Vulnérabilité via des formats d'images : Windows - GNU/Linux

Posté par . Modéré par Jaimé Ragnagna.
Tags : aucun
0
24
sept.
2004
Sécurité
Coup sur coup deux annonces assez similaires sont sorties sur les deux systèmes.

Pour Windows, c'est la bibliothèque Graphic Device Interface Plus (ou GDI+) qui est en cause. Il est en théorie possible de compromettre un système vulnérable à la seule lecture d'une image piégée au format JPEG.
À ce jour les premiers exploits commencent à sortir, cela va du plantage de la machine à l'ouverture d'un interpréteur de commande.
Les patchs étant disponibles, il est fortement conseillé de faire les mises à jour.

Pour GNU/Linux, le hasard a voulu que des vulnérabilités similaires soient publiées ces derniers jours. Elles concernent GdkPixBuf qui pourrait être exploité pour provoquer des dénis de service (DoS) ou des compromissions.

Les vulnérabilités sont décrites dans la suite de l'article.

Les correctifs sont normalement disponibles pour la plupart des distributions.

Nmap 3.70 est sorti

Posté par (page perso) . Modéré par jerome.
Tags :
0
6
sept.
2004
Sécurité
Nmap, l'outil de sécurité bien connu (celui-là même utilisé dans le film Matrix) vient de sortir en 3.70.

Au programme, de nombreuses nouveautés dont une réécriture complète du moteur le rendant beaucoup plus rapide et lui permettant de scanner de nombreuses cibles en parallèle (par exemple, un scan d'un million d'adresses (NdM : d'un réseau que l'on administre) par la 3.55 durait 2 semaines alors que la pre-3.70 le fait en moins d'une journée).

L'option --exclude permet d'exclure une liste de cibles d'une plage d'adresses.

À noter également une correction/contournement de bug pour que Nmap continue à fonctionner sous Windows XP malgré le SP2.

Clin d'oeil : Nmap se souhaite maintenant un joyeux anniversaire quand il est lancé en mode verbeux le 1er septembre...

SpamAssassin devient un projet Apache, et corrige une faille de sécurité

Posté par (page perso) . Modéré par Benoît Sibaud.
Tags :
0
12
août
2004
Sécurité
Le filtre anti-spam SpamAssassin a été officiellement accepté comme projet par la fondation Apache. Cette modification implique que la nouvelle version (3.0.0, actuellement en préversion) sera publiée sous licence Apache version 2.

Par ailleurs, l'équipe a publié une dernière version (la 2.64) sous licence GPL/Artistic pour corriger une faille de sécurité permettant un déni de service.

Failles de sécurité dans la libpng

Posté par . Modéré par Benoît Sibaud.
Tags :
0
9
août
2004
Sécurité
Des failles de sécurité ont été découvertes dans la bibliothèque de gestion d'images libre libpng (PNG portable network graphics).

Ces failles permettent à quelqu'un de mal intentionné d'exécuter du code à distance sur les systèmes Windows, MacOS et Linux.
Les vulnérabilités ont été détectées au niveau de la libpng dans un module où diverses applications piochent les ressources pour décoder les images au format PNG. En créant une image piégée et en la plaçant dans un site Internet ou dans un courriel, celles-ci permettent d'exécuter du code à distance en créant un « buffer overflow » (dépassement de mémoire tampon).
Le Cert-IST a émis le 5 août un avis non public, avec un indice de dangerosité « moyen ».

Des correctifs sont d'ores et déjà disponibles pour les distributions Linux et pour la suite Mozilla.

NdM : voir aussi les annonces sécurité Debian et Redhat.

Nouvelle forme d'arnaque : l'usurpation d'identité de site web via XUL

Posté par . Modéré par Benoît Sibaud.
Tags : aucun
0
29
juil.
2004
Sécurité
Un nouveau type d'usurpation d'identité (étrangement dénommé phishing) apparaît avec XUL. Un site web peut fabriquer de toutes pièces une interface de navigation pour faire croire au visiteur qu'il est sur un autre site web.

Il s'agit d'un inquiétant problème de sécurité, apparemment non-résolu pour le moment.

Avec Gecko, un nouveau langage est apparu : le XUL. Ce langage permet la création d'applications complètes. Ainsi Mozilla peut servir de plate-forme pour lancer tout un tas d'applications écrites en XUL. Au premier rang de ces applications figure bien sûr le navigateur de Mozilla.

