Il est fortement conseillé de mettre à jour vos serveurs web: de nouveaux trous de sécurité ont été trouvés dans Apache 1.3.26 et versions précedentes. Entre autres: des risques de Denial-of-Service locaux, des risques de "cross site scripting" via les pages d'erreur 404 et divers "buffer overflows". (cf. le link ci dessous pour plus de détails). Merci à Tomasera@#linuxfr pour l'info :-)

Un ancien collègue est en train de développer une solution en Open Source qui permet le déploiement facile d'une solution de détection d'intrusion (IDS en bon anglais ;o)

Il recherche de l'aide pour faire avancer son projet.

La fondation Mozilla vient juste de sortir un trio de nouvelles versions de Mozilla pour la correction de la vulnérabilité de sécurité du Windows shell. Ces versions n'apportent donc rien d'autre que le correctif.

Le correctif implique la désactivation du shell : manipulateur de protocole, qui a été découvert comme permettant aux pages de lancer des exécutables sur Windows par l'intermédiaire d'un lien.

Un XPI (Cross Platform Installer) est disponible pour désactiver cette fonctionnalité et il est également possible de se protéger en positionnant la valeur de l'option de configuration network.protocol-handler.external.shell à false.

Il existe actuellement différents CDROM de type Live CD que l'on dit aussi « bootables » et qui sont basés sur les distributions GNU/Linux.

Les Live CD concernant le domaine de la sécurité des systèmes d'informations et de communication sont tout aussi nombreux parmi ceux-ci, ils sont pour la plupart disponibles en téléchargement sur internet et notamment BackTrack2 qui est l'un des plus populaires parmi eux.

Ces Live CD ont été développés pour donner la possibilité à leurs utilisateurs d'y ajouter leurs propres outils et scripts, ils présentent cependant tous un défaut majeur dès lors que l'on souhaite effectuer la mise à jour du système et des outils qui les composent.

Cette opération est soit impossible dans la plupart des cas soit tellement compliquée à réaliser qu'elle n'est pas envisageable pour les utilisateurs lambda ; ils sont alors contraints d'attendre les avancées des développeurs afin de profiter des dernières versions.

Le site Secuobs.com, spécialisé dans le domaine de la sécurité informatique, vous propose un document présentant une méthode originale qui permettra à tout un chacun de réaliser son propre Live CD, orienté sécurité ou pas.

Un problème de sécurité a été découvert lors de l'utilisation de StarOffice en mode multi-utilisateurs. En effet les permissions d'accès au répertoire temporaire /tmp/soffice.tmp sont établies à 0777. Donc pensez à modifier le répertoire tmp par default pour qu'il soit créer dans l'espace utilisateur ($home).

La version 2.5.1 d'OpenSSH est disponible. Cette version intégre maintenant un client sftp (Secure FTP) en standard ainsi que bien sur le sftp server qui est maintenant activé par défaut dans le fichier de conf. Parmi les goodies:
-support en natif des protocoles 1.3, 1.5 et 2.0
-code cleaning de SSH2
-agent forwarding
-misc. bugs.
Il est conseillé d'upgrader à cette version. Pour celles/ceux qui veulent la sécurité, il n'y a plus qu'à !

Steven Gibson, directeur de Gibson Research, "expert en sécurité sur Internet", déclare dans un article du New York Times que Windows XP serait trop vulnérable aux attaques DOS.

Note du modérateur: un anonyme nous a proposé pour cette nouvelle:

« Les experts en securité Linux savent que les attaques non-spoofing par Internet sont presque toujours genérées par des PC sous environnement Windows. Cela risque d'empirer avec la sortie de Windows 2000 et la sortie de Windows XP. Pour on ne sait quelle raison, Microsoft a equipé Windows 2000 et XP avec la possibilité pour n'importe quel application de générer un méchant traffic Internet, communément connu comme étant une attaque DOS (Denial of Service) !
Des hackers malicieux sont dejá au courant de cette force majeure des nouvelles versions de Windows et ils attendent impatiemment l'arrivée de la "version maison" de Windows XP.»

A tous ceux qui utilisent la version stable de webalizer de Debian et les autres qui même sans utiliser le package debian utilisent webalizer 1.30 ou 2.0.0, regardez vos statistiques web ; elles risquent bien de s'être arrêtées au 4 octobre.

