Et voila .. un buffer overflow en plus dans ce monde cruel ..

Le bug concerne tous les systèmes d'exploitation avec un navigateur supportant Shockwave.

Le buffer overflow concerne l'execution de code malicieux contenu dans le .swf ( fichier flash ) . Cela peut aller du crash du browser à l'execution d'un programme dans le but de propager des virus par exemple ..

Vive le closed-source :)

La réponse d'Alcatel... Il y avait pas de quoi s'inquiéter. Toutes les failles indiquées ne pouvaient être utilisées que de l'intérieur et les OS Win95/98/2000/NT et Linux n'ont pas de port "bounce". De plus, aucune démonstration d'infiltration n'a été faite pour l'instant.
On peut quand même admirer la rapidité de la réponse d'Alcatel ...

Le bureau «Information Assurance Research» de la NSA a sorti une distribution linux intégrant des patches kernel, et proposent des modifications au niveau de la sécurité (File systems, Processus, Sockets).


un bon résumé renvoie vers des docs à propos de leurs modifs.

{ info portée a ma connaissance par nospher }

Suite à une annonce sur Yahoo (ZDNet en fait) où il est annoncé la mort de PGP (ce n'est pas nouveau), j'ai pu lire "vive WinPT". En creusant un peu plus, il s'avère qu'il s'agit d'un "portage" basé sur GnuPG pour Windows. (Je sais que ...) Mais bon, voilà qui élargit un peu le domaine d'action de GnuPG et des utilisateurs qui l'utilisent, (c'est le but de l'article).

J'ai le plaisir de vous annoncer la sortie de MISC, revue consacrée à la sécurité informatique. Suite au succès du HS8 de LinuxMag, nous avons repris la même formule : des articles écrits par des experts dont la sécurité est le métier.

Vous trouverez au menu un gros dossier sur le web, de la programmation, du réseau, des sciences, du virus, du pur zipiz, ...

A cette occasion, je remets sur ma page des articles du hors-série en ligne (ça devrait être fait dans la journée).

RedHat, Mandrake, Eridani et sûrement d'autres (Debian ?) viennent de sortir des patches pour leur packages... En effet, un buffer overflow vient d'être découvert dans les serveurs IMAP utilisés dans ces distributions.

Ce problème engendre la possibilité de lancer des commandes sur le serveur IMAP en utilisant le nom de l'utilisateur connecté sur sa messagerie. Heureusement qu'il faille être déjà logué sur le serveur IMAP pour pouvoir exploiter ce trou de sécu... ça limite la portée de ce dernier. En espérant que vous ne vous fassiez pas écouter votre réseau si vous avez des clients fonctionnant avec imap sans sous-couche SSL...

De multiples vulnérabilités ayant différents impacts ont été trouvées dans BIND, client/serveur de nom bien connu par l'Internet Software Consortium (ISC).
Tous à vos patches!

Jared Stanbrough vient de découvrir un "exploit" (faille) touchant les noyaux Linux de la série 2.4.x < 2.4.21, comportant le support NFSv3

Cet exploit consiste via les appels de données XDR à donner une valeur "inexacte" à une routine d'appel, ce qui peut provoquer une copie de bloc mémoire très importante dans l'espace Noyau (Kernel Space) et provoquer rapidement un Kernel Panic (plantage du système)

La fonction incriminée et un exemple d'attaque sont présents sur le BugTraq. Rassurez-vous néanmoins, la seule façon détectée aujourd'hui pour attaquer un hôte vulnérable est d'exporter un répertoire qui serait accessible à une personne mal intentionnée. Toutefois les risques méritent d'être signalés.

K-OTik Security nous apprend que deux vulnérabilités ont été identifiées dans le noyau Linux, elles pourraient être exploitées par un attaquant afin de causer un déni de service ou augmenter ses privilèges.

1) Le premier problème résulte d'une erreur présente au niveau du module IGMP (Internet Group Management Protocol), elle pourrait être exploitée par un utilisateur local afin d'augmenter ses privilèges (à root), ou par un attaquant distant afin de causer un déni de service [l'attaquant devra être capable d'envoyer des requêtes IGMP_HOST_MEMBERSHIP_QUERY, et les fichiers /proc/net/igmp et /proc/net/mcfilter cibles devront être non vides].

2) La seconde vulnérabilité concerne la fonction scm_send(), elle pourrait être exploitée par un utilisateur local afin de causer un Déni de Service. L'exploitation (à des fins d'élévation de privilèges) n'est pas possible sous Linux 2.4.x, la possibilité d'exploitation sous Linux 2.6.x n'a pas été confirmée/infirmée.

Aucun correctif officiel pour l'instant, donc patience.

Un virus de plus sous windows, c'est pas original. D'autant plus qu'il n'est pas finaud: un .exe attaché aux emails, qui se fait passer pour une animation shockwave, et qui se réplique via le carnet d'adresse de OutLook. Mais celui-ci a la particularité de conseiller à la personne infectée de remplacer son windows par linux:
- les fichiers .jpg et .zip sont renommés en ajoutant "change atleast now to LINUX" à leur nom.
- l'auteur du virus a signé "The Penguin"

Si j'avais tendance à voir des complots partout, je me dirais: ce genre d'acte ne va-t-il pas faire passer les aficionados de linux pour de dangeureux terroristes ? Aurait-il pour but de faire du tord à Tux ?

Un article du N.Y. Times d'hier indique qu'une société Tchèque, ICZ, aurait trouvé une faille de sécurité dans PGP. Il ont déjà prevenu << P.G.P. engineering >> et publieront sur leur page le problème dès demain.

Mais pas de panique : la faille résiderait dans le cassage de la protection de la clef privée : il faut déjà y accéder !

GPG aurait-il le même genre de soucis ? Peut-être pas... plus d'infos demain, donc.

Note: pour lire l'article du NY Times, c'est gratuit, mais il faut s'inscrire.

Lu sur infoguerre.com :
"Selon transfert.net, un groupe de hackers " the cult of the death cow " a annoncé le lancement lors du prochain Defcon de juillet 2001, d'un navigateur qui permettrait de surfer anonymement: Peekabooty. (...)". La suite de l'article sur infoguerre.