Cette faille a été découverte par Christophe Casalegno et Aurélien Cabezon.
Webmin souffre d'un problème de sécurité concernant la création temporaire de fichier qui peut être utilisée pour compromettre le compte root.

En effet, Webmin crée des fichier temporaires dans /tmp qui ont les permissions : -rwxrwxrwx (777) et qui appartiennent à l'utilisateur root (ex : commandes personnalisées). N'importe qui peut modifier le fichier créé pendant l'exécution de la commande par le système. Il suffit donc pour l'attaquant de rajouter une commande dans le fichier, qui sera exécutée par le root. L'attaquant pourra donc à loisir, lancer des commandes, créer/effacer/modifier des fichiers/répertoires, etc...
Exemple:
Il suffit de rajouter la commande suivante à la fin du fichier temporaire crée par webmin pendant son exécution pour gagner les privilèges de root:
cp /bin/sh /tmp/.backdoor vous donnera un shell root dans /tmp
Le problème est situé dans le script run.cgi qui crée le fichier temporaire en lui donnant de mauvaises permissions.
$temp = &tempname();
open(TEMP,">$temp");
...blablabla...
chmod(0777, $temp);
Pour fixer le problème il suffit de hanger la ligne chmod(0777, $temp); par chmod(0700, $temp);

Note du modérateur : Il ne semble pas y avoir de confirmation sur le site de Webmin. En outre, webmin 0.89 devrait sortir sous peu.

Suite à une annonce sur Yahoo (ZDNet en fait) où il est annoncé la mort de PGP (ce n'est pas nouveau), j'ai pu lire "vive WinPT". En creusant un peu plus, il s'avère qu'il s'agit d'un "portage" basé sur GnuPG pour Windows. (Je sais que ...) Mais bon, voilà qui élargit un peu le domaine d'action de GnuPG et des utilisateurs qui l'utilisent, (c'est le but de l'article).

Un déni de service et un exploit root viennent d'être publiés.

Cela concerne les noyaux de la série 2.2.x x <= 19 et 2.4x x <= 9.
Le noyau 2.4.12 est OK.
Plus de détails dans le lien.

Note du modérateur: Les distributions commencent déjà à sortir des mises à jour, cf. liens supplémentaires.

D'après un éditorial sur le site de Microsoft, il est temps de se lancer dans la chasse à «l'anarchie de l'information». Monsieur Culp (responsable du 'Security Response center') explique dans son petit billet qu'il n'y aurait pas de vers et de virus s'il n'y avait pas cette bande d'anarchistes irrésponsables qui trouvent les bugs et les publient.
Moi je suis d'accord avec lui, et je pense que toute personne faisant un rapport de bug devrait être sévèrement punie par la loi. Non mais franchement...

Qui a dit :
« dans les forces armées, Bill Gates règne aujourd´hui en maître »,
et
« il eut été préférable pour l´armée française d´investir dans le développement de ses propres applications "libres" plutôt que de dépendre de technologies "propriétaires" américaines. »

Je vous le donne en mille : le Général Jean-Louis Devisgnes, ex directeur du SCSSI, à l'occasion du discours de clôture du second salon des technologies de l´information et de la communication organisé par l´École supérieure d´application des transmissions (ESAT).

Le site Telepolis, qui est toujours très bien informé sur les affaires touchant à la crypto, à Echelon, et tout ce genre de choses, a un article plutôt inquiétant sur une annonce faite par le gouvernement hollandais qui veut réglementer strictement l'usage du cryptage fort.

Le gouvernement n'a pas dit comment il comptait s'y prendre, mais un projet précédent de 1994 prévoyait, tenez-vous bien, d'accorder des licences d'utilisation aux personnes voulant utiliser un logiciel de crypto...

A tous ceux qui utilisent la version stable de webalizer de Debian et les autres qui même sans utiliser le package debian utilisent webalizer 1.30 ou 2.0.0, regardez vos statistiques web ; elles risquent bien de s'être arrêtées au 4 octobre.

Visiblement, il y a des problèmes au niveau des timestamps qui sont calculés en utilisant une fonction jdate refaite et basé sur le 1er janvier 1990 (?).
Mozilla et DynDNS ont subi ce bug par exemple (voir urls).
Seule la dernière version 2.0.1 ne semble pas affectée par ce Pb (voir stats li.org).

