Vulnérabilité dans Git et Mercurial sur certains systèmes de fichiers (FAT, NTFS, HFS+, etc.)

Posté par (page perso) . Édité par Benoît Sibaud et Bruno Michel. Modéré par Christophe Guilloux. Licence CC by-sa
37
19
déc.
2014
Sécurité

Une vulnérabilité (CVE-2014-9390) a été annoncée hier soir concernant le logiciel de gestion de versions le plus en vogue en ce moment, j'ai nommé Git, ainsi que sur Mercurial, autre logiciel de la même catégorie. Elle a déjà été corrigée, je vous invite donc à mettre à jour vos installations.

Github, le service d'hébergement de dépôt Git lui aussi très en vogue, a de son côté annoncé avoir vérifié tous les dépôts présents sur ses serveurs à la recherche d'exploitations de cette vulnérabilité. Mesure de sécurité supplémentaire, il refuse désormais les push exploitant cette faille.

NdM : Merci à RoM1 et Sébastien Douche pour les précisions apportées dans la dépêche. La faille a été trouvée par le créateur de Mercurial, Matt Mackall, et Augie Fackler. La vulnérabilité se décline en trois parties :

  • la sensibilité à la casse dans Git, déjà corrigé dans Mercurial en 2008 ;
  • l’expansion des noms courts sous Windows (PROGRA~1 → Program Files), déjà corrigé dans Mercurial ;
  • la découverte récente de la façon non documentée dont Darwin (Apple) s’amuse avec HFS+ à ignorer certains caractères spéciaux et qui peut créer de nouvelles collisions de nom (cf la correction chez Mercurial, qui a permis la correction côté Git).

Atelier SSH et clés publiques/privées le 20 décembre à Courbevoie

Posté par . Édité par Benoît Sibaud et ZeroHeure. Modéré par tankey. Licence CC by-sa
3
8
déc.
2014
Communauté

Le GULL associatif StarinuX organise l'atelier : « SSH (Secure SHell) et connexions par clés sans mot de passe » le samedi 20 décembre de 9h30 à 17h,
au 48 rue de Colombes 92400 Courbevoie, salle Corail, étage 1A (SNCF : gare de Courbevoie, 7min de St Lazare et 1min de la Défense).

Au programme : venez vérifier vos classiques sur SSH (connexion clients / Serveur) et apprendre à se loguer en sécurité sans mot de passe via clés publique et privée.

Comme à l'accoutumée, une participation annuelle est demandée, de 20€ (10€ demandeurs d'emploi), valable pour plus de 15 ateliers.

Contact : events@starinux.org

Forum général.général [Réseau] - Intérêt d'une DMZ ?

Posté par (page perso) . Licence CC by-sa
1
22
nov.
2014

Hello,

Je m’auto-héberge pour quelques services, Web, DNS, DHCP notamment et à ce jour ma machine host étant directement dans mon LAN, l’accès à cette dernière se faisant directement avec une translation de port sur ma Box FAI. L'host physique ayant un parefeu et découpe les services dans un autre sous-réseau virtuel pour les envoyer vers les différentes jails.

Je me pose la question de savoir si j'ai un intérêt quelconque à isoler cette dernière (j'ai une option DMZ sur (...)

Journal Il est temps que vous ayez un meilleur HTTPS

35
21
nov.
2014

Ça y est (article en anglais désolé) le gouvernement français fait de la surveillance sur ses propres employés en créant un certificat "google.com" et en le signant avec sa propre autorité de certification (oui, si vous n'étiez pas au courant, l'ANSSI a sa propre autorité de certification.)

Moi qu'était fier que mon pays aie une autorité de certification, me voilà déçu par un hiérarchie qui fait de la merde avec.

Bref… Il est temps de faire le ménage dans vos (...)

Forum général.général Auditer de la domotique

Posté par (page perso) . Licence CC by-sa
2
17
nov.
2014

Bonjour,

Dans notre petit groupe de glandouille recherche sponsorisé(*) par ma SSII alimentaire, on s'amuse un peu avec du SMART (il parait que c'est à la mode). L'idée n'étant pas de troller mais de fouiller un peu l'aspect sécurité de la chose.

