Des failles de sécurité ont été découvertes dans la bibliothèque de gestion d'images libre libpng (PNG portable network graphics).

Ces failles permettent à quelqu'un de mal intentionné d'exécuter du code à distance sur les systèmes Windows, MacOS et Linux.
Les vulnérabilités ont été détectées au niveau de la libpng dans un module où diverses applications piochent les ressources pour décoder les images au format PNG. En créant une image piégée et en la plaçant dans un site Internet ou dans un courriel, celles-ci permettent d'exécuter du code à distance en créant un « buffer overflow » (dépassement de mémoire tampon).
Le Cert-IST a émis le 5 août un avis non public, avec un indice de dangerosité « moyen ».

Des correctifs sont d'ores et déjà disponibles pour les distributions Linux et pour la suite Mozilla.

NdM : voir aussi les annonces sécurité Debian et Redhat.

Le filtre anti-spam SpamAssassin a été officiellement accepté comme projet par la fondation Apache. Cette modification implique que la nouvelle version (3.0.0, actuellement en préversion) sera publiée sous licence Apache version 2.

Par ailleurs, l'équipe a publié une dernière version (la 2.64) sous licence GPL/Artistic pour corriger une faille de sécurité permettant un déni de service.

Nmap, l'outil de sécurité bien connu (celui-là même utilisé dans le film Matrix) vient de sortir en 3.70.

Au programme, de nombreuses nouveautés dont une réécriture complète du moteur le rendant beaucoup plus rapide et lui permettant de scanner de nombreuses cibles en parallèle (par exemple, un scan d'un million d'adresses (NdM : d'un réseau que l'on administre) par la 3.55 durait 2 semaines alors que la pre-3.70 le fait en moins d'une journée).

L'option --exclude permet d'exclure une liste de cibles d'une plage d'adresses.

À noter également une correction/contournement de bug pour que Nmap continue à fonctionner sous Windows XP malgré le SP2.

Clin d'oeil : Nmap se souhaite maintenant un joyeux anniversaire quand il est lancé en mode verbeux le 1er septembre...

Coup sur coup deux annonces assez similaires sont sorties sur les deux systèmes.

Pour Windows, c'est la bibliothèque Graphic Device Interface Plus (ou GDI+) qui est en cause. Il est en théorie possible de compromettre un système vulnérable à la seule lecture d'une image piégée au format JPEG.
À ce jour les premiers exploits commencent à sortir, cela va du plantage de la machine à l'ouverture d'un interpréteur de commande.
Les patchs étant disponibles, il est fortement conseillé de faire les mises à jour.

Pour GNU/Linux, le hasard a voulu que des vulnérabilités similaires soient publiées ces derniers jours. Elles concernent GdkPixBuf qui pourrait être exploité pour provoquer des dénis de service (DoS) ou des compromissions.

Les vulnérabilités sont décrites dans la suite de l'article.

Les correctifs sont normalement disponibles pour la plupart des distributions.

Vu sur la mailling liste BUGTRAQ, un nouvel exploit autour de pam /
userhelp qui, après test, est assez efficace.

NdM. : cette dépêche a été initialement publiée le 17/03/2000 à 17h31, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

C'est ce que nous explique Silicom.com :

"[…] Linux souffre de trous de sécurités majeurs, ce qui pourrait
empêcher son adoption par le milieu des entreprises […]"
ou encore
"[…] Utiliser Linux revient à donner au hacker la clef de la porte de
votre système […]"

Lisez la suite sur leur site web.

NdM. : cette dépêche a été initialement publiée le 27/03/2000 à 13h42, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Echelon dans le Monde d'aujourd'hui : au programme rien de très
technique, mais cet article éclaire pas mal les relations des agences et
des pays par rapport à Echelon ainsi que les motivations d'Echelon.
C'est assez intéressant de savoir qui en profite car on pourrait croire
trop vite que seuls les americains en sont les bénéficiaires.

Update: Merci Franck pour le lien complet.

NdM. : cette dépêche a été initialement publiée le 30/03/2000 à 13h25, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Red Hat rachète cette suite à AOL, pour la passer en open source
Cette suite contient essentiellement :
- Netscape Directory Server
- Netscape Certificate Management System
- Netscape Enterprise [web] Server

Avec OpenLDAP, nous aurons donc deux annuaires openSource, qui potentiellement peuvent occuper la majeure partie du marché. Mais, actuellement, c'est probablement la version de Sun (basée sur la même souche issue du partenariat avec AOL) qui est la plus répandue.

