Sécuriser une installation Linux

Posté par (page perso) . Modéré par Christophe Guilloux.
Tags : aucun
0
27
avr.
2004
Sécurité
Sous le titre Securing a fresh Linux install, Linux.com propose aux débutants trois courts articles pour les aider à sécuriser un Linux fraîchement installé.
Du choix des mots de passe à l'installation du pare-feu, ces articles se veulent avant tout un aide-mémoire permettant de dresser une liste des points auxquels il faudrait porter une attention particulière. Chacun de ces points est bien sûr à approfondir, tant le sujet est vaste.
Recommandé à tous ceux qui voudraient, par exemple, installer un serveur sans vraiment savoir par où commencer.

Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL

Posté par . Modéré par Nÿco.
Tags :
0
18
mar.
2004
Sécurité
Trois vulnérabilités ont été identifiées dans OpenSSL, elles pourraient être exploitées par un attaquant distant afin de causer un Déni de Service (DoS) :
Le premier problème se situe au niveau de la fonction "do_change_cipher_spec()", le second au niveau d'une mise à jour ajoutée à la version OpenSSL 0.9.6d, la dernière vulnérabilité se situe au niveau de la routine utilisée pour le handshake SSL/TLS combiné à Kerberos ciphersuites.

Toutes les versions de 0.9.6c à 0.9.6l ainsi que de 0.9.7a à 0.9.7c sont vulnérables. Ils faut mettre à jour vers les versions 0.9.6m ou 0.9.7d en prenant soins de recompiler les binaires liés statiquement à cette librairie.

Arrêt du projet FreeS/WAN

Posté par . Modéré par Mouns.
Tags : aucun
0
10
mar.
2004
Sécurité
Depuis le 1er mars 2004, le projet FreeS/WAN n'est plus à un stade actif de dévelopemment. Les bugs de la version en cours (2.05) seront corrigés dans une ultime version (le suivi de la version finale sera assuré).

FreeS/wan implémente IPSEC dans le noyau Linux, afin de créer un VPN (NdM : Virtual Private Network, Réseau Privé Virtuel) entre plusieurs machines, ou des réseaux complets.

La raison de cet arrêt semble être la différence entre l'offre et la demande : tout le monde voudrait une couche IPSEC "feature-rich" pour les entreprises, alors que le but du projet est la banalisation de "Opportunistic Encryption".

Linux avec accès biométrique sur une clef USB ?

Posté par . Modéré par Amaury.
Tags : aucun
0
10
fév.
2004
Sécurité
Sony vient d'annoncer la sortie de "Micro Vault Finger Print" qui n'est autre qu'une clef USB à laquelle le fabricant a rajouté un lecteur d'empreintes digitales. Ce petit gadget permet grâce à une pression du doigt de reconnaître jusqu'à dix profils différents. La clef autorise une capacité de stockage de 128 Mo.

On ne peut s'empêcher de rapprocher ce produit de la distribution Linux "Flonix", qui pèse 60 Mo et s'installe sur une clef USB (nécessite un BIOS récent pour booter sur un périphérique USB). Cela donnerait une distribution Linux sécurisée par un système biométrique et logeant sur une clef USB permettant de stocker 68 Mo de données en plus du système.

MyDoom.B : MyDoom s'attaque à microsoft

Posté par (page perso) . Modéré par Amaury.
Tags : aucun
0
2
fév.
2004
Sécurité
Tout le monde a entendu parler de MyDoom.A.

Ce ver, actif sur les plate-formes Windows, a fait son apparition en début de semaine dernière. Il est supposé s'activer le 1er Février 2004 et déclencher une attaque par déni de services visant le site de SCO (certains pensent que ce virus a été codé par un cracker en réponse aux attaques de SCO contre Linux).
On sait que SCO offrait une récompense de $250.000 à qui apporterait des informations aidant à l'arrestation des auteurs de ce virus. Une rumeur parlait aussi d'une récompense identique, offerte par la société Microsoft.

Seulement, après vérification, la récompense en question ne concerne pas le même virus. Elle ne concerne que MyDoom.B. MyDoom.B une variante de MyDoom.A. Il a les mêmes caractéristiques, la seule différence est qu'il s'attaque au site "www.microsoft.com". On comprend un peu mieux pourquoi Microsoft agit contre ce vers. MyDoom.b semble n'avoir été détecté que sur un nombre limité de sites. Si vous avez détecté ce ver sur vos systèmes, n'hésitez pas à rapporter votre expérience dans les commentaires.

nmap 3.5 voit encore plus clair

Posté par (page perso) . Modéré par Nÿco.
Tags :
0
23
jan.
2004
Sécurité
La version 3.5 de nmap est sortie ce 19 janvier.

