On a beaucoup parlé ces derniers temps des virus et vers s'attaquant à IIS (Nimda, Code Red) et des réactions comme celle du Gartner Group conseillant de considérer des solutions alternatives pour remédier à ces problèmes sans fin.

Microsoft dévoile son initiative 'Get Secure/Stay Secure', visant à proposer des solutions de sécurisations pour leur OS. En vrac : outils d'audit, configuration 'secure' par default, ...

J'aime particulièrement le petit paragraphe sur la livraison de packages par Windows Update:

"Each package will require one step to deploy and only one system reboot"

Le moins que l'on puisse dire, c'est que quand le géant se sent menacé, il sait réagir vite.

SANS (System Administration, Networking, and Security) Institute propose un document regroupant les 20 principales lacunes à eviter pour sécuriser vos machines sur un réseau.

le document a été mis à jour hier.

Cette faille permettrait d'obtenir un accès depuis une machine non autorisée en utilisant l'option 'from' en utilisant des clés RSA et DSA dans le fichier "authorized_keys2"



Un patch est dispo ou vous pouvez passer en 2.9.9.


Toutefois ce bug n'est pas encore dans le bug report de openssh.


Note du modérateur: Ce bug n'affecte que la version 2 d'OpenSSH, la distribution Debian n'est pas affectée par ce problème (version 1.2.3).

Selon un article de securityfocus, Nimda, un ver qui aurait infesté plus de 450000 IP la semaine dernière remettrait le couvert. Toujours selon securityfocus, qui aurait osculté les entrailles de la bête, Nimda serait doté d'une fonctionnalité lui permettant de se réactiver tous les dix jours. La première attaque datant du 18 septembre à 3:00 GMT il est raisonnable de penser qu'un certain nombre d'utilisateurs de Microsoft® Windows® 95, 98, ME, NT, 2000 et de IIS auront, dès ce soir, à fêter les retrouvailles. Vous reprendrez bien un ver ?

GR-Security, le patch de sécurité pour le noyeau 2.4 qui reprend des classiques de la branche 2.2 , vient de sortir (hier) sa nouvelle version 1.8 (disponible pour 2.4.9 et 2.4.10).

Nouveautés: update PaX (http://pageexec.virtualave.net) code, anti-fork bombing code, pas mal d'updates pour l'ACL, ainsi que du bugfix.

(Une modif de dernière minute sur la release du 24-09 ayant été faite, il vous est conseillé de repomper la dernière du 25)

BugTraq vient d'annoncer une superbe vulnérabilité dans PHPNuke (toutes versions sauf la 5.0 RC1). À l'aide d'une simple URL, un quelconque 5cr1p7 k1dd13z peut récupérer le config.php (et donc les mots de passe de la DB), ou encore uploader des fichiers, grâce à un script non protégé (précisons que je n'ai pas testé, pas le temps d'installer un Nuke). Pour le coup, le programmeur mérite bien un Goret Award...

[Note : puisque l'advisory a été envoyée sur BugTraq, je la propose ici. Toutefois, il serait peut-être intelligent de la garder sous le coude un moment pour éviter des 3733t h4x0r1ngs en cascade...]

Le cracker (voire script-kiddy) canadien MafiaBoy (17 ans), auteur de plusieurs denis de service distribués (DDoS) contre des grands sites Internet en février 2000, a été condamné à "une peine de 8 mois de "garde ouverte" à purger dans un centre pour jeunes contrevants, assortie d'une mise à l'épreuve d'un an et de l'obligation de verser 250 dollars canadiens (160 USD) à un organisme de charité."

Le module apache "mod_eaccess", développé au départ par Patrick ASTY, est maintenant maintenu par HSC, et à cette occasion la documentation française a été rédigée.

Cet article présente l'installation et la configuration d'un système de filtrage pour un site type "e-commerce", de l'architecture à adopter jusqu'à la configuration d'apache.

Intéressant, pour ceux qui sont concernés par la sécurité de leur site...

vnunet.com annonce l'existance d'un nouveau cheval de Troie pour Linux qui aurait été découvert par Qualys, la "célèbre" entreprise de sécurité.
L'article est très vague et fort peu technique; on y trouve les idées suivantes :

• Le cheval est similaire au célèbre outils d'administration Back Orifice
• Il s'installe sur le port UDP 5503 et plus et s'annonce sur un serveur web grand breton
• Il se propage par EMail

Mais le dernier argument fait oublier tout le reste ;-) :

• S'il se répand, il risque de faire bien plus de dégats que Code Red car 58% des serveurs tournent sous Apache, et donc majoritairement sous Linux, alors que Windows NT ne représente que 25%

Note du modérateur: Merci à Meszigues pour avoir aussi proposé cette nouvelle.

Tout nouveau, Tout beau, Le worm iis nouveau est arrivé
A déguster en avant première dans le sud de la Chine.
Dégustations européennes dans quelques heures/jours.

Un probleme de SUID sur Informix-SQL permet aux utilisateurs locaux de créer des fichiers avec les droits de root.

« Addressing Security Issues in Linux. A Linux White Paper. »
C'est ainsi que débute le document au format PDF sur la sécurité Linux. Une bonne doc (40 pages), passant en revue de nombreux points et offrant les références adéquates.

Lu sur bugtraq aujourd'hui : un type de silicon defense prétende pouvoir infecter Internet en 30 secondes. Selon lui, il suffit de trouver une ligne OC-12, à 622 Mbps (miam ;-), et de répertorier TOUTES les machines vulnérables, l'infection globale se fera alors en moins de 30 secondes.

Un autre type (Nicholas C Weaver ), lui, a trouvé le moyen de faire la même chose, mais en moins rapide (15 minutes)

PS : j'ai hésité à classer la news en internet/sécurité, finalement ça sera humour.

La méthode de cryptage utilisée par le Wireless Ethernet 802.11, WEP (Wired-Equivalent Privacy), n'est absolument pas sécurisée selon plusieurs articles parus.

Des attaques permettant de récupérer la clé de cryptage en 15 minutes d'écoute du réseau ont été trouvées. Sachant qu'une seule clé est générée pour tout le réseau, cela met en cause la protection de tout le réseau.

Il en faut pas s'affoler pour autant : cela signifie que les données peuvent être interceptées au niveau de la couche liaison. Si les couches plus élevées (utilisation de IPSec, SSH, ...) encryptent les données à transmettre, cela ne pose pas de problème.

Note du modérateur : de quoi s'amuser à HAL ? ;-)

Un virus/ver assez dangereux (W32/Sircam) circule sur Internet depuis une huitaine de jours. Ecrit en Delphi et utilisant les faiblesses de Windows/Outlook (express), celui-ci se propage en s'envoyant aux correspondants de votre carnet d'adresse avant d'effacer le contenu de votre disque dur...
Il est conseillé aux administrateurs systèmes/réseaux de filtrer les messages contenant ce ver (assez facile à détecter grace à son texte).

Note du modérateur: il est possible de régler définitivement tous ces problèmes en configurant postfix de la manière suivante. Editez main.cf et rajoutez:

body_checks = regexp:/etc/postfix/body_checks

Enfin éditez body_checks et rajoutez:

/^Content-(Disposition|Type): application\/mixed/ REJECT
/^Content-(Disposition|Type):.*name="?.*\.(bat|com|pif|vb|exe|lnk|scr|reg|chm|wsh|js|inf|shs|job|ini|shb|scp|scf|wsc|sct|dll)/ REJECT

Ainsi, tout attachement type executable windows sera refusé systèmatiquement. Il est certainement possible de faire la même manipulation pour les autres daemon smtp.