Une nouvelle faille de sécurité vient d'être mise à jour dans Sendmail, versions 8.12.8 et précédentes. Il n'est pas impossible que cette faille puisse mener à un accès root distant. Elle serait aussi plus facilement exploitable sur les systèmes petit boutistes. Seuls les systèmes dont le type char est signé sont vulnérables tels quels.
Bien sûr une version corrigée de Sendmail est d'ores et déjà disponible

Le site O'ReillyNet propose un article d'introduction à Systrace.

Systrace est un outil développé par Niels Provos (développeur d'OpenSSH entre autres) présent sur OpenBSD et NetBSD permettant de renforcer la sécurité de son système. Pour chaque programme exécuté sur une machine, Systrace permet de définir un ensemble d'appels système (system call) que le logiciel a le droit ou non d'éxecuter : ouverture/écriture de fichiers, ouverture, lecture/écriture d'une socket TCP/IP, allocation de mémoire...

Pour un programme donné, on peut définir une politique de sécurité avec Systrace lors de sa première exécution ou alors récupérer sur le Net une signature déjà rédigée.

Dans le cas d'un programme bogué et utilisé pour commettre un "hack", si Systrace est utilisé et correctement configuré pour ce logiciel, il permet d'empêcher une utilisation malicieuse (piping d'un shell sur un serveur Wu-FTP lors d'un buffer-overflow distant par exemple).

Le 29 janvier 2003, le groupe de travail Article 29 représentant les autorités de l'UE chargées de la protection des données, a publié un document sur les systèmes d'authentification en ligne.

Au regard de la directive 95/46 CE portant sur le traitement des données personnelles, ce document présente les observations du groupe de travail sur le système .NET Passport et sur le projet Liberty Alliance ainsi que les lignes directrices générales pour tout système d'authentification en ligne présent ou futur.

Le rapport contient un tableau comparé des possibilités offertes à l'utilisateur en matière de protection de données personnelles par les technologies suivantes : Mozilla Password Manager, authentification par proxy, Microsoft Passport, Liberty Alliance.

Suite à l'affaire Humpich (oui, ça date déjà...) qui avait in fine mis au jour la position juge-et-partie du GIE Carte Bancaire, le gouvernement Jospin avait alors mis en oeuvre deux réformes. En toute discrétion... La première était la réforme du SCSSI, transmuté en DCSSI. La seconde était la création d'un Observatoire de la sécurité des cartes de paiement. Or ses membres viennent d'être nommés...

Dans le monde des admins système, il y a ceux qui ont déja connu un crash disque ou une fausse manip du comptable qui efface tout l'exercice fiscal juste avant la clôture, puis se sont aperçus avec horreur qu'il n'y avait pas de sauvegarde récente...

On retrouve sur net-security.org la présentation d'un livre (en anglais) contenant des ressources et des méthodologies requises pour commencer vos propres audits de sécurité. N'espérez pas devenir un guru de la sécurité après avoir lu ce livre, mais si vous êtes intéressé par les audits de sécurité il fournira une introduction à certains des meilleurs outils de sécurité à ce propos. A noter que le premier chapitre du livre intitulé "Basic Windows 2000/Windows 2000 Server Installation and Configuration" est en libre téléchargement (au format pdf) sur le site.

La stéganographie est l’art de cacher des données dans d’autres données. Cacher un texte dans une image, une image dans un fichier musical, une image dans une autre image, bref les possibilités sont nombreuses et l’équipe de développement de SynAckLabs ouvre de nouveaux horizons aux applications stéganographiques. En effet, celle-ci développe StegTunnel, un outil permettant de transmettre des données cachées dans les champs IPID et Numéros de séquence utilisés lors de connexions TCP.

Fyodor (l'auteur du célèbre nmap) a lancé un sondage auprès des utilisateurs de son outil, afin de référencer les outils de sécurité préférés. Les résultats sont disponibles sur le site de nmap.