Visiblement, il y a des problèmes au niveau des timestamps qui sont calculés en utilisant une fonction jdate refaite et basé sur le 1er janvier 1990 (?).
Mozilla et DynDNS ont subi ce bug par exemple (voir urls).
Seule la dernière version 2.0.1 ne semble pas affectée par ce Pb (voir stats li.org).

Solution :
- passer à la dernière version de webalizer
- calculer epoch depuis le 1/1/1970 au lieu du 1/1/1990 :

/* initalize epoch */
epoch=jdate(1,1,1970); /* used for timestamp adj. */
ps : ce n'est pas certain que cette dernière solution corrige tous les problèmes...

Deux étudiants au Combridge a trouvé un moyen de voler les clés secrets d'une carte IBM 4758, qui sont utilisés notammenet dans les Distributeurs -Automatique-des-Billets.

D'après eux :

We are able, by a mixture of sleight-of-hand and raw processing power, to persuade an IBM 4758 running IBM's ATM (cash machine) support software called the "Common Cryptographic Architecture" (CCA) to export any and this program's DES and 3DES keys to us. All we need is:

* about 20 minutes uninterrupted access to the device
* one person's ability to use the Combine_Key_Parts permission
* a standard off-the-shelf $995 FPGA evaluation board from Altera
* about two days of "cracking" time

Euh, comment dire, à vos claviers ?

Source : Bugtraq.

Sun vient d'annoncer une faille de sécurité présente dans toutes ses JRE existants. Elle se trouve dans le "Bytecode verifier" et permet à une applette malicieuse de faire un peu tout et n'importe quoi sur votre machine.

Conclusion: tous à vos patchs, ou bien désactivez java au niveau de votre butineur habituel si vous naviguez sur des sites douteux...

La grande nouvelle est la mise à disposition de l'exploit de Gobbles, qui après s'etre illustré avec son exploit pour Apache remet ca avec OpenSSH.
L'avantage reste que maintenant on peut tester tous nos petits Linux et vérifier s'ils sont ou non vulnérables. J'ai donc pu confirmer que les packages ssh de Debian avant mise à jour n'etaient pas vulnérable ;-)
(par contre l'exploit marche tout à fait sur un OpenBSD 3.1 fraichement installé mais pas sur un 3.1-current).

Sinon l'équipe de OpenSSH a releasé juste avant l'exploit une mise à jour de l'advisory et explique notamment dedans pourquoi ils ont annoncé la faille de cette façon (en donnant le moins de détails possible, en faisant croire que toutes les versions de OpenSSH étaient vulnérables, etc. ...).

L'Open Web Application Security Project (OWASP), organisation de volontaires publiant des outils logiciels et bases de connaissance Libres sur la sécurisation des applications web, a publié une étude portant sur les 10 vulnérabilités (trous/failles de sécurité) les plus courantes des applications et services web.
Le rapport est au format PDF et pèse 336 Ko.

A l'occasion de la sortie de la version Sentinix 0.70.5 beta 2, nous souhaitions attirer votre attention sur cette distribution, entièrement libre et gratuite, dédiée au monitoring, à la surveillance, à la détection d'intrusion, et à la lutte contre le spam.

Sentinix propose par défaut un noyau 2.4.21 auquel est appliqué le patch OpenMosix SMP.

Le « Challenge-SecuriTech » est un concours de sécurité informatique en ligne, gratuit et ouvert à tous, organisé par le mastère « Sécurité de l'information et des systèmes » de l'ESIEA. Sa quatrième édition commencera le samedi 29 avril 2006.

À partir du samedi 29 avril 2006 à 00h00, plus de 15 épreuves de sécurité vous seront proposées. Vous aurez alors trois semaines pour les résoudre. Elles couvriront de nombreux aspects de la sécurité tels que les failles web et applicatives, l'analyse réseau, la rétro-ingénierie, la cryptanalyse, la stéganographie, l'analyse forensique, etc... Chaque épreuve résolue vous apportera un certain nombre de points, permettant d'effectuer un classement. De nombreux lots récompenseront les meilleurs.

Cette édition sera marquée par plusieurs nouveautés : un site web entièrement refait pour mieux répondre à vos attentes, des challenges plus variés et un concept différent. Vous pourrez trouver plus d'informations sur le site du challenge.

Les inscriptions sont d'ores et déjà ouvertes sur le site du challenge. Venez tester, améliorer et comparer vos connaissances en sécurité avec plusieurs milliers d'autres participants !

Phage, Un virus informatique modérément dangereux qui s'attaque au système d'exploitation PalmOS a été repéré le 21 septembre par la société d'antivirus F-Secure.