L'actualité de la fondation Mozilla est toujours foisonnante, voici un résumé condensé des évènements principaux de ces dernières semaines et qui n'ont pas fait l'objet d'une publication dans linuxfr.

Le 23 avril 2006,

• sortie des versions 1.5.0.2 et 1.0.8 du client de courrier électronique Mozilla Thunderbird. Ces versions sont des mises à jour de sécurité pour les deux branches en cours de Thunderbird.
  Pour d'avantage d'informations, se reporter aux informations des versions disponibles : ici pour la 1.5.0.2 et là pour la 1.0.8)

  Il est important de noter que la version 1.0.8 est la dernière de la série 1.0.x, les utilisateurs sont donc invités à passer à Thunderbird 1.5.0.2.

• Sortie de la version 1.7.13 de la suite Mozilla. Cette version est également essentiellement une version de correction pour des raisons de sécurités (voir les informations de la suite version).

  Comme pour Thunderbird 1.0.8, Mozilla 1.7.13 est la dernière version de Mozilla. Les utilisateurs sont invités à utiliser les applications Firefox/Thunderbird/Sunbird/Nvu ou la suite Seamonkey.

Le 25 avril 2006, sortie de la suite Seamonkey 1.0.1. Il s'agit de la première version, de correction de la suite remplaçant Mozilla. Pour d'avantage d'information, se reporter aux informations de la version.

Les utilisateurs des versions précédentes de la suite Seamonkey, de Netscape ou de la suite Mozilla sont invités à utiliser cette version.

Le 02 mai 2006, sortie précipitée de Mozilla Firefox 1.5.0.3. Cette mise à jour corrige une faille de déni de service publiquement divulguée.
Les corrections de bogues précédemment programmées pour Mozilla Firefox 1.5.0.3 ont été déplacées vers la version 1.5.0.4.

Le 11 mai 2006, sortie de la version 1.0.1 du kit de personnalisation du client (ou CCK) de Mozilla Firefox.
Le CCK de Firefox permet à tout le monde de créer une extension qui personnalise le navigateur pour une installation ou un déploiement.

Cette version, sortie rapidement (3 jours après la 1.0), corrige quelques bogues et notamment le 337267 qui rendait le produit inutilisable. Pour d'avantage de détails, vous pouvez vous référer aux informations de la version et à la page des addons de Firefox.

L'équipe de Sunbird a également annoncé la disponibilité de la version 0.3 (alpha2) du projet de calendrier.

Le 12 mai 2006, sortie de Camino 1.0.1.
Cette version corrige des failles de sécurité, notamment celles qui ont été corrigées dans la version 1.8.0.3 du moteur Gecko, mais apporte également quelques fonctionnalités comme l'amélioration du ad-blocking ou la possibilité d'ouvrir des fichier SVG locaux (se référer aux informations sur la version pour d'avantage de détails).

On rappelle, au passage, que Camino est un navigateur internet pour Mac OS X basé sur le moteur Mozilla Gecko.

Le « Challenge-SecuriTech » est un concours de sécurité informatique en ligne, gratuit et ouvert à tous, organisé par le mastère « Sécurité de l'information et des systèmes » de l'ESIEA. Sa quatrième édition commencera le samedi 29 avril 2006.

À partir du samedi 29 avril 2006 à 00h00, plus de 15 épreuves de sécurité vous seront proposées. Vous aurez alors trois semaines pour les résoudre. Elles couvriront de nombreux aspects de la sécurité tels que les failles web et applicatives, l'analyse réseau, la rétro-ingénierie, la cryptanalyse, la stéganographie, l'analyse forensique, etc... Chaque épreuve résolue vous apportera un certain nombre de points, permettant d'effectuer un classement. De nombreux lots récompenseront les meilleurs.

Cette édition sera marquée par plusieurs nouveautés : un site web entièrement refait pour mieux répondre à vos attentes, des challenges plus variés et un concept différent. Vous pourrez trouver plus d'informations sur le site du challenge.

Les inscriptions sont d'ores et déjà ouvertes sur le site du challenge. Venez tester, améliorer et comparer vos connaissances en sécurité avec plusieurs milliers d'autres participants !

Une faille de sécurité majeure affectant le système Ubuntu Linux 5.10 vient d'être découverte par Karl Øie. Le mot de passe du premier utilisateur créé lors de l'installation du système apparaît dans les fichiers logs de l'installeur.

On retrouve le mot de passe non-hashé dans plusieurs fichiers dont /var/log/installer/cdebconf/questions.dat qui est accessible en lecture à tous les utilisateurs. C'est d'autant plus préoccupant que le premier utilisateur créé sur le système possède les droits sudo sur l'ensemble du système, ce qui équivaut à un accès root à la machine.

Les paquets base-config et passwd incluant le correctif sont disponibles (moins de 24h après la découverte de la faille par un utilisateur). Mettez à jour très rapidement !

Symantec a découvert [1] ce week-end un nouveau ver destiné aux plate-formes Linux et UNIX. Il s'agit d'une nouvelle variante du virus Plupii découvert en novembre dernier [4].

