Important bug de sécurité sur noyau 2.6.17 à 2.6.24

Posté par . Modéré par Christophe Guilloux.
0
13
fév.
2008
Noyau
Une importante faille de sécurité a été mise en évidence ce week-end sur l'ensemble des noyaux Linux 2.6 récents (2.6.17-2.6.24.1). Elle permet à un utilisateur local d'obtenir les priviléges root. Le code d'exploitation est disponible publiquement depuis la fin du week-end.
Une mise à jour rapide du noyau Linux est donc nécessaire.
Le dernier noyau en date (2.6.24.2) règle définitivement le problème. Certaines distributions ont déjà rétropropagé le correctif. Les autres distributions ne devraient pas tarder.
Si vous utilisez un serveur dédié, pensez à regarder les forums de votre hébergeur pour obtenir la marche à suivre pour la mise à jour. Un lien sur le fil de discussion correspondant au sujet chez OVH a été mis en lien ci dessous, avec la marche à suivre pour leurs serveurs dédiés.
Les noyaux durcis (Grsec) sont affectés.

NdM: Merci à inico et à Victor Stinner pour leurs journaux sur le sujet.

Pare-feu authentifiant : sortie de NuFW Live

Posté par . Modéré par Sylvain Rampacek.
Tags :
0
7
fév.
2008
Sécurité
Après plusieurs mois de travail, la première version stable du LiveCD NuFW.Live est disponible. Basé sur une knoppix, ce LiveCD permet à ses utilisateurs de tester facilement et rapidement les fonctionnalités du pare-feu NuFW, et les outils d'administration qui permettent de le gérer : Nulog2, Nuface2 en RC4, pyctd le "tueur de connexion Netfilter" ...

Le LiveCD contient également NuApplet2, un client NuFW pour Linux, ce qui permet de réaliser des tests sans rien installer, en utilisant le LiveCD sur deux machines.

NuFW.Live [version 1.0.1] est téléchargeable en HTTP et en Bittorent. Les volontaires pour fournir un miroir de téléchargement seront les bienvenus.

Nulog 2 est disponible

Posté par . Modéré par Nÿco.
Tags :
0
18
jan.
2008
Sécurité
Voici la 2ème génération de l'incontournable outil d'analyse de fichiers journaux de pare-feu. Nulog2, presque 6 ans après la v1, s'appuie toujours sur un format de journalisation SQL, mais présente les informations de manière plus synthétique, et beaucoup plus exploitable.

Au menu des nouveautés :
  • Réécriture complète du code, passage de PHP à Python avec Twisted Matrix ;
  • Génération à la volée de diagrammes et de camemberts, au souhait de l'utilisateur ;
  • Personnalisation totale de la page d'accueil, pour chaque utilisateur ;
  • Refonte de l'ergonomie de l'outil et de la manipulation des critères d'affichage des connexions réseaux ;
  • Possibilités de recherches beaucoup plus avancées ;
  • Export des données affichées en CSV pour traitement personnalisé ;
  • Passage à la licence GPLv3.

Bien entendu, Nulog2, permet, comme la v1, d'exploiter des logs authentifiés par un pare-feu NuFW. Il est donc très simple de créer ses propres indicateurs à placer sur sa page d'accueil, par exemple "Histogramme des derniers paquets droppés des trois dernières heures de l'IP 10.56.140.47 ou de l'utilisateur Martin".

Journal Fusillez vos applications (Fusil le fuzzer)

Posté par (page perso) .
0
28
nov.
2007
Fusil est un framework de fuzzing écrit en Python et distribué sous licence GNU GPLv2. Pour ceux qui ne connaissent pas la technique du fuzzing, c'est une façon simple simple, rapide et efficace de trouver des bugs dans des logiciels. Certains sont mineurs (dénis de service), d'autres bugs peuvent se révéler être des failles de sécurité (prise de contrôle du flux d'exécution).

Fusil permet d'écrire facilement des « projects de fuzzing » avec un ensemble de fonctions et la puissance (...)

