Le second hors série de linux magazine "le firewall votre meilleur ennemi" vient de paraitre. Sachant que le premier était excellent celui ci s'annonce aussi très bien (je n'ai pas encore tout lu).

Vu sur /.

Apparemment, une exploit dans le Dashboard de la Xbox permet entre autre d'installer Linux sans avoir à intervenir au niveau matériel. Le détail de l'exploit (voir ci-dessous) est assez complet.

Apparemment l'équipe Free-X a essayé de contacter Microsoft pour l'informer de cette découverte. Microsoft n'ayant pas réagi, FreeX a publié l'exploit.

Une mise à jour critique pour Firefox 1.0PR est parue le 1er octobre, corrigeant la possibilité pour un intrus d'effacer des fichiers du repertoire de téléchargement. Cette faille n'a pas encore été exploitée.

À noter la facilité de mise à jour pour ceux qui utilisent Firefox 1.0PR : aller dans preferences, "advanced", "software update ", puis cliquer le bouton "check now" (apres redémarrage, on voit "Firefox/0.10.1" dans la fenêtre "about Mozilla").

NdM : ou bien cliquer sur la petite icône rouge en haut à droite qui annonce la disponibilité de mise à jour.

Une importante faille de sécurité a été mise en évidence ce week-end sur l'ensemble des noyaux Linux 2.6 récents (2.6.17-2.6.24.1). Elle permet à un utilisateur local d'obtenir les priviléges root. Le code d'exploitation est disponible publiquement depuis la fin du week-end.
Une mise à jour rapide du noyau Linux est donc nécessaire.
Le dernier noyau en date (2.6.24.2) règle définitivement le problème. Certaines distributions ont déjà rétropropagé le correctif. Les autres distributions ne devraient pas tarder.
Si vous utilisez un serveur dédié, pensez à regarder les forums de votre hébergeur pour obtenir la marche à suivre pour la mise à jour. Un lien sur le fil de discussion correspondant au sujet chez OVH a été mis en lien ci dessous, avec la marche à suivre pour leurs serveurs dédiés.
Les noyaux durcis (Grsec) sont affectés.

NdM: Merci à inico et à Victor Stinner pour leurs journaux sur le sujet.

Nospoon vient de publier une news pour le moins étonnante : le site web de symantec parle d'un virus en PHP nommé PHP.Pirus. Celui-ci traquerait les fichier .php ou .html avec les droits d'écriture pour ce dupliquer dedans (718 octets).
Etrange mais sans doute pas vraiment dangereux. Je reste perplexe...

Une startup basée à Nashville propose une solution originale en remplacement de Napster : ShareSniffer

NetBios facilite le partage de fichiers et d'imprimantes sous Windows, mais il est assez facile, par inadvertance, de rendre un disque dur accessible à l'univers entier. De plus, si l'utilisateur n'a pas mis de mot de passe, ce disque est accessible à toute personne connaissant simplement l'IP de la machine.

ShareSniffer recherche dans les newsgroups de telles IP. Les concepteurs prétendent que si des personnes ne laissent aucune protection sur leurs données, c'est volontairement ... et que donc il est normal d'en favoriser l'accès à tout l'Internet.

Comme ça n'intéresse personne, je donne mon avis : je trouve ceci déplorable ! Heureusement, le logiciel n'est pas opensource et, de plus, est payant (de 5$ à 100$).

Malheureusement, ça n'est pas encore assez cher pour le petit ZipiZ qui voudra faire le guignol :(

2 articles libé sur le rassemblement de hacker et cyber pirates en hollande : le summercom.

Note du modérateur: et n'oubliez pas HAL qui se déroulera cet été. A ne pas louper !

Un déni de service et un exploit root viennent d'être publiés.

Cela concerne les noyaux de la série 2.2.x x <= 19 et 2.4x x <= 9.
Le noyau 2.4.12 est OK.
Plus de détails dans le lien.

Note du modérateur: Les distributions commencent déjà à sortir des mises à jour, cf. liens supplémentaires.

