OpenWall Linux est une distribution libre, volontairement dépouillée de gadgets, mais fortement axée sur la sécurité.

Après un an de tests, Solar Designer et son équipe viennent de fêter la sortie de la version 1.0 de cette distribution. Les procédures d'installation rebuteront les habitués des installeurs graphiques, mais raviront ceux qui préférent les installeurs textes.

Ndm : Openwall est également connu pour les patches destinés à sécuriser le noyau Linux, comme grsecurity.

Un chercheur français du DCSSI, Loïc Duflot, a récemment publié un article sur un trou de sécurité dans l'architecture même de x.org, faille suffisante pour contourner les protections habituelles (type SELinux, GRsecurity, etc).

La description du problème est assez complexe mais securityfocus a publié une interview de M. Duflot très éclairante : il s'agit de profiter de l'accès direct (sans passer par le noyau), par X11, a certaines fonctionnalités des processeurs x86 pour pouvoir détourner les flux logiciels, et exécuter du code à l'insu du noyau (et de ses éventuelles couches de protections).

NdA : Merci à herodiade pour son journal. Je vous invite à lire les commentaires intéressants qui ont été faits.

SecurityFocus nous propose de jeter un oeil au patch Openwall. C'est un patch apportant au noyau Linux des fonctionnalités de sécurité. Cet article explique comment installer ce patch et nous en présente les pricipales fonctionnalités.

La fonctionnalité la plus connue d'Openwall est certainement l'option qui consiste à rendre la pile noyau non exécutable. Mais il ne fait pas que cela, vous le découvrirez dans cet article.

Ce qui est dommage c'est que ce patch n'est pour l'instant disponible que pour les versions 2.2.x du noyau (même si les travaux pour le 2.4.x sont en cours). Ceux qui utlisent les noyaux 2.4.x se tourneront peut-être plus facilement vers le patch Grsecurity.

NdR : Ceci est une adaptation/traduction du début de l'article...
NdM : Grsecurity r0x0r !

Rule Set Based Access Control (RSBAC) 1.2.5 vient de sortir !

Le noyau 2.6 propose un module de modèles de sécurité qui permet ainsi de s'affranchir du modèle de sécurité classique d'Unix basé sur le triplet (user, group, other). Par exemple, des modèles de sécurité basés sur les ACL (Access Control List), et MAC (Mandatory Access Control) sont déjà disponibles via le module SELinux développé par la NSA (National Security Agency aux Etats Unis).

RSBAC se positionne comme une alternative aux solutions telles que SELinux. De par sa structure, RSBAC permettra d'utiliser les règles et le modèle de sécurité SELinux et GrSecurity dans un futur proche.

Afin de tester la chose, un Live CD basé sur Debian à été concocté, il est disponible sur le site.

Tout test ou commentaire est le bien venu :-)

Au programme cette semaine :

* Bonne année ! Voeux et demande de volontaires pour DWN
* Installation en réseau de Woody avec un CD non officiel (i386 et powerpc)
* GRSecurity et Debian : paquets en cours de réalisation
* Utiliser des paquets de Sid sur une Woody.
* "Compter les patates" : Debian 2.2 == 1,9 milliards de $
* Trois architectures SuperH supplémentaires ?
* Rétrospectitive sur le Debian Descriptions Translation Project (traduction des descriptions des paquets)
(NdMoi : les traducteurs français en retard sur la traduction et bien placés pour la relecture)
* Des volontaires demandés pour le port ARM. Menaces sur le port m68k en raison d'un manque de volontaires
* CD Woody avec multiboot
* Rapports de bogues dans les logiciels non-commerciaux
* Trois développeurs nécessaires pour un nouveau paquet ?
* Debian GNU/Linux or Debian GNU or Debian ? (effet Hurd)
* Nouveaux paquets : apt-show-versions, apt-file, libnet-jabber-perl -- Perl modules for accessing the Jabber
protocol, mh-e, python-oss
* Sécurité : faille locale sur gpm
(NdMoi : et un débordement de buffer sur mutt qui vient d'être annoncé sur debian-security)

PaX est un projet visant à apporter à Linux des moyens de prévenir et/ou de minimiser l'impact des failles donnant accès à l'espace d'adressage d'une tâche, comme les dépassements de tampon (buffer overflow), les format string attacks, etc. Il est une partie importante de grsecurity, qui fournit un ensemble d'améliorations liées à la sécurité pour Linux (protection renforcée des chroot , RBAC, etc.).

Le projet a annoncé le 4 mars la présence d'une faille majeure dans le code même de PaX, permettant d'obtenir à un utilisateur simple de gagner des droits plus importants sur le système, voire des droits administrateurs. Cette faille est exploitable localement, mais une exploitation à distance semble peu probable.

Une version mise à jour du patch est bien sûr disponible sur le site de PaX, ainsi que la version 2.1.2 de grsecurity qui inclut le correctif. Dans l'urgence,

# echo "0 0" > /proc/sys/vm/pagetable_cache

...permet d'éviter le principal vecteur d'exploitation potentiel.

Les auteurs de PaX ont par ailleurs déclaré qu'au vu de la gravité de la faille et pour d'autres raisons, le développement de celui-ci serait arrêté au 1er avril 2005. Brad Spengler, un des auteurs de grsecurity, s'est cependant porté volontaire pour reprendre le flambeau.

NdM : merci à mmenal pour avoir contribué à la news.