Il reste cependant du boulot (Red Hat envisage une commercialisation dans les 6 à 12 mois), sachant par exemple que la version courante de Directory Server date de décembre 2003.
À noter que cette opération rend disponible en open source (et donc potentiellement gratuitement) une plateforme de gestion de certificats, et donc de la sécurité, robuste, reconnue et bien déployée.

L'équipe IPCop est fière de vous annoncer la sortie le 1er octobre de la version finale V1.4.0.

IPCop Linux est une distribution complète dont le seul objectif est de protéger les réseaux dans lesquels il est installé. Il est extrêmement facile pour n'importe qui d'installer et de configurer le système.
Le pare-feu IPcop s'installe sur un ordinateur dédié, le plus souvent en 10 à 15 minutes.

Le plus célèbre des serveurs RADIUS libres est maintenant considéré comme stable. Après la sortie de la version 1.0 finale, la 1.0.1 corrige des petits bugs applicatifs.

RADIUS est un protocole client/serveur qui permet de centraliser l'authentification des utilisateurs, l'accès aux ressources, et la comptabilité des informations des utilisateurs distants et des ressources utilisées. C'est ce que l'on nomme AAA (Authentication, Authorization Accounting).

Ce type de serveur est très utilisés chez les FAI pour pouvoir autoriser la connexion ou non à tel utilisateur. Mais il permet aussi pour son réseau sans fil domestique d'utiliser l'authentification 802.1X qui permet de restreindre l'accès au réseau de façon beaucoup plus sécurisée qu'une clé WEP.

NdMR : Radius est un standard IETF, voir les nombreuses RFC du 3ème lien.

"En dévoilant un projet de logiciel de sécurité développé sur le modèle
de l'Open Source, Intel lance une nouvelle pique contre son allié de
toujours. Mais le divorce n'est tout de même pas encore prononcé." (Vincent
Birebent)

NdM. : cette dépêche a été initialement publiée le 12/04/2000 à 09h04, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Il existe une page internet très intéressante sur le sujet de la
sécurité informatique, http://stein.cshl.org/~lstein
L'auteur de ce site a développé un ensemble d'utilitaires en langage perl
afin de tester la vulnérabilité du réseau qui peut paraître une vraie
passoire.

NdM. : cette dépêche a été initialement publiée le 14/04/2000 à 13h54, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

42sec.net a posté une interview des webmestres du portail francophone
Sécurité.Org.

NdM. : cette dépêche a été initialement publiée le 29/04/2000 à 00h45, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

L'équipe Prelude annonce sur le site prelude-ids.org que les versions de développement du logiciel de détection d'intrusions (sous licence GPL) ne sont plus accessibles en ligne.

Comme il est expliqué sur le site, l'équipe a choisi de couper provisoirement les accès à la suite d'un différend avec une société. Cette société aurait choisi de ne pas renouveler un accord consistant à salarier un développeur en contrepartie du développement de certaines fonctionnalités par l'équipe de Prelude. L'équipe expose dans le communiqué sa vision des détails de l'accord et des conditions de la non reconduction.

Les versions "stables" de Prelude restent néanmoins disponibles sur le site.

Espérons que cet incident ne remettra pas en question le développement de ce logiciel prometteur.

Mise à jour : la société a publié un communiqué à ce sujet (3ème lien).

Mise à jour : l'équipe de Prelude vient de publier une réponse au communiqué précédent.

NdM : Merci à Killix pour cette information.

Le dernier numéro de Phrack est disponible avec des articles toujours
aussi intéressants (BoF, DDoS, etc).

