Retranscription vidéo/audio Pierre Betouin (Challenge Securitech)

Posté par . Modéré par Mouns.
Tags :
0
30
juin
2004
Sécurité
Dans le cadre du Challenge Securitech 2004, Pierre Betouin, organisateur, donna une conférence le 7 juin 2004 lors des réunions du groupe SWNT de l'OSSIR. Lors de celle ci, il a été abordé les détails techniques, logistiques et juridiques de l'organisation d'un concours de ce type ainsi que la résolution des niveaux, le monitoring, les problèmes rencontrés et les contraintes de sécurité. À voir également les insolites : résolution des niveaux de cryptographie avec un tableur !

Le site secuobs.com vous propose le choix entre une retranscription du flux vidéo ou la version audio de cette intervention qui dure 40 minutes. La vidéo est disponible au format MPEG4 (le son est en AAC) regardable avec mp4player/gmp4player (mpeg4ip), mplayer ainsi que les dernières versions de Quicktime (6). L'audio est au format Ogg Vorbis, mp3 et aac. Le tout est disponible en ligne (embed html) ou au format tar+gz en téléchargement.

Tutorial : installation automatisée Apache/Mod_security

Posté par . Modéré par Benoît Sibaud.
Tags :
0
15
juin
2004
Doc
Le site Secuobs.com vous propose un tutorial de 6 pages sur l'implémentation et la sécurisation du serveur web apache pour Linux. L'utilité, l'installation et la configuration des composants suivants sont expliqués dans ce document : Apache avec DSO (Dynamic Shared Object), Openssl, Php4, Mysql, Mod_ssl, Mod_rewrite, Mod_perl, Mod_security avec Snort2modsec.pl et snortrules-snapshot-CURRENT.

Le tutorial se décompose en deux parties : une partie classique d'installation et de configuration manuelle à la manière des "how-to", et une partie automatisée qui vous permettra en récupérant l'unique script exoweb.pl d'installer et de configurer automatiquement l'ensemble de ces composants. A noter que chaque composant peut également être installé séparément et automatiquement via des mini-scripts shell en fonction de ceux que vous souhaitez installer ou de ceux que vous avez déjà installés.

Mise à jour importante du tutorial : intégration de la nouvelle version stable de mod_security 1.8 nouvellement sortie, activation du chroot par mod_security dans la configuration par défaut de la procédure automatisée, bugfixes de la procédure chroot manuelle et automatisée

Vulnérabilité de tous les noyaux 2.4.x / 2.6.x

Posté par (page perso) . Modéré par Christophe Guilloux.
0
15
juin
2004
Noyau
Une nouvelle vulnérabilité a été découverte le 09 juin 2004 concernant tous les noyaux 2.4.x et 2.6.x (détails des noyaux non vulnérables dans l'annonce en anglais).

Cette faille nécessite un accès local à la machine et peut s'exécuter par la compilation d'un simple programme en C. Le bug a été également reporté dans le bugzilla de GCC (versions affectées 2.96, 3.0, 3.1, 3.2, 3.3 et 3.3.2).

Le patch concerne un simple changement de ligne sur la fonction clear_fpu() changeant l'appel asm volatile de ("fwait") vers ("fnclex ; fwait").

Le lien comporte un patch pour 2.4.x, 2.6.x et le test permettant de tester votre système, il est recommandé de synchroniser les systèmes de fichiers avant de tenter l'exploit.

Premier patch 'NX' pour le noyau Linux

Posté par . Modéré par Mouns.
Tags :
0
3
juin
2004
Matériel
Ingo Molnar l'a annoncé aujourd'hui sur la LKML (Linux Kernel Mailing List) : le premier patch 'NX' pour notre bien aimé noyau est disponible. Si la technologie NX est disponible sur le processeur, le noyau ainsi modifié interdit l'exécution des buffers et de la pile. À ma connaissance Linux est le premier OS à implémenter cette technologie (NdM : non). Un noyau patché est déjà disponible pour la Fedora Core sous le nom kernel-2.6.6-1.411.

