Sentinix: une distribution pour le monitoring et la détection d'intrusion

Posté par . Modéré par jerome.
Tags :
0
10
déc.
2003
Linux
A l'occasion de la sortie de la version Sentinix 0.70.5 beta 2, nous souhaitions attirer votre attention sur cette distribution, entièrement libre et gratuite, dédiée au monitoring, à la surveillance, à la détection d'intrusion, et à la lutte contre le spam.

Sentinix propose par défaut un noyau 2.4.21 auquel est appliqué le patch OpenMosix SMP.

Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

Posté par . Modéré par Nÿco.
0
2
déc.
2003
Noyau
Il s'agit d'une faille de type "integer overflow" dans l'appel système brk. Elle a été découverte par Andrew Morton en septembre et corrigée dans les noyaux 2.4.23 et 2.6 mais affecte les versions précédentes (la branche 2.6 est concernée jusqu'au test6 inclus).

Les noyaux Debian étaient vulnérables à cette faille (locale) et c'est elle qui a été utilisée pour compromettre les serveurs.

L'unique annonce officielle que j'ai trouvée est le DSA-403-1 de Debian (qui vient de paraître).

Pensez à mettre à jour vos noyaux !

NdM: Merci aussi à FRLinux, Baptiste SIMON et Etienne 'Tinou' Labaume.

Du nouveau sur les serveurs Debian compromis

Posté par . Modéré par Benoît Sibaud.
Tags :
0
28
nov.
2003
Debian
Voici une annonce qui explique ce qui s'est passé lors du piratage des serveurs Debian.org à partir de la première intrusion le 19 octobre.
Les machines : klecker, master, murphy et gluck ont finalement bien été rootkitées, c'est suckit qui a été installé, une description sommaire de ce rootkit est disponible dans l'annonce.
La première intrusion a été possible grâce à un mot de passe intercepté, et à un login avec un compte sans privilèges.
La conclusion actuelle est qu'il reste certainement une faille locale à découvrir.

Note du modérateur : Wichert Akkerman a tenu un compte-rendu au jour le jour sur cette question.

Un bug de GnuPG compromet plusieurs centaines de clés

Posté par (page perso) . Modéré par Pascal Terjan.
Tags :
0
27
nov.
2003
Sécurité
Werner Koch a annoncé ce matin la découverte par Phong Nguyen d'un bug critique dans GnuPG. Ce bug permet d'obtenir en quelques secondes la clé secrète de certaines personnes, pouvant ainsi usurper leur identité ou déchiffrer les courriers qui leur sont destinés.

Heureusement, seules les doubles clés utilisant ElGamal pour la signature et le chiffrement sont affectées, et leur nombre total est estimé à environ un millier.

Plusieurs machines-maîtres du projet Debian auraient été compromises

Posté par (page perso) . Modéré par Xavier Antoviaque.
Tags :
0
21
nov.
2003
Debian
Plusieurs serveurs debian auraient été manifestement compromis par des inconnus.

L'archive n'a pas été affectée, mais la source de sécurité pour woody est indisponible, le temps que les paquets soient vérifiés. La sortie de la nouvelle version stable de la Woody (v3.0r2) n'a cependant pas été retardée par ce problème.

Microsoft prépare un "assaut de sécurité" public sur Linux

Posté par (page perso) . Modéré par Jaimé Ragnagna.
Tags :
0
16
nov.
2003
Microsoft
Microsoft a l'intention de réaliser une démonstration publique visant à mettre en évidence les lacunes sécuritaires de Linux, le but étant de démontrer à ses clients potentiels que Linux n'est qu'une vulgaire passoire.

Son argumentation reposera principalement sur des rapports d'analystes concernant les vulnérabilités de sécurité de Linux, ainsi que les délais de release des patchs et correctifs.

Tentative d'insertion d'une porte dérobée dans le noyau Linux

Posté par . Modéré par Fabien Penso.
0
6
nov.
2003
Noyau
Un des miroirs hébergeant le CVS du noyau 2.6 en développement a été récemment modifié de manière peu louable. Deux lignes de code ont été insérées dans le source du noyau, afin de créer une porte dérobée (« backdoor ») permettant un accès root (NdM: local).

Fort heureusement, une mise à jour du miroir CVS compromis depuis les serveurs principaux hébergeant l'arborescence BitKeeper des sources du noyau a permis de corriger le problème.

Correction d'un problème de sécurité sur TuxFamily

Posté par (page perso) . Modéré par Fabien Penso.
0
4
nov.
2003
Internet
Une faille de sécurité dans la configuration d'un des serveurs de TuxFamily permettant l'accès aux mots de passes de chacun des utilisateurs de ce service a été exploitée ces derniers jours. Le problème est maintenant corrigé et tous les mots de passe seront changés ce soir.

NdM: et le cryptage des mots de passe stockés ?

Nouvelles vulnérabilités pour Apache 1.3.28 / 2.0.47 et mod_security 1.7.1

Posté par . Modéré par Jean-Yves B..
Tags :
0
3
nov.
2003
Sécurité
Une vulnérabilité de type buffer overflow a été identifiée dans Apache. Le problème se situe dans les modules « mod_alias » et « mod_rewrite », l'exploitation nécessite un fichier .htaccess spécifique. Dans Apache 2 le socket AF_UNIX utilisé par « mod_cgid » afin de communiquer avec le daemon cgid ou des scripts CGI n'est pas correctement manipulé.

mod_security (Apache 2) est touché quant à lui par une vulnérabilité locale. Cette faille est causée par une erreur dans la manipulation des données générées par le serveur, ce qui pourrait être exploité via des fichiers PHP/CGI spécifiques afin d'exécuter des commandes avec les privilèges du serveur httpd.

