Une petite faille (buffer overflow) vient d'être annoncée sur securityfocus (ex bugtraq) concernant apache 1.x.

Il s'agit d'une erreur d'entier signé/non-signé pour allocation d'un tampon mémoire, qui peut-être exploitée, selon X-Force, découvreur du bug, sur les plate-formes WIN32 mais pas (pour l'instant ?) sur *n*x (NdM: il semblerait qu'on ait une erreur de segmentation du processus apache concerné si on a un Unix 32 bits et peut être plus embétant en 64 bits).

Note du modérateur: J'ai supprimmé le patch qui était inclus dans la news, vous pouvez le trouver sur le premier lien mais l'annonce d'apache indique qu'il ne corrige pas vraiment le problème.

Nessus est un scanner de vulnérabilités qui recherche sur une cible les failles dans le réseau tels les bogues des logiciels, les portes dérobées etc... Ce programme est developpé par Renaud Deraison.

Dans cet article de LinuxSecurity, on y décrit les bases de l'installation et de l'utilisation de Nessus. Nessus a deux composantes, un client et un serveur. Le serveur peut tourner sur des plateformes UNIX, dont Linux et OpenBSD (et bien d'autres), tandis que le client peut fonctionner sur des systèmes d'exploitation variés dont... Windows. Dans cet article, Banchong Harangsri nous décrit l'installation et l'utilisation du serveur mais aussi du client.

NdR : Les captures d'écran sont pratiques et simplifient la compréhension. Cette nouvelle est une libre adaptation du début de l'article de LinuxSecurity.

Superviser un pare-feu sous Linux peut devenir un véritable challenge à cause de la nature "textuelle" de l'OS.

Le programme firelogd peut grandement faciliter la tâche en permettant l'envoi de messages électroniques à l'administrateur résumant les entrées importantes des fichiers de log.

ZDNet Australie nous en dit un peu plus dans un article dédié à firelogd.

NdR : Après ce sera toujours à l'admin de faire le travail :)

Une vulnérabilité de type DoS (déni de service) a été découverte sur BIND 9. L'exploitation de cette vulnérabilité se fait grâce à la construction d'un paquet malformé qui aura pour effet d'arrêter le service BIND. L'impact d'une telle attaque peut être grave dans la mesure où beaucoup de services importants tels que la messagerie dépendent du DNS pour fonctionner correctement.

Il est recommandé de mettre à jour BIND à la version 9.2.1. Il est à noter que les versions 8 et 4 ne sont pas concernées par cette vulnérabilité.

Un nouveau systême d'exploitation orienté sécurité a vu le jour,
dénommé MicroBSD il serait un fork d'OpenBSD (Cf leur FAQ).
Cet OS apporte tout ce qu'OpenBSD n'implémente pas (ACL, TPE, détection d'intrusion dans l'install par défaut,etc..).

A noter:
pas encore d'accès aux sources, et beaucoup de choses ont l'air loin d'être avancées...
Il reste qu'au niveau cryptage il va falloir sérieusement se battre contre les lois (En prime: une clé de cryptage de 1024 bits serait cassable)

Sur le même principe qu'irssi, les sources de dsniff (des utilitaires pour sniffer un réseau) et fragroute (l'outil qui a fait grand bruit récemment, capable, dans certains cas, de bluffer snort) ont été modifiés.
Le serveur de monkey.org, qui héberge l'auteur de ces deux logiciels, a été visité, via, semble-t-il, un trou dans epic4-pre2.511 qui a permis un accès au compte root.
Les fichiers incriminés ont été modifié le 17/05 et restaurés le 24/05.
Voici les sommes de contrôle MD5 des sources valides :

MD5 (dsniff-2.3.tar.gz) = 183e336a45e38013f3af840bddec44b4
MD5 (fragroute-1.2.tar.gz) = 7e4de763fae35a50e871bdcd1ac8e23a
MD5 (fragrouter-1.6.tar.gz) = 73fdc73f8da0b41b995420ded00533cc

L'étendue des dégats semble « limitée » :

"of the 1951 hosts that successfully downloaded one of the backdoored
tarballs, 992 of them were Windows machines and 193 were automated
ports downloads for the *BSD dsniff or fragrouter ports, leaving 746
Linux (and a few Solaris and MacOS) hosts potentially vulnerable, and
20 FreeBSD and OpenBSD hosts."

En espérant que çà ne devienne pas une mode...

Note du modérateur : je rajoute l'enfilade de Bugtraq pour confirmation

RedHat, Mandrake, Eridani et sûrement d'autres (Debian ?) viennent de sortir des patches pour leur packages... En effet, un buffer overflow vient d'être découvert dans les serveurs IMAP utilisés dans ces distributions.

