SSH : attention aux contrefaçons

Posté par . Modéré par Fabien Penso.
Tags : aucun
0
8
août
2000
Sécurité

Sur la redhat-announce-list, le message suivant a été envoyé, à propos
des nouveaux RPMs de SSH version 1.2.30:

Je cite Jan Kasprzak, le packager:
"BEWARE! All packages are GPG-signed with my key kas@fi.muni.cz. Be sure
to check the signature. Few months ago there has been ssh-1.2.27-8i RPMs
floating around the Net, which had my name both in the Vendor and Packager
fields, but which was NOT built by me. Curiously enough these packages
contained a remote-root security hole. Thanks to people who pointed me at
this, namely Alex de Joode."

Traduction par le modérateur:
"Attention ! Tous les packages sont signés avec ma clef GPG. Soyez sur
d'avoir vérifié ma signature. Il y a quelques mois un package RPM
ssh-1.2.27-8i était disponible sur le Net, il avait mon nom dans le champs
Vendeur et Packager mais n'avait pas été fait par moi. Curieusement ces
packages contenaient un trou de sécurité qui permettait d'etre root à
distance […]"

Qui vérifie systématiquement l'authenticité de ses RPMs ? (ou .deb etc.. )

NdM. : cette dépêche a été initialement publiée le 08/08/2000 à 09h26, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Brown orifice...Netscape et Java ou l'insécurité

Posté par . Modéré par Fabien Penso.
Tags : aucun
0
6
août
2000
Sécurité

Comment transformer Netscape-le-browser-web en Netscape-le-serveur-web
? Grâce à la magie de Java…et BOHTTPD, alias Brown-Orifice - dont le nom
charmant témoigne du goût exquis de l'auteur.
Un coup d'oeil à la page BOHTTPD_spy nous montre que les victimes
potentielles ne sont pas seulement celles qui utilisent des produits
MicroSoft (oui je ne crois pas qu'il y ait de répertoires /var/log ou /usr
sous Windows…).
Vous pouvez meme ouvrir le trou de sécurité chez vous… [déconseillé ;) ]
* Merci /. *

NdM. : cette dépêche a été initialement publiée le 06/08/2000 à 12h41, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

CDSA sous Linux en Open Source

Posté par . Modéré par Fabien Penso.
Tags : aucun
0
3
août
2000
Sécurité

Bull annonce CDSA sous Linux en Open Source sans préciser la licence
utilisée. Le produit sera disponible le 24 août. Pour information CDSA est
"une infrastructure de sécurité […]permettant le développement
d’applications sécurisées dans un environnement Internet". Ce produit
a été réalisé avec Intel "pour créer une offre en Open Source à partir de
ce standard de sécurité".

NdM. : cette dépêche a été initialement publiée le 03/08/2000 à 09h50, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Détruire internet en s'attaquant à 4% des machines

Posté par . Modéré par Fabien Penso.
Tags : aucun
0
28
juil.
2000
Sécurité

Voici un article paru sur slashdot, nature et d'autres.
Il est question de la vulnérabilité des réseaux , des architectures
partagées, et d'internet.
Saviez vous que 4% seulement des serveurs sont cruciaux, au point ou les
détruire transformerait internet en des îlots de réseaux isolés ?
Intéressant, surtout lorsqu'on parle du contrôle par les gouvernements, de
réaliser la fragilité du réseau.
Suffit de casser les serveurs de noms, certains backbones transatlantiques,
et hop.

Effrayant non ?

NdM. : cette dépêche a été initialement publiée le 28/07/2000 à 17h10, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Plantons Netscape avec des JPEG

Posté par . Modéré par Fabien Penso.
Tags : aucun
0
26
juil.
2000
Sécurité

Netscape, jusqu'à la version 4.73, est très sensible au champ "Comment"
des images JPEG.

Dans le meilleur des cas, il plante, dans le pire il est possible
d'executer du code "maison".

Le navigateur, le mail et les news sont touchés. Il est donc possible de
faire un mail-virus sous linux grace à Netscape…

Solution : upgrader à la version 4.74, ou passer à MozillaM16 qui ne sont
pas vulnérables.

NdM. : cette dépêche a été initialement publiée le 26/07/2000 à 11h58, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Big Brother : 2 articles dans Libération

Posté par . Modéré par Fabien Penso.
Tags : aucun
0
22
juil.
2000
Sécurité

Dans Libération ce matin nous avons droit à 2 articles concernant les
libertés et le Net : le premier sur le système Carnivore et le second sur
"Big browser". Bref, bonne lecture.

