Ô pauvres de nous! sous Linux on est pas en sécurité. jugez-en: 170 virus et chevaux de troie, 30 scripts shells, 6 ou 7 d'entre eux actifs en permanence (où ça où ça?). Et le pire, devinez, il ya plus de bogues sur les applications open-sources que chez Microsoft (485 contre 202). Ajoutez à ça que le nombre de failles de sécurité sous Linux va doubler en 2002, dixit X-Force (ça ressemble à X-Box ce nom, trouvez pas?), et on retourne chez Microsoft.
Moi je construis déjà mon radeau, le monde Unix est décidément trop dur.

Une nouvelle version d'apache est disponible 2.0.45 afin de contrer les attaques de types DoS, qui sont destinées à saturer un réseau et ainsi à rendre inaccessible les requêtes fondées.

Il semblerait que pour la version 2.0.44 tous les OS soient touchés. Et que malheureusement pour Os/2 cette nouvelle mouture ne règle pas entièrement les problèmes, il faudra attendre la 2.0.46.

PhpSecure sera présent aux RMLL cette année, dans le cadre du thème CMS (Content Management Systems, Système de Gestion de Contenu), pour une conférence d'une heure sur la sécurité des applications de gestion de Contenu en PHP, ce Vendredi 9 Juillet à 17h20 (à Bordeaux).

Au programme : un tour d'horizon des CMS en vogue, du point de vue de la sécurité, des exemples de failles de sécurité classiques et des pistes pour sécuriser ses applications en PHP.

Europe Online propose un accès Internet par satellite. Seulement il s'avère que les transmissions ne sont pas du tout sécurisées et il est ainsi tout à fait possible d'espionner ce que consultent les autres utilisateurs (plusieurs milliers).

D'autre part le logiciel utilisé pour recevoir des fichiers offline, Fazzt, n'est pas plus sécurisé.

J'en profite également pour dénoncer les pratiques scandaleuse d'Europe Online et de son revendeur français Easynet (débit en constante baisse, surf impossible,...)

Voici enfin les explications pour lesquelles le site de Slackware était inaccessible depuis plusieurs jours.
Apparemment leur site a été piraté le 25 décembre, et les administrateurs ont donc déconnecté le serveur du réseau pour un audit complet des logs. Celui-ci a été complêté et les fichiers du site web remis en ligne.
Apparemment le problème est du à une vieille version de imapd qui connaissait un trou de sécurité pour lequel un correctif était déjà disponible. Cependant Slackware ne l'avait pas appliqué (le système est désormais mis à jour, donc inutile de re-essayer ;)
Voir l'article de lwn.net.

Déclaration du "Redmond's security response chief" lançant une alerte lors de la conférence RSA sur les périls de l'"open source" (On aura tout vu)

Voir l'article sur SecurityFocus

Lu sur bugtraq aujourd'hui : un type de silicon defense prétende pouvoir infecter Internet en 30 secondes. Selon lui, il suffit de trouver une ligne OC-12, à 622 Mbps (miam ;-), et de répertorier TOUTES les machines vulnérables, l'infection globale se fera alors en moins de 30 secondes.

Un autre type (Nicholas C Weaver ), lui, a trouvé le moyen de faire la même chose, mais en moins rapide (15 minutes)

PS : j'ai hésité à classer la news en internet/sécurité, finalement ça sera humour.

Le gouvernement donne officiellement une méthode provisoire pour desactiver l'envoi d'informations confidentielles/personnelles à Microsoft lors d'un crash système.

Rappelons quand même que pour favoriser le "debuggage" de Windows XP, Microsoft a implémenté le `Error Reporting Tool' afin de transmettre via internet une prétendue sorte de core dump après un crash de leur système.

Note du modérateur : ce bulletin n'est pas nouveau.

