Alerte de sécurité dans le noyau Linux

Posté par . Modéré par Christophe Guilloux.
Tags :
0
20
avr.
2004
Noyau
Une vulnérabilité critique a été identifiée dans le noyau Linux, elle pourrait être exploitée par un attaquant local afin d'obtenir les privilèges "root". Ce problème de type "integer overflow" résulte d'une erreur présente au niveau de la fonction ip_setsockopt() combinée à l'option MCAST_MSFILTER (fichier net/ipv4/ip_sockglue.c) qui ne calcule pas correctement l'espace mémoire noyau (IP_MSFILTER_SIZE), ce qui pourrait permettre à un utilisateur local l'augmentation de ses privilèges.

NdM : a été proposé par jaune également.
NdM2 : les noyaux 2.4.26 et 2.6.4, déjà disponibles, ne sont pas concernés.

Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL

Posté par . Modéré par Nÿco.
Tags :
0
18
mar.
2004
Sécurité
Trois vulnérabilités ont été identifiées dans OpenSSL, elles pourraient être exploitées par un attaquant distant afin de causer un Déni de Service (DoS) :
Le premier problème se situe au niveau de la fonction "do_change_cipher_spec()", le second au niveau d'une mise à jour ajoutée à la version OpenSSL 0.9.6d, la dernière vulnérabilité se situe au niveau de la routine utilisée pour le handshake SSL/TLS combiné à Kerberos ciphersuites.

Toutes les versions de 0.9.6c à 0.9.6l ainsi que de 0.9.7a à 0.9.7c sont vulnérables. Ils faut mettre à jour vers les versions 0.9.6m ou 0.9.7d en prenant soins de recompiler les binaires liés statiquement à cette librairie.

Sortie du noyau 2.2.26

Posté par . Modéré par Benoît Sibaud.
0
27
fév.
2004
Noyau
Vous ne l'attendiez pas tous, Il n'avait plus bougé depuis longtemps (mars 2003..), mais le voici quand même, le dernier né de la lignée des noyaux 2.2.x, le 2.2.26.

Cette version apporte peu de nouveautés (étonnant non ?), elle corrige surtout quelques problèmes de securité, donc pour les quelques utilisateurs de cette branche, (je sais qu'il y en a encore), patchez !

NdM : le 2.4.26 est seulement en pre1 depuis la même date.

SUSE LINUX serveur certifiée EAL3+ sur l'ensemble de la gamme IBM eServer

Posté par . Modéré par Nÿco.
Tags :
0
26
jan.
2004
Suse
IBM et SUSE annoncent conjointement que SUSE LINUX Enterprise Server 8 + Service Pack 3 vient d'atteindre la certification EAL3+, une évaluation américaine sur des critères de sécurité en environnement à risques. Ceci s'applique sur l'ensemble de la gamme IBM eServer.

Dans le même temps SUSE LINUX Enterprise Server 8 passe le COE (Common Operating Environnement), référence créée par le département de la défense américaine, qui permettra à SuSE de déployer ses serveurs pour faire fonctionner certaines applications critiques dans un environnement à risque.

Ceci bien sûr ne s'applique qu'aux États-Unis. Rappelons que Windows Server 2000 + Service Pack 3 a atteint EAL4+ mais seulement sous certaines conditions et sur une faible gamme de machines.

Vulnérabilité de mystification de l'URL dans la barre d'état de Mozilla

Posté par . Modéré par Fabien Penso.
Tags :
0
14
déc.
2003
Mozilla
Une vulnérabilité de type mystification d'URL (« URL Spoofing ») a été identifiée dans Mozilla WebBrowser, elle pourrait être exploitée afin de manipuler les informations affichées sur la barre d'état. Ce problème résulte d'une erreur dans la vérification des entrées, qui peut être utilisé par un attaquant afin de cacher la vrai URL d'une page malicieuse sous une URL de confiance en incluant les caractères "%01" et "%00" avant le caractère @.

L'URL http://www.site_confiance.com%01%00@sitemalicieux.com/attaquant.html affichera uniquement www.site_confiance.com dans la barre d'état.

Donc attention aux liens avant de cliquer !

Sentinix: une distribution pour le monitoring et la détection d'intrusion

Posté par . Modéré par jerome.
Tags :
0
10
déc.
2003
Linux
A l'occasion de la sortie de la version Sentinix 0.70.5 beta 2, nous souhaitions attirer votre attention sur cette distribution, entièrement libre et gratuite, dédiée au monitoring, à la surveillance, à la détection d'intrusion, et à la lutte contre le spam.

Sentinix propose par défaut un noyau 2.4.21 auquel est appliqué le patch OpenMosix SMP.

Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

Posté par . Modéré par Nÿco.
0
2
déc.
2003
Noyau
Il s'agit d'une faille de type "integer overflow" dans l'appel système brk. Elle a été découverte par Andrew Morton en septembre et corrigée dans les noyaux 2.4.23 et 2.6 mais affecte les versions précédentes (la branche 2.6 est concernée jusqu'au test6 inclus).

Les noyaux Debian étaient vulnérables à cette faille (locale) et c'est elle qui a été utilisée pour compromettre les serveurs.

L'unique annonce officielle que j'ai trouvée est le DSA-403-1 de Debian (qui vient de paraître).

