PhpSecure sera présent aux RMLL cette année, dans le cadre du thème CMS (Content Management Systems, Système de Gestion de Contenu), pour une conférence d'une heure sur la sécurité des applications de gestion de Contenu en PHP, ce Vendredi 9 Juillet à 17h20 (à Bordeaux).
Au programme : un tour d'horizon des CMS en vogue, du point de vue de la sécurité, des exemples de failles de sécurité classiques et des pistes pour sécuriser ses applications en PHP.
Internet Explorer n'en fini pas de faire des victimes. La dernière en date : Microsoft !
Le US-CERT (qui appartient désormais au fameux département de "Homeland Security"), vient de mettre à jour son alerte concernant les failles de sécurité d'IE. Sa nouvelle recommandation : "Use a different web browser" ("Utilisez un navigateur web différent").
Il manque juste un lien vers Mozilla, Firefox, Konqueror, Lynx, etc.
NdM : attention MyIE2, Avant Browser et Crazy Browser ne sont que des habillages de IE et sont donc également vulnérables aux mêmes failles de sécurité.
Dans le cadre du Challenge Securitech 2004, Pierre Betouin, organisateur, donna une conférence le 7 juin 2004 lors des réunions du groupe SWNT de l'OSSIR. Lors de celle ci, il a été abordé les détails techniques, logistiques et juridiques de l'organisation d'un concours de ce type ainsi que la résolution des niveaux, le monitoring, les problèmes rencontrés et les contraintes de sécurité. À voir également les insolites : résolution des niveaux de cryptographie avec un tableur !
Le site secuobs.com vous propose le choix entre une retranscription du flux vidéo ou la version audio de cette intervention qui dure 40 minutes. La vidéo est disponible au format MPEG4 (le son est en AAC) regardable avec mp4player/gmp4player (mpeg4ip), mplayer ainsi que les dernières versions de Quicktime (6). L'audio est au format Ogg Vorbis, mp3 et aac. Le tout est disponible en ligne (embed html) ou au format tar+gz en téléchargement.
Le site Secuobs.com vous propose un tutorial de 6 pages sur l'implémentation et la sécurisation du serveur web apache pour Linux. L'utilité, l'installation et la configuration des composants suivants sont expliqués dans ce document : Apache avec DSO (Dynamic Shared Object), Openssl, Php4, Mysql, Mod_ssl, Mod_rewrite, Mod_perl, Mod_security avec Snort2modsec.pl et snortrules-snapshot-CURRENT.
Le tutorial se décompose en deux parties : une partie classique d'installation et de configuration manuelle à la manière des "how-to", et une partie automatisée qui vous permettra en récupérant l'unique script exoweb.pl d'installer et de configurer automatiquement l'ensemble de ces composants. A noter que chaque composant peut également être installé séparément et automatiquement via des mini-scripts shell en fonction de ceux que vous souhaitez installer ou de ceux que vous avez déjà installés.
Mise à jour importante du tutorial : intégration de la nouvelle version stable de mod_security 1.8 nouvellement sortie, activation du chroot par mod_security dans la configuration par défaut de la procédure automatisée, bugfixes de la procédure chroot manuelle et automatisée
Une nouvelle vulnérabilité a été découverte le 09 juin 2004 concernant tous les noyaux 2.4.x et 2.6.x (détails des noyaux non vulnérables dans l'annonce en anglais).
Cette faille nécessite un accès local à la machine et peut s'exécuter par la compilation d'un simple programme en C. Le bug a été également reporté dans le bugzilla de GCC (versions affectées 2.96, 3.0, 3.1, 3.2, 3.3 et 3.3.2).
Le patch concerne un simple changement de ligne sur la fonction clear_fpu() changeant l'appel asm volatile de ("fwait") vers ("fnclex ; fwait").
Le lien comporte un patch pour 2.4.x, 2.6.x et le test permettant de tester votre système, il est recommandé de synchroniser les systèmes de fichiers avant de tenter l'exploit.
Ingo Molnar l'a annoncé aujourd'hui sur la LKML (Linux Kernel Mailing List) : le premier patch 'NX' pour notre bien aimé noyau est disponible. Si la technologie NX est disponible sur le processeur, le noyau ainsi modifié interdit l'exécution des buffers et de la pile. À ma connaissance Linux est le premier OS à implémenter cette technologie (NdM : non). Un noyau patché est déjà disponible pour la Fedora Core sous le nom kernel-2.6.6-1.411.
Challenge Securitech est un concours de sécurité informatique qui a eu lieu du 10 avril au 1er mai.
Le concours vient donc de se terminer ce week-end. Dans le cadre du challenge est organisée une conférence le vendredi 7 mai 2004 à 17h dans le 5ème arrondissement de Paris.
Seront notamment présents, Kostya Kortchinsky, responsable du CERT RENATER et Nicolas Brulez, The Armadillo Software Protection System :
Kostya Kortchinsky animera une présentation sur les shellcode ~crosoft.
