Faille de sécurité majeure dans Ubuntu 5.10

Posté par . Modéré par Nÿco.
Tags :
0
13
mar.
2006
Ubuntu
Une faille de sécurité majeure affectant le système Ubuntu Linux 5.10 vient d'être découverte par Karl Øie. Le mot de passe du premier utilisateur créé lors de l'installation du système apparaît dans les fichiers logs de l'installeur.

On retrouve le mot de passe non-hashé dans plusieurs fichiers dont /var/log/installer/cdebconf/questions.dat qui est accessible en lecture à tous les utilisateurs. C'est d'autant plus préoccupant que le premier utilisateur créé sur le système possède les droits sudo sur l'ensemble du système, ce qui équivaut à un accès root à la machine.

Les paquets base-config et passwd incluant le correctif sont disponibles (moins de 24h après la découverte de la faille par un utilisateur). Mettez à jour très rapidement !

Un petit ver pour Linux

Posté par (page perso) . Modéré par Jaimé Ragnagna.
Tags :
0
21
fév.
2006
Linux
Symantec a découvert [1] ce week-end un nouveau ver destiné aux plate-formes Linux et UNIX. Il s'agit d'une nouvelle variante du virus Plupii découvert en novembre dernier [4].

Ce ver ne représente pas une énorme menace car il n'est que peu répandu. Mais comme il profite de 3 failles de sécurités différentes pour se propager, il faut y faire attention. Les 3 failles concernent (plus de détails dans l'article complet) :
1- XML-RPC for PHP Code Execution Vulnerability
2- AWStats Input Validation Vulnerability
3- WebHints Shell Command Injection Vulnerability

Le ver, une fois le système infecté, va ouvrir une trappe (ou porte dérobée) sur le port UDP 27015.

Des correctifs sont accessibles en ligne :
1- XML-RPC 1.1.1 est couvert [2]
2- AWStats 6.4 est couvert [3]
3- Il n'y aurait pas encore de patch disponible pour Webhints

Mettez à jour vos systèmes, si ce n'est pas déjà fait.

Sortie d'un utilitaire de fuzzing Bluetooth BSS v0.6

Posté par . Modéré par Christophe Guilloux.
Tags :
0
7
fév.
2006
Sécurité
Dans le cadre d'un dossier d'une dizaine de pages, vous trouverez un tutoriel sur la sécurité du protocole de communication sans-fil Bluetooth reprenant les attaques déjà connues (Helomoto, Bluebug, etc etc ...). Vous y trouverez également la première version diffusée par Secuobs d'un utilitaire (BSS - Bluetooth Stack Smasher) destiné à tester la sécurité de ce protocole.

D'après les tests effectués par l'équipe de ce site, plusieurs éléments mobiles sont faillibles aux opérations de fuzzing. Cet utilitaire développé par Pierre Betouin de la société Infratech a été placé sous licence GPL.

On notera parmi les résultats la présence d'un Déni de Service dans la version 1.29 de hcidump, mais également dans la pile Bluetooth de plusieurs téléphones portables des marques Sony/Ericsson, Samsung et Nokia. Les fonctions Bluetooth avaient été activées, ce qui n'est pas le cas par défaut sur ces appareils.

talweg, une migration vers Mono

Posté par . Modéré par Mouns.
Tags :
0
20
jan.
2006
Mono
talweg est un « portail captif » conçu pour sécuriser principalement les réseaux sans-fil. Développé à sa création en Perl, il nous revient en C# sous Mono.

L'utilisation de ce framework .NET sous Linux le rend désormais compatible avec Apache 1 et 2. Son installation est plus facile, Mono fourni l'ensemble des outils nécessaires à son fonctionnement, de la classe d'accès Http à la gestion des certificats X.509. Seuls les logs s'appuient sur un composant externe : Log4Net, une bibliothèque maintenue par la Fondation Apache, qui permet un grand nombre de scénarios.

Ce développement a permis à l'équipe talweg, en collaboration avec Gonzalo Paniagua Javier le créateur et mainteneur de mod_mono, de contribuer au projet Mono, mais aussi de constater la facilité de maintenance offerte par le couple C#/Mono. Du point de vue technique, beaucoup d'améliorations ont été apportées. Les outils proposés par le framework ont permis d'intégrer le proxy, un meilleur choix dans la réécriture de l'adresse a permis l'utilisation d'un seul certificat SSL de type wildcard.

