Le problème se situerait dans la manière dont le noyau gère les tables de routage.
Il semble qu'il soit possible, en forgeant des paquets émis par des adresses bien choisies, de paralyser un système Linux (même sans outils GNU) avec seulement 400 paquets par seconde.
Une faille de sécurité locale semble également avoir été detectée. Elle permet à un utilisateur normal d'utiliser tous les ports d'entrées/sorties sans restrictions.
Note : cette faille date du 15 mai.
Ingo Molnar, célèbre développeur du noyau Linux et actuellement employé par Red Hat, a présenté Exec Shield, une méthode implémentée dans le noyau (actuellement disponible sous forme de patch pour le 2.4.21-rc1) pour réduire fortement sous x86 les risques de débordement de tampon (buffer overflows et associés) de façon transparente pour les applications, c'est-à-dire sans recompilation. Rappelons que les débordements de tampons permettent de faire exécuter sur la machine victime un code arbitraire, sous les droits de l'application victime.
Une analyse assez intéressante des conséquences de la relaxe en appel de Kitetoa.
On y apprend notamment (l'auteur ayant mené une contre-enquête) que l'intrusion n'a "pas été rendus possibles par l'utilisation des fonctionnalités habituelles d'un navigateur, mais par l'utilisation d'un outil spécifique et non documenté intégré à Netscape Navigator qui permettait la détection et l'administration à distance des serveurs de la marque".
C'est à dire que Kitetoa ajoutait "/quelquechose" à la fin de l'url, laissant penser que l'url existait, alors qu'avec n'importe quel autre navigateur on aurait eu une erreur 404.
Un ancien collègue est en train de développer une solution en Open Source qui permet le déploiement facile d'une solution de détection d'intrusion (IDS en bon anglais ;o)
Il recherche de l'aide pour faire avancer son projet.
Une nouvelle version d'apache est disponible 2.0.45 afin de contrer les attaques de types DoS, qui sont destinées à saturer un réseau et ainsi à rendre inaccessible les requêtes fondées.
Il semblerait que pour la version 2.0.44 tous les OS soient touchés. Et que malheureusement pour Os/2 cette nouvelle mouture ne règle pas entièrement les problèmes, il faudra attendre la 2.0.46.
Une nouvelle faille de sécurité vient d'être mise à jour dans Sendmail, versions 8.12.8 et précédentes. Il n'est pas impossible que cette faille puisse mener à un accès root distant. Elle serait aussi plus facilement exploitable sur les systèmes petit boutistes. Seuls les systèmes dont le type char est signé sont vulnérables tels quels.
Bien sûr une version corrigée de Sendmail est d'ores et déjà disponible
Phpnuke est un CMS, Content Manager System très largement utilisé sur Internet. Il serait utilisé par plus de 25.000 webmasters afin de construire leur site facilement en php et en utilisant la base de données MySQL. Une importante vulnérabilité vient dêtre découverte dans un des scripts PHP composant Phpnuke, permettant de modifier nimporte quel article en ligne sur un site utilisant le système phpnuke.
Une importante faille de sécurité a été découverte dans le noyau Linux par Andrzej Szombierski. Elle permet aux utilisateurs locaux de gagner les privilèges du super-utilisateur (root) grâce à un bug dans l'appel système ptrace. La mise à jour immédiate de votre noyau est donc chaudement recommandée.
La faille est corrigée dans Linux 2.2.25 pour le noyau 2.2, et un patch est fourni par Alan Cox pour les noyaux 2.4. Les versions 2.0 et 2.5 ne sont pas vulnérables (de lapin).
La "SuSe security Team", durant un audit du code source de Samba, a découvert une faille dans smbd qui permettrait à un utilisateur externe d'obtenir à distance et anonymement les droits root sur la machine qui fait tourner le serveur. Cette faille existe dans toutes versions 2.X jusque (et inclus) la 2.2.7a. La version 2.2.8 a été annoncée aujourd'hui et contient un patch correctif.
Il est fortement conseillé de mettre à jour immédiatement.
Une défaillance dans le binaire lprm (utilitaire pour effacer des travaux partis à l'impression) de OpenBSD rend la possiblité d'exploiter le système avec les privilèges du propriétaire de lprm.
