Des chercheurs anglais ont découvert une grave faille de sécurité dans les protocole IPSec, utilisés pour le cryptage des paquets dans les réseaux VPN.

Cette faille concerne les tunnels IPSec ESP (Encapsulating Security Payload) et certaines configurations utilisant AH (Authentification Header), et permet à l'attaquant de récupérer en clair le contenu d'un paquet qui ne lui est pas destiné par un message d'erreur ICMP. Elle est considérée comme grave, et cible potentiellement un grand nombre de réseaux d'entreprise.

Des solutions sont d'ors et déjà disponibles, mais elles imposent la modification de la configuration du VPN.

PaX est un projet visant à apporter à Linux des moyens de prévenir et/ou de minimiser l'impact des failles donnant accès à l'espace d'adressage d'une tâche, comme les dépassements de tampon (buffer overflow), les format string attacks, etc. Il est une partie importante de grsecurity, qui fournit un ensemble d'améliorations liées à la sécurité pour Linux (protection renforcée des chroot , RBAC, etc.).

Le projet a annoncé le 4 mars la présence d'une faille majeure dans le code même de PaX, permettant d'obtenir à un utilisateur simple de gagner des droits plus importants sur le système, voire des droits administrateurs. Cette faille est exploitable localement, mais une exploitation à distance semble peu probable.

Une version mise à jour du patch est bien sûr disponible sur le site de PaX, ainsi que la version 2.1.2 de grsecurity qui inclut le correctif. Dans l'urgence,

# echo "0 0" > /proc/sys/vm/pagetable_cache

...permet d'éviter le principal vecteur d'exploitation potentiel.

Les auteurs de PaX ont par ailleurs déclaré qu'au vu de la gravité de la faille et pour d'autres raisons, le développement de celui-ci serait arrêté au 1er avril 2005. Brad Spengler, un des auteurs de grsecurity, s'est cependant porté volontaire pour reprendre le flambeau.

NdM : merci à mmenal pour avoir contribué à la news.

Une nouvelle faille vient d'être découverte dans les noyaux 2.4 et 2.6. La fonction système uselib() (qui permet de sélectionner une bibliothèque partagée d'après son fichier binaire) contient une faille qui permet à un utilisateur mal intentionné de s'approprier les privilèges de l'utilisateur root. Cette faille n'est pas exploitable à distance, mais seulement par une personne possédant déjà un compte sur la machine.

K-OTik Security nous apprend que deux vulnérabilités ont été identifiées dans le noyau Linux, elles pourraient être exploitées par un attaquant afin de causer un déni de service ou augmenter ses privilèges.

1) Le premier problème résulte d'une erreur présente au niveau du module IGMP (Internet Group Management Protocol), elle pourrait être exploitée par un utilisateur local afin d'augmenter ses privilèges (à root), ou par un attaquant distant afin de causer un déni de service [l'attaquant devra être capable d'envoyer des requêtes IGMP_HOST_MEMBERSHIP_QUERY, et les fichiers /proc/net/igmp et /proc/net/mcfilter cibles devront être non vides].

2) La seconde vulnérabilité concerne la fonction scm_send(), elle pourrait être exploitée par un utilisateur local afin de causer un Déni de Service. L'exploitation (à des fins d'élévation de privilèges) n'est pas possible sous Linux 2.4.x, la possibilité d'exploitation sous Linux 2.6.x n'a pas été confirmée/infirmée.

Aucun correctif officiel pour l'instant, donc patience.

Une mise à jour critique pour Firefox 1.0PR est parue le 1er octobre, corrigeant la possibilité pour un intrus d'effacer des fichiers du repertoire de téléchargement. Cette faille n'a pas encore été exploitée.

À noter la facilité de mise à jour pour ceux qui utilisent Firefox 1.0PR : aller dans preferences, "advanced", "software update ", puis cliquer le bouton "check now" (apres redémarrage, on voit "Firefox/0.10.1" dans la fenêtre "about Mozilla").

