Le second hors série de linux magazine "le firewall votre meilleur ennemi" vient de paraitre. Sachant que le premier était excellent celui ci s'annonce aussi très bien (je n'ai pas encore tout lu).

La Commission des Lois de l'Assemblée Nationale a adopté un certain nombre d'amendements pour « renforcer » le projet de loi Sarkozy (qui sera examiné le 14 lanvier).

Parmi les amendements proposés, on trouve des éléments pour autoriser les perquisitions informatiques et l'accès aux données des opérateurs téléphoniques et élargir les inscriptions obligatoires dans le fichier des personnes recherchées, de même que le champ du fichier des empreintes génétiques..

• L'article sur Le Monde (2 clics)

Au menu, d'excellents articles sur le 'arithmetic overflow', que vous *devez*
connaître si vous voulez vous prétendre un programmeur un tant soit peu sérieux.

Je vous mets en lien quelques bugs courants qu'on a tous fait un jour et que vous ne devez plus jamais faire après lecture de ces excellents articles.

• Phrack magazine (3 clics)
• Article de base sur 'arithmetic overflow' (0 clic)
• article de base sur le 'buffer overflow' (0 clic)
• article (pas de base) sur le 'string format' (1 clic)
• article de base sur le 'heap overflow' (3 clics)

Hier (21 décembre), la version 3.0.5a de KDE est officiellement sortie.

Pas de fonctionnalités particulières, mais elle corrige le gros trou de sécurité découvert il y a quelques temps (dans certains cas, mauvais "quotage" des arguments d'une instruction passée vers la ligne de commande pour son exécution).

Ce problème sérieux affectait les version 2.x et 3.x...

Des patchs, sur le serveur ftp de KDE, sont également disponible pour KDE 2.2.2.

• La page d'info de KDE 3.0.5a (0 clic)
• La page de la sortie officielle (0 clic)
• L'explication/découverte de la faille de sécurité (0 clic)
• L'ancienne dépèche sur LinuxFr (1 clic)
• Le serveur FTP avec les patchs (0 clic)

Alors qu'on annonçait il y a peu la sortie prochaine d'un player flash pour linux, Macromédia, lui, a averti ses développeurs d'une faille dans son programme phare.

Il serait possible à une personne mal intentionnée de faire exécuter une commande via un fichier flash modifié.

• L'annonce chez Macromedia (2 clics)
• Description de la faille (0 clic)
• annonce précédente (1 clic)

Suite à une série d'attaques DDoS lancées le 11 décembre dernier et ayant duré près d'une semaine, il a été difficile voire presque impossible d'accèder au site officiel de Slackware (cependant l'accès au serveur ftp était toujours possible, et le développement ne s'est pas arreté)

Actuellement ces attaques ont stoppé, mais leurs sources restent inconnues, ainsi que leurs raisons.

Une enquête est actuellement en cours afin de connaître la source de ces attaques, donc si vous avez une information précieuse sur celles-ci, elles sont les bienvenues à security@slackware.org

• The Slackware Linux Project (3 clics)

Ikarios, et d'autres petites ou moyennes structures de vente par correspondance sur l'Internet, ont recours à des sociétés prestataires qui sécurisent les paiements en ligne. Qu'arrive t-il lorsque ces prestataires sont eux-mêmes des pirates ?

• L'info chez Ikarios (10 clics)
• IKARIOS (10 clics)
• Dépêche précédente (5 clics)

L'équipe de KDE a été obligée de repousser la sortie de KDE 3.1 après avoir découvert qu'un trou de sécurité mineur découvert le 26 novembre se répétait à de très nombreux endroits dans le code, que l'audit complet de celui-ci s'avérait nécessaire et que celui ci ne peut etre achevé avant la semaine prochaine. Plus ennuyeux, le problème affecte apparemment toutes les versions de KDE depuis la 2.x. Des patches et updates vont probablement sortir pour les versions précédentes une fois l'audit achevé.

