A l'occasion de la sortie de la version Sentinix 0.70.5 beta 2, nous souhaitions attirer votre attention sur cette distribution, entièrement libre et gratuite, dédiée au monitoring, à la surveillance, à la détection d'intrusion, et à la lutte contre le spam.

Sentinix propose par défaut un noyau 2.4.21 auquel est appliqué le patch OpenMosix SMP.

• La distribution sentinix (120 clics)
• Le site officiel de sentinix (47 clics)

Il s'agit d'une faille de type "integer overflow" dans l'appel système brk. Elle a été découverte par Andrew Morton en septembre et corrigée dans les noyaux 2.4.23 et 2.6 mais affecte les versions précédentes (la branche 2.6 est concernée jusqu'au test6 inclus).

Les noyaux Debian étaient vulnérables à cette faille (locale) et c'est elle qui a été utilisée pour compromettre les serveurs.

L'unique annonce officielle que j'ai trouvée est le DSA-403-1 de Debian (qui vient de paraître).

Pensez à mettre à jour vos noyaux !

NdM: Merci aussi à FRLinux, Baptiste SIMON et Etienne 'Tinou' Labaume.

• Debian alert DSA-403-1 (kernel) (4 clics)
• L'annonce sur Slashdot.org (1 clic)
• L'annonce sur DLFP de la compromission des serveurs Debian (2 clics)
• Le site du noyau Linux (1 clic)

Voici une annonce qui explique ce qui s'est passé lors du piratage des serveurs Debian.org à partir de la première intrusion le 19 octobre.
Les machines : klecker, master, murphy et gluck ont finalement bien été rootkitées, c'est suckit qui a été installé, une description sommaire de ce rootkit est disponible dans l'annonce.
La première intrusion a été possible grâce à un mot de passe intercepté, et à un login avec un compte sans privilèges.
La conclusion actuelle est qu'il reste certainement une faille locale à découvrir.

Note du modérateur : Wichert Akkerman a tenu un compte-rendu au jour le jour sur cette question.

• L'annonce une des liste Debian (2 clics)
• La dépêche sur Slashdot (1 clic)
• Analyse de Wichert Akkerman (2 clics)

Werner Koch a annoncé ce matin la découverte par Phong Nguyen d'un bug critique dans GnuPG. Ce bug permet d'obtenir en quelques secondes la clé secrète de certaines personnes, pouvant ainsi usurper leur identité ou déchiffrer les courriers qui leur sont destinés.

Heureusement, seules les doubles clés utilisant ElGamal pour la signature et le chiffrement sont affectées, et leur nombre total est estimé à environ un millier.

• L'annonce (1 clic)
• GnuPG (1 clic)

Plusieurs serveurs debian auraient été manifestement compromis par des inconnus.

L'archive n'a pas été affectée, mais la source de sécurité pour woody est indisponible, le temps que les paquets soient vérifiés. La sortie de la nouvelle version stable de la Woody (v3.0r2) n'a cependant pas été retardée par ce problème.

• L'annonce (2 clics)
• Apt et mise à jour par signature (2 clics)

Microsoft a l'intention de réaliser une démonstration publique visant à mettre en évidence les lacunes sécuritaires de Linux, le but étant de démontrer à ses clients potentiels que Linux n'est qu'une vulgaire passoire.

Son argumentation reposera principalement sur des rapports d'analystes concernant les vulnérabilités de sécurité de Linux, ainsi que les délais de release des patchs et correctifs.

• L'info originelle sur InfoWorld (1 clic)
• évocation par ZoneHD (1 clic)
• évocation par CafeDuWeb (2 clics)

Un des miroirs hébergeant le CVS du noyau 2.6 en développement a été récemment modifié de manière peu louable. Deux lignes de code ont été insérées dans le source du noyau, afin de créer une porte dérobée (« backdoor ») permettant un accès root (NdM: local).

Fort heureusement, une mise à jour du miroir CVS compromis depuis les serveurs principaux hébergeant l'arborescence BitKeeper des sources du noyau a permis de corriger le problème.

• L'article sur kerneltrap.org (15 clics)
• La dépêche OSNews (7 clics)

Une faille de sécurité dans la configuration d'un des serveurs de TuxFamily permettant l'accès aux mots de passes de chacun des utilisateurs de ce service a été exploitée ces derniers jours. Le problème est maintenant corrigé et tous les mots de passe seront changés ce soir.

NdM: et le cryptage des mots de passe stockés ?

• Annonce officielle (6 clics)

Une vulnérabilité de type buffer overflow a été identifiée dans Apache. Le problème se situe dans les modules « mod_alias » et « mod_rewrite », l'exploitation nécessite un fichier .htaccess spécifique. Dans Apache 2 le socket AF_UNIX utilisé par « mod_cgid » afin de communiquer avec le daemon cgid ou des scripts CGI n'est pas correctement manipulé.

mod_security (Apache 2) est touché quant à lui par une vulnérabilité locale. Cette faille est causée par une erreur dans la manipulation des données générées par le serveur, ce qui pourrait être exploité via des fichiers PHP/CGI spécifiques afin d'exécuter des commandes avec les privilèges du serveur httpd.

