La sortie d'un nouveau hors-série de Linux Magazine, le n°12, consacré aux firewalls. Ce premier volet présente ce qu'est le filtrage, les mécanismes internes de Netfilter, pourquoi firewall et application web ne font pas bon ménage, comment gérer des logs hétérogènes, et enfin la pénétration de réseaux à l'aide de backdoors réellement furtives.

Il sea suivi en Janvier d'un second volet détaillant différents types de firewalls (organisation réseau, FW matériels, FW personnels, FW bridges), comment déterminer et contrôler les règles d'un FW, voire les contourner.

Le developpeur principal d'xMule, Ted R. Smith (Un-Thesis), viendrait d'être attaqué par la justice américaine suite à une plainte liée au DMCA.
Il semblerait que, suite à l'alerte de sécurité récemment publiée sur xmule, la RIAA ait pris connaissance de l'existence du logiciel et ait décidé d'attaquer personnellement le developpeur principal qui a la malchance d'être américain.

Merci d'utiliser le miroir de la nouvelle, le site d'xMule va bientôt dépasser la bande passante achetée ce mois-ci.

Ndm: pour éviter tout problème, j'ai effacé le lien vers le site d'xmule, seul reste le miroir

Une nouvelle faille vient d'être découverte dans les noyaux 2.4 et 2.6. La fonction système uselib() (qui permet de sélectionner une bibliothèque partagée d'après son fichier binaire) contient une faille qui permet à un utilisateur mal intentionné de s'approprier les privilèges de l'utilisateur root. Cette faille n'est pas exploitable à distance, mais seulement par une personne possédant déjà un compte sur la machine.

OLPC : One Laptop Per Child (un portable par enfant) est un projet lancé par des professeurs du MIT aux États-Unis qui a pour but de promouvoir un ordinateur portable à 100 dollars US pour permettre à chaque enfant dans le monde l'accès à la connaissance et aux formes modernes d'éducation. Déjà commandé à plus de 600 000 exemplaires, il est principalement destiné aux pays où les moyens financiers, l'infrastructure électrique et l'accès à Internet ne permettent pas d'utiliser du matériel classique.

L'ordinateur en lui même s'appelle le XO, et il implémente un modèle de sécurité appelé BitFrost qui impose un certain nombre de principes adaptés aux utilisateurs et aux infrastructures dans lesquelles le XO est censé être utilisé.

À l'occasion de la conférence UPSEC (USENIX Usability, Psychology and Security), trois personnes ont publié un document qui analyse de façon pertinente les effets pervers de certaines des mesures de sécurité de BitFrost. Le document ne propose pas de solution magique, mais invite à réfléchir sur les implications et sur les manques du modèle BitFrost afin de le compléter ou de le faire évoluer en prenant en compte les différents sujets évoqués.

Depuis un certain temps, je lis un peu partout que les virus mail sont l'apanage de Windows et que si tout le monde utilisait Linux, il n'y aurait plus de problème.

Est-ce aussi vrai que ça ?
J'ai tapé quelques réflexions sur le sujet dans un texte en pièce jointe.

Note du modérateur: Cliquez sur le nombre de commentaire pour lire la suite.

La nouvelle version 2.5.2 de OpenSSH est disponible. Parmi les nouveautés:

- Meilleure contre-mesure contre les analyses passives du traffic SSH: http://openwall.com/advisories/OW-003-ssh-traffic-analysis.txt
- Résolution des problèmes d'intéropérabilité rencontrées avec les version 2.5.X précédentes
- Meilleure contre-mesure contre la vulnérabilité relative au recouvrement de clés de session du protocol SSH 1.5: http://www.core-sdi.com/advisories/ssh1_sessionkey_recovery.htm
- Nouvelle option dans authorized_keys pour limiter le Port Forwarding
- Le client a maintenant le choix de spécifier l'ordre d'essai des méthodes d'authentification grâce à la directive PreferredAuthentications
- sftp supporte maintenant les wildcards pour put et get, le protocole sftp v3, et une option -b (batch) pour des transferts automatisés
- Meilleure performance dans l'échange DH utilisé pour SSH2
- Le cipher par défaut pour SSH2 est AES/hmac-md5 qui assure de meilleures performances sans dégrader la sécurité
- Bugfixes dans l'implémentation SSH2 et intéropérabilité avec le soft SSH de ssh.com
- scp supporte maintenant des fichiers > 2Go
- Le client ne demande plus la passphrase si la clé est refusée par le serveur

En somme plein de bonnes choses ! Consultez ce lien pour une aide à l'installation.

L'histoire se répète une fois encore :
D'un coté, il y a des cachottiers qui préfèrent enterrer leur fautes et pipoter plutôt que de trouver une solution véritable, de l'autre, il y a des petits gars qui adorent déterrer ce genre de magouilles...

Cette fois c'est Banque Directe et Atos qui sont mis au pilori par Kitetoa. Plusieurs milliers de mot de passe en libre service et, comme d'habitude, il faut hausser le ton pour que les banquiers et les consultants bougent leur popotin.

Ne vous inquietez pas une bonne campagne de pub arrangera le tout! Banque Directe, la Banque où l'on se sert en Direct!

Note du modérateur: Lisez les articles Kitetoa, c'est très fort!

Cette faille a été découverte par Christophe Casalegno et Aurélien Cabezon.
Webmin souffre d'un problème de sécurité concernant la création temporaire de fichier qui peut être utilisée pour compromettre le compte root.

En effet, Webmin crée des fichier temporaires dans /tmp qui ont les permissions : -rwxrwxrwx (777) et qui appartiennent à l'utilisateur root (ex : commandes personnalisées). N'importe qui peut modifier le fichier créé pendant l'exécution de la commande par le système. Il suffit donc pour l'attaquant de rajouter une commande dans le fichier, qui sera exécutée par le root. L'attaquant pourra donc à loisir, lancer des commandes, créer/effacer/modifier des fichiers/répertoires, etc...
Exemple:
Il suffit de rajouter la commande suivante à la fin du fichier temporaire crée par webmin pendant son exécution pour gagner les privilèges de root:
cp /bin/sh /tmp/.backdoor vous donnera un shell root dans /tmp
Le problème est situé dans le script run.cgi qui crée le fichier temporaire en lui donnant de mauvaises permissions.
$temp = &tempname();
open(TEMP,">$temp");
...blablabla...
chmod(0777, $temp);
Pour fixer le problème il suffit de hanger la ligne chmod(0777, $temp); par chmod(0700, $temp);

Note du modérateur : Il ne semble pas y avoir de confirmation sur le site de Webmin. En outre, webmin 0.89 devrait sortir sous peu.

Un groupe influent de chercheurs Américains demande à son gouvernement une loi visant à punir les éditeurs de logiciels insuffisament sûr. Cette demande provient d'un rapport remis par le NAS (National Academy of Science américaine) et commandé juste après les attentats du 11 septembre pour connaitre l'état des systèmes informatiques américains.
Visé en premier lieu par cette loi, Microsoft qui n'a pas cessé de fournir patch sur patch pour son pourtant si sécurisé winXP.

L'EPIC (Electronic Privacy Information Center) a mis à jour un disfonctionnement du programme du FBI (sniffer) qui analyse les communications Internet chez les fournisseurs d'accès.

En effet, celui-ci aurait analysé des courriels n'entrant pas dans le cadre de personnes sous mandat d'écoute (donc faisant l'objet d'une enquête).

Je crois que la liberté vient encore de se prendre un coup de 12.7 dans l'aile...

Note du modérateur : c'est la fête en ce moment niveau respect de la vie privée.