un paraphe manuscrit qu'à condition de s'appuyer sur un «prestataire de services de certification» (PSC).
le 21 mars dernier, l'IETF Secure Shell Working Group a rejeté la demande de Tatu Ylonen pour la reconnaissance de sa marque déposée "SSH" par un vote de 3 contre 1.
En effet, les membres du Working Group ont décidé que "Secure Shell" et "SSH" sont des termes génériques qui ne peuvent être protégés par des dépôts de marque.
Apparemment, Tatu était très déçu par cette décision qu'il a considéré comme injuste vu que c'est lui qui a inventé le terme et le protocole. La différentiation de ses produits à travers sa société SSH.com coûterait trop cher. Il va donc consulter ses avocats.
Allons-nous éviter le 'mv /usr/bin/ssh /usr/bin/secsh' ?
Depuis que l'hébergeur multimania (ex Mygale) offre l'utilisation de PHP à ces membres, les pages qui utilisent ce module sont très souvent inaccessibles. Pire encore, ce samedi, les pages utilisant PHP étaient à la disposition de tous, le code n'étant plus exécuté. Le problème, c'est que les mots de passe utilisateurs apparaissent alors dans la source à la vue de tous.
Pas pratique pour donner confiance à des membres très souvent en colère.
Note du modérateur: L'auteur de cette nouvelle proposait un lien sur un site de Multimania comme exemple, nous l'avons retiré pour éviter les abus. Ce n'est pas dur de trouver un exemple si vous voulez voir les codes des sites hébergés...
Voila qu'on nous annonce l'apparition d'un virus capable d'infecter aussi bien Windows que Linux.
Je suis très sceptique sur la chose, car je ne vois pas bien quels sont les points communs, d'un point de vue script ou éxecution de binaires, bref, quels points communs il y a entre une station Linux et une station Windows.
Alors, à part avoir installé Perl ou Java sur les deux machines, comment est-ce possible ? Ou bien sont ce deux instances différentes de virus, qui ont le même nom ? Ou bien est-ce du pipeau ?
Bref, est ce possible ?
En passant, outre responsabiliser un utilisateur à faire gaffe à son installation, aux droits d'accès, aux ports ouverts, existe t-il un projet de "surveillance" d'un poste (une sorte d'antivirus/firewall avec des fonctions de base, histoire de faciliter la vie aux utilisateurs lambda) ?
Un nouveau vers vient d'être découvert sous linux: Adore. Il semble dater du 1° avril. En suivant le lien, vous trouverez un script qui détecte et permet de supprimer le vers de votre système (au cas où vous en auriez besoin), et aussi les liens vers les patches corrigeant les problèmes dans LPRng, rpc-statd, wu-ftpd et BIND.
Le monde a lancé une interview de Stéphane Fermigier à propos des vers sous Linux.
