La version 0.1b du howto chrooter un shell vient d'être publiée. Au menu des précisions supplémentaires sur l'implémentations des commandes
dans un environnement chrooté. Une première étude qui permet de supprimer les problemes de sécurité majeur lié au chrootage.

La prochaine version introduira le concept de serveurs virtuels.

Il semblerait qu'un petit malin ait trouvé le moyen de modifier les sources d'irssi (client irc).
La modification porterait sur le script configure d'irssi. Ce dernier ouvrirait une connexion entre votre box et une machine distance, par le biais de laquelle il serait possible de s'infiltrer dans votre babasse.
La malversation serait en place depuis plus d'un mois. Si vous avez compilé irssi durant cette periode, il est recommandé de rechercher "SOCK_STREAM" dans le script, afin de vérifier si vous en avez été victime.
Le site d'irssi semble confirmer la chose.

Voici un article sur la nouvelle implémentation de l'ICMP fingerprinting, nommée iQ.
A l'inverse de xprobe qui possède une logique de détection codée en dur, iQ possède un fichier de signatures comme nmap. Comment sont construites ces signatures ? Quels sont les tests utilisés dans iQ ? Une vue d'ensemble de la méthode de reconnaissance d'OS par l'ICMP.

Nouvelle version d'OpenSSH dans les bacs :

OpenSSH 3.2.3

Différences avec la version précédente (OpenSSH 3.2.2) :

* Correction d'un problème avec BSD_AUTH, uniquement pour les BSD.
* Correction d'un problème de login sur solaris
* Correction des problèmes de compil avec cygwin

Bon téléchargement.

Note du modérateur : des modif mineures sur la bibliothèque OpenSSL aussi

L'union européenne veut mettre un code unique sur chaque CD ou DVD fabriqué en Europe. Ceci, est soit disant "Un code censé tracer le lieu de fabrication, et non l'utilisateur", de plus le BSA indique "Ce système ne nous permettra pas de tracer les utilisateurs", alors à vous de vous faire votre opinion.

RedHat, Mandrake, Eridani et sûrement d'autres (Debian ?) viennent de sortir des patches pour leur packages... En effet, un buffer overflow vient d'être découvert dans les serveurs IMAP utilisés dans ces distributions.

Ce problème engendre la possibilité de lancer des commandes sur le serveur IMAP en utilisant le nom de l'utilisateur connecté sur sa messagerie. Heureusement qu'il faille être déjà logué sur le serveur IMAP pour pouvoir exploiter ce trou de sécu... ça limite la portée de ce dernier. En espérant que vous ne vous fassiez pas écouter votre réseau si vous avez des clients fonctionnant avec imap sans sous-couche SSL...

Sur le même principe qu'irssi, les sources de dsniff (des utilitaires pour sniffer un réseau) et fragroute (l'outil qui a fait grand bruit récemment, capable, dans certains cas, de bluffer snort) ont été modifiés.
Le serveur de monkey.org, qui héberge l'auteur de ces deux logiciels, a été visité, via, semble-t-il, un trou dans epic4-pre2.511 qui a permis un accès au compte root.
Les fichiers incriminés ont été modifié le 17/05 et restaurés le 24/05.
Voici les sommes de contrôle MD5 des sources valides :

MD5 (dsniff-2.3.tar.gz) = 183e336a45e38013f3af840bddec44b4
MD5 (fragroute-1.2.tar.gz) = 7e4de763fae35a50e871bdcd1ac8e23a
MD5 (fragrouter-1.6.tar.gz) = 73fdc73f8da0b41b995420ded00533cc

L'étendue des dégats semble « limitée » :

"of the 1951 hosts that successfully downloaded one of the backdoored
tarballs, 992 of them were Windows machines and 193 were automated
ports downloads for the *BSD dsniff or fragrouter ports, leaving 746
Linux (and a few Solaris and MacOS) hosts potentially vulnerable, and
20 FreeBSD and OpenBSD hosts."

En espérant que çà ne devienne pas une mode...

Note du modérateur : je rajoute l'enfilade de Bugtraq pour confirmation

Un nouveau systême d'exploitation orienté sécurité a vu le jour,
dénommé MicroBSD il serait un fork d'OpenBSD (Cf leur FAQ).
Cet OS apporte tout ce qu'OpenBSD n'implémente pas (ACL, TPE, détection d'intrusion dans l'install par défaut,etc..).

A noter:
pas encore d'accès aux sources, et beaucoup de choses ont l'air loin d'être avancées...
Il reste qu'au niveau cryptage il va falloir sérieusement se battre contre les lois (En prime: une clé de cryptage de 1024 bits serait cassable)

Une vulnérabilité de type DoS (déni de service) a été découverte sur BIND 9. L'exploitation de cette vulnérabilité se fait grâce à la construction d'un paquet malformé qui aura pour effet d'arrêter le service BIND. L'impact d'une telle attaque peut être grave dans la mesure où beaucoup de services importants tels que la messagerie dépendent du DNS pour fonctionner correctement.