• Faille Apache (K-OTik) (8 clics)
• Faille mod_security (K-OTik) (10 clics)
• Apache 2.0.48 / 1.3.29 (1 clic)
• mod_security 1.7.2 (3 clics)

Un article sur SecurityFocus.org fait suite à la présentation de la technique des TARPITS (cf : lien vers l'ancienne dépêche).

Cette fois, c'est l'utilisation de deux type de honeypots différents, dont le démon honeyd, qui est détaillée, dans le cadre de la lutte contre les vers.
Le but étant de : piéger le ver pour l'étudier, ralentir sa propagation, déclencher des alarmes, prendre différentes mesures de protection, et même le contrer en désinfectant le système source de l'attaque.

En fin d'article, on a droit à un exemple de désinfection de Blaster.

• L'article complet sur SecurityFocus.com. (12 clics)
• Le précédent article, ralentir les worms avec le patch TARPIT. (4 clics)
• La dépêche de DLFP pointant vers ce premier article. (5 clics)

Certains se demandaient si la suite Sentry qui se compose de logcheck et de portsentry allait totalement disparaitre depuis le rachat de Psionic (la société qui l'avait développée) par Cisco.

Logcheck comme son nom l'indique sert à verifier les logs et portsentry permet de détecter les scans de ports et d'y réagir directement.

Après plusieurs mois d'absence, cette suite a fait sa réapparition sur le site de sourceforge avec en plus une modification de la licence:

- GPL pour logcheck
- CPL pour portsentry

Pour les accros de la sécurité, ce petit kit très léger puisqu'il ne pèse que quelques Ko, founit un moyen très efficace de se défendre contre le nombre croissant d'analyses de failles faites par les pirates toujours plus nombreux. En plus de détecter un scan, portsentry va «logger» l'attaquant, éventuellement le bloquer et même si le coeur vous en dit lui renvoyer une bandeau de mise en garde.

• Le projet sur Sourceforge (1 clic)
• Le rachat de Cisco (4 clics)
• La licence CPL (2 clics)

Il semble que cela soit passé inaperçu, mais il est sorti ce mois-ci un nouveau mensuel : hakin9

Magasine orienté Sécurité, polonais d'origine, hakin9 s'inscrit tout de suite dans la catégorie "Technique". Sa couverture rouge clinquante avec un jolie Worm dessus ne manque pas d'attirer l'oeil !

• hakin9 (20 clics)

Depuis un petit moment maintenant, il existe un serveur mandataire (« proxy ») d'accès au moteur de recherche Google. Les raisons de son existence sont expliquées en détails sur le site (cf les liens) mais cela peut se résumer à "Peut-on faire confiance à Google?" (notez l'absence de "encore"). Selon ce site, non, pour beaucoup de raisons, dont la plus pertinente est l'enregistrement pour une durée éternelle des enregistrements de session et de l'utilisation de ces données à des fins commerciales.
Espérant faire prendre conscience aux internautes de l'importance de l'existence de tels proxies et tablant sur l'émergence d'autres proxies de ce type, le site n'a pas adapté sa capacité à la demande toujours croissante de connexion. Il est donc victime de son succès mais a réussi, il faut l'espérer, à faire prendre conscience que la recherche d'information sur la toile ne doit pas tomber aux mains d'une seule et unique entreprise aux méthodes de classements douteuses.

Ndm : Reste que personne ne peut prouver que le proxy en question n'enregistre pas les recherches effectuées avec les données personnelles de l'internaute

• Le proxy en question (14 clics)
• Est-ce que Google se prend pour un dieu? (4 clics)
• Pourquoi prendre Google pour cible? (2 clics)
• Un moteur de recherche sous licence GPL. (6 clics)

Le developpeur principal d'xMule, Ted R. Smith (Un-Thesis), viendrait d'être attaqué par la justice américaine suite à une plainte liée au DMCA.
Il semblerait que, suite à l'alerte de sécurité récemment publiée sur xmule, la RIAA ait pris connaissance de l'existence du logiciel et ait décidé d'attaquer personnellement le developpeur principal qui a la malchance d'être américain.

Merci d'utiliser le miroir de la nouvelle, le site d'xMule va bientôt dépasser la bande passante achetée ce mois-ci.

Ndm: pour éviter tout problème, j'ai effacé le lien vers le site d'xmule, seul reste le miroir

• Miroir de la News (7 clics)
• Alerte de sécurité (1 clic)

Jared Stanbrough vient de découvrir un "exploit" (faille) touchant les noyaux Linux de la série 2.4.x < 2.4.21, comportant le support NFSv3

Cet exploit consiste via les appels de données XDR à donner une valeur "inexacte" à une routine d'appel, ce qui peut provoquer une copie de bloc mémoire très importante dans l'espace Noyau (Kernel Space) et provoquer rapidement un Kernel Panic (plantage du système)

La fonction incriminée et un exemple d'attaque sont présents sur le BugTraq. Rassurez-vous néanmoins, la seule façon détectée aujourd'hui pour attaquer un hôte vulnérable est d'exporter un répertoire qui serait accessible à une personne mal intentionnée. Toutefois les risques méritent d'être signalés.

• La faille en question (1 clic)