Une nouvelle faille pour Internet Explorer vient d'être annoncée par Microsoft. Et ce n'est pas une petite faille de rien du tout... En effet, en modifiant l'entête Mime d'un e-mail, Internet Explorer exécute un programme sans vous en avertir (si l' e-mail est en HTML).
En gros, n'importe qui peut lancer le formatage de votre disque simplement en vous envoyant un mail...
Microsoft vient de sortir un patch à appliquer de toute urgence...
Plusieurs patch sont sortis depuis longtemps : www.debian.org, www.mandrake.org ...

Merci à 09:53:48 sur la tribune

Voila qu'on nous annonce l'apparition d'un virus capable d'infecter aussi bien Windows que Linux.

Je suis très sceptique sur la chose, car je ne vois pas bien quels sont les points communs, d'un point de vue script ou éxecution de binaires, bref, quels points communs il y a entre une station Linux et une station Windows.

Alors, à part avoir installé Perl ou Java sur les deux machines, comment est-ce possible ? Ou bien sont ce deux instances différentes de virus, qui ont le même nom ? Ou bien est-ce du pipeau ?

Bref, est ce possible ?

En passant, outre responsabiliser un utilisateur à faire gaffe à son installation, aux droits d'accès, aux ports ouverts, existe t-il un projet de "surveillance" d'un poste (une sorte d'antivirus/firewall avec des fonctions de base, histoire de faciliter la vie aux utilisateurs lambda) ?

Où l'on apprend que Microsoft a maintenant pour ambition de faire en sorte que les PC eux-mêmes soient "sécurisés". Et de ce fait n'acceptent plus les fichiers audio et vidéo non authentifiées.

Bien sûr, cela nécessite tout un tas de "nouvelles" technologies, comme le Secure Audio Path (en bref, jusqu'au enceintes, le flux audio est crypté) et le CPRM (copy protection right management) pour empècher de stocker sur un disque dur des fichiers non autorisées, et qui empèchent aussi la copie sur d'autres disques.

L'intention de protéger les droits d'auteurs est certes louable, mais il ne faut pas oublier les droits des utilisateurs à faire ce qu'ils veulent des produits qu'ils ont acheté (fair use).

Après les déboires des utilisateurs de Red Hat à cause du worm Ramen, un nouveau se propage actuellement à travers les machines Linux du net, le Lionworm. Il exploite pour cela la récente vulnérabilité TSIG de bind. En comparaison du worm Ramen, il semble plus dangereux et beaucoup plus discret: il installe un rootkit dès que la box a été « rootée ».

Update du modérateur: Pour l'instant seul un utilitaire pour détecter le worm est disponible (lionfind), mais la trace SNORT est fournie et tout le monde s'active pour corriger bind (les mises à jour sont déjà disponibles pour les principales distributions).

La nouvelle version 2.5.2 de OpenSSH est disponible. Parmi les nouveautés:

- Meilleure contre-mesure contre les analyses passives du traffic SSH: http://openwall.com/advisories/OW-003-ssh-traffic-analysis.txt
- Résolution des problèmes d'intéropérabilité rencontrées avec les version 2.5.X précédentes
- Meilleure contre-mesure contre la vulnérabilité relative au recouvrement de clés de session du protocol SSH 1.5: http://www.core-sdi.com/advisories/ssh1_sessionkey_recovery.htm
- Nouvelle option dans authorized_keys pour limiter le Port Forwarding
- Le client a maintenant le choix de spécifier l'ordre d'essai des méthodes d'authentification grâce à la directive PreferredAuthentications
- sftp supporte maintenant les wildcards pour put et get, le protocole sftp v3, et une option -b (batch) pour des transferts automatisés
- Meilleure performance dans l'échange DH utilisé pour SSH2
- Le cipher par défaut pour SSH2 est AES/hmac-md5 qui assure de meilleures performances sans dégrader la sécurité
- Bugfixes dans l'implémentation SSH2 et intéropérabilité avec le soft SSH de ssh.com
- scp supporte maintenant des fichiers > 2Go
- Le client ne demande plus la passphrase si la clé est refusée par le serveur

En somme plein de bonnes choses ! Consultez ce lien pour une aide à l'installation.

Un article du N.Y. Times d'hier indique qu'une société Tchèque, ICZ, aurait trouvé une faille de sécurité dans PGP. Il ont déjà prevenu << P.G.P. engineering >> et publieront sur leur page le problème dès demain.

Mais pas de panique : la faille résiderait dans le cassage de la protection de la clef privée : il faut déjà y accéder !

GPG aurait-il le même genre de soucis ? Peut-être pas... plus d'infos demain, donc.