Ce ver ne représente pas une énorme menace car il n'est que peu répandu. Mais comme il profite de 3 failles de sécurités différentes pour se propager, il faut y faire attention. Les 3 failles concernent (plus de détails dans l'article complet) :
1- XML-RPC for PHP Code Execution Vulnerability
2- AWStats Input Validation Vulnerability
3- WebHints Shell Command Injection Vulnerability

Le ver, une fois le système infecté, va ouvrir une trappe (ou porte dérobée) sur le port UDP 27015.

Des correctifs sont accessibles en ligne :
1- XML-RPC 1.1.1 est couvert [2]
2- AWStats 6.4 est couvert [3]
3- Il n'y aurait pas encore de patch disponible pour Webhints

Mettez à jour vos systèmes, si ce n'est pas déjà fait.

talweg est un « portail captif » conçu pour sécuriser principalement les réseaux sans-fil. Développé à sa création en Perl, il nous revient en C# sous Mono.

L'utilisation de ce framework .NET sous Linux le rend désormais compatible avec Apache 1 et 2. Son installation est plus facile, Mono fourni l'ensemble des outils nécessaires à son fonctionnement, de la classe d'accès Http à la gestion des certificats X.509. Seuls les logs s'appuient sur un composant externe : Log4Net, une bibliothèque maintenue par la Fondation Apache, qui permet un grand nombre de scénarios.

Ce développement a permis à l'équipe talweg, en collaboration avec Gonzalo Paniagua Javier le créateur et mainteneur de mod_mono, de contribuer au projet Mono, mais aussi de constater la facilité de maintenance offerte par le couple C#/Mono. Du point de vue technique, beaucoup d'améliorations ont été apportées. Les outils proposés par le framework ont permis d'intégrer le proxy, un meilleur choix dans la réécriture de l'adresse a permis l'utilisation d'un seul certificat SSL de type wildcard.

Le principe premier de talweg : la garantie de l'identité des personnes utilisant le réseau en évitant les mécanismes d'usurpation, est bien sur conservé. Ce principe a une incidence très intéressante : il est possible de communiquer sur Msn Webmessenger ou de lire ses messages sur Gmail à travers un canal chiffré.

Pour tous ceux qui souhaiteraient tester en quelques minutes cette solution, un live CD existe.

Dans le cadre d'un dossier d'une dizaine de pages, vous trouverez un tutoriel sur la sécurité du protocole de communication sans-fil Bluetooth reprenant les attaques déjà connues (Helomoto, Bluebug, etc etc ...). Vous y trouverez également la première version diffusée par Secuobs d'un utilitaire (BSS - Bluetooth Stack Smasher) destiné à tester la sécurité de ce protocole.

D'après les tests effectués par l'équipe de ce site, plusieurs éléments mobiles sont faillibles aux opérations de fuzzing. Cet utilitaire développé par Pierre Betouin de la société Infratech a été placé sous licence GPL.

On notera parmi les résultats la présence d'un Déni de Service dans la version 1.29 de hcidump, mais également dans la pile Bluetooth de plusieurs téléphones portables des marques Sony/Ericsson, Samsung et Nokia. Les fonctions Bluetooth avaient été activées, ce qui n'est pas le cas par défaut sur ces appareils.

Secuobs.com propose un tutoriel sur un ensemble de logiciels libres (Tor, Privoxy, Switchproxy) permettant d'assurer le respect de votre privée. Cet anonymat peut être assuré pour l'ensemble des applications reposant sur le protocole TCP (Transport Control Protocol) sous GNU/Linux.

Vous y trouverez également des informations sur la conférence tenue par Roger Dingledine (mainteneur du projet Tor) lors du Woodstock numérique What The Hack qui a réuni plus de 3000 participants (hackers et geeks) en juillet dernier près de Eindhoven aux Pays-Bas.

Ce tutoriel fait parti d'un dossier sur ce rassemblement, vous y trouverez notamment un article sur la pétition commune de XS4ALL et l'EDRI contre la rétention des données de connexion.

L'acceptation du projet de directive se joue en ce moment même au parlement européen, votre soutien est plus que le bienvenu.

Privacy is not a crime...

La Debian testing security team a annoncé le début du support complet de la sécurité pour la distribution testing via les listes de diffusion debian-devel-announce et debian-user. L'équipe a passé cette dernière année à mettre en place l'infrastructure permettant d'offrir des annonces et des mises à jour de sécurité pour cette distribution.

Il n'y aura pas d'annonces pour les mises à jour de sécurité qui arrivent dans testing depuis unstable. Les utilisateurs de testing doivent donc toujours mettre à jour régulièrement leur système pour obtenir ces mises à jour. Il est cependant possible que l'équipe fournisse des informations à propos de ces mises à jour de sécurité à l'avenir.

Il faut aussi noter que cette annonce ne signifie pas que la distribution testing est maintenant utilisable en production. Il existe plusieurs problèmes de sécurité dans unstable et il en existe un nombre encore plus important dans testing. Le début de ce support de la sécurité signifie seulement que les mises à jour de sécurité pour testing seront maintenant disponibles presque aussi vite que pour unstable.