Pour mémoire, nmap est un outil d'audit de sécurité sous licence GPL. Il permet entre autre de scruter les ports d'une machine, déterminer son OS ou son Firewall, etc. Il existe aussi bien sous *BSD, Linux, Windows, Mac, etc.

La nouvelle version augmente considérablement le nombre de services et d'OS reconnus, corrige quelques bugs et rajoute de nouvelles fonctionnalités...

Le Clusif et les logiciels libres

Posté par . Modéré par Sylvain Rampacek.
Tags : aucun
0
16
jan.
2004
Sécurité
Dans son bilan 2003, le Clusif (Club de la sécurité des systèmes d'information français) met en garde contre le sentiment de sécurité que donne l'utilisation de Logiciels Libres.
Sans remettre en cause le principe du libre, le Clusif constate un nombre important d'attaques contre les serveurs des LL (Savannah, Debian, ftp.gnu.org) en 2003, les failles des logiciels (surtout CVS) mais aussi l'audit présenté pendant Defcon qui a révélé plusieurs failles dans les OS libres.
Le rapport s'intéresse aussi a l'aspect juridique de la sécurité informatique, la responsabilité des entreprises en cas de détournement de leurs serveurs ou les moyens de lutte contre le spam.

NdM : merci à tous ceux qui ont également proposé cette information.

Conférence Linux à Casablanca

Posté par . Modéré par Benoît Sibaud.
Tags : aucun
0
15
jan.
2004
Sécurité
Conférence Linux

La 13ème édition des Last saturdays de l'association OSIM (Open Source In Morocco) aura lieu exceptionnelemlent le Samedi 24 Janvier à partir de 9 heures.

Thème : Sécurité générale et gestion des risques, par Hichame JEFFALI.

Lieu : faculté des sciences de ben msik, salle de réunion du département de physique, Casablanca.

Entrée libre et gratuite.

Challenge-SecuriTech - Concours de sécurité informatique

Posté par . Modéré par Sylvain Rampacek.
Tags :
0
4
jan.
2004
Sécurité
Le Challenge-SecuriTech, concours de sécurité informatique organisé par un groupe d'étudiants de l'ESIEA (Ecole supérieure d'informatique, d'électronique et d'automatique), refait peau neuve !
La première édition avait été très prisée, avec plus de 1000 participants, la nouvelle mouture 2004 s'annonce excellente...
Le panel des niveaux est très large, et le concours est ouvert à tous : débutants ou experts.

Sortie de Snort 2.1.0

Posté par . Modéré par Amaury.
Tags :
0
19
déc.
2003
Sécurité
La version 2.1.0 de Snort vient de sortir.

Cette nouvelle branche propose une refonte presque totale de la majorité des pré-processeurs (plugins d'entrée), et une évolution majeure dans l'écriture des règles : la compatibilité avec nos merveilleuses amies les regex (expressions rationnelles). La refonte des préprocesseurs devrait encore améliorer les performances tout en diminuant les faux positifs.

Pour mémoire, Snort est un outil de détection d'intrusions réseau (NIDS). Il est completé par une multitude de plugins et d'outils d'analyse. Il est considéré comme le meilleur NIDS par beaucoup de spécialistes.

Ce qui fait sa plus grande force est la facilité d'écriture de ses règles, qui sont régulièrement mises à jour par la communauté et des sites sérieux comme WhiteHats et ArachNIDS.

Blaster et le black out de NY

Posté par (page perso) . Modéré par Fabien Penso.
Tags : aucun
0
17
déc.
2003
Sécurité
Dans sa dernière édition, crypto-gram avance une hypothèse sur la coupure d'électricité d'août dernier à New York.
Pour souvenir cette coupure avait coupé totalement l'électricité pendant plusieurs heures. Les companies d'électricité canadiennes et américaines s'étaient renvoyées la faute.
Bruce Schneier avance l'hypothèse selon laquelle cette coupure est dûe (NdM: en partie) au ver Blaster.

Crypto-gram est une lettre mensuelle gratuite sur la sécurité rédigée par Bruce Schneier qui est au monde de la sécurité ce que RMS est au monde du libre. Il a écrit de nombreux ouvrages et est l'inventeur de l'algorithme BlowFish.

