Suivi — Tribune Faille dans la tribune

#1355 Posté par claudex le 22 mai 2014 à 15:09. État de l’entrée : corrigée. Assigné à Bruno Michel. Licence CC By‑SA.

Étiquettes :

7

22

mai

2014

Il y a une petite faille dans la tribune qui permet de poster à peut prêt n'importe quelle balise dans un post à partir du moment où il y a une norloge dedans. Par exemple, le post suivant permet de récupérer un pseudo cookie

00:00:00<form method="post"><input id="input-chauve" name="board[message]" type="hidden" value="plop"><input type="submit" onclick="var coo = ''; for (var i=0; i<20; ++i) { coo+= Math.floor(Math.random() * 10); } document.getElementById('input-chauve').value = 'mon cookie est ' + coo"></form>

C'est valable sur toutes les tribunes (…)

Journal Computrace, une backdoor pour votre plus grand bien

Posté par kwak le 20 mai 2014 à 23:43. Licence CC By‑SA.

Étiquettes :

47

20

mai

2014

Bon journal ? En tout cas mauvaise nouvelle.

Il y a de ça quelques mois, la société Kaspersky découvre un logiciel malveillant installé sur au moins 2 millions d'ordinateurs.
Computrace se divise en 3 modules présents dans l'option ROM PCI qui est chargée ensuite par le BIOS de la machine.

Par la suite il est capable :

De sécuriser les données d'un parc de postes à distance
De déployer toujours à distance des mises à jour, des licences ou de lancer (…)

Journal Les macarons, pour remplacer les cookies

Posté par Stéphane Bortzmeyer (site web personnel, Mastodon) le 19 mai 2014 à 10:40. Licence CC By‑SA.

Étiquettes :

21

19

mai

2014

Aujourd'hui, sur le Web, l'authentification de chaque requête HTTP, une fois passée le "login" initial, se fait presque toujours avec un cookie, une série de bits générée par le serveur et qu'un éventuel attaquant ne pourrait pas deviner. Les cookies ont plusieurs limites, notamment parce qu'ils sont tout ou rien. Si je passe un cookie à un tiers (volontairement ou bien parce que la session n'était pas bien protégée), ce tiers a exactement les mêmes droits que moi. Des chercheurs (…)

Journal Des nouvelles de LibreSSL

Posté par patate le 19 mai 2014 à 10:25. Licence CC By‑SA.

Étiquettes :

53

19

mai

2014

Dans une présentation informative et de bon goût, Bob Beck fait le point sur les raisons qui ont poussé les développeurs OpenBSD à débuter le nettoyage complet du code d'OpenSSL sous le nom de LibreSSL:

http://www.openbsd.org/papers/bsdcan14-libressl/

On y apprend, entre autres:

Que la goute qui a fait déborder le vase n'était pas Heartbleed mais le remplacement pourri de malloc().
Que la fondation OpenSSL est une organisation à but lucratif qui génère des gains de l'ordre du million de dollars par (…)

« Triple poignée de main », faille dans le protocole TLS

Posté par ariasuni le 09 mai 2014 à 10:41. Édité par BAud, Thierry Thomas, Nÿco, Benoît Sibaud, palm123, dourouc05, Florent Zara et olivierweb. Modéré par Florent Zara. Licence CC By‑SA.

Étiquettes :

55

9

mai

2014

Après les deux failles mettant en cause l’utilisation d’instructions goto (l’une chez Apple, l’autre chez GNUTLS) et la faille Heartbleed, une vulnérabilité a encore été découverte : Triple Handshake («Triple poignée de main»), aussi appelée 3Shake.

Contrairement aux autres failles, celle-ci ne concerne pas l’implémentation mais le protocole. Cela signifie qu’elle touche potentiellement toutes les implémentations et que la correction définitive de cette faille nécessiterait une modification dans le protocole. En pratique, les corrections ont été effectuées en faisant des vérifications supplémentaires ou en éliminant certains algorithmes de chiffrement.
Logo de 3Shake, inspiré de celui de Heartbleed
Logo par @Raed667
Concrètement, cette faille exploite les différents types de poignées de main (handshake, procédure qui permet d’établir les différents paramètres de communication entre deux machines, étape particulièrement importante pour un protocole de sécurité) afin de se faire passer pour une autre machine et d’effectuer une attaque de l’homme du milieu.

