Il existe un buffer overflow (débordement de tampon) dans mplayer qui, sous certaines conditions, est exploitable à distance. Il est conseillé de patcher.
La version 0.92 et les versions précédant la 0.90pre1 ne sont pas vulnérables. Le patch est disponible sur le site de mplayer.
Des problèmes de sécurité viennent d'être révélé par le projet OpenSSL, la bibliothèque de cryptographie. La faille découverte permet un déni de services et une corruption de pile favorisant alors l'exécution de code hostile.
Toutes les versions inférieures à 0.9.6j et 0.9.7b sont affectées.
Il est recommandé de passer à la version 0.9.7c ou 0.9.6k et de recompiler les programmes liés statiquement à OpenSSL.
Martin Roesch, l'auteur de Snort, s'est fendu d'un démenti officiel afin de calmer les esprits depuis qu'un groupe de pirates affirme avoir pénétré le réseau de Sourcefire et placé une porte dérobée dans Snort.
ISS a découvert un bug dans le traitement des téléchargements en mode ASCII, dans Proftpd.
L'attaquant peut obtenir un shell root en uploadant puis en téléchargeant en mode ASCII un fichier soigneusement choisi.
Tous les utilisateurs sont évidemment invités à patcher au plus vite.
Olivier HOUTE nous informe :
Faille dans sendmail (exploitable en local).
Une nouvelle faille de sécurité vient d'être trouvée
dans Sendmail (y compris le 8.12.9). Le site Sendmail n'est pas encore à jour, mais le patch est déjà disponible.
Samuel DUBUS nous apprend l'existence d'...
Une vulnérabilité dans la nouvelle version de OpenSSH !
Alors que la nouvelle version de OpenSSH vient à peine de sortir il y a deux jours, une vulnérabilité permettrant un déni de service sur le démon OpenSSH vient d'etre découverte. Cette vulnérabilité est exploitable sur toutes les versions d'OpenSSH jusqu'à la version 3.7. Une nouvelle version est déjà disponible sur le site de OpenSSH : la 3.7.1.
Alors, pour ceux qui ne sont pas à jour ... direction le site de téléchargement d'OpenSSH.
OpenSSH est un célèbre serveur prenant en charge les protocoles SSH version 1.3, 1.5 et 2.0.
Il vient juste de sortir une nouvelle version, la 3.7. La mise à jour est recommandée puisqu'un bug potentiellement exploitable au niveau de la sécurité a été corrigé.
NdM : La page en français n'est pas encore à jour.
La première version publique de NuFW vient de sortir. NuFW est un ensemble de démons permettant de réaliser un filtrage des paquets au niveau utilisateur.
Cette version propose :
- un démon relai à implanter sur le firewall
- un client pour linux et TCP
- un démon réalisant la synthèse des deux précédents et utilisant une base LDAP pour le stockage.
Un article sur Securityfocus nous explique comment des tests sont réalisés grâce à IPtables, pour ralentir la propagation des vers.
Attention il s'agit d'une méthode expérimentale, à ne pas utiliser sur des systèmes en production.
Le principe est d'accepter les connexions TCP, sur les ports non utilisés (les cibles potentielles d'un vers), de les garder actives un certain temps, mais sans répondre. L'effet produit est que le ver doit attendre la fin de son délai d'attente de réponse (« connection timeout »), pour déconnecter.
Bien sûr entre temps, la machine ne répond pas à d'éventuelles demandes de déconnexion du ver.
L'article indique que le patch du noyau devrait être disponible par défaut dans la distribution Gentoo.
NdM: Le serveur de netfilter ne répond pas, auraient-ils par erreur fait un iptables -A INPUT -p tcp -m tcp --dport 80 -j TARPIT ? :-)
Un article intéressant sur l'intérêt des pots de miel et leur mise en place a été publié sur SecurityFocus.
Les pots de miel, à condition d'être bien configurés, sont d'un très grand intérêt éducatif puisque leur but est de permettre d'apprendre les attaques et les méthodologies d'attaque employées par les pirates. C'est un complément très intéressant aux lectures de publications comme "Halte aux hackers" ou "Intrusion Signatures and Analysis" (chez New Riders) et à la mise en oeuvre des exploits publiés sur Bugtraq & cie qui permet de voir en direct la manière de procéder des pirates. Mais la mise en place d'un pot de miel est un art à part entière car si vous ouvrez trop de ports par exemple sur le pot de miel, seuls les script kiddies s'acharneront dessus et l'intérêt est tout de suite moindre.