On notera que la majorité des outils cités sont libres et que Nessus occupe la première place ! (Ndm : Le très chouette Nessus est un projet géré principalement par un français, Renaud Deraison)

La version 2.0 de Nessus vient de sortir.
Une grande partie du code a été reécrit pour améliorer la vitesse du démon nessusd.
Quelques autres nouveautés sont le support des ID de Bugtraq dans les plugins et un nouveau scanner de port.

Un faille de sécurité vient d'être découverte dans Sendmail. Celle-ci peut donner un accès root à une personne non autorisée. Il n'y a pas d'exploit connu à l'heure actuelle, mais chacun est très fortement encouragé à patcher son système ou à passer à la dernière version, dans les plus brefs délais.

NdM: Encore un buffer overflow dans Sendmail. La protection contre l'exécution de la pile semble être inefficace ici. Pas encore d'infos sur l'efficacité de StackGuard/ProPolice vis à vis de cette faille (en fait, il n'y a pas encore d'exploit pour tester si ProPolice fonctionne ou pas dans ce cas). RedHat et OpenBSD semblent être les premiers à avoir livré des patchs pour leurs systèmes respectifs.

N'hésitez pas à poster en commentaire les URIs vers les patchs de votre système/distribution favorite !

Il semble que le dernier post « mes meilleures adresses » ait été apprécié, c'est pourquoi je propose de remettre le couvert. Restons encore une fois dans la sécurité (ça sera la dernière), et intéressons nous à la pratique.

Connaissez-vous des documents plus ou moins précis sur l'art de structurer son réseau, de configurer les machines et de gérer les utilisateurs (ben oui, il faut bien s'occuper de leur dispenser quelques notions) ? Existe t'il des documentations sur l'art de programmer sans trou, notamment avec les langages de scripts Web ? [...]

Comme indiqué sur la page du projet, le "Challenge-SecuriTech est un concours organisé par un groupe de 7 étudiants de l'école d'ingénieurs E.S.I.E.A. dans le cadre d'un projet scolaire."
Il est ouvert à tous et comporte trois parties:
- cryptographie/stéganographie
- réseau
- analyse et recherche de failles
Le challenge aura lieu du 28 avril au 20 mai 2003 et une conférence aura lieu le 21 mai.

Je profite de la sortie de la version 1.0.10 pour attirer l'attention sur "Firewall Builder".

Ce petit logicel en licence MIT, vous permet de configurer graphiquement vos règles de filtrage, NAT (destination et source) et autres. La philosophie de l'interface ressemble beaucoup à celle de Checkpoint Firewall-1

Il est multi-plateformes : iptables, ipfilter (FreeBSD, Solaris), pf (OpenBSD), ipfw (MacOS X) et désormait les PIX de CISCO.

Pour ceux qui n'avaient pas été présents à SSTIC (une conférence sur la sécurité organisée par MISC), les présentations et les papiers associés sont enfin disponibles sur le site.

Seul point noir, la présentation du général Jean-Louis Desvignes n'est pas encore disponible. On pourra noter déjà l'enthousiasme des organisateurs pour une nouvelle version de cette conférence pour 2004.

L'informatique va-t-elle contribuer à relancer l'industrie spatiale ? C'est en tout cas ce que projette TransOrbital de La Jolla. Le but étant de proposer de mettre des données à l'abri d'un événement de type 11 septembre ou d'un conflit.

Transorbital a obtenu toutes les autorisations des départements d'état des États-Unis, de l'armée et de la NASA. Les tirs commenceront à partir du premier trimestre 2004.

Je n'ai pas réussi à savoir quel sera le serveur de sauvegarde qui sera utilisé...

ISS a découvert un bug dans le traitement des téléchargements en mode ASCII, dans Proftpd.

L'attaquant peut obtenir un shell root en uploadant puis en téléchargeant en mode ASCII un fichier soigneusement choisi.

Tous les utilisateurs sont évidemment invités à patcher au plus vite.

ZDNet invite les admins web à mettre jour leur bind.

