L'Open Web Application Security Project (OWASP), organisation de volontaires publiant des outils logiciels et bases de connaissance Libres sur la sécurisation des applications web, a publié une étude portant sur les 10 vulnérabilités (trous/failles de sécurité) les plus courantes des applications et services web.
Le rapport est au format PDF et pèse 336 Ko.

L'ouverture d'un fichier texte sous VIM peut déclencher l'exécution d'un code malicieux. Cet exploit posté mardi dernier sur neworder et mis en forme pour réaliser un ver, peut être évité en ajoutant la ligne "set modelines=0" dans votre .vimrc.

Note du modérateur : comme d'hab, mettre à jour avec les nouveaux paquets fournis par l'équipe sécurité de votre distribution. J'ai rajouté les liens vers les 4 dernières références.

Le second hors série de linux magazine "le firewall votre meilleur ennemi" vient de paraitre. Sachant que le premier était excellent celui ci s'annonce aussi très bien (je n'ai pas encore tout lu).

La Commission des Lois de l'Assemblée Nationale a adopté un certain nombre d'amendements pour « renforcer » le projet de loi Sarkozy (qui sera examiné le 14 lanvier).

Parmi les amendements proposés, on trouve des éléments pour autoriser les perquisitions informatiques et l'accès aux données des opérateurs téléphoniques et élargir les inscriptions obligatoires dans le fichier des personnes recherchées, de même que le champ du fichier des empreintes génétiques..

Au menu, d'excellents articles sur le 'arithmetic overflow', que vous *devez*
connaître si vous voulez vous prétendre un programmeur un tant soit peu sérieux.

Je vous mets en lien quelques bugs courants qu'on a tous fait un jour et que vous ne devez plus jamais faire après lecture de ces excellents articles.

Hier (21 décembre), la version 3.0.5a de KDE est officiellement sortie.

Pas de fonctionnalités particulières, mais elle corrige le gros trou de sécurité découvert il y a quelques temps (dans certains cas, mauvais "quotage" des arguments d'une instruction passée vers la ligne de commande pour son exécution).

Ce problème sérieux affectait les version 2.x et 3.x...

Des patchs, sur le serveur ftp de KDE, sont également disponible pour KDE 2.2.2.

Alors qu'on annonçait il y a peu la sortie prochaine d'un player flash pour linux, Macromédia, lui, a averti ses développeurs d'une faille dans son programme phare.

Il serait possible à une personne mal intentionnée de faire exécuter une commande via un fichier flash modifié.

Suite à une série d'attaques DDoS lancées le 11 décembre dernier et ayant duré près d'une semaine, il a été difficile voire presque impossible d'accèder au site officiel de Slackware (cependant l'accès au serveur ftp était toujours possible, et le développement ne s'est pas arreté)

Actuellement ces attaques ont stoppé, mais leurs sources restent inconnues, ainsi que leurs raisons.

Une enquête est actuellement en cours afin de connaître la source de ces attaques, donc si vous avez une information précieuse sur celles-ci, elles sont les bienvenues à security@slackware.org

Ikarios, et d'autres petites ou moyennes structures de vente par correspondance sur l'Internet, ont recours à des sociétés prestataires qui sécurisent les paiements en ligne. Qu'arrive t-il lorsque ces prestataires sont eux-mêmes des pirates ?

L'équipe de KDE a été obligée de repousser la sortie de KDE 3.1 après avoir découvert qu'un trou de sécurité mineur découvert le 26 novembre se répétait à de très nombreux endroits dans le code, que l'audit complet de celui-ci s'avérait nécessaire et que celui ci ne peut etre achevé avant la semaine prochaine. Plus ennuyeux, le problème affecte apparemment toutes les versions de KDE depuis la 2.x. Des patches et updates vont probablement sortir pour les versions précédentes une fois l'audit achevé.

[Réprise / Traduction de l'info chez "Barrapunto"]

L'utilisation d'un ordinateur portable sur les jambes pendant une heure a provoqué que le penis et les testicules d'un suedois de 50 ans soient brûlés. Le monsieur en question affirme qu'il portait bien son pantalon ainsi que des sous-vetements.

CNN et The Register publient l'info dans leurs pages. The Register propose l'idée que ce soit un Dell Latitude car dans le manuel d'utilisation on peut lire une référence à ce type d'éventualité :

"CAUTION: Do not allow your portable computer to operate with the base resting directly on your body. With extended operation, heat can potentially build up in the base. Allowing sustained contact with the skin could cause discomfort or, eventually, a burn."

Je commence à imaginer la superbe publicité des processeurs Crusoe que Transmeta pourrait faire avec ce truc ... :-) Et alors ... ton truc, ça chauffe ?

Je rappelle que quelques problèmes de sécurité étant apparus récemment sur les kernels (2.2, 2.4 et 2.5 sont sensibles à un DoS), sur KDE (2.x et 3.x) et Samba (2.2.2 à 2.2.6), certains patches (rustines?) et mises à jours sont disponibles.

Communiqué de presse d'APRIL - APRIL s'associe à la mise en garde de Richard M. Stallman au sujet des projets Palladium et TCPA de Microsoft et d'Intel qui menacent la liberté de chaque utilisateur, notamment la liberté d'utiliser un logiciel libre, en contrôlant tous les ordinateurs.

La sortie d'un nouveau hors-série de Linux Magazine, le n°12, consacré aux firewalls. Ce premier volet présente ce qu'est le filtrage, les mécanismes internes de Netfilter, pourquoi firewall et application web ne font pas bon ménage, comment gérer des logs hétérogènes, et enfin la pénétration de réseaux à l'aide de backdoors réellement furtives.

Il sea suivi en Janvier d'un second volet détaillant différents types de firewalls (organisation réseau, FW matériels, FW personnels, FW bridges), comment déterminer et contrôler les règles d'un FW, voire les contourner.

De multiples vulnérabilités ayant différents impacts ont été trouvées dans BIND, client/serveur de nom bien connu par l'Internet Software Consortium (ISC).
Tous à vos patches!