Voici une annonce qui explique ce qui s'est passé lors du piratage des serveurs Debian.org à partir de la première intrusion le 19 octobre.
Les machines : klecker, master, murphy et gluck ont finalement bien été rootkitées, c'est suckit qui a été installé, une description sommaire de ce rootkit est disponible dans l'annonce.
La première intrusion a été possible grâce à un mot de passe intercepté, et à un login avec un compte sans privilèges.
La conclusion actuelle est qu'il reste certainement une faille locale à découvrir.

Note du modérateur : Wichert Akkerman a tenu un compte-rendu au jour le jour sur cette question.

Un nouveau programme a été lancé pour améliorer la découverte des failles de sécurité dans le projet Mozilla.

Suivant le principe des "bounty hunters", ces chasseurs de primes qui chassaient des animaux en échange de récompenses, le nouveau programme propose à la communauté des primes pour la traque des bugs critiques au niveau de la sécurité des logiciels du projet.

Symantec a découvert [1] ce week-end un nouveau ver destiné aux plate-formes Linux et UNIX. Il s'agit d'une nouvelle variante du virus Plupii découvert en novembre dernier [4].

Ce ver ne représente pas une énorme menace car il n'est que peu répandu. Mais comme il profite de 3 failles de sécurités différentes pour se propager, il faut y faire attention. Les 3 failles concernent (plus de détails dans l'article complet) :
1- XML-RPC for PHP Code Execution Vulnerability
2- AWStats Input Validation Vulnerability
3- WebHints Shell Command Injection Vulnerability

Le ver, une fois le système infecté, va ouvrir une trappe (ou porte dérobée) sur le port UDP 27015.

Des correctifs sont accessibles en ligne :
1- XML-RPC 1.1.1 est couvert [2]
2- AWStats 6.4 est couvert [3]
3- Il n'y aurait pas encore de patch disponible pour Webhints

Mettez à jour vos systèmes, si ce n'est pas déjà fait.

Tout est dans le titre.
Il faut tout de même précisé qu'il existe des correctifs que les administrateurs réseaux connaissent sûrement...

Note du modérateur: Encore un article pour l'internaute moyen qui va lui faire prendre peur :)

Une nouvelle version de OpenSSH est disponible. Un bug permet au serveur accedé en ssh de forcer le client en mode agent ainsi que la redirection X11. Des updates sont disponibles pour Debian et certainement d'autres distributions.
De meme pour le programme cron qui est attaquable localement.

A vos updates !

La NSA (National Security Agency) conjoitement avec le SCC (Secure Computing Corporation) ont mis au point des systèmes de sécurité dans le LOCK system; puis les ont portés avec l'aide de l'Université d'Utah dans le noyau Linux.
Ce système permet virtuellement de tout sécuriser sous Linux, de la mémoire à la couche réseau.
On peut bien sur lire les sources de tous les patchs.
Mais bon étant un peu paranoïaque, ne peut-on pas se demander si la NSA ne tenterait pas de nous refaire le coup de la NSA_KEY sous Windows (je sais qu'on peut lire les sources mais bon qui va auditer tous ces patch de maniere neutre)
PS: Attention la NSA décline toute responsabilité sur leur patch.

A lire, c'est déconcertant. Vous y verrez que la NSA n'a pas besoin de déployer tout son arsenal technologique pour espionner la Commission Europeenne :(

Selon le véritable découvreur (Renaud Deraison) de la backdoor des modems ADSL d'Alcatel, il serait impossible de pénétrer le modem de l'extérieur du réseau. Il faudrait avoir déjà un accès au PC relié au modem via un cheval de Troyes ou autre.
La découverte date de l'année 2000, le sieur Tsutomu Shimomura, spécialiste de la médiatisation de ses actes, aurait donc un rôle plutôt faible dans cette affaire.

Face à l'avancée majeur du monde linux dans le domaine cryptographique, Microsoft veut maintenant jouer dans la cour des grands en annoncant un module crypto dans ses programmes. L'utilisation de signature semble nécessaire ce qui pose le problème de l'anonymat. La solution ultime semble être d'utiliser les Mandatory Access Protocols définis par la NSA et qui font partie du projet Linux SE. Un problème se pose: est-ce que le code des MAP est en GPL ou existe-il une double licence ?

La méthode de cryptage utilisée par le Wireless Ethernet 802.11, WEP (Wired-Equivalent Privacy), n'est absolument pas sécurisée selon plusieurs articles parus.

Des attaques permettant de récupérer la clé de cryptage en 15 minutes d'écoute du réseau ont été trouvées. Sachant qu'une seule clé est générée pour tout le réseau, cela met en cause la protection de tout le réseau.

Il en faut pas s'affoler pour autant : cela signifie que les données peuvent être interceptées au niveau de la couche liaison. Si les couches plus élevées (utilisation de IPSec, SSH, ...) encryptent les données à transmettre, cela ne pose pas de problème.

Note du modérateur : de quoi s'amuser à HAL ? ;-)

Ross Anderson, chef du laboratoire d'informatique de l'université de Cambridge avance la théorie selon laquelle les logiciels propriétaires n'auraient pas plus de failles de sécurité que les logiciels « open source ».

En effet, le chercheur considère qu'un programme au code source ouvert est un programme dans lequels les bogues sont faciles à trouver ; à l'inverse, ils sont plus difficiles à détecter si le code est fermé.

En calculant, dans les deux cas, le temps moyen que mettra le programme à se planter, Anderson affirme que dans l'absolu les deux types de programmes présentent le même taux de sécurité.
Car l'atout du code ouvert - trouver plus facilement les bogues - constitue également un atout pour tous ceux qui veulent lancer des attaques.

Update: Frédéric Raynal ajoute un lien vers une traduction de la conclusion du-dit article. A lire si tout n'est pas clair pour vous...

Il y a des histoires qui sont faites pour durer, Code Red et consors en font partie : on nous raconte des choses formidables sur IIS ici. Je sais que cela va encore en désoler plus d'un, mais j'ai trouvé ce titre tellement accrocheur que je n'ai pu y résister.
Bon évidemment, c'est encore un piège à trolls (don't feed the troll), mais ça fait un peu rire pour ceux qui sont au boulot et vont pouvoir commencer leur journée dans la bonne humeur :)

Note : notez aussi la photo du gars, il a l'air tellement sérieux qu'il m'a donné envie d'acheter IIS et Windows.

VNU Net nous indique que, a la surprise generale, Internet Explorer (les dernieres versions 5.5 et 6) peut donner accès à tous les cookies présents sur le navigateur avec un simple script...





Je vous aurais bien mis un petit lien pour patcher vos navigateurs (y'en a qui bossent sous Windows), mais le site de Microsoft indique que :




"Why isn't there a patch available for this issue?




The person who discovered this vulnerability has chosen to handle it irresponsibly, and has deliberately made this issue public only a few days after reporting it to Microsoft. It is simply not possible to build, test and release a patch within this timeframe and still meet reasonable quality standards."





Ce qui peut se traduire par (Attention, traduction perso) :


"Pourquoi n'y a-t-il pas de mise à jour corrigeant ce problème ?


La personne qui a découvert cette vulnerabilité a choisi de se comporter de facon irresponsable, et ne l'a déliberemment rendue publique que quelques jours après l'avoir rapportée a Microsoft. Il est tout simplement impossible de développer, tester et rendre disponible une mise à jour dans un si court laps de temps, tout en maintenant une qualité raisonnable."

Le Phrack #58 est enfin sortie au sommaire plein de truc intéressant, comme l'interception de fonctions, le patching au vol du noyau par /dev/kmem, etc.