Décidément, chez ZDNet, le ridicule ne tue pas : je viens de lire un article (voir lien) où l'auteur confond joyeusement serveurs DNS et web : à tel point que je me suis demandé si la news ne devait pas être plutôt classé en rubrique "humour", vu qu'elle est certainement déjà passée ici.

Communiqué de Tuxfamily repris par LinuxFrench et LinuxFr :

« Bonjour, cette nuit nous avons du faire face à un évènement inimaginable : les serveurs TuxFamily ont été volé. La porte de la baie contenant les machines a été fracturée. Les responsables de la salle machine n'ont fait aucun commentaire. Nous allons porter plainte dans la journée.

Quoiqu'il en soit, grâce au prêt d'une OpenBrick par notre partenaire Lost Oasis, TuxFamily continue de fonctionner. Malheureusement, nous n'avons pu que restorer des backups du vendredi 13 janvier 2003. De plus, pour assurer un service de qualité sur une plateforme réduite, nous avons décidé de ne remettre en ligne que les services des membres de l'association TuxFamily à jour de leur cotisation. Nous n'avons pas encore décidé si l'hébergement gratuit va perdurer dans sa forme actuelle.

Si votre site ne fonctionne pas, nous vous engageons à envoyer au plus vite votre chèque d'adhésion à l'adresse http://tuxfamily.org/?action=assoc. »

Mise à jour : c'était évidemment le poisson d'avril de Tux Family

Ca y est, après deux longues années de réflexion, l'IETF (Internet Engeneering Task Force) a enfin résolu de manière définitive tous les problèmes de sécurité des réseaux.

La sécurité ne rimera pas avec crypto, ni avec parano. Un mécanisme simple va être ajouté dans IPv4 (il semblerait qu'il y ait un consensus pour porter le système dans IPv6) ce qui permettra de rendre totalement transparente cette couche sécurisée. La RFC n'est pas très longue, espérons qu'elle aura autant de succès que les précédentes.

Mise à jour : les dépêches IETF datées 1er avril sont des poissons d'avril. Voir par exemple la liste de DMOZ

Ce n'est pas vraiment un scoop puisque l'info date du 1er avril, mais c'est une info que je n'ai pas encore vu sur linuxfr.org ... En effet, la nouvelle version de OpenSSH (3.6.1) daté du premier avril (ce n'est pas un poisson ...ou alors c'est un "fugu" ) est en ligne.

Il existe un buffer overflow (débordement de tampon) dans mplayer qui, sous certaines conditions, est exploitable à distance. Il est conseillé de patcher.

La version 0.92 et les versions précédant la 0.90pre1 ne sont pas vulnérables. Le patch est disponible sur le site de mplayer.

Des problèmes de sécurité viennent d'être révélé par le projet OpenSSL, la bibliothèque de cryptographie. La faille découverte permet un déni de services et une corruption de pile favorisant alors l'exécution de code hostile.

Toutes les versions inférieures à 0.9.6j et 0.9.7b sont affectées.

Il est recommandé de passer à la version 0.9.7c ou 0.9.6k et de recompiler les programmes liés statiquement à OpenSSL.

Knoppix, le système Linux en CD bootable, sort une mouture orientée securité avec ce qu'il faut pour transformer n'importe quel PC en machine de guerre sans rien y installer .

Le softs sont rangés suivant les catégories :
- authentication
- encryption utilities
- firewalls
- penetration tools
- vulnerability assessment
- forensic tools
- honeypots
- intrusion detection
- packet sniffers and assemblers
- network utilities
- wireless tools
- password auditing (crackers)
- servers

Conférence Linux

La 13ème édition des Last saturdays de l'association OSIM (Open Source In Morocco) aura lieu exceptionnelemlent le Samedi 24 Janvier à partir de 9 heures.

Thème : Sécurité générale et gestion des risques, par Hichame JEFFALI.

Lieu : faculté des sciences de ben msik, salle de réunion du département de physique, Casablanca.

Entrée libre et gratuite.

Un trou de sécurité a été detecté dans le programme "Seti@Home" (programme permettant d'analyser des signaux radio de manière a trouver une forme de vie intelligente).