A cause d'une mauvaise gestion des arguments trop longs, la fonction d_path() des noyaux Linux jusqu'au 2.2.20 et 2.4.18 permettent l'execution des processus avec des privilèges usurpés. Pensez à mettre à jour !
Une faille de sécurité a été découverte au niveau du programme de mail d'OpenBSD.
Traduction partielle de la page de securiteam :
Le programme /usr/bin/mail accepte les séquences d'échappement lorsqu'il s'éxécute en mode « non interactif »
C'est donc lors d'une exécution par cron que cette faille peut être exploitée. L'utilisateur malveillant peut insérer des séquences d'échappement et ainsi mettre le système en péril.
Lors d'utilisation de fontes anormalement grandes, il est possible de geler un PC utilisant X-window...
L'expérience peut etre tentée avec Gimp, mais le plus dangereux reste encore le deni de service à distance grace à Mozilla, lorsque les fontes se voient assignées une valeur trop grande dans les CSS (Cascading Style Sheets).
Le travail est en cours pour résoudre le problème mais il n'y a pas encore de solution pour éviter le bogue...
NewPKI est une nouvelle solution de PKI libre (NdM: licence propre au logicel, libre, copyleftée, et, semble-t'il compatible GPL) développée autour d'OpenSSL.
Le serveur et le client peuvent être installé sous GNU/Linux ou sous Windows (9x comme NT/2000).
Le serveur s'appuie sur une base de données MySQL pour le stockage des données, ce qui permet une grande flexibilité.
Voici quelques fonctionnalités supportées par NewPKI :
- Gestion de multiples AC dans un seul serveur.
- Publication dune demande de certificat depuis un PKCS10.
- Publication dune demande de certificat en saisissant les champs du DN.
- Gestion en PKCS12 des clés privées des certificats.
- Gestion des SmartCards.
- Recherche dans un LDAP et publication du certificat.
- Recherche de certificats et des demandes.
- OCSP responder.
- Possibilité d'utilisation de modules hard pour stocker les clés d'AC.
- Toutes les fonctionnalités courantes pour une PKI (révocation, création de CRLs, etc.).
Ikarios, et d'autres petites ou moyennes structures de vente par correspondance sur l'Internet, ont recours à des sociétés prestataires qui sécurisent les paiements en ligne. Qu'arrive t-il lorsque ces prestataires sont eux-mêmes des pirates ?
Une importante faille de sécurité a été découverte dans le noyau Linux par Andrzej Szombierski. Elle permet aux utilisateurs locaux de gagner les privilèges du super-utilisateur (root) grâce à un bug dans l'appel système ptrace. La mise à jour immédiate de votre noyau est donc chaudement recommandée.
La faille est corrigée dans Linux 2.2.25 pour le noyau 2.2, et un patch est fourni par Alan Cox pour les noyaux 2.4. Les versions 2.0 et 2.5 ne sont pas vulnérables (de lapin).
Une vulnérabilité de type buffer overflow a été identifiée dans Apache. Le problème se situe dans les modules « mod_alias » et « mod_rewrite », l'exploitation nécessite un fichier .htaccess spécifique. Dans Apache 2 le socket AF_UNIX utilisé par « mod_cgid » afin de communiquer avec le daemon cgid ou des scripts CGI n'est pas correctement manipulé.
mod_security (Apache 2) est touché quant à lui par une vulnérabilité locale. Cette faille est causée par une erreur dans la manipulation des données générées par le serveur, ce qui pourrait être exploité via des fichiers PHP/CGI spécifiques afin d'exécuter des commandes avec les privilèges du serveur httpd.
Le site Secuobs.com vous propose un tutorial de 6 pages sur l'implémentation et la sécurisation du serveur web apache pour Linux. L'utilité, l'installation et la configuration des composants suivants sont expliqués dans ce document : Apache avec DSO (Dynamic Shared Object), Openssl, Php4, Mysql, Mod_ssl, Mod_rewrite, Mod_perl, Mod_security avec Snort2modsec.pl et snortrules-snapshot-CURRENT.
Le tutorial se décompose en deux parties : une partie classique d'installation et de configuration manuelle à la manière des "how-to", et une partie automatisée qui vous permettra en récupérant l'unique script exoweb.pl d'installer et de configurer automatiquement l'ensemble de ces composants. A noter que chaque composant peut également être installé séparément et automatiquement via des mini-scripts shell en fonction de ceux que vous souhaitez installer ou de ceux que vous avez déjà installés.