Le principe premier de talweg : la garantie de l'identité des personnes utilisant le réseau en évitant les mécanismes d'usurpation, est bien sur conservé. Ce principe a une incidence très intéressante : il est possible de communiquer sur Msn Webmessenger ou de lire ses messages sur Gmail à travers un canal chiffré.

Pour tous ceux qui souhaiteraient tester en quelques minutes cette solution, un live CD existe.

Journal Trois fois plus de vulnérabilités chez Linux que Windows

Posté par .
0
6
jan.
2006
"Trois fois plus de vulnérabilités chez Linux que Windows" tel est le titre d'un article de VNUnet.fr [1]

Cet article fait echo du rapport du US-CERT sur les vulnérabilités de l'année 2005 [2]

En gros, 812 alertes pour windows et 2328 du coté de linux. Bon, s'ils le disent, le mieux est quand même de vérifier pour voir pourquoi un telle différence.

Je regarde donc le rapport, et le truc qui me saute aux yeux rapidement est le nombre de (...)

Appel à communication SSTIC 06

Posté par . Modéré par Jaimé Ragnagna.
Tags :
0
7
déc.
2005
Communauté
La 4ème édition du Symposium sur la Sécurité des Technologies de l'Information et des Communications (SSTIC) se déroulera du 31 mai au 2 juin 2006 à Rennes.

SSTIC est devenu en l'espace de quelques années la conférence de référence en sécurité informatique en France. Elle est organisée par des volontaires membres de l'association STIC et ne poursuit aucun objectif commercial. Le symposium se déroule sur le site de l'ESAT à Rennes.

Cette année le thème de la conférence porte sur les limites de la sécurité. Ce sujet sera exploré sous différents axes:
- les limites de la technologie (limites des produits, mythes, failles et preuves)
- les limites du périmètre (dissolution, mobilité et aspects télécom)
- au-delà des technologies (les facteurs non-technologiques)
- au-delà des limites (que faire une fois que l'incident s'est produit)

L'appel à contribution est ouvert et la date limite de soumission est le vendredi 6 janvier 2006.

N'hésitez pas à contacter le Comité de Programme si nécessaire:
cp@security-labs.org

Les archives (présentations et publications) des éditions précédentes sont également disponibles.

Anonymat avec des Logiciels Libres

Posté par . Modéré par Florent Zara.
Tags :
0
23
sept.
2005
Sécurité
Secuobs.com propose un tutoriel sur un ensemble de logiciels libres (Tor, Privoxy, Switchproxy) permettant d'assurer le respect de votre privée. Cet anonymat peut être assuré pour l'ensemble des applications reposant sur le protocole TCP (Transport Control Protocol) sous GNU/Linux.

Vous y trouverez également des informations sur la conférence tenue par Roger Dingledine (mainteneur du projet Tor) lors du Woodstock numérique What The Hack qui a réuni plus de 3000 participants (hackers et geeks) en juillet dernier près de Eindhoven aux Pays-Bas.

Ce tutoriel fait parti d'un dossier sur ce rassemblement, vous y trouverez notamment un article sur la pétition commune de XS4ALL et l'EDRI contre la rétention des données de connexion.

L'acceptation du projet de directive se joue en ce moment même au parlement européen, votre soutien est plus que le bienvenu.

Privacy is not a crime...

Début du support de la sécurité pour Debian testing

Posté par . Modéré par Jaimé Ragnagna.
Tags :
0
12
sept.
2005
Debian
La Debian testing security team a annoncé le début du support complet de la sécurité pour la distribution testing via les listes de diffusion debian-devel-announce et debian-user. L'équipe a passé cette dernière année à mettre en place l'infrastructure permettant d'offrir des annonces et des mises à jour de sécurité pour cette distribution.

Il n'y aura pas d'annonces pour les mises à jour de sécurité qui arrivent dans testing depuis unstable. Les utilisateurs de testing doivent donc toujours mettre à jour régulièrement leur système pour obtenir ces mises à jour. Il est cependant possible que l'équipe fournisse des informations à propos de ces mises à jour de sécurité à l'avenir.

Il faut aussi noter que cette annonce ne signifie pas que la distribution testing est maintenant utilisable en production. Il existe plusieurs problèmes de sécurité dans unstable et il en existe un nombre encore plus important dans testing. Le début de ce support de la sécurité signifie seulement que les mises à jour de sécurité pour testing seront maintenant disponibles presque aussi vite que pour unstable.

