La version de Linux Virtual Server disponible dans la distribution Red
Hat 6.2 contient une backdoor qui permet à un utilisateur distant
d'executer des commandes sur la machine.
La source est de wideopen.
NdM. : cette dépêche a été initialement publiée le 26/05/2000 à 10h34, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).
Pour les sysadmins qui n'ont pas le temps de lire tous les jours des
avertissements du CERT ou bugtraq (je sais, ce n'est pas serieux…). `Sans
Institut', qui a constaté que les crackers utilisaient souvent les memes
vulnerabilités, a écrit le "top 10" de celles-ci.
Un minimum à savoir donc…
NdM. : cette dépêche a été initialement publiée le 02/06/2000 à 23h09, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).
Tout est dans le sujet !
Note: Ca parle de logiciels de tests d'intrusion.
NdM. : cette dépêche a été initialement publiée le 06/06/2000 à 18h28, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).
La version 1.3 de 'Security & Optimizing' est sortie. Allez vite faire
un tour sur le lien.
Note du modérateur: 'Security and Optimizing' est un livre sur Linux aux
éditions Red Hat. Apparemment il est très complet et couvre comme son nom
l'indique la sécurité sous Linux ainsi que les optimisations possibles.
NdM. : cette dépêche a été initialement publiée le 13/06/2000 à 19h19, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).
Le Laboratoire de sécurité et de cryptographie de l'EPFL (Ecole
Polytechnique fédérale de Lausanne) a découvert une faille de sécurité dans
le protocole SSL (utilisé pour sécuriser les transactions électroniques sur
Internet).
Selon l'EPFL, cette faille existerait aussi dans le protocole de cryptage
des mails (S/MIME).
NdM. : cette dépêche a été initialement publiée le 05/07/2000 à 15h58, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).
Un bug permetant à n'importe quel utilisateur de faire planter votre
BitchX depuis IRC en utilisant la commande INVITE a été découvert, un patch
est disponible depuis quelques jours. Après m'être fait planter le mien
quelques fois je dois dire que je l'ai apprecié :)
NdM. : cette dépêche a été initialement publiée le 07/07/2000 à 10h23, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).
Un ENORME trou de sécu a été découvert dans Outlook, permettant à un
méchant virus de s'éxecuter dès que outlook place le mail dans Inbox.
L'utilisateur n'a même plus besoin de lire le mail pour être affecté, ça
laisse présager le pire…
Microsoft devrait mettre à disposition un patch aujourd'hui.
NdM. : cette dépêche a été initialement publiée le 19/07/2000 à 18h36, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).
Dans Libération ce matin nous avons droit à 2 articles concernant les
libertés et le Net : le premier sur le système Carnivore et le second sur
"Big browser". Bref, bonne lecture.
NdM. : cette dépêche a été initialement publiée le 22/07/2000 à 04h47, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).
Un journaliste de RootPrompt (Noel) s'intéresse à la logique de
sécurité OpenBSD et la compare aux distributions Linux.
NdM. : cette dépêche a été initialement publiée le 31/08/2000 à 12h20, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).
Une interview sympa de V Venema ( auteur de Postfix, tcpwrapper, SATAN
….)
Ca cause de sécurité, IPV6 et de l'avenir de Postfix.
C'est du mois d'avril mais c'est sympa.
NdM. : cette dépêche a été initialement publiée le 31/08/2000 à 11h27, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).
Solar Designer vient d'annoncer la disponibilité (encore en test) de
tous les patchs sécurité pour les noyaux 2.2.x
Cela inclus les nouvelles fonctions suivantes:
- Stack sécurisé empêchant la plupart des buffer overflow
- Restriction des liens dans /tmp
- Restriction d'acces à /proc
- Modification de la gestion des descripteurs 0,1 et 2
- Sécurisation de la mémoire partagée (SHM)
- …
NdM. : cette dépêche a été initialement publiée le 31/08/1999 à 23h08, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).
