La réponse d'Alcatel... Il y avait pas de quoi s'inquiéter. Toutes les failles indiquées ne pouvaient être utilisées que de l'intérieur et les OS Win95/98/2000/NT et Linux n'ont pas de port "bounce". De plus, aucune démonstration d'infiltration n'a été faite pour l'instant.
On peut quand même admirer la rapidité de la réponse d'Alcatel ...
Déclaration du "Redmond's security response chief" lançant une alerte lors de la conférence RSA sur les périls de l'"open source" (On aura tout vu)
Voir l'article sur SecurityFocus
Selon le véritable découvreur (Renaud Deraison) de la backdoor des modems ADSL d'Alcatel, il serait impossible de pénétrer le modem de l'extérieur du réseau. Il faudrait avoir déjà un accès au PC relié au modem via un cheval de Troyes ou autre.
La découverte date de l'année 2000, le sieur Tsutomu Shimomura, spécialiste de la médiatisation de ses actes, aurait donc un rôle plutôt faible dans cette affaire.
IPFilter, qui est aux *BSD ce que IPChains est à Linux (mais en beaucoup plus puissant), comporte une faille dans la gestion des paquets fragmentés.
Par exemple, si le Firewall autorise les connexion vers le port 80 d'un serveur web dans une DMZ, l'exploitation de cette faille permet de se connecter à TOUS les ports ouverts sur cette machine, outrepassant les règles du firewall.
Les détails sont dans un post de Bugtraq, et la version 3.4.17 d'IPFilter corrige ce problème.
A vérifier, mais une faille de sécurité assez cruciale, semble avoir été découverte dans les noyaux 2.2, comme l'article date du 28 Mars on ne peux exclure un poisson d'avril, je suis tombé sur la news et j'ai rien eu le temps de vérifier, à vos remarques ....
Note du modérateur: Effectivement il faut upgrader en 2.2.19.
Frédéric Raynal nous dit:
« D'après les messages que j'ai lus rapidement, l'idée est d'utiliser la fonction ptrace(). Le programme crée un processus fils puis le remplace avec le progamme SUID à exploiter (n'importe quel prog suid convient) via un execl(). Le processus fils conserve donc le même PID. Un signal est envoyé au processus père pour lui signaler que le prog suid est lancé. Dès lors, le père change les registres du processus fils de sorte à ce que le registre d'instruction %eip pointe sr le shellcode à exécuter. »
Bon je sais que c'est pas un scoop puisque vous lisez vous aussi bugtraq tous les jours ...
Mais cette faille me paraît d'importance puisqu'elle touche les daemon ntp livrés avec nos distributions linux et bsd... mais aussi celles de certains unix proprietaires (sun...).
L'exploit livré sur bugtraq ne concerne que linux et bsd sur x86, mais quelqu'un de pas trop c.n pourra le porter sur sun, linux pour alpha...
De plus on peut craindre que l'accès public aux serveurs NTP sur internet ne soit coupé pendant un certain temps... voir peut-être coupé tout simplement.
Note du modérateur : heureusement qu'un patch est sorti le jour même... donc si les admins font leur boulot, pas de risque que les accès aux serveurs soient coupés :-)
Un nouveau vers vient d'être découvert sous linux: Adore. Il semble dater du 1° avril. En suivant le lien, vous trouverez un script qui détecte et permet de supprimer le vers de votre système (au cas où vous en auriez besoin), et aussi les liens vers les patches corrigeant les problèmes dans LPRng, rpc-statd, wu-ftpd et BIND.
Depuis hier, notre cher pays est dote d'un decret qui permet de signer electroniquement....
Désormais, «l'écrit sur support électronique a la même force probante que l'écrit sur support papier», selon la loi votée en mars 2000. Mais il ne suffit pas de taper son nom au clavier ou de scanner une feuille avec son paraphe: le décret publié samedi précise qu'une signature électronique ne bénéficie de la même présomption de fiabilité qu'un paraphe manuscrit qu'à condition de s'appuyer sur un «prestataire de services de certification» (PSC).
Une nouvelle faille pour Internet Explorer vient d'être annoncée par Microsoft. Et ce n'est pas une petite faille de rien du tout... En effet, en modifiant l'entête Mime d'un e-mail, Internet Explorer exécute un programme sans vous en avertir (si l' e-mail est en HTML).
En gros, n'importe qui peut lancer le formatage de votre disque simplement en vous envoyant un mail...
Microsoft vient de sortir un patch à appliquer de toute urgence...
Plusieurs patch sont sortis depuis longtemps : www.debian.org, www.mandrake.org ...
Merci à 09:53:48 sur la tribune
Voila qu'on nous annonce l'apparition d'un virus capable d'infecter aussi bien Windows que Linux.
Je suis très sceptique sur la chose, car je ne vois pas bien quels sont les points communs, d'un point de vue script ou éxecution de binaires, bref, quels points communs il y a entre une station Linux et une station Windows.
