Encore une faille de sécurité sur Apache. Et cette fois-ci, il semble que l'alerte soit assez grave pour suivre ceci de très près.

La faille a été détectée par un pot de miel (« honeypot »), sur un Apache 1.3.24, et ce qu'on en sait pour l'instant est que le code qui est propagé est un code pour FreeBSD. Par une requête HTTP qui est affichée sur le site, le ver s'installe sur le disque, et se met à écouter le port 2001 en UDP, et envoie des messages UDP vers une IP codée en dur...

Rien ne prouve pour l'instant que les autres plateformes ne sont pas vulnérable, car il peut exister plusieurs variantes de ce ver. D'après l'analyse du code qui a été récupéré sur le honeypot, il s'avère que les versions suivantes d'Apache seraient vulnérables, du moins avec FreeBSD :
- FreeBSD 4.5 x86 / Apache/1.3.22-24 (Unix)
- FreeBSD 4.5 x86 / Apache/1.3.20 (Unix)

A suivre de très près...

MISC est une revue consacrée à la sécurité
informatique, pour tous les systèmes. Dans ce numéro, vous
trouverez :

• Champ libre : cross site scripting et protocoles textuels, Chernobyl, le partage de secret, la guerre de l'information.
  



• Dossier : la détection d'intrusion
  
  
  
  • principes algorithmiques
  
  
  • problèmes des IDS actuels/li>
    
  • contourner les IDS
  
  
  • Prelude-IDS : un IDS hybride open-source
  
  
  
  



• Programmation : les fonctions strn*
  



• Système : classes d'authentification physique, sécuriser Irix
  



• Réseau : jouer avec le protocole ARP, protection de l'infrastructure en réseau IP (protocoles de routage et MPLS)
  



• Science : PGP, comment éviter les mauvaises surprises ?

Enfin, nous avons rencontré quelques problèmes de PAO dans ce numéro, veuillez nous excuser.

La grande nouvelle est la mise à disposition de l'exploit de Gobbles, qui après s'etre illustré avec son exploit pour Apache remet ca avec OpenSSH.
L'avantage reste que maintenant on peut tester tous nos petits Linux et vérifier s'ils sont ou non vulnérables. J'ai donc pu confirmer que les packages ssh de Debian avant mise à jour n'etaient pas vulnérable ;-)
(par contre l'exploit marche tout à fait sur un OpenBSD 3.1 fraichement installé mais pas sur un 3.1-current).

Sinon l'équipe de OpenSSH a releasé juste avant l'exploit une mise à jour de l'advisory et explique notamment dedans pourquoi ils ont annoncé la faille de cette façon (en donnant le moins de détails possible, en faisant croire que toutes les versions de OpenSSH étaient vulnérables, etc. ...).

Philippe Zimmermann nous apprend sur NewsForge qu'il préfèrerait voir PGP (pretty good privacy) passer sous une licence Open Source plutot que de voir son "bébé" dépérir ainsi...

En effet, Zimmermann avait vendu les droits sur PGP en 1997 mais depuis plusieurs mois déjà, Network Associates, à qui ils appartiennent maintenant, ne maintient plus la suite de programmes de crypto et ne le propose même plus à la vente (à part la version E-Business Serveur qui ne comprend qu'une infine partie de PGP).

Zimmermann dit même qu'il racheterait PGP à Network Associates si il en avait les moyens !

C'est peu être dommage pour PGP mais on peu se rattrapper sur GPG (Gnu Privacy Guard) qui lui est bel est bien libre (et maintenu correctement ! ;-)
Et après ca on osera dire que les logiciels libres n'ont pas un modèle de développement pérenne !

vsFTPd (Very Secure FTP Daemon) est un logiciel serveur FTP où l'accent a été mis sur la sécurité et sur la rapidité. Sa configuration est simplissime (au détriment de la flexibilité, mais ce n'est pas du tout gênant dans une utilisation standard). Parmi les sites « de référence » cités par son auteur, on trouve ftp.redhat.com, ftp.gnu.org et ftp.debian.org (joli palmarès).

