vsFTPd (Very Secure FTP Daemon) est un logiciel serveur FTP où l'accent a été mis sur la sécurité et sur la rapidité. Sa configuration est simplissime (au détriment de la flexibilité, mais ce n'est pas du tout gênant dans une utilisation standard). Parmi les sites « de référence » cités par son auteur, on trouve ftp.redhat.com, ftp.gnu.org et ftp.debian.org (joli palmarès).
HSC vient de publier un didacticiel qui vous guide pas à pas dans l'installation et la mise en place de ce logiciel, une bonne occasion de laisser enfin tomber votre wu-ftpd buggé jusqu'à la moëlle. Mon opinion personnelle est que ce logiciel tire honorablement son épingle du jeu, et son code source (en C) reste très lisible, comme quoi il n'est pas nécessaire de faire compliqué pour faire efficace... Ah oui, accessoirement, c'est sans doute le seul serveur FTP à vous répondre avec humour lorsque vous lui envoyez des commandes (essayez de passer en mode ASCII pour voir :-)
Bref, à essayer. Bonne découverte !
Philippe Zimmermann nous apprend sur NewsForge qu'il préfèrerait voir PGP (pretty good privacy) passer sous une licence Open Source plutot que de voir son "bébé" dépérir ainsi...
En effet, Zimmermann avait vendu les droits sur PGP en 1997 mais depuis plusieurs mois déjà, Network Associates, à qui ils appartiennent maintenant, ne maintient plus la suite de programmes de crypto et ne le propose même plus à la vente (à part la version E-Business Serveur qui ne comprend qu'une infine partie de PGP).
Zimmermann dit même qu'il racheterait PGP à Network Associates si il en avait les moyens !
C'est peu être dommage pour PGP mais on peu se rattrapper sur GPG (Gnu Privacy Guard) qui lui est bel est bien libre (et maintenu correctement ! ;-)
Et après ca on osera dire que les logiciels libres n'ont pas un modèle de développement pérenne !
La grande nouvelle est la mise à disposition de l'exploit de Gobbles, qui après s'etre illustré avec son exploit pour Apache remet ca avec OpenSSH.
L'avantage reste que maintenant on peut tester tous nos petits Linux et vérifier s'ils sont ou non vulnérables. J'ai donc pu confirmer que les packages ssh de Debian avant mise à jour n'etaient pas vulnérable ;-)
(par contre l'exploit marche tout à fait sur un OpenBSD 3.1 fraichement installé mais pas sur un 3.1-current).
Sinon l'équipe de OpenSSH a releasé juste avant l'exploit une mise à jour de l'advisory et explique notamment dedans pourquoi ils ont annoncé la faille de cette façon (en donnant le moins de détails possible, en faisant croire que toutes les versions de OpenSSH étaient vulnérables, etc. ...).
MISC est une revue consacrée à la sécurité
informatique, pour tous les systèmes. Dans ce numéro, vous
trouverez :
- Champ libre : cross site scripting et protocoles textuels, Chernobyl, le partage de secret, la guerre de l'information.
- Dossier : la détection d'intrusion
- principes algorithmiques
- problèmes des IDS actuels/li>
- contourner les IDS
- Prelude-IDS : un IDS hybride open-source
- Programmation : les fonctions strn*
- Système : classes d'authentification physique, sécuriser Irix
- Réseau : jouer avec le protocole ARP, protection de l'infrastructure en réseau IP (protocoles de routage et MPLS)
- Science : PGP, comment éviter les mauvaises surprises ?
Enfin, nous avons rencontré quelques problèmes de PAO dans ce numéro, veuillez nous excuser.
Encore une faille de sécurité sur Apache. Et cette fois-ci, il semble que l'alerte soit assez grave pour suivre ceci de très près.
La faille a été détectée par un pot de miel (« honeypot »), sur un Apache 1.3.24, et ce qu'on en sait pour l'instant est que le code qui est propagé est un code pour FreeBSD. Par une requête HTTP qui est affichée sur le site, le ver s'installe sur le disque, et se met à écouter le port 2001 en UDP, et envoie des messages UDP vers une IP codée en dur...