Note: pour lire l'article du NY Times, c'est gratuit, mais il faut s'inscrire.

Une startup basée à Nashville propose une solution originale en remplacement de Napster : ShareSniffer

NetBios facilite le partage de fichiers et d'imprimantes sous Windows, mais il est assez facile, par inadvertance, de rendre un disque dur accessible à l'univers entier. De plus, si l'utilisateur n'a pas mis de mot de passe, ce disque est accessible à toute personne connaissant simplement l'IP de la machine.

ShareSniffer recherche dans les newsgroups de telles IP. Les concepteurs prétendent que si des personnes ne laissent aucune protection sur leurs données, c'est volontairement ... et que donc il est normal d'en favoriser l'accès à tout l'Internet.

Comme ça n'intéresse personne, je donne mon avis : je trouve ceci déplorable ! Heureusement, le logiciel n'est pas opensource et, de plus, est payant (de 5$ à 100$).

Malheureusement, ça n'est pas encore assez cher pour le petit ZipiZ qui voudra faire le guignol :(

Tous les serveurs sous ProFTPd sont vulnérables à un déni de service. Il suffit de se connecter normalement puis de lancer la commande
ls */../*/../*/../*/../*/../* (etc.) pour que le démon prenne subitement toutes les ressources (cpu et mémoire) de la machine qui finit par s'écrouler.
Le serveur FTP de NetBSD semble avoir le meme problème et il est possible que d'autres logiciels soient concernés par la meme faille.
L'équipe de ProFTPd tente de résoudre le bug, classé critique.

update: PureFTPd, qui n'aurait pas avoir avoir ce bug (mais qui l'a quand même). L'auteur s'est fait avoir à son propre jeu, hihihi :-)

Deux news sécurité:
- Problème dans TCP: Des chercheurs ont trouvé une serieuse faille dans l'une des pièces maitresses d'Internet. Guardent, "vendeur" de sécurité, a annoncé lundi avoir identifié un gros problème protentiel dans le protocole TCP. Il s'agirait d'un problème similaire a celui present sur les IOS Cisco a propos de la génération "aléatoire" du ISN.

- Problème dans BIND: Un petit nombre d'utilisateurs voulant mettre à jour leur serveurs DNS par rapport au recent exploit dans BIND se sont heurtés à un Denial of Service. Le problème interviendrait lors du passage de BIND 4.9.x ou 8.2.x à 9.1.0. Le DoS serait, par exemple, provoqué par les scans NMAP et causerait des coupures intermittentes du service.

IBM publie la première partie d'une évaluation des modifications proposées par la NSA dans sa version Linux "Security Enhanced" (SE). C'est extrêmement intéressant (et constructif, contrairement à la paranoïa aveugle de certains).

A lire, c'est déconcertant. Vous y verrez que la NSA n'a pas besoin de déployer tout son arsenal technologique pour espionner la Commission Europeenne :(

La version 2.5.1 d'OpenSSH est disponible. Cette version intégre maintenant un client sftp (Secure FTP) en standard ainsi que bien sur le sftp server qui est maintenant activé par défaut dans le fichier de conf. Parmi les goodies:
-support en natif des protocoles 1.3, 1.5 et 2.0
-code cleaning de SSH2
-agent forwarding
-misc. bugs.
Il est conseillé d'upgrader à cette version. Pour celles/ceux qui veulent la sécurité, il n'y a plus qu'à !

Après le vote par l'Assemblée de la loi sur la signature électronique (donc donnant une valeur juridique à un courrier électronique signé ou à une transaction en ligne), le décret de loi spécifiant les modalités d'utilisation se fait toujours attendre. Un article du journal Le Monde revient sur le sujet.

Et on attend aussi toujours la levée des limitations sur la crypto (ou une limite supérieure à 128 bits) promise par le Gouvernement.

L'équipe Razor de BindView vient de découvrir un débordement de pile dans SSH1, impactant toutes les versions courrament utilisées (cf advisory).
Il s'agit d'un bug dans la détection d'attaque cryptographique... codée avec un entier 16 bits à la place d'un 32 bits.

Risque : élevé, même si l'exploitation est difficile
Solution : appliquer le patch fourni à la fin de l'advisory.

Security Portal a publié la liste des 30 virus les plus actifs l'année dernière. Evidemment pour profiter de ces petites merveilles il faut être sous un OS de Microsoft, et pour certains il faut aussi utiliser des produits M$ pour que les virus marchent...

Le grand gagnant est KAK/KAKWorm, un ver profitant de trou de sécurité dans Outlook, tandis que LoveLetter n'est que deuxième.