Conférence Challenge Securitech 2004

Posté par . Modéré par Nÿco.
Tags :
0
5
mai
2004
Sécurité
Challenge Securitech est un concours de sécurité informatique qui a eu lieu du 10 avril au 1er mai.
Le concours vient donc de se terminer ce week-end. Dans le cadre du challenge est organisée une conférence le vendredi 7 mai 2004 à 17h dans le 5ème arrondissement de Paris.
Seront notamment présents, Kostya Kortchinsky, responsable du CERT RENATER et Nicolas Brulez, The Armadillo Software Protection System :
Kostya Kortchinsky animera une présentation sur les shellcode ~crosoft.
Nicolas Brulez présentera quant à lui les techniques de reverse engineering.

Les solutions des 20 niveaux du Challenge seront également débattues.

Testez votre vulnérabilité à la faille "TCP spoofed Connexion"

Posté par . Modéré par Christophe Guilloux.
Tags :
0
27
avr.
2004
Internet
Le site de sécurité informatique Secuobs.com propose un service gratuit de scan de vulnérabilités en ligne basé sur le logiciel opensource, Nessus, qui permet de tester simplement la vulnérabilité d'une machine ou d'une passerelle face notamment à la faille découverte par Paul Watson sur l'injection de paquet dans une connexion tcp pouvant mener à un déni de service ...

Alerte de sécurité dans le noyau Linux

Posté par . Modéré par Christophe Guilloux.
Tags :
0
20
avr.
2004
Noyau
Une vulnérabilité critique a été identifiée dans le noyau Linux, elle pourrait être exploitée par un attaquant local afin d'obtenir les privilèges "root". Ce problème de type "integer overflow" résulte d'une erreur présente au niveau de la fonction ip_setsockopt() combinée à l'option MCAST_MSFILTER (fichier net/ipv4/ip_sockglue.c) qui ne calcule pas correctement l'espace mémoire noyau (IP_MSFILTER_SIZE), ce qui pourrait permettre à un utilisateur local l'augmentation de ses privilèges.

NdM : a été proposé par jaune également.
NdM2 : les noyaux 2.4.26 et 2.6.4, déjà disponibles, ne sont pas concernés.

Trois vulnérabilités pour les versions 0.9.7 & 0.9.6 de OpenSSL

Posté par . Modéré par Nÿco.
Tags :
0
18
mar.
2004
Sécurité
Trois vulnérabilités ont été identifiées dans OpenSSL, elles pourraient être exploitées par un attaquant distant afin de causer un Déni de Service (DoS) :
Le premier problème se situe au niveau de la fonction "do_change_cipher_spec()", le second au niveau d'une mise à jour ajoutée à la version OpenSSL 0.9.6d, la dernière vulnérabilité se situe au niveau de la routine utilisée pour le handshake SSL/TLS combiné à Kerberos ciphersuites.

Toutes les versions de 0.9.6c à 0.9.6l ainsi que de 0.9.7a à 0.9.7c sont vulnérables. Ils faut mettre à jour vers les versions 0.9.6m ou 0.9.7d en prenant soins de recompiler les binaires liés statiquement à cette librairie.

Sortie du noyau 2.2.26

Posté par . Modéré par Benoît Sibaud.
0
27
fév.
2004
Noyau
Vous ne l'attendiez pas tous, Il n'avait plus bougé depuis longtemps (mars 2003..), mais le voici quand même, le dernier né de la lignée des noyaux 2.2.x, le 2.2.26.

Cette version apporte peu de nouveautés (étonnant non ?), elle corrige surtout quelques problèmes de securité, donc pour les quelques utilisateurs de cette branche, (je sais qu'il y en a encore), patchez !

NdM : le 2.4.26 est seulement en pre1 depuis la même date.

SUSE LINUX serveur certifiée EAL3+ sur l'ensemble de la gamme IBM eServer

Posté par . Modéré par Nÿco.
Tags :
0
26
jan.
2004
Suse
IBM et SUSE annoncent conjointement que SUSE LINUX Enterprise Server 8 + Service Pack 3 vient d'atteindre la certification EAL3+, une évaluation américaine sur des critères de sécurité en environnement à risques. Ceci s'applique sur l'ensemble de la gamme IBM eServer.