Le site de la Debian testing security team fournit des informations sur les failles de sécurité qui sont toujours ouvertes, les utilisateurs peuvent utiliser ces informations pour décider par eux-même si testing est assez sûre pour eux.

Une série de failles ont été découvertes dans le protocole ICMP (et non pas ses implémentations) par l'argentin Fernando Gont, professeur, administrateur système et chercheur en réseau. Il a tenté dès le début, en août 2004, d'en informer tous les auteurs d'implémentation du protocole ICMP avant de publier les failles sur Internet. Il a commencé par écrire un document qu'il a envoyé à l'IETF. Il a également contacté CERT/CC et NISCC, les auteurs de systèmes d'exploitation libre (OpenBSD, NetBSD, FreeBSD, Linux, etc.), ainsi que Microsoft, Cisco et Sun Microsystems. Il a décrit chaque faille pour leur permettre de corriger les implémentations avant de publier ses découvertes.

Fernando a alors commencé à recevoir des e-mails de Cisco demandant des informations techniques précises. Deux mois plus tard, il a reçu un e-mail d'un avocat de Cisco disant que Cisco allait breveter son travail ! L'avocat n'a pas voulu donner plus de détails. Encore deux mois plus tard, il y a eu un échange de mails entre Cisco, Linus Torvalds et David Miller où Fernando a été mis en copie. David a fait remarquer que Linus Torvalds utilisait déjà depuis plusieurs années le « sequence tracking » dans Linux et par là même, le brevet ne pouvait être déposé pour cause d'antériorité du travail de Linus.

Cisco a alors accusé Fernando de coopérer avec les terroristes alors qu'en même temps Cisco voulait breveter son travail. Plus tard Cisco a aussi demandé à Fernando qu'il travaille pour CERT/CC.

Aujourd'hui Cisco a abandonné son idée de brevet, mais ça laisse quand même réfléchir sur le fait de publier anonymement ses failles ou non !

Jeudi dernier s'est déroulée à Soissons la deuxième édition des Trophées du Libre. Six projets libres ont été récompensés, dans chacune des catégories : Sécurité, Structures Publiques et Collectivités, Éducatif, Gestion d’entreprise, Multimédia, Prix Spécial PHP. Un nombre important de projets (plus de 150) avaient fait acte de candidature, ce qui témoigne de l'importance de l'événement.

Pour mémoire, les Trophées du Libre sont un concours international de Logiciel Libre, avec plusieurs prix sur différents thèmes.

Le jury était présidé cette année par David Axmark (co-fondateur de MySQL), et les prix ont été remis aux gagnants en présence de Renaud Dutreil, Ministre de la Fonction Publique et de la Réforme de l’État.

Lors de la distribution des prix, le jury a insisté sur le caractère innovant et mature des projets gagnants.

Des chercheurs anglais ont découvert une grave faille de sécurité dans les protocole IPSec, utilisés pour le cryptage des paquets dans les réseaux VPN.

Cette faille concerne les tunnels IPSec ESP (Encapsulating Security Payload) et certaines configurations utilisant AH (Authentification Header), et permet à l'attaquant de récupérer en clair le contenu d'un paquet qui ne lui est pas destiné par un message d'erreur ICMP. Elle est considérée comme grave, et cible potentiellement un grand nombre de réseaux d'entreprise.

Des solutions sont d'ors et déjà disponibles, mais elles imposent la modification de la configuration du VPN.

PaX est un projet visant à apporter à Linux des moyens de prévenir et/ou de minimiser l'impact des failles donnant accès à l'espace d'adressage d'une tâche, comme les dépassements de tampon (buffer overflow), les format string attacks, etc. Il est une partie importante de grsecurity, qui fournit un ensemble d'améliorations liées à la sécurité pour Linux (protection renforcée des chroot , RBAC, etc.).

Le projet a annoncé le 4 mars la présence d'une faille majeure dans le code même de PaX, permettant d'obtenir à un utilisateur simple de gagner des droits plus importants sur le système, voire des droits administrateurs. Cette faille est exploitable localement, mais une exploitation à distance semble peu probable.

Une version mise à jour du patch est bien sûr disponible sur le site de PaX, ainsi que la version 2.1.2 de grsecurity qui inclut le correctif. Dans l'urgence,

# echo "0 0" > /proc/sys/vm/pagetable_cache

...permet d'éviter le principal vecteur d'exploitation potentiel.

Les auteurs de PaX ont par ailleurs déclaré qu'au vu de la gravité de la faille et pour d'autres raisons, le développement de celui-ci serait arrêté au 1er avril 2005. Brad Spengler, un des auteurs de grsecurity, s'est cependant porté volontaire pour reprendre le flambeau.

NdM : merci à mmenal pour avoir contribué à la news.

Une nouvelle faille vient d'être découverte dans les noyaux 2.4 et 2.6. La fonction système uselib() (qui permet de sélectionner une bibliothèque partagée d'après son fichier binaire) contient une faille qui permet à un utilisateur mal intentionné de s'approprier les privilèges de l'utilisateur root. Cette faille n'est pas exploitable à distance, mais seulement par une personne possédant déjà un compte sur la machine.