Mais voila, une nouvelle forme de « phishing » apparaît en même temps. En effet quand on fait pointer Gecko sur une URL « XUL », il lance l'application. Mais voila, que faire si la dite application simule une nouvelle fenêtre de navigation, avec l'URL de votre banque dans la barre d'adresse, un petit cadenas dans le coin, un vrai-faux certificat etc ... ?!

Zabbix : un nouvel outil de monitoring

Posté par (page perso) . Modéré par Christophe Guilloux.
Tags :
0
19
juil.
2004
Sécurité
Zabbix est un outil relativement méconnu jusqu'ici, qui se propose de remplacer à la fois Nagios et MRTG. Il permet de suivre l'état complet d'un réseau (débits, etc.) et des systèmes le composant (utilisations processeur, disque, mémoire, processus, etc.) en proposant des graphiques personnalisables de chacune des caractéristiques surveillées et de déclencher des alertes sur des seuils personnalisables ou prédéfinis. Il est extrêmement configurable au travers d'une interface web.

Veridicom propose un kit de développement pour Linux

Posté par . Modéré par Jaimé Ragnagna.
Tags : aucun
0
16
juil.
2004
Sécurité
Veridicom, société spécialisée dans les produits de sécurisation informatique par authentification digitale (NdM : digitale pour « avec les doigts », pas comme mauvaise traduction pour numérique), a annoncé ce jeudi 15 Juillet la sortie d'une suite logicielle pour les systèmes Linux (NdM²: GNU/Linux). Seuls seront supportés les noyaux et distributions suivants :

• Red Hat Enterprise Linux 3 Update2, noyau 2.4.21-15.EL
• Red Hat Enterprise Linux 3 , noyau 2.4.21-4.EL
• Red Hat 8.0, noyau 2.4.15
• Red Hat 7.3, noyau 2.4.5
• Slackware 9.1, noyau 2.4.22
• SUSE 8.1, noyau 2.4.19-4GB
• SUN SUSE 8.1, noyau 2.4.19-4GB/

Pour commencer, seules les sondes FPS200 seront gérées. Mais Veridicom assure qu'ils planifient le support de l'ensemble de leurs produits sous les systèmes Linux (NdM²: GNU/Linux) et prévoient le support du noyau 2.6 dans les mois qui viennent.

Le kit de développement (SDK) de Veridicom coûte 1700 $ et sera disponible le 1er août. Aucune information sur la licence de la partie logicielle du produit n'est mentionnée.

Sortie de Nessus 2.1.0

Posté par . Modéré par Christophe Guilloux.
Tags :
0
15
juil.
2004
Sécurité
La version 2.1.0 de Nessus est sortie. Nessus est un scanner de vulnérabilités, permettant d'identifier à distance certaines failles présentes sur les machines d'un réseau.
La grande nouveauté de la version 2.1.0 par rapport aux précédentes versions est le "test local", c'est-à-dire la capacité à pouvoir s'identifier sur les machines distantes par SSH et de vérifier que tous les bons patches ont été appliqués.
Les OS supportés pour le moment sont FreeBSD, Red Hat Enterprise Linux, Solaris et MacOS X. Apparemment, le support de SuSE et Debian est en cours de développement.

La norme de communications sans-fil 802.11i validée

Posté par . Modéré par Benoît Sibaud.
Tags : aucun
0
13
juil.
2004
Sécurité
Le 23 juin 2004, lors de la conférence à Piscataway (N.J) le groupe de travail 802.11 de l'IEEE a homologué et certifié la norme de communication de réseau local sans-fils 802.11i.

Elle a pour seul but d'amener une réelle couche de sécurité au protocole 802.1x.

Avec l'utilisation de ce protocole dans nos réseaux non filaires GNU/Linux et BSD, nous devrions être en mesure de travailler réellement à la sécurité du réseau et non plus à contourner les faiblesses du protocole.
En effet, comment profiter d'une infrastructure fiable si le protocole est vérolé !

