Plusieurs serveurs debian auraient été manifestement compromis par des inconnus.
L'archive n'a pas été affectée, mais la source de sécurité pour woody est indisponible, le temps que les paquets soient vérifiés. La sortie de la nouvelle version stable de la Woody (v3.0r2) n'a cependant pas été retardée par ce problème.
PhpSecure sera présent aux RMLL cette année, dans le cadre du thème CMS (Content Management Systems, Système de Gestion de Contenu), pour une conférence d'une heure sur la sécurité des applications de gestion de Contenu en PHP, ce Vendredi 9 Juillet à 17h20 (à Bordeaux).
Au programme : un tour d'horizon des CMS en vogue, du point de vue de la sécurité, des exemples de failles de sécurité classiques et des pistes pour sécuriser ses applications en PHP.
talweg est un « portail captif » conçu pour sécuriser principalement les réseaux sans-fil. Développé à sa création en Perl, il nous revient en C# sous Mono.
L'utilisation de ce framework .NET sous Linux le rend désormais compatible avec Apache 1 et 2. Son installation est plus facile, Mono fourni l'ensemble des outils nécessaires à son fonctionnement, de la classe d'accès Http à la gestion des certificats X.509. Seuls les logs s'appuient sur un composant externe : Log4Net, une bibliothèque maintenue par la Fondation Apache, qui permet un grand nombre de scénarios.
Ce développement a permis à l'équipe talweg, en collaboration avec Gonzalo Paniagua Javier le créateur et mainteneur de mod_mono, de contribuer au projet Mono, mais aussi de constater la facilité de maintenance offerte par le couple C#/Mono. Du point de vue technique, beaucoup d'améliorations ont été apportées. Les outils proposés par le framework ont permis d'intégrer le proxy, un meilleur choix dans la réécriture de l'adresse a permis l'utilisation d'un seul certificat SSL de type wildcard.
Le principe premier de talweg : la garantie de l'identité des personnes utilisant le réseau en évitant les mécanismes d'usurpation, est bien sur conservé. Ce principe a une incidence très intéressante : il est possible de communiquer sur Msn Webmessenger ou de lire ses messages sur Gmail à travers un canal chiffré.
Pour tous ceux qui souhaiteraient tester en quelques minutes cette solution, un live CD existe.
Le fournisseur d'accès vient de choisir l'authentification OpenID pour son portail Orange.fr, devenant ainsi le plus gros site implémentant cette solution d'authentification.
OpenID est l'initiative pour un système d'authentification décentralisé, permettant une identification unique.
Un service d'ores et déjà disponible, comme le souligne
Neteco, pour les" 17 millions de clients "internet" et 23 millions de clients "mobile" d'Orange France".
Bon, je sais que l'info est sur /. mais comme tout le monde ne le lit pas forcément et que le sujet intéresse nombre d'entre nous: RootPrompt a fait une série d'articles intéressants sur la manière de sécuriser Linux pour le connecter à un réseau hostile (genre Internet) sans craindre les script kiddies. Et pour les amateurs de Debian (il y en a pas mal aussi par ici je crois ;-), une section spéciale qui vous explique comment "cacher" votre ordinateur favori pour éviter les scans.
Très bien fait, en partculier pour celui qui n'est pas un expert en sécurité, mais en anglais malheureusement.
Le réseau de Microsoft aurait été à nouveau piraté. Cette fois-ci, le pirate se serait contenté d'utiliser une faille de sécurité connue dans le serveur IIS de Microsoft. La firme de Redmond avait même développé un pacth pour fixer ce problème... patch qui n'a pas été appliqué à toutes ses machines !
Salut à toi, moustachu du LDAP,
Sais-tu comment protéger un serveur OpenLDAP des attaques par dictionnaire ou par brute force.
Autrement dit, existe-il un moyen :
- d'interdire les requètes pendant un certain temps au bout de plusieurs erreurs ?
- de limiter la fréquence des requètes ?
Merci d'avance,
Librement
Si vous êtes dans le même cas que moi et que vous utilisez votre propre serveur SMTP pour envoyer vos e-mails, vous avez du voir certain de vos messages refusés. En effet un certain nombre de FAI (dont club-internet) refusent tous les emails provenant des IP dynamiques. Ainsi d'après eux, c'est favoriser le spam que d'utiliser son propre daemon SMTP.
Pour ma part je n'ai aucune envie de reconfigurer postfix ou sendmail à chaque fois que je change de FAI pour que mon serveur utilise le relay correspondant au FAI avec lequel je me suis connecté (je change très souvent de FAI pour profiter des offres promotionnelles). Leur solution est d'utiliser le SMTP AUTH de son ISP mais je n'en connais pas qui utilise cette authentification.
Un des miroirs hébergeant le CVS du noyau 2.6 en développement a été récemment modifié de manière peu louable. Deux lignes de code ont été insérées dans le source du noyau, afin de créer une porte dérobée (« backdoor ») permettant un accès root (NdM: local).
Fort heureusement, une mise à jour du miroir CVS compromis depuis les serveurs principaux hébergeant l'arborescence BitKeeper des sources du noyau a permis de corriger le problème.
Tous les serveurs sous ProFTPd sont vulnérables à un déni de service. Il suffit de se connecter normalement puis de lancer la commande
ls */../*/../*/../*/../*/../* (etc.) pour que le démon prenne subitement toutes les ressources (cpu et mémoire) de la machine qui finit par s'écrouler.
Le serveur FTP de NetBSD semble avoir le meme problème et il est possible que d'autres logiciels soient concernés par la meme faille.
L'équipe de ProFTPd tente de résoudre le bug, classé critique.
update: PureFTPd, qui n'aurait pas avoir avoir ce bug (mais qui l'a quand même). L'auteur s'est fait avoir à son propre jeu, hihihi :-)
Une faille de sécurité vient d'etre découverte dans le firewall des noyaux 2.4 (Netfilter) . Si vous utilisez le module ip_conntrack_ftp, un attaquant est en mesure de s'affranchir du filtrage vers le serveur sur n'importe quels ports. Il peut par exemple se connecter en telnet sur la machine hébergeant un FTP depuis l'extérieur, meme si cette règle a été interdite. Les machines effectuant du masquerading sont tout aussi touchées.
On apprend que l'industrie du disque freine des quatres fers pour la publication des résultats de recherche sur la protection des fichiers musicaux mis au point par la SDMI. Du coup l'équipe de chercheurs de Princeton porte l'affaire en justice pour avoir la liberté de publier ces résultats de recherche.
Bonjour tout le monde,
Je cherche une formation orientée Sécurité sous Linux. Google ne m'aide pas trop. Sauriez-vous m'en recommander qui valent le coup ?
Durée de l'ordre d'une semaine. Peu importe le budget, c'est l'employeur qui paye :)
Merci par avance.
Un probleme de SUID sur Informix-SQL permet aux utilisateurs locaux de créer des fichiers avec les droits de root.
D'après un éditorial sur le site de Microsoft, il est temps de se lancer dans la chasse à «l'anarchie de l'information». Monsieur Culp (responsable du 'Security Response center') explique dans son petit billet qu'il n'y aurait pas de vers et de virus s'il n'y avait pas cette bande d'anarchistes irrésponsables qui trouvent les bugs et les publient.
Moi je suis d'accord avec lui, et je pense que toute personne faisant un rapport de bug devrait être sévèrement punie par la loi. Non mais franchement...
