« Addressing Security Issues in Linux. A Linux White Paper. »
C'est ainsi que débute le document au format PDF sur la sécurité Linux. Une bonne doc (40 pages), passant en revue de nombreux points et offrant les références adéquates.
Deux étudiants au Combridge a trouvé un moyen de voler les clés secrets d'une carte IBM 4758, qui sont utilisés notammenet dans les Distributeurs -Automatique-des-Billets.
D'après eux :
We are able, by a mixture of sleight-of-hand and raw processing power, to persuade an IBM 4758 running IBM's ATM (cash machine) support software called the "Common Cryptographic Architecture" (CCA) to export any and this program's DES and 3DES keys to us. All we need is:
* about 20 minutes uninterrupted access to the device
* one person's ability to use the Combine_Key_Parts permission
* a standard off-the-shelf $995 FPGA evaluation board from Altera
* about two days of "cracking" time
Euh, comment dire, à vos claviers ?
Source : Bugtraq.
J'ai le plaisir de vous annoncer la sortie de MISC, revue consacrée à la sécurité informatique. Suite au succès du HS8 de LinuxMag, nous avons repris la même formule : des articles écrits par des experts dont la sécurité est le métier.
Vous trouverez au menu un gros dossier sur le web, de la programmation, du réseau, des sciences, du virus, du pur zipiz, ...
A cette occasion, je remets sur ma page des articles du hors-série en ligne (ça devrait être fait dans la journée).
RedHat, Mandrake, Eridani et sûrement d'autres (Debian ?) viennent de sortir des patches pour leur packages... En effet, un buffer overflow vient d'être découvert dans les serveurs IMAP utilisés dans ces distributions.
Ce problème engendre la possibilité de lancer des commandes sur le serveur IMAP en utilisant le nom de l'utilisateur connecté sur sa messagerie. Heureusement qu'il faille être déjà logué sur le serveur IMAP pour pouvoir exploiter ce trou de sécu... ça limite la portée de ce dernier. En espérant que vous ne vous fassiez pas écouter votre réseau si vous avez des clients fonctionnant avec imap sans sous-couche SSL...
L’année 2020 nous a prouvé la nécessité des outils digitaux qui permettent de maintenir la communication personnelle et professionnelle à distance. En même temps, cet épanouissement de collaboration en ligne rend le problème de sécurité et de confidentialité de données traitées, partagées, transférées en ligne encore plus aigu. Comment les protéger contre les parties tierces (hackers, fournisseurs des services cloud, services gouvernementaux, etc.) ? Le chiffrement de bout-en-bout, une forme de communication dans laquelle personne d'autre que l'utilisateur final ne (…)
De multiples vulnérabilités ayant différents impacts ont été trouvées dans BIND, client/serveur de nom bien connu par l'Internet Software Consortium (ISC).
Tous à vos patches!
Jared Stanbrough vient de découvrir un "exploit" (faille) touchant les noyaux Linux de la série 2.4.x < 2.4.21, comportant le support NFSv3
Cet exploit consiste via les appels de données XDR à donner une valeur "inexacte" à une routine d'appel, ce qui peut provoquer une copie de bloc mémoire très importante dans l'espace Noyau (Kernel Space) et provoquer rapidement un Kernel Panic (plantage du système)
La fonction incriminée et un exemple d'attaque sont présents sur le BugTraq. Rassurez-vous néanmoins, la seule façon détectée aujourd'hui pour attaquer un hôte vulnérable est d'exporter un répertoire qui serait accessible à une personne mal intentionnée. Toutefois les risques méritent d'être signalés.
K-OTik Security nous apprend que deux vulnérabilités ont été identifiées dans le noyau Linux, elles pourraient être exploitées par un attaquant afin de causer un déni de service ou augmenter ses privilèges.
1) Le premier problème résulte d'une erreur présente au niveau du module IGMP (Internet Group Management Protocol), elle pourrait être exploitée par un utilisateur local afin d'augmenter ses privilèges (à root), ou par un attaquant distant afin de causer un déni de service [l'attaquant devra être capable d'envoyer des requêtes IGMP_HOST_MEMBERSHIP_QUERY, et les fichiers /proc/net/igmp et /proc/net/mcfilter cibles devront être non vides].