Mise à jour importante du tutorial : intégration de la nouvelle version stable de mod_security 1.8 nouvellement sortie, activation du chroot par mod_security dans la configuration par défaut de la procédure automatisée, bugfixes de la procédure chroot manuelle et automatisée
La Debian testing security team a annoncé le début du support complet de la sécurité pour la distribution testing via les listes de diffusion debian-devel-announce et debian-user. L'équipe a passé cette dernière année à mettre en place l'infrastructure permettant d'offrir des annonces et des mises à jour de sécurité pour cette distribution.
Il n'y aura pas d'annonces pour les mises à jour de sécurité qui arrivent dans testing depuis unstable. Les utilisateurs de testing doivent donc toujours mettre à jour régulièrement leur système pour obtenir ces mises à jour. Il est cependant possible que l'équipe fournisse des informations à propos de ces mises à jour de sécurité à l'avenir.
Il faut aussi noter que cette annonce ne signifie pas que la distribution testing est maintenant utilisable en production. Il existe plusieurs problèmes de sécurité dans unstable et il en existe un nombre encore plus important dans testing. Le début de ce support de la sécurité signifie seulement que les mises à jour de sécurité pour testing seront maintenant disponibles presque aussi vite que pour unstable.
Le site de la Debian testing security team fournit des informations sur les failles de sécurité qui sont toujours ouvertes, les utilisateurs peuvent utiliser ces informations pour décider par eux-même si testing est assez sûre pour eux.
Skype utilise de nombreuses méthodes d'obscurcissement du code et du trafic réseau (jusque là rien de nouveau pour du
logiciel propriétaire).
Le principal problème c'est qu'il permet de contourner toutes les mesures de sécurité réseau (peu de solution hormis interdire l'installation de Skype voire l'accès à internet). Le protocole a un comportement tellement atypique et si difficilement remarquable que les
HIDS,
IDS et pare-feux ont du mal à le bloquer. Il passe par des ports standards (80, etc.)
Skype fournit une
API (interface de programmation) qui, détournée par une personne mal intentionnée, permettrait d'interfacer n'importe quel autre programme avec le réseau Skype (botnet ou autre attaque à base de cheval de Troie par exemple). Skype a par ailleurs reconnu qu'un greffon collectait des informations sur les machines des utilisateurs (identifiant unique de la carte mère en lisant le
BIOS).
NdM :
l'utilisation et la participation au développement de solutions de VoIP libres telles que Wengophone, Ekiga ou Asterisk permettent de s'affranchir d'une partie de ces problèmes (voire de bénéficier de la vidéo).
En lisant zipiz.com, je suis arrivé sur digital-network.org
J'ai remarqué que http://www.digital-network.org/php/ était accessible, et notamment http://www.digital-network.org/php/phpMyAdmin/
Avec accès d'administrateur sur la base de données !!
C'est d'autant plus marrant quand on sait qui a créé le site...
Et ca tourne sur
Server: Apache/1.3.9 (Unix) Debian/GNU mod_perl/1.21_03-dev
Note du modérateur: Cette news nous est parvenue hier. Nous avons preferé attendre que le problème soit corrigé avant de laisser passer l'info.
Si vous êtes recherché par la NSA, la DST, le FSB et le FBI, et que voulez pouvoir bosser tranquille quand même, utilisez ce système !
Moot est un Os dont le noyau est crypté. Typiquement vous avez un CD-ROM sur lequel est l'OS et vos fichiers persos sont sur Internet. Cela vous permet un maximum de confidentialité.
Security Portal a publié la liste des 30 virus les plus actifs l'année dernière. Evidemment pour profiter de ces petites merveilles il faut être sous un OS de Microsoft, et pour certains il faut aussi utiliser des produits M$ pour que les virus marchent...
Le grand gagnant est KAK/KAKWorm, un ver profitant de trou de sécurité dans Outlook, tandis que LoveLetter n'est que deuxième.
Depuis hier, notre cher pays est dote d'un decret qui permet de signer electroniquement....
Désormais, «l'écrit sur support électronique a la même force probante que l'écrit sur support papier», selon la loi votée en mars 2000. Mais il ne suffit pas de taper son nom au clavier ou de scanner une feuille avec son paraphe: le décret publié samedi précise qu'une signature électronique ne bénéficie de la même présomption de fiabilité qu'un paraphe manuscrit qu'à condition de s'appuyer sur un «prestataire de services de certification» (PSC).
Bonne nouvelle pour ceux qui attendaient un equivalent d'openwall pour les noyaux Linux 2.4.4: il existe, et il s'appelle grsecurity !
Note du modérateur : les patchs openwall n'apparaîtront pas avant le noyau 2.4.10, donc si vous êtes pressés...
