Puisque on parle de MacOS/X, et pour relancer le débat, j'ai lu un article sur vnunet d'un certain Marc Geoffroy, qui m'a bien amusé :
"MacOS X Serveur a priori moins vulnérable que ses concurrents" ...
"Le site Securityfocus.com," ... "permet d'apprendre deux éléments d'importance en ce qui concerne la plate-forme MacOS X Serveur face à ses concurrents : le nombre de vulnérabilités décelées sur la plate-forme atteint le chiffre le plus bas comparé aux 25 autres systèmes pris en compte."
...
"cet excellent résultat peut être dû au fait que les autres systèmes ont plus de vulnérabilités connues que celles de MacOS X, qui n'est disponible que depuis début 1999"
Alors à votre avis, faut-il resortir le CP/M (qui n'est pas sur la liste de securityfocus) ou préférez-vous un OS bien audité ?
PS : Merci à somenews pour l'info.
Deux news sécurité:
- Problème dans TCP: Des chercheurs ont trouvé une serieuse faille dans l'une des pièces maitresses d'Internet. Guardent, "vendeur" de sécurité, a annoncé lundi avoir identifié un gros problème protentiel dans le protocole TCP. Il s'agirait d'un problème similaire a celui present sur les IOS Cisco a propos de la génération "aléatoire" du ISN.
- Problème dans BIND: Un petit nombre d'utilisateurs voulant mettre à jour leur serveurs DNS par rapport au recent exploit dans BIND se sont heurtés à un Denial of Service. Le problème interviendrait lors du passage de BIND 4.9.x ou 8.2.x à 9.1.0. Le DoS serait, par exemple, provoqué par les scans NMAP et causerait des coupures intermittentes du service.
IBM publie la première partie d'une évaluation des modifications proposées par la NSA dans sa version Linux "Security Enhanced" (SE). C'est extrêmement intéressant (et constructif, contrairement à la paranoïa aveugle de certains).
A lire, c'est déconcertant. Vous y verrez que la NSA n'a pas besoin de déployer tout son arsenal technologique pour espionner la Commission Europeenne :(
La version 2.5.1 d'OpenSSH est disponible. Cette version intégre maintenant un client sftp (Secure FTP) en standard ainsi que bien sur le sftp server qui est maintenant activé par défaut dans le fichier de conf. Parmi les goodies:
-support en natif des protocoles 1.3, 1.5 et 2.0
-code cleaning de SSH2
-agent forwarding
-misc. bugs.
Il est conseillé d'upgrader à cette version. Pour celles/ceux qui veulent la sécurité, il n'y a plus qu'à !
Après le vote par l'Assemblée de la loi sur la signature électronique (donc donnant une valeur juridique à un courrier électronique signé ou à une transaction en ligne), le décret de loi spécifiant les modalités d'utilisation se fait toujours attendre. Un article du journal Le Monde revient sur le sujet.
Et on attend aussi toujours la levée des limitations sur la crypto (ou une limite supérieure à 128 bits) promise par le Gouvernement.
L'équipe Razor de BindView vient de découvrir un débordement de pile dans SSH1, impactant toutes les versions courrament utilisées (cf advisory).
Il s'agit d'un bug dans la détection d'attaque cryptographique... codée avec un entier 16 bits à la place d'un 32 bits.
Risque : élevé, même si l'exploitation est difficile
Solution : appliquer le patch fourni à la fin de l'advisory.
Security Portal a publié la liste des 30 virus les plus actifs l'année dernière. Evidemment pour profiter de ces petites merveilles il faut être sous un OS de Microsoft, et pour certains il faut aussi utiliser des produits M$ pour que les virus marchent...
Le grand gagnant est KAK/KAKWorm, un ver profitant de trou de sécurité dans Outlook, tandis que LoveLetter n'est que deuxième.
