Security BugWare

Posté par . Modéré par Yann Hirou.
Tags :
0
25
oct.
2001
Sécurité
Certains d'entre vous connaissaient peut-être l'excellent site de Hrvoje Crvelin, qui regroupait bugs, solutions et exploits depuis 1996.
Il a malheureusement décidé d'arrêter ce travail le 9 septembre dernier, laissant bon nombre d'administrateurs en manque d'une source d'informations claire et concise.

Pour y remédier, une association vient de faire renaître Security BugWare.

RedHat s'emmêle avec GnuPG

Posté par . Modéré par dumonteil jerome.
Tags :
0
23
oct.
2001
Red Hat
Les packages de la RedHat 7.2 (Enigma) sont incorrectement signés sur les miroirs ftp. La 7.1 était quant à elle correctement signée avec GnuPG. Soit RedHat a tout simplement oublié cette étape, soit leur process qualité a été shunté, ce qui est plus grave. Pas encore de réactions sur le site de RedHat. Celà me permet de conseiller ici l'excellent site de Kurt Siegfried sur la sécurité informatique.

Screamer cracke MS-DRM

Posté par . Modéré par Fabien Penso.
Tags :
0
23
oct.
2001
MP3
Sur le forum Usenet sci.crypt, un certain Beale Screamer a annoncé qu'il avait réussit a cracker le Digital Right Management de Microsoft.

Cet ensemble de composants est censé faire respecter les droits que les licences accordent aux utilisateurs. Ainsi un éditeur peut vous accorder une licence vous permettant d'envoyer tutut.wma vers les baffles, mais vous interdira de l'expédier sur le réseau.

C'est MS-DRM qui s'occupe du respect des licences en utilisant des canaux cryptés (de manière à éviter l'espionnage) entre des composants certifiés (de manière à éviter les indésirables).
Le crack de Screamer permet de délivrer le fichier des restrictions qui lui ont été attribués. Pour arriver a ceci, il a exploité les failles du schéma :
- Pour avoir des canaux cryptés, il va falloir que l'OS stocke des clefs privés qu'il aimerait vous cacher;
- L'OS peut certifier des composants, mais l'inverse n'est pas vrai. Un composant n'a pas de moyen de vérifier que l'OS est sain.

Screamer aprés avoir bien détaillé la cuisine interne, indique ses motivations à la fin du message. Il s'adresse aux utilisateurs, à Microsoft, aux DOJ, aux artistes, aux éditeurs. Il n'a pas travaillé la dessus pour qu'on se mette à déchirer toutes les licences mais pour attirer l'attention sur une situation qu'il pense préoccupante.
Microsoft a indiqué qu'il corrigerait promptement pour contrer l'exploit. Screamer précise que ca leur sera effectivement facile et conseille de ne pas upgrader.

Faille de sécurité dans webmin

Posté par . Modéré par oliv.
Tags :
0
22
oct.
2001
Sécurité
Cette faille a été découverte par Christophe Casalegno et Aurélien Cabezon.
Webmin souffre d'un problème de sécurité concernant la création temporaire de fichier qui peut être utilisée pour compromettre le compte root.

En effet, Webmin crée des fichier temporaires dans /tmp qui ont les permissions : -rwxrwxrwx (777) et qui appartiennent à l'utilisateur root (ex : commandes personnalisées). N'importe qui peut modifier le fichier créé pendant l'exécution de la commande par le système. Il suffit donc pour l'attaquant de rajouter une commande dans le fichier, qui sera exécutée par le root. L'attaquant pourra donc à loisir, lancer des commandes, créer/effacer/modifier des fichiers/répertoires, etc...
Exemple:
Il suffit de rajouter la commande suivante à la fin du fichier temporaire crée par webmin pendant son exécution pour gagner les privilèges de root:
cp /bin/sh /tmp/.backdoor vous donnera un shell root dans /tmp
Le problème est situé dans le script run.cgi qui crée le fichier temporaire en lui donnant de mauvaises permissions.
$temp = &tempname();
open(TEMP,">$temp");
...blablabla...
chmod(0777, $temp);
Pour fixer le problème il suffit de hanger la ligne chmod(0777, $temp); par chmod(0700, $temp);

Note du modérateur : Il ne semble pas y avoir de confirmation sur le site de Webmin. En outre, webmin 0.89 devrait sortir sous peu.

GnuPG s'étend

Posté par . Modéré par Fabien Penso.
Tags :
0
22
oct.
2001
Sécurité
Suite à une annonce sur Yahoo (ZDNet en fait) où il est annoncé la mort de PGP (ce n'est pas nouveau), j'ai pu lire "vive WinPT". En creusant un peu plus, il s'avère qu'il s'agit d'un "portage" basé sur GnuPG pour Windows. (Je sais que ...) Mais bon, voilà qui élargit un peu le domaine d'action de GnuPG et des utilisateurs qui l'utilisent, (c'est le but de l'article).