Dans le même temps SUSE LINUX Enterprise Server 8 passe le COE (Common Operating Environnement), référence créée par le département de la défense américaine, qui permettra à SuSE de déployer ses serveurs pour faire fonctionner certaines applications critiques dans un environnement à risque.

Ceci bien sûr ne s'applique qu'aux États-Unis. Rappelons que Windows Server 2000 + Service Pack 3 a atteint EAL4+ mais seulement sous certaines conditions et sur une faible gamme de machines.

Vulnérabilité de mystification de l'URL dans la barre d'état de Mozilla

Posté par . Modéré par Fabien Penso.
Tags :
0
14
déc.
2003
Mozilla
Une vulnérabilité de type mystification d'URL (« URL Spoofing ») a été identifiée dans Mozilla WebBrowser, elle pourrait être exploitée afin de manipuler les informations affichées sur la barre d'état. Ce problème résulte d'une erreur dans la vérification des entrées, qui peut être utilisé par un attaquant afin de cacher la vrai URL d'une page malicieuse sous une URL de confiance en incluant les caractères "%01" et "%00" avant le caractère @.

L'URL http://www.site_confiance.com%01%00@sitemalicieux.com/attaquant.html affichera uniquement www.site_confiance.com dans la barre d'état.

Donc attention aux liens avant de cliquer !

Sentinix: une distribution pour le monitoring et la détection d'intrusion

Posté par . Modéré par jerome.
Tags :
0
10
déc.
2003
Linux
A l'occasion de la sortie de la version Sentinix 0.70.5 beta 2, nous souhaitions attirer votre attention sur cette distribution, entièrement libre et gratuite, dédiée au monitoring, à la surveillance, à la détection d'intrusion, et à la lutte contre le spam.

Sentinix propose par défaut un noyau 2.4.21 auquel est appliqué le patch OpenMosix SMP.

Faille de sécurité dans les noyaux Linux 2.4.18 à 2.4.22

Posté par . Modéré par Nÿco.
0
2
déc.
2003
Noyau
Il s'agit d'une faille de type "integer overflow" dans l'appel système brk. Elle a été découverte par Andrew Morton en septembre et corrigée dans les noyaux 2.4.23 et 2.6 mais affecte les versions précédentes (la branche 2.6 est concernée jusqu'au test6 inclus).

Les noyaux Debian étaient vulnérables à cette faille (locale) et c'est elle qui a été utilisée pour compromettre les serveurs.

L'unique annonce officielle que j'ai trouvée est le DSA-403-1 de Debian (qui vient de paraître).

Pensez à mettre à jour vos noyaux !

NdM: Merci aussi à FRLinux, Baptiste SIMON et Etienne 'Tinou' Labaume.

Du nouveau sur les serveurs Debian compromis

Posté par . Modéré par Benoît Sibaud.
Tags :
0
28
nov.
2003
Debian
Voici une annonce qui explique ce qui s'est passé lors du piratage des serveurs Debian.org à partir de la première intrusion le 19 octobre.
Les machines : klecker, master, murphy et gluck ont finalement bien été rootkitées, c'est suckit qui a été installé, une description sommaire de ce rootkit est disponible dans l'annonce.
La première intrusion a été possible grâce à un mot de passe intercepté, et à un login avec un compte sans privilèges.
La conclusion actuelle est qu'il reste certainement une faille locale à découvrir.

Note du modérateur : Wichert Akkerman a tenu un compte-rendu au jour le jour sur cette question.

Un bug de GnuPG compromet plusieurs centaines de clés

Posté par (page perso) . Modéré par Pascal Terjan.
Tags :
0
27
nov.
2003
Sécurité
Werner Koch a annoncé ce matin la découverte par Phong Nguyen d'un bug critique dans GnuPG. Ce bug permet d'obtenir en quelques secondes la clé secrète de certaines personnes, pouvant ainsi usurper leur identité ou déchiffrer les courriers qui leur sont destinés.

Heureusement, seules les doubles clés utilisant ElGamal pour la signature et le chiffrement sont affectées, et leur nombre total est estimé à environ un millier.