Au programme cette semaine :

* Bonne année ! Voeux et demande de volontaires pour DWN
* Installation en réseau de Woody avec un CD non officiel (i386 et powerpc)
* GRSecurity et Debian : paquets en cours de réalisation
* Utiliser des paquets de Sid sur une Woody.
* "Compter les patates" : Debian 2.2 == 1,9 milliards de $
* Trois architectures SuperH supplémentaires ?
* Rétrospectitive sur le Debian Descriptions Translation Project (traduction des descriptions des paquets)
(NdMoi : les traducteurs français en retard sur la traduction et bien placés pour la relecture)
* Des volontaires demandés pour le port ARM. Menaces sur le port m68k en raison d'un manque de volontaires
* CD Woody avec multiboot
* Rapports de bogues dans les logiciels non-commerciaux
* Trois développeurs nécessaires pour un nouveau paquet ?
* Debian GNU/Linux or Debian GNU or Debian ? (effet Hurd)
* Nouveaux paquets : apt-show-versions, apt-file, libnet-jabber-perl -- Perl modules for accessing the Jabber
protocol, mh-e, python-oss
* Sécurité : faille locale sur gpm
(NdMoi : et un débordement de buffer sur mutt qui vient d'être annoncé sur debian-security)

Rule Set Based Access Control (RSBAC) 1.2.5 vient de sortir !

Le noyau 2.6 propose un module de modèles de sécurité qui permet ainsi de s'affranchir du modèle de sécurité classique d'Unix basé sur le triplet (user, group, other). Par exemple, des modèles de sécurité basés sur les ACL (Access Control List), et MAC (Mandatory Access Control) sont déjà disponibles via le module SELinux développé par la NSA (National Security Agency aux Etats Unis).

RSBAC se positionne comme une alternative aux solutions telles que SELinux. De par sa structure, RSBAC permettra d'utiliser les règles et le modèle de sécurité SELinux et GrSecurity dans un futur proche.

Afin de tester la chose, un Live CD basé sur Debian à été concocté, il est disponible sur le site.

Tout test ou commentaire est le bien venu :-)

Bonne nouvelle pour ceux qui attendaient un equivalent d'openwall pour les noyaux Linux 2.4.4: il existe, et il s'appelle grsecurity !

Note du modérateur : les patchs openwall n'apparaîtront pas avant le noyau 2.4.10, donc si vous êtes pressés...

La nouvelle version de gsecurity pour le noyau 2.4.9 est sortie. C'est la 1.7.1, elle corrige certains bugs.
Grsecurity est un patch pour le noyau Linux qui améliore certains point de sécurité (tcp seq, buffer overflow, PIDs aléatoires, ...)
N.B: N'utilisez pas le code "user space" (obvadm) qui fait "freezer" le PC... Mais à part ça, ça tourne super...

PaX est un projet visant à apporter à Linux des moyens de prévenir et/ou de minimiser l'impact des failles donnant accès à l'espace d'adressage d'une tâche, comme les dépassements de tampon (buffer overflow), les format string attacks, etc. Il est une partie importante de grsecurity, qui fournit un ensemble d'améliorations liées à la sécurité pour Linux (protection renforcée des chroot , RBAC, etc.).

Le projet a annoncé le 4 mars la présence d'une faille majeure dans le code même de PaX, permettant d'obtenir à un utilisateur simple de gagner des droits plus importants sur le système, voire des droits administrateurs. Cette faille est exploitable localement, mais une exploitation à distance semble peu probable.

Une version mise à jour du patch est bien sûr disponible sur le site de PaX, ainsi que la version 2.1.2 de grsecurity qui inclut le correctif. Dans l'urgence,

# echo "0 0" > /proc/sys/vm/pagetable_cache

...permet d'éviter le principal vecteur d'exploitation potentiel.

Les auteurs de PaX ont par ailleurs déclaré qu'au vu de la gravité de la faille et pour d'autres raisons, le développement de celui-ci serait arrêté au 1er avril 2005. Brad Spengler, un des auteurs de grsecurity, s'est cependant porté volontaire pour reprendre le flambeau.

NdM : merci à mmenal pour avoir contribué à la news.