bug pour cron et openssh - updatez !

Posté par . Modéré par I P.
Tags :
0
18
nov.
2000
Sécurité
Une nouvelle version de OpenSSH est disponible. Un bug permet au serveur accedé en ssh de forcer le client en mode agent ainsi que la redirection X11. Des updates sont disponibles pour Debian et certainement d'autres distributions.
De meme pour le programme cron qui est attaquable localement.

A vos updates !

Vulnérabilité dans StarOffice 5.2

Posté par . Modéré par Laurent.
Tags :
0
14
nov.
2000
Sécurité
Un problème de sécurité a été découvert lors de l'utilisation de StarOffice en mode multi-utilisateurs. En effet les permissions d'accès au répertoire temporaire /tmp/soffice.tmp sont établies à 0777. Donc pensez à modifier le répertoire tmp par default pour qu'il soit créer dans l'espace utilisateur ($home).

Microsoft attaqué à nouveau

Posté par . Modéré par I P.
Tags :
0
4
nov.
2000
Microsoft
Le réseau de Microsoft aurait été à nouveau piraté. Cette fois-ci, le pirate se serait contenté d'utiliser une faille de sécurité connue dans le serveur IIS de Microsoft. La firme de Redmond avait même développé un pacth pour fixer ce problème... patch qui n'a pas été appliqué à toutes ses machines !

Sysadmin BSD ou Sysadmin Linux ?

Posté par . Modéré par Fabien Penso.
Tags :
0
2
nov.
2000
FreeBSD
Les "security-scripts" de FreeBSD viennent d'être portés pour Linux !

Ces scripts permettent à quiconque de vérifier certains points vitaux de sa box (vérification des suid, des umasks, des root-kits, les logs, les bons droits...), bref que du bonheur (enfin pour une linuxbox).

Sysadmin sous Linux ? ca s'améliore ,-)

Hackez un site avec votre browser

Posté par . Modéré par I P.
Tags :
0
29
oct.
2000
Humour
En lisant zipiz.com, je suis arrivé sur digital-network.org
J'ai remarqué que http://www.digital-network.org/php/ était accessible, et notamment http://www.digital-network.org/php/phpMyAdmin/
Avec accès d'administrateur sur la base de données !!

C'est d'autant plus marrant quand on sait qui a créé le site...

Et ca tourne sur
Server: Apache/1.3.9 (Unix) Debian/GNU mod_perl/1.21_03-dev

Note du modérateur: Cette news nous est parvenue hier. Nous avons preferé attendre que le problème soit corrigé avant de laisser passer l'info.

Un projet antivirus open source

Posté par . Modéré par Yann Hirou.
Tags :
0
23
oct.
2000
Linux
"Spread the word!
As already stated this project can only be a success if enough people are forming a critical mass to keep the project alive through their contributions. Therefore spread the word! This project gives the Open Source Community the unique possibility to design and develop better, easier, and more sophisticated security solutions than already available from commercial suppliers. Do not hesitate and consider this project a technological challenge. Once again - spread the word!"

(NdM) En résumé, le projet d'un antivirus opensource ne pourra fonctionner que si suffisament de personnes y contribuent. Donc si vous voulez des solutions meilleures que les solutions commerciales existantes, contribuez !

Pour plus d'infos, voir le site.

Tutorial: Gnu Privacy Guard

Posté par . Modéré par Fabien Penso.
Tags :
0
14
oct.
2000
Doc
Suites aux récentes nouvelles vous aimeriez essayer GPG, simplement , au premier abord il se peut que ses concepts de clés, de signature, de keyservers, d'encryption vous paraissent quelques peu hardus. Chez Kuro5hin vous trouverez un tutorial en deux parties où vous serez guidé dans toutes les étapes de la compilation de GPG en passant par l'interaction avec votre logiciel de mail, jusqu'au dépot de votre clé publique. En outre vous y trouverez de nombreux liens, vous permettant de vous tenir au courant et de réagir aux évènements. Bonne lecture.

