D'après un éditorial sur le site de Microsoft, il est temps de se lancer dans la chasse à «l'anarchie de l'information». Monsieur Culp (responsable du 'Security Response center') explique dans son petit billet qu'il n'y aurait pas de vers et de virus s'il n'y avait pas cette bande d'anarchistes irrésponsables qui trouvent les bugs et les publient.
Moi je suis d'accord avec lui, et je pense que toute personne faisant un rapport de bug devrait être sévèrement punie par la loi. Non mais franchement...
L'armée française aurait du investir dans le libre
Qui a dit :
« dans les forces armées, Bill Gates règne aujourd´hui en maître »,
et
« il eut été préférable pour l´armée française d´investir dans le développement de ses propres applications "libres" plutôt que de dépendre de technologies "propriétaires" américaines. »
Je vous le donne en mille : le Général Jean-Louis Devisgnes, ex directeur du SCSSI, à l'occasion du discours de clôture du second salon des technologies de l´information et de la communication organisé par l´École supérieure d´application des transmissions (ESAT).
« dans les forces armées, Bill Gates règne aujourd´hui en maître »,
et
« il eut été préférable pour l´armée française d´investir dans le développement de ses propres applications "libres" plutôt que de dépendre de technologies "propriétaires" américaines. »
Je vous le donne en mille : le Général Jean-Louis Devisgnes, ex directeur du SCSSI, à l'occasion du discours de clôture du second salon des technologies de l´information et de la communication organisé par l´École supérieure d´application des transmissions (ESAT).
Le gouvernement hollandais veut réglementer le cryptage fort
Le site Telepolis, qui est toujours très bien informé sur les affaires touchant à la crypto, à Echelon, et tout ce genre de choses, a un article plutôt inquiétant sur une annonce faite par le gouvernement hollandais qui veut réglementer strictement l'usage du cryptage fort.
Le gouvernement n'a pas dit comment il comptait s'y prendre, mais un projet précédent de 1994 prévoyait, tenez-vous bien, d'accorder des licences d'utilisation aux personnes voulant utiliser un logiciel de crypto...
Le gouvernement n'a pas dit comment il comptait s'y prendre, mais un projet précédent de 1994 prévoyait, tenez-vous bien, d'accorder des licences d'utilisation aux personnes voulant utiliser un logiciel de crypto...
Webalizer : le bug du 4 octobre 2001
A tous ceux qui utilisent la version stable de webalizer de Debian et
les autres qui même sans utiliser le package debian utilisent webalizer
1.30 ou 2.0.0, regardez vos statistiques web ; elles risquent bien de
s'être arrêtées au 4 octobre.
Visiblement, il y a des problèmes au niveau des timestamps qui sont calculés en utilisant une fonction jdate refaite et basé sur le 1er janvier 1990 (?).
Mozilla et DynDNS ont subi ce bug par exemple (voir urls).
Seule la dernière version 2.0.1 ne semble pas affectée par ce Pb (voir stats li.org).
Solution :
- passer à la dernière version de webalizer
- calculer epoch depuis le 1/1/1970 au lieu du 1/1/1990 :
/* initalize epoch */
epoch=jdate(1,1,1970); /* used for timestamp adj. */
ps : ce n'est pas certain que cette dernière solution corrige tous les problèmes...
Visiblement, il y a des problèmes au niveau des timestamps qui sont calculés en utilisant une fonction jdate refaite et basé sur le 1er janvier 1990 (?).
Mozilla et DynDNS ont subi ce bug par exemple (voir urls).
Seule la dernière version 2.0.1 ne semble pas affectée par ce Pb (voir stats li.org).
Solution :
- passer à la dernière version de webalizer
- calculer epoch depuis le 1/1/1970 au lieu du 1/1/1990 :
/* initalize epoch */
epoch=jdate(1,1,1970); /* used for timestamp adj. */
ps : ce n'est pas certain que cette dernière solution corrige tous les problèmes...