2) La seconde vulnérabilité concerne la fonction scm_send(), elle pourrait être exploitée par un utilisateur local afin de causer un Déni de Service. L'exploitation (à des fins d'élévation de privilèges) n'est pas possible sous Linux 2.4.x, la possibilité d'exploitation sous Linux 2.6.x n'a pas été confirmée/infirmée.
Aucun correctif officiel pour l'instant, donc patience.
Un virus de plus sous windows, c'est pas original. D'autant plus qu'il n'est pas finaud: un .exe attaché aux emails, qui se fait passer pour une animation shockwave, et qui se réplique via le carnet d'adresse de OutLook. Mais celui-ci a la particularité de conseiller à la personne infectée de remplacer son windows par linux:
- les fichiers .jpg et .zip sont renommés en ajoutant "change atleast now to LINUX" à leur nom.
- l'auteur du virus a signé "The Penguin"
Si j'avais tendance à voir des complots partout, je me dirais: ce genre d'acte ne va-t-il pas faire passer les aficionados de linux pour de dangeureux terroristes ? Aurait-il pour but de faire du tord à Tux ?
Un article du N.Y. Times d'hier indique qu'une société Tchèque, ICZ, aurait trouvé une faille de sécurité dans PGP. Il ont déjà prevenu << P.G.P. engineering >> et publieront sur leur page le problème dès demain.
Mais pas de panique : la faille résiderait dans le cassage de la protection de la clef privée : il faut déjà y accéder !
GPG aurait-il le même genre de soucis ? Peut-être pas... plus d'infos demain, donc.
Note: pour lire l'article du NY Times, c'est gratuit, mais il faut s'inscrire.
Le bureau «Information Assurance Research» de la NSA a sorti une distribution linux intégrant des patches kernel, et proposent des modifications au niveau de la sécurité (File systems, Processus, Sockets).
un bon résumé renvoie vers des docs à propos de leurs modifs.
{ info portée a ma connaissance par nospher }
Introduction
Dans ce tutoriel sera presque tout expliqué afin de transformer une machine fraîchement installée en serveur ShinobiCCTV Community Edition.
Pour une présentation du logiciel, voyez cet article : 🎦 Présentation de ShinobiCCTV Community Edition 👁️
Ndlr : ajouter anti-bruteforce (fail2ban?) et sécurisation.
Pages principales de la WEBUI de Shinobi :
Suite à une annonce sur Yahoo (ZDNet en fait) où il est annoncé la mort de PGP (ce n'est pas nouveau), j'ai pu lire "vive WinPT". En creusant un peu plus, il s'avère qu'il s'agit d'un "portage" basé sur GnuPG pour Windows. (Je sais que ...) Mais bon, voilà qui élargit un peu le domaine d'action de GnuPG et des utilisateurs qui l'utilisent, (c'est le but de l'article).
«Depuis toujours nous supposions que les connexions vers l'extérieur étaient illimitées i.e. que vous pouviez établir autant de connexions TCP sortantes que vous vouliez. Même dans notre débat sur les pare-feux nous avons supposé qu'ils n'étaient restrictifs que sur le trafic entrant. Mais dans un environnement plus sécurisé ou plus règlementé, celà peut ne pas être le cas: en effet, il peut ne pas y avoir de connexion IP directe vers le monde extérieur.
Dans le monde des entreprises, il est souvent nécessaire de passer au travers d'un serveur proxy ou d'une passerelle: une machine connectée à la fois au réseau de l'entreprise et à l'extérieur. Bien que connectée aux deux réseaux, une passerelle ne fonctionne pas comme un routeur, et les réseaux restent séparés. De préférence, elle limite les accès au niveau applicatif entre les deux réseaux.»
Dans cette étude de cas, OnLamp aborde l'utilisation de SSH dans un tel environnement.
NdR: Le début de cet article est une libre traduction du début de l'article.
Plusieurs problèmes de sécurité ont été réglés sur différents packages de la Slack 8.1.
On note entre autres une correction de "buffer overflow" dans la glibc, d'un bug permettant d'escalader des privilèges dans Apache, un passage à OpenSSL 0.9.6e et une recompilation d'openSSH en conséquence.
ND(partial)M : Slack r3lWz
