Après OpenSSH, il y a quelques temps, c'est au tour du serveur FTP de Sendmail d'être compromis. L'intrus a déposé des sources de la version 8.12.6 contenant un cheval de Troie qui s'exécute pendant la compilation, se connecte sur le port 6667 d'une machine fixe et ouvre un shell... Le même qu'OpenSSH quoi ! L'intrusion date du 28/09/2002, et pour le moment sendmail.org a fermé l'accès ftp.
Ceux qui auront pris le soin de vérifier la signature GPG/PGP l'auront remarqué...

Il est fortement conseillé de mettre à jour vos serveurs web: de nouveaux trous de sécurité ont été trouvés dans Apache 1.3.26 et versions précedentes. Entre autres: des risques de Denial-of-Service locaux, des risques de "cross site scripting" via les pages d'erreur 404 et divers "buffer overflows". (cf. le link ci dessous pour plus de détails). Merci à Tomasera@#linuxfr pour l'info :-)

Ô pauvres de nous! sous Linux on est pas en sécurité. jugez-en: 170 virus et chevaux de troie, 30 scripts shells, 6 ou 7 d'entre eux actifs en permanence (où ça où ça?). Et le pire, devinez, il ya plus de bogues sur les applications open-sources que chez Microsoft (485 contre 202). Ajoutez à ça que le nombre de failles de sécurité sous Linux va doubler en 2002, dixit X-Force (ça ressemble à X-Box ce nom, trouvez pas?), et on retourne chez Microsoft.
Moi je construis déjà mon radeau, le monde Unix est décidément trop dur.

Un bug affecte probablement toutes les versions de Mozilla : le célèbre navigateur libre envoie l'URL de la page actuellement visitée au serveur web précédemment visité. Ceci ne concerne pas seulement les liens hypertextes. Comme aucun correctif n'est actuellement disponible, il est recommandé de désactiver l'option "Javascript".

Une étude réalisée du 14 au 16 septembre 2002 sur l'ensemble du domaine ".fr", a établi que, sur un échantillon représentatif de 134.149 sites Web, 13.9% des serveurs Web Sécurisés sont vulnérables à la faille de sécurité "OpenSSL SSLv2 Malformed Client Key Remote Buffer Overflow" découverte le 30 juillet 2002.

Celle-ci est particulièrement sérieuse, car elle est actuellement exploitée par le vers Linux.Slapper.Worm.

14000 machines ont déjà été confirmées comme étant infectées.

NdM: laurentn rajoute :
« La faille se situe dans le module OpenSSL d'Apache qui permet les transactions cryptées sur le Web. Le ver reconnaît ses proies en envoyant une requête GET sur le port 80 du serveur pour reconnaître le système Apache. Une fois Apache trouvé, le ver va essayer de se connecter au port 443 du serveur, pour lui envoyer son code. Ce dernier est ensuite compilé avec GCC et les binaires sont exécutés. Le fichier est alors placé dans "/tmp". »

NewPKI est une nouvelle solution de PKI libre (NdM: licence propre au logicel, libre, copyleftée, et, semble-t'il compatible GPL) développée autour d'OpenSSL.
Le serveur et le client peuvent être installé sous GNU/Linux ou sous Windows (9x comme NT/2000).
Le serveur s'appuie sur une base de données MySQL pour le stockage des données, ce qui permet une grande flexibilité.
Voici quelques fonctionnalités supportées par NewPKI :

- Gestion de multiples AC dans un seul serveur.
- Publication d’une demande de certificat depuis un PKCS10.
- Publication d’une demande de certificat en saisissant les champs du DN.
- Gestion en PKCS12 des clés privées des certificats.
- Gestion des SmartCards.
- Recherche dans un LDAP et publication du certificat.
- Recherche de certificats et des demandes.
- OCSP responder.
- Possibilité d'utilisation de modules hard pour stocker les clés d'AC.
- Toutes les fonctionnalités courantes pour une PKI (révocation, création de CRLs, etc.).

Il y aplusieurs manières de filtrer vos mails avec Perl.
Les deux méthodes les plus populaires et les plus inétressantes sont d'utiliser:
- PerlMX
- Mail::Audit

Un article sur Perl.com rédigé par Michael Stevens prend le temps de nous présenter ces deux solutions et nous livre son avis sur la question.

NdR: Quelques liens de plus ça ne fait pas de mal :)

Une nouvelle faille a été découverte dans le noyau de OpenBSD.
Un oubli de verification dans les appels systemes select et poll permet à un attaquant d'ecrire sur la mémoire du noyau, et d'éxecuter des instructions arbitraires.
Les utilisateurs locaux du systeme ont donc la possibilité de passer root sur la machine.
Des patchs sont disponibles pour les version 3.0 et 3.1 d'OpenBSD.