Nouveau CA gratuit

Posté par (page perso) . Modéré par Nÿco.
Tags :
0
6
juil.
2004
Sécurité
L'organisation à but non lucratif CA-Cert a ouvert un Certificate Autority (autorité de certification) gratuit et accessible à tous.
Ils vous proposent :
- certificats de signatures numériques
- certificats pour serveurs

Le CA-Cert est dépendant du CERT Australien.

Retranscription vidéo/audio Pierre Betouin (Challenge Securitech)

Posté par . Modéré par Mouns.
Tags :
0
30
juin
2004
Sécurité
Dans le cadre du Challenge Securitech 2004, Pierre Betouin, organisateur, donna une conférence le 7 juin 2004 lors des réunions du groupe SWNT de l'OSSIR. Lors de celle ci, il a été abordé les détails techniques, logistiques et juridiques de l'organisation d'un concours de ce type ainsi que la résolution des niveaux, le monitoring, les problèmes rencontrés et les contraintes de sécurité. À voir également les insolites : résolution des niveaux de cryptographie avec un tableur !

Le site secuobs.com vous propose le choix entre une retranscription du flux vidéo ou la version audio de cette intervention qui dure 40 minutes. La vidéo est disponible au format MPEG4 (le son est en AAC) regardable avec mp4player/gmp4player (mpeg4ip), mplayer ainsi que les dernières versions de Quicktime (6). L'audio est au format Ogg Vorbis, mp3 et aac. Le tout est disponible en ligne (embed html) ou au format tar+gz en téléchargement.

NuFW 0.7.1 est sorti, proposant un nouveau système pour le SSO

Posté par (page perso) . Modéré par Nÿco.
Tags :
0
30
juin
2004
Sécurité
La version 0.7.1 de NuFW est sortie la semaine dernière. NuFW est un parefeu authentifiant basé sur Netfilter.

Il permet de :
- réaliser un filtrage par utilisateur (même sur les machines multi-utilisateurs)
- définir la qualité de services par utilisateur
- suivre de l'activité des utilisateurs (utilisant syslog, MySQL ou PostgreSQL)

La version 0.7.1 introduit une nouvelle option qui permet de réaliser une table de suivi des connexions authentifiées en temps réel. Le stockage SQL de cette table permet de réaliser un système d'authentification unique centralisé.

Un module Apache, mod_auth_nufw, utilisant cette méthode pour réaliser l'authentification vient d'être publié en GPL. Il est donc désormais possible de s'authentifier de manière transparente sur un ensemble de serveurs Apache utilisant ce module.

Enregistrement Audio et Interview de Nicolas Brulez sur le Reverse Engeenering

Posté par . Modéré par Christophe Guilloux.
Tags :
0
25
mai
2004
Sécurité
Dans le cadre du Challenge Securitech 2004, concours de sécurité informatique organisé par des élèves de troisième année de l'Ecole Supérieure d'Informatique Electronique Automatique (ESIEA), une conférence de clôture a été organisée le 7 mai 2004.
Lors de cette conférence, Nicolas Brulez, responsable de la sécurité au sein de la société Sillicon Realms notamment éditeur du logiciel de système de protection Armadillo, est intervenu sur la résolution du troisième niveau de la catégorie Reverse Engeenering du concours, il est le créateur de ce niveau.
L'équipe du site Secuobs.com spécialisée dans la sécurité informatique a réalisé et mis en ligne un enregistrement audio de 30 minutes de cette intervention accompagné d'une interview de 3 pages en format html de Nicolas Brulez et du slide de présentation au même format utilisé lors de la conférence.

Réaction de l'Europe au projet Echelon

Posté par (page perso) . Modéré par Benoît Sibaud.
Tags : aucun
0
19
mai
2004
Sécurité
Dans le but de lutter contre Echelon et l'espionnage numérique, l'Union européenne a décidé d'investir € 11 millions dans un projet de sécurité des communications à base de cryptographie quantique. Le projet d'une durée de 4 ans, inclut des universités, instituts de recherches et entreprises, au total 41 participants provenant de 12 pays différents (France).

NdM : on se rappelera que le rapport européen sur Echelon préconisait la crypto et en particulier les outils libres, mais que le 11 septembre est passé par là, modifiant la perception de la crypto.

Interview de l'auteur de Nessus en ligne

Posté par . Modéré par Amaury.
Tags : aucun
0
19
mai
2004
Sécurité
"La licence GPL est avant tout une sorte de contrat entre le développeur et les utilisateurs" Renaud Deraison, la personne à l'origine du projet Nessus, revient dans cette interview sur le choix de la licence GPL pour le logiciel d'audit de vulnérabilités.