Noyau Linux, 3xpl01t r00t & DoS

Posté par . Édité par Benoît Sibaud. Modéré par orebokech.
Tags :
0
19
oct.
2001
Noyau
Un déni de service et un exploit root viennent d'être publiés.

Cela concerne les noyaux de la série 2.2.x x <= 19 et 2.4x x <= 9.
Le noyau 2.4.12 est OK.
Plus de détails dans le lien.

Note du modérateur: Les distributions commencent déjà à sortir des mises à jour, cf. liens supplémentaires.

Les trous de sécurité doivent rester secrets !

Posté par . Modéré par Val.
Tags :
0
17
oct.
2001
Humour
D'après un éditorial sur le site de Microsoft, il est temps de se lancer dans la chasse à «l'anarchie de l'information». Monsieur Culp (responsable du 'Security Response center') explique dans son petit billet qu'il n'y aurait pas de vers et de virus s'il n'y avait pas cette bande d'anarchistes irrésponsables qui trouvent les bugs et les publient.
Moi je suis d'accord avec lui, et je pense que toute personne faisant un rapport de bug devrait être sévèrement punie par la loi. Non mais franchement...

L'armée française aurait du investir dans le libre

Posté par . Modéré par Yann Hirou.
Tags :
0
10
oct.
2001
Communauté
Qui a dit :
« dans les forces armées, Bill Gates règne aujourd´hui en maître »,
et
« il eut été préférable pour l´armée française d´investir dans le développement de ses propres applications "libres" plutôt que de dépendre de technologies "propriétaires" américaines. »

Je vous le donne en mille : le Général Jean-Louis Devisgnes, ex directeur du SCSSI, à l'occasion du discours de clôture du second salon des technologies de l´information et de la communication organisé par l´École supérieure d´application des transmissions (ESAT).

Le gouvernement hollandais veut réglementer le cryptage fort

Posté par . Modéré par dumonteil jerome.
Tags :
0
9
oct.
2001
Technologie
Le site Telepolis, qui est toujours très bien informé sur les affaires touchant à la crypto, à Echelon, et tout ce genre de choses, a un article plutôt inquiétant sur une annonce faite par le gouvernement hollandais qui veut réglementer strictement l'usage du cryptage fort.

Le gouvernement n'a pas dit comment il comptait s'y prendre, mais un projet précédent de 1994 prévoyait, tenez-vous bien, d'accorder des licences d'utilisation aux personnes voulant utiliser un logiciel de crypto...

Webalizer : le bug du 4 octobre 2001

Posté par . Modéré par Yann Hirou.
Tags :
0
9
oct.
2001
Sécurité
A tous ceux qui utilisent la version stable de webalizer de Debian et les autres qui même sans utiliser le package debian utilisent webalizer 1.30 ou 2.0.0, regardez vos statistiques web ; elles risquent bien de s'être arrêtées au 4 octobre.

Visiblement, il y a des problèmes au niveau des timestamps qui sont calculés en utilisant une fonction jdate refaite et basé sur le 1er janvier 1990 (?).
Mozilla et DynDNS ont subi ce bug par exemple (voir urls).
Seule la dernière version 2.0.1 ne semble pas affectée par ce Pb (voir stats li.org).

Solution :
- passer à la dernière version de webalizer
- calculer epoch depuis le 1/1/1970 au lieu du 1/1/1990 :

/* initalize epoch */
epoch=jdate(1,1,1970); /* used for timestamp adj. */
ps : ce n'est pas certain que cette dernière solution corrige tous les problèmes...

Un serveur Web n'est pas conçu pour résister à des attaques

Posté par (page perso) . Modéré par I P.
Tags :
0
9
oct.
2001
Humour
Il y a des histoires qui sont faites pour durer, Code Red et consors en font partie : on nous raconte des choses formidables sur IIS ici. Je sais que cela va encore en désoler plus d'un, mais j'ai trouvé ce titre tellement accrocheur que je n'ai pu y résister.
Bon évidemment, c'est encore un piège à trolls (don't feed the troll), mais ça fait un peu rire pour ceux qui sont au boulot et vont pouvoir commencer leur journée dans la bonne humeur :)

Note : notez aussi la photo du gars, il a l'air tellement sérieux qu'il m'a donné envie d'acheter IIS et Windows.

Microsoft essaie de rassurer ses clients sur la securite d'IIS

Posté par . Modéré par orebokech.
Tags :
0
5
oct.
2001
Microsoft
On a beaucoup parlé ces derniers temps des virus et vers s'attaquant à IIS (Nimda, Code Red) et des réactions comme celle du Gartner Group conseillant de considérer des solutions alternatives pour remédier à ces problèmes sans fin.

Microsoft dévoile son initiative 'Get Secure/Stay Secure', visant à proposer des solutions de sécurisations pour leur OS. En vrac : outils d'audit, configuration 'secure' par default, ...

J'aime particulièrement le petit paragraphe sur la livraison de packages par Windows Update:

"Each package will require one step to deploy and only one system reboot"

Le moins que l'on puisse dire, c'est que quand le géant se sent menacé, il sait réagir vite.