Alors, à part avoir installé Perl ou Java sur les deux machines, comment est-ce possible ? Ou bien sont ce deux instances différentes de virus, qui ont le même nom ? Ou bien est-ce du pipeau ?
Bref, est ce possible ?
En passant, outre responsabiliser un utilisateur à faire gaffe à son installation, aux droits d'accès, aux ports ouverts, existe t-il un projet de "surveillance" d'un poste (une sorte d'antivirus/firewall avec des fonctions de base, histoire de faciliter la vie aux utilisateurs lambda) ?
Où l'on apprend que Microsoft a maintenant pour ambition de faire en sorte que les PC eux-mêmes soient "sécurisés". Et de ce fait n'acceptent plus les fichiers audio et vidéo non authentifiées.
Bien sûr, cela nécessite tout un tas de "nouvelles" technologies, comme le Secure Audio Path (en bref, jusqu'au enceintes, le flux audio est crypté) et le CPRM (copy protection right management) pour empècher de stocker sur un disque dur des fichiers non autorisées, et qui empèchent aussi la copie sur d'autres disques.
L'intention de protéger les droits d'auteurs est certes louable, mais il ne faut pas oublier les droits des utilisateurs à faire ce qu'ils veulent des produits qu'ils ont acheté (fair use).
Après les déboires des utilisateurs de Red Hat à cause du worm Ramen, un nouveau se propage actuellement à travers les machines Linux du net, le Lionworm. Il exploite pour cela la récente vulnérabilité TSIG de bind. En comparaison du worm Ramen, il semble plus dangereux et beaucoup plus discret: il installe un rootkit dès que la box a été « rootée ».
Update du modérateur: Pour l'instant seul un utilitaire pour détecter le worm est disponible (
lionfind), mais la trace SNORT est fournie et tout le monde s'active pour corriger bind (les mises à jour sont déjà disponibles pour les principales distributions).
La nouvelle version 2.5.2 de OpenSSH est disponible. Parmi les nouveautés:
- Meilleure contre-mesure contre les analyses passives du traffic SSH:
http://openwall.com/advisories/OW-003-ssh-traffic-analysis.txt
- Résolution des problèmes d'intéropérabilité rencontrées avec les version 2.5.X précédentes
- Meilleure contre-mesure contre la vulnérabilité relative au recouvrement de clés de session du protocol SSH 1.5:
http://www.core-sdi.com/advisories/ssh1_sessionkey_recovery.htm
- Nouvelle option dans authorized_keys pour limiter le Port Forwarding
- Le client a maintenant le choix de spécifier l'ordre d'essai des méthodes d'authentification grâce à la directive PreferredAuthentications
- sftp supporte maintenant les wildcards pour put et get, le protocole sftp v3, et une option -b (batch) pour des transferts automatisés
- Meilleure performance dans l'échange DH utilisé pour SSH2
- Le cipher par défaut pour SSH2 est AES/hmac-md5 qui assure de meilleures performances sans dégrader la sécurité
- Bugfixes dans l'implémentation SSH2 et intéropérabilité avec le soft SSH de ssh.com
- scp supporte maintenant des fichiers > 2Go
- Le client ne demande plus la passphrase si la clé est refusée par le serveur
En somme plein de bonnes choses ! Consultez
ce lien pour une aide à l'installation.
Un article du N.Y. Times d'hier indique qu'une société Tchèque, ICZ, aurait trouvé une faille de sécurité dans PGP. Il ont déjà prevenu << P.G.P. engineering >> et publieront sur leur page le problème dès demain.
Mais pas de panique : la faille résiderait dans le cassage de la protection de la clef privée : il faut déjà y accéder !
GPG aurait-il le même genre de soucis ? Peut-être pas... plus d'infos demain, donc.
Note: pour lire l'article du NY Times, c'est gratuit, mais il faut s'inscrire.
Une startup basée à Nashville propose une solution originale en remplacement de Napster : ShareSniffer
NetBios facilite le partage de fichiers et d'imprimantes sous Windows, mais il est assez facile, par inadvertance, de rendre un disque dur accessible à l'univers entier. De plus, si l'utilisateur n'a pas mis de mot de passe, ce disque est accessible à toute personne connaissant simplement l'IP de la machine.
ShareSniffer recherche dans les newsgroups de telles IP. Les concepteurs prétendent que si des personnes ne laissent aucune protection sur leurs données, c'est volontairement ... et que donc il est normal d'en favoriser l'accès à tout l'Internet.
Comme ça n'intéresse personne, je donne mon avis : je trouve ceci déplorable ! Heureusement, le logiciel n'est pas opensource et, de plus, est payant (de 5$ à 100$).
Malheureusement, ça n'est pas encore assez cher pour le petit ZipiZ qui voudra faire le guignol :(