Dossier sur le renforcement des fonctions de sécurité du noyau sur Secuobs.com

Posté par . Modéré par Jaimé Ragnagna.
0
15
nov.
2007
Noyau
Le site Secuobs.com, spécialisé dans le domaine de la sécurité informatique et ses outils libres, propose un dossier sur les systèmes qui permettent de renforcer la sécurité de la branche 2.6 des noyaux Linux.

Ce dossier francophone, en libre l'accès pour tous, porte sur l'activation de ASLR (Address Space Layout Randomization), de GrSecurity et de PaX ainsi que sur celle de SELinux ; vous y retrouverez les procédures d'installation, de configuration et d'administration de ces mécanismes ainsi que des exemples d'attaques.

Vous pourrez également vous servir de la base d'exploits ExploitTree, basée sur CVS, et de sa plateforme de recherche en Perl afin de tester l'ensemble de ces fonctions de renforcement des noyaux Linux de cette branche.

SecUbuLive un Live CD GNU/Linux personnalisable et facile à mettre à jour

Posté par . Modéré par Bruno Michel.
Tags :
0
27
oct.
2007
Sécurité
Il existe actuellement différents CDROM de type Live CD que l'on dit aussi « bootables » et qui sont basés sur les distributions GNU/Linux.

Les Live CD concernant le domaine de la sécurité des systèmes d'informations et de communication sont tout aussi nombreux parmi ceux-ci, ils sont pour la plupart disponibles en téléchargement sur internet et notamment BackTrack2 qui est l'un des plus populaires parmi eux.

Ces Live CD ont été développés pour donner la possibilité à leurs utilisateurs d'y ajouter leurs propres outils et scripts, ils présentent cependant tous un défaut majeur dès lors que l'on souhaite effectuer la mise à jour du système et des outils qui les composent.

Cette opération est soit impossible dans la plupart des cas soit tellement compliquée à réaliser qu'elle n'est pas envisageable pour les utilisateurs lambda ; ils sont alors contraints d'attendre les avancées des développeurs afin de profiter des dernières versions.

Le site Secuobs.com, spécialisé dans le domaine de la sécurité informatique, vous propose un document présentant une méthode originale qui permettra à tout un chacun de réaliser son propre Live CD, orienté sécurité ou pas.

Documentation non officielle en français pour Scapy sur Secuobs.com

Posté par . Modéré par Bruno Michel.
Tags :
1
27
oct.
2007
Sécurité
Scapy est un utilitaire Open Source en Python développé par Philippe Biondi, cet outil vous permet de disséquer, de forger, de recevoir et d'émettre des paquets (et des trames) de données pour un grand nombre de protocoles que vous pourrez également décoder : DNS, DHCP, ARP, SNMP, ICMP, IP, TCP, UDP.

L'un des seuls points faibles connu à ce jour, concernant Scapy, est son manque de documentation officielle ou non, notamment francophone, permettant de le destiner à un plus large public que les experts du domaine ; partant de ce constat, le site Secuobs.com, spécialisé dans le domaine de la sécurité informatique, met à disposition de tous un document venant combler une partie de ce manque.

Vous y apprendrez notamment comment installer et configurer Scapy ainsi que les rêgles rudimentaires relatives à son utilisation (commandes basiques et avancées) et à la manipulation de paquets (et de trames) de données dont un exemple de génération de graphiques 2D/3D à partir des résultats d'un traceroute réalisé à l'aide de Scapy.

Orange implémente l'OpenID sur son portail Web

Posté par . Modéré par Nÿco.
Tags :
0
2
oct.
2007
Internet
Le fournisseur d'accès vient de choisir l'authentification OpenID pour son portail Orange.fr, devenant ainsi le plus gros site implémentant cette solution d'authentification.

OpenID est l'initiative pour un système d'authentification décentralisé, permettant une identification unique.

Un service d'ores et déjà disponible, comme le souligne Neteco, pour les" 17 millions de clients "internet" et 23 millions de clients "mobile" d'Orange France".

