Une nouvelle version du serveur Web Apache vient de sortir, corrigeant les récents problèmes de sécurité. (NdM: 1.3.26)
Dans un même temps, la société ISS subit un retour de flamme du à sa "mauvaise conduite" lorsqu'elle a commencé le thread sur les problèmes de sécurité d'Apache.
En effet, la procédure (non-formelle) de rapport de bug prévoit que le fabricant d'un logiciel (ou le "groupe" qui développe un logiciel libre) soit mis au courant avant la publication...
ISS n'avait pas jugé nécessaire de le faire mais avait en plus proposé un patch qui ne résolvait pas complètement le problème !

Une nouvelle version pour apache 2.0 devrait apparaitre dans peu de temps...

Hier (21 décembre), la version 3.0.5a de KDE est officiellement sortie.

Pas de fonctionnalités particulières, mais elle corrige le gros trou de sécurité découvert il y a quelques temps (dans certains cas, mauvais "quotage" des arguments d'une instruction passée vers la ligne de commande pour son exécution).

Ce problème sérieux affectait les version 2.x et 3.x...

Des patchs, sur le serveur ftp de KDE, sont également disponible pour KDE 2.2.2.

Le problème se situerait dans la manière dont le noyau gère les tables de routage.
Il semble qu'il soit possible, en forgeant des paquets émis par des adresses bien choisies, de paralyser un système Linux (même sans outils GNU) avec seulement 400 paquets par seconde.

Une faille de sécurité locale semble également avoir été detectée. Elle permet à un utilisateur normal d'utiliser tous les ports d'entrées/sorties sans restrictions.

Note : cette faille date du 15 mai.

Est-il encore besoin de présenter la suite Mozilla ?

Une suite de logiciels libres multi-plateforme (GNU/Linux, Windows, Mac OS, Solaris, BSD..) comprenant navigateur web, logiciel de courriel, lecteur de forums NNTP, créateur de pages HTML...etc.

Cette nouvelle version n'apporte pas de nouvelles fonctionnalités en soit, mais son lot de corrections pour failles de sécurité en tout genre.
Au nombre de dix pour cette version ! (NdM : ces failles, détaillées sur secunia.com par exemple (débordement de tampons, accès non prévu à des données, problèmes de permission, etc.), affectaient pour certaines aussi Firefox et Thunderbird, où elles ont été corrigées dans les versions 1.0PR et 0.8.0 respectivement.)

Mettez à jour votre version et bon surf !

Voici la 2ème génération de l'incontournable outil d'analyse de fichiers journaux de pare-feu. Nulog2, presque 6 ans après la v1, s'appuie toujours sur un format de journalisation SQL, mais présente les informations de manière plus synthétique, et beaucoup plus exploitable.

Au menu des nouveautés :

• Réécriture complète du code, passage de PHP à Python avec Twisted Matrix ;
  
• Génération à la volée de diagrammes et de camemberts, au souhait de l'utilisateur ;
  
• Personnalisation totale de la page d'accueil, pour chaque utilisateur ;
  
• Refonte de l'ergonomie de l'outil et de la manipulation des critères d'affichage des connexions réseaux ;
  
• Possibilités de recherches beaucoup plus avancées ;
  
• Export des données affichées en CSV pour traitement personnalisé ;
  
• Passage à la licence GPLv3.

Bien entendu, Nulog2, permet, comme la v1, d'exploiter des logs authentifiés par un pare-feu NuFW. Il est donc très simple de créer ses propres indicateurs à placer sur sa page d'accueil, par exemple "Histogramme des derniers paquets droppés des trois dernières heures de l'IP 10.56.140.47 ou de l'utilisateur Martin".

Un petit article, trouvé sur securityfocus, qui explique ce que sont les attributs sous ext2fs et ce que l'on peut en faire dans la pratique.

Deux news sécurité:
- Problème dans TCP: Des chercheurs ont trouvé une serieuse faille dans l'une des pièces maitresses d'Internet. Guardent, "vendeur" de sécurité, a annoncé lundi avoir identifié un gros problème protentiel dans le protocole TCP. Il s'agirait d'un problème similaire a celui present sur les IOS Cisco a propos de la génération "aléatoire" du ISN.

