Je sais que nous ne sommes pas sur Freshmeat mais après plusieurs mois
de gestation, une nouvelle version stable de nmap vient de sortir (la
2.52).
Cet outil est un scanner de ports TCP/IP et permet de vérifier les machines
up sur un réseau, les ports ouverts sur une machine (d'autres diront que
c'est un outil de hack pour trouver les services à attaquer !!!). Cette
version reconnait plus de 500 empreintes de piles TCP/IP et les OS associés
(toujours intéressant…).

Vu les lubies de nos amis du conseil européen, je vais être poursuivi pour
avoir passé cette annonce ;-)

NdM. : cette dépêche a été initialement publiée le 03/05/2000 à 16h45, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Une bonne introduction sur la sécurité réseau pour les futurs noyaux
Linux 2.4 dans Linux Magazine de janvier 2000.
Pour ceux qui venaient juste d'apprendre l'utilisation de ipchains et du
masquerading, va falloir se mettre à netfilter et iptables !

A ce propos, ce sera le 3eme changement majeur (après ipfwadm et ipchains)
des règles de firewalling de la pile TCP/IP Linux; dommage que ipf (présent
dans OpenBSD par exemple) ne soit plus supporté pour Linux depuis les
version 2.0.x !

NdM. : cette dépêche a été initialement publiée le 09/05/2000 à 11h23, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

" Nous sommes aujourd'hui à la veille d'une grande catastrophe
informatique.
Une entreprise de démolition informatique d'une ampleur encore jamais vue
risque d'arriver d'un instant à l'autre.
Il est probable qu'un virus d'une virulance sans comparaison avec ce que
l'on a vu récemment de pire fasse irruption dans les prochains mois. Il
ferait des dégâts dont les conséquences économiques pourraient tuer un
grand nombre de sociétés.

En effet, nous arrivons à la conjonction de plusieurs phénomènes :
1) Les technologies d'attaque les plus avancées sont désormais publiées et
sont utilisées de plus en plus souvent simultanément dans le même code
malicieux. Rassemblées correctement, ces technologies sont imparables.
2) La quantité de machines mal protégées susceptibles d'amplifier l'attaque
a augmenté très rapidement.
3) Le nombre d'internautes assez compétent pour réaliser une telle attaque
est en train de dépasser la masse critique.
4) Nous sommes au début du "cycle d'été" qui marque chaque année la mise en
oeuvre des nouvelles technologies de piratage.
5) Les technologies de défense ont pris un retard technologique trop
important.
6) Que peut-on faire ? "

La suite en ligne.
A lire absolument (meme si un peu long).

NdM. : cette dépêche a été initialement publiée le 11/05/2000 à 10h55, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Sur freshmeat, un débat très intéressant met en exergue les problèmes
liés aux upgrades automatiques des distributions par package. Pour une
fois, Debian n'est pas à l'honneur puisqu'apt étant l'un des outils de mise
à jour les plus puissants, la distrib est particulièrement menacée par
l'apparition de toyens ou virus au sein de packages. Une personne
représente Red Hat et argumente à propos des RPMs.

Même si une telle menace ne s'est à ma connaissance jamais concrétisée, il
est toujours intéressant de se pencher sur ce type de problème.

Bref (humour) Slack r00lz (/humour) :-)

NdM. : cette dépêche a été initialement publiée le 13/05/2000 à 11h40, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

J'ai dernièrement redécouvert GnuPG (merci Huge :), et j'utilise cette
version Open Source de PGP pour signer et accessoirement encoder mes mails.
Il y en a-t-il parmi vous qui utilisent ce programme quotidiennement ? Et
est-ce que les programmes de mail habituels sous windows (outlook, eudora)
gèrent correctement les messages codés ou signés ?

Dans tous les cas, si vous ne connaissez pas encore ce programme, je vous
conseille vivement d'y jetter un coup d'oeil : il est parfois bon de se
rappeller qu'un email est équivalent à une carte postale : le contenu est
lisible par à peu près tous les intermédiaires.

NdM. : cette dépêche a été initialement publiée le 14/05/2000 à 03h46, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Bugtraq nous présente ses stat. de 3 ans d'études des vulnérabilités
d'OS. Si on s'attarde sur les Net servers, OpenBSD décroche la palme d'or.
Par contre l'ensemble des distrib. Linux aurait connu sur 3 ans plus de
failles que Windows NT !!!
Reste que si on compare séparément RedHat ou Debian à Windows NT, on
constate un net avantage à Linux ! De plus chacun d'entre nous connaît la
promptitude du Libre face aux trous de sécurité.

NdM. : cette dépêche a été initialement publiée le 15/05/2000 à 21h05, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Nous savons qu'un système Linux est à l'abri des débordements de ses
utilisateurs, mais un utilisateur est-il à l'abri des débordements des
programmes qu'il éxécute ?
Pourquoi une excellente sécurité au niveau système, et aucune au niveau
utilisateur ?

