Une défaillance dans le binaire lprm (utilitaire pour effacer des travaux partis à l'impression) de OpenBSD rend la possiblité d'exploiter le système avec les privilèges du propriétaire de lprm.
Cependant, depuis OpenBSD 3.2, cet utilitaire appartient à l'utilisateur daemon et non root ce qui limite les possibilités.
Des correctifs sont disponibles.
Un faille de sécurité vient d'être découverte dans Sendmail. Celle-ci peut donner un accès root à une personne non autorisée. Il n'y a pas d'exploit connu à l'heure actuelle, mais chacun est très fortement encouragé à patcher son système ou à passer à la dernière version, dans les plus brefs délais.
NdM: Encore un buffer overflow dans Sendmail. La protection contre l'exécution de la pile semble être inefficace ici. Pas encore d'infos sur l'efficacité de StackGuard/ProPolice vis à vis de cette faille (en fait, il n'y a pas encore d'exploit pour tester si ProPolice fonctionne ou pas dans ce cas). RedHat et OpenBSD semblent être les premiers à avoir livré des patchs pour leurs systèmes respectifs.
N'hésitez pas à poster en commentaire les URIs vers les patchs de votre système/distribution favorite !
Le RedHat Advanced Server 2.1 est la première distribution à être certifiée COE. La certification a été réalisée sur un IBM eServer® xSeries® 330 . La certification COE (Common Operating Environment) est nécéssaire pour l'utilisation d'un système d'exploitation par l'armée Américaine dans les domaines critiques : commande, contrôle, communication, etc...
Jusque là, cette dépêche fait de la propagande pour RedHat.
Mais elle fait écho à une dépêche précédente sur le manque de confiance des Américains sur les solutions GNU/Linux et peut les rassurer. Enfin, ce n'est pas si spécifique RedHat que ça. J'ai jeté un coup d'oeil au fichier .spec de construction du noyau et je n'ai rien trouvé de spécifique à cette certification (mais je peux me tromper). Bref, cette certification ne dénature pas GNU/Linux et est à la portée de tous les distributeurs.
NB: le RH SA n'est pas très « accessible ». Il est coûteux et seules les sources sont disponibles en téléchargement.
Suite à l'article précédent sur systrace GTK (définition interactive des droits d'accès d'un programme aux appels systèmes, et peut-etre le meilleur IDS pour linux) voici fireflier QT, qui permet de définir interactivement les règles du firewall iptables et d'etre sollicité quand des paquets sont refusés.
Avec ces 2 systèmes, avoir une sécurité maximale sous Linux n'a jamais été aussi simple. Ou presque.
Il nous manque maintenant cruellement le meme genre d'outil pour la sécurité de X : par défaut tous les process qui accèdent à un serveur X peuvent observer et interagir avec le clavier et toutes les fenetres de ce serveur ! Ce qui rend systrace et fireflier en partie inutiles (pensez aux overflows dans les programmes internet qui ont accès à votre serveur X, comme votre browser ...)
Le PHP Group vient d'annoncer qu'un trou de sécurité avait été découvert dans la version CGI de PHP 4.3.0, la toute dernière version en date du célèbre langage de script, très utilisé sur le web.
PHP 4.3.1, corrigeant ce trou de sécurité, vient de sortir dans la foulée. Tous ceux qui utilisent la version CGI de PHP 4.3.0 sont évidemment fortement invités à mettre à jour leur version de PHP.
NdM : Merci à Christophe Guilloux d'avoir également proposé cette dépêche.
Afin d'étendre le nombre des noms de domaines disponibles, et donc son C.A, VeriSign a décidé d'imposer les URL avec support des accents.
Ce n'est qu'une première étape avant le support des langues non européennes, et à terme chinois, cyrilliques, arabe devraient faire leur apparition.
Seul problème, VeriSign y va à la hache, à coup de plugin sur les serveurs DNS de base (TDS), sans attendre l'autorisation de l'ICANN. Pas sympa.
Du coup deux problèmes se posent. 1) D'après l'ICANN ces plugins compromettraient la sécurité du DNS. Et 2) Va-t-on faire la fin du Web universel ? Car accéder à des sites chinois par exemple depuis sa barre d'adresse risque pour des occidentaux de devenir extrêmement compliqué...
L'Open Web Application Security Project (OWASP), organisation de volontaires publiant des outils logiciels et bases de connaissance Libres sur la sécurisation des applications web, a publié une étude portant sur les 10 vulnérabilités (trous/failles de sécurité) les plus courantes des applications et services web.
Le rapport est au format PDF et pèse 336 Ko.
L'ouverture d'un fichier texte sous VIM peut déclencher l'exécution d'un code malicieux. Cet exploit posté mardi dernier sur neworder et mis en forme pour réaliser un ver, peut être évité en ajoutant la ligne "set modelines=0" dans votre .vimrc.
Note du modérateur : comme d'hab, mettre à jour avec les nouveaux paquets fournis par l'équipe sécurité de votre distribution. J'ai rajouté les liens vers les 4 dernières références.
Le second hors série de linux magazine "le firewall votre meilleur ennemi" vient de paraitre. Sachant que le premier était excellent celui ci s'annonce aussi très bien (je n'ai pas encore tout lu).
La Commission des Lois de l'Assemblée Nationale a adopté un certain nombre d'amendements pour « renforcer » le projet de loi Sarkozy (qui sera examiné le 14 lanvier).
Parmi les amendements proposés, on trouve des éléments pour autoriser les perquisitions informatiques et l'accès aux données des opérateurs téléphoniques et élargir les inscriptions obligatoires dans le fichier des personnes recherchées, de même que le champ du fichier des empreintes génétiques..
Au menu, d'excellents articles sur le 'arithmetic overflow', que vous *devez*
connaître si vous voulez vous prétendre un programmeur un tant soit peu sérieux.
Je vous mets en lien quelques bugs courants qu'on a tous fait un jour et que vous ne devez plus jamais faire après lecture de ces excellents articles.
Hier (21 décembre), la version 3.0.5a de KDE est officiellement sortie.
Pas de fonctionnalités particulières, mais elle corrige le gros trou de sécurité découvert il y a quelques temps (dans certains cas, mauvais "quotage" des arguments d'une instruction passée vers la ligne de commande pour son exécution).
Ce problème sérieux affectait les version 2.x et 3.x...
Des patchs, sur le serveur ftp de KDE, sont également disponible pour KDE 2.2.2.
Alors qu'on annonçait il y a peu la sortie prochaine d'un player flash pour linux, Macromédia, lui, a averti ses développeurs d'une faille dans son programme phare.
Il serait possible à une personne mal intentionnée de faire exécuter une commande via un fichier flash modifié.
Suite à une série d'attaques DDoS lancées le 11 décembre dernier et ayant duré près d'une semaine, il a été difficile voire presque impossible d'accèder au site officiel de Slackware (cependant l'accès au serveur ftp était toujours possible, et le développement ne s'est pas arreté)
Actuellement ces attaques ont stoppé, mais leurs sources restent inconnues, ainsi que leurs raisons.
Une enquête est actuellement en cours afin de connaître la source de ces attaques, donc si vous avez une information précieuse sur celles-ci, elles sont les bienvenues à security@slackware.org
Ikarios, et d'autres petites ou moyennes structures de vente par correspondance sur l'Internet, ont recours à des sociétés prestataires qui sécurisent les paiements en ligne. Qu'arrive t-il lorsque ces prestataires sont eux-mêmes des pirates ?