La version 128 bits de SSF est en téléchargement depuis le 16 septembre
1999.
SSF est entièrement compatible avec le SSH standard (version 1.5 du
protocole) avec lequel il intéragit en toute transparence.
Je rappelle que SSF est une adaptation de la suite publique "SSH Unix",
destinée à l'usage sur le territoire français en conformité avec la
législation française concernant la cryptologie.
NdM. : cette dépêche a été initialement publiée le 20/09/1999 à 00h44, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).
Ah, le charme des PC multimedias avec micro et webcam qui tournent sous
Windows NTM ! Il semblerait que les militaires US les apprécient beaucoup
eux aussi, la preuve ils ont démontré que dans certaines conditions à
l'aide d'un cheval de Troie on peut les utiliser pour monitorer leur
environement immédiat.
Ce sont les plombiers du Canard ( mini watergate à la francaise datant d'il
y a quelques années deja :-) qui doivent se dire que décidement
l'informatique sous Windows NTM c'est le meilleur des mondes.
NdM. : cette dépêche a été initialement publiée le 23/09/1999 à 09h20, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).
Le concours organisé par PcWeek consistait à mettre un Linux (RH
standard) et un NT sur le réseau et attendre que quelqu'un hack l'une des
deux machines.
C'est le Linux qui s'est fait hacker. Le trou de sécurité vient d'un CGI
propriétaire installé par PCWeek ! Sympa. Sachant que PcWeek est très
orienté Microsoft, on peut se poser quelques questions.
Message du hacker:
I suppose it's not Linux who should get blamed but the company that sells
CGI scripts with improper security checks. This applies to Unix, NT or
whatever other operating system you are running.
The problem here, IMHO, is that the CGIs used were not open source. I'm
sure that if they had been open source somebody out there will have done a
security audit on them and patched the holes.
Not that I don't agree with you as how this will be published, but just my
2 pennies.
NdM. : cette dépêche a été initialement publiée le 24/09/1999 à 17h49, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).
Trois trous de sécurité ont été decouverts dans les serveurs ftp
wu-ftpd (versions inferieurs à la 2.6.0) et beroftpd (toutes versions), qui
peuvent permettre aux utilisateurs d'exécuter du code avec les droits root.
Tous les OS utilisant ces serveurs sont donc vulnérables (en particulier la
slackware 4.0 et current, certaines versions de freebsd, sco unixware 2.x,
7.x et openserver 5.x), la mise à jour vers wu-ftpd 2.6.0 (même pour les
utilisateurs de beroftpd qui lui ne sera plus mis a jour) est fortement
conseillée.
NdM. : cette dépêche a été initialement publiée le 23/10/1999 à 17h44, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).
Une implémentation libre de SSH est enfin disponible. Cette version de
SSH sera disponible en standart avec OpenBSD 2.6.
Cette version est compatible avec les protocoles SSH 1.3 et 1.5.
OpenSSH est basé sur une version libre de SSH de Tatu Ylonen, avec des
modifications majeures (tout le code propriétaire a été retiré!)
Bref, vous n'avez plus de raisons de ne pas l'utiliser !
NdM. : cette dépêche a été initialement publiée le 26/10/1999 à 10h53, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).
Notre confrère LMI a mis sur son site un rapport de Franck Leprevost
rapporteur à la commission européenne concernant ce que l'on peut englober
sous le terme générique d'Intelligence électronique.
Bien entendu il y figure une forme de disclaimer.h comme quoi ce rapport ne
représente pas nécessairement les vues du parlement européen.
Au menu, Echelon, un certain numéro d'identification, la crypto …
Ce document est en format RTF mais il se lit très bien avec vi (il faut
simplement ne pas se laisser distraire par les instructions de formatage.
Bonne lecture et bonnes réflexions à tous.