Ce problème engendre la possibilité de lancer des commandes sur le serveur IMAP en utilisant le nom de l'utilisateur connecté sur sa messagerie. Heureusement qu'il faille être déjà logué sur le serveur IMAP pour pouvoir exploiter ce trou de sécu... ça limite la portée de ce dernier. En espérant que vous ne vous fassiez pas écouter votre réseau si vous avez des clients fonctionnant avec imap sans sous-couche SSL...

L'union européenne veut mettre un code unique sur chaque CD ou DVD fabriqué en Europe. Ceci, est soit disant "Un code censé tracer le lieu de fabrication, et non l'utilisateur", de plus le BSA indique "Ce système ne nous permettra pas de tracer les utilisateurs", alors à vous de vous faire votre opinion.

La version 0.1b du howto chrooter un shell vient d'être publiée. Au menu des précisions supplémentaires sur l'implémentations des commandes
dans un environnement chrooté. Une première étude qui permet de supprimer les problemes de sécurité majeur lié au chrootage.

La prochaine version introduira le concept de serveurs virtuels.

Nouvelle version d'OpenSSH dans les bacs :

OpenSSH 3.2.3

Différences avec la version précédente (OpenSSH 3.2.2) :

* Correction d'un problème avec BSD_AUTH, uniquement pour les BSD.
* Correction d'un problème de login sur solaris
* Correction des problèmes de compil avec cygwin

Bon téléchargement.

Note du modérateur : des modif mineures sur la bibliothèque OpenSSL aussi

Voici un article sur la nouvelle implémentation de l'ICMP fingerprinting, nommée iQ.
A l'inverse de xprobe qui possède une logique de détection codée en dur, iQ possède un fichier de signatures comme nmap. Comment sont construites ces signatures ? Quels sont les tests utilisés dans iQ ? Une vue d'ensemble de la méthode de reconnaissance d'OS par l'ICMP.

Il semblerait qu'un petit malin ait trouvé le moyen de modifier les sources d'irssi (client irc).
La modification porterait sur le script configure d'irssi. Ce dernier ouvrirait une connexion entre votre box et une machine distance, par le biais de laquelle il serait possible de s'infiltrer dans votre babasse.
La malversation serait en place depuis plus d'un mois. Si vous avez compilé irssi durant cette periode, il est recommandé de rechercher "SOCK_STREAM" dans le script, afin de vérifier si vous en avez été victime.
Le site d'irssi semble confirmer la chose.

Je viens de découvrir une excellente FAQ, sur l'épineux problème du « cross site scripting ». L'auteur de cette FAQ part de la base et décrit concrètement ce qui se passe, comment c'est fait, voire pourquoi c'est fait...
Comme toute bonne FAQ, il y a des réponses aux questions classiques.
L'article se termine par une série de liens intéressants sur le sujet.
En résumé, une bonne source si vous vous posiez des question de base sur le thème.

Les présentations de CSW/core02 sont en ligne :
- Immunix
- Owl GNU/Linux
- honeyd et pots de miel
- Outils taranis, radiate, etc.

Ainsi que des photos !

Note du modérateur : la CanSecWest Core02 est une convention sur la sécurité informatique qui s'est déroulée du 1er au 3 mai à Vancouver (Canada)

George Rushmore sur le site de Help Net Security, nous propose un article qui donne quelques conseils de base pour sécuriser un serveur Apache sous Linux.

« Si vous venez de mettre un serveur web Apache en ligne, et que vous pensez à la sécurité, ce bref article pourra vous y aider.
Par le fait d'avoir votre propre serveur, vous devez comprendre les responsabilités qui en découlent.

Bien que le serveur lui même ne soit pas un réel problème (du point de vue de la sécurité), il y a certaines choses auxquelles vous devez faire attention sur votre système. »

NdR: cela ne se veut pas un article de fond, mais les conseils qu'on y trouve sont toujours bon à prendre ou à revoir.

La nouvelle version de steghide, un logiciel de stéganographie sous licence GPL, est sortie.
Plusieurs améliorations, dont une de taille: le support des fichiers JPEG, plus largement utilisés que les fichiers BMP.
Les messages d'aide/d'erreur du programme sont francisés, mais pour les pages man, il va falloir attendre encore un peu.

Pour mémoire, la stéganographie permet de "camoufler" des données confidentielles dans des fichiers anodins.

A noter: la version 0.4.6 ne compilait pas sur certains systèmes (RedHat en particulier). La version 0.4.6b corrige tout ça.