• Le post d'annonce sur kde-core-devel (0 clic)
• Quelques explications complémentaires sur KDE-CVS digest (0 clic)

[Réprise / Traduction de l'info chez "Barrapunto"]

L'utilisation d'un ordinateur portable sur les jambes pendant une heure a provoqué que le penis et les testicules d'un suedois de 50 ans soient brûlés. Le monsieur en question affirme qu'il portait bien son pantalon ainsi que des sous-vetements.

CNN et The Register publient l'info dans leurs pages. The Register propose l'idée que ce soit un Dell Latitude car dans le manuel d'utilisation on peut lire une référence à ce type d'éventualité :

"CAUTION: Do not allow your portable computer to operate with the base resting directly on your body. With extended operation, heat can potentially build up in the base. Allowing sustained contact with the skin could cause discomfort or, eventually, a burn."

Je commence à imaginer la superbe publicité des processeurs Crusoe que Transmeta pourrait faire avec ce truc ... :-) Et alors ... ton truc, ça chauffe ?

• L'info chez CNN (1 clic)
• L'info chez The Register (2 clics)
• Dell vous l'avait dit ... (1 clic)
• La température chez les processeurs Crusoe (0 clic)
• L'info chez un weblog "ami" (Barrapunto) (1 clic)

Je rappelle que quelques problèmes de sécurité étant apparus récemment sur les kernels (2.2, 2.4 et 2.5 sont sensibles à un DoS), sur KDE (2.x et 3.x) et Samba (2.2.2 à 2.2.6), certains patches (rustines?) et mises à jours sont disponibles.

• annonce du 2.4.20-rc2 (2 clics)
• annonce du kernel 2.2.23-rc2 (1 clic)
• annonce de samba 2.2.7 (1 clic)
• annonce KDE 3.0.5 (0 clic)

Communiqué de presse d'APRIL - APRIL s'associe à la mise en garde de Richard M. Stallman au sujet des projets Palladium et TCPA de Microsoft et d'Intel qui menacent la liberté de chaque utilisateur, notamment la liberté d'utiliser un logiciel libre, en contrôlant tous les ordinateurs.

• Communiqué de presse sur APRIL.org (1 clic)

La sortie d'un nouveau hors-série de Linux Magazine, le n°12, consacré aux firewalls. Ce premier volet présente ce qu'est le filtrage, les mécanismes internes de Netfilter, pourquoi firewall et application web ne font pas bon ménage, comment gérer des logs hétérogènes, et enfin la pénétration de réseaux à l'aide de backdoors réellement furtives.

Il sea suivi en Janvier d'un second volet détaillant différents types de firewalls (organisation réseau, FW matériels, FW personnels, FW bridges), comment déterminer et contrôler les règles d'un FW, voire les contourner.

• Linux Magazine France (22 clics)
• MISC (8 clics)
• Diamond Edition (6 clics)

De multiples vulnérabilités ayant différents impacts ont été trouvées dans BIND, client/serveur de nom bien connu par l'Internet Software Consortium (ISC).
Tous à vos patches!

• L'annonce du CERT (2 clics)
• Les updates pour RedHat (1 clic)

Un LUG de Houston a découvert la présence d'un Cheval de Troie dans les dernières sources de la libpcap et de tcpdump disponibles sur le site de tcpdump.
Il semblerait que certains miroirs soient deja infectés.

• Description du Trojan (1 clic)
• Le site tcpdump (0 clic)

Window Maker, sans conteste le meilleur gestionnaire de fenêtre sous X, a des problèmes avec la lecture des images. Des crackers, en créant des images "spéciales", peuvent faire executer du code lorsque WindowMaker lit ces images, lors d'une prévisualisation d'un thème par exemple.

Afin de vous protéger contre ces méchants pirates, rien ne vaut un apt-get update && apt-get upgrade.

Note du modérateur : L'alerte de sécurité n'a été diffusée que par Debian, donc même si la première partie de la news (et cette note aussi) est un gros troll la deuxième ne l'est pas. Si vous avez peur que votre distribution soit infectée vous pouvez aussi faire emerge unmerge wmaker && emerge fluxbox

• Alerte de sécurité sur Debian (0 clic)