NdM : ou bien cliquer sur la petite icône rouge en haut à droite qui annonce la disponibilité de mise à jour.

La société Mandrakesoft a été retenue par le Ministère de la Défense français pour participer à un consortium, incluant Bertin Technologies, Surlog, Jaluna et Oppida, chargé de développer un système d'exploitation ouvert de haute sécurité. Ce système devra répondre à la certification CC-EAL5 (« Common Criteria Evaluation Assurance Level 5 »). Le montant du contrat est de 7 millions d'euros sur trois ans, dont 1 million pour Mandrakesoft.

La tache principale de Mandrakesoft sera d'adapter sa distribution et de mobiliser les ressources de la communauté du logiciel libre autour de ce projet. À terme, les résultats de ce projet seront publiés sous licence Open Source (NdM : libre ?).

François Bancilhon, directeur général de Mandrakesoft, indique : « C'est [...] notre projet le plus important à ce jour, et un événement majeur pour notre entreprise.» C'est incontestablement un bonne nouvelle pour Mandrakesoft, qui engrange un gros contrat et renforce par la même occasion sa crédibilité vis à vis des grands comptes, mais également pour l'ensemble de la communauté du logiciel libre, qui voit ici reconnue la supériorité du modèle open source en matière de sécurité des systèmes informatiques.

Est-il encore besoin de présenter la suite Mozilla ?

Une suite de logiciels libres multi-plateforme (GNU/Linux, Windows, Mac OS, Solaris, BSD..) comprenant navigateur web, logiciel de courriel, lecteur de forums NNTP, créateur de pages HTML...etc.

Cette nouvelle version n'apporte pas de nouvelles fonctionnalités en soit, mais son lot de corrections pour failles de sécurité en tout genre.
Au nombre de dix pour cette version ! (NdM : ces failles, détaillées sur secunia.com par exemple (débordement de tampons, accès non prévu à des données, problèmes de permission, etc.), affectaient pour certaines aussi Firefox et Thunderbird, où elles ont été corrigées dans les versions 1.0PR et 0.8.0 respectivement.)

Mettez à jour votre version et bon surf !

Une faille de sécurité vient d'être découverte par l'organisation non-commerciale iSEC Security Research dans les noyaux <=2.4.26 et <=2.6.7.
La vulnérabilité se trouve dans le code gérant les pointeurs de position dans les fichiers 64bit. Ainsi n'importe quel processus utilisant ce bug pourrait lire des pages entières de la mémoire du noyau.

Les correctifs pour la RedHat Enterprise Linux sont déjà en ligne.
Pour la branche 2.4, la version 2.4.27-rc5 (qui devrait dans quelques jours être stable) corrige déjà le problème.
Mise à jour : le 2.4.27 est sorti. Voici le changelog.

Un nouveau programme a été lancé pour améliorer la découverte des failles de sécurité dans le projet Mozilla.

Suivant le principe des "bounty hunters", ces chasseurs de primes qui chassaient des animaux en échange de récompenses, le nouveau programme propose à la communauté des primes pour la traque des bugs critiques au niveau de la sécurité des logiciels du projet.

La fondation Mozilla vient juste de sortir un trio de nouvelles versions de Mozilla pour la correction de la vulnérabilité de sécurité du Windows shell. Ces versions n'apportent donc rien d'autre que le correctif.

Le correctif implique la désactivation du shell : manipulateur de protocole, qui a été découvert comme permettant aux pages de lancer des exécutables sur Windows par l'intermédiaire d'un lien.

Un XPI (Cross Platform Installer) est disponible pour désactiver cette fonctionnalité et il est également possible de se protéger en positionnant la valeur de l'option de configuration network.protocol-handler.external.shell à false.