NdM. : cette dépêche a été initialement publiée le 02/05/2000 à 12h45, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Sendmail a délivré une astuce technique pour contre le virus "I LOVE
YOU" qui infecte les utilisateurs de Microsoft Exchange, Outlook et Outlook
Express. Les administrateurs de serveur de mail peuvent éviter la
propagation de ce virus en ajoutant cette configuration à toutes les
version de Sendmail… (source mynews.free.fr)

NdM. : cette dépêche a été initialement publiée le 05/05/2000 à 19h03, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Tout est dans le titre. Sont notamment corrigés des bugs de sécurité. NdM. : cette dépêche a été initialement publiée le 06/05/2000 à 21h20, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Dans un communiqué le groupe "Peacefire" annonce avoir trouvé un moyen
pour qu'un site Web puisse lire tous les "cookies" enregistrés par le
logiciel de navigation Internet Explorer (versions Windows) sur votre
disque dur. C'est si simple que cela réveille toute nos paranos ;-)
latentes. Et encore merci à Microsoft pour cet exploit !

NdM. : cette dépêche a été initialement publiée le 12/05/2000 à 10h06, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

PaX est un projet visant à apporter à Linux des moyens de prévenir et/ou de minimiser l'impact des failles donnant accès à l'espace d'adressage d'une tâche, comme les dépassements de tampon (buffer overflow), les format string attacks, etc. Il est une partie importante de grsecurity, qui fournit un ensemble d'améliorations liées à la sécurité pour Linux (protection renforcée des chroot , RBAC, etc.).

Le projet a annoncé le 4 mars la présence d'une faille majeure dans le code même de PaX, permettant d'obtenir à un utilisateur simple de gagner des droits plus importants sur le système, voire des droits administrateurs. Cette faille est exploitable localement, mais une exploitation à distance semble peu probable.

Une version mise à jour du patch est bien sûr disponible sur le site de PaX, ainsi que la version 2.1.2 de grsecurity qui inclut le correctif. Dans l'urgence,

# echo "0 0" > /proc/sys/vm/pagetable_cache

...permet d'éviter le principal vecteur d'exploitation potentiel.

Les auteurs de PaX ont par ailleurs déclaré qu'au vu de la gravité de la faille et pour d'autres raisons, le développement de celui-ci serait arrêté au 1er avril 2005. Brad Spengler, un des auteurs de grsecurity, s'est cependant porté volontaire pour reprendre le flambeau.

NdM : merci à mmenal pour avoir contribué à la news.

Vous avez toujours voulu savoir à quoi ressemblent Fyodor (nmap), RFP
(rfp.labs), Ken Williams (ex-PSS), Aleph1 (BugTraq), Lance Spitzner, Marty
Roesch (snort) sans oser le demander ?

NdM. : cette dépêche a été initialement publiée le 13/05/2000 à 03h04, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Champagne ! :) L'outil d'audit sécurité réseau est enfin sorti en
version finale.

NdM. : cette dépêche a été initialement publiée le 18/05/2000 à 10h17, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Encore un autre virus qui se propage par le mail.
Newlove sera moins contagieux que ILY mais plus destructeur.
Je me sent un peu delaissé par les createurs de virus :-(

NdM. : cette dépêche a été initialement publiée le 20/05/2000 à 13h36, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

L'auteur de nmap (fyodor) a mis en place un questionnaire sur son site,
afin de mieux orienter le développement de son scanner.
Donc, si vous voulez que certaines fonctionnalités manquantes soient
rajoutées, allez faire un tour sur insecure.org

NdM. : cette dépêche a été initialement publiée le 24/05/2000 à 15h29, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Linux PAM, le système d'authentification pour Linux, est sorti avec en version 0.79.

Elle apporte, en plus de la correction de nombreux bugs, le support des limitations du noyau 2.6 dans le module pam_limits, ainsi qu'un support expérimental du système de détection d'intrusions Prelude IDS, qui permet à Linux PAM d'agir comme une sonde pour rapporter des alertes à Prelude à chaque fois qu'un utilisateur est appelé à s'authentifier.

Des chercheurs anglais ont découvert une grave faille de sécurité dans les protocole IPSec, utilisés pour le cryptage des paquets dans les réseaux VPN.

Cette faille concerne les tunnels IPSec ESP (Encapsulating Security Payload) et certaines configurations utilisant AH (Authentification Header), et permet à l'attaquant de récupérer en clair le contenu d'un paquet qui ne lui est pas destiné par un message d'erreur ICMP. Elle est considérée comme grave, et cible potentiellement un grand nombre de réseaux d'entreprise.

Des solutions sont d'ors et déjà disponibles, mais elles imposent la modification de la configuration du VPN.