- Problème dans BIND: Un petit nombre d'utilisateurs voulant mettre à jour leur serveurs DNS par rapport au recent exploit dans BIND se sont heurtés à un Denial of Service. Le problème interviendrait lors du passage de BIND 4.9.x ou 8.2.x à 9.1.0. Le DoS serait, par exemple, provoqué par les scans NMAP et causerait des coupures intermittentes du service.

Une commission européenne a proposé hier d'améliorer la coopération contre le cybercrime dans l'union sur plusieurs points:
- éducation des utilisateurs (je trouve cette proposition assez novatrice; sachant que des fonds seront débloqués pour cela)
- un effort de standardisation sur les méthodes de cryptologie (ça nous promet un futur lobbying pro-libre tout ça ;)
- nouvelles lois sur l'arrestation hors du territoire (sur l'echelle européenne je présume)

Voilà de quoi rivaliser avec le CyberCrime Treaty américain.

Qui a dit :
« dans les forces armées, Bill Gates règne aujourd´hui en maître »,
et
« il eut été préférable pour l´armée française d´investir dans le développement de ses propres applications "libres" plutôt que de dépendre de technologies "propriétaires" américaines. »

Je vous le donne en mille : le Général Jean-Louis Devisgnes, ex directeur du SCSSI, à l'occasion du discours de clôture du second salon des technologies de l´information et de la communication organisé par l´École supérieure d´application des transmissions (ESAT).

Signalant au passage la sortie du linuxfocus de ce mois, vous seriez bien avisés de coller vos mimines dans ce documents ma foi fort complet :

Qu'est-ce que chroot ?
Chroot redéfinit l'univers de fonctionnement d'un programme. Plus précisément, il détermine un nouveau répertoire "ROOT" ou "/" pour un programme ou une session. Schématiquement, tout ce qui est à l'extérieur du répertoire "chrooté" n'existe pas pour un programme ou un shell.

Pourquoi est-ce utile ? Si quelqu'un s'introduit dans votre ordinateur, il ne pourra pas voir la totalité des fichiers de votre système. Le fait de ne pas voir vos fichiers limite les commandes qu'il peut lancer et ne lui donne pas la possibilité d'exploiter des fichiers qui seraient vulnérables. L'inconvénient majeur, c'est que ça n'empêche pas l'analyse des connexions réseau ou autre. Ainsi, vous devrez faire bien d'autres choses qui n'entrent pas vraiment dans le cadre de cet article (...) :

Je vous laisse découvrir le reste :)

George Rushmore sur le site de Help Net Security, nous propose un article qui donne quelques conseils de base pour sécuriser un serveur Apache sous Linux.

« Si vous venez de mettre un serveur web Apache en ligne, et que vous pensez à la sécurité, ce bref article pourra vous y aider.
Par le fait d'avoir votre propre serveur, vous devez comprendre les responsabilités qui en découlent.

Bien que le serveur lui même ne soit pas un réel problème (du point de vue de la sécurité), il y a certaines choses auxquelles vous devez faire attention sur votre système. »

NdR: cela ne se veut pas un article de fond, mais les conseils qu'on y trouve sont toujours bon à prendre ou à revoir.

Curious Yellow est un super-vers (théorique), capable d'infecter rapidement des hôtes vulnérables à une ou plusieurs failles données, dans la lignée des Flash-worm et autres Warhol-worm.

Cet article décrit plus précisément les mécanismes de duplication d'un tel ver, ainsi que les moyens de le contrôler, de le mettre à jour ou même de le combattre (Curious Blue).

Note: que ça soit avec Curious Yellow ou Curious Blue, l'utilisateur final perd en partie le contrôle de sa machine, non ?

Le PHP Group vient d'annoncer qu'un trou de sécurité avait été découvert dans la version CGI de PHP 4.3.0, la toute dernière version en date du célèbre langage de script, très utilisé sur le web.

PHP 4.3.1, corrigeant ce trou de sécurité, vient de sortir dans la foulée. Tous ceux qui utilisent la version CGI de PHP 4.3.0 sont évidemment fortement invités à mettre à jour leur version de PHP.

NdM : Merci à Christophe Guilloux d'avoir également proposé cette dépêche.