Microsoft a l'intention de réaliser une démonstration publique visant à mettre en évidence les lacunes sécuritaires de Linux, le but étant de démontrer à ses clients potentiels que Linux n'est qu'une vulgaire passoire.

Son argumentation reposera principalement sur des rapports d'analystes concernant les vulnérabilités de sécurité de Linux, ainsi que les délais de release des patchs et correctifs.

La 4ème édition du Symposium sur la Sécurité des Technologies de l'Information et des Communications (SSTIC) se déroulera du 31 mai au 2 juin 2006 à Rennes.

SSTIC est devenu en l'espace de quelques années la conférence de référence en sécurité informatique en France. Elle est organisée par des volontaires membres de l'association STIC et ne poursuit aucun objectif commercial. Le symposium se déroule sur le site de l'ESAT à Rennes.

Cette année le thème de la conférence porte sur les limites de la sécurité. Ce sujet sera exploré sous différents axes:
- les limites de la technologie (limites des produits, mythes, failles et preuves)
- les limites du périmètre (dissolution, mobilité et aspects télécom)
- au-delà des technologies (les facteurs non-technologiques)
- au-delà des limites (que faire une fois que l'incident s'est produit)

L'appel à contribution est ouvert et la date limite de soumission est le vendredi 6 janvier 2006.

N'hésitez pas à contacter le Comité de Programme si nécessaire:
cp@security-labs.org

Les archives (présentations et publications) des éditions précédentes sont également disponibles.

Il existe depuis peu un concurrent français aux géants Verisign, Thawte et Baltimore. Le petit nouveau s'appelle Certinomis, et propose, comme ses concurrents, des certificats X509 pour sécuriser les échanges de données via HTTP, mais aussi pour identifier les personnes qui se connectent à un site Web.
C'est d'autant plus intéressant que contrairement à ces derniers, Certinomis n'offre pas un outil simplement "technique", mais aussi une assurance juridique (puisque la signature électronique a maintenant une valeur juridique en France). Certinomis propose de télécharger gratuitement un certificat personnel de test, d'une validité de 3 mois.
Note du modérateur : Certinomis est une filiale commune de La Poste et de la Sagem

Juste pour signaler que le patch openwall pour le noyau 2.2.18 est sorti. Comme d'habitude :
- la pile est non exécutable, ce qui limite les risques de buffer overflows ;
- des restrictions sur les liens dans /tmp (cool avec les récents problèmes de csh et bash) et les FIFOs
- limitations sur le /proc
- protection des file descriptors 0, 1, 2 pour les programmes SUID/SGID
...

[Note du modérateur : ce patch est utilisé pour augmenter la sécurité du noyau]

Une nouvelle vulnérabilité a été découverte le 09 juin 2004 concernant tous les noyaux 2.4.x et 2.6.x (détails des noyaux non vulnérables dans l'annonce en anglais).

Cette faille nécessite un accès local à la machine et peut s'exécuter par la compilation d'un simple programme en C. Le bug a été également reporté dans le bugzilla de GCC (versions affectées 2.96, 3.0, 3.1, 3.2, 3.3 et 3.3.2).

Le patch concerne un simple changement de ligne sur la fonction clear_fpu() changeant l'appel asm volatile de ("fwait") vers ("fnclex ; fwait").

Le lien comporte un patch pour 2.4.x, 2.6.x et le test permettant de tester votre système, il est recommandé de synchroniser les systèmes de fichiers avant de tenter l'exploit.

Bon je sais que c'est pas un scoop puisque vous lisez vous aussi bugtraq tous les jours ...
Mais cette faille me paraît d'importance puisqu'elle touche les daemon ntp livrés avec nos distributions linux et bsd... mais aussi celles de certains unix proprietaires (sun...).
L'exploit livré sur bugtraq ne concerne que linux et bsd sur x86, mais quelqu'un de pas trop c.n pourra le porter sur sun, linux pour alpha...
De plus on peut craindre que l'accès public aux serveurs NTP sur internet ne soit coupé pendant un certain temps... voir peut-être coupé tout simplement.