Il est recommandé de mettre à jour BIND à la version 9.2.1. Il est à noter que les versions 8 et 4 ne sont pas concernées par cette vulnérabilité.

Superviser un pare-feu sous Linux peut devenir un véritable challenge à cause de la nature "textuelle" de l'OS.

Le programme firelogd peut grandement faciliter la tâche en permettant l'envoi de messages électroniques à l'administrateur résumant les entrées importantes des fichiers de log.

ZDNet Australie nous en dit un peu plus dans un article dédié à firelogd.

NdR : Après ce sera toujours à l'admin de faire le travail :)

Nessus est un scanner de vulnérabilités qui recherche sur une cible les failles dans le réseau tels les bogues des logiciels, les portes dérobées etc... Ce programme est developpé par Renaud Deraison.

Dans cet article de LinuxSecurity, on y décrit les bases de l'installation et de l'utilisation de Nessus. Nessus a deux composantes, un client et un serveur. Le serveur peut tourner sur des plateformes UNIX, dont Linux et OpenBSD (et bien d'autres), tandis que le client peut fonctionner sur des systèmes d'exploitation variés dont... Windows. Dans cet article, Banchong Harangsri nous décrit l'installation et l'utilisation du serveur mais aussi du client.

NdR : Les captures d'écran sont pratiques et simplifient la compréhension. Cette nouvelle est une libre adaptation du début de l'article de LinuxSecurity.

Une petite faille (buffer overflow) vient d'être annoncée sur securityfocus (ex bugtraq) concernant apache 1.x.

Il s'agit d'une erreur d'entier signé/non-signé pour allocation d'un tampon mémoire, qui peut-être exploitée, selon X-Force, découvreur du bug, sur les plate-formes WIN32 mais pas (pour l'instant ?) sur *n*x (NdM: il semblerait qu'on ait une erreur de segmentation du processus apache concerné si on a un Unix 32 bits et peut être plus embétant en 64 bits).

Note du modérateur: J'ai supprimmé le patch qui était inclus dans la news, vous pouvez le trouver sur le premier lien mais l'annonce d'apache indique qu'il ne corrige pas vraiment le problème.

Symantec, la société bien connue pour avoir crée les norton utilities en tout genre vient d'annoncer le rachat de securityfocus pour 75 millions de dollars. Rappelons nous que securityfocus hébèrge la (trop) fameuse liste de diffusion bugtraq.
Un post passé sur bugtraq explique le pourquoi de ce rachat (symantec a bien compris la valeur intrinseque de securityfocus), et les changements qui vont avoir lieu (relativement flou). A quand une ml avec antivirus incorporé?

La revue scientifique « Pour la science » vient de sortir un superbe numéro hors-série (juillet-octobre 2002 - n°36) consacré à la cryptographie actuelle, avec ses concepts et les thèmes d'avenir.
Le niveau mathématique est assez élévé (terminale S ou +), mais le contenu est passionnant. A noter, un article sur AES par leurs auteurs (Daemen & Rijmen).

Des failles de sécurité dans openssl 0.9.6d ou inférieur ou 0.9.7-beta2 ou inférieur ont été découvertes par A.L. Digital Ltd et The Bunker lors d'un audit de securité. Pas moins de 4 vulnerabilités sont exploitables.

Qui l'eut cru ? La FSFE France avait déposé en mai un dossier de demande d'autorisation de fourniture en vue de l'utilisation générale et d'importation et exportation pour GnuPG 1.0.7 et la DCSSI (ex-SCSSI) vient de l'accepter ! Le dossier OpenSSL également déposé en même temps est aussi accepté :-) Et ce pour import, export, utilisation et fourniture (jusqu'en 2007).

Note du modérateur : merci à foxy pour la même info

Une nouvelle version du serveur Web Apache vient de sortir, corrigeant les récents problèmes de sécurité. (NdM: 1.3.26)
Dans un même temps, la société ISS subit un retour de flamme du à sa "mauvaise conduite" lorsqu'elle a commencé le thread sur les problèmes de sécurité d'Apache.
En effet, la procédure (non-formelle) de rapport de bug prévoit que le fabricant d'un logiciel (ou le "groupe" qui développe un logiciel libre) soit mis au courant avant la publication...
ISS n'avait pas jugé nécessaire de le faire mais avait en plus proposé un patch qui ne résolvait pas complètement le problème !

Une nouvelle version pour apache 2.0 devrait apparaitre dans peu de temps...

Voici un très bon article de Security Focus montrant différentes façons de bloquer avec Postfix les mails indésirables envoyés par les spammers qui polluent nos boites aux lettres tous les jours !!!

Différentes approches sont abordées parmi les Black Lists (utilisation de listes de spammers connus), le refus de mails venant d'hotes inconnus ou encore de mails non conformes aux RFC...