NdM. : cette dépêche a été initialement publiée le 22/07/2000 à 04h47, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Vulnérabilité grave sur Outlook et OutlookExpress

Posté par . Modéré par Fabien Penso.
Tags : aucun
0
22
juil.
2000
Sécurité

Une vulnérabilité grave a été publiée sur Microsoft outlook et
Microsoft Outlook Express.
La vulnérabilité permet d'exécuter un programme sur le poste de travail
d'un utilisateur de l'un de ces produits Microsoft… simplement en lui
envoyant un mail.
Le code se déclenche en "prévisualisant" le mail, c'est à dire sans même
avoir à l'ouvrir, ni exécuter quoi que ce soit.

En résumé, le bug est du à une erreur de programmation dans la manière de
lire l'heure dans l'en-tete du mail (sic !)

Le risque est Majeur compte tenu du grand nombre d'utilisateurs de ces
logiciels. Bien évidemment, tous les utilisateurs de Linux et/ou d'un
client de messagerie en Logiciel Libre sont à l'abri.
Le risque est d'autant plus grand que pour lutter contre les "hoaxes" c'est
à dire les fausses alertes au virus (genre "si vous recevez un mail qui dit
blah blah, ne l'ouvrez pas c'est dangereux…") la plupart des
administrateurs réseaux ont expliqué longuement à qui voulait bien les
entendre qu'il ne pouvait jamais y avoir le moindre risque à lire un mail.
C'est inexact et ce bug permet de concevoir une attaque majeure contre
l'ensemble des machines Windows+Outlook.

L'ensemble des organismes de référence en sécurité sonnent l'alerte maximum
et implorent les administrateurs de corriger le bug avant de partir en
week-end.

C'est l'occasion de faire un peu de Pub :
Avec Linux, profitez gratuitement de vos week-end, avec Microsoft, payez
pour installer les patches le vendredi soir sur tous les postes !

Mais je vous accorde que ca n'a rien de drôle.

Pour bloquer les tentatives d'attaque de ce type, des filtres existent pour
Postfix, Sendmail etc. (bloquer les mails sur détection du regexp:
/Date:.{60,}$/ )
pour les config précises, suivre le lien "credits" sur le site de Bugtraq
(securityfocus.com)

Bon week-end quand même !

NdM. : cette dépêche a été initialement publiée le 22/07/2000 à 01h58, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

YAMOSH : Yet another MS Outlook security hole...

Posté par . Modéré par Fabien Penso.
Tags : aucun
0
19
juil.
2000
Sécurité

Un ENORME trou de sécu a été découvert dans Outlook, permettant à un
méchant virus de s'éxecuter dès que outlook place le mail dans Inbox.

L'utilisateur n'a même plus besoin de lire le mail pour être affecté, ça
laisse présager le pire…

Microsoft devrait mettre à disposition un patch aujourd'hui.

NdM. : cette dépêche a été initialement publiée le 19/07/2000 à 18h36, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Bug dans BitchX

Posté par . Modéré par Fabien Penso.
Tags : aucun
0
7
juil.
2000
Sécurité

Un bug permetant à n'importe quel utilisateur de faire planter votre
BitchX depuis IRC en utilisant la commande INVITE a été découvert, un patch
est disponible depuis quelques jours. Après m'être fait planter le mien
quelques fois je dois dire que je l'ai apprecié :)

NdM. : cette dépêche a été initialement publiée le 07/07/2000 à 10h23, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

EPFL découvre une faille de sécurité dans SSL

Posté par . Modéré par Fabien Penso.
Tags : aucun
0
5
juil.
2000
Sécurité

Le Laboratoire de sécurité et de cryptographie de l'EPFL (Ecole
Polytechnique fédérale de Lausanne) a découvert une faille de sécurité dans
le protocole SSL (utilisé pour sécuriser les transactions électroniques sur
Internet).
Selon l'EPFL, cette faille existerait aussi dans le protocole de cryptage
des mails (S/MIME).

