Journal Faille de sécurité glibc

Posté par . Licence CC by-sa
36
27
jan.
2015

Je me permets de faire un copier coller de l'annonce relayée sur le FRench SysAdmins Group (FRsAG):

**
/Cette vulnérabilité sévère détectée dans la bibliothèque C de GNU/Linux donne le contrôle aux attaquants sans nécessiter d’identifiants système.
- Patchs disponibles dès aujourd’hui - /

*
Le 27 janvier 2015 –– *Qualys, Inc.(NASDAQ : QLYS), le principal fournisseur de solutions de sécurité et de conformité dans le Cloud, annonce que son équipe chargée de la recherche en sécurité (...)

Mettre en place un serveur Jabber avec du TLS et du Forward Secrecy

Posté par . Édité par ZeroHeure, palm123, NeoX et Nÿco. Modéré par ZeroHeure. Licence CC by-sa
46
27
jan.
2015
XMPP

J'ai publié il y a quelques mois un tuto pour mettre en place "facilement" un serveur XMPP/Jabber avec Prosody et du SSL/TLS plutôt bien configuré sous Debian, j'ai eu pas mal de retours positifs depuis et je pense qu'il pourrait intéresser d'autres personnes.

Revue de presse de l'April pour la semaine 3 de l'année 2015

Posté par (page perso) . Édité par BAud. Modéré par Nÿco. Licence CC by-sa
22
21
jan.
2015
Internet

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

SmartLab aussi appelé DumbLab : un hackerspace à Limoges

Posté par . Édité par ZeroHeure, palm123 et Benoît Sibaud. Modéré par Nÿco. Licence CC by-sa
13
13
jan.
2015
Do It Yourself

Le hackerspace de Limoges, SmartLab aussi appelé DumbLab ouvre officiellement ses portes le vendredi 6 Février 2015 à 19 h 30.

Les principaux domaines qui intéressent le lab sont la sécurité informatique, les télécommunications et plus généralement l'électronique. Nous convions toutes les personnes intéréssées afin qu'elles puissent découvrir les locaux, le matériel ainsi que les projets du lab, poser des questions et pourquoi pas devenir membre :).

À cette occasion un apéro sera organisé dans nos locaux fraîchement rénovés. Rendez-vous donc le Vendredi 6 Février 2015 dans nos locaux situés impasse Daguerre.
N'hésitez pas à en parler autour de vous !

Pour tout renseignement, n'hésitez pas à consulter le site. Contact : smartlab.limoges@gmail.com

Revue de presse de l'April pour la semaine 2 de l'année 2015

15
13
jan.
2015
Internet

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

Journal Les lois françaises favorisent-elles l’insécurité informatique ?

Posté par . Licence CC by-sa
15
11
jan.
2015

Un système mécanique, par exemple dans une voiture, est relativement facile à sécuriser :

  • Le nombre de pièces et leurs interactions est relativement limité donc le risque de panne aussi ;
  • On peut calculer la résistance de chaque pièce mécanique et prévoir sa fiabilité (MTBF), quelles que soient les contraintes : efforts mécaniques exercés sur la pièce, fatigue et usure, vibrations, chaleur, réactions chimiques, corrosion ;
  • On a accès à chaque pièce pour faire un diagnostic ou une expertise et (...)

Appel à conférences sur la sécurité informatique, pour le 06 au 08 mars 2015, à SUPELEC Metz

Posté par . Édité par tankey et Benoît Sibaud. Modéré par Ontologia. Licence CC by-sa
6
9
jan.
2015
Sécurité

Cette année l'association GOALL aide à l'organisation des Journées FedeRez à SUPELEC à Metz. FedeRez est une fédération d'associations de réseaux informatiques étudiants. Tous les ans, les étudiants des associations membres se retrouvent pour échanger lors des Journées FedeRez, assister à des conférences et participer à divers ateliers. En plus des nombreux étudiants et jeunes diplômés constituant le public habituel de l'événement, beaucoup de professionnels sont invités.

