Deux failles critiques : Meltdown et Spectre

Posté par  (site Web personnel) . Édité par Davy Defaud, ZeroHeure, tankey, Pierre Jarillon et JN. Modéré par ZeroHeure. Licence CC By‑SA.
101
4
jan.
2018
Sécurité

Ces derniers jours, les rumeurs allaient bon train sur les réseaux sociaux suite à l’intégration en urgence d’un gros correctif dans la RC-6 du noyau Linux. Cela allait à l’encontre de toutes les habitudes de Linus Torvalds, ce qui laissait penser que les conditions étaient vraiment particulières. Et le moins que l’on puisse dire est que nous ne sommes pas déçus. Ce n’est pas une faille critique, mais deux, qui viennent d’être dévoilées : Meltdown et Spectre, de leur petit nom.

Nous vous invitons à lire le journal de Pinaraf< à ce sujet, bien qu’incomplet le jour où il l’a écrit. Depuis la date de sa publication, la faille Spectre a ensuite été révélée et, si cette dernière s’avère d’une ampleur moindre que Meltdown chez Intel, elle toucherait tous les fondeurs et la plupart de leurs produits).

Nouvelle vulnérabilité dans l’implémentation OpenSSL

86
8
avr.
2014
Sécurité

Une vulnérabilité dans l’implémentation de l’extension heartbeat (RFC 6520) d’OpenSSL a été découverte conjointement par une équipe de chercheurs en sécurité (Riku, Antti and Matti) à Codenomicon et Neel Mehta de Google Securité. On retrouve ici un vieux bogue des familles : le read overrun.

OpenSSL 1.0.1, jusqu’à 1.0.1f inclus, et OpenSSL 1.0.2-beta1 sont affectés. Ce sont les versions utilisées dans la plupart des distributions.

Cette dernière permet la lecture de 64 Kio dans la mémoire des clients et serveurs affectés (mais l’attaque peut être rejouée à chaque heartbeat), autorisant la lecture de données comme les clés privées et, bien sûr, les données échangées une fois ces dernières retrouvées (et ce, même en mode hors ligne s’il n’y avait pas de forward secrecy utilisé).

Il est difficile, voire impossible, de faire une détection post‐mortem d’infiltration, l’attaque ne laissant pas d’entrée suspecte dans le journal système.

Passer à OpenSSL 1.0.1g, redémarrer tous les services utilisant libssl et remplacer l’intégralité de ses certificats (la clef privée étant vulnérable) est donc nécessaire.

Une faille nommée « shellshock »

82
28
sept.
2014
Sécurité

« ShellShock », une faille dans l'usage du shell Bash, est sous les projecteurs depuis quelques jours. Le terme est un jeu de mot entre la stupeur propre à l'obusite des combattants de la première guerre mondiale et l'interface système shell. Nous vous proposons des explications sur cet évènement particulier, son périmètre, les conditions de son exploitation, les surfaces d'attaques, et les solutions proposées, déjà mises en œuvre ou à venir. Enfin, une revue de presse sera dressée, cette faille s'étant transformée en évènement.

Clé web USB et sécurité

80
31
août
2011
Sécurité

C'est l'histoire d'une personne qui reçoit un gros document papier, contenant une clé USB en forme de clé de porte (voir la photo en seconde partie de la dépêche). On se dit que la clé USB doit contenir la version numérique du document papier, et on branche négligemment l'objet sur son ordinateur.

Une fois branchée sous Windows, la clé ouvre la fenêtre Exécuter avec le raccourci clavier [Touche windows+R], tape une adresse HTTP de site web et confirme la demande. On se retrouve avec un navigateur (disons Internet Explorer par défaut sous Windows) qui ouvre un site distant inconnu. En l'occurrence la clé pointe vers le site du vendeur de ce gadget (l'adresse était en erreur la première fois que je l'ai branchée...), qui lui-même pointe vers le site désiré par l'acheteur de cet objet promotionnel.

Faille Lazy FPU state restore

62
21
juin
2018
Sécurité

Intel est de nouveau confronté à la découverte d’une faille, le Lazy FPU State Restore flaw.
Cette fois, seule la famille des Intel Core serait concernée.