HSC vient de publier un didacticiel qui vous guide pas à pas dans l'installation et la mise en place de ce logiciel, une bonne occasion de laisser enfin tomber votre wu-ftpd buggé jusqu'à la moëlle. Mon opinion personnelle est que ce logiciel tire honorablement son épingle du jeu, et son code source (en C) reste très lisible, comme quoi il n'est pas nécessaire de faire compliqué pour faire efficace... Ah oui, accessoirement, c'est sans doute le seul serveur FTP à vous répondre avec humour lorsque vous lui envoyez des commandes (essayez de passer en mode ASCII pour voir :-)

Bref, à essayer. Bonne découverte !

Voici un petit dossier de 01net sur les solutions de sécurité réseau en Open Source. Il s'agit surtout de les comparer avec les logiciels propriétaires disponibles. On y parle de filtrage IP, de détection d'intrusion et de PKI.

On y retrouvera les habituels arguments, à savoir d'une part la qualité des logiciels Open Source face aux logiciels propriétaires, et d'autre part, le manque d'intégration et d'interface centralisée entre les composants Open Source.

On y trouve aussi des exemples de sociétés ayant fait le choix des solutions ouvertes.

Il est fortement conseillé de mettre à jour vos serveurs web: de nouveaux trous de sécurité ont été trouvés dans Apache 1.3.26 et versions précedentes. Entre autres: des risques de Denial-of-Service locaux, des risques de "cross site scripting" via les pages d'erreur 404 et divers "buffer overflows". (cf. le link ci dessous pour plus de détails). Merci à Tomasera@#linuxfr pour l'info :-)

David A. Wheeler a écrit un excellent HOWTO concernant la sécurisation des applications que l'on développe. Et ceci non seulement pour les langages « traditionnels » mais aussi pour d'autres comme langages comme le perl, le php, le shell, ...

C'est une réelle mine d'or qui gagne à être sur votre bureau à tous les stades du développement.

La société StrongHoldNet vient de faire une étude sur la sécurité des serveurs français utilisant Apache (tous systèmes d'exploitations confondus).

Il en ressort la chose suivante:
- 20.5 % d'entre eux (dont linuxfr.org fait partie :-) utilisent une version non vulnérable d'Apache (>= 1.3.26 or >= 2.0.39),
- 23.2 % d'entre eux utilisent une version antérieure patchée,
- 56.3 % d'entre eux sont vulnérables (soit 23 % du total des serveurs
web français).

Pour le moment, des exploits ont été publiés seulement pour OpenBSD, NetBSD et FreeBSD (d'ailleurs le vers "Scalper" exploite justement la vulnérabilité sous FreeBSD); pas encore d'exploit largement diffusé pour Linux, mais GOBBLES (auteur de l'exploit pour les *BSD) prétend que c'est possible.

Moralité : Mettez tous vos Apache à jour avant que l'exploit pour Linux soit connu. Un vers "Nimda-like" qui infecte des miliers de machines sous Linux serait du plus mauvais effet pour la réputation du système...

Il y avait un moment que je n'avais pas acheté de numéro de Login, mais je vois que ça n'a pas changé.

Je sais bien qu'on ne transforme pas un utilisateur de base en spécialiste sécurité en quelques pages de magazine, mais là c'est vraiment trop superficiel.

Deux exemples parmi d'autres :

- page 12 « Le principe de la redirection d'IP consiste à recevoir une requête sur un port x sur une carte réseau a sur le port y d'une carte reseau b. » J'ai respecté l'absence de ponctuation, qui ne facilite pas la compréhension :-)

- sur le CD, allez donc voir le fichier mlinux/sent/cur/1024404485.2842_7.gilbou:2,S ... Dans un numéro sur la sécurité on trouve un message personnel (qui parle d'envoi de 20$ dans une enveloppe !) ... Si le modérateur veut classer ça en "Humour", je suis d'accord :-)

Avis personnel : pour quelqu'un qui veut avoir une idée de ce que peut être la sécurisation d'une machine, je veux bien. Mais pour une sécurisation sérieuse, non.

NdM: ceci engage son auteur

L'équipe de développeurs de Prelude vient de sortir la version 0.8 de Prelude Hybrid IDS. Cet IDS est hybride puisqu'il combine les approches host-based et network-based, et distribué puisqu'il peut être répartis sur plusieurs machines. Prelude Hybrid IDS est stable, modulaire, et rapide.