Dans le cadre de mon tfe, j'ai été amené à expliquer et à modéliser le protocole IPsec ainsi que la partie gestion de clé IKE. Il y a aussi une série de tests réalisés sur des routeurs Cisco. Ce n'est pas encore complètement terminé mais la partie descriptive elle, l'est.

Un bug a été trouvé dans l'implémentation de la translation d'adresse dans NetFilter... Lorsqu'une régle de NAT s'applique à un packet qui cause un message d'erreur ICMP, celui-ci est renvoyé avec l'adresse locale de la machine natée ! Ceci peut montrer quels ports d'un firewall sont translatés et vers quel hote d'un réseau local ou d'une DMZ... On peut trouver une version de nmap modifiée permettant ceci sur la page de Philippe Biondi, l'auteur (francais) de la découverte.

Une nouvelle version de GPG (Gnu Privacy Guard) vient de sortir. Pour ceux qu'ils l'ignorent (et c'est bien dommage), GPG est un outil qui fonctionne sous Unix, Windows (NdM: et Mac) et permet de signer/chiffrer/déchiffrer des documents avec une paire de clés publique/privée (crypto asymétrique). C'est le pendant libre de PGP.

Au menu de cette nouvelle version :
- l'algo de cryptage est maintenant par défaut CAST5
- amélioration du support PGP2 et PGP6
- images pour identifier les utilisateurs
- les signatures non révocables sont supportées
- génération de clés RSA
- ...

Note du modérateur : cf l'édito « LinuxFr recommande fortement l'utilisation de GnuPG pour vos correspondances. »

La Société Astaro basée à Karlsruhe en Allemagne, propose Astaro Security Linux.

"En tant que firewall, Astaro Security Linux protège votre réseau; les proxies filtrent le trafic réseau et en utilisant les fonctionnalités VPN, votre LAN peut être facilement étendu aux sous-traitants, clients et nomades."

Au menu: noyau 2.4 modifié sécurité, proxies (DNS, HTTP, SMTP, SOCKS, etc..), prise en charge de cartes ethernet 10/100/1000Mbit/s, etc...

NdR: on peut la télécharger librement sur leur site

Une série de messages de Joost Pol (pine), James Youngman (FreeBSD) et Theo de Raadt (OpenBSD) fait état d'un grave problème dans plusieurs noyaux unix (testé et vérifié sur FreeBSD et Solaris) : les redirections standards (input, output et error) peuvent être détournées par un programme sans privilèges particuliers et ainsi permettre un élévation des droits.

Vu sur fr.comp.securite :

« Nessus 1.2 vient de sortir, il inclut une tonne de nouvelles
fonctionnalités (scans différentiels, support de SSL, évasion d'IDS,
meilleur support de SMB, ...) et un magnifique client Win32 nommé
NessusWX. »

Nessus est un célèbre détecteur de failles distantes, avec une interface conviviale, et une large bibliothèque à jour de failles.

Les versions de SSHd compilées avec le support Kerberos et AFS souffrent d'un nouveau problème de sécurité. Les conséquences peuvent être dangereuses puisque la faille permet un exploit distant pour les versions inférieures à 2.9.9 et un local pour les autres (jusqu'a 3.3).

Il est à noter que si la séparation de privilèges (à laquelle Niels Provos travaille) est activée, aucun accès privilégié n'est possible...

Il y a 2 jours, un hacker a présenté sur la liste de diffusion ids-focus un outils d'évasion d'IDS (Système de détection d'intrusions en français) : fragroute. Ce programme permet de passer un exploit ou toute autre attaque sous le nez de Snort et à la barbe de la quasi-totalité des IDS (libres ou commerciaux) sans que ceux-ci ne génèrent la moindre alerte !

Fragroute est l'implémentation des techniques d'évasion d'IDS décrites dans "Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection", un document que je conseille à toutes les personnes interressées par les IDS de lire...

Nos confrères de ZDNet Australie abordent aujourd'hui un thème en vogue avec l'avènement du haut débit dans les foyers français : je veux parler des firewalls ou pare-feux dans la belle langue de Voltaire. De surcroit, leur attention s'est portée sur les pare-feux sous Linux.

En effet, Les solutions pare-feu sous Linux n'ont cessé de se bonifier avec le temps grâce en grande partie au couple phare : netfilter/iptables. Ces derniers fournissent une solution robuste, mais néanmoins flexible pour ce genre de tâche.

Pour ceux qui ne les connaîtraient pas encore, netfilter est le nom du projet et iptables est le nom de la composante logicielle. Le fait est que c'est un système intégré dans les noyaux Linux 2.4.x et qui a en charge le filtrage de paquets.

A découvrir d'urgence !