"Mandrake Security est un projet Open Source sous licence GPL dont le but est la création d'un firewall / routeur configurable via une interface web. Le projet utilise des technologies XML, PhP et Apache. "
"Les contributions de la communauté Open Source permettent au projet d'avancer rapidement et nous encourageons les développeurs à contribuer à Mandrake Security. Pour cela, il suffit de s'abonner à la mailing-list"

Un trou de sécurité dans BIND 8.* a encore été trouvé. Le journal "Le Monde" a été l'un des premiers à relayer cette nouvelle... Mais que faisons-nous ?

Extrait de l'article du monde:

"Par chance, le bogue a été découvert à temps et le Computer Emergency Response Team (CERT) de l'université américaine de Carnegie Mellon a publié, lundi 29 janvier, une « rustine » et vérifié que la dernière version du logiciel, Bind 9, ne présente pas ce défaut."

Mettez à jour :)

Ce mémo est destiné à éclaircir les propos tenus par un des responsables commerciaux de McAfee en France lors d'une émission télévisée sur Canal+ , diffusée en France le 15 janvier, et à dissiper la confusion qui en a résulté. il a été annoncé, à tort, que les produits de PGP Security permettaient à certains gouvernements de décrypter en secret les messages. Ces propos ont suscité une mauvaise interprétation des choses, impliquant l'existence d'une "back door" dans des produits de PGP Security.
Il n'y a pas, il n'y a d'ailleurs jamais eu de back door dans les produits de PGP Security...

Note du modérateur: N'oubliez pas qu'il faut désormais utiliser GnuPG, l'équivalent de PGP de la FSF, qui a l'avantage lui d'etre libre. Bref jetez PGP :)

CanSecWest 2001 (du 28 au 30 mars à Vancouver) verra Renaud Deraison présenter Nessus, Marty Roesch snort, Dug Song dsniff, Jay Beale bastille-linux, Fyodor nmap (liste non exhaustive)...

Microsoft s'explique sur son site web (qui est à nouveau accessible) sur ses récentes difficultés. Outre une erreur humaine dans la configuration des routeurs qui mènent aux DNS, ils expliquent qu'ils ont subi par la suite une attaque de type déni de service.
Ils précisent que "ces problèmes ne sont pas imputables aux produits Micosoft" et que le FBI a été contacté. Pourtant, Microsoft avait démenti avoir été victime d'une attaque...
Quoiqu'il en soit, il est sûr que trois jours d'indisponibilité totale n'ont pas fait du bien à l'image de marque de Microsoft, d'autant plus que de plus en plus de produits Microsoft se connectent (à l'insu de votre plein gré) sur microsoft.com ou msn.com, ou ne s'installent qu'à partir d'Internet. Quelles seraient les conséquenses d'une telle interruption à l'echelle mondiale si .NET s'impose? A suivre...

L'évanescent SGBD d'Inprise, Interbase, dont on pensait qu'il allait vite s'éteindre sans plus d'histoires, refait parler de lui. Une backdoor (destinée à permettre l'authentification des utilisateurs suite à un bug) a été découverte suite à son passage en Open Source. Toute personne se connectant au serveur Interbase avec le login `politically' et le mot de passe `correct' (arf, quel humour), pouvait accéder au SGBD et même parait-il exécuter du code sur la machine. Ce « bug » n'aura guère perduré que... six ans !
[source Vakooler.com qui reprend Transfert.net qui reprend Interbase2000.org ;-]

Bien que ce ne soit pas des RPM officiellement supportés par MandrakeSoft, ça reste une première dans le monde de la crypto et des OS libres (à part OpenBSD ?).

Un militant de la crypto libre a patché la version "Cooker" des sources 2.4.0 pour Mandrake 7.2 et y a ajouté la crypto du noyau "Kerneli". Concrètement, ça veut dire que sans avoir besoin de tout recompiler vous avez un noyau avec support crypto pour créer et monter des containers chiffrés (l'équivalent de ce que les Windoziens possèdent avec des logiciels comme Scramdisk ou PGPdisk).

Maintenant, il faut souhaiter que MandrakeSoft et les autres distributions emboîtent le pas et fournissent des kernel-crypto pour chaque version du noyau.

PS : il semble que l'auteur des RPM cherche des miroirs FTP.