Prelude est distribué selon les termes de la GPLv2 et est composé de:

- libprelude, elle permet de developper des sondes prelude tres rapidement.
- prelude-manager qui gere les alertes emises pas les capteurs et qui est capable de relayer les informations vers d'autres managers pour la replication et le failover
- prelude-nids, necessaire pour observer le reseau et les attaques
- prelude-lml qui permet de detecter les attaques via l'analyse de logs
- la libsafe, les dernieres versions peuvent utiliser la bibliothèque Prelude, les transformant automatiquement en sonde prelude
- prelude-php-frontend qui est un frontend assurant l'analyse de logs (avec l'appui de Mysql ou Postgre Sql) tres simplement.

A noter que Prelude a fait l'objet de conférences aux LSM 2001 et 2002, et d'un article dans MISC 3.

nmap est un outil indispensable à qui veut rapidement scanner son réseau, identifier les machines présentes, leurs ports ouverts, leurs OS. C'est après un extraordinaire bon de Nmap 2.54BETA37 à 2.99RC1 pour enfin finir sur 3.0 que Fyodor a annoncé la sortie de la dernière version de nmap, par un : "Woohoo !"

La 3.0 reconnait près de 700 variantes de systèmes d'exploitation. Elle a été portée sous divers OS dont... Windows, ce qui est nouveau. Je vais pouvoir dire à mes collègues de boulot préférant le SE de Redmond qu'ils peuvent désormais utiliser nmap sous leur SE favori.

L'administrateur réseau avisé qui ne l'aurait pas encore devrait y jeter un coup d'oeil. L'essayer, c'est l'adopter.

Tout le monde sait à quoi sert les nombres premiers : factoriser.
Et à quoi peut bien servir de factoriser ? A casser du chiffre (je sais ça sert pas qu'à ça, mais bon).

Or une équipe indienne annonce avoir trouver une méthode infaillible pour dire si un nombre est premier ou non. L'avantage est que les chances d'erreur sont de 0%, par contre il semble que l'algo qui en découle rende la recherche un peu plus lente. Ce qu'ils cherchent les trois gars d'la bas, c'est rendre plus rapide leur algo ... Si ça vous interresse ou que vous êtes une bête en math.... suivez les liens.

Dijkstra est mort, mais la relève est là !

Je vous conseille le document qui pourrait être compris dès la seconde ..... semaine de lecture.

N.B. : un nombre premier c'est un nombre uniquement divisible par 1 ou par lui même (ex: 1, 2, 3, 5, 7, 11, 13, 17, 19, etc...)

NdM: l'interet et la nouveauté de leur algorithme sont qu'il est en temps polynomial !

Packet Excalibur est un nouvel outil de fabrication et d'analyse de packets, graphique et multi-plateformes. Ses intérêts sont une vision claire des couches réseaux - si vous voulez mieux les comprendre, c'est simple comme un clic -, la possibilité d'avoir des scripts d'envoi et de réception de packets, et une description de chaque protocole sous forme de fichier texte.

Non, ce n'est pas un outil pour script-kiddies, c'est aussi un outil d'apprentissage et de tests.

Au menu pas mal de bugfixes et d'améliorations.
Extraits du changelog :

* Improved support for Privilege Separation (Portability, Kerberos, PermitRootLogin handling).
* ssh(1) prints out all known host keys for a host if it receives an unknown host key of a different type.
[...]
Pour la suite, voir les liens

Self-Certifying File System (ou SFS) est un projet sponsorité par DARPA dont le but est de permettre un accès global et sécurisé à un système de fichiers avec un contrôle décentralisé.

A l'aide de SFS, n'importe quel utilisateur peut accéder à n'importe quel serveur sans reposer sur des parties tierces ou des administrateurs système ayant le contrôle sur le serveur.

SFS fonctionne sous systèmes Unix-like et Linux. Le seul prérequis est le support de NFS v3. Il a été testé sur *BSD, Solaris et Linux.

Une faille de sécurité a été découverte par la société eEye Digital Security : elle permet à un méchant d'exécuter à distance du code malicieux sur votre machine.