Nouvelle faille importante dans GnuTLS

Posté par  . Édité par Nÿco, BAud, Frédéric Massot et eggman. Modéré par ZeroHeure. Licence CC By‑SA.
40
6
juin
2014
Sécurité

GnuTLS est une bibliothèque libre qui, au même titre que OpenSSL, permet d’établir une connexion chiffrée sur Internet via le protocole SSL/TLS.

GnuTLS

Une faille de sécurité qui permet de faire planter GnuTLS et, dans certaines conditions, lui faire exécuter du code arbitraire a été découverte.

Concrètement, lors d’une poignée de main, l’envoi d’un identifiant de session extrêmement long par le serveur provoque un dépassement de tampon. Pour résumer, on veut enregistrer en mémoire l’identifiant de session qui est plus grand que l’espace prévu à cet effet, l’excédent est écrit à côté et, en particulier, sur le programme en mémoire. En choisissant bien l’identifiant de session, on peut donc altérer le fonctionnement du logiciel en cours d’exécution à son avantage.

Journal Journal bookmark : une explication claire de Meltdown

36
6
jan.
2018

Bonjour nal et les autres,

On a déjà longuement parlé ici des failles Meltdown et Spectre découvertes récemment, notamment dans le journal de Pinaraf et dans l'article de Bruno Michel.

Je voulais juste vous partager une explication certes simplifiée mais très pédagogique que j'ai trouvée sur le site de Raspberry Pi.

Bonne année!

CVE-2014-3566 — Vulnérabilité POODLE

Posté par  . Édité par Nÿco, tankey, Davy Defaud, Xavier Teyssier, palm123 et Benoît Sibaud. Modéré par patrick_g. Licence CC By‑SA.
32
17
oct.
2014
Sécurité

Qu’est‐ce POODLE ?

POODLE signifie Padding Oracle On Downgraded Legacy. Il s’agit d’une vulnérabilité permettant via une attaque de l’« homme du milieu » (MIM, Man In the Middle), en se plaçant entre le navigateur Web et le serveur Web, de déchiffrer les informations chiffrées.

POODLE affecte les anciennes normes de chiffrement, notamment Secure Socket Layer (SSL) version 3.0. Il n’affecte pas le mécanisme de chiffrement plus récent, et standardisé, appelé Transport Layer Security (TLS).

Recommandations

Pour atténuer cette vulnérabilité, désactivez SSL 3.0 en forçant l’utilisation de TLS, tout en vérifiant la compatibilité des navigateurs clients devant y avoir accès.

Plusieurs bulletins de sécurité ont annoncé la vulnérabilité :

Journal Une exploitation massive de failles dans iOS depuis plus de 2 ans

Posté par  (site Web personnel) . Licence CC By‑SA.
29
31
août
2019

Google a publié, via le blog de projet zero, une analyse détaillée de plusieurs failles iOS qui ont été exploitées pendant plus de 2 ans pour récupérer massivement des données sur des milliers de terminaux :
https://googleprojectzero.blogspot.com/2019/08/a-very-deep-dive-into-ios-exploit.html?m=1

Je ne sais pas vous, mais j'avais pour ma part l'image d'une plateforme assez solide niveau sécurité. L'analyse des failles montre qu'en fait, c'est loin d'être le cas.

À noter que plusieurs failles sont dans Safari, il semblerait qu'un bon moyen de se (…)

Exploit local dans le noyau Linux 2.6.30

Posté par  (site Web personnel) . Modéré par Sylvain Rampacek.
Étiquettes :
26
18
juil.
2009
Sécurité
Brad Spengler, mainteneur du projet Grsecurity, a publié un exploit local pour le noyau Linux. Seule la version 2.6.30 du noyau est impactée. L'exploit a été publié rapidement car aucune distribution n'utilise cette version pour le moment. Il est capable de contourner les protections AppArmor, SELinux, LSM, et désactive l'audit. La faille concerne les interfaces réseaux virtuelles tun et a été introduite en février dernier. D'abord considérée comme un simple bug, elle a été découverte le 4 juillet, corrigée le lendemain, puis Brad a publié son exploit le 15 juillet.