NdM. : cette dépêche a été initialement publiée le 05/07/2000 à 15h58, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

SecureCRT: marche avec OpenSSH

Posté par . Modéré par Fabien Penso.
Tags : aucun
0
5
juil.
2000
Sécurité
Vandyke Technologies viennent d'annoncer que la dernière version de SecureCRT, un logiciel de connexion ssh pour Windows, marche avec OpenSSH v1 et v2. Il existe aussi des logiciels de ce type en libre, mais celui-çi est souvent utilisé et bien pratique tout de meme. NdM. : cette dépêche a été initialement publiée le 05/07/2000 à 13h02, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Pretty Poor Privacy

Posté par . Modéré par Fabien Penso.
Tags : aucun
0
23
juin
2000
Sécurité

P3P est un protocole destiné à garantir le respect des données
personnelles des internautes…
La maison blanche se félicite d'être parmis les premiers sites à supporter
ce protocole.
Microsoft annonce le support de P3P pour Windows et IE (Mouarf).

Et bien sur comme tout ne va pas pour le mieux dans le meilleur des mondes
l'association EPIC publie un rapport très critique sur l'efficacité
pratique de P3P en reprenant et complétant certaines conclusions de l'Union
Européenne…

Le gouvernement américain pousserait-il ce protocole en avant,
conjointement avec Microsoft, et en laissant quelques Backdoor ?

NdM. : cette dépêche a été initialement publiée le 23/06/2000 à 14h06, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Le proxy authentifiant Solsoft NSM passe en GPL

Posté par . Modéré par Fabien Penso.
Tags : aucun
0
23
juin
2000
Sécurité

C'est avec beaucoup de plaisir que je vous annonce le passage du proxy
authentifiant Solsoft NSM en Open Source.
Pour résumer ses fonctionnalités, NSM permet de gérer/authentifier des
utilisateurs sur un firewall et offre des capacités de filtrage de
protocoles applicatifs très fines.
Couplé à des systêmes de filtrage IP comme IPChains et IP Filter, il permet
la création d'un garde-barrière complet et 100% Open Source.
Ce logiciel a été choisi par de nombreux grands comptes, et devient
maintenant accessible à tous, notamment aux universités et aux PME.

NdM. : cette dépêche a été initialement publiée le 23/06/2000 à 13h36, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Faille de sécurité dans le package wu-ftpd de debian

Posté par . Modéré par Fabien Penso.
Tags : aucun
0
23
juin
2000
Sécurité

Les versions de wu-ftpd fournis avec Debian 2.1 (slink), potato et
woody sont vulnérables à une "remote root attack".
La configuration de base sur debian empeche la vulnerabilité d'etre
exploitable lors des connexions anonymes.
Il est fortement recommandé de procéder aux mise à jour de vos paquets.
Un ptit coup d'apt-get à faire d'urgence!

Rq: le problème n'est pas spécifique à debian.

NdM. : cette dépêche a été initialement publiée le 23/06/2000 à 13h27, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Onetelnet connait des trous de sécurité

Posté par . Modéré par Fabien Penso.
Tags : aucun
0
14
juin
2000
Sécurité
Onetelnet, le fameux fai illimité connait des failles de sécurité dans ses routeurs. Plus d'infos dans le lien NdM. : cette dépêche a été initialement publiée le 14/06/2000 à 07h37, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

'Securing & Optimizating' disponible en format PDF

Posté par . Modéré par Fabien Penso.
Tags : aucun
0
13
juin
2000
Sécurité

La version 1.3 de 'Security & Optimizing' est sortie. Allez vite faire
un tour sur le lien.

Note du modérateur: 'Security and Optimizing' est un livre sur Linux aux
éditions Red Hat. Apparemment il est très complet et couvre comme son nom
l'indique la sécurité sous Linux ainsi que les optimisations possibles.

NdM. : cette dépêche a été initialement publiée le 13/06/2000 à 19h19, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Numéro 30 de CNRS Sécurité Informatique

Posté par . Modéré par Fabien Penso.
Tags : aucun
0
6
juin
2000
Sécurité

Tout est dans le sujet !
Note: Ca parle de logiciels de tests d'intrusion.

