Hors série « Pour la science » sur la cryptographie
Le niveau mathématique est assez élévé (terminale S ou +), mais le contenu est passionnant. A noter, un article sur AES par leurs auteurs (Daemen & Rijmen).
Une newsletter antivirus
Un post passé sur bugtraq explique le pourquoi de ce rachat (symantec a bien compris la valeur intrinseque de securityfocus), et les changements qui vont avoir lieu (relativement flou). A quand une ml avec antivirus incorporé?
Apache : Mettez à jour !
Il en ressort la chose suivante:
- 20.5 % d'entre eux (dont linuxfr.org fait partie :-) utilisent une version non vulnérable d'Apache (>= 1.3.26 or >= 2.0.39),
- 23.2 % d'entre eux utilisent une version antérieure patchée,
- 56.3 % d'entre eux sont vulnérables (soit 23 % du total des serveurs
web français).
Pour le moment, des exploits ont été publiés seulement pour OpenBSD, NetBSD et FreeBSD (d'ailleurs le vers "Scalper" exploite justement la vulnérabilité sous FreeBSD); pas encore d'exploit largement diffusé pour Linux, mais GOBBLES (auteur de l'exploit pour les *BSD) prétend que c'est possible.
Moralité : Mettez tous vos Apache à jour avant que l'exploit pour Linux soit connu. Un vers "Nimda-like" qui infecte des miliers de machines sous Linux serait du plus mauvais effet pour la réputation du système...
Un didacticiel pour vsFTPd
vsFTPd (Very Secure FTP Daemon) est un logiciel serveur FTP où l'accent a été mis sur la sécurité et sur la rapidité. Sa configuration est simplissime (au détriment de la flexibilité, mais ce n'est pas du tout gênant dans une utilisation standard). Parmi les sites « de référence » cités par son auteur, on trouve ftp.redhat.com, ftp.gnu.org et ftp.debian.org (joli palmarès).
HSC vient de publier un didacticiel qui vous guide pas à pas dans l'installation et la mise en place de ce logiciel, une bonne occasion de laisser enfin tomber votre wu-ftpd buggé jusqu'à la moëlle. Mon opinion personnelle est que ce logiciel tire honorablement son épingle du jeu, et son code source (en C) reste très lisible, comme quoi il n'est pas nécessaire de faire compliqué pour faire efficace... Ah oui, accessoirement, c'est sans doute le seul serveur FTP à vous répondre avec humour lorsque vous lui envoyez des commandes (essayez de passer en mode ASCII pour voir :-)
Bref, à essayer. Bonne découverte !
Le créateur de PGP aimerait le voir en Open Source
En effet, Zimmermann avait vendu les droits sur PGP en 1997 mais depuis plusieurs mois déjà, Network Associates, à qui ils appartiennent maintenant, ne maintient plus la suite de programmes de crypto et ne le propose même plus à la vente (à part la version E-Business Serveur qui ne comprend qu'une infine partie de PGP).
Zimmermann dit même qu'il racheterait PGP à Network Associates si il en avait les moyens !
C'est peu être dommage pour PGP mais on peu se rattrapper sur GPG (Gnu Privacy Guard) qui lui est bel est bien libre (et maintenu correctement ! ;-)
Et après ca on osera dire que les logiciels libres n'ont pas un modèle de développement pérenne !
news sur les problèmes de OpenSSH
L'avantage reste que maintenant on peut tester tous nos petits Linux et vérifier s'ils sont ou non vulnérables. J'ai donc pu confirmer que les packages ssh de Debian avant mise à jour n'etaient pas vulnérable ;-)
(par contre l'exploit marche tout à fait sur un OpenBSD 3.1 fraichement installé mais pas sur un 3.1-current).
Sinon l'équipe de OpenSSH a releasé juste avant l'exploit une mise à jour de l'advisory et explique notamment dedans pourquoi ils ont annoncé la faille de cette façon (en donnant le moins de détails possible, en faisant croire que toutes les versions de OpenSSH étaient vulnérables, etc. ...).
MISC 3
MISC est une revue consacrée à la sécurité
informatique, pour tous les systèmes. Dans ce numéro, vous
trouverez :
- Champ libre : cross site scripting et protocoles textuels, Chernobyl, le partage de secret, la guerre de l'information.
- Dossier : la détection d'intrusion
- principes algorithmiques
- problèmes des IDS actuels/li>
- contourner les IDS
- Prelude-IDS : un IDS hybride open-source
- Programmation : les fonctions strn*
- Système : classes d'authentification physique, sécuriser Irix
- Réseau : jouer avec le protocole ARP, protection de l'infrastructure en réseau IP (protocoles de routage et MPLS)
- Science : PGP, comment éviter les mauvaises surprises ?
Enfin, nous avons rencontré quelques problèmes de PAO dans ce numéro, veuillez nous excuser.
