Un déni de service et un exploit root viennent d'être publiés.
Cela concerne les noyaux de la série 2.2.x x <= 19 et 2.4x x <= 9.
Le noyau 2.4.12 est OK.
Plus de détails dans le lien.
Note du modérateur: Les distributions commencent déjà à sortir des mises à jour, cf. liens supplémentaires.
D'après un éditorial sur le site de Microsoft, il est temps de se lancer dans la chasse à «l'anarchie de l'information». Monsieur Culp (responsable du 'Security Response center') explique dans son petit billet qu'il n'y aurait pas de vers et de virus s'il n'y avait pas cette bande d'anarchistes irrésponsables qui trouvent les bugs et les publient.
Moi je suis d'accord avec lui, et je pense que toute personne faisant un rapport de bug devrait être sévèrement punie par la loi. Non mais franchement...
Qui a dit :
« dans les forces armées, Bill Gates règne aujourd´hui en maître »,
et
« il eut été préférable pour l´armée française d´investir dans le développement de ses propres applications "libres" plutôt que de dépendre de technologies "propriétaires" américaines. »
Je vous le donne en mille : le Général Jean-Louis Devisgnes, ex directeur du SCSSI, à l'occasion du discours de clôture du second salon des technologies de l´information et de la communication organisé par l´École supérieure d´application des transmissions (ESAT).
Il y a des histoires qui sont faites pour durer, Code Red et consors en font partie : on nous raconte des choses formidables sur IIS ici. Je sais que cela va encore en désoler plus d'un, mais j'ai trouvé ce titre tellement accrocheur que je n'ai pu y résister.
Bon évidemment, c'est encore un piège à trolls (don't feed the troll), mais ça fait un peu rire pour ceux qui sont au boulot et vont pouvoir commencer leur journée dans la bonne humeur :)
Note : notez aussi la photo du gars, il a l'air tellement sérieux qu'il m'a donné envie d'acheter IIS et Windows.
Le site Telepolis, qui est toujours très bien informé sur les affaires touchant à la crypto, à Echelon, et tout ce genre de choses, a un article plutôt inquiétant sur une annonce faite par le gouvernement hollandais qui veut réglementer strictement l'usage du cryptage fort.
Le gouvernement n'a pas dit comment il comptait s'y prendre, mais un projet précédent de 1994 prévoyait, tenez-vous bien, d'accorder des licences d'utilisation aux personnes voulant utiliser un logiciel de crypto...
A tous ceux qui utilisent la version stable de webalizer de Debian et
les autres qui même sans utiliser le package debian utilisent webalizer
1.30 ou 2.0.0, regardez vos statistiques web ; elles risquent bien de
s'être arrêtées au 4 octobre.
Visiblement, il y a des problèmes au niveau des timestamps qui sont
calculés en utilisant une fonction jdate refaite et basé sur le 1er
janvier 1990 (?).
Mozilla et DynDNS ont subi ce bug par exemple (voir urls).
Seule la dernière version 2.0.1 ne semble pas affectée par ce Pb (voir stats li.org).
Solution :
- passer à la dernière version de webalizer
- calculer epoch depuis le 1/1/1970 au lieu du 1/1/1990 :
/* initalize epoch */
epoch=jdate(1,1,1970); /* used for timestamp adj. */
ps : ce n'est pas certain que cette dernière solution corrige tous les problèmes...
L'administration allemande va financer le développement d'outils cryptographiques forts pour Kmail et Mutt.
Selon openpgp.fr, d'autres fonds pour le Libre avaient été débloqués en 1999.
On a beaucoup parlé ces derniers temps des virus et vers s'attaquant à IIS (Nimda, Code Red) et des réactions comme celle du Gartner Group conseillant de considérer des solutions alternatives pour remédier à ces problèmes sans fin.
Microsoft dévoile son initiative 'Get Secure/Stay Secure', visant à proposer des solutions de sécurisations pour leur OS. En vrac : outils d'audit, configuration 'secure' par default, ...
J'aime particulièrement le petit paragraphe sur la livraison de packages par Windows Update:
"Each package will require one step to deploy and only one system reboot"
Le moins que l'on puisse dire, c'est que quand le géant se sent menacé, il sait réagir vite.
SANS (System Administration, Networking, and Security) Institute propose un document regroupant les 20 principales lacunes à eviter pour sécuriser vos machines sur un réseau.
le document a été mis à jour hier.
Cette faille permettrait d'obtenir un accès depuis une machine non autorisée en utilisant l'option 'from' en utilisant des clés RSA et DSA dans le fichier "authorized_keys2"
Un patch est dispo ou vous pouvez passer en 2.9.9.
Toutefois ce bug n'est pas encore dans le bug report de openssh.
Note du modérateur: Ce bug n'affecte que la version 2 d'OpenSSH, la distribution Debian n'est pas affectée par ce problème (version 1.2.3).
BugTraq vient d'annoncer une superbe vulnérabilité dans PHPNuke (toutes versions sauf la 5.0 RC1). À l'aide d'une simple URL, un quelconque 5cr1p7 k1dd13z peut récupérer le config.php (et donc les mots de passe de la DB), ou encore uploader des fichiers, grâce à un script non protégé (précisons que je n'ai pas testé, pas le temps d'installer un Nuke). Pour le coup, le programmeur mérite bien un Goret Award...
[Note : puisque l'advisory a été envoyée sur BugTraq, je la propose ici. Toutefois, il serait peut-être intelligent de la garder sous le coude un moment pour éviter des 3733t h4x0r1ngs en cascade...]
Le cracker (voire script-kiddy) canadien MafiaBoy (17 ans), auteur de plusieurs denis de service distribués (DDoS) contre des grands sites Internet en février 2000, a été condamné à "une peine de 8 mois de "garde ouverte" à purger dans un centre pour jeunes contrevants, assortie d'une mise à l'épreuve d'un an et de l'obligation de verser 250 dollars canadiens (160 USD) à un organisme de charité."
Le module apache "mod_eaccess", développé au départ par Patrick ASTY, est maintenant maintenu par HSC, et à cette occasion la documentation française a été rédigée.
Cet article présente l'installation et la configuration d'un système de filtrage pour un site type "e-commerce", de l'architecture à adopter jusqu'à la configuration d'apache.
Intéressant, pour ceux qui sont concernés par la sécurité de leur site...
Tout nouveau, Tout beau, Le worm iis nouveau est arrivé
A déguster en avant première dans le sud de la Chine.
Dégustations européennes dans quelques heures/jours.
vnunet.com annonce l'existance d'un nouveau cheval de Troie pour Linux qui aurait été découvert par Qualys, la "célèbre" entreprise de sécurité.
L'article est très vague et fort peu technique; on y trouve les idées suivantes :
- Le cheval est similaire au célèbre outils d'administration Back Orifice
- Il s'installe sur le port UDP 5503 et plus et s'annonce sur un serveur web grand breton
- Il se propage par EMail
Mais le dernier argument fait oublier tout le reste ;-) :
- S'il se répand, il risque de faire bien plus de dégats que Code Red car 58% des serveurs tournent sous Apache, et donc majoritairement sous Linux, alors que Windows NT ne représente que 25%
Note du modérateur: Merci à Meszigues pour avoir aussi proposé cette nouvelle.