Il exprime également ses opinions sur des sujets comme :
- l'organisation du projet Nessus
- les futures fonctionnalités de Nessus 2.2,
- les logiciels développés par la société Tenable Network Security dont il est l'un des fondateurs avec Ron Gula.

A lire : Sa position sur le paysage de la sécurité en France et notamment la loi sur la confiance dans l'économie numérique.

Le code source de Cisco IOS volé ?

Posté par . Modéré par Nÿco.
Tags : aucun
0
18
mai
2004
Sécurité
D'après une entreprise russe spécialisée dans le domaine de la sécurité, ainsi que plusieurs sites web d'informations, le géant du réseau a été attaqué par un pirate. Celui-ci aurait volé environ 800 Mo de "code source", mais on ne sait pas trop ce que contient ce code.

Selon toutes vraisemblances, le code volé concernerait la version 12.3 de Cisco IOS. Il est donc probable que cet événement concerne quasiment 90% des équipements réseau. Cisco est en "alerte rouge" sur le sujet.

Conférence Challenge Securitech 2004

Posté par . Modéré par Nÿco.
Tags :
0
5
mai
2004
Sécurité
Challenge Securitech est un concours de sécurité informatique qui a eu lieu du 10 avril au 1er mai.
Le concours vient donc de se terminer ce week-end. Dans le cadre du challenge est organisée une conférence le vendredi 7 mai 2004 à 17h dans le 5ème arrondissement de Paris.
Seront notamment présents, Kostya Kortchinsky, responsable du CERT RENATER et Nicolas Brulez, The Armadillo Software Protection System :
Kostya Kortchinsky animera une présentation sur les shellcode ~crosoft.
Nicolas Brulez présentera quant à lui les techniques de reverse engineering.

Les solutions des 20 niveaux du Challenge seront également débattues.

Sécuriser une installation Linux

Posté par (page perso) . Modéré par Christophe Guilloux.
Tags : aucun
0
27
avr.
2004
Sécurité
Sous le titre Securing a fresh Linux install, Linux.com propose aux débutants trois courts articles pour les aider à sécuriser un Linux fraîchement installé.
Du choix des mots de passe à l'installation du pare-feu, ces articles se veulent avant tout un aide-mémoire permettant de dresser une liste des points auxquels il faudrait porter une attention particulière. Chacun de ces points est bien sûr à approfondir, tant le sujet est vaste.
Recommandé à tous ceux qui voudraient, par exemple, installer un serveur sans vraiment savoir par où commencer.

Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL

Posté par . Modéré par Nÿco.
Tags :
0
18
mar.
2004
Sécurité
Trois vulnérabilités ont été identifiées dans OpenSSL, elles pourraient être exploitées par un attaquant distant afin de causer un Déni de Service (DoS) :
Le premier problème se situe au niveau de la fonction "do_change_cipher_spec()", le second au niveau d'une mise à jour ajoutée à la version OpenSSL 0.9.6d, la dernière vulnérabilité se situe au niveau de la routine utilisée pour le handshake SSL/TLS combiné à Kerberos ciphersuites.

Toutes les versions de 0.9.6c à 0.9.6l ainsi que de 0.9.7a à 0.9.7c sont vulnérables. Ils faut mettre à jour vers les versions 0.9.6m ou 0.9.7d en prenant soins de recompiler les binaires liés statiquement à cette librairie.

Arrêt du projet FreeS/WAN

Posté par . Modéré par Mouns.
Tags : aucun
0
10
mar.
2004
Sécurité
Depuis le 1er mars 2004, le projet FreeS/WAN n'est plus à un stade actif de dévelopemment. Les bugs de la version en cours (2.05) seront corrigés dans une ultime version (le suivi de la version finale sera assuré).

FreeS/wan implémente IPSEC dans le noyau Linux, afin de créer un VPN (NdM : Virtual Private Network, Réseau Privé Virtuel) entre plusieurs machines, ou des réseaux complets.

La raison de cet arrêt semble être la différence entre l'offre et la demande : tout le monde voudrait une couche IPSEC "feature-rich" pour les entreprises, alors que le but du projet est la banalisation de "Opportunistic Encryption".