L'édition 2015 aura pour thème la sécurité des systèmes d'information :

  • vendredi 6 mars après-midi : conférences et table ronde
  • samedi 7 mars matin : conférences
  • samedi 7 mars après-midi : conférences et ateliers
  • dimanche matin 8 mars : conférences et Assemblée Générale Ordinaire des associations membres du réseau Federez

Journal SécurityDay à Lille seconde édition

Posté par (page perso) . Licence CC by-sa
8
9
jan.
2015

Bonjour,

Mes étudiants organisent une conférence de sécurité assez technique le 16 Janvier 2015 à L'université de Lille 1:

http://securitydaylille1.github.io/

Au programme:
- (FR) Keynote - Fred Raynal
- (EN) Towards ultimate deobfuscation - Aurélien Wailly
- (FR) Recherche de vulnérabilités - Florian Ledoux
- (FR) Program analysis: dynamic binary analysis and instrumentation - Jonathan Salwan
- (EN) Memory analysis: a volatility primer - Mariano Graziano
- (EN) Inside VMProtect - Samuel Chevet
- (EN) Theorem prover, symbolic execution &amp (...)

Journal Méfiez-vous des applications de courriel sur mobile

Posté par (page perso) . Licence CC by-sa
53
31
déc.
2014

Introduction

Que ce soit sur Google Play ou même l’App Store, les applications mobiles alternatives pour consulter votre boîte mail prospèrent. Mais que font-elles vraiment ? Peut-on leur faire confiance ?

On s’imagine qu’elles sont justes « mieux faites » que les applications par défaut. « Pareil mais en mieux », plus jolies, plus simples, vous promettant un tri automatique du courriel entrant ou un (swype) super-cool, ou encore un regroupement de vos boîtes pro & perso, alors vous foncez. Mais qu’en est-il vraiment ?

(...)

Mises à jour ntp à faire suite à la faille CVE-2014-9295

Posté par . Édité par Benoît Sibaud, Jiehong, Florent Zara, Nÿco, BAud et Nils Ratusznik. Modéré par Nÿco. Licence CC by-sa
30
26
déc.
2014
Sécurité

De multiples failles de sécurité ont été identifiées et comblées dans ntp (le logiciel de ntp.org, pas le protocole NTP en général) ces derniers jours. Il s'agit de plusieurs failles avec notamment :

  • deux dépassements de mémoire tampon qui peuvent permettre un déni de service ou l'exécution de code avec les privilèges du processus ntpd lancé ;
  • d'une faiblesse dans la génération des clés, il est donc conseillé de recréer ces dernières après la mise à jour dans certains cas.

Elles ne sont pas forcément exploitables ou d'une grande dangerosité en dehors d'une d'utilisation avancée / serveur ntpd, mais il est préférable d'être prévenu :)

Cette faille a été identifiée et nommée CVE-2014-9295. Elle concerne toutes les versions de ntp jusqu'à la 4.2.7 et la version corrective 4.2.8 est parue le 18 décembre 2014.

NdM : il existe d'autres logiciels libres pouvant servir pour la synchronisation NTP, comme openntpd (non vulnérable) issu d'OpenBSD, Ntimed (client uniquement) sponsorisé par la Linux Foundation, chrony, etc.

Journal Mises à jour NTP

Posté par . Licence CC by-sa
40
23
déc.
2014
Ce journal a été promu en dépêche : Mises à jour ntp à faire suite à la faille CVE-2014-9295.

Bonjour,

Juste un petit journal bookmark très rapide pour signaler à ceux qui seraient passés à coté de l'info : de multiples failles de sécurité ont étés identifiées et comblées dans NTP ces derniers jours.

Il s'agit de plusieurs failles avec notamment :
- Deux dépassements de mémoire tampon qui peuvent permettre un déni de service ou l'exécution de code par un attaquant avec les privilèges de l'utilisateur NTP.
- D'une faiblesse dans la génération des clés, il est donc (...)

