Faille java multiplateformes

Posté par . Modéré par Fabien Penso.
Tags :
0
19
mar.
2002
Java
Sun vient d'annoncer une faille de sécurité présente dans toutes ses JRE existants. Elle se trouve dans le "Bytecode verifier" et permet à une applette malicieuse de faire un peu tout et n'importe quoi sur votre machine.

Conclusion: tous à vos patchs, ou bien désactivez java au niveau de votre butineur habituel si vous naviguez sur des sites douteux...

Nouvel OpenSSH

Posté par . Modéré par orebokech.
Tags :
0
16
mar.
2002
Sécurité
Après les bugs "off by one" & "zlib double free", l'équipe d'OpenSSH est en train de travailler à une nouvelle version qui la rendrait insensible à ce type de bug, grâce à une séparation des privilèges.

De l'avis des développeurs :
"Previously any corruption in the sshd could lead to an immediate remote root compromise if it happened before authentication, and to local root compromise if it happend after authentication. Privilege Separation will make such compromise very difficult if not impossible."

Le code est actuellement utilisable sur OpenBSD, mais le portage vers d'autre *nix ne sera pas difficile.

Source : OpenBSD journal

Trou de securite dans OpenSSH 2.0 -> 3.02

Posté par . Modéré par Amaury.
Tags :
0
7
mar.
2002
Sécurité
Un trou de sécurité a été
découvert dans plusieurs versions de OpenSSH qui permet
aux utilisateurs ayant un compte de passer r00t !

L'exploit pour cela n'a pas encore été publié...

Le PINE-CERT recommande une mise à jour rapide et
classe ce risque comme HIGH (le patch est déja disponible et
intégré dans le CVS d'OpenSSH).

Le Times Piraté!

Posté par . Modéré par Fabien Penso.
Tags :
0
6
mar.
2002
Pirate
Le pirate connu Adrian Lamo, a réussis à pénétrer les systèmes du New-York Times. Banal vous me direz mais il avait sous la main la liste de tous les contributeurs du New-York Times incluant les anciens présidents, etc. Il a même pris le soin de se rajouter à la liste en tant que "Hacker" professionel ;)

Un gros bravo à ce monsieur puisqu'il n'a pas propagé la nouvelle, il a préféré se rendre au New-York Times afin de démontrer sa découverte. Ceux-ci ont apprécié le geste et l'auraient même engagé afin de colmater la faille.

Naissance du premier virus C#

Posté par (page perso) . Modéré par Fabien Penso.
Tags :
0
5
mar.
2002
Microsoft
Lu sur 01net :

"Baptisé W32/Sharpei@mMM, le premier virus attaquant l'infrastructure .Net et écrit en langage C# a été créé par une jeune fille de 17 ans."

Pas de grands nouveautés, hormis l'ajout d'un composant .Net à un script VBS. Le risque de diffusion de ce vers est faible. La politique de "Sécurité" promise par Bill Gates commence bien.

Le RSA en danger

Posté par (page perso) . Modéré par Amaury.
Tags :
0
27
fév.
2002
Sécurité
Une news fait beaucoup de bruit dans le monde de la cryptographie depuis quelques jours. En effet, le mathématicien DJ Berstein a publié un article de recherche donnant une technique théorique sur la factorisation de nombres entiers en facteurs premiers, permettant de "casser" le RSA 4x plus vite qu'actuellement.

Dans son article, il propose aussi une application pratique permettant de construire un "RSA breaker" 4x plus performant à coût égal. En conséquence, les clés PGP/RSA de taille plus petite que 2048 bits seraient cassables "facilement".

Et certains en profitent pour ajouter que "nos amis" de la NSA ont déjà ça dans leur carton (gravés dans le silicium) depuis un moment :-(

Trou de sécurité PHP : mises à jour disponibles

Posté par (page perso) . Modéré par oliv.
Tags :
0
27
fév.
2002
PHP
Des trous de sécurité au niveau de l'upload de fichiers viennent d'être découverts dans toutes les versions de PHP depuis la 3.0.10.
Le PHP Group a réagi en sortant des mises à jour, dont l'installation est bien évidemment plus que recommandée, certaines des failles étant très simples à utiliser, selon le bulletin d'alerte.
Une version 4.1.2 est donc disponible en téléchargement, ainsi qu'une série de patches pour PHP 3, PHP 4.0.6 et PHP 4.1.x.

Les versions estampillées 4.2.0-cvs ne sont par contre pas soumises à ces failles, l'upload de fichiers ayant été réécrit dans cette version.

Firewall toujours en fonction sur un Linux arrêté!

Posté par . Modéré par Fabien Penso.
Tags :
0
11
fév.
2002
Sécurité
Voici un super article sur le site de l'excellent magazine "Samag" des SysAdmins qui présente une approche unique pour améliorer la sécurité de réseaux.

"Exécutez votre firewall dans un état d'exécution stoppé sur votre linux, c'est à dire en runlevel 0 : aucune exécution de processus et aucun disque monté, mais le filtrage de paquets IP est toujours en fonction!"

Cela protège des tentatives d'introduction de vers sur le firewall, puisque le hacker n'a plus d'espace disque pour poser ses
programmes de surveillance et d'intrusion. Mais cela ne protège évidemment pas des attaques de type "denial of service".

