A peine le nouveau système d'authentification de Microsoft, Passport, dévoilé, que déjà un développeur américain vient de trouver une faille assez succulente dans Passport. Le principe constiste à envoyer un email à un utilisateur de Hotmail contenant du JavaScript simulant un message Hotmail qui re-demande à l'utilisateur son mot de passe et qui l'envoie dans la base de données du pirate. Cela n'est pas bien nouveau, c'est une "fonctionnalité" des emails en HTML.
Mais le problème, c'est qu'une nouvelle fonctionnalité de Windows XP, baptisée "Wallet", permet d'enregistrer son numéro de carte de crédit dans le système et de s'en servir pour effectuer des achats plus rapidement. Le pirate, une fois en possession du mot de passe peut alors tranquillement effectuer ses achats sur les sites Passport avec votre n° de carte bleue... Rassurant, non ?

Des trous de sécurité au niveau de l'upload de fichiers viennent d'être découverts dans toutes les versions de PHP depuis la 3.0.10.
Le PHP Group a réagi en sortant des mises à jour, dont l'installation est bien évidemment plus que recommandée, certaines des failles étant très simples à utiliser, selon le bulletin d'alerte.
Une version 4.1.2 est donc disponible en téléchargement, ainsi qu'une série de patches pour PHP 3, PHP 4.0.6 et PHP 4.1.x.

Les versions estampillées 4.2.0-cvs ne sont par contre pas soumises à ces failles, l'upload de fichiers ayant été réécrit dans cette version.

Voici un nouveau problème dans les serveurs IIS de Microsoft qui fait préférer l'OpenSource...

Le fait que l'on puisse executer du code à distance sur le serveur IIS grâce à ce bug dans la gestion des requetes HTR n'est probablement pas le plus grave !

En effet, comme le dévoile un article de Wired, Microsoft avait passé un accord avec Eeye, à l'origine de la découverte du problème, et a pris tout son temps (plusieurs mois) pour sortir un patch...
Il est assez simple de voir en faisant une recherche dans Google avec "iis htr" comme mots clé que Eeye ne devaient pas etre les seuls à chercher ce genre de bugs ;-)

Donc MS à préféré cacher pendant des mois le problème plutot que de sortir un correctif rapidement.

La NSA, apparemment au courant aurait conseillé pendant plusieurs mois d'enlever la fonctionnalité la plupart du temps inutile mais activée par défaut... No comment.

Suite à une série d'attaques DDoS lancées le 11 décembre dernier et ayant duré près d'une semaine, il a été difficile voire presque impossible d'accèder au site officiel de Slackware (cependant l'accès au serveur ftp était toujours possible, et le développement ne s'est pas arreté)

Actuellement ces attaques ont stoppé, mais leurs sources restent inconnues, ainsi que leurs raisons.

Une enquête est actuellement en cours afin de connaître la source de ces attaques, donc si vous avez une information précieuse sur celles-ci, elles sont les bienvenues à security@slackware.org

Une faille de sécurité dans la configuration d'un des serveurs de TuxFamily permettant l'accès aux mots de passes de chacun des utilisateurs de ce service a été exploitée ces derniers jours. Le problème est maintenant corrigé et tous les mots de passe seront changés ce soir.

NdM: et le cryptage des mots de passe stockés ?

Secuobs.com propose un tutoriel sur un ensemble de logiciels libres (Tor, Privoxy, Switchproxy) permettant d'assurer le respect de votre privée. Cet anonymat peut être assuré pour l'ensemble des applications reposant sur le protocole TCP (Transport Control Protocol) sous GNU/Linux.

Vous y trouverez également des informations sur la conférence tenue par Roger Dingledine (mainteneur du projet Tor) lors du Woodstock numérique What The Hack qui a réuni plus de 3000 participants (hackers et geeks) en juillet dernier près de Eindhoven aux Pays-Bas.

Ce tutoriel fait parti d'un dossier sur ce rassemblement, vous y trouverez notamment un article sur la pétition commune de XS4ALL et l'EDRI contre la rétention des données de connexion.