Rien ne prouve pour l'instant que les autres plateformes ne sont pas vulnérable, car il peut exister plusieurs variantes de ce ver. D'après l'analyse du code qui a été récupéré sur le honeypot, il s'avère que les versions suivantes d'Apache seraient vulnérables, du moins avec FreeBSD :
- FreeBSD 4.5 x86 / Apache/1.3.22-24 (Unix)
- FreeBSD 4.5 x86 / Apache/1.3.20 (Unix)
A suivre de très près...
Ross Anderson, chef du laboratoire d'informatique de l'université de Cambridge avance la théorie selon laquelle les logiciels propriétaires n'auraient pas plus de failles de sécurité que les logiciels « open source ».
En effet, le chercheur considère qu'un programme au code source ouvert est un programme dans lequels les bogues sont faciles à trouver ; à l'inverse, ils sont plus difficiles à détecter si le code est fermé.
En calculant, dans les deux cas, le temps moyen que mettra le programme à se planter, Anderson affirme que dans l'absolu les deux types de programmes présentent le même taux de sécurité.
Car l'atout du code ouvert - trouver plus facilement les bogues - constitue également un atout pour tous ceux qui veulent lancer des attaques.
Update: Frédéric Raynal ajoute un lien vers une traduction de la conclusion du-dit article. A lire si tout n'est pas clair pour vous...
ISS vient de publier sur Bugtraq les détails de la faille d'OpenSSH.
Il s'agit d'un problème dans le mécanisme d'authentification "challenge-response".
Apparemment si OpenSSH est compilé sans les options SKEY ni BSD_AUTH, la vulnérabilité n'est pas exploitable.
De meme, utiliser la ligne suivante dans /etc/ssh/sshd_config résoudrait d'après eux le problème :
ChallengeResponseAuthentication no
Ben maintenant il reste plus qu'à tester tout ça, régler les quelques problèmes de conf engendrés.
Ca a quand même l'air moins dangereux que ce qui était annoncé précédemment et surtout moins difficile à règler (c'est pas une raison pour pas mettre a jour !).
Remarque : ISS met a disposition un outil pour tester si OpenSSH est vulnérable.
Note du modérateur : OpenSSH 3.4 est sorti (merci à falbala pour l'info)
ISS, peu après avoir dévoilé le problème sur Apache, avait annoncé qu'ils travaillaient sur une faille d'un autre logiciel libre (en annonçant cette fois-ci que la démarche serait un peu différente !).
Encore Bind ? Sendmail ? Squid ?
Et bien non, OpenSSH... :-(
Les détails sur la faille ne sont pas encore connus mais on sait d'ors et déjà de la bouche de Théo de Raadt lui-même qu'elle sera exploitable à distance, sauf si la séparation de privilège récemment apparue est activée (« UsePrivilegeSeparation yes » dans sshd_config). Peu de distributions Linux proposent cette option pour le moment mais j'espère sincèrement qu'ils vont tous s'atteler pour que ce soit le cas avant la semaine prochaine, date fatidique à laquelle seront dévoilés les détails de l'exploit (et je pense qu'un exploit pas forcèment de Gobbles ne tardera pas à suivre...)
Plus de détails sur LinuxSecurity.com
Note d'un autre modérateur : voir sur debianplanet.org la source apt Debian pour avoir les paquets ssh et apache corrigés pour Woody, ainsi que Mozilla 1.0
Voici un très bon article de Security Focus montrant différentes façons de bloquer avec Postfix les mails indésirables envoyés par les spammers qui polluent nos boites aux lettres tous les jours !!!
Différentes approches sont abordées parmi les Black Lists (utilisation de listes de spammers connus), le refus de mails venant d'hotes inconnus ou encore de mails non conformes aux RFC...
L'article montre donc que Postfix n'est pas seulement securisé, rapide et facilement configurable (bon, on va éviter le troll avec Sendmail !) mais qu'il propose aussi quelques fonctionnalités sympa et faciles à mettre en oeuvre ;-)
Une nouvelle version du serveur Web Apache vient de sortir, corrigeant les récents problèmes de sécurité. (NdM: 1.3.26)
Dans un même temps, la société ISS subit un retour de flamme du à sa "mauvaise conduite" lorsqu'elle a commencé le thread sur les problèmes de sécurité d'Apache.
En effet, la procédure (non-formelle) de rapport de bug prévoit que le fabricant d'un logiciel (ou le "groupe" qui développe un logiciel libre) soit mis au courant avant la publication...
ISS n'avait pas jugé nécessaire de le faire mais avait en plus proposé un patch qui ne résolvait pas complètement le problème !
