Découverte d'une faille de sécurité critique dans OpenSSL de Debian
En conséquence, tous les certificats et clefs SSL/SSH générés sur une Debian (ou dérivée) depuis 2006 l'ont été à partir d'un univers des possibles très restreint (environ 250 000 clefs, à confirmer) et présentent donc un niveau de sécurité largement inférieur à celui estimé.
Cette vulnérabilité touche Debian ainsi que toutes les distributions utilisant des paquets Debian (Ubuntu, Xandros...).
Pour prendre un exemple parlant, imaginez Securor, un fabricant de serrures qui seraient utilisées un peu partout sur la planète. Au bout de deux ans, alors que des millions de personnes ont installé des serrures pour protéger leur maison, on se rend compte qu'en fait il n'existe que 3 modèles uniques de clefs, les autres ne sont que des copies d'un des 3 modèles d'origine. Si bien qu'un voleur peut très facilement concevoir un trousseau contenant les 3 modèles de clefs, en ayant la certitude que toute serrure rencontrée pourra être ouverte avec l'une de ces clefs...
Concrètement, si vous utilisez une Debian, ou dérivée, vos VPN peuvent être cassés (adieu confidentialité des échanges), des faux certificats peuvent être signés (adieu confiance en votre système de PKI), votre serveur SSH ne filtre plus grand monde (adieu système sécurisé)...
Que faire ?
- Mettre à jour votre distribution Debian pour installer les nouveaux paquet.
- Vérifier sur tous vos systèmes qu'une clef faible n'est pas présente. Pour cela, un outil est disponible : dowkd.pl
Si une clef faible est présente, il sera nécessaire de la générer à nouveau, avec tous les impacts que cela peut avoir (fichiers authorized_keys & know_hosts obsolètes...). Même problème pour les certificats : j'espère que personne n'a mis en place de PKI sous Debian depuis 2006, il va falloir regénérer les certificats...
- lire le wiki Debian http://wiki.debian.org/SSLkeys qui vous guidera pas à pas en fonction des logiciels installés sur votre machine.
NdM : lire également les articles sur Planet Debian-Fr.
Forum Linux.débutant Limiter l'utilisation d'un user
Bonjour à tous,
Su un poste j'ai installé Ubuntu 20.04. Il sera utilisé uniquement dans un carde pro comme Poste de vente (POS) pour un commerce. Comment limiter l’accès du user(vendeur) uniquement au logiciel de vente?
merci et bonne journée
Lien Une application sportive au service de sa majesté
Documentation non officielle en français pour Scapy sur Secuobs.com
L'un des seuls points faibles connu à ce jour, concernant Scapy, est son manque de documentation officielle ou non, notamment francophone, permettant de le destiner à un plus large public que les experts du domaine ; partant de ce constat, le site Secuobs.com, spécialisé dans le domaine de la sécurité informatique, met à disposition de tous un document venant combler une partie de ce manque.
Vous y apprendrez notamment comment installer et configurer Scapy ainsi que les rêgles rudimentaires relatives à son utilisation (commandes basiques et avancées) et à la manipulation de paquets (et de trames) de données dont un exemple de génération de graphiques 2D/3D à partir des résultats d'un traceroute réalisé à l'aide de Scapy.
Forum général.général Y a-t-il des cryptographes dans la salle? Stockage de mots de passe
Bonjour tout le mode,
Une idée m'est venue pour le stockage de mots de passe. Je ne suis absolument pas un expert en sécurité, et je me suis donc dit que d'autres personnes l'avaient eue avant moi, mais que comme elle n'était pas répandue, c'est qu'il doit s'agir d'une mauvaise idée.
Alors voilà, on connaît quelques méthodes de stockage des mots de passe, par ordre croissant de sécurité:
- en dur dans le code (!)
- en clair dans une DB
- sous (…)
Forum Linux.général [USB] Demande de mot de passe
Bonjour à tous,
Je suis nouveau sur le forum. (J'espère ne pas poster au mauvaise endroit).
J'aimerais savoir si il est possible lors de la connexion d'un périphérique usb, de demander un mot de passe, si le mot de passe n'est pas saisie, le périphérique n'est pas monté.
Je ne sais pas du tout si une solution comme celle-ci existe, je cherche en parallèle à ma demande ici.
Merci bien !
Cordialement.
Système : Debian 8
Encore un trou dans BIND
Extrait de l'article du monde:
"Par chance, le bogue a été découvert à temps et le Computer Emergency Response Team (CERT) de l'université américaine de Carnegie Mellon a publié, lundi 29 janvier, une « rustine » et vérifié que la dernière version du logiciel, Bind 9, ne présente pas ce défaut."
