Bonjour, Nal
Un journal bookmark pour signaler : faut mettre à jour bash
Voilà, c'est tout. Vous pouvez reprendre une activité normale.
Pour les autres, qui ne vont pas reprendre une activité normale de suite, on pourra résumer cela en "c'est sérieux, urgent, et mérite peut être une campagne de patch au pied levé". Cette découverte, qui date d'une vingtaine de jours aujourd'hui, vient d'avoir ses correctifs validés, à priori (…).
Sans cela, il est possible de faire, par exemple (…)
Que ce soit sur Google Play ou même l’App Store, les applications mobiles alternatives pour consulter votre boîte mail prospèrent. Mais que font-elles vraiment ? Peut-on leur faire confiance ?
On s’imagine qu’elles sont justes « mieux faites » que les applications par défaut. « Pareil mais en mieux », plus jolies, plus simples, vous promettant un tri automatique du courriel entrant ou un (swype) super-cool, ou encore un regroupement de vos boîtes pro & perso, alors vous foncez. Mais qu’en est-il vraiment ?
Dans une installation Linux-nginx-PHP classique, on a:
Après les deux failles mettant en cause l’utilisation d’instructions goto (l’une chez Apple, l’autre chez GNUTLS) et la faille Heartbleed, une vulnérabilité a encore été découverte : Triple Handshake («Triple poignée de main»), aussi appelée 3Shake.
Contrairement aux autres failles, celle-ci ne concerne pas l’implémentation mais le protocole. Cela signifie qu’elle touche potentiellement toutes les implémentations et que la correction définitive de cette faille nécessiterait une modification dans le protocole. En pratique, les corrections ont été effectuées en faisant des vérifications supplémentaires ou en éliminant certains algorithmes de chiffrement.
Logo par @Raed667
Concrètement, cette faille exploite les différents types de poignées de main (handshake, procédure qui permet d’établir les différents paramètres de communication entre deux machines, étape particulièrement importante pour un protocole de sécurité) afin de se faire passer pour une autre machine et d’effectuer une attaque de l’homme du milieu.
La faille est cependant considérée moins grave que Heartbleed, en partie parce qu’elle est compliquée, s’attaque à une configuration assez spécifique et nécessite une position privilégiée entre deux machines.
Une faille très sérieuse (CVE-2015-7547) vient d'être découverte dans la GNU libc (qui équipe tous les serveurs et desktops utilisant Linux…). Lorsqu'on résoud un nom en adresse, avec getaddrinfo(), le tampon où arrive la réponse n'est pas toujours le bon, et une réponse de grande taille peut écraser la mémoire, et mener au crash du client, voire à l'exécution de code (aïe).
Une exploitation typique est : le méchant se connecte à un serveur SMTP GNU/Linux depuis une adresse IP (…)
Le premier mai, OpenBSD est de sortie, comme chaque année.
OpenBSD est un système d'exploitation orienté sécurité et réseau, dont les principaux avantages sont la stabilité, grâce aux audits sur le code source, mais également l'ensemble très large de fonctionnalités réseau qu’il fournit.
Le changement majeur de cette version est dans la continuité du fork d’OpenSSL, LibreSSL (cf. Bob Beck, LibreSSL - The first 30 days and the Future, BSDcan 2014 ; Ted Unangst, LibreSSL: More Than 30 Days Later, EuroBSDCon 2014). En effet, neuf jours après la sortie d'OpenBSD 5.6, la vulnérabilité POODLE a pointé son nez. Adieu SSL 3, SSH 1 et MD5 !
Ont contribué à cette dépêche (par ordre de dispersion) : BAud, karchnu, Loïc Blot, Xavier Teyssier, palm123, zurvan, Cédric Krier, Rolinh, Xavier Claude, Ellendhel, Dareg, Nÿco, Stéphane Aulery. Aucune moule n'a été blessée durant la rédaction.
Dans une présentation informative et de bon goût, Bob Beck fait le point sur les raisons qui ont poussé les développeurs OpenBSD à débuter le nettoyage complet du code d'OpenSSL sous le nom de LibreSSL:
http://www.openbsd.org/papers/bsdcan14-libressl/
On y apprend, entre autres:
Coucou nal (zut, ça marche pas)
Cette nuit, Google a révélé par son « Project Zero » une faille de sécurité chez CloudFlare, qui pourrait bien mériter le prix de faille de l’année.
Depuis le 22 septembre 2016, avec une aggravation depuis le 30 janvier, jusqu’au 18 février, certaines pages HTML mal formées permettaient, après traitement par CloudFlare, de participer à une magnifique loterie : lors d’un accès à la page, on obtenait la page et en cadeau Bonux un bout de mémoire vive du proxy (…)
Bonjour tout le monde!