NdM. : cette dépêche a été initialement publiée le 06/06/2000 à 18h28, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Le Top 10 des vulnerabilités

Posté par . Modéré par Fabien Penso.
Tags : aucun
0
3
juin
2000
Sécurité

Pour les sysadmins qui n'ont pas le temps de lire tous les jours des
avertissements du CERT ou bugtraq (je sais, ce n'est pas serieux…). `Sans
Institut', qui a constaté que les crackers utilisaient souvent les memes
vulnerabilités, a écrit le "top 10" de celles-ci.
Un minimum à savoir donc…

NdM. : cette dépêche a été initialement publiée le 02/06/2000 à 23h09, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Stats sur les bugs des differents OS

Posté par . Modéré par Fabien Penso.
Tags : aucun
0
29
mai
2000
Sécurité

Securityfocus a mis en ligne sur son site un recapitulatif des bugs
trouves sur les OS depuis 3 ans.
La famille Windows truste les premieres places (plein de bugs decouverts),
mais Linux n'est pas loin derriere (si l'on agrege toutes les distribs).
A noter l'excellente performance d'OpenBSD et de Mac OS et la pietre
prestation de Windows 2000 (pourtant lancé fin fevrier)

Deux facteurs sont susceptibles de faciliter la decouverte de bugs sur un
systeme :
- la disponiblite du code source (et c'est la que OpenBSD fait tres fort)
- la diffusion de l'OS (qui accroissent les chances de tomber sur un bug)

Linux cumule ces 2 facteurs "penalisant", on peut donc etre agreablement
surpris par le faible nombre de bugs trouves, toutes distribs confonfues.

NdM. : cette dépêche a été initialement publiée le 29/05/2000 à 18h23, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Backdoor dans Red Hat 6.2 Virtual Server

Posté par . Modéré par Fabien Penso.
Tags : aucun
0
26
mai
2000
Sécurité

La version de Linux Virtual Server disponible dans la distribution Red
Hat 6.2 contient une backdoor qui permet à un utilisateur distant
d'executer des commandes sur la machine.
La source est de wideopen.

NdM. : cette dépêche a été initialement publiée le 26/05/2000 à 10h34, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Questionnaire sur nmap

Posté par . Modéré par Fabien Penso.
Tags : aucun
0
24
mai
2000
Sécurité

L'auteur de nmap (fyodor) a mis en place un questionnaire sur son site,
afin de mieux orienter le développement de son scanner.
Donc, si vous voulez que certaines fonctionnalités manquantes soient
rajoutées, allez faire un tour sur insecure.org

NdM. : cette dépêche a été initialement publiée le 24/05/2000 à 15h29, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Un nouveau virus

Posté par . Modéré par Fabien Penso.
Tags : aucun
0
20
mai
2000
Sécurité

Encore un autre virus qui se propage par le mail.
Newlove sera moins contagieux que ILY mais plus destructeur.
Je me sent un peu delaissé par les createurs de virus :-(

NdM. : cette dépêche a été initialement publiée le 20/05/2000 à 13h36, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Le remède est pire que le mal.

Posté par . Modéré par Fabien Penso.
Tags : aucun
0
19
mai
2000
Sécurité

Si l'on en croit cet article de BBC News, le remède risquerait d'être
pire que lemal, en effet UCITA permettant "légalement" aux éditeurs de
logiciels d'installer des backdoors dans leurs produits afin de vérifier,
par exemple le respect des accords de licence, ces backdoors peuvent être
propices à de nombreux exploits, car il est très vraissemblale que leur
utilisation, contrairement à ce que croient naïvement certaines firmes,
sera aussi le fait de nombres de crakers avec les conséquences que l'on
imagine facilement ( par exemple qui sera tenu pour responsable ).

NdM. : cette dépêche a été initialement publiée le 19/05/2000 à 11h13, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

Nessus 1.0.0

Posté par . Modéré par Fabien Penso.
Tags : aucun
0
18
mai
2000
Sécurité

Champagne ! :) L'outil d'audit sécurité réseau est enfin sorti en
version finale.

NdM. : cette dépêche a été initialement publiée le 18/05/2000 à 10h17, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).

une sécurité à deux vitesses sous Linux ?

Posté par . Modéré par Fabien Penso.
Tags : aucun
0
16
mai
2000
Sécurité

Nous savons qu'un système Linux est à l'abri des débordements de ses
utilisateurs, mais un utilisateur est-il à l'abri des débordements des
programmes qu'il éxécute ?
Pourquoi une excellente sécurité au niveau système, et aucune au niveau
utilisateur ?

Voilà une question que je développe dans une petite bafouille que j'ai mise
en ligne. Si j'ai fait ça, c'est uniquement en attente des commentaires que
cela pourrait susciter. J'attends donc vos contributions avec impatience
(plutôt que de m'écrire directement, poster sur linuxfr pour que tout le
monde puisse en profiter)

NdM. : cette dépêche a été initialement publiée le 16/05/2000 à 13h40, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).