Note du modérateur : heureusement qu'un patch est sorti le jour même... donc si les admins font leur boulot, pas de risque que les accès aux serveurs soient coupés :-)

Une nouvelle sur Slashdot avec une amusante pointe d'ironie, alors je me permets de la traduire directement.
"SSH communication Security Corp a annoncé hier sur Bugtraq que leur version commerciale de SSH 3.0.0 a un trou de sécurité. Techniquement ce n'est pas un accès root direct, mais pouvoir avoir un accès "adm", "daemon", ou "sys" n'est pas très bon quand même.
Etrangement, pas d'annonce sur leur site web. Si vous utilisez la version à $99 ou à $475, mettez à jour en version 3.0.1 maintenant car le trou est très simple à utiliser (...)
Si vous utilisez OpenSSH ou d'autres programmes pour lesquels vous n'avez pas payé, aucune inquietude à avoir."

Infos trouvées sur www.secusys.com,
"« Ptracekm » est un module kernel pour Linux 2.2 (et probablement 2.4 mais non testé) permettant de bloquer les appels (syscall) ptrace() pour tous les utilisateurs excepté le root.
Ce module vous protègera donc contre les pirates voulant prendre le root grâce aux exploits de type ptrace()."

De plus, ne pas oublier de vérifier Webmin 0.88 qui permet la création de fichiers modifiables par tous sous /tmp avec les droits 777.... pour modifier le script run.cgi... voir la news originale pour plus de détails.

Note du modérateur : Le problème webmin, c'est un rappel, on en avait déjà parlé ici le 22 Octobre.

Le pirate connu Adrian Lamo, a réussis à pénétrer les systèmes du New-York Times. Banal vous me direz mais il avait sous la main la liste de tous les contributeurs du New-York Times incluant les anciens présidents, etc. Il a même pris le soin de se rajouter à la liste en tant que "Hacker" professionel ;)

Un gros bravo à ce monsieur puisqu'il n'a pas propagé la nouvelle, il a préféré se rendre au New-York Times afin de démontrer sa découverte. Ceux-ci ont apprécié le geste et l'auraient même engagé afin de colmater la faille.

Les présentations de CSW/core02 sont en ligne :
- Immunix
- Owl GNU/Linux
- honeyd et pots de miel
- Outils taranis, radiate, etc.

Ainsi que des photos !

Note du modérateur : la CanSecWest Core02 est une convention sur la sécurité informatique qui s'est déroulée du 1er au 3 mai à Vancouver (Canada)

Après OpenSSH, il y a quelques temps, c'est au tour du serveur FTP de Sendmail d'être compromis. L'intrus a déposé des sources de la version 8.12.6 contenant un cheval de Troie qui s'exécute pendant la compilation, se connecte sur le port 6667 d'une machine fixe et ouvre un shell... Le même qu'OpenSSH quoi ! L'intrusion date du 28/09/2002, et pour le moment sendmail.org a fermé l'accès ftp.
Ceux qui auront pris le soin de vérifier la signature GPG/PGP l'auront remarqué...

Une analyse assez intéressante des conséquences de la relaxe en appel de Kitetoa.

On y apprend notamment (l'auteur ayant mené une contre-enquête) que l'intrusion n'a "pas été rendus possibles par l'utilisation des fonctionnalités habituelles d'un navigateur, mais par l'utilisation d'un outil spécifique et non documenté intégré à Netscape Navigator qui permettait la détection et l'administration à distance des serveurs de la marque".
C'est à dire que Kitetoa ajoutait "/quelquechose" à la fin de l'url, laissant penser que l'url existait, alors qu'avec n'importe quel autre navigateur on aurait eu une erreur 404.

Un nouveau programme a été lancé pour améliorer la découverte des failles de sécurité dans le projet Mozilla.

Suivant le principe des "bounty hunters", ces chasseurs de primes qui chassaient des animaux en échange de récompenses, le nouveau programme propose à la communauté des primes pour la traque des bugs critiques au niveau de la sécurité des logiciels du projet.

Une nouvelle version de OpenSSH est disponible. Un bug permet au serveur accedé en ssh de forcer le client en mode agent ainsi que la redirection X11. Des updates sont disponibles pour Debian et certainement d'autres distributions.
De meme pour le programme cron qui est attaquable localement.

A vos updates !

A lire, c'est déconcertant. Vous y verrez que la NSA n'a pas besoin de déployer tout son arsenal technologique pour espionner la Commission Europeenne :(