Une nouvelle version pour apache 2.0 devrait apparaitre dans peu de temps...
Une petite faille (buffer overflow) vient d'être annoncée sur securityfocus (ex bugtraq) concernant apache 1.x.
Il s'agit d'une erreur d'entier signé/non-signé pour allocation d'un tampon mémoire, qui peut-être exploitée, selon X-Force, découvreur du bug, sur les plate-formes WIN32 mais pas (pour l'instant ?) sur *n*x (NdM: il semblerait qu'on ait une erreur de segmentation du processus apache concerné si on a un Unix 32 bits et peut être plus embétant en 64 bits).
Note du modérateur: J'ai supprimmé le patch qui était inclus dans la news, vous pouvez le trouver sur le premier lien mais l'annonce d'apache indique qu'il ne corrige pas vraiment le problème.
Nessus est un scanner de vulnérabilités qui recherche sur une cible les failles dans le réseau tels les bogues des logiciels, les portes dérobées etc... Ce programme est developpé par Renaud Deraison.
Dans cet article de LinuxSecurity, on y décrit les bases de l'installation et de l'utilisation de Nessus. Nessus a deux composantes, un client et un serveur. Le serveur peut tourner sur des plateformes UNIX, dont Linux et OpenBSD (et bien d'autres), tandis que le client peut fonctionner sur des systèmes d'exploitation variés dont... Windows. Dans cet article, Banchong Harangsri nous décrit l'installation et l'utilisation du serveur mais aussi du client.
NdR : Les captures d'écran sont pratiques et simplifient la compréhension. Cette nouvelle est une libre adaptation du début de l'article de LinuxSecurity.
Superviser un pare-feu sous Linux peut devenir un véritable challenge à cause de la nature "textuelle" de l'OS.
Le programme firelogd peut grandement faciliter la tâche en permettant l'envoi de messages électroniques à l'administrateur résumant les entrées importantes des fichiers de log.
ZDNet Australie nous en dit un peu plus dans un article dédié à firelogd.
NdR : Après ce sera toujours à l'admin de faire le travail :)
Une vulnérabilité de type DoS (déni de service) a été découverte sur BIND 9. L'exploitation de cette vulnérabilité se fait grâce à la construction d'un paquet malformé qui aura pour effet d'arrêter le service BIND. L'impact d'une telle attaque peut être grave dans la mesure où beaucoup de services importants tels que la messagerie dépendent du DNS pour fonctionner correctement.
Il est recommandé de mettre à jour BIND à la version 9.2.1. Il est à noter que les versions 8 et 4 ne sont pas concernées par cette vulnérabilité.
Un nouveau systême d'exploitation orienté sécurité a vu le jour,
dénommé MicroBSD il serait un fork d'OpenBSD (Cf leur FAQ).
Cet OS apporte tout ce qu'OpenBSD n'implémente pas (ACL, TPE, détection d'intrusion dans l'install par défaut,etc..).
A noter:
pas encore d'accès aux sources, et beaucoup de choses ont l'air loin d'être avancées...
Il reste qu'au niveau cryptage il va falloir sérieusement se battre contre les lois (En prime: une clé de cryptage de 1024 bits serait cassable)
Sur le même principe qu'irssi, les sources de dsniff (des utilitaires pour sniffer un réseau) et fragroute (l'outil qui a fait grand bruit récemment, capable, dans certains cas, de bluffer snort) ont été modifiés.
Le serveur de monkey.org, qui héberge l'auteur de ces deux logiciels, a été visité, via, semble-t-il, un trou dans epic4-pre2.511 qui a permis un accès au compte root.
Les fichiers incriminés ont été modifié le 17/05 et restaurés le 24/05.
Voici les sommes de contrôle MD5 des sources valides :
MD5 (dsniff-2.3.tar.gz) = 183e336a45e38013f3af840bddec44b4
MD5 (fragroute-1.2.tar.gz) = 7e4de763fae35a50e871bdcd1ac8e23a
MD5 (fragrouter-1.6.tar.gz) = 73fdc73f8da0b41b995420ded00533cc
L'étendue des dégats semble « limitée » :
"of the 1951 hosts that successfully downloaded one of the backdoored
tarballs, 992 of them were Windows machines and 193 were automated
ports downloads for the *BSD dsniff or fragrouter ports, leaving 746
Linux (and a few Solaris and MacOS) hosts potentially vulnerable, and
20 FreeBSD and OpenBSD hosts."
En espérant que çà ne devienne pas une mode...
