Sécurité Nouvelle vulnérabilité dans l’implémentation OpenSSL

86
8
avr.
2014
Sécurité

Une vulnérabilité dans l’implémentation de l’extension heartbeat (RFC 6520) d’OpenSSL a été découverte conjointement par une équipe de chercheurs en sécurité (Riku, Antti and Matti) à Codenomicon et Neel Mehta de Google Securité. On retrouve ici un vieux bogue des familles : le read overrun.

OpenSSL 1.0.1, jusqu’à 1.0.1f inclus, et OpenSSL 1.0.2-beta1 sont affectés. Ce sont les versions utilisées dans la plupart des distributions.

Cette dernière permet la lecture de 64 Kio dans la mémoire des clients et serveurs affectés (mais l’attaque peut être rejouée à chaque heartbeat), autorisant la lecture de données comme les clés privées et, bien sûr, les données échangées une fois ces dernières retrouvées (et ce, même en mode hors ligne s’il n’y avait pas de forward secrecy utilisé).

Il est difficile, voire impossible, de faire une détection post‐mortem d’infiltration, l’attaque ne laissant pas d’entrée suspecte dans le journal système.

Passer à OpenSSL 1.0.1g, redémarrer tous les services utilisant libssl et remplacer l’intégralité de ses certificats (la clef privée étant vulnérable) est donc nécessaire.

Forum Linux.debian/ubuntu Vulnérabilité = high sur maj debian 7.1 : WTF ?!

Posté par . Licence CC by-sa
0
4
juil.
2013

Salut linuxFR.

Voilà je viens tous juste de migrer de squeeze vers wheezy sur mon serveur web, et voici ce que contenait le rapport des changements en début d'installation.

Il débute sympathiquement par deux grosses urgency=high et medium sur lighttpd (que j'utilise pour m'héberger … sympa).

A ce propos j'ai été obligé d'utiliser les miroirs Allemands pour l'update car sur les miroirs français je téléchargeais à quelque chose comme 5 253 B/s … et plus de 9**M/s** sur les Allemands (...)

Journal Vulnérabilité dans sudo

Posté par (page perso) . Licence CC by-sa
21
31
jan.
2012

Une vulnérabilité vient d'être trouvé dans l'utilitaire sudo. Elle est présente dans la fonction sudo_debug où un appelle à getprogname() est effectué. Or le nom de l’exécutable étant contrôlé par l'utilisateur, on peut induire un comportement non voulu.

Les versions concernées sont les versions 1.8.0 à 1.8.3p1. La version 1.8.3p2 corrige la faille.

Plus de détails ici : http://seclists.org/fulldisclosure/2012/Jan/att-590/advisory_sudo.txt

Sécurité Clé web USB et sécurité

78
31
août
2011
Sécurité

C'est l'histoire d'une personne qui reçoit un gros document papier, contenant une clé USB en forme de clé de porte (voir la photo en seconde partie de la dépêche). On se dit que la clé USB doit contenir la version numérique du document papier, et on branche négligemment l'objet sur son ordinateur.

Une fois branchée sous Windows, la clé ouvre la fenêtre Exécuter avec le raccourci clavier [Touche windows+R], tape une adresse HTTP de site web et confirme la demande. On se retrouve avec un navigateur (disons Internet Explorer par défaut sous Windows) qui ouvre un site distant inconnu. En l'occurrence la clé pointe vers le site du vendeur de ce gadget (l'adresse était en erreur la première fois que je l'ai branchée...), qui lui-même pointe vers le site désiré par l'acheteur de cet objet promotionnel.

Journal Encore un trou de sécurité, encore Brad qui s'amuse...

Posté par (page perso) .
24
14
août
2009
Après la dernière vulnérabilité du noyau Linux ( voir la news de Victor ici ) on aurait pu espérer un peu de répit...mais c'est raté !
Deux membres du Google Security Team (Tavis Ormandy et Julien Tinnes) ont découvert une faille dans le noyau qui permet un exploit local (un simple utilisateur peut passer root).
Leur annonce avec les explications se trouve sur cette page et la correction du bug, par Linus en personne, a été postée ici.

Comme (...)

Sécurité Exploit local dans le noyau Linux 2.6.30

Posté par (page perso) . Modéré par Sylvain Rampacek.
26
18
juil.
2009
Sécurité
Brad Spengler, mainteneur du projet Grsecurity, a publié un exploit local pour le noyau Linux. Seule la version 2.6.30 du noyau est impactée. L'exploit a été publié rapidement car aucune distribution n'utilise cette version pour le moment. Il est capable de contourner les protections AppArmor, SELinux, LSM, et désactive l'audit. La faille concerne les interfaces réseaux virtuelles tun et a été introduite en février dernier. D'abord considérée comme un simple bug, elle a été découverte le 4 juillet, corrigée le lendemain, puis Brad a publié son exploit le 15 juillet.

Brad profite de l'exploit pour dire tout le mal qu'il pense de la gestion de la sécurité dans le noyau Linux (lire notamment tous les commentaires présents dans le fichier exploit.c du tgz). Il reproche notamment la correction silencieuse de failles qui pose problème aux distributions Linux : les mainteneurs ne savent pas quels patchs doivent être backportés dans les branches stables. Il reproche également l'absence d'analyse de l'impact d'un bug en terme de sécurité : certaines failles sont considérées comme non exploitables, alors qu'elles le sont.

La seconde partie de cette dépêche détaille la faille.

Forum général.général Buffer Overflow exploit

Posté par (page perso) .
0
13
oct.
2008
Bonjour cher pingouins,

Je travaille sur un compte rendu de sécurité informatique à propos de linux. Je prends trois exemple de vulnérabilités et je les étudies. Les trois exemples sont d'ordre différents. Je cherche une vulnérabilité assez récente de buffer overflow sur le kernel pour laquelle il a été réalisé un concept of proof ou un exploit et un correctif si possible.

Pouvez-vous m'aider?

J'en ai trouvés... mais bon.. soit pas d'exploit, soit trop vieux.

Merci d'avance.