Une variante du Remote Shell Trojan vient d'apparaître.
Nommé RST.b par les gens de Security Focus, il infecte les binaires Linux
dans le but de prendre le contrôle de la machine et met en place un sniffer.
Merci a Zelinux pour la news.

Ross Anderson, chef du laboratoire d'informatique de l'université de Cambridge avance la théorie selon laquelle les logiciels propriétaires n'auraient pas plus de failles de sécurité que les logiciels « open source ».

En effet, le chercheur considère qu'un programme au code source ouvert est un programme dans lequels les bogues sont faciles à trouver ; à l'inverse, ils sont plus difficiles à détecter si le code est fermé.

En calculant, dans les deux cas, le temps moyen que mettra le programme à se planter, Anderson affirme que dans l'absolu les deux types de programmes présentent le même taux de sécurité.
Car l'atout du code ouvert - trouver plus facilement les bogues - constitue également un atout pour tous ceux qui veulent lancer des attaques.

Update: Frédéric Raynal ajoute un lien vers une traduction de la conclusion du-dit article. A lire si tout n'est pas clair pour vous...

Il semblerait qu'un petit malin ait trouvé le moyen de modifier les sources d'irssi (client irc).
La modification porterait sur le script configure d'irssi. Ce dernier ouvrirait une connexion entre votre box et une machine distance, par le biais de laquelle il serait possible de s'infiltrer dans votre babasse.
La malversation serait en place depuis plus d'un mois. Si vous avez compilé irssi durant cette periode, il est recommandé de rechercher "SOCK_STREAM" dans le script, afin de vérifier si vous en avez été victime.
Le site d'irssi semble confirmer la chose.

Un LUG de Houston a découvert la présence d'un Cheval de Troie dans les dernières sources de la libpcap et de tcpdump disponibles sur le site de tcpdump.
Il semblerait que certains miroirs soient deja infectés.

Une vulnérabilité critique a été identifiée dans le noyau Linux, elle pourrait être exploitée par un attaquant local afin d'obtenir les privilèges "root". Ce problème de type "integer overflow" résulte d'une erreur présente au niveau de la fonction ip_setsockopt() combinée à l'option MCAST_MSFILTER (fichier net/ipv4/ip_sockglue.c) qui ne calcule pas correctement l'espace mémoire noyau (IP_MSFILTER_SIZE), ce qui pourrait permettre à un utilisateur local l'augmentation de ses privilèges.

NdM : a été proposé par jaune également.
NdM2 : les noyaux 2.4.26 et 2.6.4, déjà disponibles, ne sont pas concernés.

Le 2 décembre 2004, Nate Nielsen rapporte un plantage de Xorg lorsque Firefox affiche une très longue URL dans la barre d'adresse. Quatre mois plus tard un bug similaire est détecté dans Eclipse. Le bug concerne l'affichage de très longues lignes de texte avec le pilote propriétaire Nvidia. La solution est d'utiliser le pilote libre nv qui n'a pas ce bug.

Face à l'absence de réaction de Nvidia, un exploit exploitant ce dépassement de tampon offrant un shell en root est publié sur Rapid7. Il est possible d'exploiter la faille à distance à l'aide d'un client X distant. La faille a en fait été corrigée dans la version 9625 du pilote Linux sortie le 21 septembre 2006, mais la série 9xxx des pilotes Linux est encore en phase béta.

Cette faille relance bien sûr le débat pour ou contre les pilotes propriétaires (BLOBs). Pour le cas de Nvidia, il est difficile de trancher car refuser le pilote officiel implique de se priver d'accélération matérielle. Plutôt que de brasser l'air avec un débat sans fin, il serait plus judicieux de contribuer au projet Nouveau qui vise justement à écrire un pilote libre offrant l'accélération matérielle. D'ailleurs, l'écriture d'un pilote a été entamée il y a peu mais il est encore loin d'être utilisable.

NdM : Merci également à Pascal Terjan d'avoir proposé une dépêche sur le même sujet.
Mise à jour : la version 9626 du pilote (stable) corrige la faille.