Vulnérabilité dans Git et Mercurial sur certains systèmes de fichiers (FAT, NTFS, HFS+, etc.)

Posté par (page perso) . Édité par Benoît Sibaud et Bruno Michel. Modéré par Christophe Guilloux. Licence CC by-sa
42
19
déc.
2014
Sécurité

Une vulnérabilité (CVE-2014-9390) a été annoncée hier soir concernant le logiciel de gestion de versions le plus en vogue en ce moment, j'ai nommé Git, ainsi que sur Mercurial, autre logiciel de la même catégorie. Elle a déjà été corrigée, je vous invite donc à mettre à jour vos installations.

Github, le service d'hébergement de dépôt Git lui aussi très en vogue, a de son côté annoncé avoir vérifié tous les dépôts présents sur ses serveurs à la recherche d'exploitations de cette vulnérabilité. Mesure de sécurité supplémentaire, il refuse désormais les push exploitant cette faille.

NdM : Merci à RoM1 et Sébastien Douche pour les précisions apportées dans la dépêche. La faille a été trouvée par le créateur de Mercurial, Matt Mackall, et Augie Fackler. La vulnérabilité se décline en trois parties :

  • la sensibilité à la casse dans Git, déjà corrigé dans Mercurial en 2008 ;
  • l’expansion des noms courts sous Windows (PROGRA~1 → Program Files), déjà corrigé dans Mercurial ;
  • la découverte récente de la façon non documentée dont Darwin (Apple) s’amuse avec HFS+ à ignorer certains caractères spéciaux et qui peut créer de nouvelles collisions de nom (cf la correction chez Mercurial, qui a permis la correction côté Git).

Atelier SSH et clés publiques/privées le 20 décembre à Courbevoie

Posté par . Édité par Benoît Sibaud et ZeroHeure. Modéré par tankey. Licence CC by-sa
4
8
déc.
2014
Communauté

Le GULL associatif StarinuX organise l'atelier : « SSH (Secure SHell) et connexions par clés sans mot de passe » le samedi 20 décembre de 9h30 à 17h,
au 48 rue de Colombes 92400 Courbevoie, salle Corail, étage 1A (SNCF : gare de Courbevoie, 7min de St Lazare et 1min de la Défense).

Au programme : venez vérifier vos classiques sur SSH (connexion clients / Serveur) et apprendre à se loguer en sécurité sans mot de passe via clés publique et privée.

Comme à l'accoutumée, une participation annuelle est demandée, de 20€ (10€ demandeurs d'emploi), valable pour plus de 15 ateliers.

Contact : events@starinux.org

Forum général.général [Réseau] - Intérêt d'une DMZ ?

Posté par (page perso) . Licence CC by-sa
1
22
nov.
2014

Hello,

Je m’auto-héberge pour quelques services, Web, DNS, DHCP notamment et à ce jour ma machine host étant directement dans mon LAN, l’accès à cette dernière se faisant directement avec une translation de port sur ma Box FAI. L'host physique ayant un parefeu et découpe les services dans un autre sous-réseau virtuel pour les envoyer vers les différentes jails.

Je me pose la question de savoir si j'ai un intérêt quelconque à isoler cette dernière (j'ai une option DMZ sur (...)

Journal Il est temps que vous ayez un meilleur HTTPS

Posté par . Licence CC by-sa
35
21
nov.
2014

Ça y est (article en anglais désolé) le gouvernement français fait de la surveillance sur ses propres employés en créant un certificat "google.com" et en le signant avec sa propre autorité de certification (oui, si vous n'étiez pas au courant, l'ANSSI a sa propre autorité de certification.)

Moi qu'était fier que mon pays aie une autorité de certification, me voilà déçu par un hiérarchie qui fait de la merde avec.

Bref… Il est temps de faire le ménage dans vos (...)