Un virus "pas dangereux" appellé PHP.NewWorld par Central Command, et en PHP serait apparu. Il modifie tous les fichiers php, html etc du répertoire c:\windows (hum...). Il ne peut pas s'exporter vers d'autres systèmes que celui sur lequel il est installé.
Bon tout cela n'est pas bien grave. L'article du site précise bien la popularité de php, qui conduit les hébergeurs à l'utiliser, et à laisser les internautes/créateurs de sites, libre cours à leur imagination... sous entendu les risques encourus...
Cela m'étonnerait beaucoup que de tels "virus" nous menacent vraiment un jour.

Et voila .. un buffer overflow en plus dans ce monde cruel ..

Le bug concerne tous les systèmes d'exploitation avec un navigateur supportant Shockwave.

Le buffer overflow concerne l'execution de code malicieux contenu dans le .swf ( fichier flash ) . Cela peut aller du crash du browser à l'execution d'un programme dans le but de propager des virus par exemple ..

Vive le closed-source :)

Voici enfin les explications pour lesquelles le site de Slackware était inaccessible depuis plusieurs jours.
Apparemment leur site a été piraté le 25 décembre, et les administrateurs ont donc déconnecté le serveur du réseau pour un audit complet des logs. Celui-ci a été complêté et les fichiers du site web remis en ligne.
Apparemment le problème est du à une vieille version de imapd qui connaissait un trou de sécurité pour lequel un correctif était déjà disponible. Cependant Slackware ne l'avait pas appliqué (le système est désormais mis à jour, donc inutile de re-essayer ;)
Voir l'article de lwn.net.

La NSA (National Security Agency) conjoitement avec le SCC (Secure Computing Corporation) ont mis au point des systèmes de sécurité dans le LOCK system; puis les ont portés avec l'aide de l'Université d'Utah dans le noyau Linux.
Ce système permet virtuellement de tout sécuriser sous Linux, de la mémoire à la couche réseau.
On peut bien sur lire les sources de tous les patchs.
Mais bon étant un peu paranoïaque, ne peut-on pas se demander si la NSA ne tenterait pas de nous refaire le coup de la NSA_KEY sous Windows (je sais qu'on peut lire les sources mais bon qui va auditer tous ces patch de maniere neutre)
PS: Attention la NSA décline toute responsabilité sur leur patch.

HSC (consultants sécurité) publient sur leur site un compte-rendu de la conférence System Administration, Networking & Security qui s'est déroulée en Octobre dernier. Plusieurs infos intéressantes sur l'évolution de la conférence avec le temps, les DDOS et les initiatives visant à améliorer la sécurité en entreprise.

Il y a de moins en moins de Français à SANS alors si vous êtes passionés de sécurité et que vous avez été gentil, demandez un billet au Père Noël pour le prochain meeting SANS ;-)

Si vous êtes dans le même cas que moi et que vous utilisez votre propre serveur SMTP pour envoyer vos e-mails, vous avez du voir certain de vos messages refusés. En effet un certain nombre de FAI (dont club-internet) refusent tous les emails provenant des IP dynamiques. Ainsi d'après eux, c'est favoriser le spam que d'utiliser son propre daemon SMTP.
Pour ma part je n'ai aucune envie de reconfigurer postfix ou sendmail à chaque fois que je change de FAI pour que mon serveur utilise le relay correspondant au FAI avec lequel je me suis connecté (je change très souvent de FAI pour profiter des offres promotionnelles). Leur solution est d'utiliser le SMTP AUTH de son ISP mais je n'en connais pas qui utilise cette authentification.

Juste pour signaler que le patch openwall pour le noyau 2.2.18 est sorti. Comme d'habitude :
- la pile est non exécutable, ce qui limite les risques de buffer overflows ;
- des restrictions sur les liens dans /tmp (cool avec les récents problèmes de csh et bash) et les FIFOs
- limitations sur le /proc
- protection des file descriptors 0, 1, 2 pour les programmes SUID/SGID
...

[Note du modérateur : ce patch est utilisé pour augmenter la sécurité du noyau]

Microsoft a changé dernièrement le format de ses bulletins de sécurité qui étaient auparavant repris par BugTraq (mailing-list d'annonces de sécurité la plus connue et suivie...). Il faut maintenant visiter une page Web chez Microsoft pour avoir l'annonce en entier.

Elias Levy (administrateur de Bugtraq) a alors décidé de reprendre un de ces bulletins dans son intégralité sur Bugtraq la semaine dernière, ce qui n'a pas du tout plu à M$.

Les administrateurs de Bugtraq ont donc décidé en conséquence de ne plus publier d'annonces de sécurité de M$ tant qu'ils ne reviendront pas à leur ancien format.