Un serveur Web n'est pas conçu pour résister à des attaques
Il y a des histoires qui sont faites pour durer, Code Red et consors en font partie : on nous raconte des choses formidables sur IIS ici. Je sais que cela va encore en désoler plus d'un, mais j'ai trouvé ce titre tellement accrocheur que je n'ai pu y résister.
Bon évidemment, c'est encore un piège à trolls (don't feed the troll), mais ça fait un peu rire pour ceux qui sont au boulot et vont pouvoir commencer leur journée dans la bonne humeur :)
Note : notez aussi la photo du gars, il a l'air tellement sérieux qu'il m'a donné envie d'acheter IIS et Windows.
Bon évidemment, c'est encore un piège à trolls (don't feed the troll), mais ça fait un peu rire pour ceux qui sont au boulot et vont pouvoir commencer leur journée dans la bonne humeur :)
Note : notez aussi la photo du gars, il a l'air tellement sérieux qu'il m'a donné envie d'acheter IIS et Windows.
des euros dans des enveloppes blindées
L'administration allemande va financer le développement d'outils cryptographiques forts pour Kmail et Mutt.
Selon openpgp.fr, d'autres fonds pour le Libre avaient été débloqués en 1999.
Selon openpgp.fr, d'autres fonds pour le Libre avaient été débloqués en 1999.
Microsoft essaie de rassurer ses clients sur la securite d'IIS
On a beaucoup parlé ces derniers temps des virus et vers s'attaquant à IIS (Nimda, Code Red) et des réactions comme celle du Gartner Group conseillant de considérer des solutions alternatives pour remédier à ces problèmes sans fin.
Microsoft dévoile son initiative 'Get Secure/Stay Secure', visant à proposer des solutions de sécurisations pour leur OS. En vrac : outils d'audit, configuration 'secure' par default, ...
J'aime particulièrement le petit paragraphe sur la livraison de packages par Windows Update:
"Each package will require one step to deploy and only one system reboot"
Le moins que l'on puisse dire, c'est que quand le géant se sent menacé, il sait réagir vite.
Microsoft dévoile son initiative 'Get Secure/Stay Secure', visant à proposer des solutions de sécurisations pour leur OS. En vrac : outils d'audit, configuration 'secure' par default, ...
J'aime particulièrement le petit paragraphe sur la livraison de packages par Windows Update:
"Each package will require one step to deploy and only one system reboot"
Le moins que l'on puisse dire, c'est que quand le géant se sent menacé, il sait réagir vite.
top20 des erreurs
SANS (System Administration, Networking, and Security) Institute propose un document regroupant les 20 principales lacunes à eviter pour sécuriser vos machines sur un réseau.
le document a été mis à jour hier.
le document a été mis à jour hier.
Faille dans OpenSSH 2.5.x et 2.9.x
Cette faille permettrait d'obtenir un accès depuis une machine non autorisée en utilisant l'option 'from' en utilisant des clés RSA et DSA dans le fichier "authorized_keys2"
Un patch est dispo ou vous pouvez passer en 2.9.9.
Toutefois ce bug n'est pas encore dans le bug report de openssh.
Note du modérateur: Ce bug n'affecte que la version 2 d'OpenSSH, la distribution Debian n'est pas affectée par ce problème (version 1.2.3).
Un patch est dispo ou vous pouvez passer en 2.9.9.
Toutefois ce bug n'est pas encore dans le bug report de openssh.
Note du modérateur: Ce bug n'affecte que la version 2 d'OpenSSH, la distribution Debian n'est pas affectée par ce problème (version 1.2.3).
Nimda, on remet ça?!
Selon un article de securityfocus, Nimda, un ver qui aurait infesté plus de 450000 IP la semaine dernière remettrait le couvert. Toujours selon securityfocus, qui aurait osculté les entrailles de la bête, Nimda serait doté d'une fonctionnalité lui permettant de se réactiver tous les dix jours. La première attaque datant du 18 septembre à 3:00 GMT il est raisonnable de penser qu'un certain nombre d'utilisateurs de Microsoft® Windows® 95, 98, ME, NT, 2000 et de IIS auront, dès ce soir, à fêter les retrouvailles. Vous reprendrez bien un ver ?