Voilà une question que je développe dans une petite bafouille que j'ai mise
en ligne. Si j'ai fait ça, c'est uniquement en attente des commentaires que
cela pourrait susciter. J'attends donc vos contributions avec impatience
(plutôt que de m'écrire directement, poster sur linuxfr pour que tout le
monde puisse en profiter)

NdM. : cette dépêche a été initialement publiée le 16/05/2000 à 13h40, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Si l'on en croit cet article de BBC News, le remède risquerait d'être
pire que lemal, en effet UCITA permettant "légalement" aux éditeurs de
logiciels d'installer des backdoors dans leurs produits afin de vérifier,
par exemple le respect des accords de licence, ces backdoors peuvent être
propices à de nombreux exploits, car il est très vraissemblale que leur
utilisation, contrairement à ce que croient naïvement certaines firmes,
sera aussi le fait de nombres de crakers avec les conséquences que l'on
imagine facilement ( par exemple qui sera tenu pour responsable ).

NdM. : cette dépêche a été initialement publiée le 19/05/2000 à 11h13, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Securityfocus a mis en ligne sur son site un recapitulatif des bugs
trouves sur les OS depuis 3 ans.
La famille Windows truste les premieres places (plein de bugs decouverts),
mais Linux n'est pas loin derriere (si l'on agrege toutes les distribs).
A noter l'excellente performance d'OpenBSD et de Mac OS et la pietre
prestation de Windows 2000 (pourtant lancé fin fevrier)

Deux facteurs sont susceptibles de faciliter la decouverte de bugs sur un
systeme :
- la disponiblite du code source (et c'est la que OpenBSD fait tres fort)
- la diffusion de l'OS (qui accroissent les chances de tomber sur un bug)

Linux cumule ces 2 facteurs "penalisant", on peut donc etre agreablement
surpris par le faible nombre de bugs trouves, toutes distribs confonfues.

NdM. : cette dépêche a été initialement publiée le 29/05/2000 à 18h23, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

P3P est un protocole destiné à garantir le respect des données
personnelles des internautes…
La maison blanche se félicite d'être parmis les premiers sites à supporter
ce protocole.
Microsoft annonce le support de P3P pour Windows et IE (Mouarf).

Et bien sur comme tout ne va pas pour le mieux dans le meilleur des mondes
l'association EPIC publie un rapport très critique sur l'efficacité
pratique de P3P en reprenant et complétant certaines conclusions de l'Union
Européenne…

Le gouvernement américain pousserait-il ce protocole en avant,
conjointement avec Microsoft, et en laissant quelques Backdoor ?

NdM. : cette dépêche a été initialement publiée le 23/06/2000 à 14h06, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

C'est avec beaucoup de plaisir que je vous annonce le passage du proxy
authentifiant Solsoft NSM en Open Source.
Pour résumer ses fonctionnalités, NSM permet de gérer/authentifier des
utilisateurs sur un firewall et offre des capacités de filtrage de
protocoles applicatifs très fines.
Couplé à des systêmes de filtrage IP comme IPChains et IP Filter, il permet
la création d'un garde-barrière complet et 100% Open Source.
Ce logiciel a été choisi par de nombreux grands comptes, et devient
maintenant accessible à tous, notamment aux universités et aux PME.

NdM. : cette dépêche a été initialement publiée le 23/06/2000 à 13h36, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Les versions de wu-ftpd fournis avec Debian 2.1 (slink), potato et
woody sont vulnérables à une "remote root attack".
La configuration de base sur debian empeche la vulnerabilité d'etre
exploitable lors des connexions anonymes.
Il est fortement recommandé de procéder aux mise à jour de vos paquets.
Un ptit coup d'apt-get à faire d'urgence!

Rq: le problème n'est pas spécifique à debian.

NdM. : cette dépêche a été initialement publiée le 23/06/2000 à 13h27, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Une vulnérabilité grave a été publiée sur Microsoft outlook et
Microsoft Outlook Express.
La vulnérabilité permet d'exécuter un programme sur le poste de travail
d'un utilisateur de l'un de ces produits Microsoft… simplement en lui
envoyant un mail.
Le code se déclenche en "prévisualisant" le mail, c'est à dire sans même
avoir à l'ouvrir, ni exécuter quoi que ce soit.

En résumé, le bug est du à une erreur de programmation dans la manière de
lire l'heure dans l'en-tete du mail (sic !)