Nicolas Brulez présentera quant à lui les techniques de reverse engineering.
Les solutions des 20 niveaux du Challenge seront également débattues.
Le site de sécurité informatique Secuobs.com propose un service gratuit de scan de vulnérabilités en ligne basé sur le logiciel opensource, Nessus, qui permet de tester simplement la vulnérabilité d'une machine ou d'une passerelle face notamment à la faille découverte par Paul Watson sur l'injection de paquet dans une connexion tcp pouvant mener à un déni de service ...
Une vulnérabilité critique a été identifiée dans le noyau Linux, elle pourrait être exploitée par un attaquant local afin d'obtenir les privilèges "root". Ce problème de type "integer overflow" résulte d'une erreur présente au niveau de la fonction ip_setsockopt() combinée à l'option MCAST_MSFILTER (fichier net/ipv4/ip_sockglue.c) qui ne calcule pas correctement l'espace mémoire noyau (IP_MSFILTER_SIZE), ce qui pourrait permettre à un utilisateur local l'augmentation de ses privilèges.
NdM : a été proposé par jaune également.
NdM2 : les noyaux 2.4.26 et 2.6.4, déjà disponibles, ne sont pas concernés.
Trois vulnérabilités ont été identifiées dans OpenSSL, elles pourraient être exploitées par un attaquant distant afin de causer un Déni de Service (DoS) :
Le premier problème se situe au niveau de la fonction "do_change_cipher_spec()", le second au niveau d'une mise à jour ajoutée à la version OpenSSL 0.9.6d, la dernière vulnérabilité se situe au niveau de la routine utilisée pour le handshake SSL/TLS combiné à Kerberos ciphersuites.
Toutes les versions de 0.9.6c à 0.9.6l ainsi que de 0.9.7a à 0.9.7c sont vulnérables. Ils faut mettre à jour vers les versions 0.9.6m ou 0.9.7d en prenant soins de recompiler les binaires liés statiquement à cette librairie.
Vous ne l'attendiez pas tous, Il n'avait plus bougé depuis longtemps (mars 2003..), mais le voici quand même, le dernier né de la lignée des noyaux 2.2.x, le 2.2.26.
Cette version apporte peu de nouveautés (étonnant non ?), elle corrige surtout quelques problèmes de securité, donc pour les quelques utilisateurs de cette branche, (je sais qu'il y en a encore), patchez !
NdM : le 2.4.26 est seulement en pre1 depuis la même date.
IBM et SUSE annoncent conjointement que SUSE LINUX Enterprise Server 8 + Service Pack 3 vient d'atteindre la certification EAL3+, une évaluation américaine sur des critères de sécurité en environnement à risques. Ceci s'applique sur l'ensemble de la gamme IBM eServer.
Dans le même temps SUSE LINUX Enterprise Server 8 passe le COE (Common Operating Environnement), référence créée par le département de la défense américaine, qui permettra à SuSE de déployer ses serveurs pour faire fonctionner certaines applications critiques dans un environnement à risque.
Ceci bien sûr ne s'applique qu'aux États-Unis. Rappelons que Windows Server 2000 + Service Pack 3 a atteint EAL4+ mais seulement sous certaines conditions et sur une faible gamme de machines.
Une vulnérabilité de type mystification d'URL (« URL Spoofing ») a été identifiée dans Mozilla WebBrowser, elle pourrait être exploitée afin de manipuler les informations affichées sur la barre d'état. Ce problème résulte d'une erreur dans la vérification des entrées, qui peut être utilisé par un attaquant afin de cacher la vrai URL d'une page malicieuse sous une URL de confiance en incluant les caractères "%01" et "%00" avant le caractère @.
L'URL http://www.site_confiance.com%01%00@sitemalicieux.com/attaquant.html affichera uniquement www.site_confiance.com dans la barre d'état.
Donc attention aux liens avant de cliquer !
A l'occasion de la sortie de la version Sentinix 0.70.5 beta 2, nous souhaitions attirer votre attention sur cette distribution, entièrement libre et gratuite, dédiée au monitoring, à la surveillance, à la détection d'intrusion, et à la lutte contre le spam.
Sentinix propose par défaut un noyau 2.4.21 auquel est appliqué le patch OpenMosix SMP.
Il s'agit d'une faille de type "integer overflow" dans l'appel système brk. Elle a été découverte par Andrew Morton en septembre et corrigée dans les noyaux 2.4.23 et 2.6 mais affecte les versions précédentes (la branche 2.6 est concernée jusqu'au test6 inclus).
Les noyaux Debian étaient vulnérables à cette faille (locale) et c'est elle qui a été utilisée pour compromettre les serveurs.
L'unique annonce officielle que j'ai trouvée est le DSA-403-1 de Debian (qui vient de paraître).
Pensez à mettre à jour vos noyaux !
NdM: Merci aussi à FRLinux, Baptiste SIMON et Etienne 'Tinou' Labaume.