Le site de la Debian testing security team fournit des informations sur les failles de sécurité qui sont toujours ouvertes, les utilisateurs peuvent utiliser ces informations pour décider par eux-même si testing est assez sûre pour eux.

Journal Linux sécurisé, GRsecurity, RSBAC, PaX, SSP, libsafe, SElinux,...

Posté par .
Tags :
0
10
août
2005
Ce journal s'agit en fait d'une sorte de sondage, ou plutôt d'une demande de retour d'expériences.

Je cherche activement à sécuriser mon petit linux des méchants
buffersoverflow et autres joyeusetés... pour une machine x86 en utilisation serveur (PII-266 48moRAM 3goDISK par exemple, mais ne vous heurtez pas à la config, ca pourrai etre un athlon2000+).

dessus ca serai pour utiliser des demons du styles: iptables,dhcpd,ftpd,httpd,sshd

Je cherche à savoir qu'est ce que utilisent les admins qui ont un grand besoin (...)

Comment des vendeurs essaient de breveter les solutions à des failles de sécurité qui leur sont fournies

Posté par (page perso) . Modéré par Christophe Guilloux.
Tags :
0
14
juil.
2005
Sécurité
Une série de failles ont été découvertes dans le protocole ICMP (et non pas ses implémentations) par l'argentin Fernando Gont, professeur, administrateur système et chercheur en réseau. Il a tenté dès le début, en août 2004, d'en informer tous les auteurs d'implémentation du protocole ICMP avant de publier les failles sur Internet. Il a commencé par écrire un document qu'il a envoyé à l'IETF. Il a également contacté CERT/CC et NISCC, les auteurs de systèmes d'exploitation libre (OpenBSD, NetBSD, FreeBSD, Linux, etc.), ainsi que Microsoft, Cisco et Sun Microsystems. Il a décrit chaque faille pour leur permettre de corriger les implémentations avant de publier ses découvertes.

Fernando a alors commencé à recevoir des e-mails de Cisco demandant des informations techniques précises. Deux mois plus tard, il a reçu un e-mail d'un avocat de Cisco disant que Cisco allait breveter son travail ! L'avocat n'a pas voulu donner plus de détails. Encore deux mois plus tard, il y a eu un échange de mails entre Cisco, Linus Torvalds et David Miller où Fernando a été mis en copie. David a fait remarquer que Linus Torvalds utilisait déjà depuis plusieurs années le « sequence tracking » dans Linux et par là même, le brevet ne pouvait être déposé pour cause d'antériorité du travail de Linus.

Cisco a alors accusé Fernando de coopérer avec les terroristes alors qu'en même temps Cisco voulait breveter son travail. Plus tard Cisco a aussi demandé à Fernando qu'il travaille pour CERT/CC.

Aujourd'hui Cisco a abandonné son idée de brevet, mais ça laisse quand même réfléchir sur le fait de publier anonymement ses failles ou non !

La troisième édition du concours de sécurité informatique « Challenge SecuriTech » se déroulera du 11 juin au 1er juillet 2005.

Posté par (page perso) . Modéré par Jaimé Ragnagna.
Tags :
0
1
juin
2005
Sécurité
Le Challenge SecuriTech est un concours de sécurité informatique en ligne, gratuit et ouvert à tous.

À partir du samedi 11 juin 2005 à 00h00, plus de 15 épreuves de sécurité vous seront proposées. Vous aurez alors 3 semaines pour les résoudre. Elles couvriront de nombreux aspects de la sécurité tels que les failles web et applicatives, l'analyse réseau, le reverse engineering, la cryptanalyse, la stéganographie, le forensics, etc. Chaque épreuve résolue vous apportera un certain nombre de points, permettant d'effectuer un classement. De nombreux lots récompenseront les meilleurs.

Deux nouveautés viendront agrémenter cette troisième édition : tout d'abord l'intégration des challenges au sein d'un scénario, ensuite l'orientation des niveaux, plus proches de vraies problématiques de sécurité.

Venez tester, améliorer et comparer vos connaissances en sécurité avec plus de 2500 autres participants !