Je voudrais profiter de ce journal pour vous annoncer que mon projet personnel, Manux, vient de passer en version 0.0.4.
Pour rappel, Manux est un petit système d'exploitation nativement binairement compatible avec Linux, mais conçu pour encaisser les exploits jour zéro. Son noyau a été entièrement écrit par mes soins, sans reprendre la moindre ligne de Linux (ou de qui que ce soit d'autre), et tant son architecture noyau que son architecture de l'espace utilisateur (…)
Bonjour journal,
Je t'écris en ce dimanche pluvieux, pour t'annoncer une nouvelle qui pourra peut-être te réconforter de la météo. Le magazine " Virus Informatique " de l'éditeur ACBM est de RETOUR (j'ai l'impression d'écrire le titre de retour vers le futur ). Pas plus tard qu'hier, en me promenant chez un libraire aux hasard du coin de ma rue, alors que je cherchais le dernier MISC hors série sur les test d'intrusions Red team , et mon Linux Mag (…)
NdM.: cette dépêche a été réécrite en avril 2021 suite à la suppression du compte de son auteur principal.
Le logiciel libre GPG (« Gnu Privacy Guard ») permet la transmission de messages électroniques signés et chiffrés, garantissant ainsi leurs authenticité, intégrité et confidentialité (Wikipédia). Il permet donc de sécuriser un contenu numérique lorsqu'il est stocké ou échangé.
Détaillons les éléments de la sécurisation des communications numériques :
GPG est la version libre (au sens de logiciel libre) du logiciel PGP (« Pretty Good Privacy »).
Un journal quasi-bookmark pour signaler une belle initiative visant à renforcer la sécurité du noyau.
Solar Designer (le leader de la distribution Openwall) a annoncé en avril dernier que 5 projets avaient été acceptés dans le cadre du Google Summer of Code. Mail d'annonce : http://www.openwall.com/lists/announce/2011/04/26/1
L'un de ces étudiants est Vasiliy Kulikov et il travaille sur la sécurisation du noyau. Essentiellement cela consiste à essayer de faire remonter vers la branche principale (celle de Linus) les patchs qui (…)
Le logiciel OpenSSH permet d’avoir un shell sécurisé sur un serveur distant ou du transfert de fichiers de ou vers un serveur. Divers algorithmes de cryptographie sont utilisés pour le chiffrement, la génération ou l’échange de clefs. Et ces algorithmes peuvent s’affaiblir, être remplacés par de meilleurs algorithmes, connaître des portes dérobées, nécessiter des clefs plus grandes, etc. Ils sont implémentés (au sens ajouter ou enlever) par les développeurs d’OpenSSH (et de bibliothèques de cryptographie sous‐jacentes), ils sont empaquetés par une distribution (qui peut changer certains réglages à la production du paquet ou bien faire certains choix sur la configuration par défaut), et ils sont mis à jour par les équipes sécurité (d’OpenSSH et de la distribution).
Jetons un œil sur les paquets openssh-server de la distribution Debian (actuellement les versions sont 6.0p1-4+deb7u4 en Wheezy (l’ancienne ancienne version stable), 6.7p1-5+deb8u3 en Jessie (l’ancienne version stable) et 7.4p1-10 en Stretch (la version stable actuelle depuis le 17 juin 2017) : nous verrons quels sont les algorithmes pris en charge, quels sont ceux par défaut et quel niveau de sûreté leur accorder (suivant les tests des sites Rebex et CryptCheck, et les outils SSHScan et CryptCheck que nous allons utiliser).
Chaque fois qu'on parle de sécurité sur le Web, voir sur Internet, SSL est très souvent la réponse. Ce protocole permet de sécurisé les communications avec des algorithmes de chiffrement évolués que je ne peux contester, je n'en ai pas les connaissances.
Par contre ce que je peux contester, c'est l'architecture basée sur un tiers de confiance. En effet, le SSL repose sur une entité en qui on doit la pleine et entière confiance afin de transmettre nos messages (…)
WireGuard est à la fois un protocole de communication chiffré sur UDP et un logiciel libre l’implémentant, le tout créé par Jason A. Donenfeld, qui vise à remplacer les protocoles ou logiciels comme IPSec ou OpenVPN.
Bien que WireGuard ait été principalement pensé pour Linux et que son implémentation de référence soit celle du noyau Linux, il existe des implémentations sous licence libre pour la majorité des plateformes (Linux, BSD, Windows, Mac, Android, iOS), sous GPLv2 pour le noyau Linux, sous MIT, BSD, APLv2 ou GPL suivant les autres cas.