Le projet Sphinx a été initié par les autorités allemandes en 2001, qui désiraient améliorer la sécurité dans l'échange des mails.
La conception technique du projet repose sur le protocole 'TeleTrust e.V. MailTrusT Version 2'. Celui-ci inclut les standards S/MIME, X.509v3, etc.
Des produits propriétaires existent déjà, cependant, avec l'arrivée de ce projet, une solution libre verra bientôt le jour (programmée pour mai 2002) pour les clients mails classiques tel que KMail et Mutt.
Les sociétés, spécialisées dans le logiciel libre, g10 Code et Klarälvdalens Datakonsult AB ont un contrat avec le 'Bundesamt für Sicherheit in der Informationstechnik (BSI)' pour incorporer le protocol Sphinx dans des clients mails libres. La finalité est d'assurer la disponibilité d'une alternative aux solutions propriétaires.

ISS vient de publier sur Bugtraq les détails de la faille d'OpenSSH.
Il s'agit d'un problème dans le mécanisme d'authentification "challenge-response".

Apparemment si OpenSSH est compilé sans les options SKEY ni BSD_AUTH, la vulnérabilité n'est pas exploitable.
De meme, utiliser la ligne suivante dans /etc/ssh/sshd_config résoudrait d'après eux le problème :
ChallengeResponseAuthentication no

Ben maintenant il reste plus qu'à tester tout ça, régler les quelques problèmes de conf engendrés.
Ca a quand même l'air moins dangereux que ce qui était annoncé précédemment et surtout moins difficile à règler (c'est pas une raison pour pas mettre a jour !).

Remarque : ISS met a disposition un outil pour tester si OpenSSH est vulnérable.

Note du modérateur : OpenSSH 3.4 est sorti (merci à falbala pour l'info)

Le second hors série de linux magazine "le firewall votre meilleur ennemi" vient de paraitre. Sachant que le premier était excellent celui ci s'annonce aussi très bien (je n'ai pas encore tout lu).

Il s'agit d'une faille de type "integer overflow" dans l'appel système brk. Elle a été découverte par Andrew Morton en septembre et corrigée dans les noyaux 2.4.23 et 2.6 mais affecte les versions précédentes (la branche 2.6 est concernée jusqu'au test6 inclus).

Les noyaux Debian étaient vulnérables à cette faille (locale) et c'est elle qui a été utilisée pour compromettre les serveurs.

L'unique annonce officielle que j'ai trouvée est le DSA-403-1 de Debian (qui vient de paraître).

Pensez à mettre à jour vos noyaux !

NdM: Merci aussi à FRLinux, Baptiste SIMON et Etienne 'Tinou' Labaume.

Une faille de sécurité majeure affectant le système Ubuntu Linux 5.10 vient d'être découverte par Karl Øie. Le mot de passe du premier utilisateur créé lors de l'installation du système apparaît dans les fichiers logs de l'installeur.

On retrouve le mot de passe non-hashé dans plusieurs fichiers dont /var/log/installer/cdebconf/questions.dat qui est accessible en lecture à tous les utilisateurs. C'est d'autant plus préoccupant que le premier utilisateur créé sur le système possède les droits sudo sur l'ensemble du système, ce qui équivaut à un accès root à la machine.

Les paquets base-config et passwd incluant le correctif sont disponibles (moins de 24h après la découverte de la faille par un utilisateur). Mettez à jour très rapidement !

Une importante faille de sécurité a été mise en évidence ce week-end sur l'ensemble des noyaux Linux 2.6 récents (2.6.17-2.6.24.1). Elle permet à un utilisateur local d'obtenir les priviléges root. Le code d'exploitation est disponible publiquement depuis la fin du week-end.
Une mise à jour rapide du noyau Linux est donc nécessaire.
Le dernier noyau en date (2.6.24.2) règle définitivement le problème. Certaines distributions ont déjà rétropropagé le correctif. Les autres distributions ne devraient pas tarder.
Si vous utilisez un serveur dédié, pensez à regarder les forums de votre hébergeur pour obtenir la marche à suivre pour la mise à jour. Un lien sur le fil de discussion correspondant au sujet chez OVH a été mis en lien ci dessous, avec la marche à suivre pour leurs serveurs dédiés.
Les noyaux durcis (Grsec) sont affectés.

NdM: Merci à inico et à Victor Stinner pour leurs journaux sur le sujet.