Cependant, depuis OpenBSD 3.2, cet utilitaire appartient à l'utilisateur daemon et non root ce qui limite les possibilités.
Des correctifs sont disponibles.
Un faille de sécurité vient d'être découverte dans Sendmail. Celle-ci peut donner un accès root à une personne non autorisée. Il n'y a pas d'exploit connu à l'heure actuelle, mais chacun est très fortement encouragé à patcher son système ou à passer à la dernière version, dans les plus brefs délais.
NdM: Encore un buffer overflow dans Sendmail. La protection contre l'exécution de la pile semble être inefficace ici. Pas encore d'infos sur l'efficacité de StackGuard/ProPolice vis à vis de cette faille (en fait, il n'y a pas encore d'exploit pour tester si ProPolice fonctionne ou pas dans ce cas). RedHat et OpenBSD semblent être les premiers à avoir livré des patchs pour leurs systèmes respectifs.
N'hésitez pas à poster en commentaire les URIs vers les patchs de votre système/distribution favorite !
Le RedHat Advanced Server 2.1 est la première distribution à être certifiée COE. La certification a été réalisée sur un IBM eServer® xSeries® 330 . La certification COE (Common Operating Environment) est nécéssaire pour l'utilisation d'un système d'exploitation par l'armée Américaine dans les domaines critiques : commande, contrôle, communication, etc...
Jusque là, cette dépêche fait de la propagande pour RedHat.
Mais elle fait écho à une dépêche précédente sur le manque de confiance des Américains sur les solutions GNU/Linux et peut les rassurer. Enfin, ce n'est pas si spécifique RedHat que ça. J'ai jeté un coup d'oeil au fichier .spec de construction du noyau et je n'ai rien trouvé de spécifique à cette certification (mais je peux me tromper). Bref, cette certification ne dénature pas GNU/Linux et est à la portée de tous les distributeurs.
NB: le RH SA n'est pas très « accessible ». Il est coûteux et seules les sources sont disponibles en téléchargement.
Suite à l'article précédent sur systrace GTK (définition interactive des droits d'accès d'un programme aux appels systèmes, et peut-etre le meilleur IDS pour linux) voici fireflier QT, qui permet de définir interactivement les règles du firewall iptables et d'etre sollicité quand des paquets sont refusés.
Avec ces 2 systèmes, avoir une sécurité maximale sous Linux n'a jamais été aussi simple. Ou presque.
Il nous manque maintenant cruellement le meme genre d'outil pour la sécurité de X : par défaut tous les process qui accèdent à un serveur X peuvent observer et interagir avec le clavier et toutes les fenetres de ce serveur ! Ce qui rend systrace et fireflier en partie inutiles (pensez aux overflows dans les programmes internet qui ont accès à votre serveur X, comme votre browser ...)
Le PHP Group vient d'annoncer qu'un trou de sécurité avait été découvert dans la version CGI de PHP 4.3.0, la toute dernière version en date du célèbre langage de script, très utilisé sur le web.
PHP 4.3.1, corrigeant ce trou de sécurité, vient de sortir dans la foulée. Tous ceux qui utilisent la version CGI de PHP 4.3.0 sont évidemment fortement invités à mettre à jour leur version de PHP.
NdM : Merci à Christophe Guilloux d'avoir également proposé cette dépêche.
Afin d'étendre le nombre des noms de domaines disponibles, et donc son C.A, VeriSign a décidé d'imposer les URL avec support des accents.
Ce n'est qu'une première étape avant le support des langues non européennes, et à terme chinois, cyrilliques, arabe devraient faire leur apparition.
Seul problème, VeriSign y va à la hache, à coup de plugin sur les serveurs DNS de base (TDS), sans attendre l'autorisation de l'ICANN. Pas sympa.
Du coup deux problèmes se posent. 1) D'après l'ICANN ces plugins compromettraient la sécurité du DNS. Et 2) Va-t-on faire la fin du Web universel ? Car accéder à des sites chinois par exemple depuis sa barre d'adresse risque pour des occidentaux de devenir extrêmement compliqué...