La faille est cependant considérée moins grave que Heartbleed, en partie parce qu’elle est compliquée, s’attaque à une configuration assez spécifique et nécessite une position privilégiée entre deux machines.

PacketFence v4.2 maintenant disponible

Posté par Ludovic Marcotte (site web personnel) le 08 mai 2014 à 09:09. Édité par Nÿco, bubar🦥 et claudex. Modéré par claudex. Licence CC By‑SA.

Étiquettes :

25

8

mai

2014

Inverse annonce la sortie de la version 4.2 de PacketFence. PacketFence est une solution de conformité réseau (NAC) entièrement libre (GPL v2), supportée et reconnue. Procurant une grande liste de fonctionnalités telles un portail captif pour l'enregistrement ou la remédiation, une gestion centralisée des réseaux filaires et sans fil, le support pour le 802.1X, l'isolation niveau-2 des composantes problématiques, l'intégration au détecteur d'intrusions Snort et au détecteur de vulnérabilités Nessus - elle peut être utilisée pour sécuriser efficacement aussi bien des réseaux de petite taille que de très grands réseaux hétérogènes.

La version 4.2 de PacketFence apporte de nombreuses améliorations comme l'isolation de type hotspot, un nouveau portail captif s'adaptant plus facilement à des scénarios personnalisés complexes, plusieurs fonctionnalités pour les opérateurs cellulaires (WRIX, inline layer 3, page de statut pour prolonger l'accès réseau, etc.), un nouvel agent pour la configuration des appareils Android, la prise en charge de nouveaux équipements d'Enterasys, Huawei et Juniper Networks, une meilleure intégration Eduroam et plusieurs améliorations au niveau de la performance.

OpenJDK JEP 180: HashMap, collisions & attaques par la complexité

Posté par ckyl le 06 mai 2014 à 08:58. Édité par claudex, palm123, Benoît Sibaud, Nils Ratusznik et ZeroHeure. Modéré par Benoît Sibaud. Licence CC By‑SA.

Étiquettes :

46

6

mai

2014

Cette dépêche parle de la JEP 180 d'OpenJDK 8 qui propose une solution intéressante aux problèmes d'attaques sur la complexité que rencontrent les tables de hachage.

On a déjà parlé de ce sujet ici même à plusieurs reprises. Je vais cependant rapidement représenter le problème et l'évolution des discussions. Le lecteur averti sur le sujet ira directement au dernier paragraphe pour voir la proposition de la JEP 180.

NdM : merci à ckyl pour son journal.

Journal Seccomp, une sandbox intégrée au noyau Linux…

Posté par Pinaraf le 04 mai 2014 à 23:15. Licence CC By‑SA.

Étiquettes :

45

4

mai

2014

Problématique

Utilisez-vous pour vos développements professionnels ou privés une solution d'intégration continue à la Jenkins ? Un tel logiciel permet d'accélérer le développement du code en le testant plus régulièrement, en le soumettant automatiquement à des tests unitaires.

Mais que se passe-t-il si un vilain© soumet du code dangereux pour votre système d'intégration continue ? Si votre logiciel d'intégration continue se contente de compiler du code, vous pensez qu'il est protégé ? Quid d'une faille dans votre compilateur, ou d'un problème à l'exécution (…)

Forum Linux.debian/ubuntu Mis à jour automatique VPS Debian, faille de sécurité ?

Posté par SaintGermain le 29 avril 2014 à 20:59. Licence CC By‑SA.

Étiquettes :

0

29

avr.

2014

Bonjour,

Suite à quelques commentaires postés dans les forums j'essaye en ce moment le principe de VPS avec Iniz :

Je suis donc parti sur une VM Debian Wheezy et j'ai regardé un peu comment cela se passait.

Pas de gros soucis, c'est en gros comme une Debian que l'on installe soi-même sauf que :

il y des limitations sur iptable à cause de la virtualisation: Issues with Ubuntu's UFW on OpenVZ VPS
les droits d'exécution ont été (…)

Revue de presse de l'April pour la semaine 17 de l'année 2014

Posté par echarp (site web personnel, Mastodon) le 29 avril 2014 à 20:40. Modéré par patrick_g. Licence CC By‑SA.

Étiquettes :

18

29

avr.