L'auteur a entendu une rumeur de cette capacité d'exécution arrétée sur les noyaux Linux 2.0, il est parvenu à obtenir ce fonctionnement aussi bien sur une 2.2. Reste à tester sur un noyau 2.4...

NB : Merci à Alain pour la news

Secure Internet Live Conferencing

Posté par . Modéré par Yann Hirou.
Tags :
1
28
jan.
2002
Sécurité
Le projet SILC (Secure Internet Live Conferencing) a pour but de fournir un système autonome de conversation (chat) sécurisé. Ainsi, et grâce à SILC, deux individus pourront discuter en toute confidentialité. L'infrastructure cryptographique de SILC permet de fournir les services "PKI" standard de confidentialité, authentification, intégrité, et de non-répudiation.

Le protocole SILC a été conçu pour NE permettre QUE des échanges cryptés. Tous les messages sont systématiquement cryptés et authentifiés en utilisant des clés de session, des clés de canaux (channels), ou des clés de message privé. Il est impossible d'échanger des messages en clair sur le réseau SILC. En plus d'un format de clés spécifique à SILC, les formats SSH2, OpenPGP et X.509 sont supportés. Enfin SILC utilise SFTP pour le transfert de fichiers sécurisé.

Pour ne pas dépayser des utilisateurs, la plupart des commandes IRC sont présentes dans le protocole SILC. Les utilisateurs peuvent négocier entre eux des clés pour discuter en toute tranquilité. Et pour en finir avec les guerres de pseudo (nickname wars), SILC permet à plusieurs utilisateurs d'avoir le même pseudo ! La distinction se fait par WHOIS.

Des packages prêts à installer existent pour:
- *BSD (OpenBSD, NetBSD, FreeBSD)
- Debian
- Distributions Linux basées sur RPM
- Windows

miroir et traduction en français de packetstorm

Posté par . Modéré par Yann Hirou.
Tags :
0
18
jan.
2002
Sécurité

L'on ne présente plus le fameux Packet Storm, une des réference des sites traitant de la sécurité informatique. Il y a quelque jour, dnsi.info à mis en place un miroir de ce site et cherche activement des traducteurs comme nous l'indique le responsable de ce projet :



"Bon, j'ai été chargé de m'occuper de la version française de packetstorm.
J'ai besoin d'un coup de main de gens sérieux pour effectuer la trad.

Les "pas sérieux" en quête de gloire s'abstenir. Toute intégration au projet sera soigneusement vérifiée.



merci d'avance aux futurs contributeurs =)

Une loi sur la sécurité des logiciels

Posté par (page perso) . Modéré par Yann Hirou.
Tags :
0
18
jan.
2002
Justice
Un groupe influent de chercheurs Américains demande à son gouvernement une loi visant à punir les éditeurs de logiciels insuffisament sûr. Cette demande provient d'un rapport remis par le NAS (National Academy of Science américaine) et commandé juste après les attentats du 11 septembre pour connaitre l'état des systèmes informatiques américains.
Visé en premier lieu par cette loi, Microsoft qui n'a pas cessé de fournir patch sur patch pour son pourtant si sécurisé winXP.

Premier craquage quantique

Posté par (page perso) . Modéré par Fabien Penso.
0
14
jan.
2002
Sécurité
Une première factorisation en nombres premiers a été réalisée par l'université de Stanford et IBM. Bon, ce n'est pas encore utilisable pour cracker les cryptages actuels, mais cela montre bien que c'est réalisable.

En d'autres termes, les beaux jours de la cryptologie traditionnelle commencent à être comptés.

Multi-systems & Internet Security Cookbook (MISC)

Posté par (page perso) . Modéré par Fabien Penso.
Tags :
0
11
jan.
2002
Presse
J'ai le plaisir de vous annoncer la sortie de MISC, revue consacrée à la sécurité informatique. Suite au succès du HS8 de LinuxMag, nous avons repris la même formule : des articles écrits par des experts dont la sécurité est le métier.

Vous trouverez au menu un gros dossier sur le web, de la programmation, du réseau, des sciences, du virus, du pur zipiz, ...

A cette occasion, je remets sur ma page des articles du hors-série en ligne (ça devrait être fait dans la journée).

Antivirus sous linux

Posté par . Modéré par Fabien Penso.
Tags :
0
9
jan.
2002
Sécurité

Après quelques annonces catastrophes sur le développement des virus Linux dans un futur proche, un dossier d'interêt de la revue login sur le même sujet, voici enfin le tour des solutions anti-virus Open-Source (GNU vaincra!!!) :


Un projet lancé il y a quelques semaines sur dnsi.info:

Bon suite à une petite réflexion sur la liste, ainsi qu'aux nombreux messages private que j'ai reçu, on lance officiellement un projet de création d'antivirus libre, sous license GPL.
Aucune caratéristique précise n'a été établie. En vrac voici les idées que j'en ai : moteur "intelligent" (analyse de comportement viral, etc...), analyse de signatures (classique), language de script/intéraction système, permettant de créer ses propres règles génériques, par ex ou autre action à entreprendre.


Projet dors-et-déjà mis en concurrence ( >=> ) comme le prouve cette news de LinuxSecurity :
OpenAntivirus est une plate-forme pour des personnes intéressées par la recherche anti-virus, la sécurité réseaux, la sécurité des communications inter-ordinateurs, le développement de solutions à divers problèmes de sécurité ainsi que le développement de nouvelles technologie en sécurité. (...)

A vos clavier!!!