GR-Security 1.8
GR-Security, le patch de sécurité pour le noyeau 2.4 qui reprend des classiques de la branche 2.2 , vient de sortir (hier) sa nouvelle version 1.8 (disponible pour 2.4.9 et 2.4.10).
Nouveautés: update PaX (http://pageexec.virtualave.net) code, anti-fork bombing code, pas mal d'updates pour l'ACL, ainsi que du bugfix.
(Une modif de dernière minute sur la release du 24-09 ayant été faite, il vous est conseillé de repomper la dernière du 25)
Nouveautés: update PaX (http://pageexec.virtualave.net) code, anti-fork bombing code, pas mal d'updates pour l'ACL, ainsi que du bugfix.
(Une modif de dernière minute sur la release du 24-09 ayant été faite, il vous est conseillé de repomper la dernière du 25)
Vulnérabilité importante dans PHPNuke
BugTraq vient d'annoncer une superbe vulnérabilité dans PHPNuke (toutes versions sauf la 5.0 RC1). À l'aide d'une simple URL, un quelconque 5cr1p7 k1dd13z peut récupérer le config.php (et donc les mots de passe de la DB), ou encore uploader des fichiers, grâce à un script non protégé (précisons que je n'ai pas testé, pas le temps d'installer un Nuke). Pour le coup, le programmeur mérite bien un Goret Award...
[Note : puisque l'advisory a été envoyée sur BugTraq, je la propose ici. Toutefois, il serait peut-être intelligent de la garder sous le coude un moment pour éviter des 3733t h4x0r1ngs en cascade...]
[Note : puisque l'advisory a été envoyée sur BugTraq, je la propose ici. Toutefois, il serait peut-être intelligent de la garder sous le coude un moment pour éviter des 3733t h4x0r1ngs en cascade...]
MafiaBoy condamné
Le cracker (voire script-kiddy) canadien MafiaBoy (17 ans), auteur de plusieurs denis de service distribués (DDoS) contre des grands sites Internet en février 2000, a été condamné à "une peine de 8 mois de "garde ouverte" à purger dans un centre pour jeunes contrevants, assortie d'une mise à l'épreuve d'un an et de l'obligation de verser 250 dollars canadiens (160 USD) à un organisme de charité."
Filtrage d'URL par mod_eaccess
Le module apache "mod_eaccess", développé au départ par Patrick ASTY, est maintenant maintenu par HSC, et à cette occasion la documentation française a été rédigée.
Cet article présente l'installation et la configuration d'un système de filtrage pour un site type "e-commerce", de l'architecture à adopter jusqu'à la configuration d'apache.
Intéressant, pour ceux qui sont concernés par la sécurité de leur site...
Cet article présente l'installation et la configuration d'un système de filtrage pour un site type "e-commerce", de l'architecture à adopter jusqu'à la configuration d'apache.
Intéressant, pour ceux qui sont concernés par la sécurité de leur site...
Un nouveau cheval de Troie sous Linux ?
vnunet.com annonce l'existance d'un nouveau cheval de Troie pour Linux qui aurait été découvert par Qualys, la "célèbre" entreprise de sécurité.
L'article est très vague et fort peu technique; on y trouve les idées suivantes :
L'article est très vague et fort peu technique; on y trouve les idées suivantes :
- Le cheval est similaire au célèbre outils d'administration Back Orifice
- Il s'installe sur le port UDP 5503 et plus et s'annonce sur un serveur web grand breton
- Il se propage par EMail
- S'il se répand, il risque de faire bien plus de dégats que Code Red car 58% des serveurs tournent sous Apache, et donc majoritairement sous Linux, alors que Windows NT ne représente que 25%