Si j'étais formé à la sécu, ça serait plus simple mais je ne suis qu'une modeste lecteur ébahi devant les articles de MISC. Enfin, il faut bien se lancer.

Après avoir jeté un œil aux protocoles (ZigBee, Z-Wave (...)

Journal Sécurité de l'open source Vs closed source: MS14-066

Posté par (page perso) . Licence CC by-sa
33
17
nov.
2014

Bonjour,

Une fois n'est pas coutume, je vais commencer par parler de microsoft sur ce site francophone linuxien.

Vous le savez, microsoft prend la sécurité de ses produits très au sérieux depuis une dizaine d'année (windows XP SP2 environ). Ils ont mis en place un système de patch à date fixe, le second mardi du mois, surnommé rapidement "patch tuesday". Les équipes opérationnelles peuvent prévoir des astreintes supplémentaires ce mardi pour tester/qualifier et pousser les patchs.

Ce mardi a été (...)

Forum Linux.debian/ubuntu Piratage de mon serveur et détection d'intrusion

Posté par . Licence CC by-sa
Tags :
2
7
nov.
2014

Bonjour à tous,
J'ai un Virtual Private Server (VPS) Debian7 chez OVH qui héberge du mail (postfix+dovecot) et du web (apache2). Je n'ai pas vraiment de connaissance pour administrer ce genre de service et j'ai configuré le bouzin en suivant les divers tutos sur le net.

J'ai reçu une alerte de ovh qui m'a signalé une activité anormale de mon vps. Par précaution, Ovh l'a alors mis en quarantaine. Du coup, j'ai fait un reset et j'ai réinstallé le bazard (...)

Sondage Comme autorité de certification pour linuxfr.org je préfèrerais...

Posté par (page perso) . Licence CC by-sa
22
5
nov.
2014

Après la grande discussion sur le certificat CACert de LinuxFR ayant eu lieu dans la dépêche Firefox 32, après l'entrée de suivi à ce sujet, pourquoi ne pas faire un sondage auprès des utilisateurs du site ?

  • Rester avec CACert en dépit des critiques :
    277
    (12.6 %)
  • Opter pour Gandi (donc Comodo) comme l'April et l'AFUL :
    488
    (22.2 %)
  • Un certificat auto-signé car je vous fais confiance :
    277
    (12.6 %)
  • Un certificat GlobalSign gratuit (ceux réservés aux projets libres) :
    257
    (11.7 %)
  • Un certificat Verisign car avec eux c'est du sérieux, ils ont des cravates ! :
    61
    (2.8 %)
  • Yaka supprimer le HTTPS ! :
    151
    (6.9 %)
  • De toute façon c'est foutu, la NSA a des ordinateurs quantiques. :
    689
    (31.3 %)

Total : 2200 votes

Les journaux LinuxFr.org les mieux notés du mois d'octobre 2014

Posté par (page perso) . Édité par Thomas DEBESSE, Nÿco et Nils Ratusznik. Modéré par Nils Ratusznik. Licence CC by-sa
12
3
nov.
2014
LinuxFr.org

LinuxFr.org propose des dépêches et articles, soumis par tout un chacun, puis revus et corrigés par l'équipe de modération avant publication. C'est la partie la plus visible de LinuxFr.org, ce sont les dépêches qui sont le plus lues et suivies, sur le site, via Atom/RSS, ou bien via partage par messagerie instantanée, par courriel, ou encore via médias sociaux.

Bannière LinuxFr.org

Ce que l’on sait moins, c’est que LinuxFr.org vous propose également à tous de tenir vos propres articles directement publiables, sans validation a priori des modérateurs. Ceux-ci s'appellent des journaux. Voici un florilège d'une dizaine de ces journaux parmi les mieux notés par les utilisateurs… qui notent. Lumière sur ceux du mois d'octobre passé.