L'auteur utilise RedHat 7.1 comme pot de miel et Snort comme IDS et s'appuie sur iptables en firewall amont. Seul bémol, il utilise VMWare pour mettre des pots de miel de différents OS sur la même machine et quand on sait que la licence coûte 300USD env. pour la 3.0...
L'informatique va-t-elle contribuer à relancer l'industrie spatiale ? C'est en tout cas ce que projette TransOrbital de La Jolla. Le but étant de proposer de mettre des données à l'abri d'un événement de type 11 septembre ou d'un conflit.
Transorbital a obtenu toutes les autorisations des départements d'état des États-Unis, de l'armée et de la NASA. Les tirs commenceront à partir du premier trimestre 2004.
Je n'ai pas réussi à savoir quel sera le serveur de sauvegarde qui sera utilisé...
Pour ceux qui n'avaient pas été présents à SSTIC (une conférence sur la sécurité organisée par MISC), les présentations et les papiers associés sont enfin disponibles sur le site.
Seul point noir, la présentation du général Jean-Louis Desvignes n'est pas encore disponible. On pourra noter déjà l'enthousiasme des organisateurs pour une nouvelle version de cette conférence pour 2004.
La Guilde (Groupement des Utilisateurs Linux du Dauphiné) organise une conférence Linux sur le Firewall et la sécurité d'un réseau personnel.
Cela se passe à l'ENSIMAG, sur le campus de campus de Saint Martin d'Hères (à coté de Grenoble, 38), le mercredi 2 juillet à 20h00.
L'entrée est libre, venez nombreux !
Il semble que le dernier post « mes meilleures adresses » ait été apprécié, c'est pourquoi je propose de remettre le couvert. Restons encore une fois dans la sécurité (ça sera la dernière), et intéressons nous à la pratique.
Connaissez-vous des documents plus ou moins précis sur l'art de structurer son réseau, de configurer les machines et de gérer les utilisateurs (ben oui, il faut bien s'occuper de leur dispenser quelques notions) ? Existe t'il des documentations sur l'art de programmer sans trou, notamment avec les langages de scripts Web ? [...]
Je profite de la sortie de la version 1.0.10 pour attirer l'attention sur "Firewall Builder".
Ce petit logicel en licence MIT, vous permet de configurer graphiquement vos règles de filtrage, NAT (destination et source) et autres. La philosophie de l'interface ressemble beaucoup à celle de Checkpoint Firewall-1
Il est multi-plateformes : iptables, ipfilter (FreeBSD, Solaris), pf (OpenBSD), ipfw (MacOS X) et désormait les PIX de CISCO.
Devant la popularité sans cesse croissante des "pots de miel" ou honeypots, Lance Spitzner de tracking-hackers.com se pose la question de leur légalité vis à vis de la législation aux Etats Unis.
Le problèmes des honeypots c'est qu'ils touchent à 3 points gérés par le législateur:
- l'incitation au crime
- la vie privée
- la responsabilité
Chacun de ces points est présenté et analysé.
Comme le précise l'auteur, ces réflexions lui appartiennent et ne tiennent pas lieu de vérité absolue.
NdR : N'étant pas expert en droit français je me demande si ces questions ne sont pas aussi pertinentes de ce côté-ci de l'Atlantique?
Le Gartner Group a publié un article expliquant que les IDS n'avaient, selon eux, que peu d'utilité. Les analystes ont indiqué qu'il était préférable de dépenser le budget leur étant affecté pour acheter de nouveaux pare-feux (firewall) analysant les couches supérieures des trames réseaux.
Les expériences des lecteurs de Linuxfr sur les IDS et les pare-feux applicatifs sont les bienvenues.
Les déclarations intéressantes du général Jean-Louis Desvignes (ancien chef du service central de la sécurité des systèmes d'information et actuel commandant de l'Ecole supérieure et d'application des transmissions - l'ESAT, chargée de former les informaticiens de l'armée) lors du 1er Symposium sur la sécurité des technologies de l'information et de la communication (SSTIC) à Rennes.
