Faille Lazy FPU state restore
Intel est de nouveau confronté à la découverte d’une faille, le Lazy FPU State Restore flaw.
Cette fois, seule la famille des Intel Core serait concernée.
Journal La bonne faille et la mauvaise faille
La bonne faille, le pirate il arrive, il l'exploite. La mauvaise faille, le pirate il arrive, il l'exploite aussi, mais c'est pas pareil! Après les failles terribles que sont Spectre et Meltdown, on voit poindre de nouveaux articles annonçant une nouvelle faille dans les processeurs intel.
Lors du démarrage des machines bénéficiant de Intel vPro, une combinaison de touche permet d'accéder au MEBx (Management Engine BIOS Extension). Le mot de passe par défaut, "admin", permet ensuite de contrôler la (…)
Journal Journal bookmark : une explication claire de Meltdown
Bonjour nal et les autres,
On a déjà longuement parlé ici des failles Meltdown et Spectre découvertes récemment, notamment dans le journal de Pinaraf et dans l'article de Bruno Michel.
Je voulais juste vous partager une explication certes simplifiée mais très pédagogique que j'ai trouvée sur le site de Raspberry Pi.
Bonne année!
Deux failles critiques : Meltdown et Spectre
Ces derniers jours, les rumeurs allaient bon train sur les réseaux sociaux suite à l’intégration en urgence d’un gros correctif dans la RC-6 du noyau Linux. Cela allait à l’encontre de toutes les habitudes de Linus Torvalds, ce qui laissait penser que les conditions étaient vraiment particulières. Et le moins que l’on puisse dire est que nous ne sommes pas déçus. Ce n’est pas une faille critique, mais deux, qui viennent d’être dévoilées : Meltdown et Spectre, de leur petit nom.
Nous vous invitons à lire le journal de Pinaraf< à ce sujet, bien qu’incomplet le jour où il l’a écrit. Depuis la date de sa publication, la faille Spectre a ensuite été révélée et, si cette dernière s’avère d’une ampleur moindre que Meltdown chez Intel, elle toucherait tous les fondeurs et la plupart de leurs produits).
CVE-2014-3566 — Vulnérabilité POODLE
Qu’est‐ce POODLE ?
POODLE signifie Padding Oracle On Downgraded Legacy. Il s’agit d’une vulnérabilité permettant via une attaque de l’« homme du milieu » (MIM, Man In the Middle), en se plaçant entre le navigateur Web et le serveur Web, de déchiffrer les informations chiffrées.
POODLE affecte les anciennes normes de chiffrement, notamment Secure Socket Layer (SSL) version 3.0. Il n’affecte pas le mécanisme de chiffrement plus récent, et standardisé, appelé Transport Layer Security (TLS).
Recommandations
Pour atténuer cette vulnérabilité, désactivez SSL 3.0 en forçant l’utilisation de TLS, tout en vérifiant la compatibilité des navigateurs clients devant y avoir accès.
Plusieurs bulletins de sécurité ont annoncé la vulnérabilité :
- alerte CERT : http://cert.ssi.gouv.fr/site/CERTFR-2014-ALE-007/ ;
- alerte NVD : https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3566.
Une faille nommée « shellshock »
« ShellShock », une faille dans l'usage du shell Bash, est sous les projecteurs depuis quelques jours. Le terme est un jeu de mot entre la stupeur propre à l'obusite des combattants de la première guerre mondiale et l'interface système shell. Nous vous proposons des explications sur cet évènement particulier, son périmètre, les conditions de son exploitation, les surfaces d'attaques, et les solutions proposées, déjà mises en œuvre ou à venir. Enfin, une revue de presse sera dressée, cette faille s'étant transformée en évènement.
Journal L'USB c'est moisi, ça propage des virus
Un bon petit article alarmiste pour commencer ce trolldi.
L'article source, que je préfère résumer car le ton m'a l'air trop alarmiste : La norme USB possède une énorme faille de sécurité qui ne pourra pas être comblée
Qui a lui-même une source sur Wired.
La Black Hat Security Conference à Las Vegas, c'est dans une semaine ! On va donc faire monter la hype avec une annonce fracassante d'une des conférences : à cause d'une faille de conception, il (…)
Journal 2 vulnérabilités découvertes dans LZ0 et LZ4
Les vulnérabilités découvertes pour LZ0 et pour LZ4 viennent d'un code datant de 1999.
En résumé, elles provoquent un dépassement du tas d'entier non-signé, ce qui conduit à une corruption locale de la mémoire.
