GR-Security, le patch de sécurité pour le noyeau 2.4 qui reprend des classiques de la branche 2.2 , vient de sortir (hier) sa nouvelle version 1.8 (disponible pour 2.4.9 et 2.4.10).
Nouveautés: update PaX (http://pageexec.virtualave.net) code, anti-fork bombing code, pas mal d'updates pour l'ACL, ainsi que du bugfix.
(Une modif de dernière minute sur la release du 24-09 ayant été faite, il vous est conseillé de repomper la dernière du 25)
La surprise du matin en lisant le changelog Linux 2.2.20pre10 : celui-ci est censuré, pour respecter le DMCA .... (autocensure d'Alan Cox ?)
Il y a quelques threads sur le sujet. Personnellement, je reste perplexe ... et je ne comprends pas! Si quelqu'un peut m'expliquer?
Deux nouvelles versions de mutt (une dans chaque série : 1.2 et 1.3) sont sorties avec la nouvelle année. Elle corrigent un important trou de sécu et méritent qu'on s'en occupe sur le champ.
Une nouvelle version est dispo pour Debian (potato) depuis le 2 janvier ...
Lu sur 01net :
"Baptisé W32/Sharpei@mMM, le premier virus attaquant l'infrastructure .Net et écrit en langage C# a été créé par une jeune fille de 17 ans."
Pas de grands nouveautés, hormis l'ajout d'un composant .Net à un script VBS. Le risque de diffusion de ce vers est faible. La politique de "Sécurité" promise par Bill Gates commence bien.
Une série de messages de Joost Pol (pine), James Youngman (FreeBSD) et Theo de Raadt (OpenBSD) fait état d'un grave problème dans plusieurs noyaux unix (testé et vérifié sur FreeBSD et Solaris) : les redirections standards (input, output et error) peuvent être détournées par un programme sans privilèges particuliers et ainsi permettre un élévation des droits.
Une petite faille (buffer overflow) vient d'être annoncée sur securityfocus (ex bugtraq) concernant apache 1.x.
Il s'agit d'une erreur d'entier signé/non-signé pour allocation d'un tampon mémoire, qui peut-être exploitée, selon X-Force, découvreur du bug, sur les plate-formes WIN32 mais pas (pour l'instant ?) sur *n*x (NdM: il semblerait qu'on ait une erreur de segmentation du processus apache concerné si on a un Unix 32 bits et peut être plus embétant en 64 bits).
Note du modérateur: J'ai supprimmé le patch qui était inclus dans la news, vous pouvez le trouver sur le premier lien mais l'annonce d'apache indique qu'il ne corrige pas vraiment le problème.
Ô pauvres de nous! sous Linux on est pas en sécurité. jugez-en: 170 virus et chevaux de troie, 30 scripts shells, 6 ou 7 d'entre eux actifs en permanence (où ça où ça?). Et le pire, devinez, il ya plus de bogues sur les applications open-sources que chez Microsoft (485 contre 202). Ajoutez à ça que le nombre de failles de sécurité sous Linux va doubler en 2002, dixit X-Force (ça ressemble à X-Box ce nom, trouvez pas?), et on retourne chez Microsoft.
Moi je construis déjà mon radeau, le monde Unix est décidément trop dur.
Alors qu'on annonçait il y a peu la sortie prochaine d'un player flash pour linux, Macromédia, lui, a averti ses développeurs d'une faille dans son programme phare.
Il serait possible à une personne mal intentionnée de faire exécuter une commande via un fichier flash modifié.
Une première factorisation en nombres premiers a été réalisée par l'université de Stanford et IBM. Bon, ce n'est pas encore utilisable pour cracker les cryptages actuels, mais cela montre bien que c'est réalisable.
En d'autres termes, les beaux jours de la cryptologie traditionnelle commencent à être comptés.
Une nouvelle version d'apache est disponible 2.0.45 afin de contrer les attaques de types DoS, qui sont destinées à saturer un réseau et ainsi à rendre inaccessible les requêtes fondées.
Il semblerait que pour la version 2.0.44 tous les OS soient touchés. Et que malheureusement pour Os/2 cette nouvelle mouture ne règle pas entièrement les problèmes, il faudra attendre la 2.0.46.
Plusieurs serveurs debian auraient été manifestement compromis par des inconnus.
L'archive n'a pas été affectée, mais la source de sécurité pour woody est indisponible, le temps que les paquets soient vérifiés. La sortie de la nouvelle version stable de la Woody (v3.0r2) n'a cependant pas été retardée par ce problème.
PhpSecure sera présent aux RMLL cette année, dans le cadre du thème CMS (Content Management Systems, Système de Gestion de Contenu), pour une conférence d'une heure sur la sécurité des applications de gestion de Contenu en PHP, ce Vendredi 9 Juillet à 17h20 (à Bordeaux).
Au programme : un tour d'horizon des CMS en vogue, du point de vue de la sécurité, des exemples de failles de sécurité classiques et des pistes pour sécuriser ses applications en PHP.
talweg est un « portail captif » conçu pour sécuriser principalement les réseaux sans-fil. Développé à sa création en Perl, il nous revient en C# sous Mono.
L'utilisation de ce framework .NET sous Linux le rend désormais compatible avec Apache 1 et 2. Son installation est plus facile, Mono fourni l'ensemble des outils nécessaires à son fonctionnement, de la classe d'accès Http à la gestion des certificats X.509. Seuls les logs s'appuient sur un composant externe : Log4Net, une bibliothèque maintenue par la Fondation Apache, qui permet un grand nombre de scénarios.
Ce développement a permis à l'équipe talweg, en collaboration avec Gonzalo Paniagua Javier le créateur et mainteneur de mod_mono, de contribuer au projet Mono, mais aussi de constater la facilité de maintenance offerte par le couple C#/Mono. Du point de vue technique, beaucoup d'améliorations ont été apportées. Les outils proposés par le framework ont permis d'intégrer le proxy, un meilleur choix dans la réécriture de l'adresse a permis l'utilisation d'un seul certificat SSL de type wildcard.
Le principe premier de talweg : la garantie de l'identité des personnes utilisant le réseau en évitant les mécanismes d'usurpation, est bien sur conservé. Ce principe a une incidence très intéressante : il est possible de communiquer sur Msn Webmessenger ou de lire ses messages sur Gmail à travers un canal chiffré.
Pour tous ceux qui souhaiteraient tester en quelques minutes cette solution, un live CD existe.
Le fournisseur d'accès vient de choisir l'authentification OpenID pour son portail Orange.fr, devenant ainsi le plus gros site implémentant cette solution d'authentification.
OpenID est l'initiative pour un système d'authentification décentralisé, permettant une identification unique.
Un service d'ores et déjà disponible, comme le souligne
Neteco, pour les" 17 millions de clients "internet" et 23 millions de clients "mobile" d'Orange France".
Bon, je sais que l'info est sur /. mais comme tout le monde ne le lit pas forcément et que le sujet intéresse nombre d'entre nous: RootPrompt a fait une série d'articles intéressants sur la manière de sécuriser Linux pour le connecter à un réseau hostile (genre Internet) sans craindre les script kiddies. Et pour les amateurs de Debian (il y en a pas mal aussi par ici je crois ;-), une section spéciale qui vous explique comment "cacher" votre ordinateur favori pour éviter les scans.
Très bien fait, en partculier pour celui qui n'est pas un expert en sécurité, mais en anglais malheureusement.