Compte rendu en temps réel de l'atelier Netfilter 2007

Posté par . Modéré par Jaimé Ragnagna.
Tags :
0
12
sept.
2007
Sécurité
Le Netfilter Workshop 2007 vient d'ouvrir sa cinquième édition à Karlsruhe, en Allemagne. Ces rencontres ont lieu tous les 2 ans et permettent aux développeurs du projet Netfilter de se rencontrer pour définir les orientations du projet Netfilter, et également d'avancer sur les mises à jour de technologies à venir.

La première présentation a été réalisée par Patrick McHardy où il détaille version noyau par version noyau les avancées de Netfilter.

L'évènement se déroule du 11 au 14 septembre. Tout comme en 2005, un compte rendu est proposé par INL, sponsor de l'évènement. Le site est mis à jour en temps réel en suivant les différentes présentations des intervenants.

NdM Le projet Netfilter vise à fournir des solutions de firewall sous GNU/Linux via notamment l'outil iptables.

IDEALX publie OpenTrust PAM

Posté par . Modéré par Nÿco.
Tags :
0
17
juin
2007
Sécurité
Développée avec la Mairie de Paris et l’INSERM, la solution OpenTrust-PAM (Portal Access Manager) d’IDEALX est désormais libre au téléchargement sous licence GPL.

OpenTrust PAM permet à un utilisateur de n'avoir à s'identifier qu'une seule fois pour accéder à toutes ses applications distantes. C'est donc un « reverse-proxy », assurant le SSO (Single Sign On), qui interagit avec les systèmes d’authentification des applications mises à disposition, grâce aux protocoles Web.

Mise en ½uvre pour la première fois à l’Inserm en 2004, la solution a été mise en production à la Mairie de Paris dans le cadre de la création d’un portail « Partenaires », destiné à multiplier les services fournis aux différentes entités liées à la ville.

Publié depuis aujourd’hui sous licence Open Source (GPL), le logiciel OpenTrust-PAM pourra ainsi être utilisé et s’enrichir par l’apport de nouvelles contributions.

Quand le logiciel propriétaire dérive : Skype comme les autres

Posté par . Modéré par Nÿco.
Tags :
0
7
mar.
2007
Pirate
Skype utilise de nombreuses méthodes d'obscurcissement du code et du trafic réseau (jusque là rien de nouveau pour du logiciel propriétaire).

Le principal problème c'est qu'il permet de contourner toutes les mesures de sécurité réseau (peu de solution hormis interdire l'installation de Skype voire l'accès à internet). Le protocole a un comportement tellement atypique et si difficilement remarquable que les HIDS, IDS et pare-feux ont du mal à le bloquer. Il passe par des ports standards (80, etc.)
Skype fournit une API (interface de programmation) qui, détournée par une personne mal intentionnée, permettrait d'interfacer n'importe quel autre programme avec le réseau Skype (botnet ou autre attaque à base de cheval de Troie par exemple). Skype a par ailleurs reconnu qu'un greffon collectait des informations sur les machines des utilisateurs (identifiant unique de la carte mère en lisant le BIOS).

NdM : l'utilisation et la participation au développement de solutions de VoIP libres telles que Wengophone, Ekiga ou Asterisk permettent de s'affranchir d'une partie de ces problèmes (voire de bénéficier de la vidéo).

Sortie de Nuface 1.2

Posté par . Modéré par Christophe Guilloux.
Tags :
0
21
fév.
2007
Sécurité
La branche 1.2 de Nuface, l'interface web de gestion de pare-feu, est désormais stable. Écrit pour NuFW, mais utilisable sur un pare-feu "standard" Netfilter, Nuface utilise une modélisation XML de haut niveau pour représenter les objets réseaux, les utilisateurs, les protocoles... et permet d'agglomérer ces objets en ACL.

Les nouveautés et innovations de la branche 1.2 sont :
  • Support du filtrage de contenu, avec gestion de règles Layer7
  • Enrichissement du modèle de données, et gestion affinée de l'ordre des ACL, en tenant compte de la topologie du réseau
  • Nombreuses améliorations de l'ergonomie de l'interface
  • Génération de règles au format iptables-restore pour de meilleures performances au chargement.