OpenBSD 5.6

Posté par (page perso) . Édité par anaseto, BAud, ntimeu, Cédric Krier, Victor STINNER et tankey. Modéré par patrick_g. Licence CC by-sa
62
2
nov.
2014
OpenBSD

Mois de novembre oblige, une nouvelle version d'OpenBSD est publiée. Nous sommes désormais en version 5.6.

OpenBSD est un système d'exploitation orienté sécurité et réseau, dont les principaux avantages sont la stabilité, grâce aux audits sur le code source, mais également l'ensemble très large de fonctionnalités réseau qu'il fournit. L'équipe d'OpenBSD s'est notamment illustrée cette année par son fork d'OpenSSL, LibreSSL

Retrouvons-nous pour échanger autour des outils de développement de Firefox OS

16
1
nov.
2014
Mozilla

Une petite news pour annoncer la création d'un groupe autour de Firefox OS. l'objectif est de se retrouver pour échanger sur Firefox OS. La première rencontre aura lieu le jeudi 6 novembre avec comme sujet les outils de développement de Mozilla Firefox OS.

Firefox OS

Trois présentations auront lieu ce soir là, après une introduction par Tristan Nitot :

• présentation de l'architecture de Firefox OS : Gaia, Gecko, Gonk, par Loïc Cuguen ;
• sécurité : la gestion des app et des API, par Stéphanie Ouillon ;
• outils de développement : Firefox OS Developer Tools, par Jan Keromnes.

Cela se passe chez Mozilla, au 16 bis Boulevard Montmartre, Paris. Venez nombreux, on prévoit aussi un hackathon pour la fin de Novembre.

Journal QRaidCODE, stocker des données sécurisée sur qrcodes

24
25
oct.
2014

Il y a un peu plus d'un an de ça, j'ai travaillé sur une application web de stockage de données sur qrcode utilisant un système proche du Raid des disques dur permettant de proposer à l'utilisateur de stocker des données sur une série de qrcode et de pouvoir n'utiliser qu'une fraction de ces qrcodes pour récupéré ses données.

À l'époque, il s'agissait d'une application web qu'il était compliqué de déployer car nécessitant quelques binaires et notamment une version patché (...)

Journal Hack.lu 2014

Posté par (page perso) . Licence CC by-sa
22
25
oct.
2014

Cher journal,

Hack.lu, c'est fini, c'était la semaine passée. Alors, je vais te faire un résumé rapide des conférences que j'ai ou dont j'ai entendu parlées qui étaient particulièrement intéressantes. Vous pouvez retrouver une partie des supports de présentation dans les archives, elles n'étaient cependant pas filmées. Je ne vais pas détailler plus que ça parce que je n'ai pas forcément vu les conférences et puis, avec Google et le titre, vous trouverez plein d'informations si le sujet (...)

Forum Linux.général [Sécurité] Comment protéger ses services auto-hebergés sans empiler les par-feux physique ?

2
18
oct.
2014

Salut les packets IP ;)

Mes connaissances en architectures réseaux sont un peu lointaines et j'aimerais profiter de cette manne de connaissances qu'est LinuxFr pour m'aider dans ma réflexion.

Avec la recrudescence des failles découvertes un peu partout en ce moment, les super h4ck3rs du dimanche s'en donnent à coeur joie dans les log Nginx notamment.
C'est l'occasion de revoir un peu l'aspect sécurité sur mes services auto-hébergés, notamment sur la gestion des IP/packets entrant vers mes services.
J'aimerais beaucoup exclure (...)

Journal HardenedBSD mentioned in FreeBSD Quaterly report

Posté par . Licence CC by-sa
9
17
oct.
2014

Hello tout le monde,

HardenedBSD évolue petit a petit à ce qu'on peut voir ici … Une fois qu'ASLR est poussé "upstream", les autres features peuvent suivre. En effet, apres un EuroBSDCon 2014 riche en evenements, la mise a jour d'arc4random (qui utilise l'algo Chacha 20 en lieu et place du vénérable RC4) côté userland et kernel, l'addition de l'appel systeme getentropy (je crois que sous Linux c'est plutot getrandom ? à vérifier…), les libraries et quelques binaires compilent respectivement avec (...)