Un ver pour Apache
La faille a été détectée par un pot de miel (« honeypot »), sur un Apache 1.3.24, et ce qu'on en sait pour l'instant est que le code qui est propagé est un code pour FreeBSD. Par une requête HTTP qui est affichée sur le site, le ver s'installe sur le disque, et se met à écouter le port 2001 en UDP, et envoie des messages UDP vers une IP codée en dur...
Rien ne prouve pour l'instant que les autres plateformes ne sont pas vulnérable, car il peut exister plusieurs variantes de ce ver. D'après l'analyse du code qui a été récupéré sur le honeypot, il s'avère que les versions suivantes d'Apache seraient vulnérables, du moins avec FreeBSD :
- FreeBSD 4.5 x86 / Apache/1.3.22-24 (Unix)
- FreeBSD 4.5 x86 / Apache/1.3.20 (Unix)
A suivre de très près...
Une étude met dos-à-dos logiciels libres et propriétaires
En effet, le chercheur considère qu'un programme au code source ouvert est un programme dans lequels les bogues sont faciles à trouver ; à l'inverse, ils sont plus difficiles à détecter si le code est fermé.
En calculant, dans les deux cas, le temps moyen que mettra le programme à se planter, Anderson affirme que dans l'absolu les deux types de programmes présentent le même taux de sécurité.
Car l'atout du code ouvert - trouver plus facilement les bogues - constitue également un atout pour tous ceux qui veulent lancer des attaques.
Update: Frédéric Raynal ajoute un lien vers une traduction de la conclusion du-dit article. A lire si tout n'est pas clair pour vous...
Les détails de la faille d'OpenSSH
Il s'agit d'un problème dans le mécanisme d'authentification "challenge-response".
Apparemment si OpenSSH est compilé sans les options SKEY ni BSD_AUTH, la vulnérabilité n'est pas exploitable.
De meme, utiliser la ligne suivante dans /etc/ssh/sshd_config résoudrait d'après eux le problème :
ChallengeResponseAuthentication no
Ben maintenant il reste plus qu'à tester tout ça, régler les quelques problèmes de conf engendrés.
Ca a quand même l'air moins dangereux que ce qui était annoncé précédemment et surtout moins difficile à règler (c'est pas une raison pour pas mettre a jour !).
Remarque : ISS met a disposition un outil pour tester si OpenSSH est vulnérable.
Note du modérateur : OpenSSH 3.4 est sorti (merci à falbala pour l'info)
Vulnérabilité OpenSSH
Encore Bind ? Sendmail ? Squid ?
Et bien non, OpenSSH... :-(
Les détails sur la faille ne sont pas encore connus mais on sait d'ors et déjà de la bouche de Théo de Raadt lui-même qu'elle sera exploitable à distance, sauf si la séparation de privilège récemment apparue est activée (« UsePrivilegeSeparation yes » dans sshd_config). Peu de distributions Linux proposent cette option pour le moment mais j'espère sincèrement qu'ils vont tous s'atteler pour que ce soit le cas avant la semaine prochaine, date fatidique à laquelle seront dévoilés les détails de l'exploit (et je pense qu'un exploit pas forcèment de Gobbles ne tardera pas à suivre...)
Plus de détails sur LinuxSecurity.com
Note d'un autre modérateur : voir sur debianplanet.org la source apt Debian pour avoir les paquets ssh et apache corrigés pour Woody, ainsi que Mozilla 1.0
Bloquer le SPAM avec Postfix
Différentes approches sont abordées parmi les Black Lists (utilisation de listes de spammers connus), le refus de mails venant d'hotes inconnus ou encore de mails non conformes aux RFC...
L'article montre donc que Postfix n'est pas seulement securisé, rapide et facilement configurable (bon, on va éviter le troll avec Sendmail !) mais qu'il propose aussi quelques fonctionnalités sympa et faciles à mettre en oeuvre ;-)
Version corrigée d'Apache
Dans un même temps, la société ISS subit un retour de flamme du à sa "mauvaise conduite" lorsqu'elle a commencé le thread sur les problèmes de sécurité d'Apache.
En effet, la procédure (non-formelle) de rapport de bug prévoit que le fabricant d'un logiciel (ou le "groupe" qui développe un logiciel libre) soit mis au courant avant la publication...
ISS n'avait pas jugé nécessaire de le faire mais avait en plus proposé un patch qui ne résolvait pas complètement le problème !
Une nouvelle version pour apache 2.0 devrait apparaitre dans peu de temps...
faille dans apache
Il s'agit d'une erreur d'entier signé/non-signé pour allocation d'un tampon mémoire, qui peut-être exploitée, selon X-Force, découvreur du bug, sur les plate-formes WIN32 mais pas (pour l'instant ?) sur *n*x (NdM: il semblerait qu'on ait une erreur de segmentation du processus apache concerné si on a un Unix 32 bits et peut être plus embétant en 64 bits).