Une faille majeure de la cryptographie courante

Posté par (page perso) . Modéré par Florent Zara.
Tags :
0
20
nov.
2006
Sécurité
Le cryptologue allemand Jean-Pierre Seifert (universités d'Haïfa et d'Innsbruck) aurait rendu possible l'exécution d'attaques basées sur la menace de type '"analyse de prédiction de branche" (BPA).

Dans une note confidentielle, le chercheur met en avant qu'il a réussi à récupérer une clé de chiffrement de 512 bits en quelques millisecondes.

Il s'agit d'un véritable bouleversement dans le milieu de la cryptographie. En effet la parade habituelle consiste à allonger la longueur de la clé de chiffrement. La technique découverte par Jean-Pierre Seifert consiste à analyser le comportement du processeur lui-même afin de déduire statistiquement la clé de chiffrement.

La seule parade pour l'instant consisterait à désactiver le processus de prédiction du processeur mais selon le chercheur "Une telle mesure ralentirait par quatre le microprocesseur (...)".

Les résultats des travaux de Jean-Pierre Seifert sont attendus lors de la prochaine conférence RSA, début 2007

NdM : Cette attaque implique la présence d'un logiciel espion sur la machine effectuant les opérations cryptographiques et dans ce cas il existe souvent d'autres moyens pour obtenir la clé.
De plus, cette attaque ne marchera pas si les opérations cryptographiques sont effectuées sur un matériel distinct du processeur, par exemple un token cryptographique. L'impact est donc surtout pour le grand public et en particulier les échanges sur internet sécurisés par SSL.

SSTIC 2007 : Appel à proposition

Posté par . Modéré par Mouns.
Tags :
0
31
oct.
2006
Sécurité
Le Symposium sur la Sécurité des Technologies de l'Information et des Communications est une conférence francophone traitant de la sécurité de l'information. Ce thème comprend à la fois les vecteurs d'information (comme les systèmes informatiques ou les réseaux) et l'information elle-même (cryptographie ou guerre de l'information).

La cinquième édition se déroulera à Rennes du 30 mai au 1er Juin 2007.

Nous avons publié l'appel à contribution et comme les années précédentes, toutes les soumissions seront examinées avec intérêt, qu'elles soient techniques, académiques, juridiques, organisationnelles, etc.

Faille de sécurité dans le pilote propriétaire Nvidia

Posté par (page perso) . Modéré par Jaimé Ragnagna.
Tags :
0
17
oct.
2006
Matériel
Le 2 décembre 2004, Nate Nielsen rapporte un plantage de Xorg lorsque Firefox affiche une très longue URL dans la barre d'adresse. Quatre mois plus tard un bug similaire est détecté dans Eclipse. Le bug concerne l'affichage de très longues lignes de texte avec le pilote propriétaire Nvidia. La solution est d'utiliser le pilote libre nv qui n'a pas ce bug.

Face à l'absence de réaction de Nvidia, un exploit exploitant ce dépassement de tampon offrant un shell en root est publié sur Rapid7. Il est possible d'exploiter la faille à distance à l'aide d'un client X distant. La faille a en fait été corrigée dans la version 9625 du pilote Linux sortie le 21 septembre 2006, mais la série 9xxx des pilotes Linux est encore en phase béta.

Cette faille relance bien sûr le débat pour ou contre les pilotes propriétaires (BLOBs). Pour le cas de Nvidia, il est difficile de trancher car refuser le pilote officiel implique de se priver d'accélération matérielle. Plutôt que de brasser l'air avec un débat sans fin, il serait plus judicieux de contribuer au projet Nouveau qui vise justement à écrire un pilote libre offrant l'accélération matérielle. D'ailleurs, l'écriture d'un pilote a été entamée il y a peu mais il est encore loin d'être utilisable.

NdM : Merci également à Pascal Terjan d'avoir proposé une dépêche sur le même sujet.
Mise à jour : la version 9626 du pilote (stable) corrige la faille.