NdM. : cette dépêche a été initialement publiée le 26/11/1999 à 21h33, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).
Dernièrement on a beaucoup parlé des attaques distribuées, en effet
l'informatique répartie intéresse tout le monde ces derniers temps.
Nos confrères de Packet Storm ont ouvert une section sur ce sujet.
Note du modérateur: J'ai longtemps hésité avant de faire passer cette news,
on ne donne pas cette url pour que des petits crackers en herbe s'amusent à
faire n'importe quoi mais pour permettre de se prémunir contre ces
attaques.
NdM. : cette dépêche a été initialement publiée le 11/12/1999 à 12h04, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).
Des ingénieurs de la firme Reliable Software Technologies (RST) ont
découvert qu'un défaut de Netscape permet d'accéder au mot de passe des
serveurs de messagerie.
Cela serait possible depuis une simple page Web à l'aide d'un script qui
lit le contenu du fichier de préférences de l'utilisateur !
Pire, Netscape a expliqué que le mode de protection du mot de passe avait
été conçu pour permettre aux experts de retrouver un mot de passe oublié
par l'internaute, si c'est pas du Kro$oft like ça ?
La seule protection est de désactiver l'enregistrement du mot de passe par
défaut.
(merci Martin Vernet et Philippe Rafortho pour l'info.)
NdM. : cette dépêche a été initialement publiée le 17/12/1999 à 11h21, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).
Vu dans internet-actu de ce jour:
Le 13 décembre, Progressive Systems met à disposition en téléchargement
gratuit une version "lite" de son pare-feu "Phoenix Adaptive Firewall",
dédiée à l'usage personnel et limitée à deux utilisateurs. Ce "firewall"
est le premier, selon Progressive Systems, a avoir reçu la certification de
l'International Computer Security Association (ISCA), organisme qui
s'occupe de logiciels de sécurisation des données.
Rappelons qu'un "firewall" est un système de protection des réseaux locaux
reliés à Internet, qui s'occupe devérifier les entrées-sorties de données
pour prévenir les attaques extérieures.
NdM. : cette dépêche a été initialement publiée le 23/12/1999 à 21h27, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).
Est-ce que l'Open Source résoud plus rapidement les problèmes de
sécurité que les logiciels commerciaux ?
Une petite étude de SecurityPortail est assez bien montée sur ce sujet.
Au menu, comparaison sur l'année précédente, des RedHat (OpenSource), Sun
(plutôt vague…) et Microsoft (Fermé).
Dans l'ensemble, c'est pas mal révélateur, surtout quand on décortique les
bugs en question ;)
Le titre original de l'étude reporte le polémique "Linux vs Microsoft …"
, mais nous savons tous que les enjeux sont bien plus clairs : l'OpenSource
contre le Fermé (et la polémique Raz le bol).
Merci à Security Portail.
NdM. : cette dépêche a été initialement publiée le 17/01/2000 à 00h24, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).
Info ou Intox…
Un expert russe met en garde les utilisateurs de Linux qu'un afflux
important de virus venant de chine viserait notre système favori…
L'expert de Kaspersky a déclaré qu' : "il est plus facile de développer un
virus pour Linux parce qu'il est en Open Source… " . Bien que certains
proto virus existe déjà, Kaspersky détiendrait le premier virus fonctionnel
est destructreur qu'il garde sous clef…
Jason Clifford déclare qu'il n'y a aucune crainte à avoir… "quel imbécile
pourrait compiler sur sa machine un virus juste pour voir les effets qu'il
peut avoir […] de plus sur un système avec 1000 utilisateurs, si un
utilisateur devaient compiler un virus il n'endommagerait ses propres
fichiers…".
Source: ZDNet UK
NdM. : cette dépêche a été initialement publiée le 25/01/2000 à 16h19, perdue lors d'une migration du site, retrouvée et remise en ligne le 1er mai 2012 (les éventuels commentaires initiaux ont été perdus).