Brad profite de l'exploit pour dire tout le mal qu'il pense de la gestion de la sécurité dans le noyau Linux (lire notamment tous les commentaires présents dans le fichier exploit.c du tgz). Il reproche notamment la correction silencieuse de failles qui pose problème aux distributions Linux : les mainteneurs ne savent pas quels patchs doivent être backportés dans les branches stables. Il reproche également l'absence d'analyse de l'impact d'un bug en terme de sécurité : certaines failles sont considérées comme non exploitables, alors qu'elles le sont.

La seconde partie de cette dépêche détaille la faille.

Journal L'USB c'est moisi, ça propage des virus

25
1
août
2014

Un bon petit article alarmiste pour commencer ce trolldi.

L'article source, que je préfère résumer car le ton m'a l'air trop alarmiste : La norme USB possède une énorme faille de sécurité qui ne pourra pas être comblée

Qui a lui-même une source sur Wired.

La Black Hat Security Conference à Las Vegas, c'est dans une semaine ! On va donc faire monter la hype avec une annonce fracassante d'une des conférences : à cause d'une faille de conception, il (…)

Journal Qualcomm corrige une faille critique dans des dizaines de puces Snapdragon

24
8
mai
2019

Pour continuer sur les discussions autour d'Android du moment sur LinuxFR.

Source : https://app.beebom.com/qualcomm-patches-critical-flaw-dozens-snapdragon-socs/

Traduction :

Des chercheurs du groupe NCC, une compagnie spécialisée dans la cybersécurité, ont découvert une vulnérabilité critique qui affecte des dizaines de puces Qualcomm utilisés dans les téléphones et tablettes Android.

D’après les rapports, pas moins de 46 puces Qualcomm, incluant les SD820, 835, 845, 855, 625, 636, 660, 670 sont probablement impactés par la vulnérabilité qui permet d’autoriser des attaquants potentiels à accéder à (…)

Journal Encore un trou de sécurité, encore Brad qui s'amuse...

Posté par  (site Web personnel) .
Étiquettes :
24
14
août
2009
Après la dernière vulnérabilité du noyau Linux ( voir la news de Victor ici ) on aurait pu espérer un peu de répit...mais c'est raté !
Deux membres du Google Security Team (Tavis Ormandy et Julien Tinnes) ont découvert une faille dans le noyau qui permet un exploit local (un simple utilisateur peut passer root).
Leur annonce avec les explications se trouve sur cette page et la correction du bug, par Linus en personne, a été postée ici.

Comme (…)

Journal Vulnérabilité dans sudo

Posté par  (site Web personnel) . Licence CC By‑SA.
Étiquettes :
21
31
jan.
2012

Une vulnérabilité vient d'être trouvé dans l'utilitaire sudo. Elle est présente dans la fonction sudo_debug où un appelle à getprogname() est effectué. Or le nom de l’exécutable étant contrôlé par l'utilisateur, on peut induire un comportement non voulu.

Les versions concernées sont les versions 1.8.0 à 1.8.3p1. La version 1.8.3p2 corrige la faille.

Plus de détails ici : http://seclists.org/fulldisclosure/2012/Jan/att-590/advisory_sudo.txt

Journal 2 vulnérabilités découvertes dans LZ0 et LZ4

Posté par  (site Web personnel) . Licence CC By‑SA.
21
30
juin
2014

Les vulnérabilités découvertes pour LZ0 et pour LZ4 viennent d'un code datant de 1999.

En résumé, elles provoquent un dépassement du tas d'entier non-signé, ce qui conduit à une corruption locale de la mémoire.

Ce bogue n'est pas super pratique à utiliser, car il faut lancer la fonction incriminée avec assez de données pour dépasser la limite d'un entier non signé, ce qui dépend donc de l'architecture.

En pratique, cela signifie qu'une architecture 64 bits est plutôt à l'abri.

Le (…)