L'acceptation du projet de directive se joue en ce moment même au parlement européen, votre soutien est plus que le bienvenu.

Privacy is not a crime...

Un trou de sécurité dans Php au niveau des uploads de fichiers ...
Toutes les versions sont touchées.

Update: Zorgon nous donne un url avec une traduction de la faille. A lire.

Microsoft a changé dernièrement le format de ses bulletins de sécurité qui étaient auparavant repris par BugTraq (mailing-list d'annonces de sécurité la plus connue et suivie...). Il faut maintenant visiter une page Web chez Microsoft pour avoir l'annonce en entier.

Elias Levy (administrateur de Bugtraq) a alors décidé de reprendre un de ces bulletins dans son intégralité sur Bugtraq la semaine dernière, ce qui n'a pas du tout plu à M$.

Les administrateurs de Bugtraq ont donc décidé en conséquence de ne plus publier d'annonces de sécurité de M$ tant qu'ils ne reviendront pas à leur ancien format.

Un nouveau vers vient d'être découvert sous linux: Adore. Il semble dater du 1° avril. En suivant le lien, vous trouverez un script qui détecte et permet de supprimer le vers de votre système (au cas où vous en auriez besoin), et aussi les liens vers les patches corrigeant les problèmes dans LPRng, rpc-statd, wu-ftpd et BIND.

En gros, le projet PROTOS permet de tester les différentes implémentations de service d'annuaire de type LDAP vis à vis de différents types de paquets mal formés ou contenant des données non attendues. Ce type de vulnérabilité peut permettre des accès non autorisés ou bien des attaques de type DoS.

On a entre autre comme système affecté : OpenLDAP, 1.x avant la version 1.2.12 et 2.x avant la version 2.0.8

Bien sûr les implémentations commerciales sont aussi affectées.

Pour plus d'infos allez voir le lien

A tous ceux qui utilisent la version stable de webalizer de Debian et les autres qui même sans utiliser le package debian utilisent webalizer 1.30 ou 2.0.0, regardez vos statistiques web ; elles risquent bien de s'être arrêtées au 4 octobre.

Visiblement, il y a des problèmes au niveau des timestamps qui sont calculés en utilisant une fonction jdate refaite et basé sur le 1er janvier 1990 (?).
Mozilla et DynDNS ont subi ce bug par exemple (voir urls).
Seule la dernière version 2.0.1 ne semble pas affectée par ce Pb (voir stats li.org).

Solution :
- passer à la dernière version de webalizer
- calculer epoch depuis le 1/1/1970 au lieu du 1/1/1990 :

/* initalize epoch */
epoch=jdate(1,1,1970); /* used for timestamp adj. */
ps : ce n'est pas certain que cette dernière solution corrige tous les problèmes...

Bien pratique, Linux port/socket pseudo ACLs permet entre autres d'autoriser le bind des ports réservés à root, pour des utilisateurs classiques. Les services qui sont susceptibles d'être défaillant sont ainsi un peu mieux protégés contre une quelconque faiblesse. Cela permet d'éviter de jongler avec les IPChains/Tables. Le patch kernel existe pour Linux 2.4.16/17, 2.2.19/20, 2.5.0/1.

Les versions de SSHd compilées avec le support Kerberos et AFS souffrent d'un nouveau problème de sécurité. Les conséquences peuvent être dangereuses puisque la faille permet un exploit distant pour les versions inférieures à 2.9.9 et un local pour les autres (jusqu'a 3.3).

Il est à noter que si la séparation de privilèges (à laquelle Niels Provos travaille) est activée, aucun accès privilégié n'est possible...

Il est fortement conseillé de mettre à jour vos serveurs web: de nouveaux trous de sécurité ont été trouvés dans Apache 1.3.26 et versions précedentes. Entre autres: des risques de Denial-of-Service locaux, des risques de "cross site scripting" via les pages d'erreur 404 et divers "buffer overflows". (cf. le link ci dessous pour plus de détails). Merci à Tomasera@#linuxfr pour l'info :-)