Le démon honeyd, utilisation des pot de miels contre les vers.

Posté par . Modéré par Fabien Penso.
Tags :
0
27
oct.
2003
Sécurité
Un article sur SecurityFocus.org fait suite à la présentation de la technique des TARPITS (cf : lien vers l'ancienne dépêche).

Cette fois, c'est l'utilisation de deux type de honeypots différents, dont le démon honeyd, qui est détaillée, dans le cadre de la lutte contre les vers.
Le but étant de : piéger le ver pour l'étudier, ralentir sa propagation, déclencher des alarmes, prendre différentes mesures de protection, et même le contrer en désinfectant le système source de l'attaque.

En fin d'article, on a droit à un exemple de désinfection de Blaster.

La suite Sentry de retour sous licence GPL/CPL

Posté par . Modéré par Fabien Penso.
Tags :
0
6
oct.
2003
Sécurité
Certains se demandaient si la suite Sentry qui se compose de logcheck et de portsentry allait totalement disparaitre depuis le rachat de Psionic (la société qui l'avait développée) par Cisco.

Logcheck comme son nom l'indique sert à verifier les logs et portsentry permet de détecter les scans de ports et d'y réagir directement.

Après plusieurs mois d'absence, cette suite a fait sa réapparition sur le site de sourceforge avec en plus une modification de la licence:

- GPL pour logcheck
- CPL pour portsentry

Pour les accros de la sécurité, ce petit kit très léger puisqu'il ne pèse que quelques Ko, founit un moyen très efficace de se défendre contre le nombre croissant d'analyses de failles faites par les pirates toujours plus nombreux. En plus de détecter un scan, portsentry va «logger» l'attaquant, éventuellement le bloquer et même si le coeur vous en dit lui renvoyer une bandeau de mise en garde.

Un nouveau magazine chez votre libraire : hackin9

Posté par . Modéré par Nÿco.
Tags :
0
22
sept.
2003
Presse
Il semble que cela soit passé inaperçu, mais il est sorti ce mois-ci un nouveau mensuel : hakin9

Magasine orienté Sécurité, polonais d'origine, hakin9 s'inscrit tout de suite dans la catégorie "Technique". Sa couverture rouge clinquante avec un jolie Worm dessus ne manque pas d'attirer l'oeil !

Le proxy d'accès à Google victime de son succès.

Posté par . Modéré par Amaury.
Tags :
0
6
sept.
2003
Internet
Depuis un petit moment maintenant, il existe un serveur mandataire (« proxy ») d'accès au moteur de recherche Google. Les raisons de son existence sont expliquées en détails sur le site (cf les liens) mais cela peut se résumer à "Peut-on faire confiance à Google?" (notez l'absence de "encore"). Selon ce site, non, pour beaucoup de raisons, dont la plus pertinente est l'enregistrement pour une durée éternelle des enregistrements de session et de l'utilisation de ces données à des fins commerciales.
Espérant faire prendre conscience aux internautes de l'importance de l'existence de tels proxies et tablant sur l'émergence d'autres proxies de ce type, le site n'a pas adapté sa capacité à la demande toujours croissante de connexion. Il est donc victime de son succès mais a réussi, il faut l'espérer, à faire prendre conscience que la recherche d'information sur la toile ne doit pas tomber aux mains d'une seule et unique entreprise aux méthodes de classements douteuses.

Ndm : Reste que personne ne peut prouver que le proxy en question n'enregistre pas les recherches effectuées avec les données personnelles de l'internaute

Le développeur principal d'xMule poursuivi en justice

Posté par (page perso) . Modéré par Benoît Sibaud.
Tags :
0
21
août
2003
Communauté
Le developpeur principal d'xMule, Ted R. Smith (Un-Thesis), viendrait d'être attaqué par la justice américaine suite à une plainte liée au DMCA.
Il semblerait que, suite à l'alerte de sécurité récemment publiée sur xmule, la RIAA ait pris connaissance de l'existence du logiciel et ait décidé d'attaquer personnellement le developpeur principal qui a la malchance d'être américain.

Merci d'utiliser le miroir de la nouvelle, le site d'xMule va bientôt dépasser la bande passante achetée ce mois-ci.

Ndm: pour éviter tout problème, j'ai effacé le lien vers le site d'xmule, seul reste le miroir

Faille de sécurité pour les noyaux < 2.4.21

Posté par . Modéré par Nÿco.
Tags :
0
3
août
2003
Linux
Jared Stanbrough vient de découvrir un "exploit" (faille) touchant les noyaux Linux de la série 2.4.x < 2.4.21, comportant le support NFSv3

Cet exploit consiste via les appels de données XDR à donner une valeur "inexacte" à une routine d'appel, ce qui peut provoquer une copie de bloc mémoire très importante dans l'espace Noyau (Kernel Space) et provoquer rapidement un Kernel Panic (plantage du système)

La fonction incriminée et un exemple d'attaque sont présents sur le BugTraq. Rassurez-vous néanmoins, la seule façon détectée aujourd'hui pour attaquer un hôte vulnérable est d'exporter un répertoire qui serait accessible à une personne mal intentionnée. Toutefois les risques méritent d'être signalés.