Comment ? En modifiant l'en-tête d'un fichier swf avec un éditeur hexa, on peut tromper le lecteur en lui envoyant plus de frames que nécessaire. A partir de là il est possible d'écraser un pointeur sur une fonction pour appeler le code malicieux stocké dans la pile. Cette vulnérabilité est exploitable tant sous Windows que sous Unix.

Macromedia a été informé, affirme avoir bouché le trou, et conseille de télécharger la version 6.0.47, disponible uniquement pour windows. Cependant en observant la date de mise à jour de cette version 6, on s'aperçoit qu'elle correspond au 6 août, la vulnérabilité ayant été divulguée le 8 août. Mais alors qu'en est-il de Linux ? Coïncidence une dépêche passée sur linuxfr même faisait état d'une nouvelle version (5.0.50) dont on ne savait rien à propos des changements qu'elle introduisait... Cette dernière étant sortie le 9 août, on peut imaginer qu'elle corrige ce problème, mais il n'y a aucune confirmation sur le site de Macromedia...

Note du modérateur : je rajoute une annonce sur freshmeat concernant cette faille. Il semblerait que la faille touche la Gentoo.

Firewall Builder consiste en un GUI orienté objet et en un ensemble de compilateurs de "polices" pour diverses plateformes de firewall.

Dans Firewall Builder, une "police" de firewall est un est un ensemble de règles; chacune consituée d'objet abstraits qui représentent les éléments du réseau réel ainsi que les services (hôtes, routeurs, firewalls, réseaux, protocoles).
Firewall Builder aide l'administrateur à maintenir une base de données d'objets et permet l'édition de "polices" par simple "drag-and-drop".
L'ensemble des objets et des préférences sont stockées au format XML.

Ce logiciel supporte des compilateurs de "police" pour les firewall libre: iptables, ipfilter et OpenBSD PF.

A découvrir pour tous ceux à qui mettre les mains dans les fichiers de config rebute :) (L'un n'empechant pas l'autre d'ailleurs)

NdR: La traduction libre de "policy" en police n'est pas des plus heureuses. Mais je n'arrive pas à trouver mieux :(

Suite à ses déboires avec la société NAI (décision d'arrêter son développement et sa commercialisation), le célèbre outil de cryptographie Pretty Good Privacy vient de trouver une suite à son histoire (déjà riche de rebondissements).

En effet, la société PGP a vu le jour en juin 2002 et vient d'annoncer toutes une série de bonnes nouvelles :
- la société vient d'obtenir 14 millions de $ de 2 fonds d'investissements US
- ils viennent de racheter tous les outils PGP à NAI :

* PGP Mail, PGP File, PGP Disk, & PGP Admin software products for Windows and Macintosh
* PGP Corporate Desktop for Macintosh
* PGP Keyserver for Windows and Solaris
* PGP Wireless for PalmOS and WinCE/PocketPC
* PGP SDK encryption software development kit

- la sortie de PGP 8.0 pour Windows et Mac OS X est prévue en novembre 2002 (il supportera enfin Windows XP)
- toutes les licences sont transférées de NAI à PGP
- les serveurs de clés PGP Keyservers sont réactivés et le mirroring va être mis en place avec les serveurs de clés libres
- un "board" technique est crée avec comme premiers membres Bruce Schneier (expert en sécurité et cryptographie) et Philip Zimmermann (créateur de PGP)

Pour les utilisateurs de l'open-source, les bonnes nouvelles sont à trouver dans une lettre du CTO et dans la FAQ :
- les sources de PGP vont être ouvertes au public
- PGP 8.0 aura une version Linux.

NewPKI est une nouvelle solution de PKI libre (NdM: licence propre au logicel, libre, copyleftée, et, semble-t'il compatible GPL) développée autour d'OpenSSL.
Le serveur et le client peuvent être installé sous GNU/Linux ou sous Windows (9x comme NT/2000).
Le serveur s'appuie sur une base de données MySQL pour le stockage des données, ce qui permet une grande flexibilité.
Voici quelques fonctionnalités supportées par NewPKI :

- Gestion de multiples AC dans un seul serveur.
- Publication d’une demande de certificat depuis un PKCS10.
- Publication d’une demande de certificat en saisissant les champs du DN.
- Gestion en PKCS12 des clés privées des certificats.
- Gestion des SmartCards.
- Recherche dans un LDAP et publication du certificat.
- Recherche de certificats et des demandes.
- OCSP responder.
- Possibilité d'utilisation de modules hard pour stocker les clés d'AC.
- Toutes les fonctionnalités courantes pour une PKI (révocation, création de CRLs, etc.).

