L'équipe Razor de BindView vient de découvrir un débordement de pile dans SSH1, impactant toutes les versions courrament utilisées (cf advisory).
Il s'agit d'un bug dans la détection d'attaque cryptographique... codée avec un entier 16 bits à la place d'un 32 bits.
Risque : élevé, même si l'exploitation est difficile
Solution : appliquer le patch fourni à la fin de l'advisory.
Entre humour et sécurité :
Voici un article sur cnet qui parle d'un nouveau "worm" pour Linux.
Ce vers a une particularité unique : il guérit (du moins, il essaye de guérir) votre système si ce dernier est vulnérable aux autres vers et/ou à certains 'rootshell'.
L'intention est louable.. (à mon avis)
Comme dirait le gars qui a posté l'info sur slashdot : "qu'est-ce qu'ils attendent pour faire un vers qui désactive vbs sous outlook ?" =]
SANS (System Administration, Networking, and Security) Institute propose un document regroupant les 20 principales lacunes à eviter pour sécuriser vos machines sur un réseau.
le document a été mis à jour hier.
Le FBI reconnait par l'intermédiaire de son porte parole D. Bresson, travailler sur un virus qui permettrait de récupérer les mots de passe et autres frappes au clavier. Le projet s'appelle Magic Lantern.
L'info a été reprise aujourd'hui par Libération, mais provient de MSNBC.
Une nouvelle version du serveur Web Apache vient de sortir, corrigeant les récents problèmes de sécurité. (NdM: 1.3.26)
Dans un même temps, la société ISS subit un retour de flamme du à sa "mauvaise conduite" lorsqu'elle a commencé le thread sur les problèmes de sécurité d'Apache.
En effet, la procédure (non-formelle) de rapport de bug prévoit que le fabricant d'un logiciel (ou le "groupe" qui développe un logiciel libre) soit mis au courant avant la publication...
ISS n'avait pas jugé nécessaire de le faire mais avait en plus proposé un patch qui ne résolvait pas complètement le problème !
Une nouvelle version pour apache 2.0 devrait apparaitre dans peu de temps...
Hier (21 décembre), la version 3.0.5a de KDE est officiellement sortie.
Pas de fonctionnalités particulières, mais elle corrige le gros trou de sécurité découvert il y a quelques temps (dans certains cas, mauvais "quotage" des arguments d'une instruction passée vers la ligne de commande pour son exécution).
Ce problème sérieux affectait les version 2.x et 3.x...
Des patchs, sur le serveur ftp de KDE, sont également disponible pour KDE 2.2.2.
Werner Koch a annoncé ce matin la découverte par Phong Nguyen d'un bug critique dans GnuPG. Ce bug permet d'obtenir en quelques secondes la clé secrète de certaines personnes, pouvant ainsi usurper leur identité ou déchiffrer les courriers qui leur sont destinés.
Heureusement, seules les doubles clés utilisant ElGamal pour la signature et le chiffrement sont affectées, et leur nombre total est estimé à environ un millier.
Dans le cadre d'un dossier d'une dizaine de pages, vous trouverez un tutoriel sur la sécurité du protocole de communication sans-fil Bluetooth reprenant les attaques déjà connues (Helomoto, Bluebug, etc etc ...). Vous y trouverez également la première version diffusée par Secuobs d'un utilitaire (BSS - Bluetooth Stack Smasher) destiné à tester la sécurité de ce protocole.
D'après les tests effectués par l'équipe de ce site, plusieurs éléments mobiles sont faillibles aux opérations de fuzzing. Cet utilitaire développé par Pierre Betouin de la société Infratech a été placé sous licence GPL.
On notera parmi les résultats la présence d'un Déni de Service dans la version 1.29 de hcidump, mais également dans la pile Bluetooth de plusieurs téléphones portables des marques Sony/Ericsson, Samsung et Nokia. Les fonctions Bluetooth avaient été activées, ce qui n'est pas le cas par défaut sur ces appareils.
Des problèmes ont été trouvés dans le package sysklogd, pouvant mener à un local root exploit ou peut-être a des remote exploits.
A upgrader tout de suite !
Pour le package, allez faire un tour sur security.debian.org ...
Note du modérateur: Ceci n'est pas spécifique à Debian. Alors fouiner les annonces de votre distribution !