Solution :
- passer à la dernière version de webalizer
- calculer epoch depuis le 1/1/1970 au lieu du 1/1/1990 :

/* initalize epoch */
epoch=jdate(1,1,1970); /* used for timestamp adj. */
ps : ce n'est pas certain que cette dernière solution corrige tous les problèmes...

Il y a des histoires qui sont faites pour durer, Code Red et consors en font partie : on nous raconte des choses formidables sur IIS ici. Je sais que cela va encore en désoler plus d'un, mais j'ai trouvé ce titre tellement accrocheur que je n'ai pu y résister.
Bon évidemment, c'est encore un piège à trolls (don't feed the troll), mais ça fait un peu rire pour ceux qui sont au boulot et vont pouvoir commencer leur journée dans la bonne humeur :)

Note : notez aussi la photo du gars, il a l'air tellement sérieux qu'il m'a donné envie d'acheter IIS et Windows.

L'administration allemande va financer le développement d'outils cryptographiques forts pour Kmail et Mutt.
Selon openpgp.fr, d'autres fonds pour le Libre avaient été débloqués en 1999.

On a beaucoup parlé ces derniers temps des virus et vers s'attaquant à IIS (Nimda, Code Red) et des réactions comme celle du Gartner Group conseillant de considérer des solutions alternatives pour remédier à ces problèmes sans fin.

Microsoft dévoile son initiative 'Get Secure/Stay Secure', visant à proposer des solutions de sécurisations pour leur OS. En vrac : outils d'audit, configuration 'secure' par default, ...

J'aime particulièrement le petit paragraphe sur la livraison de packages par Windows Update:

"Each package will require one step to deploy and only one system reboot"

Le moins que l'on puisse dire, c'est que quand le géant se sent menacé, il sait réagir vite.

SANS (System Administration, Networking, and Security) Institute propose un document regroupant les 20 principales lacunes à eviter pour sécuriser vos machines sur un réseau.

le document a été mis à jour hier.

Cette faille permettrait d'obtenir un accès depuis une machine non autorisée en utilisant l'option 'from' en utilisant des clés RSA et DSA dans le fichier "authorized_keys2"



Un patch est dispo ou vous pouvez passer en 2.9.9.


Toutefois ce bug n'est pas encore dans le bug report de openssh.


Note du modérateur: Ce bug n'affecte que la version 2 d'OpenSSH, la distribution Debian n'est pas affectée par ce problème (version 1.2.3).

Selon un article de securityfocus, Nimda, un ver qui aurait infesté plus de 450000 IP la semaine dernière remettrait le couvert. Toujours selon securityfocus, qui aurait osculté les entrailles de la bête, Nimda serait doté d'une fonctionnalité lui permettant de se réactiver tous les dix jours. La première attaque datant du 18 septembre à 3:00 GMT il est raisonnable de penser qu'un certain nombre d'utilisateurs de Microsoft® Windows® 95, 98, ME, NT, 2000 et de IIS auront, dès ce soir, à fêter les retrouvailles. Vous reprendrez bien un ver ?

GR-Security, le patch de sécurité pour le noyeau 2.4 qui reprend des classiques de la branche 2.2 , vient de sortir (hier) sa nouvelle version 1.8 (disponible pour 2.4.9 et 2.4.10).

Nouveautés: update PaX (http://pageexec.virtualave.net) code, anti-fork bombing code, pas mal d'updates pour l'ACL, ainsi que du bugfix.

(Une modif de dernière minute sur la release du 24-09 ayant été faite, il vous est conseillé de repomper la dernière du 25)

BugTraq vient d'annoncer une superbe vulnérabilité dans PHPNuke (toutes versions sauf la 5.0 RC1). À l'aide d'une simple URL, un quelconque 5cr1p7 k1dd13z peut récupérer le config.php (et donc les mots de passe de la DB), ou encore uploader des fichiers, grâce à un script non protégé (précisons que je n'ai pas testé, pas le temps d'installer un Nuke). Pour le coup, le programmeur mérite bien un Goret Award...

[Note : puisque l'advisory a été envoyée sur BugTraq, je la propose ici. Toutefois, il serait peut-être intelligent de la garder sous le coude un moment pour éviter des 3733t h4x0r1ngs en cascade...]