L'article montre donc que Postfix n'est pas seulement securisé, rapide et facilement configurable (bon, on va éviter le troll avec Sendmail !) mais qu'il propose aussi quelques fonctionnalités sympa et faciles à mettre en oeuvre ;-)

ISS, peu après avoir dévoilé le problème sur Apache, avait annoncé qu'ils travaillaient sur une faille d'un autre logiciel libre (en annonçant cette fois-ci que la démarche serait un peu différente !).
Encore Bind ? Sendmail ? Squid ?
Et bien non, OpenSSH... :-(

Les détails sur la faille ne sont pas encore connus mais on sait d'ors et déjà de la bouche de Théo de Raadt lui-même qu'elle sera exploitable à distance, sauf si la séparation de privilège récemment apparue est activée (« UsePrivilegeSeparation yes » dans sshd_config). Peu de distributions Linux proposent cette option pour le moment mais j'espère sincèrement qu'ils vont tous s'atteler pour que ce soit le cas avant la semaine prochaine, date fatidique à laquelle seront dévoilés les détails de l'exploit (et je pense qu'un exploit pas forcèment de Gobbles ne tardera pas à suivre...)

Plus de détails sur LinuxSecurity.com

Note d'un autre modérateur : voir sur debianplanet.org la source apt Debian pour avoir les paquets ssh et apache corrigés pour Woody, ainsi que Mozilla 1.0

ISS vient de publier sur Bugtraq les détails de la faille d'OpenSSH.
Il s'agit d'un problème dans le mécanisme d'authentification "challenge-response".

Apparemment si OpenSSH est compilé sans les options SKEY ni BSD_AUTH, la vulnérabilité n'est pas exploitable.
De meme, utiliser la ligne suivante dans /etc/ssh/sshd_config résoudrait d'après eux le problème :
ChallengeResponseAuthentication no

Ben maintenant il reste plus qu'à tester tout ça, régler les quelques problèmes de conf engendrés.
Ca a quand même l'air moins dangereux que ce qui était annoncé précédemment et surtout moins difficile à règler (c'est pas une raison pour pas mettre a jour !).

Remarque : ISS met a disposition un outil pour tester si OpenSSH est vulnérable.

Note du modérateur : OpenSSH 3.4 est sorti (merci à falbala pour l'info)

Ross Anderson, chef du laboratoire d'informatique de l'université de Cambridge avance la théorie selon laquelle les logiciels propriétaires n'auraient pas plus de failles de sécurité que les logiciels « open source ».

En effet, le chercheur considère qu'un programme au code source ouvert est un programme dans lequels les bogues sont faciles à trouver ; à l'inverse, ils sont plus difficiles à détecter si le code est fermé.

En calculant, dans les deux cas, le temps moyen que mettra le programme à se planter, Anderson affirme que dans l'absolu les deux types de programmes présentent le même taux de sécurité.
Car l'atout du code ouvert - trouver plus facilement les bogues - constitue également un atout pour tous ceux qui veulent lancer des attaques.

Update: Frédéric Raynal ajoute un lien vers une traduction de la conclusion du-dit article. A lire si tout n'est pas clair pour vous...

SecurityFocus nous gratifie d'un article qui lève le voile sur les techniques et la science du chiffrement.

Au menu:
- Un petit historique
- Les applications qui en sont faites
- Le fonctionnement
- Les outils
- Et une bonne dose de liens...

Idéal pour qui veut (faire) découvrir les principes de base du chiffrement et ses utilisations.

F. Raynal (pappy) écrit « MISC, le magazine sur la sécurité informatique, est en danger. Il pourrait très bien ne plus paraître. C'est pourquoi nous faisons appel à vous. Pour résumer, si vous voulez un MISC 4, vous devez achetez MISC 3 ! »

Note du Modérateur : visiblement un mouvement de soutien est en train de se mettre en place. Il serait dommage qu'un magazine de cette qualité vienne à disparaître (ils sont trop rares dans ce domaine : la sécurité).

Les services Keyserver sont de nouveaux opérationnels en France et aux Etats-unis.


Ces serveurs web sont gratuits et ils stockent des clés publiques PGP ( 1642656 clés enregistrées).

Il vous permet de trouver une clé lorsque vous desirez envoyer un message sécurisé à une personne (signé ou crypté) ou d'ajouter votre propre clé publique PGP pour quelle soit disponible pour les utilisateurs d'Internet.

Voici un article "d'introduction" très complet à GPG (GNU Privacy Guard), l'équivalent libre du logiciel de chiffrement PGP (Pretty Good Privacy) de Zimmerman.



L'article explique la problématique de la confidentialité, les systèmes à clés publiques et à clés privées, la signature, et les serveurs de clés.

Un court paragraphe est dédié aux interfaces graphiques les plus utilisées.



Vous n'avez plus aucune excuse de ne pas l'utiliser!