PhpSecure sera présent aux RMLL cette année, dans le cadre du thème CMS (Content Management Systems, Système de Gestion de Contenu), pour une conférence d'une heure sur la sécurité des applications de gestion de Contenu en PHP, ce Vendredi 9 Juillet à 17h20 (à Bordeaux).

Au programme : un tour d'horizon des CMS en vogue, du point de vue de la sécurité, des exemples de failles de sécurité classiques et des pistes pour sécuriser ses applications en PHP.

Internet Explorer n'en fini pas de faire des victimes. La dernière en date : Microsoft !

Le US-CERT (qui appartient désormais au fameux département de "Homeland Security"), vient de mettre à jour son alerte concernant les failles de sécurité d'IE. Sa nouvelle recommandation : "Use a different web browser" ("Utilisez un navigateur web différent").

Il manque juste un lien vers Mozilla, Firefox, Konqueror, Lynx, etc.

NdM : attention MyIE2, Avant Browser et Crazy Browser ne sont que des habillages de IE et sont donc également vulnérables aux mêmes failles de sécurité.

Dans le cadre du Challenge Securitech 2004, Pierre Betouin, organisateur, donna une conférence le 7 juin 2004 lors des réunions du groupe SWNT de l'OSSIR. Lors de celle ci, il a été abordé les détails techniques, logistiques et juridiques de l'organisation d'un concours de ce type ainsi que la résolution des niveaux, le monitoring, les problèmes rencontrés et les contraintes de sécurité. À voir également les insolites : résolution des niveaux de cryptographie avec un tableur !

Le site secuobs.com vous propose le choix entre une retranscription du flux vidéo ou la version audio de cette intervention qui dure 40 minutes. La vidéo est disponible au format MPEG4 (le son est en AAC) regardable avec mp4player/gmp4player (mpeg4ip), mplayer ainsi que les dernières versions de Quicktime (6). L'audio est au format Ogg Vorbis, mp3 et aac. Le tout est disponible en ligne (embed html) ou au format tar+gz en téléchargement.

Le site Secuobs.com vous propose un tutorial de 6 pages sur l'implémentation et la sécurisation du serveur web apache pour Linux. L'utilité, l'installation et la configuration des composants suivants sont expliqués dans ce document : Apache avec DSO (Dynamic Shared Object), Openssl, Php4, Mysql, Mod_ssl, Mod_rewrite, Mod_perl, Mod_security avec Snort2modsec.pl et snortrules-snapshot-CURRENT.

Le tutorial se décompose en deux parties : une partie classique d'installation et de configuration manuelle à la manière des "how-to", et une partie automatisée qui vous permettra en récupérant l'unique script exoweb.pl d'installer et de configurer automatiquement l'ensemble de ces composants. A noter que chaque composant peut également être installé séparément et automatiquement via des mini-scripts shell en fonction de ceux que vous souhaitez installer ou de ceux que vous avez déjà installés.

Mise à jour importante du tutorial : intégration de la nouvelle version stable de mod_security 1.8 nouvellement sortie, activation du chroot par mod_security dans la configuration par défaut de la procédure automatisée, bugfixes de la procédure chroot manuelle et automatisée

Une nouvelle vulnérabilité a été découverte le 09 juin 2004 concernant tous les noyaux 2.4.x et 2.6.x (détails des noyaux non vulnérables dans l'annonce en anglais).

Cette faille nécessite un accès local à la machine et peut s'exécuter par la compilation d'un simple programme en C. Le bug a été également reporté dans le bugzilla de GCC (versions affectées 2.96, 3.0, 3.1, 3.2, 3.3 et 3.3.2).

Le patch concerne un simple changement de ligne sur la fonction clear_fpu() changeant l'appel asm volatile de ("fwait") vers ("fnclex ; fwait").

Le lien comporte un patch pour 2.4.x, 2.6.x et le test permettant de tester votre système, il est recommandé de synchroniser les systèmes de fichiers avant de tenter l'exploit.