Pas content Dom quand on pique l'argent du projet abiword... Un conseil, si vous avez des sous chez Paypal, comptez vos billes ...

NdM: PayPal est un système qui permet d'effectuer des transferts d'argent, c'est une sorte de banque en ligne. Il semblerait cependant que le projet AbiWord ait eu quelques soucis avec, puisqu'ils y ont perdu 600$. Si LinuxFr devait faire un système de dons en ligne, lequel pourrions-nous utiliser alors ? Quelqu'un a t-il des contacts avec des banques pour que ça ne nous coûte pas trop cher ? :-)

Pour aider les administrateurs réseau, l'agence fédérale participe au recensement des 20 failles de sécurité les plus critiques sous Windows et Unix. Une initiative qui fait suite au plan Bush sur la "cybersécurité".

Curious Yellow est un super-vers (théorique), capable d'infecter rapidement des hôtes vulnérables à une ou plusieurs failles données, dans la lignée des Flash-worm et autres Warhol-worm.

Cet article décrit plus précisément les mécanismes de duplication d'un tel ver, ainsi que les moyens de le contrôler, de le mettre à jour ou même de le combattre (Curious Blue).

Note: que ça soit avec Curious Yellow ou Curious Blue, l'utilisateur final perd en partie le contrôle de sa machine, non ?

Confidentialité et sécurité dans les professions sensibles.

Les personnes qui passent de Windows à Linux sont souvent motivées par les problèmes de sécurité et de confidentialité , qui sont rarement pris en compte dans les petites entreprises et les professions libérales.

Combien de chefs d'entreprises sont conscients des risques qu'ils prennent lorsqu'ils généralisent l'utilisation de Windows sur leurs machines ?

- Gestion des licences : les organismes en charge de la lutte anti-piratage (APPA, BSA, ADAPI) annoncent périodiquement leur intention d'intensifier leurs contrôles. Si les textes sont respectés à la lettre, plus de 80 % des dirigeants seraient condamnés.

- Confidentialité : les professions sensibles (avocats, experts comptables, notaires, détectives) sont en majorité équipés de Windows, et en particulier du couple Internet explorer + Outlook .Combien d'informations sensibles ont-elles déjà été divulguées à cause des multiples failles de sécurité ?

- Secret professionnel : imaginez que votre médecin dévoile à tous ses correspondants votre maladie à cause d'un document Word indiscret, que votre avocat dévoile à la partie adverse son plan de défense, ....

- Guerre de l'information : les structures qui ne disposent pas de service informatique sont des cibles privilégiées pour des attaquants (voir à ce sujet l'article de la revue MISC N°3.)

Bref, les petites entreprises sont-elles condamnées à ignorer Linux ?

Note du modérateur : comme l'a signalé Niconux, même MS déclare que ses produits ne sont pas conçus pour la sécurité (voir le 3ème lien)

Une étude réalisée du 14 au 16 septembre 2002 sur l'ensemble du domaine ".fr", a établi que, sur un échantillon représentatif de 134.149 sites Web, 13.9% des serveurs Web Sécurisés sont vulnérables à la faille de sécurité "OpenSSL SSLv2 Malformed Client Key Remote Buffer Overflow" découverte le 30 juillet 2002.

Celle-ci est particulièrement sérieuse, car elle est actuellement exploitée par le vers Linux.Slapper.Worm.

14000 machines ont déjà été confirmées comme étant infectées.

NdM: laurentn rajoute :
« La faille se situe dans le module OpenSSL d'Apache qui permet les transactions cryptées sur le Web. Le ver reconnaît ses proies en envoyant une requête GET sur le port 80 du serveur pour reconnaître le système Apache. Une fois Apache trouvé, le ver va essayer de se connecter au port 443 du serveur, pour lui envoyer son code. Ce dernier est ensuite compilé avec GCC et les binaires sont exécutés. Le fichier est alors placé dans "/tmp". »