Le risque est Majeur compte tenu du grand nombre d'utilisateurs de ces
logiciels. Bien évidemment, tous les utilisateurs de Linux et/ou d'un
client de messagerie en Logiciel Libre sont à l'abri.
Le risque est d'autant plus grand que pour lutter contre les "hoaxes" c'est
à dire les fausses alertes au virus (genre "si vous recevez un mail qui dit
blah blah, ne l'ouvrez pas c'est dangereux…") la plupart des
administrateurs réseaux ont expliqué longuement à qui voulait bien les
entendre qu'il ne pouvait jamais y avoir le moindre risque à lire un mail.
C'est inexact et ce bug permet de concevoir une attaque majeure contre
l'ensemble des machines Windows+Outlook.

L'ensemble des organismes de référence en sécurité sonnent l'alerte maximum
et implorent les administrateurs de corriger le bug avant de partir en
week-end.

C'est l'occasion de faire un peu de Pub :
Avec Linux, profitez gratuitement de vos week-end, avec Microsoft, payez
pour installer les patches le vendredi soir sur tous les postes !

Mais je vous accorde que ca n'a rien de drôle.

Pour bloquer les tentatives d'attaque de ce type, des filtres existent pour
Postfix, Sendmail etc. (bloquer les mails sur détection du regexp:
/^{Date:.{60,}$/} )
pour les config précises, suivre le lien "credits" sur le site de Bugtraq
(securityfocus.com)

Bon week-end quand même !

NdM. : cette dépêche a été initialement publiée le 22/07/2000 à 01h58, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Netscape, jusqu'à la version 4.73, est très sensible au champ "Comment"
des images JPEG.

Dans le meilleur des cas, il plante, dans le pire il est possible
d'executer du code "maison".

Le navigateur, le mail et les news sont touchés. Il est donc possible de
faire un mail-virus sous linux grace à Netscape…

Solution : upgrader à la version 4.74, ou passer à MozillaM16 qui ne sont
pas vulnérables.

NdM. : cette dépêche a été initialement publiée le 26/07/2000 à 11h58, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Voici un article paru sur slashdot, nature et d'autres.
Il est question de la vulnérabilité des réseaux , des architectures
partagées, et d'internet.
Saviez vous que 4% seulement des serveurs sont cruciaux, au point ou les
détruire transformerait internet en des îlots de réseaux isolés ?
Intéressant, surtout lorsqu'on parle du contrôle par les gouvernements, de
réaliser la fragilité du réseau.
Suffit de casser les serveurs de noms, certains backbones transatlantiques,
et hop.

Effrayant non ?

NdM. : cette dépêche a été initialement publiée le 28/07/2000 à 17h10, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Bull annonce CDSA sous Linux en Open Source sans préciser la licence
utilisée. Le produit sera disponible le 24 août. Pour information CDSA est
"une infrastructure de sécurité […]permettant le développement
d’applications sécurisées dans un environnement Internet". Ce produit
a été réalisé avec Intel "pour créer une offre en Open Source à partir de
ce standard de sécurité".

NdM. : cette dépêche a été initialement publiée le 03/08/2000 à 09h50, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Comment transformer Netscape-le-browser-web en Netscape-le-serveur-web
? Grâce à la magie de Java…et BOHTTPD, alias Brown-Orifice - dont le nom
charmant témoigne du goût exquis de l'auteur.
Un coup d'oeil à la page BOHTTPD_spy nous montre que les victimes
potentielles ne sont pas seulement celles qui utilisent des produits
MicroSoft (oui je ne crois pas qu'il y ait de répertoires /var/log ou /usr
sous Windows…).
Vous pouvez meme ouvrir le trou de sécurité chez vous… [déconseillé ;) ]
* Merci /. *

NdM. : cette dépêche a été initialement publiée le 06/08/2000 à 12h41, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Sur la redhat-announce-list, le message suivant a été envoyé, à propos
des nouveaux RPMs de SSH version 1.2.30:

Je cite Jan Kasprzak, le packager:
"BEWARE! All packages are GPG-signed with my key kas@fi.muni.cz. Be sure
to check the signature. Few months ago there has been ssh-1.2.27-8i RPMs
floating around the Net, which had my name both in the Vendor and Packager
fields, but which was NOT built by me. Curiously enough these packages
contained a remote-root security hole. Thanks to people who pointed me at
this, namely Alex de Joode."

Traduction par le modérateur:
"Attention ! Tous les packages sont signés avec ma clef GPG. Soyez sur
d'avoir vérifié ma signature. Il y a quelques mois un package RPM
ssh-1.2.27-8i était disponible sur le Net, il avait mon nom dans le champs
Vendeur et Packager mais n'avait pas été fait par moi. Curieusement ces
packages contenaient un trou de sécurité qui permettait d'etre root à
distance […]"

Qui vérifie systématiquement l'authenticité de ses RPMs ? (ou .deb etc.. )

NdM. : cette dépêche a été initialement publiée le 08/08/2000 à 09h26, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).