Linux avec accès biométrique sur une clef USB ?

Posté par . Modéré par Amaury.
Tags : aucun
0
10
fév.
2004
Sécurité
Sony vient d'annoncer la sortie de "Micro Vault Finger Print" qui n'est autre qu'une clef USB à laquelle le fabricant a rajouté un lecteur d'empreintes digitales. Ce petit gadget permet grâce à une pression du doigt de reconnaître jusqu'à dix profils différents. La clef autorise une capacité de stockage de 128 Mo.

On ne peut s'empêcher de rapprocher ce produit de la distribution Linux "Flonix", qui pèse 60 Mo et s'installe sur une clef USB (nécessite un BIOS récent pour booter sur un périphérique USB). Cela donnerait une distribution Linux sécurisée par un système biométrique et logeant sur une clef USB permettant de stocker 68 Mo de données en plus du système.

MyDoom.B : MyDoom s'attaque à microsoft

Posté par (page perso) . Modéré par Amaury.
Tags : aucun
0
2
fév.
2004
Sécurité
Tout le monde a entendu parler de MyDoom.A.

Ce ver, actif sur les plate-formes Windows, a fait son apparition en début de semaine dernière. Il est supposé s'activer le 1er Février 2004 et déclencher une attaque par déni de services visant le site de SCO (certains pensent que ce virus a été codé par un cracker en réponse aux attaques de SCO contre Linux).
On sait que SCO offrait une récompense de $250.000 à qui apporterait des informations aidant à l'arrestation des auteurs de ce virus. Une rumeur parlait aussi d'une récompense identique, offerte par la société Microsoft.

Seulement, après vérification, la récompense en question ne concerne pas le même virus. Elle ne concerne que MyDoom.B. MyDoom.B une variante de MyDoom.A. Il a les mêmes caractéristiques, la seule différence est qu'il s'attaque au site "www.microsoft.com". On comprend un peu mieux pourquoi Microsoft agit contre ce vers. MyDoom.b semble n'avoir été détecté que sur un nombre limité de sites. Si vous avez détecté ce ver sur vos systèmes, n'hésitez pas à rapporter votre expérience dans les commentaires.

nmap 3.5 voit encore plus clair

Posté par (page perso) . Modéré par Nÿco.
Tags :
0
23
jan.
2004
Sécurité
La version 3.5 de nmap est sortie ce 19 janvier.

Pour mémoire, nmap est un outil d'audit de sécurité sous licence GPL. Il permet entre autre de scruter les ports d'une machine, déterminer son OS ou son Firewall, etc. Il existe aussi bien sous *BSD, Linux, Windows, Mac, etc.

La nouvelle version augmente considérablement le nombre de services et d'OS reconnus, corrige quelques bugs et rajoute de nouvelles fonctionnalités...

Le Clusif et les logiciels libres

Posté par . Modéré par Sylvain Rampacek.
Tags : aucun
0
16
jan.
2004
Sécurité
Dans son bilan 2003, le Clusif (Club de la sécurité des systèmes d'information français) met en garde contre le sentiment de sécurité que donne l'utilisation de Logiciels Libres.
Sans remettre en cause le principe du libre, le Clusif constate un nombre important d'attaques contre les serveurs des LL (Savannah, Debian, ftp.gnu.org) en 2003, les failles des logiciels (surtout CVS) mais aussi l'audit présenté pendant Defcon qui a révélé plusieurs failles dans les OS libres.
Le rapport s'intéresse aussi a l'aspect juridique de la sécurité informatique, la responsabilité des entreprises en cas de détournement de leurs serveurs ou les moyens de lutte contre le spam.

NdM : merci à tous ceux qui ont également proposé cette information.

Conférence Linux à Casablanca

Posté par . Modéré par Benoît Sibaud.
Tags : aucun
0
15
jan.
2004
Sécurité
Conférence Linux

La 13ème édition des Last saturdays de l'association OSIM (Open Source In Morocco) aura lieu exceptionnelemlent le Samedi 24 Janvier à partir de 9 heures.

Thème : Sécurité générale et gestion des risques, par Hichame JEFFALI.

Lieu : faculté des sciences de ben msik, salle de réunion du département de physique, Casablanca.

Entrée libre et gratuite.