PKI OpenSource : TCQVATVSSJOLD*

Posté par . Modéré par Fabien Penso.
Tags :
0
12
déc.
2003
Sécurité
Les éditions O'Reilly viennent d'éditer un ouvrage - qui ne saurait être que de référence - sur les solutions Libre/OpenSource d'Infrastructures de Gestion de Clefs (PKI).
Les 600 pages de cet ouvrage abordent et décrivent sous tous ses aspects la problématique de mise en oeuvre d'une IGC à l'aide de logiciels Libre et OpenSource (dont OpenSSL, OpenCA, IDX-PKI).

Savannah et Gentoo attaqués également

Posté par (page perso) . Modéré par Nÿco.
Tags : aucun
0
5
déc.
2003
Sécurité
Savannah, le système de developpement "sourceforge-like" proposé par le projet GNU, a été compromis, et cela depuis le 2 novembre.

Il semble que la faille utilisée pour accéder au système soit la même que celle utilisée pour accéder aux serveurs de Debian le 20 novembre dernier.
- Utilisation de la même faille de sécurité dans le kernel do_brk()
- Installation du même rootkit (Suckit)

Les serveurs de Savannah ne seront remis en route qu'au mieux pour le 5 décembre.

Le 2 décembre, c'est un serveur Gentoo qui a été compromis, mais aucun fichier n'a été affecté.

Update : le serveur rsync a été compromis en utilisant une faille de rsync lui-même (heap overflow). Toutes les versions <= 2.5.6 sont vulnérables à cette faille qui a été corrigée dans la version 2.5.7 sortie hier. Seuls les rsync fonctionnant en mode serveur sont affectés. Merci à Baptiste Simon pour cette information.

Knoppix STD : un concentré de securité dans 1 CD

Posté par (page perso) . Modéré par Nÿco.
Tags :
0
4
déc.
2003
Sécurité
Knoppix, le système Linux en CD bootable, sort une mouture orientée securité avec ce qu'il faut pour transformer n'importe quel PC en machine de guerre sans rien y installer .

Le softs sont rangés suivant les catégories :
- authentication
- encryption utilities
- firewalls
- penetration tools
- vulnerability assessment
- forensic tools
- honeypots
- intrusion detection
- packet sniffers and assemblers
- network utilities
- wireless tools
- password auditing (crackers)
- servers

Un bug de GnuPG compromet plusieurs centaines de clés

Posté par (page perso) . Modéré par Pascal Terjan.
Tags :
0
27
nov.
2003
Sécurité
Werner Koch a annoncé ce matin la découverte par Phong Nguyen d'un bug critique dans GnuPG. Ce bug permet d'obtenir en quelques secondes la clé secrète de certaines personnes, pouvant ainsi usurper leur identité ou déchiffrer les courriers qui leur sont destinés.

Heureusement, seules les doubles clés utilisant ElGamal pour la signature et le chiffrement sont affectées, et leur nombre total est estimé à environ un millier.

Nouvelles vulnérabilités pour Apache 1.3.28 / 2.0.47 et mod_security 1.7.1

Posté par . Modéré par Jean-Yves B..
Tags :
0
3
nov.
2003
Sécurité
Une vulnérabilité de type buffer overflow a été identifiée dans Apache. Le problème se situe dans les modules « mod_alias » et « mod_rewrite », l'exploitation nécessite un fichier .htaccess spécifique. Dans Apache 2 le socket AF_UNIX utilisé par « mod_cgid » afin de communiquer avec le daemon cgid ou des scripts CGI n'est pas correctement manipulé.

mod_security (Apache 2) est touché quant à lui par une vulnérabilité locale. Cette faille est causée par une erreur dans la manipulation des données générées par le serveur, ce qui pourrait être exploité via des fichiers PHP/CGI spécifiques afin d'exécuter des commandes avec les privilèges du serveur httpd.

Alcôve rend disponible son nouveau livre blanc

Posté par . Modéré par Fabien Penso.
Tags : aucun
0
30
oct.
2003
Sécurité
Ce livre blanc « Filtrage de paquets sous GNU/Linux - Filtrage et politique de sécurité », d'une trentaine de pages disponible en PDF, décrit les différents aspects de la sécurité informatique d'un réseau ainsi que son implémentation par des logiciels libres.

À travers la description fonctionnelle des différentes briques de la sécurité, il décrit la place maîtresse d'un filtre de paquet dans un réseau, mais également l'importance de la définition d'une politique de sécurité et la nécessité de maîtriser tous les composants et toutes les couches de son réseau.

ASLR pour le noyau 2.6

Posté par . Modéré par Nÿco.
Tags :
0
29
oct.
2003
Sécurité
Le premier patch de sécurité (qui ne soit pas un système de contrôle d'accès à la SELinux ou à la RSBAC) pour le noyau 2.6 a vu le jour, il s'agit d'un port basique de la partie du patch PaX (patch utilisé pour la protection de l'espace d'adressage dans grsecurity) concernant la randomization de l'espace d'adressage.