Il parle de la restriction de la vie privée, des techniques "anti-piratages" (TCPA, Palladium, tatouage de puces), pousse un "Vive les logiciels libres" et dit notamment que "l'administration doit donner l'exemple, et le recours aux logiciels libres "prendrait plus de sens s'il était réellement soutenu à l'échelle de l'Union Européenne"". Enfin il cause de cryptographie et du faux problème de la longueur des clés. Rien que de bonnes idées !
Un trou de sécurité a été detecté dans le programme "Seti@Home" (programme permettant d'analyser des signaux radio de manière a trouver une forme de vie intelligente).
Le problème se situerait dans la manière dont le noyau gère les tables de routage.
Il semble qu'il soit possible, en forgeant des paquets émis par des adresses bien choisies, de paralyser un système Linux (même sans outils GNU) avec seulement 400 paquets par seconde.
Une faille de sécurité locale semble également avoir été detectée. Elle permet à un utilisateur normal d'utiliser tous les ports d'entrées/sorties sans restrictions.
Note : cette faille date du 15 mai.
Une petite faille (buffer overflow) vient d'être annoncée sur securityfocus (ex bugtraq) concernant apache 1.x.
Il s'agit d'une erreur d'entier signé/non-signé pour allocation d'un tampon mémoire, qui peut-être exploitée, selon X-Force, découvreur du bug, sur les plate-formes WIN32 mais pas (pour l'instant ?) sur *n*x (NdM: il semblerait qu'on ait une erreur de segmentation du processus apache concerné si on a un Unix 32 bits et peut être plus embétant en 64 bits).
Note du modérateur: J'ai supprimmé le patch qui était inclus dans la news, vous pouvez le trouver sur le premier lien mais l'annonce d'apache indique qu'il ne corrige pas vraiment le problème.
Fyodor (l'auteur du célèbre nmap) a lancé un sondage auprès des utilisateurs de son outil, afin de référencer les outils de sécurité préférés. Les résultats sont disponibles sur le site de nmap.
On notera que la majorité des outils cités sont libres et que Nessus occupe la première place ! (Ndm : Le très chouette Nessus est un projet géré principalement par un français, Renaud Deraison)
Je profite de l'ouverture des insrcriptions pour vous donner le lien de la conférence SSTIC, qui se tiendra sur le campus de Supélec a Rennes du 10 au 12 juin. Elle réunira parmi les plus grand experts français en matière de sécurité informatique.
Les thèmes traités :
- Guerre de l'information (Y. Correc, DGA/Celar)
- La sécurité dans les réseaux sans fil ad hoc (Gayraud et al.)
- Les enjeux de sécurité dans l'usage des Technologies de l'Information et des Communications (P. Wolf, DCSSI)
- Des clés et des trappes en cryptographie (E. Wegrzynowski)
- BGP et DNS: attaques sur les protocoles critiques de l'Internet (N. Dubée)
- ...
La conférence est réalisée en partenariat avec le CEA, l'ESAT (l'ecole supérieure et d'application des transmission, Armée de terre), Supélec, Cartel sécurité, SEE et le magazine MISC.
Le SSTIC poursuit donc un double objectif : didactique et prospectif. Les thèmes traités comprendront à la fois les vecteurs de l'informations (systèmes, réseaux, ...) mais aussi l'information elle-même (guerre de l'information, cryptographie, ...).
Le prix de la conf. est de 120 euros pour 3 jours, déjeuners compris.
A bientôt... ;-)
Après plusieurs mois de gestation, la dernière version de cette distribution firewall/proxy... vient de sortir.
Il s'agit d'une version majeure puisqu'elle est désormais basée sur un noyau 2.4 et utilise iptables, mrtg, FreeSwan, snort 2.0 etc...
Ndm : merci à martial et kbis pour avoir également proposé la news.
La version 2.0 de l'excellent IDS (Système de Détection d'Intrusions) Snort vient de voir le jour.
Parmis les nouveautés on remarquera en particulier :
- amélioration des performances ;
- audit du code par une société externe au projet ;
- amélioration du chroot().
La stéganographie est lart de cacher des données dans dautres données. Cacher un texte dans une image, une image dans un fichier musical, une image dans une autre image, bref les possibilités sont nombreuses et léquipe de développement de SynAckLabs ouvre de nouveaux horizons aux applications stéganographiques. En effet, celle-ci développe StegTunnel, un outil permettant de transmettre des données cachées dans les champs IPID et Numéros de séquence utilisés lors de connexions TCP.