Note du modérateur: J'ai supprimmé le patch qui était inclus dans la news, vous pouvez le trouver sur le premier lien mais l'annonce d'apache indique qu'il ne corrige pas vraiment le problème.
Introduction à Nessus
Dans cet article de LinuxSecurity, on y décrit les bases de l'installation et de l'utilisation de Nessus. Nessus a deux composantes, un client et un serveur. Le serveur peut tourner sur des plateformes UNIX, dont Linux et OpenBSD (et bien d'autres), tandis que le client peut fonctionner sur des systèmes d'exploitation variés dont... Windows. Dans cet article, Banchong Harangsri nous décrit l'installation et l'utilisation du serveur mais aussi du client.
NdR : Les captures d'écran sont pratiques et simplifient la compréhension. Cette nouvelle est une libre adaptation du début de l'article de LinuxSecurity.
Supervision de pare-feu avec firelogd
Le programme firelogd peut grandement faciliter la tâche en permettant l'envoi de messages électroniques à l'administrateur résumant les entrées importantes des fichiers de log.
ZDNet Australie nous en dit un peu plus dans un article dédié à firelogd.
NdR : Après ce sera toujours à l'admin de faire le travail :)
Vulnérabilité de type DoS sur BIND 9
Il est recommandé de mettre à jour BIND à la version 9.2.1. Il est à noter que les versions 8 et 4 ne sont pas concernées par cette vulnérabilité.
Fork d'OpenBSD
dénommé MicroBSD il serait un fork d'OpenBSD (Cf leur FAQ).
Cet OS apporte tout ce qu'OpenBSD n'implémente pas (ACL, TPE, détection d'intrusion dans l'install par défaut,etc..).
A noter:
pas encore d'accès aux sources, et beaucoup de choses ont l'air loin d'être avancées...
Il reste qu'au niveau cryptage il va falloir sérieusement se battre contre les lois (En prime: une clé de cryptage de 1024 bits serait cassable)
Backdoors chez monkey.org (dsniff et fragroute)
Le serveur de monkey.org, qui héberge l'auteur de ces deux logiciels, a été visité, via, semble-t-il, un trou dans epic4-pre2.511 qui a permis un accès au compte root.
Les fichiers incriminés ont été modifié le 17/05 et restaurés le 24/05.
Voici les sommes de contrôle MD5 des sources valides :
MD5 (dsniff-2.3.tar.gz) = 183e336a45e38013f3af840bddec44b4
MD5 (fragroute-1.2.tar.gz) = 7e4de763fae35a50e871bdcd1ac8e23a
MD5 (fragrouter-1.6.tar.gz) = 73fdc73f8da0b41b995420ded00533cc
L'étendue des dégats semble « limitée » :
"of the 1951 hosts that successfully downloaded one of the backdoored
tarballs, 992 of them were Windows machines and 193 were automated
ports downloads for the *BSD dsniff or fragrouter ports, leaving 746
Linux (and a few Solaris and MacOS) hosts potentially vulnerable, and
20 FreeBSD and OpenBSD hosts."
En espérant que çà ne devienne pas une mode...
Note du modérateur : je rajoute l'enfilade de Bugtraq pour confirmation
wu-imapd
Ce problème engendre la possibilité de lancer des commandes sur le serveur IMAP en utilisant le nom de l'utilisateur connecté sur sa messagerie. Heureusement qu'il faille être déjà logué sur le serveur IMAP pour pouvoir exploiter ce trou de sécu... ça limite la portée de ce dernier. En espérant que vous ne vous fassiez pas écouter votre réseau si vous avez des clients fonctionnant avec imap sans sous-couche SSL...
Un code sur les CD ou DVD
Comment 'chrooter' un shell version 0.1b
dans un environnement chrooté. Une première étude qui permet de supprimer les problemes de sécurité majeur lié au chrootage.
La prochaine version introduira le concept de serveurs virtuels.
Nouvelle version d'OpenSSH
OpenSSH 3.2.3
Différences avec la version précédente (OpenSSH 3.2.2) :
* Correction d'un problème avec BSD_AUTH, uniquement pour les BSD.
* Correction d'un problème de login sur solaris
* Correction des problèmes de compil avec cygwin
Bon téléchargement.
Note du modérateur : des modif mineures sur la bibliothèque OpenSSL aussi
OS fingerprinting : du nouveau.
A l'inverse de xprobe qui possède une logique de détection codée en dur, iQ possède un fichier de signatures comme nmap. Comment sont construites ces signatures ? Quels sont les tests utilisés dans iQ ? Une vue d'ensemble de la méthode de reconnaissance d'OS par l'ICMP.