Mettez à jour :)
"Why OpenBSD Will Never Be as Secure as Linux"
Il ne compare pas les avantages intrinsèques des deux systèmes mais mentionne plusieurs moyens de sécuriser Linux non disponible sur OpenBSD, dont les arguments sont une configuration "secure by default" (bof ...) et un code mieux audité.
- WireX : Immunix, distribution Linux orientée sécurité : SubDomain pour restreindre les fichiers accessibles à un programme, StackGuard et FormatGuard pour les bugs dus à des dépassements de buffer et les chaînes de formatage.
- openwall : piles user non exécutable, plus de liens et pipes dans /tmp
- Argus PitBull LX : Discretionary Access Control, restrictions à l'accès aux devices et aux ports (flexible, moins lourd qu'un chroot). Attention, kernels binaires seulement !
- NSA SELinux : similaire à PitBull, mais PitBull ressemble un peu à l'inspecteur gadget de la sécurité tandis que les patches de la NSA ont apparemment un design plus cohérent, j'ai l'impression que les designers ont une "big picture" du noyau, mais c'est plus délicat à paramétrer.
- LIDS : bloque certains éléments de configuration qui ne sont plus modifiable sans un accès physique à la machine.
- Medusa DS9 : plus ou moins la même chose que les précédents ?
L'auteur annonce un article "Why Linux Will Never be as Secure as OpenBSD" pour la semaine prochaine, donc il ne faut prendre le titre provocateur au pied de la lettre.
Personnellement j'ai participé au crack contest openhack sur une machine avec PitBull LX et j'ai été impressionné par sa résistance, un hacker a pu avoir un shell root avec un exploit connu mais n'a pas pour autant pu créer le fichier demandé dans la racine à cause du Discretionary Access Control.
Apparemment la sécurisation globale d'un système passe par la mise en place de tels mécanismes qui n'ont pas les limites du "Mandatory Access Control", on ne peut pas tout faire à coups de chmod.
GR-Security 1.8
Nouveautés: update PaX (http://pageexec.virtualave.net) code, anti-fork bombing code, pas mal d'updates pour l'ACL, ainsi que du bugfix.
(Une modif de dernière minute sur la release du 24-09 ayant été faite, il vous est conseillé de repomper la dernière du 25)
Startup Linux : un Firewall méconnu
Le développement de "distributions" permettant de mettre en place un firewall facilement accessible à tous et ne nécessitant pas des connaissances trop pointues dans ce domaine est en plein renouveau.
On a souvent parlé de la distrib Smoothwall, permettant de recycler son vieux 486, mais une autre alternative existe Startup Linux, qui a mon goût est plus complet et inclus le minimun pour celui qui veut faire le maximun s'en pour autant être un expert. Bien sûr un expert préfèrera toujours faire sa propre sécurité avec son propre firewall et sa DMZ, mais ce genre de produit s'adresse aux débutants soucieux de se sécuriser un minimun tout en adoptant un produit fiable et gratuit, comme aux utilisateurs plus avancés.
Pour pouvoir se consacrer tranquillement à autre chose, et se préparer plus sereinement à une configuration personnelle.
Vive l'alternative.
Création d'une mailing list de signature de clé GPG
Faille de sécurité dans l'outil « lprm » de OpenBSD
Cependant, depuis OpenBSD 3.2, cet utilitaire appartient à l'utilisateur daemon et non root ce qui limite les possibilités.
Des correctifs sont disponibles.
Conférence Challenge Securitech 2004
Le concours vient donc de se terminer ce week-end. Dans le cadre du challenge est organisée une conférence le vendredi 7 mai 2004 à 17h dans le 5ème arrondissement de Paris.
Seront notamment présents, Kostya Kortchinsky, responsable du CERT RENATER et Nicolas Brulez, The Armadillo Software Protection System :
Kostya Kortchinsky animera une présentation sur les shellcode ~crosoft.
Nicolas Brulez présentera quant à lui les techniques de reverse engineering.
Les solutions des 20 niveaux du Challenge seront également débattues.
Forum Linux.général Y a-t'il un lien entre IP publique et certificat wildcard ?
Bonjour,
Est-ce qu'un certificat wildcard peut être installé sur plusieurs serveurs différents hébergés à des endroits différents et avec des IP différentes ?
En fait mon hébergeur me facture un certificat wildcard qu'il a installé sur mon serveur hébergé chez lui.
Moi j'ai un autre serveur hébergé chez moi et qui partage le même nom de domaine que celui hébergé chez lui.
J'aimerai donc pouvoir le joindre en https sans avoir le message d'avertissement…
Si c'est possible alors pouvez vous m'indiquer (…)