Les inscriptions sont ouvertes sur http://www.challenge-securitech.com/

Le challenge « SecuriTech » est organisé par le Mastère Spécialisé « Sécurité de l’Information et des Systèmes » de l’ESIEA, formation BAC+6 accréditée par la commission des Grandes Ecoles.

Faille de sécurité dans les protocoles IPSec

Posté par (page perso) . Modéré par Christophe Guilloux.
Tags :
0
13
mai
2005
Sécurité
Des chercheurs anglais ont découvert une grave faille de sécurité dans les protocole IPSec, utilisés pour le cryptage des paquets dans les réseaux VPN.

Cette faille concerne les tunnels IPSec ESP (Encapsulating Security Payload) et certaines configurations utilisant AH (Authentification Header), et permet à l'attaquant de récupérer en clair le contenu d'un paquet qui ne lui est pas destiné par un message d'erreur ICMP. Elle est considérée comme grave, et cible potentiellement un grand nombre de réseaux d'entreprise.

Des solutions sont d'ors et déjà disponibles, mais elles imposent la modification de la configuration du VPN.

Le projet PaX compromis

Posté par (page perso) . Modéré par Christophe Guilloux.
Tags :
0
7
mar.
2005
Sécurité
PaX est un projet visant à apporter à Linux des moyens de prévenir et/ou de minimiser l'impact des failles donnant accès à l'espace d'adressage d'une tâche, comme les dépassements de tampon (buffer overflow), les format string attacks, etc. Il est une partie importante de grsecurity, qui fournit un ensemble d'améliorations liées à la sécurité pour Linux (protection renforcée des chroot , RBAC, etc.).

Le projet a annoncé le 4 mars la présence d'une faille majeure dans le code même de PaX, permettant d'obtenir à un utilisateur simple de gagner des droits plus importants sur le système, voire des droits administrateurs. Cette faille est exploitable localement, mais une exploitation à distance semble peu probable.

Une version mise à jour du patch est bien sûr disponible sur le site de PaX, ainsi que la version 2.1.2 de grsecurity qui inclut le correctif. Dans l'urgence,

# echo "0 0" > /proc/sys/vm/pagetable_cache

...permet d'éviter le principal vecteur d'exploitation potentiel.

Les auteurs de PaX ont par ailleurs déclaré qu'au vu de la gravité de la faille et pour d'autres raisons, le développement de celui-ci serait arrêté au 1er avril 2005. Brad Spengler, un des auteurs de grsecurity, s'est cependant porté volontaire pour reprendre le flambeau.

NdM : merci à mmenal pour avoir contribué à la news.

Nouvelle faille dans les noyaux 2.4 et 2.6

Posté par (page perso) . Modéré par Mouns.
0
10
jan.
2005
Noyau
Une nouvelle faille vient d'être découverte dans les noyaux 2.4 et 2.6. La fonction système uselib() (qui permet de sélectionner une bibliothèque partagée d'après son fichier binaire) contient une faille qui permet à un utilisateur mal intentionné de s'approprier les privilèges de l'utilisateur root. Cette faille n'est pas exploitable à distance, mais seulement par une personne possédant déjà un compte sur la machine.

Deux failles de sécurité pour les noyaux Linux 2.4.x et 2.6.x

Posté par . Modéré par Jaimé Ragnagna.
0
15
déc.
2004
Noyau
K-OTik Security nous apprend que deux vulnérabilités ont été identifiées dans le noyau Linux, elles pourraient être exploitées par un attaquant afin de causer un déni de service ou augmenter ses privilèges.

1) Le premier problème résulte d'une erreur présente au niveau du module IGMP (Internet Group Management Protocol), elle pourrait être exploitée par un utilisateur local afin d'augmenter ses privilèges (à root), ou par un attaquant distant afin de causer un déni de service [l'attaquant devra être capable d'envoyer des requêtes IGMP_HOST_MEMBERSHIP_QUERY, et les fichiers /proc/net/igmp et /proc/net/mcfilter cibles devront être non vides].

2) La seconde vulnérabilité concerne la fonction scm_send(), elle pourrait être exploitée par un utilisateur local afin de causer un Déni de Service. L'exploitation (à des fins d'élévation de privilèges) n'est pas possible sous Linux 2.4.x, la possibilité d'exploitation sous Linux 2.6.x n'a pas été confirmée/infirmée.

Aucun correctif officiel pour l'instant, donc patience.