Pensez à mettre à jour vos noyaux !

NdM: Merci aussi à FRLinux, Baptiste SIMON et Etienne 'Tinou' Labaume.

Du nouveau sur les serveurs Debian compromis

Posté par . Modéré par Benoît Sibaud.
Tags :
0
28
nov.
2003
Debian
Voici une annonce qui explique ce qui s'est passé lors du piratage des serveurs Debian.org à partir de la première intrusion le 19 octobre.
Les machines : klecker, master, murphy et gluck ont finalement bien été rootkitées, c'est suckit qui a été installé, une description sommaire de ce rootkit est disponible dans l'annonce.
La première intrusion a été possible grâce à un mot de passe intercepté, et à un login avec un compte sans privilèges.
La conclusion actuelle est qu'il reste certainement une faille locale à découvrir.

Note du modérateur : Wichert Akkerman a tenu un compte-rendu au jour le jour sur cette question.

Un bug de GnuPG compromet plusieurs centaines de clés

Posté par (page perso) . Modéré par Pascal Terjan.
Tags :
0
27
nov.
2003
Sécurité
Werner Koch a annoncé ce matin la découverte par Phong Nguyen d'un bug critique dans GnuPG. Ce bug permet d'obtenir en quelques secondes la clé secrète de certaines personnes, pouvant ainsi usurper leur identité ou déchiffrer les courriers qui leur sont destinés.

Heureusement, seules les doubles clés utilisant ElGamal pour la signature et le chiffrement sont affectées, et leur nombre total est estimé à environ un millier.

Plusieurs machines-maîtres du projet Debian auraient été compromises

Posté par (page perso) . Modéré par Xavier Antoviaque.
Tags :
0
21
nov.
2003
Debian
Plusieurs serveurs debian auraient été manifestement compromis par des inconnus.

L'archive n'a pas été affectée, mais la source de sécurité pour woody est indisponible, le temps que les paquets soient vérifiés. La sortie de la nouvelle version stable de la Woody (v3.0r2) n'a cependant pas été retardée par ce problème.

Microsoft prépare un "assaut de sécurité" public sur Linux

Posté par (page perso) . Modéré par Jaimé Ragnagna.
Tags :
0
16
nov.
2003
Microsoft
Microsoft a l'intention de réaliser une démonstration publique visant à mettre en évidence les lacunes sécuritaires de Linux, le but étant de démontrer à ses clients potentiels que Linux n'est qu'une vulgaire passoire.

Son argumentation reposera principalement sur des rapports d'analystes concernant les vulnérabilités de sécurité de Linux, ainsi que les délais de release des patchs et correctifs.

Tentative d'insertion d'une porte dérobée dans le noyau Linux

Posté par . Modéré par Fabien Penso.
0
6
nov.
2003
Noyau
Un des miroirs hébergeant le CVS du noyau 2.6 en développement a été récemment modifié de manière peu louable. Deux lignes de code ont été insérées dans le source du noyau, afin de créer une porte dérobée (« backdoor ») permettant un accès root (NdM: local).

Fort heureusement, une mise à jour du miroir CVS compromis depuis les serveurs principaux hébergeant l'arborescence BitKeeper des sources du noyau a permis de corriger le problème.

Correction d'un problème de sécurité sur TuxFamily

Posté par (page perso) . Modéré par Fabien Penso.
0
4
nov.
2003
Internet
Une faille de sécurité dans la configuration d'un des serveurs de TuxFamily permettant l'accès aux mots de passes de chacun des utilisateurs de ce service a été exploitée ces derniers jours. Le problème est maintenant corrigé et tous les mots de passe seront changés ce soir.

NdM: et le cryptage des mots de passe stockés ?

Nouvelles vulnérabilités pour Apache 1.3.28 / 2.0.47 et mod_security 1.7.1

Posté par . Modéré par Jean-Yves B..
Tags :
0
3
nov.
2003
Sécurité
Une vulnérabilité de type buffer overflow a été identifiée dans Apache. Le problème se situe dans les modules « mod_alias » et « mod_rewrite », l'exploitation nécessite un fichier .htaccess spécifique. Dans Apache 2 le socket AF_UNIX utilisé par « mod_cgid » afin de communiquer avec le daemon cgid ou des scripts CGI n'est pas correctement manipulé.

mod_security (Apache 2) est touché quant à lui par une vulnérabilité locale. Cette faille est causée par une erreur dans la manipulation des données générées par le serveur, ce qui pourrait être exploité via des fichiers PHP/CGI spécifiques afin d'exécuter des commandes avec les privilèges du serveur httpd.

Le démon honeyd, utilisation des pot de miels contre les vers.

Posté par . Modéré par Fabien Penso.
Tags :
0
27
oct.
2003
Sécurité
Un article sur SecurityFocus.org fait suite à la présentation de la technique des TARPITS (cf : lien vers l'ancienne dépêche).

Cette fois, c'est l'utilisation de deux type de honeypots différents, dont le démon honeyd, qui est détaillée, dans le cadre de la lutte contre les vers.
Le but étant de : piéger le ver pour l'étudier, ralentir sa propagation, déclencher des alarmes, prendre différentes mesures de protection, et même le contrer en désinfectant le système source de l'attaque.

En fin d'article, on a droit à un exemple de désinfection de Blaster.