Ce bogue n'est pas super pratique à utiliser, car il faut lancer la fonction incriminée avec assez de données pour dépasser la limite d'un entier non signé, ce qui dépend donc de l'architecture.
En pratique, cela signifie qu'une architecture 64 bits est plutôt à l'abri.
Le (…)
Nouvelle faille importante dans GnuTLS
GnuTLS est une bibliothèque libre qui, au même titre que OpenSSL, permet d’établir une connexion chiffrée sur Internet via le protocole SSL/TLS.
Une faille de sécurité qui permet de faire planter GnuTLS et, dans certaines conditions, lui faire exécuter du code arbitraire a été découverte.
Concrètement, lors d’une poignée de main, l’envoi d’un identifiant de session extrêmement long par le serveur provoque un dépassement de tampon. Pour résumer, on veut enregistrer en mémoire l’identifiant de session qui est plus grand que l’espace prévu à cet effet, l’excédent est écrit à côté et, en particulier, sur le programme en mémoire. En choisissant bien l’identifiant de session, on peut donc altérer le fonctionnement du logiciel en cours d’exécution à son avantage.
Nouvelle vulnérabilité dans l’implémentation OpenSSL
Une vulnérabilité dans l’implémentation de l’extension heartbeat (RFC 6520) d’OpenSSL a été découverte conjointement par une équipe de chercheurs en sécurité (Riku, Antti and Matti) à Codenomicon et Neel Mehta de Google Securité. On retrouve ici un vieux bogue des familles : le read overrun.
OpenSSL 1.0.1, jusqu’à 1.0.1f inclus, et OpenSSL 1.0.2-beta1 sont affectés. Ce sont les versions utilisées dans la plupart des distributions.
Cette dernière permet la lecture de 64 Kio dans la mémoire des clients et serveurs affectés (mais l’attaque peut être rejouée à chaque heartbeat), autorisant la lecture de données comme les clés privées et, bien sûr, les données échangées une fois ces dernières retrouvées (et ce, même en mode hors ligne s’il n’y avait pas de forward secrecy utilisé).
Il est difficile, voire impossible, de faire une détection post‐mortem d’infiltration, l’attaque ne laissant pas d’entrée suspecte dans le journal système.
Passer à OpenSSL 1.0.1g, redémarrer tous les services utilisant libssl et remplacer l’intégralité de ses certificats (la clef privée étant vulnérable) est donc nécessaire.
Forum Linux.debian/ubuntu Vulnérabilité = high sur maj debian 7.1 : WTF ?!
Salut linuxFR.
Voilà je viens tous juste de migrer de squeeze vers wheezy sur mon serveur web, et voici ce que contenait le rapport des changements en début d'installation.
Il débute sympathiquement par deux grosses urgency=high et medium sur lighttpd (que j'utilise pour m'héberger … sympa).
A ce propos j'ai été obligé d'utiliser les miroirs Allemands pour l'update car sur les miroirs français je téléchargeais à quelque chose comme 5 253 B/s … et plus de 9**M/s** sur les Allemands (…)
Journal Le vers est dans le fruit
Journal Vulnérabilité dans sudo
Une vulnérabilité vient d'être trouvé dans l'utilitaire sudo. Elle est présente dans la fonction sudo_debug
où un appelle à getprogname()
est effectué. Or le nom de l’exécutable étant contrôlé par l'utilisateur, on peut induire un comportement non voulu.
Les versions concernées sont les versions 1.8.0 à 1.8.3p1. La version 1.8.3p2 corrige la faille.
Plus de détails ici : http://seclists.org/fulldisclosure/2012/Jan/att-590/advisory_sudo.txt
Clé web USB et sécurité
C'est l'histoire d'une personne qui reçoit un gros document papier, contenant une clé USB en forme de clé de porte (voir la photo en seconde partie de la dépêche). On se dit que la clé USB doit contenir la version numérique du document papier, et on branche négligemment l'objet sur son ordinateur.
Une fois branchée sous Windows, la clé ouvre la fenêtre Exécuter avec le raccourci clavier [Touche windows+R], tape une adresse HTTP de site web et confirme la demande. On se retrouve avec un navigateur (disons Internet Explorer par défaut sous Windows) qui ouvre un site distant inconnu. En l'occurrence la clé pointe vers le site du vendeur de ce gadget (l'adresse était en erreur la première fois que je l'ai branchée…), qui lui-même pointe vers le site désiré par l'acheteur de cet objet promotionnel.