Security Portal a publié la liste des 30 virus les plus actifs l'année dernière. Evidemment pour profiter de ces petites merveilles il faut être sous un OS de Microsoft, et pour certains il faut aussi utiliser des produits M$ pour que les virus marchent...
Le grand gagnant est KAK/KAKWorm, un ver profitant de trou de sécurité dans Outlook, tandis que LoveLetter n'est que deuxième.
Depuis hier, notre cher pays est dote d'un decret qui permet de signer electroniquement....
Désormais, «l'écrit sur support électronique a la même force probante que l'écrit sur support papier», selon la loi votée en mars 2000. Mais il ne suffit pas de taper son nom au clavier ou de scanner une feuille avec son paraphe: le décret publié samedi précise qu'une signature électronique ne bénéficie de la même présomption de fiabilité qu'un paraphe manuscrit qu'à condition de s'appuyer sur un «prestataire de services de certification» (PSC).
Bonne nouvelle pour ceux qui attendaient un equivalent d'openwall pour les noyaux Linux 2.4.4: il existe, et il s'appelle grsecurity !
Note du modérateur : les patchs openwall n'apparaîtront pas avant le noyau 2.4.10, donc si vous êtes pressés...
Un bug vient d'être trouvé sur le générateur de nombre pseudo-aléatoires d'openSSL, pas si aléatoire que ça...
Pas de risques pour l'instant, ce bug semble peu exploitable. Mais soyez méfiants, surveillez les correctifs.
A noter que seul EngardeLinux a sorti un patch pour l'instant.
Cette faille permettrait d'obtenir un accès depuis une machine non autorisée en utilisant l'option 'from' en utilisant des clés RSA et DSA dans le fichier "authorized_keys2"
Un patch est dispo ou vous pouvez passer en 2.9.9.
Toutefois ce bug n'est pas encore dans le bug report de openssh.
Note du modérateur: Ce bug n'affecte que la version 2 d'OpenSSH, la distribution Debian n'est pas affectée par ce problème (version 1.2.3).
La cérémonie allemande des Big Brother Awards s'est tenue à Bielefeld le 26 octobre. Le grand vainqueur de cette cérémonie est sans contexte le ministre allemand de l'intérieur (Otto Schily). Le ministre socialiste (SPD) de l'Intérieur de la République fédérale a reçu une double distinction, celle de la catégorie «Politique» et le prix d'honneur de la soirée. «Parce que sous couvert de la lutte contre le terrorisme, il contribue à restreindre les droits des citoyens et la protection des données personnelles», s'est justifié le comité organisateur.
Mais n'oublions pas les autres lauréats, entre autres : Real Network, puisqu'il faut obligatoirement s'enregistrer pour utiliser leur logiciel Real Player ainsi que ProtectCom qui surveille ses employés.
Le site du forum des droits sur l'internet annonce qu'un projet de loi est en train de passer "en catimini". Ce projet n'est pas totalement innoncent : il vise à permettre aux agents des douanes et aux enquêteurs de la COB d'accéder aux données conservées par les fournisseurs d?accès et les opérateurs télécoms. Ces données, ce seront celles qui nous concernent et qui concernent notre vie privée...
Déjà, des amendements ajoutés à la loi sur la sécurité quotidienne obligent les opérateurs de télécoms et les fournisseurs d'accès à conserver les logs pour fins d'enquêtes policières. Un décret devra sortir prochainement pour dire de quels logs il s'agit et pour combien de temps ces données devront être conservées.
Une news fait beaucoup de bruit dans le monde de la cryptographie depuis quelques jours. En effet, le mathématicien DJ Berstein a publié un article de recherche donnant une technique théorique sur la factorisation de nombres entiers en facteurs premiers, permettant de "casser" le RSA 4x plus vite qu'actuellement.
Dans son article, il propose aussi une application pratique permettant de construire un "RSA breaker" 4x plus performant à coût égal. En conséquence, les clés PGP/RSA de taille plus petite que 2048 bits seraient cassables "facilement".