Plusieurs problèmes de sécurité ont été réglés sur différents packages de la Slack 8.1.

On note entre autres une correction de "buffer overflow" dans la glibc, d'un bug permettant d'escalader des privilèges dans Apache, un passage à OpenSSL 0.9.6e et une recompilation d'openSSH en conséquence.

ND(partial)M : Slack r3lWz

D'après un mail sur la liste de freebsd-security, le tarball de la dernier version d'openssh portable (openssh-3.4-p1) contient un shell code dans openbsd-compat/bf-test.c, qui sera lancé via Makefile.in si on fait un make.

Vous pouvez comparez avec un miroir :

ftp.openbsd.org (infecté) :
ftp://ftp.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz

ftp.lip6.org (non infecté):
ftp://ftp.lip6.fr/pub/OpenBSD/OpenSSH/portable/openssh-3.4p1.tar.gz

Des failles de sécurité dans openssl 0.9.6d ou inférieur ou 0.9.7-beta2 ou inférieur ont été découvertes par A.L. Digital Ltd et The Bunker lors d'un audit de securité. Pas moins de 4 vulnerabilités sont exploitables.

Un compte-rendu et l'analyse d'une mise en place d'un pot de miel (honeypot) avec OpenBSD 3.0 vient d'etre publié. L'auteur l'a rédigé en une trentaine d'heure et a laissé ouverte la porte qui permet d'exploiter "la seule faille distante découverte en 6 ans" d'OpenBSD.
Un jeune pirate s'est retrouvé "collé" dedans comme l'indique le rapport. Mais là où cela se complique, c'est que l'anonymat du pirate a été très mal conservé dans le rapport (notamment à cause de captures d'écran maladroites).
La nouvelle a été commentée sur /. et les contributeurs se sont fait une joie de divulguer nom, prénom, photos, addresse (avec plan et photos de la maison), numéro de téléphone, contacts ICQ/AIM, addresses emails, posts sur alt.hacking du dénommé omegakidd. Quelqu'un lui a même téléphoné pour lui demander s'il était bien au courant d'être le "crétin le plus connu de slashdot".
En effet, on se demande qui cela peut bien être...

La société StrongHoldNet vient de faire une étude sur la sécurité des serveurs français utilisant Apache (tous systèmes d'exploitations confondus).

Il en ressort la chose suivante:
- 20.5 % d'entre eux (dont linuxfr.org fait partie :-) utilisent une version non vulnérable d'Apache (>= 1.3.26 or >= 2.0.39),
- 23.2 % d'entre eux utilisent une version antérieure patchée,
- 56.3 % d'entre eux sont vulnérables (soit 23 % du total des serveurs
web français).

Pour le moment, des exploits ont été publiés seulement pour OpenBSD, NetBSD et FreeBSD (d'ailleurs le vers "Scalper" exploite justement la vulnérabilité sous FreeBSD); pas encore d'exploit largement diffusé pour Linux, mais GOBBLES (auteur de l'exploit pour les *BSD) prétend que c'est possible.

Moralité : Mettez tous vos Apache à jour avant que l'exploit pour Linux soit connu. Un vers "Nimda-like" qui infecte des miliers de machines sous Linux serait du plus mauvais effet pour la réputation du système...

Hank Leininger indique sur Securityfocus que le package ircii-pana-1.0c19.tar.gz qui était téléchargeable jusqu'au 1 Juillet, sur ftp.bitchx.org, était vérolé par une backdoor. Le script tente une connection à l'extérieur une fois par heure.

Le même package téléchargeable à partir de ftp.irc.org est sain.

Le code ajouté au package ircii-pana-1.0c19.tar.gz initial est indiqué dans le post de Hank Leininger.

Le problème devient très génant lorsque Hank Leininger s'apperçoit qu'il y a plusieurs copies de ce package sur ftp.bitchx.org (au moins deux), et que certains téléchargement fournissent une version vérolée et pas d'autre. Les utilisateurs qui se connectent avec des modem-cables ou DSL semblent recevoir les versions vérolés, alors que les utilisateurs ayant des connections moins rapide reçoivent la version saine.
De plus, rapatrier le package un par client ftp peut livrer une copie saine alors que Lynx récupère une copie vérolée.

Hank Leininger en arrive à la conclusion que ftp.bitchx.org a surement été rootkité, et qu'il faut donc se méfier de tout package en provenance de ce serveur ou de ses mirroirs.

Les développeurs du site seraient en train de chercher le trou de sécurité dans leur système.

Au moment ou je poste cette news, le site bitchx.org semble fermé.

Cette news est passée sur unixtech.be mais avec le titre bizarre "Apres la backdoor d'irssi, voici celle de BitchX", et juste le lien sur securityfocus.