"Mandrake Security est un projet Open Source sous licence GPL dont le but est la création d'un firewall / routeur configurable via une interface web. Le projet utilise des technologies XML, PhP et Apache. "
"Les contributions de la communauté Open Source permettent au projet d'avancer rapidement et nous encourageons les développeurs à contribuer à Mandrake Security. Pour cela, il suffit de s'abonner à la mailing-list"
Un trou de sécurité dans BIND 8.* a encore été trouvé. Le journal "Le Monde" a été l'un des premiers à relayer cette nouvelle... Mais que faisons-nous ?
Extrait de l'article du monde:
"Par chance, le bogue a été découvert à temps et le Computer Emergency Response Team (CERT) de l'université américaine de Carnegie Mellon a publié, lundi 29 janvier, une « rustine » et vérifié que la dernière version du logiciel, Bind 9, ne présente pas ce défaut."
Mettez à jour :)
Ce mémo est destiné à éclaircir les propos tenus par un des responsables commerciaux de McAfee en France lors d'une émission télévisée sur Canal+ , diffusée en France le 15 janvier, et à dissiper la confusion qui en a résulté. il a été annoncé, à tort, que les produits de PGP Security permettaient à certains gouvernements de décrypter en secret les messages. Ces propos ont suscité une mauvaise interprétation des choses, impliquant l'existence d'une "back door" dans des produits de PGP Security.
Il n'y a pas, il n'y a d'ailleurs jamais eu de back door dans les produits de PGP Security...
Note du modérateur: N'oubliez pas qu'il faut désormais utiliser GnuPG, l'équivalent de PGP de la FSF, qui a l'avantage lui d'etre libre. Bref jetez PGP :)
CanSecWest 2001 (du 28 au 30 mars à Vancouver) verra Renaud Deraison présenter Nessus, Marty Roesch snort, Dug Song dsniff, Jay Beale bastille-linux, Fyodor nmap (liste non exhaustive)...
Microsoft s'explique sur son site web (qui est à nouveau accessible) sur ses récentes difficultés. Outre une erreur humaine dans la configuration des routeurs qui mènent aux DNS, ils expliquent qu'ils ont subi par la suite une attaque de type déni de service.
Ils précisent que "ces problèmes ne sont pas imputables aux produits Micosoft" et que le FBI a été contacté. Pourtant, Microsoft avait démenti avoir été victime d'une attaque...
Quoiqu'il en soit, il est sûr que trois jours d'indisponibilité totale n'ont pas fait du bien à l'image de marque de Microsoft, d'autant plus que de plus en plus de produits Microsoft se connectent (à l'insu de votre plein gré) sur microsoft.com ou msn.com, ou ne s'installent qu'à partir d'Internet. Quelles seraient les conséquenses d'une telle interruption à l'echelle mondiale si .NET s'impose? A suivre...
L'évanescent SGBD d'Inprise, Interbase, dont on pensait qu'il allait vite s'éteindre sans plus d'histoires, refait parler de lui. Une backdoor (destinée à permettre l'authentification des utilisateurs suite à un bug) a été découverte suite à son passage en Open Source. Toute personne se connectant au serveur Interbase avec le login `politically' et le mot de passe `correct' (arf, quel humour), pouvait accéder au SGBD et même parait-il exécuter du code sur la machine. Ce « bug » n'aura guère perduré que... six ans !
[source Vakooler.com qui reprend Transfert.net qui reprend Interbase2000.org ;-]
Bien que ce ne soit pas des RPM officiellement supportés par MandrakeSoft, ça reste une première dans le monde de la crypto et des OS libres (à part OpenBSD ?).
Un militant de la crypto libre a patché la version "Cooker" des sources 2.4.0 pour Mandrake 7.2 et y a ajouté la crypto du noyau "Kerneli". Concrètement, ça veut dire que sans avoir besoin de tout recompiler vous avez un noyau avec support crypto pour créer et monter des containers chiffrés (l'équivalent de ce que les Windoziens possèdent avec des logiciels comme Scramdisk ou PGPdisk).
Maintenant, il faut souhaiter que MandrakeSoft et les autres distributions emboîtent le pas et fournissent des kernel-crypto pour chaque version du noyau.
PS : il semble que l'auteur des RPM cherche des miroirs FTP.