SDMI cracké !

Posté par . Modéré par I P.
Tags :
0
13
oct.
2000
Pirate
Malgré l'appel lancé à la communauté des hackers/crackers (rayez la mention inutile) de laisser SDMI se dépatouiller tout seul avec son système de watermark, le système de protection n'aura pas tenu bien longtemps.
Comme de bien entendu, la SDMI se refuse à tout commentaire pour le moment.
Bah ! Ce n'est pas plus mal en ces temps où la cOOnerie.com fondée sur l'effet d'annonce pousse les arrogants businessmen à crier plus fort que leur voisin.

Et on reparle de l'espionnage américain

Posté par . Modéré par Fabien Penso.
Tags :
0
12
oct.
2000
Pirate
En regardant Soir 3 hier soir, je suis tombé en ouverture du journal sur deux reportages plus qu'intéressants.
Le premier concernait Echelon, le réseau militaire d'espionnage américain bien connu pour ses dérives vers l'espionnage industriel, ceci à l'occasion de la sortie d'un rapport de l'Assemblé Nationale. Bref, un classique.
Le second reportage est beaucoup plus inquiétant, il concernait l'existence de backdoors ds le célèbre programme de cryptage PGP. Ces backdoors permettraient aux Américains de lire en clair les textes cryptés avec ce logiciel.

Note du modérateur: ces inquiétudes concernant le logiciel PGP avaient déjà été évoquées et sont réelles. Utilisez GnuPG ! :)

Test : Les firewalls sous Linux

Posté par . Modéré par Laurent.
Tags :
0
11
oct.
2000
Linux
Dans un article en 3 parties, les différentes solutions de firewalling sous Linux sont passées en revue. La première partie concerne les solutions Open Source.
L'article commence par les rappels concernant les bases, ( différentes architectures, IPchains ... ), puis analyse les différentes solutions proposées.

Médaille d'or de la cryptographie pour deux chercheurs belges

Posté par . Modéré par Fabien Penso.
Tags :
0
9
oct.
2000
Sécurité
En 1997, le gouvernement américain lançait un appel aux chercheurs du monde entier pour qu'ils développent un algorithme cryptographique (autrement dit une méthode de codage secret), destiné à remplacer un standard universel, le DES, une méthode de codage en vigueur depuis 1977. Au bout d'une véritable course qui a duré trois ans et que le gouvernement qualifie "d'olympiades de la cryptographie", c'est une équipe de deux chercheurs belges (Joan Daemen de chez Proton World, et Vincent Rijmen de la Katholiek Universiteit Leuven) qui a remporté la "médaille d'or" de cette épreuve marathon.

Nouveau standard en crypto(AES): RIJNDAEL

Posté par . Modéré par Yann Hirou.
Tags :
0
2
oct.
2000
Technologie
Le NIST a finalement choisi RIJNDAEL parmi les 5 finalistes au 2ieme Round du AES (Advanced Encryption Standard).
Cet algorythme d'origine Européenne, proposé sur une base de 10 rounds (mais qu'il serait relativement simple d'étendre au-delà au besoin), a été retenu pour ses diverses qualités, malgré la publication d'une attaque de cryptanalyse au 6ieme round.
Il "coiffe au poteau" l'algorythme TwoFish qui était souvent annoncé comme favori, car successeur de BlowFish et développé par le très américain et influent Bruce Schneier.

RIJNDAEL est donc amené à remplacer DES comme standard pour le gouvernement US et va donc recevoir un large support par les différents fabricants de matériels. TripleDES, qui reste l'algorithme non craqué le plus longuement étudié sous toutes ses coutures restera probablement un standard longtemps, tandis que BlowFish, TwoFish, Serpent, CAST, RC6, etc., qui ont eu un support relativement large ces derniers temps en raison de l'absence de standard adapté, vont probablement peu à peu perdre du terrain.