Et certains en profitent pour ajouter que "nos amis" de la NSA ont déjà ça dans leur carton (gravés dans le silicium) depuis un moment :-(
Une faille de sécurité a été découverte au niveau du programme de mail d'OpenBSD.
Traduction partielle de la page de securiteam :
Le programme /usr/bin/mail accepte les séquences d'échappement lorsqu'il s'éxécute en mode « non interactif »
C'est donc lors d'une exécution par cron que cette faille peut être exploitée. L'utilisateur malveillant peut insérer des séquences d'échappement et ainsi mettre le système en péril.
Lors d'utilisation de fontes anormalement grandes, il est possible de geler un PC utilisant X-window...
L'expérience peut etre tentée avec Gimp, mais le plus dangereux reste encore le deni de service à distance grace à Mozilla, lorsque les fontes se voient assignées une valeur trop grande dans les CSS (Cascading Style Sheets).
Le travail est en cours pour résoudre le problème mais il n'y a pas encore de solution pour éviter le bogue...
NewPKI est une nouvelle solution de PKI libre (NdM: licence propre au logicel, libre, copyleftée, et, semble-t'il compatible GPL) développée autour d'OpenSSL.
Le serveur et le client peuvent être installé sous GNU/Linux ou sous Windows (9x comme NT/2000).
Le serveur s'appuie sur une base de données MySQL pour le stockage des données, ce qui permet une grande flexibilité.
Voici quelques fonctionnalités supportées par NewPKI :
- Gestion de multiples AC dans un seul serveur.
- Publication dune demande de certificat depuis un PKCS10.
- Publication dune demande de certificat en saisissant les champs du DN.
- Gestion en PKCS12 des clés privées des certificats.
- Gestion des SmartCards.
- Recherche dans un LDAP et publication du certificat.
- Recherche de certificats et des demandes.
- OCSP responder.
- Possibilité d'utilisation de modules hard pour stocker les clés d'AC.
- Toutes les fonctionnalités courantes pour une PKI (révocation, création de CRLs, etc.).
Après OpenSSH, il y a quelques temps, c'est au tour du serveur FTP de Sendmail d'être compromis. L'intrus a déposé des sources de la version 8.12.6 contenant un cheval de Troie qui s'exécute pendant la compilation, se connecte sur le port 6667 d'une machine fixe et ouvre un shell... Le même qu'OpenSSH quoi ! L'intrusion date du 28/09/2002, et pour le moment sendmail.org a fermé l'accès ftp.
Ceux qui auront pris le soin de vérifier la signature GPG/PGP l'auront remarqué...
Au menu, d'excellents articles sur le 'arithmetic overflow', que vous *devez*
connaître si vous voulez vous prétendre un programmeur un tant soit peu sérieux.
Je vous mets en lien quelques bugs courants qu'on a tous fait un jour et que vous ne devez plus jamais faire après lecture de ces excellents articles.
Une analyse assez intéressante des conséquences de la relaxe en appel de Kitetoa.
On y apprend notamment (l'auteur ayant mené une contre-enquête) que l'intrusion n'a "pas été rendus possibles par l'utilisation des fonctionnalités habituelles d'un navigateur, mais par l'utilisation d'un outil spécifique et non documenté intégré à Netscape Navigator qui permettait la détection et l'administration à distance des serveurs de la marque".
C'est à dire que Kitetoa ajoutait "/quelquechose" à la fin de l'url, laissant penser que l'url existait, alors qu'avec n'importe quel autre navigateur on aurait eu une erreur 404.
Voici une annonce qui explique ce qui s'est passé lors du piratage des serveurs Debian.org à partir de la première intrusion le 19 octobre.
Les machines : klecker, master, murphy et gluck ont finalement bien été rootkitées, c'est suckit qui a été installé, une description sommaire de ce rootkit est disponible dans l'annonce.
La première intrusion a été possible grâce à un mot de passe intercepté, et à un login avec un compte sans privilèges.
La conclusion actuelle est qu'il reste certainement une faille locale à découvrir.
Note du modérateur : Wichert Akkerman a tenu un compte-rendu au jour le jour sur cette question.