2014

La revue de presse de l'April est régulièrement éditée par les membres de l'association. Elle couvre l'actualité de la presse en ligne, liée au logiciel libre. Il s'agit donc d'une sélection d'articles de presse et non de prises de position de l'association de promotion et de défense du logiciel libre.

Sommaire

Journal Ubuntu 14.04 LTS : Pourquoi il vaudrait mieux ne pas du tout s'en servir

Posté par Siosm (site web personnel) le 29 avril 2014 à 02:41. Licence CC By‑SA.

-14

29

avr.

2014

Concours sécurité sur LinuxFr.org : 3 livres à gagner !

Posté par Florent Zara (site web personnel, Mastodon) le 28 avril 2014 à 14:17. Édité par palm123, Benoît Sibaud et Nils Ratusznik. Modéré par claudex.

Étiquettes :

35

28

avr.

2014

La sécurité et la vie privée sont des sujets de plus en plus récurrents et sensibles, maintenant aussi aux yeux de la presse généraliste et du grand public depuis les informations fournies par Edward Snowden. Le flot continu de révélations ne calmera pas la situation de sitôt. Mais il n'y a pas que E.Snowden qui fait l'actualité en sécurité informatique, c'est aussi la faille Heartbleed dans OpenSSL et son impressionnante taxonomie, la fin de la liste Full Disclosure, etc. l'actualité sur le sujet ne manque pas. Si tout n'est pas parfait chez LinuxFr.org, nous tâchons de montrer l'exemple. Pour vous inciter à partager encore plus sur le sujet, nous vous proposons de gagner un des trois exemplaires du livre Hacking, sécurité et tests d'intrusion avec Metasploit (édité par Pearson), en espérant aussi que cela vous sensibilisera et vous permettra de monter en compétence sur ces sujets essentiels.

Hacking, sécurité et tests d'intrusion avec Metasploit

Bonne chance !

Journal Full Disclosure, le retour

Posté par Jiehong (site web personnel) le 23 avril 2014 à 22:38. Licence CC By‑SA.

Étiquettes :

10

23

avr.

2014

Il y a peu, Xavier nous apprenait que Full Disclosure, c'est fini.

Pourtant, devant les mouvements générés par cette annonce, une part de la communauté s'est organisé, et Full Disclosure a un nouveau départ.

Fyodor reprend donc le flambeau de John Cartwright pour colporter les idéaux d'une sécurité transparente, jusque dans la publication des nouvelles failles.

Longue vie à Full Disclosure, et n'hésitez-pas à vous inscrire si vous l'étiez sur l'ancienne.

Journal Qualité du logiciel : le logiciel libre est bien meilleur que le propriétaire !

Posté par khivapia le 17 avril 2014 à 11:20. Licence CC By‑SA.

Étiquettes :

34

17

avr.

2014

Le rapport 2013 de Coverity est sorti

http://www.ciol.com/ciol/features/213112/coverity-scan-report-source-software-quality-outpaces-proprietary-code

Coverity propose un service de vérification de code par analyse statique. Depuis 2008, ils testent à grande échelle des logiciels libres et comparent les statistiques à leur large base de clientèle reposant sur du logiciel propriétaire. Il s'agit majoritairement de programmes C/C++.

Régulièrement, la qualité du logiciel libre est mise en avant et surpasse celle du logiciel propriétaire, selon leur métrique de nombre de problèmes trouvés par coverity par 1000 lignes de (…)

Journal journal bookmark : vers un fork d'OpenSSL ?

Posté par anaseto (site web personnel) le 15 avril 2014 à 14:52. Licence CC By‑SA.

Étiquettes :

55

15

avr.

2014

Bonjour Nal,

je t'écris pour te faire part d'un possible fork d'OpenSSL par les développeurs d'OpenBSD qui ont démarré depuis quelques jours un nettoyage complet.

Entre autres :

suppression des fonctionnalités heartbeat qui ont conduit au bug de la semaine dernière;
suppression de beaucoup de code cryptographique en trop;
suppression de wrappers autour de fonctions standard, en particulier pour malloc qui entravait des techniques de mitigation d'exploit

et autres nettoyages divers (cf premier lien), ce qui vu de loin (…)

Tous les contenus étiquetés avec « sécurité »

Problématique

Sommaire