HSC (consultants sécurité) publient sur leur site un compte-rendu de la conférence System Administration, Networking & Security qui s'est déroulée en Octobre dernier. Plusieurs infos intéressantes sur l'évolution de la conférence avec le temps, les DDOS et les initiatives visant à améliorer la sécurité en entreprise.
Il y a de moins en moins de Français à SANS alors si vous êtes passionés de sécurité et que vous avez été gentil, demandez un billet au Père Noël pour le prochain meeting SANS ;-)
IPFilter, qui est aux *BSD ce que IPChains est à Linux (mais en beaucoup plus puissant), comporte une faille dans la gestion des paquets fragmentés.
Par exemple, si le Firewall autorise les connexion vers le port 80 d'un serveur web dans une DMZ, l'exploitation de cette faille permet de se connecter à TOUS les ports ouverts sur cette machine, outrepassant les règles du firewall.
Les détails sont dans un post de Bugtraq, et la version 3.4.17 d'IPFilter corrige ce problème.
Ce journal s'agit en fait d'une sorte de sondage, ou plutôt d'une demande de retour d'expériences.
Je cherche activement à sécuriser mon petit linux des méchants
buffersoverflow et autres joyeusetés... pour une machine x86 en utilisation serveur (PII-266 48moRAM 3goDISK par exemple, mais ne vous heurtez pas à la config, ca pourrai etre un athlon2000+).
dessus ca serai pour utiliser des demons du styles: iptables,dhcpd,ftpd,httpd,sshd
Je cherche à savoir qu'est ce que utilisent les admins qui ont un grand besoin
(…)
Un virus/ver assez dangereux (W32/Sircam) circule sur Internet depuis une huitaine de jours. Ecrit en Delphi et utilisant les faiblesses de Windows/Outlook (express), celui-ci se propage en s'envoyant aux correspondants de votre carnet d'adresse avant d'effacer le contenu de votre disque dur...
Il est conseillé aux administrateurs systèmes/réseaux de filtrer les messages contenant ce ver (assez facile à détecter grace à son texte).
Note du modérateur: il est possible de régler définitivement tous ces problèmes en configurant postfix de la manière suivante. Editez main.cf et rajoutez:
body_checks = regexp:/etc/postfix/body_checks
Enfin éditez body_checks et rajoutez:
/^Content-(Disposition|Type): application\/mixed/ REJECT
/^Content-(Disposition|Type):.*name="?.*\.(bat|com|pif|vb|exe|lnk|scr|reg|chm|wsh|js|inf|shs|job|ini|shb|scp|scf|wsc|sct|dll)/ REJECT
Ainsi, tout attachement type executable windows sera refusé systèmatiquement. Il est certainement possible de faire la même manipulation pour les autres daemon smtp.
Un article intéressant sur l'intérêt des pots de miel et leur mise en place a été publié sur SecurityFocus.
Les pots de miel, à condition d'être bien configurés, sont d'un très grand intérêt éducatif puisque leur but est de permettre d'apprendre les attaques et les méthodologies d'attaque employées par les pirates. C'est un complément très intéressant aux lectures de publications comme "Halte aux hackers" ou "Intrusion Signatures and Analysis" (chez New Riders) et à la mise en oeuvre des exploits publiés sur Bugtraq & cie qui permet de voir en direct la manière de procéder des pirates. Mais la mise en place d'un pot de miel est un art à part entière car si vous ouvrez trop de ports par exemple sur le pot de miel, seuls les script kiddies s'acharneront dessus et l'intérêt est tout de suite moindre.
L'auteur utilise RedHat 7.1 comme pot de miel et Snort comme IDS et s'appuie sur iptables en firewall amont. Seul bémol, il utilise VMWare pour mettre des pots de miel de différents OS sur la même machine et quand on sait que la licence coûte 300USD env. pour la 3.0...
Un trou de sécurité a été
découvert dans plusieurs versions de OpenSSH qui permet
aux utilisateurs ayant un compte de passer r00t !
L'exploit pour cela n'a pas encore été publié...
Le PINE-CERT recommande une mise à jour rapide et
classe ce risque comme HIGH (le patch est déja disponible et
intégré dans le CVS d'OpenSSH).