Note du modérateur : je rajoute l'enfilade de Bugtraq pour confirmation
RedHat, Mandrake, Eridani et sûrement d'autres (Debian ?) viennent de sortir des patches pour leur packages... En effet, un buffer overflow vient d'être découvert dans les serveurs IMAP utilisés dans ces distributions.
Ce problème engendre la possibilité de lancer des commandes sur le serveur IMAP en utilisant le nom de l'utilisateur connecté sur sa messagerie. Heureusement qu'il faille être déjà logué sur le serveur IMAP pour pouvoir exploiter ce trou de sécu... ça limite la portée de ce dernier. En espérant que vous ne vous fassiez pas écouter votre réseau si vous avez des clients fonctionnant avec imap sans sous-couche SSL...
L'union européenne veut mettre un code unique sur chaque CD ou DVD fabriqué en Europe. Ceci, est soit disant "Un code censé tracer le lieu de fabrication, et non l'utilisateur", de plus le BSA indique "Ce système ne nous permettra pas de tracer les utilisateurs", alors à vous de vous faire votre opinion.
La version 0.1b du howto chrooter un shell vient d'être publiée. Au menu des précisions supplémentaires sur l'implémentations des commandes
dans un environnement chrooté. Une première étude qui permet de supprimer les problemes de sécurité majeur lié au chrootage.
La prochaine version introduira le concept de serveurs virtuels.
Nouvelle version d'OpenSSH dans les bacs :
OpenSSH 3.2.3
Différences avec la version précédente (OpenSSH 3.2.2) :
* Correction d'un problème avec BSD_AUTH, uniquement pour les BSD.
* Correction d'un problème de login sur solaris
* Correction des problèmes de compil avec cygwin
Bon téléchargement.
Note du modérateur : des modif mineures sur la bibliothèque OpenSSL aussi
Voici un article sur la nouvelle implémentation de l'ICMP fingerprinting, nommée iQ.
A l'inverse de xprobe qui possède une logique de détection codée en dur, iQ possède un fichier de signatures comme nmap. Comment sont construites ces signatures ? Quels sont les tests utilisés dans iQ ? Une vue d'ensemble de la méthode de reconnaissance d'OS par l'ICMP.
Il semblerait qu'un petit malin ait trouvé le moyen de modifier les sources d'irssi (client irc).
La modification porterait sur le script configure d'irssi. Ce dernier ouvrirait une connexion entre votre box et une machine distance, par le biais de laquelle il serait possible de s'infiltrer dans votre babasse.
La malversation serait en place depuis plus d'un mois. Si vous avez compilé irssi durant cette periode, il est recommandé de rechercher "SOCK_STREAM" dans le script, afin de vérifier si vous en avez été victime.
Le site d'irssi semble confirmer la chose.
Je viens de découvrir une excellente FAQ, sur l'épineux problème du « cross site scripting ». L'auteur de cette FAQ part de la base et décrit concrètement ce qui se passe, comment c'est fait, voire pourquoi c'est fait...
Comme toute bonne FAQ, il y a des réponses aux questions classiques.
L'article se termine par une série de liens intéressants sur le sujet.
En résumé, une bonne source si vous vous posiez des question de base sur le thème.
Les présentations de CSW/core02 sont en ligne :
- Immunix
- Owl GNU/Linux
- honeyd et pots de miel
- Outils taranis, radiate, etc.
Ainsi que des photos !
Note du modérateur : la CanSecWest Core02 est une convention sur la sécurité informatique qui s'est déroulée du 1er au 3 mai à Vancouver (Canada)
George Rushmore sur le site de Help Net Security, nous propose un article qui donne quelques conseils de base pour sécuriser un serveur Apache sous Linux.
« Si vous venez de mettre un serveur web Apache en ligne, et que vous pensez à la sécurité, ce bref article pourra vous y aider.
Par le fait d'avoir votre propre serveur, vous devez comprendre les responsabilités qui en découlent.
Bien que le serveur lui même ne soit pas un réel problème (du point de vue de la sécurité), il y a certaines choses auxquelles vous devez faire attention sur votre système. »
NdR: cela ne se veut pas un article de fond, mais les conseils qu'on y trouve sont toujours bon à prendre ou à revoir.