Le démon honeyd, utilisation des pot de miels contre les vers.

Posté par . Modéré par Fabien Penso.
Tags :
0
27
oct.
2003
Sécurité
Un article sur SecurityFocus.org fait suite à la présentation de la technique des TARPITS (cf : lien vers l'ancienne dépêche).

Cette fois, c'est l'utilisation de deux type de honeypots différents, dont le démon honeyd, qui est détaillée, dans le cadre de la lutte contre les vers.
Le but étant de : piéger le ver pour l'étudier, ralentir sa propagation, déclencher des alarmes, prendre différentes mesures de protection, et même le contrer en désinfectant le système source de l'attaque.

En fin d'article, on a droit à un exemple de désinfection de Blaster.

Publication du reverse-proxy LemonLDAP

Posté par . Modéré par Jean-Yves B..
Tags : aucun
0
25
oct.
2003
Sécurité
Dans le cadre de la refonte de son architecture d'annuaires LDAP, la Direction Générale de la Comptabilité Publique (Ministère des Finances) a récemment publié ses travaux concernant l'adaptation d'Apache en reverse proxy. Cet équipement permettra de réaliser le Single-Sign On pour de nombreuses applications métier du Trésor Public. Ce projet se situe dans un environnement technique exclusivement composé de Logiciels Libre (Linux, OpenLDAP, MySQL, Perl ...) et est actuellement utilisé en production après avoir subi une série de tests de performances très concluants.

La suite Sentry de retour sous licence GPL/CPL

Posté par . Modéré par Fabien Penso.
Tags :
0
6
oct.
2003
Sécurité
Certains se demandaient si la suite Sentry qui se compose de logcheck et de portsentry allait totalement disparaitre depuis le rachat de Psionic (la société qui l'avait développée) par Cisco.

Logcheck comme son nom l'indique sert à verifier les logs et portsentry permet de détecter les scans de ports et d'y réagir directement.

Après plusieurs mois d'absence, cette suite a fait sa réapparition sur le site de sourceforge avec en plus une modification de la licence:

- GPL pour logcheck
- CPL pour portsentry

Pour les accros de la sécurité, ce petit kit très léger puisqu'il ne pèse que quelques Ko, founit un moyen très efficace de se défendre contre le nombre croissant d'analyses de failles faites par les pirates toujours plus nombreux. En plus de détecter un scan, portsentry va «logger» l'attaquant, éventuellement le bloquer et même si le coeur vous en dit lui renvoyer une bandeau de mise en garde.

Faille de sécurité exploitable à distance dans mplayer

Posté par (page perso) . Modéré par Xavier Antoviaque.
Tags : aucun
0
2
oct.
2003
Sécurité
Il existe un buffer overflow (débordement de tampon) dans mplayer qui, sous certaines conditions, est exploitable à distance. Il est conseillé de patcher.

La version 0.92 et les versions précédant la 0.90pre1 ne sont pas vulnérables. Le patch est disponible sur le site de mplayer.

L'auteur de Snort dément la rumeur d'une backdoor.

Posté par (page perso) . Modéré par Nÿco.
Tags :
0
1
oct.
2003
Sécurité
Martin Roesch, l'auteur de Snort, s'est fendu d'un démenti officiel afin de calmer les esprits depuis qu'un groupe de pirates affirme avoir pénétré le réseau de Sourcefire et placé une porte dérobée dans Snort.

Vulnérabilités dans OpenSSL

Posté par (page perso) . Modéré par Benoît Sibaud.
Tags :
0
1
oct.
2003
Sécurité
Des problèmes de sécurité viennent d'être révélé par le projet OpenSSL, la bibliothèque de cryptographie. La faille découverte permet un déni de services et une corruption de pile favorisant alors l'exécution de code hostile.

Toutes les versions inférieures à 0.9.6j et 0.9.7b sont affectées.

Il est recommandé de passer à la version 0.9.7c ou 0.9.6k et de recompiler les programmes liés statiquement à OpenSSL.

Faille de sécurité dans ProFTPD

Posté par (page perso) . Modéré par Benoît Sibaud.
Tags : aucun
0
24
sept.
2003
Sécurité
ISS a découvert un bug dans le traitement des téléchargements en mode ASCII, dans Proftpd.

L'attaquant peut obtenir un shell root en uploadant puis en téléchargeant en mode ASCII un fichier soigneusement choisi.

Tous les utilisateurs sont évidemment invités à patcher au plus vite.